La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 96.000 euros a la cadena de gimnasios Supera, con presencia en Chiclana y otras ciudades de Andalucía y España, por utilizar el reconocimiento facial como único método de acceso a sus instalaciones. La denuncia fue presentada en 2023 por Facua Consumidores en Acción, que alertó del uso obligatorio de esta tecnología sin ofrecer alternativas.
La sanción inicial ascendía a 160.000 euros, dividida en tres multas distintas, pero ha sido rebajada en un 40 % porque la empresa propietaria de Supera, Sidecu S.A., ha reconocido los hechos y procedido al pago voluntario de las sanciones. La rebaja responde a la normativa que permite reducciones cuando hay asunción de responsabilidad.
La AEPD ha confirmado que Supera incurrió en tres infracciones del Reglamento General de Protección de Datos (RGPD), al no contar con el consentimiento expreso de los usuarios para tratar datos biométricos, considerados de categoría especial según el artículo 9 del citado reglamento. Estos datos solo pueden ser procesados bajo determinadas excepciones legales, entre ellas el consentimiento explícito.
Otros centros en Andalucía
La empresa, con sede en A Coruña, tiene 30 centros repartidos por 21 municipios. Además de Chiclana, está en A Coruña, Alicante, Almería, Burgos, Estepona y Marbella (Málaga), Guadalajara, León, Móstoles, Oviedo, Palencia, Parla, Rivas-Vaciamadrid, Talavera de la Reina y Valdemoro (Madrid), Santander, Sevilla, Toledo, Valencia y Valladolid.
Facua sostiene que el sistema de reconocimiento facial fue implementado de forma impuesta y sin alternativa. En su denuncia, la organización señalaba que este tipo de tratamiento de datos biométricos vulnera la normativa vigente si no se respeta la voluntariedad y el consentimiento informado.
En su resolución, la AEPD ha desmentido la interpretación de la empresa, que entendía que los patrones faciales utilizados no constituían datos personales. Este argumento fue calificado como erróneo, ya que cualquier dato que sirva para identificar de manera inequívoca a una persona entra dentro de la categoría de dato personal protegido por ley.
Según Facua, además de no haber alternativa al sistema facial, el supuesto consentimiento obtenido por Supera no podía considerarse libre. Al tratarse de un requisito obligatorio para acceder al gimnasio, los usuarios no tenían otra opción que aceptar el tratamiento de sus datos biométricos, lo cual representa una violación clara del RGPD.