La Agencia Española de Protección de Datos (AEPD), a través del Procedimiento Sancionador PS/00289/2024, ha impuesto una sanción de 96 000 euros a la cadena de gimnasios, con sede en A Coruña, por emplear el reconocimiento facial como único método de acceso válido en sus centros sin contar con el consentimiento explícito de los usuarios ni ofrecerles alternativas viables. Este caso pone de nuevo en primer plano la importancia de cumplir adecuadamente con la normativa en materia de protección de datos, especialmente cuando se tratan datos biométricos, considerados de categoría especial.

ASOCIACION DE CONSUMIDORES Y USARIOS EN ACCION-FACUA en 2023, presentó la denuncia tras constatar que en varios centros de la cadena no se ofrecía ninguna alternativa al sistema de reconocimiento facial, vulnerando así los derechos fundamentales de los usuarios.

La sanción, que inicialmente ascendía a 160 000 € repartidos en tres multas, que fue reducida en un 40 % al reconocerse la infracción por parte de dicha cadena, y proceder al pago voluntario de la misma. El desglose inicial de la sanción:

• 80.000 € por una infracción del artículo 9 del RGPD (falta de base legal para el tratamiento de datos de categoría especial).
• 30.000 € por una infracción del artículo 13 del RGPD (falta de información a los usuarios sobre el tratamiento de sus datos).
• 50.000 € por una infracción del artículo 35 del RGPD (no realizar la Evaluación de Impacto en Protección de Datos obligatoria para tratamientos de alto riesgo, como los biométricos).

Conforme con lo establecido en el artículo 9 del RGPD, el tratamiento de datos biométricos dirigidos a identificar de manera unívoca a una persona no está permitido, salvo en circunstancias muy concretas, entre ellas la obtención del consentimiento explícito y libre del interesado. La AEPD ha señalado en su resolución que esta condición no se cumplió, ya que el reconocimiento facial era obligatorio para acceder a las instalaciones, sin posibilidad de optar por otro método.

De forma resumida, en este caso en particular:

Incumplimiento	Normativa	Comentario
Tratamiento de datos biométricos sin excepción válida	Artículo 9 RGPD	Prohibido salvo circunstancias muy concretas
Falta de información previa a usuarios	Artículo 13 RGPD	Violación del derecho a la transparencia
No realizar EIPD	Artículo 35 RGPD	Omisión de evaluación de riesgos fundamental
Consentimiento no libre (único método de acceso)	Art. 9 + guía AEPD	No se ofrecen alternativas a los usuarios
No demostrar idoneidad/necesidad/proporcionalidad	Guía AEPD / Consulta previa	Falta de justificación técnica o legal adecuada

 

¿Qué debe hacer una empresa ante estos escenarios?

Este caso es un claro ejemplo de cómo la implementación de tecnologías sin evaluación previa de riesgos ni asesoramiento jurídico especializado puede derivar en consecuencias legales y económicas importantes.

Desde Grupo Data, entidad especializada en servicios de protección de datos y cumplimiento normativo, recordamos que:

• Cualquier tratamiento de datos personales debe ajustarse a los principios de licitud, minimización y proporcionalidad del RGPD.
• El uso de datos biométricos, como el reconocimiento facial, requiere una justificación técnica y legal muy sólida, además de una Evaluación de Impacto en Protección de Datos (EIPD).
• Es imprescindible informar adecuadamente al usuario sobre sus derechos y ofrecer alternativas menos intrusivas cuando se utilicen tecnologías sensibles.

Es por ello que, ayudamos a empresas de todos los sectores a evitar situaciones similares, garantizando un cumplimiento riguroso y actualizado de la normativa de protección de datos. Nuestro equipo de expertos ofrece asesoramiento preventivo y personalizado, adaptado a cada tecnología, proyecto o entorno organizativo.

 

Publicado el 29 de Agosto de 2025
Por Alfredo Barroso
Departamento Jurídico