Uso de Datos Biométricos en Gimnasios: ¿Una medida segura o una violación a la normativa de protección de datos personales?

La biometría ha ganado terreno como una herramienta de autenticación de identidad utilizada en diversos sectores para garantizar la seguridad y eficiencia en los procesos. Sin embargo, su implementación en gimnasios para el acceso a las instalaciones implica grandes retos en cuanto al manejo de datos personales y la privacidad de los usuarios.

De los datos biométricos y su tratamiento

De conformidad con el artículo 5 de la Ley 1581 de 2012, los datos biométricos, como la huella digital, el iris del ojo y la palma de la mano, representan parámetros físicos que identifican la singularidad de cada persona y son considerados datos sensibles de acuerdo con la ley.

El tratamiento de este tipo de datos debe regirse por los principios de necesidad y finalidad, por tanto, debe obedecer a una utilidad clara, y deben ser los estrictamente necesarios para el cumplimiento de las finalidades perseguidas, las cuales deben definirse de forma previa, clara y suficiente al tratamiento de la información.

En ese sentido,  para efectuar el tratamiento de datos biométricos se debe analizar si hay una necesidad clara, directa y concreta para el tratamiento, y si los mismos resultan indispensables para la adecuada prestación del servicio.

Autorización de tratamiento de datos biométricos 

El Tratamiento de datos personales sensibles descritos en el artículo 5 de la Ley 1581 de 2012 está prohibido, a excepción de los casos expresamente señalados en el artículo 6 de la citada ley. Estas excepciones son: 

1. contar con la autorización del Titular;
2. que el Tratamiento sea necesario para salvaguardar el interés vital del Titular, siempre y cuando, este se encuentre física o jurídicamente incapacitado;
3. el Tratamiento se realice por una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad ;
4. el Tratamiento se efectúe para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicia, o;
5. el Tratamiento tenga una finalidad histórica, estadística o científica, situación en la cual se deberá suprimir la identidad del Titular.

En caso que sea posible efectuar el Tratamiento de datos biométricos, conforme a lo establecido en el artículo 6 de la Ley 1581 de 2012, se deben tener en cuenta las prerogativas descritas en el artículo 2.2.2.25.2.3. del Decreto 1074 de 2015, que son (i) Informarle al titular que no está obligado a autorizar el tratamiento de datos sensibles, e (ii) informar que ninguna actividad podrá condicionarse a que el Titular suministre datos personales biométricos. 

En ese sentido, la SIC ha sido clara al establecer que se entenderá que la autorización de tratamiento de datos sensible no cumple con los requisitos dispuestos en la ley cuando pretende obligar al Titular a autorizar el tratamiento de sus datos sensibles. Esto lo determinó de la siguiente manera:

“la autorización (…) no cumple con los requisitos legales por cuanto no informa los titulares que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento. Además, no se le ofrece una alternativa al Titular para poder pertenecer al plan de fidelización distinta a proporcionar su huella.” (https://sedeelectronica.sic.gov.co/sites/default/files/normativa/RE68753-2023.pdf)

En razón a lo anterior, los gimnasios no se encuentran facultados para restringir el acceso a sus instalaciones en caso que, el Titular deniegue la autorización de tratamiento de datos personales sensibles, toda vez que, genera una obligación de aceptación al contenido de la autorización para aceder a los servicios proporcionados, lo cual, implica una violación a la normativa en protección de datos personales.

Para el efecto, es indispensable que si bien, los gimnasios bajo el principio de necesidades establezcan como forma de validación de identidad para el ingreso a sus instalaciones el uso de datos biométricos, se generen alternativas para aquellos usuarios que no pretenden otorgar su autorización para tal finalidad.

Finalidades del tratamiento de datos personales sensibles:

De conformidad con el literal c) del artículo 17 de la ley 1581 de 2012 es deber de los gimnasios, en su calidad de Responsables del Tratamiento, informar al Titular de manera previa, clara y expresa sobre las finalidades del Tratamiento al que serán sometidos los datos biometricos recolectados, esto en la medida que el uso de la información debe someterse únicamente a los fines que autorice el Titular. Frente a esto, la SIC a través de la Resolución Número 68753 de 2023, estableció:

“El tratamiento especial establecido para los datos sensibles busca garantizar la intimidad y la dignidad de los Titulares, por cuanto su uso indebido puede generar discriminación. Por lo tanto, resulta fundamental que la sociedad acate esta especial protección y en ese sentido informe al Titular cuales son las finalidades puntuales del tratamiento de los datos sensibles, pues solamente se podrán tratar los datos para las finalidades expresamente autorizadas por el Titular.” (https://sedeelectronica.sic.gov.co/sites/default/files/normativa/RE68753-2023.pdf) 

Es así que, es indispensable que en caso que los gimnasios hagan uso de datos biométricos, deben informar de forma clara las finalidades para las cuales se usan.

Sugerencias para garantizar que el uso de datos biométricos se efectúe en aras de garantizar la protección de la información de los usuarios

La implementación de sistemas biométricos en gimnasios ofrece ventajas en términos de seguridad, sin embargo, es fundamental que se realice de manera responsable, de tal forma que, se garantice la protección del derecho de habeas data de los usuarios. Por tanto, los gimnasios deben garantizar que:

1. Se obtenga la autorización previa y expresa para el tratamiento de datos biométricos.
2. Se ofrezcan alternativas de acceso para quienes decidan no utilizar datos biométricos.
3. Se respete la autonomía y privacidad de los usuarios, evitando cualquier forma de coerción o presión para obtener su consentimiento.

En conclusión, es responsabilidad de los gimnasios asegurar que el uso de datos biométricos se realice en conformidad con las normativas legales y éticas, protegiendo la privacidad y derechos de sus usuarios.

Para más contenido relacionado, te invitamos a seguir viendo nuestro contenido en https://mslegal.com.co/publicaciones/