Introducción
La Agencia Española de Protección de Datos (AEPD) ha sancionado a Loro Parque S.A. con 250.000 € por exigir la huella dactilar para acceder con la entrada combinada TWIN TICKET, que incluye la visita a Loro Parque y Siam Park, sin ofrecer a los visitantes una alternativa para acceder. La resolución envía un mensaje muy claro: la biometría sigue siendo un dato personal y, como categoría especial, necesita una base legal sólida. Las medidas técnicas, por avanzadas que sean, no sustituyen esta exigencia.
El contexto del caso
El sistema de acceso de Loro Parque condicionaba la entrada al segundo parque a registrar la huella dactilar. Esta obligación no se comunicaba de forma clara en el momento de la compra y no existía otra opción de verificación. El tratamiento consistía en capturar las minucias de la huella, cifrarlas y transformarlas en una representación matemática que se almacenaba hasta que se producía el segundo acceso.
La empresa defendió que no se trataba de un dato personal, argumentando que no se conservaba la huella en bruto y que la plantilla generada estaba cifrada y no podía revertirse para reconstruir la imagen original.
El falso debate sobre el cifrado y la huella en bruto
Este ha sido uno de los puntos más interesantes de la resolución. Loro Parque alegó que su sistema no almacenaba la imagen original, sino únicamente una plantilla cifrada, y que, por tanto, no era posible identificar a la persona. Sin embargo, el RGPD es muy claro. El artículo 4.14 define los datos biométricos como aquellos datos personales obtenidos a partir de un tratamiento técnico específico que permitan o confirmen la identificación única de una persona.
Si esa plantilla sirve, en el contexto del sistema, para verificar que quien accede al segundo parque es la misma persona que entró en el primero, sigue siendo un dato biométrico y, por tanto, un dato personal. Además, al tratarse de un dato de categoría especial según el artículo 9, solo puede tratarse si se cuenta con una de las excepciones previstas en su apartado 2.
El cifrado y otras medidas de seguridad son esenciales para proteger la información, pero no convierten un tratamiento ilícito en lícito. La cuestión de fondo no es cómo se guarda el dato, sino si existe un fundamento jurídico que permita tratarlo.
La valoración de la AEPD
La Agencia concluyó que el uso de la huella no era necesario ni proporcional, dado que existían métodos menos intrusivos para verificar la identidad de los titulares del TWIN TICKET. Señaló la ausencia de consentimiento explícito o de cualquier otra base legal aplicable del artículo 9.2 del RGPD.
También detectó graves carencias en el deber de información previsto en los artículos 13 y 14 del RGPD. Los usuarios no recibían una explicación clara y previa sobre el uso de su huella, la finalidad del tratamiento ni sus derechos. Además, no se había realizado la obligatoria Evaluación de Impacto ni se había designado un Delegado de Protección de Datos, a pesar de tratar datos biométricos de forma sistemática y masiva.
La sanción y las medidas correctivas
La multa de 250.000 € se impuso por infracción muy grave según el artículo 72.1.e de la LOPDGDD, que sanciona el tratamiento de datos de categorías especiales sin base legal. Aunque podrían haberse apreciado otras infracciones, como la falta de información o la ausencia de alternativas, la Agencia centró la sanción en el artículo 9 del RGPD por ser el núcleo del incumplimiento.
Junto con la sanción económica, se ordenó a la empresa ofrecer un método alternativo de acceso que no implicase el uso de biometría, garantizar que la información se facilite antes de la compra y adecuar todo el tratamiento a la normativa, incluyendo la obligación de realizar la Evaluación de Impacto y nombrar un Delegado de Protección de Datos.
Más allá del caso concreto
Este expediente deja varias lecciones importantes. Que un dato esté cifrado o convertido en una plantilla matemática no lo saca del ámbito del RGPD. La base legal es el punto de partida y no puede improvisarse: la biometría, por su carácter intrusivo y por los riesgos que implica, solo puede tratarse si encaja en una de las excepciones del artículo 9.2. Además, la proporcionalidad es clave: si hay medios menos intrusivos para lograr el mismo fin, la biometría no se justifica. Y la transparencia no es opcional: el usuario debe conocer el tratamiento antes de vincularse al servicio y tener la opción de rechazarlo.
Reflexión final
La biometría se regula por lo que es, no por cómo se guarda. Puedes cifrarla, fragmentarla o transformarla en una plantilla matemática, pero si permite identificar a una persona en el contexto del tratamiento, seguirá siendo un dato personal. Y, como categoría especial, su tratamiento está sometido a las exigencias más estrictas del RGPD. Este caso es una advertencia para cualquier organización que utilice biometría en sus accesos: el cumplimiento empieza con la base legal, no con la medida técnica.