Multa de 250.000 euros a Loro Parque por obligar a sus clientes a usar su huella dactilar

La Agencia de Protección de Datos ha sancionado con 250.000 euros a Loro Parque por su sistema de acceso a sus parques en Tenerife con huellas dactilares. En concreto, considera que los datos biométricos “son datos de cuyo uso pueden desprenderse riesgos significativos para los derechos fundamentales y las libertades, y por ello inicialmente está prohibido su uso”.

La agencia ha desestimado un recurso del grupo kiessling y ha ratificado la infracción, que está tipificada como “muy grave”. Ahora, se puede interponer recurso contencioso-administrativo. Además de la multa, ordena a la empresa a que en plazo de 30 días ponga fin a este procedimiento que la entrada en sus parques.

La sanción parte de las quejas de tres clientes en 2022, que exponían que al adquirir los tickets para acceso conjunto a Loro Parque (zoológico) y Siam Park (parque de actividades acuáticas) en Tenerife, con la oferta denominada Twin Ticket (TT), que gestiona la empresa, “se ha de proporcionar para acceder la huella digital, incluso de menores de edad, sin que se informe cuando se adquiere el ticket”.

En la resolución de la Agencia de Protección de Datos se expone que en la web de Loro Parque se explica en un apartado la política de protección de datos, pero “no se contiene información alguna sobre el empleo de técnicas de biometría para el acceso de las personas a los parques con la entrada TT”.

Con el sistema de entrada TT que tenía en ese momento, se permitía entrar a los dos parques de la empresa; el acuático y el zoológico con un descuento, pero tiene que ser utilizado por la misma persona en un plazo inferior a seis meses. El sistema seleccionado de recogida de muestra biométrica de la huella dactilar para accesos a sus parques.

La empresa alegó que el sistema no almacenaba imágenes de huellas dactilares ni permitía asociarlas a personas. Explicó, según consta en el expediente, que utilizaba una “representación matemática” o “minucias” de la huella, la cual, según Loro Parque, no constituye un dato personal ni es reversible para identificar a la persona.

“Para comprobar si es la misma persona la que con el sistema, oferta TT, accede al segundo parque, utilizaba una ”representación matemática de la huella digital, que no sirve para identificar al cliente, porque no aporta dato personal alguno del mismo“. La ”retención es limitada al tiempo que sea necesario para identificar al visitante“, asegura la empresa.

“Los datos de la huella se conservarán únicamente mientras la tarjeta o entrada en cuestión esté vigente, y se destruirán de forma inmediata cuando dejen de estarlo, protegiendo así la privacidad y seguridad de los usuarios. Las minucias de la huella en forma de representación matemática (plantilla biométrica) se almacenan encriptadas en una base de datos”, expresó la empresa.

Asimismo, Loro Parque alegó que al no tratar datos personales, no estaba sujeta a obligaciones del reglamento de protección de datos y que a sanción propuesta era desproporcionada. También llegó a solicitar la nulidad del procedimiento “al imputar unos hechos referidos al tratamiento de datos personales en los que no se produce identificación del usuario, de los que no es responsable, causando indefensión”. “Se imputa primero un hecho ilícito sin prueba suficiente, y luego se abre un período probatorio sin atender las alegaciones hechas en fase previa”, añadió.

La agencia sostiene que la plantilla biométrica permite identificar a la persona

La AEPD, por su parte, considera que la “representación matemática” o “plantilla biométrica” obtenida de las minucias de la huella dactilar es un dato personal biométrico según el artículo 4.14 del Reglamento general de protección de datos. Además, concluía que Loro Parque podía identificar con ese sistema al usuario y era capaz de vincular la información con el acceso.

La agencia también aclara que Loro Parque es el “responsable del tratamiento”, ya que determina los fines y medios del procesamiento de datos y que las empresas externas actúan como “encargadas” de ese tratamiento.

En la sanción, la agencia insiste en que “en el supuesto analizado en la resolución recurrida se acreditó que los datos biométricos guardados en forma de plantilla, para ser interpretable por una máquina, permite singularizar a un individuo, con el fin de que, en la segunda visita, la misma persona al acceder, cuando coloque la huella en el terminal, por procedimiento de comparación de plantillas, si presenta una coincidencia que supere el umbral previsto para permitir el acceso, logre acceder”.

“Por tanto, la búsqueda en la segunda visita al parque se realiza sobre un dato personal que ya se consiguió antes, y sobre el mismo, identifica de entre todas las plantillas la que se corresponde a la huella que se presenta. Así pues, en este caso, actúa como un identificador único de la persona, habiendo quedado acreditado que se ha utilizado una plantilla biométrica o una representación matemática a partir de la toma de la huella dactilar, registrándola, almacenándola, con el fin de verificar que la misma persona sea la que accede a los dos parques”, insiste.

La agencia insiste en que es “un hecho constatado que existe información de la persona que adquiere el TT y que esa persona es posible que sea la que acceda a los parques por sí misma. De la misma persona figura información obtenida en forma de representación matemática lista para ser usada desde el momento en que en el primer acceso se le exige la toma de la huella de la que se guarda y trata la representación. De la compra, a través del software”.

Loro Parque ha alegado además que desde septiembre de 2024 instauró un nuevo sistema de control y acceso a sus parques.