Huella digital para entrar al gimnasio: una multa de S/ 139,000 y lo que toda empresa debe saber antes de usar biometría

Una socia de un gimnasio en Arequipa denunció que, después de renovar su membresía, se le exigió registrar su huella digital para poder ingresar al local. Según la denuncia, no se le habría solicitado previamente un consentimiento expreso, informado y específico para el tratamiento de sus datos biométricos. Además, la usuaria sostuvo que no sabía en qué banco de datos se almacenaría su información ni si la empresa contaba con medidas de seguridad adecuadas.

El caso llegó a la Autoridad Nacional de Protección de Datos Personales del Ministerio de Justicia. El resultado fue una multa de 27 UIT —más de S/ 139,000— contra la empresa, al considerar que la recopilación de huellas digitales para controlar el acceso al gimnasio no era necesaria, pertinente ni adecuada para la prestación del servicio.

La resolución señala que el gimnasio tenía almacenadas 7,132 huellas digitales correspondientes a 3,566 titulares. La empresa sostuvo que el sistema biométrico no almacenaba la imagen completa de la huella, sino puntos de minucia convertidos en un código binario no reversible. También indicó que el registro de huella no era obligatorio, sino una medida de seguridad para evitar suplantaciones.

La autoridad, sin embargo, concluyó que el tratamiento de datos biométricos era excesivo, pues la finalidad de verificar la identidad del socio al ingresar podía alcanzarse mediante mecanismos menos intrusivos, como la presentación del DNI.

El punto más importante: ¿proporcionalidad o consentimiento?

La resolución ha generado una discusión relevante para cualquier empresa que utiliza sistemas biométricos: ¿puede el consentimiento del usuario validar el tratamiento de su huella digital?

La respuesta exige cuidado.

Es cierto que el consentimiento no debe usarse como una fórmula vacía para legitimar cualquier tratamiento de datos personales. Un consentimiento genérico, escondido en un reglamento interno, entregado después de la contratación o sin explicar claramente qué dato se recopila, para qué finalidad, por cuánto tiempo y bajo qué medidas de seguridad, difícilmente puede considerarse válido.

Pero también sería equivocado leer esta resolución como si la autoridad pudiera desconocer cualquier consentimiento específico simplemente porque considera que existía una alternativa menos intrusiva.

Ese es el riesgo de una lectura demasiado amplia del caso.

La proporcionalidad no opera en el vacío. Un tratamiento de datos no es proporcional o desproporcionado en abstracto. Siempre debe analizarse en relación con una finalidad determinada, explícita y lícita. Y cuando el tratamiento se basa en consentimiento, esa finalidad debe haber sido informada al titular como parte esencial de aquello que acepta.

Por eso, antes de discutir si un tratamiento era proporcional, primero hay que preguntarse si existió realmente un consentimiento válido. Si el usuario no fue informado antes de contratar, si la finalidad fue explicada de manera genérica, o si el acceso a un servicio ya pagado quedó condicionado a aceptar el enrolamiento, el problema principal no es de proporcionalidad. Es de consentimiento.

Lo que el caso realmente parece mostrar

Más que un precedente contra el uso de biometría en gimnasios, la resolución parece revelar un problema práctico más concreto: el consentimiento de la empresa no estaba suficientemente blindado.

Según los hechos descritos en la resolución, la usuaria habría conocido la exigencia de registrar su huella después de pagar y firmar el contrato. También habría tenido problemas para ingresar pese a que, según se le indicó, podía hacerlo con su DNI.

Ese detalle cambia la lectura del caso.

No estamos necesariamente ante una situación en la que una persona recibió información clara, aceptó expresamente el uso biométrico y luego cuestionó lo que había consentido. El caso parece más cercano a una situación en la que la información fue insuficiente, tardía o contradictoria. Si eso fue lo que ocurrió, la discusión debía centrarse precisamente en eso: si el consentimiento fue previo, informado, específico y libre.

El consentimiento no es una formalidad

El caso deja una lección importante: cuando una empresa utiliza datos biométricos, el consentimiento no puede ser tratado como un simple párrafo dentro de un reglamento interno.

Debe ser previo, claro, específico, informado y documentado. Debe explicar qué dato se recopila, para qué finalidad concreta, cómo será tratado, cuánto tiempo será conservado, qué medidas de seguridad existirán y qué opciones tiene el titular.

En sistemas biométricos, además, conviene justificar expresamente por qué ese mecanismo es razonablemente adecuado para la finalidad perseguida. No porque la autoridad deba aprobar el modelo de negocio de la empresa, sino porque la empresa debe poder demostrar que el titular entendió exactamente qué estaba aceptando.

La resolución no debería leerse como una prohibición indirecta de la biometría ni como una regla según la cual el consentimiento nunca basta. Cuando el consentimiento es insuficiente, tardío o genérico, la empresa queda expuesta. Pero si el consentimiento fue claro, específico y completo, la proporcionalidad no puede convertirse en una herramienta para vaciar de contenido la decisión informada del titular sobre sus propios datos.

El punto no es negar que la autoridad pueda controlar los tratamientos de datos biométricos. Por supuesto que puede hacerlo. El problema es convertir el principio de proporcionalidad en una segunda autorización sustantiva de la autoridad sobre decisiones que el titular ya adoptó de manera libre e informada. Si el consentimiento fue defectuoso, el problema es el consentimiento. Pero si el consentimiento fue claro, específico y completo, la autoridad no debería sustituir la decisión del usuario y de la empresa por su propia preferencia sobre el mecanismo de identificación.

La empresa sancionada aún puede impugnar la decisión. Este caso marca una advertencia para el mercado: usar biometría no está prohibido, pero exige un estándar alto de información, documentación y coherencia operativa.