SAN, 19 de Septiembre de 2019
Ponente | MARIA LUZ LOURDES SANZ CALVO |
Emisor | Audiencia Nacional. Sala Contencioso Administrativo, Sección 1ª |
ECLI | ES:AN:2019:3675 |
Número de Recurso | 774/2018 |
A U D I E N C I A N A C I O N A L
Sala de lo Contencioso-Administrativo
SECCIÓN PRIMERA
Núm. de Recurso: 0000774 / 2018Tipo d Tipo de Recurso: PROCEDIMIENTO ORDINARIO
Núm. Registro General: 05837/2018
Demandante: FITNESS MURCIA PROMOTIONS S.L.
Procurador: JOSÉ ANDRÉS CAYUELA CASTILLEJO
Letrado: JOSÉ JAVIER CONESA BUENDÍA
Demandado: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Abogado Del Estado
Ponente IIma. Sra.: Dª. LOURDES SANZ CALVO
S E N T E N C I A Nº:
IImo. Sr. Presidente:
D. EDUARDO MENÉNDEZ REXACH
Ilmos. Sres. Magistrados:
Dª. LOURDES SANZ CALVO
D. FERNANDO DE MATEO MENÉNDEZ
Dª. NIEVES BUISAN GARCÍA
Madrid, a diecinueve de septiembre de dos mil diecinueve.
Visto por la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional el recurso contencioso administrativo número 774/2018 interpuesto por el Procurador de los Tribunales Sr. Cayuela Castillejo en nombre y representación de la entidad mercantil "FITNESS MURCIA PROMOTIONS S.L", frente a la resolución de la Directora de la Agencia Española de Protección de Datos de fecha 25 de julio de 2018 (PS/00191/2018) que confirma en reposición la resolución de 14 de junio de 2018; ha sido parte en autos, la Administración demandada, representada y defendida por el Abogado del Estado.
Interpuesto el recurso Contencioso-administrativo ante esta Sala de lo Contencioso administrativo de la Audiencia Nacional y turnado a esta Sección, fue admitido a trámite, reclamándose el expediente administrativo, para, una vez recibido emplazar a la actora para que formalizara la demanda, lo que así se hizo
en escrito en el que tras exponer los hechos y fundamentos de derecho qué consideró oportunos, terminó suplicando que se dicte sentencia estimatoria de la pretensión de dicha parte, por la que se revoque la resolución recurrida, dejando sin efecto la sanción impuesta.
El Abogado del Estado, en su escrito de contestación a la demanda, tras alegar los hechos y fundamentos de derecho qué consideró aplicables, solicitó se dicte sentencia por la que se desestime el recurso interpuesto, con imposición de costas a la entidad recurrente.
Re cibido el recurso a prueba, admitida la documental consistente en que se tenga por reproducido el expediente administrativo y evacuado el trámite de conclusiones, se señaló para votación y fallo el día 10 de septiembre de 2019, en que tuvo lugar.
Ha sido Ponente la Magistrada Ilma. Sra. Dª. LOURDES SANZ CALVO.
Se impugna en el presente recurso contencioso-administrativo la resolución de la Directora de la Agencia Española de Protección de Datos de fecha 25 de julio de 2018 (PS/00191/2018) que confirma en reposición la resolución de 14 de junio de 2018, que impone a la entidad mercantil Fitness Murcia Promotions S.L. una sanción de 1.500 €, por una infracción del artículo 4.1 de la Ley Orgánica 15/1999, de 12 de diciembre, de Protección de Datos de Carácter Personal (LOPD), tipificada como grave en el artículo 44.3.c) de dicha norma, una multa de 1.500 €.
Considera la AEPD que se ha incurrido en dicha infracción por cuanto el tratamiento de los datos de reconocimiento de huella por parte de los usuarios del gimnasio para control de acceso de su titular y siendo el único modo de acceder, utiliza los datos de forma no proporcionada y excesiva en relación con el ámbito y finalidades determinadas, con vulneración del artículo 4.1 LOPD. Señala, que el mismo objetivo podría lograrse si se estableciera un sistema de control de acceso que sin perjuicio de aplicar medidas de control biométrico, permitiera que el propio dato biométrico o el algoritmo, permaneciese bajo el control del usuario incorporado en una tarjeta inteligente que portara el socio, por ejemplo, y no fuera incorporado al sistema.
Aplica la circunstancia prevista en el artículo 45.5.a) de la LOPD y fija la sanción, a la vista de las circunstancias concurrentes, en 1.500 €.
De lo actuado en el expediente administrativo resultan acreditados los siguientes hechos probados:
-
El denunciante, socio usuario del gimnasio QUO Fitness, titularidad de Fitness Murcia Promotions, denuncia ante la Agencia Española de Protección de Datos (AEPD) el que utilizaba el sistema de entrada al gimnasio mediante pulsera y que a partir del 2 de febrero de 2017 el acceso al centro sólo puede hacerse a través de la huella digital.
-
Cuando se toma la huella dactilar al socio del gimnasio, no se guarda ésta sino que se genera una plantilla numérica o patrón utilizando algunos puntos de la huella generados a partir de algoritmos matemáticos, creando así un código único para cada huella.
-
Al usuario que pretende utilizar los servicios de gimnasio de la recurrente se le informa en el contrato que para acceder a QUO Fitness se utilizará un sistema de identificación biométrico basado en la creación de un patrón partiendo de la toma de huella dactilar, de la que se toman una serie de puntos y de algoritmos matemáticos y que sólo se permite la entrada a las instalaciones de dicha manera, no existiendo normalmente alternativa salvo para casos excepcionales, como lesiones o profesiones en que la huella no se halla en óptimas condiciones para su recogida.
-
El sistema se implantó por razones de seguridad de uso de la instalación por el propio titular, debido a la facilidad de identificación evitando llevar tarjetas u otros dispositivos que podrían ser intercambiados con otros usuarios.
-
En el sistema se almacenan por parte del responsable del fichero Fitness Promotios SL., a través de un contrato de encargado de tratamiento con la entidad Proyectos Visuales Zaragoza S.L. (PROVISPORT), los puntos de la huella recogida de los usuarios transformados en un algoritmo matemático.
-
La recurrente tiene inscrito en la AEPD el fichero CLIENTES en el que entre otros, se almacenan los puntos de la huella convertidos en algoritmo matemático.
La actora sustenta su pretensión impugnatoria en dos motivos: a) los datos recogidos por la entidad recurrente según los requerimientos técnicos de la empresa Nitgen Biometric Solutions no tienen la consideración de datos de carácter personal; b) adecuación de la medida al artículo 4.1 LOPD.
Comenzando por el examen del primer motivo de impugnación, se aduce que la empresa Nitgen Biometric Solutions provee del sistema técnico de toma de datos biométricos a Provisport, empresa de tratamiento de datos de los ficheros de la recurrente y que los datos que se obtienen por este sistema, a juicio de dicha parte, no pueden ser considerados datos de carácter personal.
Ello es así, según la actora, porque no permite la identificación de sus titulares, pues la información recogida no es una huella humana sino parte de la misma que se convierte en un código numérico asociado a un número concreto, que en este caso es un cliente. Añade que la huella del cliente no se guarda ni almacena sino que se convierte en un algoritmo matemático que no puede ser descodificado.
En resumen, considera que al ser los datos meras minucias que no permiten por si mismas la identificación de una persona si no es con una actividad "desproporcionada" como es la aplicación del algoritmo utilizado por la empresa y que sirve exclusivamente para el acceso al gimnasio, no tienen el carácter de datos personales.
A la vista de dicho planteamiento, cabe señalar que el concepto de "datos personales" engloba, en virtud de la definición recogida en el artículo 2, letra a), de la Directiva 95/46, que traspone la LOPD en su artículo 3.a) " toda información sobre una persona física identificada o identificable (...) se considerará identificable toda persona cuya identidad pueda determinarse, directamente o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica (... )".El considerando 26 añade la siguiente explicación " para...
Para continuar leyendo
Solicita tu prueba