Centros deportivos

Datos biométricos en gimnasios y RGPD

Los gimnasios y centros deportivos concentran una combinación de tratamientos de datos personales especialmente sensibles: datos biométricos para el control de acceso por huella dactilar —categoría especial del artículo 9 del RGPD—, cuestionarios de aptitud física que recogen datos de salud, domiciliaciones bancarias de cuotas y sistemas de videovigilancia en las instalaciones. Pocos sectores de servicios acumulan tantas categorías de alto riesgo en la relación diaria con sus socios. Desde Summum Consultoría acompañamos a gimnasios y centros deportivos en la adecuación integral al Reglamento (UE) 2016/679 y a la LOPDGDD (LO 3/2018): diagnosticamos cada tratamiento, elaboramos la Evaluación de Impacto en la Protección de Datos obligatoria para los sistemas biométricos e implantamos la alternativa de acceso no biométrica que exige el principio de minimización.

Norma aplicableRGPD (UE) 2016/679 · LOPDGDD (LO 3/2018)
Datos de categoría especialBiometría e historial de salud — art. 9 RGPD
Autoridad supervisoraAEPD — Agencia Española de Protección de Datos

Los centros deportivos y gimnasios se enfrentan a un panorama de cumplimiento del RGPD más exigente de lo que habitualmente se percibe. La razón principal es la utilización de datos biométricos —con frecuencia huellas dactilares— para el control de acceso. El artículo 9.1 del Reglamento (UE) 2016/679 incluye expresamente los «datos biométricos dirigidos a identificar de manera unívoca a una persona física» entre las categorías especiales de datos, cuyo tratamiento está prohibido con carácter general salvo que concurra alguna de las excepciones del artículo 9.2. Para la mayoría de los gimnasios la única base habilitante viable es el consentimiento explícito del socio en los términos del artículo 9.2.a del RGPD, lo que implica que ese consentimiento debe ser libre, específico, informado e inequívoco y que el socio que no desee ceder su biometría debe poder acceder a la instalación por un medio alternativo sin menoscabo de sus derechos.

El uso de sistemas biométricos de control de acceso activa además la obligación de realizar una Evaluación de Impacto en la Protección de Datos (EIPD) con carácter previo al inicio del tratamiento, conforme al artículo 35 del RGPD. La AEPD ha incluido el tratamiento a gran escala de datos de categorías especiales en su relación de tipos de operaciones que requieren EIPD, y los sistemas de huella dactilar implantados en instalaciones deportivas se encuadran en ese supuesto cuando el volumen de socios es significativo. La EIPD no es un formulario: es un análisis estructurado de los riesgos para los derechos y libertades de los socios, las medidas para mitigarlos y la justificación de que el tratamiento es necesario y proporcional al fin perseguido. Si tras la evaluación el riesgo residual sigue siendo alto y el responsable no puede adoptar medidas suficientes para reducirlo, el artículo 36 del RGPD obliga a consultar a la AEPD antes de iniciar el tratamiento.

Los cuestionarios de aptitud física —como el PAR-Q o formularios equivalentes— suponen otro frente de cumplimiento. Estos documentos recogen datos sobre enfermedades cardiovasculares, lesiones, medicación o contraindicaciones para el ejercicio, lo que los sitúa en el ámbito de los datos relativos a la salud del artículo 9.1 del RGPD. El tratamiento de esta información exige una base jurídica específica del artículo 9.2 —habitualmente el consentimiento explícito del artículo 9.2.a— y una cláusula informativa del artículo 13 del RGPD que explique la finalidad del tratamiento, el plazo de conservación y los derechos que el socio puede ejercer. No es suficiente con añadir el cuestionario al reverso del contrato de adhesión: el centro deportivo debe garantizar que el socio comprende que está cediendo datos de salud y que presta su consentimiento de forma diferenciada y consciente.

La videovigilancia es el tercer elemento crítico en las instalaciones deportivas. El artículo 22 de la LOPDGDD (LO 3/2018) regula el tratamiento de imágenes mediante cámaras de seguridad: exige colocar señalización informativa en lugar visible en todos los accesos a las zonas vigiladas, conservar las imágenes durante un plazo máximo de un mes desde su captación —salvo que estén vinculadas a hechos delictivos o incidentes que requieran su aportación a las autoridades o a procedimientos judiciales— y garantizar que las cámaras no captan zonas donde se vulnere la intimidad de las personas. La instalación de cámaras en vestuarios, aseos o duchas constituye una infracción grave del RGPD y de la LOPDGDD y puede dar lugar a procedimientos sancionadores ante la AEPD.

Las domiciliaciones bancarias de las cuotas mensuales y los datos de pago de los socios completan el mapa de tratamientos. Aunque el IBAN y los datos de pago no son categorías especiales, su tratamiento requiere una base jurídica del artículo 6 del RGPD —habitualmente la ejecución del contrato conforme al artículo 6.1.b— y medidas de seguridad adecuadas al riesgo conforme al artículo 32 del RGPD, que comprenden el cifrado de la información, el control de acceso interno y la gestión de los contratos con los encargados del tratamiento (plataformas de gestión de socios, procesadores de pago, entidades de cobro). En Summum Consultoría acompañamos al centro deportivo en la identificación y documentación de todos estos tratamientos, en la implantación de las medidas técnicas y organizativas adecuadas y en la formación del equipo para que el cumplimiento sea efectivo en el día a día de la instalación.

El proceso de Datos biométricos en gimnasios y RGPD.

El proceso · cuatro tiempos
01

Auditoría de tratamientos y diagnóstico inicial

Analizamos todos los tratamientos de datos personales del centro deportivo: sistema de control de acceso biométrico, cuestionarios de aptitud física, videovigilancia, gestión de socios, domiciliaciones bancarias y comunicaciones de marketing. Identificamos las bases jurídicas aplicables, las deficiencias de cumplimiento y el nivel de riesgo de cada tratamiento, con especial atención a los datos de categorías especiales del artículo 9 del RGPD.

02

Evaluación de Impacto (EIPD) y alternativa no biométrica

Elaboramos la Evaluación de Impacto en la Protección de Datos requerida por el artículo 35 del RGPD para el sistema biométrico de control de acceso, documentando los riesgos identificados, su valoración y las medidas de mitigación. Paralelamente, diseñamos e implantamos la alternativa de acceso no biométrica —tarjeta de socio, código PIN o código QR— para quienes no deseen ceder su huella dactilar, garantizando que la negativa no supone ningún perjuicio ni trato diferenciado.

03

Documentación, cláusulas informativas y contratos de encargo

Redactamos y actualizamos el registro de actividades de tratamiento (art. 30 RGPD), las cláusulas informativas del artículo 13 del RGPD para cada recogida de datos (matrícula, biometría, cuestionario de salud, videovigilancia y marketing), las políticas de privacidad en el centro y en la web, y los contratos con los encargados del tratamiento (plataformas de gestión de socios, procesadores de pago y empresas de mantenimiento de sistemas).

04

Formación, implantación y revisión periódica

Formamos al equipo del centro deportivo —recepción, monitores y dirección— en los procedimientos de recogida de datos, respuesta a ejercicios de derechos de los socios, gestión de incidentes de seguridad y normas sobre videovigilancia. Establecemos un calendario de revisión anual para mantener la adecuación actualizada ante cambios normativos, ampliaciones de la instalación o incorporación de nuevos servicios digitales.

Qué incluye

Qué incluye Datos biométricos en gimnasios y RGPD.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Adecuación del sistema biométrico de acceso

    Revisión de la base jurídica del tratamiento (art. 9.2 RGPD), diseño de las cláusulas de consentimiento explícito, medidas de seguridad técnica del dispositivo y procedimiento para la supresión de la biometría cuando el socio cause baja o retire el consentimiento.

  • Evaluación de Impacto en la Protección de Datos (EIPD)

    Elaboración del análisis de riesgo y del informe de EIPD requerido por el artículo 35 del RGPD antes de iniciar o continuar el tratamiento de datos biométricos: identificación de riesgos, valoración de probabilidad e impacto y medidas de mitigación documentadas.

  • Alternativa de acceso no biométrica

    Diseño e implantación de un sistema de acceso alternativo (tarjeta de socio, código PIN o código QR) para quienes no consientan el tratamiento biométrico, garantizando que la negativa no supone penalización ni menoscabo del servicio contratado.

  • Gestión de cuestionarios de salud (PAR-Q y similares)

    Adecuación de los formularios de aptitud física al RGPD: consentimiento explícito para datos de salud (art. 9.2.a), cláusulas informativas del artículo 13, plazo de conservación justificado y procedimiento de supresión cuando deja de ser necesario el tratamiento.

  • Videovigilancia conforme al artículo 22 LOPDGDD

    Revisión de la instalación de cámaras —zonas permitidas y zonas vedadas—, señalización informativa en accesos, plazo máximo de conservación de imágenes de un mes, contratos con la empresa de seguridad y canal para el ejercicio de derechos sobre las grabaciones.

  • Registro de actividades, contratos de encargo y política de privacidad

    Documentación completa del registro de actividades de tratamiento (art. 30 RGPD), contratos con encargados del tratamiento (plataformas de gestión de socios, TPV y entidades de pago) y actualización de la política de privacidad web y de la información expuesta en las instalaciones.

Preguntas frecuentes sobre Datos biométricos en gimnasios y RGPD.

¿Es legal usar la huella dactilar para controlar el acceso a un gimnasio?

Sí, pero con condiciones estrictas. La huella dactilar es un dato biométrico dirigido a identificar de manera unívoca a una persona física y queda incluida en las categorías especiales del artículo 9.1 del RGPD, cuyo tratamiento está prohibido con carácter general. La excepción más habitual para los gimnasios es el consentimiento explícito del socio en los términos del artículo 9.2.a del RGPD: ese consentimiento debe ser libre —lo que exige ofrecer una alternativa no biométrica—, específico, informado e inequívoco. Además, antes de poner en marcha el sistema es obligatorio realizar una Evaluación de Impacto en la Protección de Datos (EIPD) conforme al artículo 35 del RGPD. La AEPD ha publicado orientaciones específicas sobre los tratamientos de datos biométricos que los centros deportivos deben tener en cuenta en su proceso de adecuación.

¿Es obligatorio ofrecer una alternativa de acceso sin huella dactilar?

Sí. Si la base jurídica para tratar la huella dactilar es el consentimiento del artículo 9.2.a del RGPD, ese consentimiento debe ser genuinamente libre: el socio no puede verse forzado a cederlo para acceder al servicio. Si no existe ninguna alternativa de acceso, el consentimiento no puede considerarse libre y el tratamiento carecería de base jurídica válida. Los centros deportivos deben ofrecer al menos un método alternativo de identificación —tarjeta de socio, código PIN, código QR u otro equivalente— que permita acceder a la instalación sin facilitar datos biométricos, y sin que la elección de esta alternativa suponga ningún perjuicio, coste adicional o trato diferenciado para el socio.

¿Qué es la EIPD y cuándo es obligatoria en un gimnasio?

La Evaluación de Impacto en la Protección de Datos (EIPD) es un análisis previo del riesgo que un tratamiento puede suponer para los derechos y libertades de las personas, regulado en el artículo 35 del RGPD. Es obligatoria cuando el tratamiento pueda entrañar un alto riesgo, y la AEPD considera que el tratamiento a gran escala de datos de categorías especiales —como los datos biométricos o los datos de salud— requiere EIPD. En la práctica, cualquier gimnasio que utilice huella dactilar para el control de acceso debe realizar esta evaluación antes de implantar el sistema. La EIPD documenta los riesgos identificados, las medidas para mitigarlos y la conclusión sobre si el tratamiento puede realizarse con las salvaguardas adoptadas.

¿Son datos de salud los cuestionarios PAR-Q que rellenan los socios al matricularse?

Sí. Los cuestionarios de aptitud física previos a la práctica deportiva —como el PAR-Q o formularios equivalentes— recogen información sobre enfermedades cardiovasculares, lesiones, medicación u otras condiciones de salud. Estos datos se encuadran en la categoría especial de datos relativos a la salud del artículo 9.1 del RGPD. Para tratarlos es necesaria una base jurídica del artículo 9.2, habitualmente el consentimiento explícito del socio (art. 9.2.a), y una cláusula informativa específica conforme al artículo 13 del RGPD que explique la finalidad —seguridad en la práctica deportiva—, el plazo de conservación y los derechos que el socio puede ejercer.

¿Cuánto tiempo pueden conservarse las imágenes de las cámaras de seguridad del gimnasio?

El artículo 22 de la LOPDGDD (LO 3/2018) establece que las imágenes captadas mediante cámaras de videovigilancia deben suprimirse en el plazo máximo de un mes desde su captación. La única excepción es que las imágenes estén relacionadas con infracciones penales, conductas que deban comunicarse a las Fuerzas y Cuerpos de Seguridad del Estado o incidentes que requieran su conservación para acreditar hechos relevantes ante las autoridades o en procedimientos judiciales. Además, las cámaras no pueden instalarse en zonas donde se vulnere la intimidad: está expresamente prohibida su instalación en vestuarios, aseos y duchas.

¿Qué sanciones puede imponer la AEPD a un gimnasio por incumplir el RGPD?

El régimen sancionador del artículo 83 del RGPD distingue dos niveles en función de la gravedad del incumplimiento. Las infracciones más graves —como tratar datos biométricos o de salud sin base jurídica válida del artículo 9.2 del RGPD, o tratar datos sin respetar los principios del artículo 5— quedan sujetas al marco del artículo 83.5: multas de hasta 20 millones de euros o el 4 % del volumen de negocio anual total a escala mundial, aplicándose la cuantía que resulte más elevada. Otros incumplimientos relacionados con medidas técnicas, EIPD o contratos de encargo pueden encuadrarse en el artículo 83.4, con un techo de 10 millones de euros o el 2 % del volumen de negocio. La AEPD valora como circunstancias atenuantes la diligencia del responsable, la adopción de medidas correctoras y la colaboración con el regulador.