Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 250 000 euro mot Loro Parque S.A. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att tre registrerade klagat på att Loro Parque infört ett obligatoriskt system med fingeravtrycksidentifiering för att få tillträde till både djurparken och den anslutna vattenparken med en och samma biljett. Förutom att biljetten skannades med QR-kod krävdes att de registrerade verifierade sig med fingeravtryck, oavsett ålder.
Loro Parque hävdade att processen var nödvändig för att verifiera att biljetten användes av samma person. Dessutom inaktiverades biljetterna när de registrerade hade besökt båda temaparkerna, vilket begränsade lagringstiden för de registrerades biometriska data. Vidare hävdade Loro Parque att djuparken inte behandlade personuppgifter, eftersom de inte identifierade de registrerade genom fingeravtrycksdata eller lagrade bilden av fingeravtrycken. Systemet läste istället bara fingeravtrycket och skapade en matematisk representation, en biometrisk mall, av fingeravtryckets egenskaper.
AEPD konstaterade först att även om biometriska identifieringsmetoder inte är något nytt, väcker det faktum att dessa processer kan automatiseras med hög noggrannhet frågor om dataskydd. Enligt AEPD innebär behandlingen av dessa uppgifter en viss risk, eftersom det är uppgifter som de registrerade inte kan ändra. Detta medför en risk för identitetsförlust för de registrerade om uppgifterna missbrukas.
AEPD avvisade sedan Loro Parques argument att man inte behandlar personuppgifter genom sina fingeravtryckssystem. Den biometriska mallen faller under definitionen av biometriska uppgifter av artikel 4.14 GDPR, eftersom den fungerar som en unik identifierare för de registrerade. Enligt AEPD är det irrelevant om de registrerade kan identifieras eller om fingeravtrycket kan rekonstrueras från mallen, systemet behandlar fortfarande biometriska uppgifter enligt GDPR. Dessutom är lagring av dessa uppgifter nödvändig för att verifiera om samma registrerade har tillgång till båda temaparkerna. Vidare konstaterade AEPD att den biometriska mallen är personuppgifter enligt artikel 4.1 GDPR, eftersom de registrerade kan identifieras med hjälp av informationen på biljetten.
AEPD konstaterade att Loro Parque brutit mot artikel 9.1 GDPR som uttryckligen förbjuder behandling av biometriska uppgifter i syfte att identifiera en fysisk person på ett unikt sätt. AEPD konstaterade att undantagen i artikel 9.2 GDPR inte var tillämpliga och att Loro Parque inte kunde åberopa avtal eller samtycke från de registrerade. Enligt AEPD kunde Loro Parque inte heller, i enlighet med principen om ansvarsskyldighet av artikel 5.2 GDPR, visa att de hade behandlat de biometriska uppgifterna på ett lagligt sätt.
Slutligen konstaterade AEPD att Loro Parque inte hade genomfört en konsekvensbedömning avseende dataskydd och att de inte hade beaktat riskerna med behandlingen av biometriska uppgifter. Dessutom hade de registrerade inte fått information om användningen av systemet varför de inte rimligen kunde förvänta sig att deras uppgifter skulle behandlas på det sättet.
AEPD ansåg att det rörde sig om en allvarlig överträdelse, eftersom det handlade om behandling av känsliga personuppgifter, inklusive uppgifter om minderåriga, och utdömde en sanktionsavgift på 250 000 euro. AEPD förbjöd även Loro Parque att fortsätta använda fingeravtrycksbaserade identifieringssystem för tillträde till sina djurparker, eftersom metoden bedömdes oproportionerlig jämfört med andra möjliga tillträdeskontroller.