Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 27 000 euro mot Llefisa S.L för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att AEPD fått ett klagomål mot Llefisa, ett företag som driver ett gym i Santander under varumärket Metropolitan, från en medlem som vägrat att lämna sitt fingeravtryck för att få tillgång till gymmets anläggningar. Gymmet hade infört ett biometriskt system som krävde att medlemmarna använde både ett armband och sitt fingeravtryck för att komma in. Medlemmen hävdade att detta var ett överdrivet och oproportionerligt krav på personuppgifter och att gymmet hotade att avsluta hennes medlemskap om hon inte samtyckte.
AEPD konstaterade att gymmet inte informerat medlemmarna på ett tydligt och fullständigt sätt om syftet, lagligheten och konsekvenserna av att behandla deras biometriska data, vilket innebar en överträdelse av informationsplikten enligt artikel 13 GDPR. Till exempel informerades det inte om uppgifterna skulle vidarebefordras till tredje part, hur länge de skulle lagras eller om de skulle användas för processer som profilering. Enligt AEPD framgick det inte heller om överföringen av uppgifterna var nödvändig för att ingå ett avtal och på vilken rättslig grund denna insamling av särskilt känsliga uppgifter ägde rum.
AEPD konstaterade också att gymmet inte inhämtat ett fritt och uttryckligt samtycke från medlemmarna, utan tvingat dem att acceptera systemet som en förutsättning för att fortsätta vara medlemmar, vilket innebar en överträdelse av villkoren för samtycke enligt artikel 7 GDPR.
AEPD har utfärdat en sanktionsavgift på 27 000 euro mot Llefisa och beordrade också gymmet att upphöra med att behandla medlemmarnas biometriska data och att radera dem från sina register.