Uma cadeia de ginásios espanhola, de nome Supera, impôs o reconhecimento facial como único método de acesso aos seus espaços e, por este motivo, foi multada em quase 100.000 euros.
Em agosto de 2023, foi apresentada uma reclamação à SIDECU, empresa responsável pela cadeia de ginásios Supera.
De acordo com o documento, o Centro Desportivo Supera Entrepuentes de Sevilha estava “a negar o acesso às instalações” devido à “implementação de um novo método de acesso através de um sistema de reconhecimento facial”.
Na perspetiva do queixoso, este método de acesso era “invasivo em relação à sua privacidade” e “excessivo para o acesso a esse estabelecimento”.
Conforme a denúncia, até à implementação do sistema de reconhecimento facial, que não tinha sido notificado aos sócios e era de cumprimento obrigatório, era possível entrar no ginásio por via de um cartão.
A esta reclamação juntaram-se mais duas e, em setembro de 2023, a FACUA, organização não-governamental espanhola que visa a proteção dos direitos do consumidor, denunciou a SIDECU.
Rede de ginásios violou RGPD por exigir reconhecimento facial
Agora, após a denúncia da FACUA, a Agência Espanhola de Proteção de Dados (em espanhol, AEPD) determinou que a empresa-mãe dos ginásios cometeu três infrações ao Regulamento Geral de Proteção de Dados (RGPD) por tratar ilegalmente os dados biométricos de seus clientes.
As sanções, três multas que originalmente totalizavam 160.000 euros (80.000 + 50.000 + 30.000 euros), acabou por ser reduzida em 40%, uma vez que a empresa proprietária da rede de ginásios reconheceu a infração e efetuou o pagamento voluntário, de 96.000 euros.
A par do pagamento, a SIDECU defendeu-se, alegando que não armazenava imagens dos utilizadores, mas gerava um padrão facial através de um algoritmo patenteado pela empresa que desenvolveu o sistema.
De acordo com a rede de ginásios, uma vez que este “modelo” não era suficiente para identificar os utilizadores nem deduzir as suas características físicas, não violaria o RGPD. Contudo, a verdade é que violava.
Primeiro, o artigo 4.º, n.º 14, do RGPD estabelece que os dados biométricos são “dados pessoais obtidos a partir de um tratamento técnico específico, relativos às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa, tais como imagens faciais ou dados dactiloscópicos”.
Conforme o artigo 9.º do mesmo regulamento, o tratamento de “dados biométricos destinados a identificar de forma unívoca uma pessoa singular” é proibido.
Depois, a rede de ginásios impôs o sistema e não avisou os seus sócios, violando o artigo 13.º do RGPD, com a imposição de um método sem o consentimento das pessoas.
Por fim, a cadeia de ginásios violou o artigo 35.º do RGPD, pois não justificou por que motivo era necessário implementar este sistema, quando existem alternativas menos invasivas e igualmente eficazes.
Segundo a resolução da AEPD, a empresa responsável pelos ginásios não realizou a avaliação de impacto do reconhecimento facial na proteção de dados pessoais (por entender que não estava a tratar dados pessoais) e agiu sem má-fé, mas de forma negligente.