En 2025, uno de los destinos turísticos más emblemáticos de Tenerife, Loro Parque, ha sido multado con 250.000 euros por la Agencia Española de Protección de Datos (AEPD) debido a la gestión ilegal de datos biométricos de sus visitantes. Esta sanción marca un precedente importante en la regulación y control del tratamiento de datos personales sensibles bajo el Reglamento General de Protección de Datos (RGPD), específicamente en lo que respecta a los datos biométricos como las huellas dactilares.
El origen de la sanción: uso de huellas sin información ni alternativas
El procedimiento sancionador se inició tras reclamaciones presentadas en 2022 por varios clientes que denunciaron que, para acceder al bono “Twin Ticket” —una entrada combinada que permite visitar Loro Parque y Siam Park en diferentes fechas— se les exigió registrar su huella digital y validar su acceso mediante un lector biométrico.
Los denunciantes alegaron que no se les informó previamente sobre este tratamiento de datos, y que no se les ofreció ninguna alternativa para validar su entrada sin necesidad de proporcionar su huella.
Loro Parque defendió que no almacenaba imágenes de las huellas, sino solo plantillas biométricas cifradas que, según alegaban, no permitían identificar directamente a la persona y se eliminaban al caducar el ticket.
La AEPD desestimó los argumentos de Loro Parque y estableció que este sistema sí constituye un tratamiento de datos biométricos personales, tal como define el artículo 4.14 del RGPD.
Aunque se usara una plantilla matemática y cifrada, esta permitía:
- La identificación o comprobación inequívoca de la persona que accede a los dos parques.
- La vinculación de esa información biométrica con un individuo específico, funcionando como un identificador único dentro del sistema.
- Por lo tanto, este tratamiento de datos se encuentra sujeto a las estrictas condiciones del artículo 9 del RGPD, que prohíbe el procesamiento de datos biométricos salvo excepciones concretas que Loro Parque no pudo demostrar.
Además, la ausencia de alternativas para el usuario (no poder optar por métodos no biométricos) invalidó el consentimiento, que debe ser libre y explícito.
Multa y medidas correctivas: La Agencia impuso la multa de 250.000 euros por infracción muy grave y ordenó a Loro Parque adoptar medidas correctivas para adecuar sus sistemas de control y acceso a la normativa de protección de datos.
Se señaló que la proporcionalidad del sistema era cuestionable, ya que no se justificó la inexistencia de métodos menos invasivos para verificar la identidad de los visitantes.
Este caso refuerza la importancia de que las empresas:
- Cumplan con la obligación de informar claramente a los usuarios sobre el tratamiento de datos biométricos.
- Ofrezcan opciones alternativas no biométricas cuando se pida consentimiento para el acceso o servicios.
- Realicen evaluaciones de impacto en protección de datos (EIPD) antes de implantar sistemas que manejen datos sensibles.
- Civen especial atención a la seguridad, privacidad y proporcionalidad del método escogido para evitar sanciones y riesgos legales.
El RGPD establece que los datos biométricos son especialmente protegidos por su sensibilidad y capacidad para identificar a una persona de manera única, por lo que requieren un cumplimiento riguroso y transparente.
La sanción a Loro Parque pone sobre la mesa un aviso claro para el sector turístico, comercial y cualquier empresa que utilice tecnologías biométricas para acceso o identificación: el cumplimiento normativo es exigente y no admite atajos.
La protección de los derechos fundamentales a la privacidad y a la protección de datos personales está en el centro del debate y el avance tecnológico debe ir acompañado de ética y legalidad para no incurrir en infracciones graves.
