Proteger los datos de los socios de su gimnasio en un mundo digital

¿Le suena vagamente el término "tecnologías biométricas"? Si es así, es posible que se imagine la sociedad distópica de la película Blade Runner, en la que se utilizan escáneres de retina para medir la empatía de una persona, o el sistema de reconocimiento facial del USS Enterprise en Star Trek que permite a los miembros de la tripulación acceder a las zonas restringidas de la nave.

Pero la tecnología biométrica no es ciencia ficción. Hoy en día, los escáneres faciales desbloquean los iPhones, los escáneres de retina acceden a las cuentas bancarias y los escáneres corporales son un componente integral de la seguridad en los aeropuertos.

Una encuesta encargada por Spiceworks, una red de profesionales de la tecnología de la información, reveló que el 62% de las empresas utilizan actualmente tecnologías de autenticación biométrica y que otro 24% tiene previsto implantarlas de aquí a 2020.

Por eso, no es de extrañar que los clubes de la IHRSA hayan empezado a implantar este tipo de tecnología. Los escáneres de huellas dactilares y de reconocimiento facial recogen los datos de los socios; los escáneres biométricos hacen un seguimiento de las horas de trabajo de los empleados; y los escáneres corporales generan imágenes en 3D para determinar la pérdida de peso de un cliente y ayudarle a alcanzar sus objetivos de musculación.

Aunque estos equipos y las funciones que facilitan son valiosos, es importante tener en cuenta que varios estados han promulgado leyes para regular el uso de los datos que se generan y garantizar su protección. Entender estas leyes es crucial para desarrollar procedimientos que protejan a su club de posibles litigios.

Definición de la información biométrica

Por el momento, las leyes estatales son uniformes al definir los datos biométricos como la información producida por los identificadores biométricos, es decir, las huellas dactilares, los escaneos de la retina, el iris y la voz, y los escaneos de la cara y la geografía de las manos de una persona. Todos son únicos para cada persona, lo que hace que la capacidad de reunirlos sea atractiva y, potencialmente, lucrativa para las empresas.

Aunque las numerosas aplicaciones y beneficios son evidentes, también hay que tener en cuenta los posibles riesgos y responsabilidades.

El carácter muy específico y personal de estos datos los hace especialmente sensibles. Por ejemplo, si se pierde la tarjeta de la Seguridad Social, el gobierno puede emitir una nueva. Pero no existe un remedio equivalente para la pérdida de información biométrica, lo que hace que su apropiación indebida sea un asunto mucho más grave y, posiblemente, peligroso. Además, dado que gran parte de estos datos son visibles y de fácil acceso, hacen que las personas sean susceptibles de ser objeto de fraude de un modo que los identificadores tradicionales no permiten.

"Las contraseñas biométricas de un usuario están a la vista del público cada vez que sale de casa", dice Jane Bambauer, profesora asociada de Derecho en la Facultad de Derecho James E. Rogers de la Universidad de Arizona, en Tucson.

Esta vulnerabilidad hace recaer una responsabilidad considerable en los operadores de clubes que deciden recopilar y utilizar información biométrica de empleados y clientes, obligándoles a establecer procedimientos para salvaguardarla adecuadamente.

El problema radica en el consentimiento informado

En la actualidad, sólo Illinois, Texas y Washington tienen leyes que regulan el uso de estos datos. La más extensa es la Ley de Privacidad de la Información Biométrica de Illinois (BIPA), que entró en vigor en 2008.

Si los clubes de Illinois no tienen cuidado, podrían infringir la BIPA por el simple hecho de exigir a los empleados que escaneen sus huellas dactilares para poder fichar en el trabajo. De hecho, ya ha ocurrido.

En una situación, un empleado de un club presentó una demanda colectiva contra su empleador por no haber obtenido el consentimiento del empleado antes de recoger sus datos dactilares.

En un caso similar, pero distinto, un socio presentó una demanda colectiva contra un club porque no confirmaba el consentimiento informado de sus socios antes de pedirles que presentaran sus datos dactiloscópicos durante las sesiones de entrenamiento personal; y no proporcionaba a los socios una declaración de política que describiera los procedimientos de información biométrica del negocio y el calendario de conservación.

En ambos casos, los clubes actuaban de buena fe, pero, técnicamente, no cumplían la ley.

Sin embargo, en una decisión que aborda esta laguna legal, un tribunal de apelación de Illinois falló a favor de Six Flags después de que un cliente alegara que había violado la BIPA al no informar a su hijo de que estaba recogiendo datos biométricos cuando escaneó sus huellas dactilares para comprar un pase de temporada. El tribunal dictaminó que "un demandante que alega sólo una violación técnica de la ley sin alegar algún perjuicio o efecto adverso no es una persona agraviada".

Las leyes de Texas y Washington que regulan el uso comercial de la información biométrica no son tan estrictas, pero contienen requisitos similares de consentimiento y notificación.

Se están preparando más leyes

Otros ocho estados han propuesto una legislación similar, que aún no se ha convertido en ley. Sin embargo, estos problemas no van a desaparecer, por lo que los clubes deben estar preparados para afrontarlos.

Afortunadamente, existen directrices disponibles para las empresas que recogen información biométrica que se ajustan a la legislación actual y también se anticipan a la futura. Las medidas recomendadas se dividen en dos categorías principales: desarrollar proactivamente procedimientos de seguridad que mantengan la integridad de la información sensible, y formar al personal para que aplique estos procedimientos con conocimiento de causa y los explique a los clientes de forma eficaz.

En conclusión, las tecnologías biométricas pueden permitir a los clubes mejorar la experiencia de los empleados y los clientes. Estar al tanto de las leyes actuales -y desarrollar procedimientos que se anticipen a las tendencias futuras- es esencial para todo club de la IHRSA que espere operar con éxito en el siglo XXI.