Infracción “muy grave” de la Ley de Protección de datos acarrea a Loro Parque una multa de 250.000 euros

La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 250.000 euros contra Grupo Loro Parque por exigir las huellas dactilares para poder acceder a sus parques temáticos.

En una resolución con fecha de firma del 30 de julio de 2025, la agencia estatal ha desestimado el recurso de la empresa, haciendo efectiva la sanción dictaminada en octubre de 2024 por infracción “muy grave” del Reglamento Europeo de Protección de Datos (RGPD) y de la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Loro Parque, que tiene posibilidad de presentar recurso contencioso-administrativo, no solo deberá abonar la multa, sino que tiene un plazo de 30 días para eliminar el proceso de control de entrada a sus recintos. En este sentido, la compañía ha hecho los deberes desde septiembre de 2024, cuando cambió el sistema por una pulsera personalizada e intransferible.

Las denuncias

La AEPD ha tomado partido después de que tres usuarios presentasen reclamaciones a finales de 2022. Los clientes protestaron porque la empresa exigía que los usuarios que se acogiesen a la oferta ‘Twin Ticket’ —que da acceso conjunto a Loro Parque (zoológico) y Siam Park (parque acuático), ubicados en Puerto de la Cruz y Adeje (Tenerife) en un período de seis meses— debían confirmar su identidad con su huella dactilar en la entrada de los recintos, incluidos los menores de edad.

El procedimiento era el siguiente tanto para la primera como para la segunda visita:

• El usuario llegaba al parque y presentaba su entrada, cuyo código QR era escaneado (distinto para cada entrada, generado con el número de operación, numero de entrada y localizador de la compra).
• Si detectaba que era una entrada ‘Twin Ticket’, se le pedía presentar la huella dactilar.

Esta exigencia se realizaba sin que en el aviso legal de la página web de Loro Parque se incluyese “información sobre el empleo de técnicas de biometría para el acceso a los parques”, según constató la agencia.

La empresa argumentaba que se utilizaba “control de tecnología biométrica basado en la huella dactilar, con objeto de que sea la misma persona que accede al primer parque, la que accede al segundo”, pues este tipo de entradas conjuntas conllevan un descuento.

En sus alegaciones, además, la empresa defendió que solo utilizan una “representación matemática de la huella digital, que no sirve para identificar al cliente, porque no aporta dato personal alguno del mismo” y consideraba la sanción “desproporcionada” al considerar que no se trataba de datos personales. Asimismo, remarcaba que “los datos de la huella se conservarán únicamente mientras la tarjeta o entrada en cuestión esté vigente, y se destruirán de forma inmediata cuando dejen de estarlo”.

Esta defensa ha sido descartada por la AEPD, considerando que los datos biométricos recogidos, interpretados por un software, sí constituyen un “identificador único de la persona” y son, por tanto, de carácter personal. Además, remarca que “se ha acreditado que en realidad se produce un uso mezclado de datos”: los datos que aporta el cliente durante la compra (contenidos en el código QR de la entrada) y la plantilla biométrica. Añade, asimismo, que Loro Parque “es considerada, a efectos de la normativa de protección de datos, la responsable del tratamiento de los datos que se recogen para la venta de entradas y del sistema elegido para ello y, por lo tanto, también es responsable de la infracción