Un gimnasio y club deportivo cordobés ha recibido una sanción por valor de 4.000 euros por parte de la Agencia Española de Protección de Datos (AEPD) por haber agregado a una antigua usuaria en un grupo de WhatsApp que había creado, sin su consentimiento. En este post de Conversia analizamos el procedimiento sancionador publicado por parte de la autoridad de control.

Infracción de hasta cuatro artículos del RGPD

La AEPD ha multado con 4.000 euros a un club deportivo y gimnasio de Córdoba por haber infringido varios artículos del Reglamento General de Protección de Datos (RGPD) después de agregar a una antigua usuaria de las instalaciones deportivas en un grupo de WhatsApp, sin su consentimiento.

La persona afectada interpuso una reclamación ante la Agencia Española de Protección de Datos en la que denunciaba que el club deportivo había agregado su número de teléfono a un grupo de WhatsApp sin requerirle su consentimiento, destacando que hacía 10 años que no tenía ninguna relación con dicho club, del que había sido usuaria una década atrás.

La Agencia inició un procedimiento sancionador contra el club deportivo, en el cual decidió imponer cuatro multas por valor de 1.000 euros cada una. La primera, por infracción del artículo 6 del RGPD, es decir, por la licitud del tratamiento, que establece que el tratamiento de los datos personales solo será lícito si se cumple al menos una de las condiciones que estipula dicho artículo, entre las cuales figura contar con el consentimiento del interesado o si el tratamiento de los datos es necesario para proteger los intereses del interesado o el interés público, entre otras. Ninguna de ellas se adecua con el caso de la demandante.

La segunda, por infracción del artículo 5.1.e) del RGPD, que establece que los datos personales no se mantendrán más tiempo del que sea necesario para los fines del tratamiento para los que han sido recabados aquellos datos personales. Por lo tanto, en este caso, deberían haber sido eliminados poco después que la usuaria se hubiera dado de baja de las actividades del club deportivo.

La tercera, por infracción del artículo 32.1.b), es decir, sobre la seguridad del tratamiento: la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. Finalmente, una última sanción por vulnerar el artículo 32.1.d), también de seguridad del tratamiento, por no garantizar un nivel de seguridad adecuado ante un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. Estos dos se ven infringidos al agregar el número a un grupo en el que el resto de usuarios (terceros) pueden visualizarlo sin ningún tipo de impedimento.

Puedes consultar la resolución publicada por la AEPD desde aquí.

Puedes leer más noticias sobre protección de datos en este blog de Conversia.