En estas últimas semanas la Agencia Española de Protección de datos (en adelante, AEPD) ha sancionado a dos clubs deportivos por el incumplimiento de diferentes artículos del Reglamento (UE) 2016/679, (en adelante, RGPD) y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD) con la correspondiente sanción para cada uno de ellos.
La primera sanción corresponde con el procedimiento sancionador PS 00104-2021 donde la reclamante exige la retirada de la publicación de un video en la página web de un club deportivo de esquí donde aparece su hija menor de edad practicando esquí, para lo cual la progenitora no ha dado su consentimiento. Ello, deriva en una investigación por parte de la AEPD donde se acreditan sendos incumplimientos:
Primeramente, en el formulario donde se realiza la inscripción al curso, aparece el mensaje donde el usuario debe aceptar la política de privacidad y el tratamiento de datos de carácter personal, pero en este caso, de manera obligatoria, la casilla aparece premarcada, de tal manera que el usuario no tiene más remedio que aceptarlo. Además, también se tiene que aceptar de manera obligatoria al enviar el formulario, la captación de imágenes durante las actividades deportivas, siendo una finalidad más incluida en el tratamiento principal, estando la casilla también premarcada no dando al usuario más que la posibilidad de “aceptar”. Ello supone la sanción de apercibimiento por la infracción del artículo 6 del RGPD, al impedir que el usuario decida su consentimiento de forma inequívoca, al estar las casillas destinadas para ello previamente marcadas de antemano.
En segundo lugar, el consentimiento facilitado para otras finalidades. Al realizar la inscripción se informa de la utilización por parte del club de las imágenes que se capten durante las actividades deportivas para la visibilidad y promoción de estas, siendo obligatoria su aceptación. Ello implica una infracción del artículo 7 del RGPD, al no posibilitar al usuario ofrecer un consentimiento libre del tratamiento de sus datos persones para otros fines ajenos a los que realmente fueron ofrecidos, esto es, para la obtención de imágenes durante la actividad deportiva. Son reiteradas las ocasiones en las que la AEPD indica que para cualquier otro tratamiento de datos no relacionado con el fin principal, como sería en este caso, la utilización de las imágenes grabadas de los alumnos realizando actividades para publicarlas en sus redes sociales o página web, atenderíamos al artículo 6.1.a) del RGPD, donde se establece que, el tratamiento solo será lícito si el interesado dio su consentimiento y no es este caso.
En tercer lugar, consentimiento de ambos progenitores. Es importante traer aquí a colación el propio auto que resuelve la discrepancia o desacuerdo existente entre ambos progenitores en cuanto a la inscripción de la menor en dicha actividad deportiva donde se autorizaba al padre la facultad de decidir acerca de la difusión o publicación limitada de imágenes de la menor que tengan relación estricta con competiciones en las que la menor participe como federada en dicho club, pero absteniéndose de realizar con imágenes de la niña vídeos promocionales y similares sin el consentimiento de los dos progenitores. Por ello, se constata una infracción del artículo 7 del RGPD, por el tratamiento ilícito de los datos personales, en este caso, las imágenes tomadas de la hija de la reclamante, menor de edad, sin el consentimiento expreso de ambos progenitores, para los fines a los que se dedicaron, esto es, para participar en una acción dirigida a potenciar la participación de niñas y adolescentes en las diferentes actividades deportivas.
Y, por último, en cuarto lugar, la madre solicita un ejercicio de derechos de acceso mediante un correo electrónico en el que no acredita fehacientemente su identidad, no teniendo el club constancia de ningún dato de la madre, ya que como hemos indicado solo contaba con los datos del padre. Por ello, la actuación de la entidad no contradice lo dispuesto en el art 15 del RGPD y no es sancionable.
Al hilo de ello, recordamos que el consentimiento de acuerdo con el art 4.11 del RGPD y art 6 de la LOPDGDD, así como el considerando 32: debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen (…). Y que, por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. Además, el consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos (…).
El club sabiendo que ha cometido varias infracciones en protección de datos y de cara a mejorar las condiciones en las que trataba los datos personales de sus participantes decide mientras transcurre el procedimiento sancionador adoptar las siguientes medidas:
a) Modificar que la casilla de la política de privacidad de la entidad no aparezca previamente marcada y sea el usuario quien lo haga.
b) Modificar todos los formularios de inscripción en las actividades que organiza el club para que las casillas relativas a cada una de las finalidades del tratamiento sean completadas por los usuarios (en especial la de los derechos de imagen).
c) Crear un protocolo para determinar que participantes han cedido sus derechos de imagen y quienes no.
d) Mejorar el procedimiento establecido para la gestión de los ejercicios de derecho.
Pese a la actitud colaboradora y las modificaciones realizadas, a la vista de lo expuesto, la AEPD decide imponer dos sanciones por valor de 5000 euros cada una por dos infracciones del art 7 del RGPD atendiendo a la gravedad y negligencia en las mismas: consentimiento ilícito para otros fines ajenos al principal, así como no contar con el consentimiento expreso por parte de la madre para la utilización de las imágenes de la menor para promocionar las actividades del club. Además, también apercibe a la entidad por impedir al usuario aceptar la política de privacidad al encontrarse previamente marcada dicha casilla (art 6 del RGPD).
La segunda de las sanciones corresponde con el procedimiento sancionador PS 00260/2021 donde en este caso se reclama que el número de teléfono de la denunciante ha sido agregado a un grupo de WhatsApp sin su consentimiento y pese a que hace más de 10 años que no mantiene relación con el club en cuestión.
Como ya hemos aclarado otras veces, actualmente y de acuerdo con el art 4.11 del RGPD se define el consentimiento como una manifestación de voluntad libre, informada, específica e inequívoca puede verse nuestro artículo donde lo analizamos en profundidad. En este sentido, únicamente será aceptado el consentimiento como una clara acción afirmativa, de lo contrario estaríamos ante una infracción del art 6 del RGPD por no cumplirse con las condiciones de licitud de dicho tratamiento.
No solo eso, los principios relativos al tratamiento de datos de carácter personal, que se regulan en el artículo 5 del RGPD establecen que, los datos serán tratados de manera licita, leal, transparente; recogidos con fines determinados, exactos y garantizando una seguridad adecuada sobre estos.
Con respecto a esta última cuestión, la seguridad de los tratamientos que viene regulada en el art 32 del RGPD previene que los tratamientos sean capaces de atendiendo al estado de la técnica y de los costes aplicar unas medidas de seguridad técnicas y organizativas apropiadas para garantizar un nivel de riesgo adecuado, entre ellas destaca, la seudoanonimización, la capacidad de garantizar la confidencialidad, la posibilidad de adecuarse a un código de conducta… etc. El quebrantamiento de dichas medidas, como consecuencia de la falta de diligencia por parte del responsable, implicaría una infracción de carácter grave que en este caso se cuantifica en 4.000 euros.
Así las cosas, encontraríamos varias vulneraciones en la normativa de protección de datos:
- En primer lugar, agregar a un usuario a un grupo de WhatsApp sin su consentimiento contraviniendo el art 6 del RGPD como vemos en otro de nuestros artículos.
- Conservar los datos de este usuario más tiempo del necesario para la finalidad para la que fueron recabados, sabiendo que hace más de 10 años que ha dejado de ser cliente del club, infringiendo el art 5 del RGPD.
- Además, facilitar el número de teléfono a un tercero supone una vulneración de la confidencialidad y por ende de las medidas de seguridad adecuadas que debe mantener el responsable vulnerando el art 32 del RGPD.
Es una práctica muy habitual por parte de los clubs deportivos la publicación en redes sociales de fotos y videos de sus deportistas, así como la utilización de aplicaciones de mensajería instantánea pero ahora deberán tener la diligencia suficiente para no incumplir la ley. Deben distinguir los diferentes fines del tratamiento, solicitar los consentimientos pertinentes, así como conservar la información garantizando una seguridad adecuada sobre los datos de carácter personal.