Multan con 4.000 euros a un club deportivo de Córdoba por incluir a una exsocia a un grupo de WhatsApp

Tribunales

El club incluyó en un chat con fines comerciales a una usuaria que dejó de tener relación con el mismo hace diez años

Aplicación WhatsApp en un dispositivo móvil.
Aplicación WhatsApp en un dispositivo móvil. / El Día
E. P. / E. D. C.

30 de octubre 2021 - 14:05

La Agencia Española de Protección de Datos (AEPD) ha impuesto multas por valor de 4.000 euros a un club deportivo de Córdoba por añadir a una exsocia a un grupo de la aplicación WhatsApp "sin requerirle su consentimiento", después de que fue antigua usuaria del centro deportivo objeto de la reclamación, pero que "hace diez años no tiene ninguna relación con el mismo".

Según recoge la resolución sancionadora de la AEPD, se dio traslado de la reclamación al club en marzo de este año para que "procediese a su análisis e informase" a la Agencia en el plazo de un mes de las acciones llevadas a cabo para "adecuarse a los requisitos previstos en la normativa de protección de datos", si bien "no se ha recibido respuesta a dicho requerimiento".

De este modo, en mayo, la Agencia Española de Protección de Datos acordó admitir a trámite la reclamación presentada y en julio acordó iniciar el procedimiento sancionador al reclamado por la presunta infracción del artículo 32 del Reglamento General de Protección de Datos (RGPD); el artículo 5.1.e) del RGPD, y el artículo 6 del RGPD, tipificada en el artículo 83.5 del RGPD.

Días más tarde se notificó al reclamado el acuerdo de inicio de este procedimiento, convirtiéndose dicho acuerdo en propuesta de resolución de conformidad con los artículos 64.2.f) y 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (Lpacap), al no efectuar el reclamado alegaciones en el plazo indicado.

En el presente caso se considera desde la AEPD que "el reclamado ha tratado datos personales de la reclamante (número de teléfono móvil) sin su consentimiento, contraviniendo con ello el artículo 6 del RGPD, y que pese a no ser cliente desde hace más de diez años, aún conservan sus datos personales, vulnerándose el artículo 5.1 e) del RGPD", dado que "en dicho precepto se establece que los datos no podrán conservarse más que el tiempo necesario para la finalidad para la que fueron tomados, y en este caso hace diez años que no es cliente".

Además, apunta que "facilitar el número de teléfono móvil de la reclamante a terceros, al incluirle en un grupo de WhatsApp, supone una vulneración de su confidencialidad, como consecuencia de unas medidas de seguridad del reclamado que no son adecuadas a la normativa de protección de datos, suponiendo tales hechos dos infracciones más al contravenir los artículos 32.1 b) y 32.1 d) del RGPD, respectivamente".

En la resolución, la Agencia indica que "esta infracción puede ser sancionada con multa de 20 millones de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, de acuerdo con el artículo 83.5 del RGPD".

Asimismo, cree que "procede graduar la sanción a imponer de acuerdo con los criterios que establece el artículo 83.2 del RGPD, considerando que se está ante una acción negligente no intencional, pero significativa (artículo 83.2 b), ya que pese a que no es cliente desde hace más de diez años, la entidad reclamada aún conserva sus datos personales".

Contra esta resolución, que pone fin a la vía administrativa, los interesados podrán interponer, potestativamente, recurso de reposición ante la Agencia Española de Protección de Datos o directamente recurso Contencioso (Administrativo ante la Sala de lo Contencioso) Administrativo de la Audiencia Nacional.

También, se señala que se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso Contencioso-Administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, a la vez que deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso Contencioso-Administrativo.

Si la Agencia no tuviese conocimiento de la interposición del recurso Contencioso-Administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, se daría por finalizada la suspensión cautelar.

stats