Sanción de 10.000 euros por obligar a ceder datos de salud para acceder al gimnasio
Si no se aceptaba la cesión de datos resultaba imposible poder reservar
La Agencia Española de Protección de Datos ha sancionado con 10.000 euros a Gymoogimnasios por obligar a sus clientes a cederles datos personales sobre su salud para poder reservar actividades y acceder a las instalaciones del gimnasio. Para ello, se requería la aceptación de una pestaña sin la que no se podía registrar el usuario en la aplicación a través de la que se hacía la dicha reserva. La AEPD considera que esto constituye un tratamiento innecesario y desproporcionado.
El reclamante era un usuario del polideportivo San Benito de San Cristóbal de la Laguna que advirtió que el sistema de reserva de acceso, a través de una aplicación, requería obligatoriamente prestar el consentimiento para el uso de datos de carácter personal, entre los que se encuentran relativos salud. Concretamente el mensaje era: “Por la presente, doy mi consentimiento para el uso de mis datos confidenciales relativos a la salud para los fines de prestación del servicio. Autorizo el tratamiento de mis datos personales para fines de marketing y publicidad, incluso en colaboración con terceros. Obligatorio”.
A lo largo del procedimiento, que ha durado casi tres años, ha quedado acreditado que la empresa exigía la cesión de datos tanto de manera virtual como en un formulario que había que rellenar si se deseaba hacer la reserva de forma presencial. La empresa alegó que “los datos requeridos en el formulario de la app My Wellness tienen como finalidad realizar un correcto feedback al usuario sobre su actividad física, ya que las calorías, o el peso relativo a manejar en máquinas, entre otros parámetros, dependen de estos datos; sexo, edad, peso, complexión” y confirmó en dos ocasiones, aunque posteriormente indicase lo contrario, que “para poder realizar reservas en My Wellness hay que tener una cuenta de usuario y por lo tanto registrarse en la misma, no se dispone de opción B”.
El usuario puso su queja en conocimiento del Ayuntamiento, responsable del centro y este echó balones fuera apuntando a la empresa a la que había externalizado la gestión. Interpuso igualmente una reclamación ante Consejería del Gobierno autonómico.
La AEPD señala que “la documentación obrante en el expediente ofrece indicios evidentes de que el reclamado vulneró el artículo 5 del RGPD, principios relativos al tratamiento, al establecer como condición para el acceso y uso de las instalaciones la cesión de datos de carácter personal, entre ellos los relativos a la salud y abrir una cuenta en mywellness.com sin justificación alguna. En particular, los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida”. En este caso, “se considera que el reclamado ha incurrido en infracción del principio de minimización por cuanto el tratamiento de los datos confidenciales de salud de los usuarios del gimnasio para el acceso a las diversas actividades con su consiguiente reserva a través del servicio mywelnes, siendo el único modo de acceder a los servicios ofertados” y añade que el mismo objetivo podría lograrse mediante otros medios no tan invasivos de la privacidad de los usuarios.
Igualmente, este organismo considera que se ha vulnerado el artículo 7 del Reglamento, que establece que si “el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento”. Hay que contemplar además que, según el artículo 9, la salud es un dato protegido con la categoría de especial.
Así, la AEPD concluye que no es válido “marcar obligatoriamente la casilla de aceptación en el formulario de solicitud de cuenta Mywellnes para poder hacer reserva de actividades en el centro deportivo sin dar la opción al usuario a otorgar el consentimiento libre e individualizado. En este caso, el consentimiento no es libre pues se trata de un consentimiento vinculado; el carácter libre de ese consentimiento parece más que dudoso por el hecho de que en el supuesto de una denegación del mismo, apartándose del procedimiento normal de marcación obligatoria, conllevaría la imposibilidad de la inscripción”.
Entre las circunstancias agravantes se encuentran la naturaleza y gravedad de la infracción considerada muy grave, el número potencial de personas afectadas y el perjuicio causado al reclamante. Se suma la “grave falta de diligencia”, la categoría de los datos afectados, la vinculación de la actividad del infractor con la realización tratamientos de datos de carácter personal y la falta de adopción de medidas para evitar que se produzcan incidencias similares. Como atenuante, el hecho de que es una empresa pequeña, gravemente afectada por la pandemia. Por ello se impone una sanción de 5.000 euros por la vulneración de cada uno de los artículos del RGPD (5 y 7), que hacen un total de 10.000 euros.
Fuente: www.economistjurist.es