La AEPD multa con 9600 euros a los organizadores de la San Silvestre 2021 de Madrid
Last Lap, la organizadora de la San Silvestre 2021, reconoció la responsabilidad de los hechos y se aprestó a realizar un pago voluntario. Foto: Portal Vallecas.

La AEPD multa con 9600 euros a los organizadores de la San Silvestre 2021 de Madrid

|
04/8/2022 06:48
|
Actualizado: 03/8/2022 23:56
|

La Agencia Española de Protección de Datos (AEPD) ha sancionado con 9.600 euros a Last Lap, la empresa organizadora de la San Silvestre de 2021, por solicitar a los participantes, para poder inscribirse, el pasaporte COVID o, en su defecto, una prueba PCR o test de antígenos realizado en las 72 horas previas a la carrera, datos que se subirían a la web de la carrera.

Las dos infracciones que suponen un total de 16.000 euros sufrieron una reducción importante a 9.600 porque Last Lap, organizadora de este evento reconoció la responsabilidad de los hechos y se aprestó a realizar un pago voluntario, con lo cual la AEPD le hizo la reducción correspondiente acumulable en este tipo de casos. 

De las dos infracciones, una supone que se infringe el artículo 9.2 del Reglamento General de Protección de Datos (RGPD) que define las excepciones de prohibición de tratamiento de datos especialmente protegidos, puesto que el tratamiento realizado no se encuentra entre ninguno de los supuestos permitidos señalados como excepción.

En la resolución se indica que la salvaguarda de los intereses esenciales de salud pública corresponde a las autoridades sanitarias de las distintas Autonomías, quienes podrán adoptar las medidas necesarias para salvaguardar dichos intereses en situaciones de emergencia sanitaria de salud pública, tal como expone el Informe Jurídico 0017/2020 de la propia AEPD.

Para la Agencia no es excusa que en las bases de participación de la carrera se hubiera incluido esa petición de subir el pasaporte Covid y las pruebas PCR a la web de la carrera.

En este caso se ha infringido infringe el artículo 6 del RGPD, dado que no existe base de legitimación que justifique dicho tratamiento.

Necesidad de evaluación de impacto

José Leandro Núñez, socio de Audens y miembro de la Junta Directiva de ENATIC, considera que la petición de que los corredores suban a la web del evento el pasaporte Covid es bastante agresiva, y que la entidad organizadora de la San Silvestre no estaría legitimada para ello.

“Realmente el principal problema que veo es que no hay una habilitación legal para hacer dicho tratamiento de datos. Las aerolíneas podían solicitar que se les mostrase el pasaporte, los bares en algunas comunidades autónomas, también, pero en este caso los organizadores de este evento deportivo no tenían autorización para hacerlo, y menos para almacenarlo en su web”.

A juicio de este jurista, “al meterse en esta actividad sin tener la habilitación legal incumplen la normativa del RGPD. No basta con que esa exigencia formara parte del contrato de la competición para los corredores, pues excede lo necesario para participar en la prueba”.

En este caso, con la sanción que se impone de 16.000 euros, reducida luego a 9.600 euros por pronto pago, «el regulador parece que vio como atenuantes que no había mal fondo, lo que sucede es que si hay una vulneración de la normativa de ahí que establezca las cuantías concretas que se especifican en el procedimiento sancionador”, afirma Núñez

Núñez recuerda que “basta para que haya una denuncia que reciba la AEPD por este tipo de cuestiones para que inste el proceso sancionador una vez escuchadas las alegaciones de la entidad afectada”.

En este caso, con la sanción que se impone de 16.000 euros, reducida luego a 9.600 euros por pronto pago, «el regulador parece que vio como atenuantes que no había mal fondo, lo que sucede es que si hay una vulneración de la normativa de ahí que establezca las cuantías concretas que se especifican en el procedimiento sancionador”.

El abogado señala que “desgraciadamente, el asunto no se analiza a fondo en dicha resolución de la AEPD, pues como podemos ver a través de las catorce páginas de la citada resolución, la empresa admitió el error y pagó. De ahí que no haya un análisis jurídico de fondo que señale más exhaustivamente cuáles eran los errores cometidos, en este caso”.

Advierte que “cuando se toman medidas de este tipo, tan intrusivas, relacionadas con el Covid-19, siempre es bueno contar con la opinión previa de expertos en protección de datos, o haber realizado de forma previa una evaluación de impacto para saber qué repercusión podrían tener este tipo de medidas”.

En la propia resolución se indica que una compañía como Last Lap, una de las entidades más conocidas en la organización de eventos deportivos en nuestro país, confiesa que no tenia la figura del Delegado de Protección de Datos (DPO) porque realmente no estaba obligado a tenerlo.

“Pero tomar una decisión como ésta, de requerir a la gente que te mande el pasaporte Covid y lo suba a su ficha de inscripción a través de la web, o una pCR de los últimos días, estás afectando de forma clara a sus derechos. Tengamos en cuenta que, hasta la fecha, y como mucho, basta con enseñarlo”.

Este jurista recuerda que ”el Tribunal Supremo, cuando autorizó a Galicia el tratamiento de este tipo de datos en bares y restaurantes, entendió que era posible porque solo se requería una exhibición de esos datos, sin almacenarla posteriormente”.

seguridad
José Leandro Núñez es socio de Audens y miembro de la Junta Directiva de ENATIC.

Petición del pasaporte Covid sin legitimar

Eduard Blasi, abogado y profesor de postgrado sobre Protección de Datos de la Universidad Oberta de Catalunya, considera que en esta sanción de la AEPD “se exigió el pasaporte Covid (o en su defecto PCR o antígenos como máximo 72h previas a la carrera) como requisito sine qua non para participar en la carrera».

“En determinados momentos de la pandemia podría haber quedado legitimado, pero en octubre 2021, en un momento donde ya se habían relajado las medidas sanitarias adoptadas, no quedaba legitimado”, comenta.

“ El aval de esta medida por parte de las Autoridades Sanitarias era fundamental y en aquel momento de la pandemia no existía”, advierte

También explica que “una entidad u organización no puede adoptar medidas particulares sobre asuntos de competencia pública, sin seguir las indicaciones de las Autoridades Competentes”.

Blasi indica que “tal como se desprende de la resolución el Pasaporte Covid debía ser subido a la plataforma, no era suficiente mostrarlo in situ. Ello conllevó un tratamiento mayor por parte de la entidad».

Para este jurista, “por más que el tratamiento fuera ilícito, en el caso de que hubiera solicitado exhibir solamente el pasaporte Covid o la prueba la empresa el tratamiento habría sido menor y el impacto probablemente también”.

Ese experto subraya que “la AEPD sanciona por el tratamiento de categorías especiales de datos (datos de salud) sin contar con ninguna de las excepciones normativas que permiten su tratamiento”.

Desde su punto de vista “antes de adoptar una medida de estas características es imprescindible verificar si las Autoridades sanitarias han establecido una medida de estas características que permita a la empresa tratar este dato (recogerlo y conservarlo para estos fines).

Eduard Blasi es abogado y profesor de postgrado sobre Protección de Datos de la Universidad Oberta de Catalunya.

Otra cuestión que destaca es que “la desescalada de medidas en torno al Covid, llevadas a cabo por empresas y organizaciones tras la mejoría de la situación sanitaria, es fundamental”.

A este respecto considera que “puede que vengan más procedimientos sancionadores”.

A su juicio “los tratamientos (especialmente los que comporten tratamientos de datos sensibles) deben revisarse periódicamente, especialmente aquellos derivados de una situación transitoria como una pandemia, y donde se conoce de antemano la caducidad o temporalidad de la medida”.

Noticias Relacionadas:
Lo último en Áreas y sectores