La Agencia Española de Protección de Datos (AEPD) ha sancionado con 10.000 euros a Gymoogimnasios S.L por el uso indebido de la aplicación mywellness.com, de la empresa Technogym, tras vulnerar dos artículos del Reglamento General de Protección de Datos (RGPD) relacionados con el principio de minimización y el consentimiento.
Esta aplicación la usaban para que los clientes pudiesen participar en las actividades programadas por el centro. Tenían que inscribirse como usuarios en el servicio Mywellness Cloud para poder reservar una clase de deporte.
Sin embargo, pedían más datos de la cuenta, como es la información relacionada con la salud. Por ello, una usuaria decidió presentar una reclamación ante la AEPD.
La reclamante manifestó que en el polideportivo de San Benito ubicado en San Cristóbal de la Laguna y dependiente del Ayuntamiento se había implantado un sistema de reserva de acceso a las instalaciones por medio de una aplicación en la que, para darse de alta, obligaba a los usuarios a aceptar el párrafo de consentimiento de uso de datos confidenciales relativos a la salud.
Asimismo, manifestó que mostró su descontento al polideportivo y le advirtieron que, de no hacerlo, no podía pasar a las instalaciones. No daba la opción de “no consentir” en la aplicación.
La cláusula que había que marcar de forma obligatoria era: “Por la presente doy mi consentimiento para el uso de mis datos confidenciales relativos a la salud para los fines de prestación del servicio”.
Por ello, decidió poner una hoja de reclamaciones ante la Dirección General de Consumo de la Consejería de Economía, Industria, Comercio y Conocimiento del Gobierno de Canarias, la cual respondió que el gimnasio podría estar incumpliendo la Ley en materia de Protección de Datos.
La finalidad del tratamiento de datos de salud era «realizar un correcto feedback al usuario», dijo el gimnasio
La AEPD pidió explicaciones al gimnasio para investigar los hechos y éste respondió que la finalidad del tratamiento de datos de salud era realizar un correcto feedback al usuario sobre su actividad física ya que las calorías o el peso relativo a manejar en máquinas dependen de datos como sexo, edad, peso y complexión.
Para la AEPD, estos hechos ofrecían indicios evidentes de que el gimnasio había vulnerado el artículo 5 del Reglamento General de Protección de Datos (RGPD) al establecer como condición para el acceso y uso de las instalaciones la cesión de datos de carácter personal, entre ellos los relativos a la salud y abrir una cuenta en mywellness.com, sin justificación alguna.
El artículo 5 del RGPD se refiere a los principios generales para el tratamiento de datos. En su apartado c) se hace referencia al principio de minimización de datos, indicando que los datos han de ser “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”.
Y, en este caso, han considerado que ha incurrido en la infracción del principio de minimización al considerar que se podría lograr el mismo objetivo mediante otros medios no tan invasivos de la privacidad de los usuarios. Por tanto, el tratamiento de los datos relacionados con la salud resulta excesivo para la finalidad perseguida de darse de alta en el Servicio Mywelness y poder realizar reservas de actividades en el centro.
Respecto al consentimiento
En cuanto al consentimiento, la AEPD ha resaltado que para el tratamiento de este tipo de datos debe darse una declaración expresa por parte del interesado.
Por tanto, los hechos probados sobre el tratamiento de los datos personales son constitutivos de una infracción imputable al gimnasio por vulneración del artículo 7 del RGPD al no posibilitar al usuario realizar un consentimiento libre del tratamiento de los datos personales.
Así las cosas, la AEPD le ha impuesto dos sanciones, una de 5.000 por vulnerar el artículo 5.1.c y otra de otros 5.000 por infringir el 7. Multa que se puede recurrir ante la Sala de lo Contencioso de la Audiencia Nacional.
