La sanción la ha impuesto la Agencia Española de Protección de datos (AEPD) por solicitar a los usuarios de actividades programadas datos de salud a través de una App para reservar determinadas clases, ya que se vulneraban dos artículos del Reglamento General de Protección de Datos (RGPD) relacionados con el principio de minimización y consentimiento.
El problema surgió cuando una usuaria del polideportivo de San Benito ubicado en San Cristóbal de la Laguna y dependiente del Ayuntamiento, Gymoogimnasios S.L, presentó una reclamación ante la AEPD, al considerar que se le estaban solicitando más datos de los que correspondían a una aplicación para la reserva de las clases y que obligaba, al darse de alta, a aceptar el párrafo de consentimiento de uso de datos confidenciales sobre su salud, sin opción de no consentir. La cláusula obligatoria “Por la presente doy mi consentimiento para el uso de mis datos confidenciales relativos a la salud para los fines de prestación del servicio” era forzosa y si no aceptaba, le impedirían el acceso a las instalaciones, según le indicaron en el polideportivo.
La usuaria consideró que se inclumplía la Ley en materia de Protección de datos y presentó una hoja de reclamaciones en la Dirección General de Consumo de la Consejería de Economía, Industria, Comercio y Conocimiento del Gobierno de Canarias.
En declaraciones del gimnasio ante la AEPD indicaron:
“Que la finalidad del tratamiento de datos de salud era realizar un correcto feedback al usuario sobre su actividad física ya que las calorías o el peso relativo a manejar en máquinas dependen de datos como sexo, edad, peso y complexión”, a lo que la Agencia Española de Protección de datos respondió que se había vulnerado el artículo 5 del Reglamento General de Protección de Datos (RGPD) al establecer como condición para el acceso y uso de las instalaciones la cesión de datos de carácter personal, entre ellos los relativos a la salud. Este artículo habla en su apartado c) del principio de minimización de datos, indicando que los datos han de ser “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”.
Acerca del consentimiento, la AEPD ha destacado que para el tratamiento de este tipo de datos debe darse una declaración expresa por parte del interesado, y por ello, los hechos probados sobre el tratamiento de los datos personales son constitutivos de una infracción imputable al gimnasio por vulneración del artículo 7 del RGPD al no posibilitar al usuario realizar un consentimiento libre del tratamiento de los datos personales.
Así que finalmente la multa ha sido de 10.000€, de los que 5.000€ corresponde a la vulneración del artículo 5.1.c y los otros 5.000 por infringir el artículo 7.
La multa es recurrible ante la Sala de lo Contencioso de la Audiencia Nacional.
Fuente: Confilegal