6.000 € de multa por publicar una sentencia sin censurar datos personales
La Agencia Española de Protección de Datos ha sancionado con 6.000 euros a una entidad deportiva por carecer de delegado de protección de datos y por publicar íntegramente en su web una sentencia y una resolución administrativa sin censurar los personales de las partes implicadas.
El caso
Un usuario puso en conocimiento de la autoridad de control que la Federación Andaluza de Esgrima tenía publicada en su página web varios documentos del Tribunal Administrativo del Deporte de Andalucía en materia de un proceso electoral. En concreto, según el primer reclamante, allí constaba una resolución que contenía sus datos personales que, aunque tachados, eran visibles al trasluz.
En la misma línea, un segundo afectado alertó que la mencionada federación también tenía publicada en su web una sentencia íntegra dictada por la Sala de lo Contencioso Administrativo del Tribunal Superior de Justicia de Andalucía en la que figuraban la totalidad de informacion de los documentos, conteniendo su nombre y apellidos sin haber prestado consentimiento.
Además, ambos reclamantes alertaron a la AEPD que la entidad deportiva no disponía de un delegado de protección de datos.
6.000 euros de multa
En primer término, la AEPD reconoce que, en el presente supuesto, la entidad reclamada no ha acreditado que concurra “interés público” para exponer en su web la sentencia y resolución administrativa conteniendo los datos de los afectados y su información asociada.
Además, en el caso de que existiera una habilitación para tal publicación, la autoridad de control advierte que los documentos expuestos “no deberían permanecer más que un tiempo concreto determinado para la finalidad por la que se exponen, en aplicación del principio de limitación del plazo de conservación” que establece que los datos personales serán mantenidos de forma que se permita identificar a los interesados “durante no más tiempo del necesario para los fines del tratamiento de los datos personales”.
«La entidad no ha dado ninguna explicación sobre la designación y nombramiento de un delegado de protección de datos».
La federación tendría que haber anonimizado las resoluciones, “de modo que no fuera posible identificar o hacer identificable a los afectados, ni directa ni indirectamente”, recuerda la Agencia.
Por lo expuesto, la institución dirigida por Mar España Martí estima adecuado sancionar a la federación con una multa de 5.000 euros por la infracción del art. 6.1 del RGPD.
En segundo lugar, la reciente resolución llama la atención que la reclamada expide licencias deportivas para menores y ofrece otra informacion en su web sobre competiciones y edades desde la que se puede practicar la esgrima. Sin embargo, la entidad no ha dado “ninguna explicación sobre la designación y nombramiento” de un delegado de protección de datos. En concreto, cabe recordar que tal obligación viene impuesta por lo previsto en el art. 34 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Lo anterior supone que la AEPD entienda oportuno sancionar a la organización deportiva con una multa de 1.000 euros por la infracción del art. 37 del RGPD.
Así, para imponer la sanción global de 6.000 euros, la autoridad de control ha tenido en cuenta, entre otras circunstancias que revelan una mayor antijuridicidad y/o culpabilidad en la conducta de la reclamada, la vinculación de la actividad de la infractora con la realización de tratamientos de datos personales. Es decir, la Agencia no interpreta como inhabitual o “extraño” el tratamiento de datos personales por la actividad de la reclamada en asuntos como “licencias” o “disciplina deportiva”.