Recientemente, la Agencia Española de Protección de Datos ha impuesto una sanción a una empresa por el incorrecto tratamiento de datos de menores en las autorizaciones para asistir a conciertos y eventos. EXP202310840
Resolución sobre la AEPD en materia de autorizaciones para que menores asistan a conciertos
La AEPD ha concluido un procedimiento sancionador contra la entidad 20 AÑOS DE MÚSICA A.I.E. por infracciones relacionadas con la protección de datos personales, específicamente en los datos recabados para que los menores asistan a conciertos.
El 23 de mayo de 2024, la Directora de la AEPD acordó iniciar un procedimiento sancionador contra 20 AÑOS DE MÚSICA A.I.E.. En la reclamación se alegó que la entidad solicitaba autorizaciones y copias del DNI de los padres o tutores para que los menores pudieran asistir a conciertos, sin informar adecuadamente sobre la protección de datos. Además, no consta que cuenten con un Delegado de Protección de Datos.
La empresa respondió indicando que su Política de Privacidad cumple con el RGPD, aunque reconoció un error en la carga de la cláusula informativa en su página web.
Pronunciamiento de la Agencia
Los hechos podrían constituir una infracción del artículo 5.1.c) del RGPD (principio de minimización de datos) y del artículo 13 del RGPD (información al interesado).
Artículo 5.1 c) del RGPD
Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario. La empresa solicitaba una fotocopia del DNI del progenitor o tutor, lo cual se considera un tratamiento excesivo de datos.
La infracción del artículo 5.1.c) del RGPD podría suponer una multa administrativa de hasta 20.000.000 EUR o el 4% del volumen de negocio total anual global del ejercicio financiero anterior.
Artículo 13 del RGPD
La información básica sobre protección de datos en el “documento de acceso a menores de 16 años” estaba desactualizada y no informaba adecuadamente sobre el tratamiento de los datos obtenidos.
La infracción del artículo 13 del RGPD podría suponer una multa administrativa de hasta 20.000.000 EUR o el 4% del volumen de negocio total anual global del ejercicio financiero anterior.
Propuesta de sanción
Se propone una multa de 3.000 € por la infracción del artículo 5.1.c) del RGPD y 2.000 € por la infracción del artículo 13 del RGPD, sumando un total de 5.000 €.
El 4 de junio de 2024, 20 AÑOS DE MÚSICA A.I.E. procedió al pago de la sanción en la cuantía de 3.000 euros, haciendo uso de las dos reducciones previstas en el Acuerdo de inicio, lo que implica el reconocimiento de la responsabilidad.
Contra esta resolución, que pone fin a la vía administrativa, los interesados podrán interponer recurso contencioso-administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto.
