Zabía-Abogados

La AEPD impone una sanción de 10.000 euros a una plataforma de juego por solicitar a un antiguo usuario su DNI, su situación laboral, su sueldo o su última nómina con la finalidad de reactivar su cuenta

La autoridad de control ha impuesto una sanción de 10.000 euros a una compañía por la infracción de los artículos 5.1.c) del RGPD (principio de minimización de datos) y 13 del mismo cuerpo normativo (información que debe facilitarse cuando los datos se obtienen del interesado), reducida a 6.000 euros al hacer uso la compañía de las dos reducciones previstas reconociendo su responsabilidad.

En este caso se interpuso la reclamación debido a que para volver a activar la cuenta que había sido suspendida por el portal de juego, la compañía solicitó al interesado “documentación acreditativa de su identidad, de su domicilio y de su situación laboral y financiera” (entre otros, su sueldo bruto anual, la confirmación de si jugaba con fondos propios o cedidos por terceros o su última nómina). A pesar de facilitar esta información, la cuenta no fue activada.

Admitida a trámite la reclamación, la compañía presentó escrito de respuesta en el que afirmaba que la información se solicitó porque habían existido indicios de que el usuario era jugador profesional, lo que estaba prohibido en las condiciones de uso de la página, siendo esta la medida que se implementó para “abordar las violaciones de los términos y condiciones establecidos que rigen dicha plataforma de juego”. Finalmente, la entidad concluyó que sí se había producido un incumplimiento de dichos términos, suspendiendo definitivamente la cuenta del afectado sin informarle de ello por ser confidencial esta información.

Declara la AEPD en su resolución sancionadora que según el correo que la compañía remitió al usuario al solicitar esta documentación, la petición de información adicional se fundamentaba en su política de “juego más seguro”. No obstante, en las alegaciones de la entidad esta indicó como se ha expuesto que la documentación se solicitó habida cuenta de una serie de conductas sospechosas.

Habida cuenta de ello, afirma la autoridad de control que no ha quedado clara la finalidad para la que se iban a tratar estos datos ni si eran necesarios “para identificar las conductas a que se refiere EUROBOX a fin de conseguir un juego más seguro o que el comportamiento de la parte reclamante sea indicativo de un jugador profesional”.

Adicionalmente se indica que en la política de privacidad no se informaba de que estos datos pudieran ser tratados en ningún caso. En este sentido, se incluía una referencia a que la entidad podría tratar cualquier información intercambiada con el usuario, lo que según la autoridad de control sería como permitir que la compañía exigiera cualquier dato. Asimismo, en el contrato formalizado con el usuario tampoco se contemplaba que en caso de incumplimiento del mismo se pudieran recabar estos datos, sino que únicamente se hacía referencia a una posible suspensión del servicio.

Por todo lo anterior, se concluye por la AEPD que la entidad reclamada no puede recabar de sus usuarios estos datos por cuanto ni se ha justificado para qué se necesitan ni tampoco parecen relevantes para el fin para el que los piden no siendo en consecuencia necesarios ni pertinentes. Con motivo de la infracción del artículo 5.1.c) del RGPD se impuso la sanción de 8.000 euros teniendo en consideración como agravantes entre otras que el tratamiento afectaba a datos financieros (”que merecen una especial protección”).

Respecto a la información que debe aportarse, se expone que no consta que la entidad hubiera facilitado la misma en el momento de obtener sus datos por cuanto en el correo remitido solicitando esta información únicamente se indicaba que se requería con base en su política de juego más seguro. Sin embargo, nada se indicó sobre la base jurídica que legitimaba el tratamiento o sobre su finalidad que tampoco queda clara puesto que si los datos se recabaron en cumplimiento de la citada política “no se dio información [en relación con] qué cláusula de sus Términos y Condiciones de Contratación se refiere a esta circunstancia” y si se solicitaron por la existencia de sospechas en su comportamiento “tampoco se citó la base legal que determinara la licitud del tratamiento”. Habida cuenta de ello se impone una sanción de 2.000 euros por infringir el artículo 13 del RGPD.

Puede acceder a la resolución de la autoridad de control aquí.

Share the Post:

Política de Cookies

En esta web utilizamos cookies de terceros para mejorar nuestros servicios y su experiencia de navegación, para permitirle una navegación más rápida y sencilla.

Si está de acuerdo, pulse ACEPTAR. Si no está de acuerdo, pulse RECHAZAR.

Ir al contenido