La autoridad de control ha impuesto una sanción de 2.000 euros a una compañía por la infracción del artículo 7 (condiciones para el consentimiento) del RGPD. En este caso, se interpuso la reclamación debido a que la entidad condicionó el acceso del hijo del reclamante a sus instalaciones “a la firma de un formulario en el que se autoriza […] a captar imágenes de los usuarios con fines publicitarios”. Habida cuenta de ello, el reclamante tuvo que firmar el documento para poder acceder al recinto (este era el titular de la patria potestad, debiendo ser él quien facilitase el consentimiento, por cuanto su hijo era menor de 14 años).
A pesar de haber sido notificado el inicio del procedimiento sancionador y la propuesta de resolución, la entidad reclamada no ha presentado escrito alguno de alegaciones.
La AEPD ha declarado que consta probado que la entidad ha efectuado un tratamiento de datos de carácter personal (en su condición de responsable) al recoger, entre otros, el nombre y apellidos y el número de teléfono, así como la imagen personal. Todo ello con base en el consentimiento expreso otorgado a través del documento firmado por el reclamante.
Tal y como se recoge en la resolución, para que el consentimiento se considere válido debe presentarse de modo diferenciado (en función de las finalidades para las que se recaba), utilizando un lenguaje claro, debiendo ser facilitado libremente (no estando condicionado a otros fines).
La autoridad de control ha declarado que, a pesar de que se hubiera otorgado el consentimiento, es lógico afirmar que el mismo estaba viciado por no concurrir los requisitos de que este sea libre y específico. Así, respecto a la primera cuestión, en el caso que nos ocupa, el afectado no gozaba de verdadera elección, puesto que el acceso a las instalaciones estaba condicionado a la firma del formulario y a la aceptación del tratamiento de la imagen con fines publicitarios. Así, se concluye que “los interesados se ven obligados a dar su consentimiento para tratamientos que no son necesarios para el servicio que ofrece la entidad reclamada”.
Del mismo modo, al existir una única casilla para consentir todos los tratamientos que se indican en el formulario, se afirma por la autoridad de control que este no es específico, no diferenciándose de otros asuntos (como, por ejemplo, la asunción de riesgos al acceder a las instalaciones).
Es por ello por lo que el consentimiento recabado no es válido, infringiendo lo dispuesto en el RGPD. Esta resolución permite apreciar la importancia de elaborar adecuadamente aquellas cláusulas a través de las que se recaben los consentimientos de los titulares de datos (cuando el tratamiento se fundamente en esta base legitimadora). Ello es así, por cuanto no cualquier cláusula, a pesar de que esté firmada por los clientes, es válida, debiendo respetar los requisitos que se recogen en la normativa vigente de protección de datos.
Puede acceder a la resolución sancionadora de la AEPD aquí.