La AEPD ha impuesto a una compañía varias sanciones (cuyo importe total asciende a 36.000 euros) por la infracción de los artículos 7 -condiciones para el consentimiento-, 5.1.e) -limitación del plazo de conservación- y 28 -encargado del tratamiento- del RGPD. No obstante, dicha sanción se ha reducido a 21.600 euros por cuanto la entidad ha hecho uso de las dos reducciones previstas, reconociendo, en consecuencia, su responsabilidad.
La reclamante, usuaria del gimnasio, observó durante una de las clases guiadas que había un teléfono móvil que el monitor había colocado con la finalidad de poder grabar la clase que se iba a impartir. Habida cuenta de ello, pudo ser consciente de que se realizaban grabaciones de las sesiones sin que se informase a los usuarios, ni se recabase su consentimiento expreso. Con base en lo anterior, a pesar de haberse opuesto en reiteradas ocasiones a estas grabaciones, la compañía le informó de la existencia de una cláusula general en los contratos por la que se establecía que, al formalizar el acuerdo de uso de las instalaciones, se autorizaba la grabación de los clientes en las mismas.
Con ocasión de la reclamación, la AEPD llevó a cabo una inspección presencial para constatar la existencia de las cámaras de grabación, así como la toma de imágenes de los clientes. Durante esta inspección, se puso de manifiesto por la entidad que la grabación (con un móvil corporativo) se realiza a efectos de promocionar el gimnasio mostrando las diferentes actividades en sus redes sociales y de modo ocasional (para publicaciones fijas o cartelería se usa un banco de imágenes). En este sentido, se informó de la existencia de un protocolo escrito en el que se establece que no se pueden utilizar móviles personales por los monitories dentro de las aulas.
Se indicó asimismo por la entidad que, además de recabar el consentimiento a través de cláusulas contractuales, este se obtiene de forma verbal al inicio de las clases, informándose de la finalidad de la grabación. De este modo, si algún asistente no quiere ser grabado se puede retirar del aula durante ese momento. Asimismo, se indicó que se facilita la política de protección de datos cuya aceptación, durante el procedimiento de registro, es obligatoria.
En relación con la obtención del consentimiento de los interesados, la AEPD declara que esta es la base jurídica que legitimaría el tratamiento de los datos con ocasión de la grabación y difusión de las imágenes de los usuarios durante las clases. Así, para que este pueda ser considerado válido, debe ser específico (de modo que se garantice un nivel de control y transparencia para el interesado), informado (que les permita comprender qué es lo que se está autorizando) e inequívoco. No obstante, en el presente supuesto, se afirma por la AEPD que el consentimiento presuntamente otorgado no cumpliría con estos requisitos.
Ello es así, por cuanto en los contratos formalizados por la usuaria no se incluye ninguna cláusula específica para el uso de imágenes de clientes. Adicionalmente, en el documento aportado denominado “cláusulas de contratación”, si bien sí se hace referencia al tratamiento de las imágenes captadas, el mismo no puede ser considerado libre e informado, ya que la información es confusa y la firma del documento supone la aceptación de todas las cláusulas (no se cumple con el principio de granularidad). Ello sucede también durante el proceso de contratación online, puesto que la contratación de los servicios se encuentra condicionada a la aceptación de todos los apartados. Ello supone una infracción del artículo 7 del RGPD, imponiéndose una sanción de 15.000 euros.
Adicionalmente, la autoridad de control pone de manifiesto que los datos recabados deben ser conservados durante el tiempo necesario para dar cumplimiento a la finalidad para la que se obtuvieron. En este sentido, en el Registro de Actividades del Tratamiento de la entidad se indicaba que las imágenes obtenidas se conservarían durante un tiempo indefinido. Así, esta conservación por tiempo indefinido no se ajusta a la interpretación estricta del plazo de conservación de los datos, por lo que se infringe el artículo 5.1.e) del RGPD, imponiéndose una sanción de 15.000 euros.
Puede acceder a la resolución sancionadora aquí.