Una entidad organizadora de eventos a los que podían asistir menores de 16 años solicitaba la firma del padre, madre o tutor de un documento de autorización para dichos menores; el cual, debía ir acompañado de una fotocopia del DNI del adulto.
Además, la información en materia de protección de datos del documento de autorización se encontraba desactualizada por aplicar la antigua Ley de Protección de Datos de 1999.
En este sentido, la AEPD impuso una multa de 20.000 € por la infracción de los siguientes preceptos:
- Por un lado, infracción del art. 5.1.c) RGPD sobre la minimización de datos personales, por el cual, solo deben tratarse aquellos datos que resulten estrictamente necesarios para lograr el fin que se intenta alcanzar.
Y es que, solicitar el DNI, además del documento de autorización para menores de 16 años, resultaba excesivo dado que el documento de identificación contiene muchos datos no necesarios para alcanzar la finalidad perseguida (por ejemplo la dirección), y, por tanto, es contrario al principio de minimización de datos personales.
- Por otro lado, la infracción del art. 13 RGPD sobre el deber de información. El documento de autorización contenía información básica desactualizada, además de incompleta en el sentido de que no informaba de los plazos de conservación, ni tampoco se aportaban datos suficientes para que los interesados pudieran ejercitar sus derechos reconocidos en la normativa.
El procedimiento se cerró con el reconocimiento de responsabilidad y el pago voluntario por parte de la entidad reclamada, lo que llevo a la reducción de la multa, la cual, terminó siendo de 12.000 €.
Además, la empresa sancionada debía adecuar el tratamiento al RGPD en el plazo de un mes. Para lo cual debía hacer constar en el documento de autorización la información actualizada y completa, así como, dejar de solicitar fotocopia del DNI.