La Agencia Española de Protección de Datos (“AEPD”) ha impuesto varias sanciones muy graves que alcanzan en su conjunto 600.000 euros a la empresa organizadora del Mobile World Congress 2022 por conservar los pasaporte-COVID de los trabajadores del evento en una aplicación creada por la propia empresa.
Antecedentes
Los hechos que han dado lugar a esta sanción ocurrieron con motivo de la FIRA de Barcelona durante el Mobile World Congress 2022 cuando la empresa organizadora del evento estableció como requisito para poder asistir que los trabajadores de los proveedores para el montaje subieran a una aplicación informática, titularidad de la reclamada, sus datos de salud médicos (pasaporte COVID o una PCR negativa). Al introducir los datos de salud, la plataforma generaba unas acreditaciones para acceder al recinto de forma que los trabajadores no podrían acudir a su puesto de trabajo sin obtener previamente tal acreditación.
El objeto del procedimiento se centra en que estos datos no eran simplemente verificados por la empresa como exigían los organismos públicos en el tiempo de la pandemia, sino que además fueron alojados y almacenados en la plataforma informática durante meses.
Sujetos intervinientes
La empresa organizadora intentó evitar responsabilidades alegando que la recogida y tratamiento de datos se realizaron por la empresa de prevención de riesgos laborales (PRL) como subencargada del tratamiento de FIRA, la encargada del tratamiento por cuenta de la reclamada. No obstante, la AEPD recuerda que fue la empresa organizadora la que tomó la decisión sobre qué datos médicos debían ser recogidos y con qué finalidad debían recabarse. Además, fue la empresa organizadora la que contrató el tratamiento de datos de salud con la empresa de PRL. Por ser la contratante la empresa organizadora, es ella la que debe velar por el cumplimiento de la normativa sobre protección de datos en las acciones que realicen las empresas que contrate o subcontrate por lo que resultaba responsable de las infracciones que se le imputan.
Infracciones cometidas
La AEPD entiende que la empresa organizadora como responsable de los datos ha cometido las siguientes infracciones del Reglamento General de Protección de Datos (“RGPD”):
- Tratamiento ilícito de datos (artículo 6 .1 RGPD). El tratamiento no se ampara en ninguno de los supuestos del RGPD.
- Tratamiento de datos sensibles sin causa (artículo 9.2. RGPD). Se tratan datos particularmente sensibles de carácter especial que no pueden ser tratados sin una causa pertinente que levante la prohibición recogida en una norma con rango de ley.
- Falta de información a los trabajadores (artículo 14 RGPD). por no proporcionar a los empelados información clara sobre el tratamiento de sus datos personales puesto que, aunque se proporcionó determinada información por parte de los proveedores, la obligación de informar es exigible al responsable del tratamiento, esto es, la empresa organizadora del evento.
Sanciones aplicables
A las infracciones cometidas por la empresa, calificadas como muy graves, se le aparejaron las siguientes sanciones:
- Por el tratamiento ilícito de datos (art 6.1 RGPD) se impuso una sanción de 200.000 €
- Por el tratamiento de datos sensibles (art. 9.2 RGPD) se impuso una canción de 300.000 €
- Por falta de información a los trabajadores (art. 14 RGPD) se impuso una sanción de 100.000 €
La empresa alegó como atenuante a todas las infracciones el propósito de velar por la salud de los asistentes al evento. Sin embargo, la AEPD ha determinado que prevalece el derecho a la protección de datos de los afectados y a que sus datos sean tratados conforme a las garantías que establece el RGPD y la Ley Orgánica de Protección de Datos.
