La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción significativa a la GSMA, organizadora del Mobile World Congress (MWC), por infracciones graves del Reglamento General de Protección de Datos (RGPD) en su edición de 2022. La multa asciende a 600.000 euros, debido a la gestión inadecuada de datos sensibles de los trabajadores y contratistas, en particular, los relacionados con su estado de salud.
Antecedentes
Durante la edición de 2022 del MWC, GSMA exigió que los empleados y contratistas cargaran su certificado de vacunación COVID-19, certificado de recuperación o resultados negativos de pruebas PCR en una plataforma digital como condición para acceder al recinto. Esta medida, que involucraba datos de salud, entró en conflicto con el RGPD, que establece una protección especial para este tipo de datos.
La reclamación presentada ante la AEPD argumentaba que la GSMA y Fira de Barcelona no estaban legitimadas para requerir esta información sanitaria, y que los trabajadores no tenían otra opción más que compartir estos datos si querían desempeñar su trabajo durante el evento.
Fundamentos de la sanción
La AEPD consideró que la GSMA había cometido tres infracciones muy graves del RGPD:
- Tratamiento ilegal de datos sensibles: Según el RGPD, el tratamiento de datos sanitarios, como los certificados de vacunación o pruebas COVID-19, requiere bases legales muy específicas. La AEPD consideró que la GSMA no justificó adecuadamente la necesidad de recopilar y almacenar estos datos, y que no existían medidas proporcionales para garantizar la protección de los derechos de los trabajadores.
- Exceso en la conservación de los datos: Los datos sanitarios se almacenaron durante un período excesivo, incluso después de la finalización del evento. Según la normativa, los datos personales deben eliminarse cuando ya no son necesarios para el propósito para el cual fueron recogidos.
- Desequilibrio entre las partes: La exigencia de proporcionar datos sanitarios para poder trabajar creó una situación de desequilibrio entre la GSMA y los trabajadores. Estos no tenían una alternativa viable y se vieron obligados a ceder datos de salud que, de lo contrario, no habrían proporcionado.
Alegaciones de GSMA
En su defensa, la GSMA alegó que estas medidas se implementaron para garantizar la salud y seguridad de los asistentes y empleados, y que se tomaron en colaboración con las autoridades sanitarias catalanas y españolas. Además, la organización argumentó que el tratamiento de datos se llevó a cabo conforme a las normativas aprobadas por el Procicat y el Departamento de Salud Pública de Cataluña.
Sin embargo, la AEPD no aceptó estos argumentos como atenuantes, ya que consideró que las medidas adoptadas eran desproporcionadas y no se justificaban en el marco legal vigente.
Reincidencia
Cabe destacar que esta no es la primera vez que el MWC ha sido sancionado por la AEPD. En años anteriores, la organización ya había sido multada por utilizar tecnologías de reconocimiento facial sin las debidas evaluaciones de impacto en la privacidad, lo que evidencia un patrón de incumplimientos en materia de protección de datos.
Conclusión
Este caso subraya la importancia de que las empresas cumplan rigurosamente con las normativas de protección de datos, especialmente en situaciones que involucren la recolección de datos sensibles, como los relacionados con la salud. La sanción impuesta a la GSMA pone de relieve la necesidad de equilibrar las medidas de seguridad sanitaria con los derechos fundamentales de los trabajadores.