Recientemente, la Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción a una empresa por el incorrecto tratamiento de datos de menores en las autorizaciones para asistir a conciertos y eventos.

Resolución sobre la AEPD en materia de autorizaciones para que menores asistan a conciertos

La AEPD ha concluido un procedimiento sancionador contra la entidad 20 AÑOS DE MÚSICA A.I.E. por infracciones relacionadas con la protección de datos personales, específicamente en los datos recabados para que los menores asistan a conciertos.

El 23 de mayo de 2024, la Directora de la AEPD acordó iniciar un procedimiento sancionador contra 20 AÑOS DE MÚSICA A.I.E.. En la reclamación se alegó que la entidad solicitaba autorizaciones y copias del DNI de los padres o tutores para que los menores pudieran asistir a conciertos, sin informar adecuadamente sobre la protección de datos. Además, no consta que cuenten con un Delegado de Protección de Datos.

La empresa respondió indicando que su Política de Privacidad cumple con el RGPD, aunque reconoció un error en la carga de la cláusula informativa en su página web.

Artículos afectados

Los hechos podrían constituir una infracción del artículo 5.1.c) del RGPD (principio de minimización de datos) y del artículo 13 del RGPD (información al interesado).

La infracción de los artículos 5.1.c)  y 13 del RGPD podría suponer una multa administrativa de hasta 20.000.000 EUR o el 4% del volumen de negocio total anual global del ejercicio financiero anterior.

- Artículo 5.1 c) del RGPD

Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario. La empresa solicitaba una fotocopia del DNI del progenitor o tutor, lo cual se considera un tratamiento excesivo de datos.

- Artículo 13 del RGPD

La información básica sobre protección de datos en el “documento de acceso a menores de 16 años” estaba desactualizada y no informaba adecuadamente sobre el tratamiento de los datos obtenidos.

Propuesta de sanción y reducción de la cuantía

Se propone una multa de 3.000 € por la infracción del artículo 5.1.c) del RGPD y 2.000 € por la infracción del artículo 13 del RGPD, sumando un total de 5.000 €.

El 4 de junio de 2024, 20 AÑOS DE MÚSICA A.I.E. pagó  la sanción en la cuantía de 3.000 euros, haciendo uso de las dos reducciones previstas en el Acuerdo de inicio, lo que implica el reconocimiento de la responsabilidad.

Contra esta resolución, los interesados podrán interponer recurso contencioso-administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional.