GSMA es la empresa organizadora del Mobile World Congress en Barcelona. En 2022 implantó un sistema de acceso a las instalaciones en la Fira de Barcelona en el que exigía a los trabajadores, tanto propios como de las empresas proveedoras de servicios (por ejemplo, las que montaban los stands), debían inscribirse en una plataforma de pase digital para poder acceder al recinto aportando:
- Certificado de banderillación el bichito 19.
- Certificado de recuperación de el bichito 19.
- Prueba negativa de test valido de el bichito 19, realizado en las últimas 72 horas.
Para acceder al recinto, los trabajadores debían mostrar un código QR positivo en los lectores de entrada. Se preveía que afectara a 11.970 trabajadores (cuyos datos salud son de categoría especial y que constituyen un grupo vulnerable, debido al desequilibrio de poder en la relación contractual de empleo).
Estas instrucciones fueron respaldadas por Fira de Barcelona, por la empresas proveedoras frente a sus trabajadores, y esta planificación recibió el visto bueno de QUIRÓN PREVENCIÓN (responsable de riesgos laborales), de las autoridades sanitarias catalanas, “Departamento de Empresa y Conocimiento de la Generalitat de Catalunya, PROCICAT así como la Agencia de Salud Pública de Barcelona y el Departamento de Salud Pública de la Sanidad Española”.
El 29 de enero un trabajador presentó reclamación ante la Agencia Española de Protección de Datos (AEPD), que abrió expediente el 29 de abril de 2022. El 24 de julio de 2024, la AEPD ha resuelto el expediente sancionador imponiendo a GSMA tres multas por infracciones muy graves cuyo importe total asciende a 600.000 euros.
La resolución se encuentra publicada en la página web de la Agencia (Agencia Española de Protección de Datos | AEPD), y puede consultarse introduciendo en el buscador el número de expediente EXP202201608.
En dicho expediente, muy extenso y fundado, puede leerse:
“La información acerca de si una persona física identificada ha recibido o no la banderilla del el bichito-19 tiene la naturaleza de dato personal relativo a la salud”.
“Los datos relativos a la salud pueden obtenerse de diversas fuentes, desde un historial médico, una encuesta de “autocomprobación”, siendo la banderillación o el resultado de una prueba PCR, datos referentes a la salud del individuo, que en este caso se demandan del propio afectado con la colaboración del proveedor de la reclamada. Las consecuencias de no proporcionar tales datos podrían ser que no se permitiese el acceso al lugar de la prestación del servicio, instalaciones donde la reclamada organiza el MWC 2022”.
“La normativa de protección de datos personales, en tanto que, dirigida a salvaguardar un derecho fundamental, se aplica en su integridad a la situación actual, dado que no existe razón alguna que determine la suspensión de derechos fundamentales”.
“En España, se ha de partir de la base de que la banderilla contra la el bichito-19 no es obligatoria y que su establecimiento como obligatoria podría lesionar derechos reconocidos constitucionalmente. El certificado el bichito no se estableció como obligatorio para los trabajadores y no se ha acreditado que las autoridades sanitarias hayan establecido que a un determinado colectivo se le exijan las medidas adoptadas por la reclamada que podrían derivar en una banderillación obligatoria, en este caso, para los empleados del montaje del Congreso MWC22”.
“Las empresas proveedoras no han jugado papel alguno en este sentido, al serle impuesta por la organizadora y reclamada, la exigencia del registro de sus empleados con el fin de que subieran la documentación sanitaria para que accedieran a los lugares de trabajo”.
“Estos trabajadores debían estar en posesión del certificado el bichito o, en su defecto, aportar certificado de recuperación de la enfermedad o prueba PCR, que tiene una validez temporal limitada y que exigiría al trabajador aportar varias pruebas PCR, lo que podría afectar a sus derechos fundamentales al trabajo, a la integridad física y a la salud y a protección de datos”.
“La estrategia de banderillación el bichito-19 de 2/12/2020 es la norma que desarrolla la coordinación entre autoridades sanitarias y refuerza el funcionamiento del conjunto del sistema nacional de salud y no prevé la banderillación contra la el bichito-19 como obligatoria”.
La Orden SND/344/2020, de 13/04, por la que se establecen medidas excepcionales para el refuerzo del Sistema Nacional de Salud y la contención de la crisis sanitaria ocasionada por el el bichito‐ 19, establece que la indicación para la realización de pruebas diagnósticas para la detección del el bichito‐19 deberá ser prescrita por un facultativo de acuerdo con las directrices, instrucciones y criterios acordados al efecto por la autoridad sanitaria competente”.
La alegación de GSMA de que “la normativa de prevención de riesgos laborales ofrece una doble legitimación para solicitar datos de salud a los visitantes y a los trabajadores que prestan servicios en el recinto ferial” no tiene apoyo en ninguna norma. La normativa de prevención de riesgos laborales en ningún modo habilita la obtención y conservación de los datos de salud de personas que no son empleadas del empresario.
Otra alegación de GSMA (“el tratamiento de los datos sanitarios de los trabajadores se justifica en el cumplimiento de prevención de riesgos laborales) parte también de varios errores graves. La reclamada podría haber concluido con facilidad que la LPRL no le habilitaba a obtener la información solicitada a los empleados.
El artículo 22 de la LPRL indica:
“1. El empresario garantizará a los trabajadores a su servicio la vigilancia periódica de su estado de salud en función de los riesgos inherentes al trabajo. Esta vigilancia sólo podrá llevarse a cabo cuando el trabajador preste su consentimiento.
“2. Las medidas de vigilancia y control de la salud de los trabajadores se llevarán a cabo respetando siempre el derecho a la intimidad y a la dignidad de la persona del trabajador y la confidencialidad de toda la información relacionada con su estado de salud.
“4. Los datos relativos a la vigilancia de la salud de los trabajadores no podrán ser usados con fines discriminatorios ni en perjuicio del trabajador.
No puede establecerse con carácter general y de modo indiscriminado como medida preventiva obligatoria, el examen de salud de todos los trabajadores. En definitiva, la LPRL le ofrecía información suficiente a la reclamada para conocer que el tratamiento que pretendía llevar a cabo no era conforme con sus alegaciones.
La restricción del derecho fundamental a la protección de datos personales no puede estar basada, por sí sola, en la invocación genérica de un indeterminado “interés público”. Cualquier limitación del ejercicio de los derechos fundamentales debe ser establecida por ley.
Alegaciones de GSMA:
GSMA trató en sus alegaciones de ampararse en el respaldo de organismos públicos (Fira de Barcelona –Ayuntamiento de Barcelona y otros-, PROCICAT, Sanidad de Cataluña, etc.). Estos no son responsables.
GSMA trató en sus alegaciones de ampararse en la situación de emergencia creada por la el bichito, y en que seguía las instrucciones de las autoridades públicas sanitarias. Lo cierto es que en esas fechas ninguna norma exigía la presentación de “pasaportes el bichito”. AEPD considera que el tratamiento no era necesario para los fines que se perseguían de prevención de la salud de los trabajadores, al existir otras alternativas menos intrusivas que no ponían en riesgo los derechos y libertades de los trabajadores.
No hubo evaluación de riesgos para derechos y libertades de los interesados; ni de la necesidad y proporcionalidad de las operaciones de tratamiento de los datos de salud con respecto a su finalidad; ni referente a los empleados de los proveedores que realizan el montaje de las instalaciones donde se celebra el evento se cita aspecto alguno sobre el derecho al trabajo como derecho afectado, y la eventual prohibición del acceso al puesto de trabajo o la relación con el derecho a la prevención de riesgos laborales.
GSMA no detalló la conservación de los datos recabados de los empleados de los proveedores.
Agravante de reincidencia. GSMA ya fue sancionada por infracción grave el 24/02/2023 (procedimiento EXP202100603) por no disponer de una Evaluación de Impacto de Protección de datos válida para el tratamiento de datos biométricos como parte de los medios de accesos previstos a la sede del MWC del año anterior 2021.
Protección de Datos multa al Mobile World Congress con 200.000 euros por el uso de reconocimiento facial
Añado, siguen en 2023:
El MWC Barcelona sigue pidiendo a sus visitantes que escaneen su carnet de identidad, pero con cambios tras la multa de 200.000 euros de la AEPD
Otra agravante. “La reclamada alegó que para todas las infracciones se debería considerar como atenuante el propósito que le guiaba en velar por la salud de los trabajadores”. AEPD considera lo contrario: “El tratamiento llevado a cabo es de todos los empleados de los proveedores, desconociendo todos los elementos del tratamiento de sus datos, lo que supone un agravamiento de la conducta que les impide el control sobre sus datos personales”.
Otra agravante. “En el cumplimiento de sus obligaciones legales, la reclamada pretende trasladar la reclamación al proveedor, empleador de los trabajadores, cuando es ella quien debe responder legalmente sin que pueda ser delegada. Además, dispone de los medios para poder informar, por ello no consta una diligencia razonable para cumplir la obligación legal, lo que revela una falta de diligencia en el cumplimiento de esta obligación”
Otra agravante. “La recogida y tratamiento de datos se produjo en un evento privado, tratamiento que no es meramente incidental o accesorio, que conlleva el registro de datos de salud en una aplicación y su almacenamiento durante el periodo de duración del evento, inicio previsible 21/01/2022, hasta el 8/03/2022, sin que los empleados tuvieran opción a no aportar los datos de salud, en una situación de desequilibrio entre las partes, afectando a la libertad de los interesados que no pueden dejar de aportar tales datos, si quieren acudir al trabajo, todos ellos elementos agravantes de la infracción, que afectan a varios miles de empleados. Circunstancias que constituyen esta agravante de la infracción”.
Y otra agravante más. “La reclamada (…) necesita tratar de forma habitual datos de carácter personal y lo lleva haciendo en sucesivas ediciones (…). Como contraparte, este hecho incide en la diligencia que le resulta exigible (…). Elementos de carácter agravante de la infracción”.
Otra agravante. “El tratamiento recae sobre todo en un colectivo de empleados de proveedores que no tienen expectativas de que sus datos sean tratados por un tercero, al no tener una relación directa con dicha entidad. La duración de este tratamiento es más amplia que la de los asistentes, al tener que acudir a su trabajo antes, durante y una vez acabado el evento. Alcanza a la totalidad de los empleados de los proveedores que o bien se someten a la banderillación, o bien aportan una prueba PCR, que no consta sea sufragada más que por el propio empleado, y que, por su validez, deben reiterar durante el periodo en el que deben acceder al recinto para realizar su trabajo, o bien aportar un certificado de recuperación de la enfermedad, elementos que influyen en la agravación de la sanción”.
Como resumen:
“En el presente caso, la reclamada conocía que sólo a ciertos sectores se les aplicaba la exigencia de la documentación de certificación el bichito, y sólo por un cierto tiempo. La política de acceso a las instalaciones del MWC 22 se comenzó a planear con bastante antelación, en el otoño del 2021, contando con el punto de vista de autoridades sanitarias, tiempo suficiente para evaluar todas las variables que incidían en los riesgos del tratamiento de datos personales para los derechos y libertades de los interesados que se ha de aplicar a cualquier tratamiento, independientemente del tipo, y en este caso con mayor rigor tratándose de datos especiales. La reclamada debía conocer que la banderillación no era obligatoria. La reclamada ha reconocido que en este caso no existe Ley que establezca esta medida de aplicación a su sector, ni disposiciones administrativas al reconocer que las dictadas en el ámbito de Cataluña no contemplaban este supuesto. Pese a ello, trató los datos de salud los empleados, por lo que se aprecia una falta de diligencia al contemplar la base legitimadora de los tratamientos llevados a cabo, y la información de dicha recogida, lo que constituye y prueba la culpabilidad de la reclamada como forma de acometer deficiente en su gobernanza de protección de datos”.
- Certificado de banderillación el bichito 19.
- Certificado de recuperación de el bichito 19.
- Prueba negativa de test valido de el bichito 19, realizado en las últimas 72 horas.
Para acceder al recinto, los trabajadores debían mostrar un código QR positivo en los lectores de entrada. Se preveía que afectara a 11.970 trabajadores (cuyos datos salud son de categoría especial y que constituyen un grupo vulnerable, debido al desequilibrio de poder en la relación contractual de empleo).
Estas instrucciones fueron respaldadas por Fira de Barcelona, por la empresas proveedoras frente a sus trabajadores, y esta planificación recibió el visto bueno de QUIRÓN PREVENCIÓN (responsable de riesgos laborales), de las autoridades sanitarias catalanas, “Departamento de Empresa y Conocimiento de la Generalitat de Catalunya, PROCICAT así como la Agencia de Salud Pública de Barcelona y el Departamento de Salud Pública de la Sanidad Española”.
El 29 de enero un trabajador presentó reclamación ante la Agencia Española de Protección de Datos (AEPD), que abrió expediente el 29 de abril de 2022. El 24 de julio de 2024, la AEPD ha resuelto el expediente sancionador imponiendo a GSMA tres multas por infracciones muy graves cuyo importe total asciende a 600.000 euros.
La resolución se encuentra publicada en la página web de la Agencia (Agencia Española de Protección de Datos | AEPD), y puede consultarse introduciendo en el buscador el número de expediente EXP202201608.
En dicho expediente, muy extenso y fundado, puede leerse:
“La información acerca de si una persona física identificada ha recibido o no la banderilla del el bichito-19 tiene la naturaleza de dato personal relativo a la salud”.
“Los datos relativos a la salud pueden obtenerse de diversas fuentes, desde un historial médico, una encuesta de “autocomprobación”, siendo la banderillación o el resultado de una prueba PCR, datos referentes a la salud del individuo, que en este caso se demandan del propio afectado con la colaboración del proveedor de la reclamada. Las consecuencias de no proporcionar tales datos podrían ser que no se permitiese el acceso al lugar de la prestación del servicio, instalaciones donde la reclamada organiza el MWC 2022”.
“La normativa de protección de datos personales, en tanto que, dirigida a salvaguardar un derecho fundamental, se aplica en su integridad a la situación actual, dado que no existe razón alguna que determine la suspensión de derechos fundamentales”.
“En España, se ha de partir de la base de que la banderilla contra la el bichito-19 no es obligatoria y que su establecimiento como obligatoria podría lesionar derechos reconocidos constitucionalmente. El certificado el bichito no se estableció como obligatorio para los trabajadores y no se ha acreditado que las autoridades sanitarias hayan establecido que a un determinado colectivo se le exijan las medidas adoptadas por la reclamada que podrían derivar en una banderillación obligatoria, en este caso, para los empleados del montaje del Congreso MWC22”.
“Las empresas proveedoras no han jugado papel alguno en este sentido, al serle impuesta por la organizadora y reclamada, la exigencia del registro de sus empleados con el fin de que subieran la documentación sanitaria para que accedieran a los lugares de trabajo”.
“Estos trabajadores debían estar en posesión del certificado el bichito o, en su defecto, aportar certificado de recuperación de la enfermedad o prueba PCR, que tiene una validez temporal limitada y que exigiría al trabajador aportar varias pruebas PCR, lo que podría afectar a sus derechos fundamentales al trabajo, a la integridad física y a la salud y a protección de datos”.
“La estrategia de banderillación el bichito-19 de 2/12/2020 es la norma que desarrolla la coordinación entre autoridades sanitarias y refuerza el funcionamiento del conjunto del sistema nacional de salud y no prevé la banderillación contra la el bichito-19 como obligatoria”.
La Orden SND/344/2020, de 13/04, por la que se establecen medidas excepcionales para el refuerzo del Sistema Nacional de Salud y la contención de la crisis sanitaria ocasionada por el el bichito‐ 19, establece que la indicación para la realización de pruebas diagnósticas para la detección del el bichito‐19 deberá ser prescrita por un facultativo de acuerdo con las directrices, instrucciones y criterios acordados al efecto por la autoridad sanitaria competente”.
La alegación de GSMA de que “la normativa de prevención de riesgos laborales ofrece una doble legitimación para solicitar datos de salud a los visitantes y a los trabajadores que prestan servicios en el recinto ferial” no tiene apoyo en ninguna norma. La normativa de prevención de riesgos laborales en ningún modo habilita la obtención y conservación de los datos de salud de personas que no son empleadas del empresario.
Otra alegación de GSMA (“el tratamiento de los datos sanitarios de los trabajadores se justifica en el cumplimiento de prevención de riesgos laborales) parte también de varios errores graves. La reclamada podría haber concluido con facilidad que la LPRL no le habilitaba a obtener la información solicitada a los empleados.
El artículo 22 de la LPRL indica:
“1. El empresario garantizará a los trabajadores a su servicio la vigilancia periódica de su estado de salud en función de los riesgos inherentes al trabajo. Esta vigilancia sólo podrá llevarse a cabo cuando el trabajador preste su consentimiento.
“2. Las medidas de vigilancia y control de la salud de los trabajadores se llevarán a cabo respetando siempre el derecho a la intimidad y a la dignidad de la persona del trabajador y la confidencialidad de toda la información relacionada con su estado de salud.
“4. Los datos relativos a la vigilancia de la salud de los trabajadores no podrán ser usados con fines discriminatorios ni en perjuicio del trabajador.
No puede establecerse con carácter general y de modo indiscriminado como medida preventiva obligatoria, el examen de salud de todos los trabajadores. En definitiva, la LPRL le ofrecía información suficiente a la reclamada para conocer que el tratamiento que pretendía llevar a cabo no era conforme con sus alegaciones.
La restricción del derecho fundamental a la protección de datos personales no puede estar basada, por sí sola, en la invocación genérica de un indeterminado “interés público”. Cualquier limitación del ejercicio de los derechos fundamentales debe ser establecida por ley.
Alegaciones de GSMA:
GSMA trató en sus alegaciones de ampararse en el respaldo de organismos públicos (Fira de Barcelona –Ayuntamiento de Barcelona y otros-, PROCICAT, Sanidad de Cataluña, etc.). Estos no son responsables.
GSMA trató en sus alegaciones de ampararse en la situación de emergencia creada por la el bichito, y en que seguía las instrucciones de las autoridades públicas sanitarias. Lo cierto es que en esas fechas ninguna norma exigía la presentación de “pasaportes el bichito”. AEPD considera que el tratamiento no era necesario para los fines que se perseguían de prevención de la salud de los trabajadores, al existir otras alternativas menos intrusivas que no ponían en riesgo los derechos y libertades de los trabajadores.
No hubo evaluación de riesgos para derechos y libertades de los interesados; ni de la necesidad y proporcionalidad de las operaciones de tratamiento de los datos de salud con respecto a su finalidad; ni referente a los empleados de los proveedores que realizan el montaje de las instalaciones donde se celebra el evento se cita aspecto alguno sobre el derecho al trabajo como derecho afectado, y la eventual prohibición del acceso al puesto de trabajo o la relación con el derecho a la prevención de riesgos laborales.
GSMA no detalló la conservación de los datos recabados de los empleados de los proveedores.
Agravante de reincidencia. GSMA ya fue sancionada por infracción grave el 24/02/2023 (procedimiento EXP202100603) por no disponer de una Evaluación de Impacto de Protección de datos válida para el tratamiento de datos biométricos como parte de los medios de accesos previstos a la sede del MWC del año anterior 2021.
Protección de Datos multa al Mobile World Congress con 200.000 euros por el uso de reconocimiento facial
Añado, siguen en 2023:
El MWC Barcelona sigue pidiendo a sus visitantes que escaneen su carnet de identidad, pero con cambios tras la multa de 200.000 euros de la AEPD
Otra agravante. “La reclamada alegó que para todas las infracciones se debería considerar como atenuante el propósito que le guiaba en velar por la salud de los trabajadores”. AEPD considera lo contrario: “El tratamiento llevado a cabo es de todos los empleados de los proveedores, desconociendo todos los elementos del tratamiento de sus datos, lo que supone un agravamiento de la conducta que les impide el control sobre sus datos personales”.
Otra agravante. “En el cumplimiento de sus obligaciones legales, la reclamada pretende trasladar la reclamación al proveedor, empleador de los trabajadores, cuando es ella quien debe responder legalmente sin que pueda ser delegada. Además, dispone de los medios para poder informar, por ello no consta una diligencia razonable para cumplir la obligación legal, lo que revela una falta de diligencia en el cumplimiento de esta obligación”
Otra agravante. “La recogida y tratamiento de datos se produjo en un evento privado, tratamiento que no es meramente incidental o accesorio, que conlleva el registro de datos de salud en una aplicación y su almacenamiento durante el periodo de duración del evento, inicio previsible 21/01/2022, hasta el 8/03/2022, sin que los empleados tuvieran opción a no aportar los datos de salud, en una situación de desequilibrio entre las partes, afectando a la libertad de los interesados que no pueden dejar de aportar tales datos, si quieren acudir al trabajo, todos ellos elementos agravantes de la infracción, que afectan a varios miles de empleados. Circunstancias que constituyen esta agravante de la infracción”.
Y otra agravante más. “La reclamada (…) necesita tratar de forma habitual datos de carácter personal y lo lleva haciendo en sucesivas ediciones (…). Como contraparte, este hecho incide en la diligencia que le resulta exigible (…). Elementos de carácter agravante de la infracción”.
Otra agravante. “El tratamiento recae sobre todo en un colectivo de empleados de proveedores que no tienen expectativas de que sus datos sean tratados por un tercero, al no tener una relación directa con dicha entidad. La duración de este tratamiento es más amplia que la de los asistentes, al tener que acudir a su trabajo antes, durante y una vez acabado el evento. Alcanza a la totalidad de los empleados de los proveedores que o bien se someten a la banderillación, o bien aportan una prueba PCR, que no consta sea sufragada más que por el propio empleado, y que, por su validez, deben reiterar durante el periodo en el que deben acceder al recinto para realizar su trabajo, o bien aportar un certificado de recuperación de la enfermedad, elementos que influyen en la agravación de la sanción”.
Como resumen:
“En el presente caso, la reclamada conocía que sólo a ciertos sectores se les aplicaba la exigencia de la documentación de certificación el bichito, y sólo por un cierto tiempo. La política de acceso a las instalaciones del MWC 22 se comenzó a planear con bastante antelación, en el otoño del 2021, contando con el punto de vista de autoridades sanitarias, tiempo suficiente para evaluar todas las variables que incidían en los riesgos del tratamiento de datos personales para los derechos y libertades de los interesados que se ha de aplicar a cualquier tratamiento, independientemente del tipo, y en este caso con mayor rigor tratándose de datos especiales. La reclamada debía conocer que la banderillación no era obligatoria. La reclamada ha reconocido que en este caso no existe Ley que establezca esta medida de aplicación a su sector, ni disposiciones administrativas al reconocer que las dictadas en el ámbito de Cataluña no contemplaban este supuesto. Pese a ello, trató los datos de salud los empleados, por lo que se aprecia una falta de diligencia al contemplar la base legitimadora de los tratamientos llevados a cabo, y la información de dicha recogida, lo que constituye y prueba la culpabilidad de la reclamada como forma de acometer deficiente en su gobernanza de protección de datos”.
