La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 15.000 euros a la organización de la prueba deportiva X Gomera Trail, celebrada en septiembre de 2021, por exigir a los participantes certificados de vacunación, test negativos o justificantes de recuperación de la COVID-19 como requisito de inscripción. La resolución, recogida en la Memoria Anual 2024 de la Agencia, constituye uno de los precedentes más significativos sobre los límites legales en el tratamiento de datos sanitarios en eventos privados.
El procedimiento sancionador PS/00363/2023 se inició tras una reclamación presentada por un participante, que denunció la obligación de aportar documentos relativos a su estado de salud a través de la plataforma de inscripción en línea. La AEPD determinó que la organización —una persona física actuando como empresario autónomo— incurrió en tres infracciones del Reglamento General de Protección de Datos (RGPD):
-
Tratamiento ilícito de datos de salud (artículo 9 RGPD): sancionado con 8.000 €. La Agencia concluyó que no existía una base jurídica habilitante que legitimara el tratamiento de datos especialmente protegidos, al no estar amparado por norma legal ni por consentimiento válido.
-
Falta de deber de información (artículo 13 RGPD): sancionado con 6.000 €. No se informó a los corredores de forma clara sobre el tratamiento de sus datos, los fines perseguidos ni los derechos que podían ejercer.
-
Ausencia de registro de actividades de tratamiento (artículo 30 RGPD): sancionado con 1.000 €, al no acreditarse que existiera un documento que describiera formalmente las operaciones de tratamiento efectuadas.
En total, la sanción ascendió a 15.000 €, ajustada a la condición de persona física de la organizadora, lo que rebajó la cuantía respecto a la que correspondería a una empresa mercantil.
La defensa de la organización alegó que se trataba de una medida “diligente” adoptada en un contexto de alta incidencia epidemiológica y que contaba con el visto bueno del Servicio Canario de Salud (SCS). También señaló que los documentos fueron eliminados posteriormente de la plataforma. Sin embargo, la AEPD consideró irrelevante este argumento: la recogida de los datos ya se había producido, sin cumplir los requisitos de licitud establecidos por el RGPD.
El caso pone de relieve una cuestión jurídica de fondo: el Certificado COVID Digital de la UE y los documentos equivalentes estaban concebidos como herramientas de carácter sanitario y de movilidad internacional, pero su uso en ámbitos privados, como eventos deportivos, carecía de cobertura legal suficiente. El RGPD establece que el consentimiento para tratar datos de salud debe ser libre, específico, informado e inequívoco, algo difícil de garantizar cuando se impone como condición para participar en una actividad recreativa.
Desde un punto de vista técnico, la resolución se apoya en tres pilares clave del RGPD. En primer lugar, el principio de licitud del tratamiento de datos sensibles (art. 9), que requiere norma habilitante o consentimiento válido, y que aquí se vio vulnerado. En segundo lugar, el principio de transparencia (art. 13), que obliga a informar de forma detallada sobre finalidades, plazos de conservación y derechos del interesado. Y en tercer lugar, la responsabilidad proactiva (art. 30), que obliga a documentar todas las actividades de tratamiento en un registro accesible. La ausencia de este último elemento fue interpretada como un incumplimiento adicional.
Este precedente tiene implicaciones más amplias. Marca un límite claro a la utilización de datos sanitarios por parte de entidades privadas sin respaldo legal específico. También plantea un debate sobre la proporcionalidad de medidas adoptadas durante la pandemia, que, en algunos casos, se extendieron a la esfera privada sin suficiente garantía jurídica.
La sanción en La Gomera se convierte así en un caso de estudio para organizadores de eventos, instituciones deportivas y entidades privadas que traten datos sensibles: el cumplimiento del RGPD no puede quedar en suspenso en contextos extraordinarios. La AEPD deja claro que la excepcionalidad sanitaria no justifica el acceso indiscriminado a información médica de los ciudadanos.