元顧客をWhatsAppグループに追加したことに対する罰金4,000ドル：個人情報を保護せず、本人の同意も得ていなかった。

スペインデータ保護庁（AEPD）は、コルドバのスポーツクラブが、元会員の個人情報の機密性を保証することなく、両者の関係が終了してから10年後に、本人の許可なく商業目的でWhatsAppグループに追加したとして、4000ユーロの罰金を科したことが、本件の裁定で明らかになりました。公的機関は、合計で4つの違反行為について有罪とし、それぞれ1,000ユーロの罰金を科しました。

AEPDの条文では、この種の違反行為に対する罰金は2000万ユーロ、企業の場合は年間売上高の4％に相当すると規定されているからです。しかし、今回は「非意図的な過失行為」のケースであることを機関が考慮したため、最終的な金額が低くなっています。

制裁を受けたスポーツ事業者が行った違反行為の1つ目は、女性が顧客でなくなった後、申立人の個人情報を10年間保管したことです。法律では、企業が収集した個人情報は、収集した目的のために必要な期間を超えて保管してはならず、また他の目的のために使用してはならないと定めています。

つまり、スポーツ施設を利用するために会員登録をしたのであれば、その情報は顧客でなくなった時点で削除されるべきであり、いかなる場合であっても、再び勧誘するために利用することはできないのです。

2つ目の侵害は、同意に関するものです。制裁を受けた会社は、個人データとみなされるデータ主体の電話番号を、彼女の許可を得ることなく使用して、商業情報を送りました。このことも法律に違反し、データ主体がその目的または特定の目的のために個人データの処理を許可した場合にのみ、処理が合法となると規定されています。

さらに、スポーツクラブは、情報主体の電話番号をより多くの人のグループに含めることで、申立人の守秘義務を確保しておらず、この事実はさらに2つの侵害に相当する。

もし、商業目的のグループではなく、友人や家族などの個人的なグループチャットに参加させられていたとしたら、このケースは大きく異なっていたことでしょう。この場合、法律は「自然人が専ら個人的または家庭的な活動を行う際に行われる個人データの処理には、この規制は適用されない」と明記しています。