La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa a un gimnasio de Madrid, 02 Centro Wellness Plenilunio, por difundir en un correo electrónico datos personales de 9.293 clientes.
En una resolución de la Agencia Española de Protección de Datos sanciona a esta empresa con una multa de 3.000 euros por una infracción, tipificada como grave, del artículo 10 de la Ley de Protección de Datos, que obliga al secreto profesional a los responsables de ficheros y a quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal.
La intervención de la AEPD tiene su origen en una denuncia que recibió de una clienta del gimnasio, B.B.B., a quien el centro remitió un correo electrónico en mayo del año pasado que contenía un fichero adjunto con datos de 9.293 personas, incluyendo los suyos. Ese fichero incluía el nombre, apellidos, domicilio, teléfono (línea fija y móvil), dirección e-mail, número de DNI y sexo de esos más de 9.000 socios.
02 Centro Wellness Plenilunio ha alegado a Protección de Datos que su intención era remitir un correo informativo de una campaña para perder peso, y así lo hizo a 334 clientes, pero la persona encargada de remitirlos, su responsable de estética y fisioterapia, adjuntó por error un listado que tenía datos personales de esos 9.293 clientes.
El gimnasio dice que ha pedido disculpas por este hecho a los destinatarios del correo y que ha tomado medidas, como la encriptación de todos sus documentos Word y Excel.
Sin embargo, la AEPD ha decidido multarle con 3.000 euros. Ha quedado acreditado que 02 Centro Wellness remitió a terceros un documento en el que figuran los datos personales de abonados de la entidad. Esta información no puede ser facilitada a terceros, salvo consentimiento de los afectados o que exista una habilitación legal que permita su comunicación, que no concurren en el presente caso. Por tanto, queda acreditado que por parte de dicha entidad se vulnera el deber de secreto garantizado en el artículo 10 de la LOPD, al haber posibilitado que terceras personas tuviesen acceso a datos personales de los afectados, concluye la resolución.