La AEPD ha multado a una plataforma de juego con 10.000 euros por pedir el DNI, profesión, sueldo y vida laboral de un usuario, aunque finalmente la empresa ha abonado 6.000 euros tras reconocer los hechos y pagar de forma voluntaria, lo que le ha supuesto una rebaja del 40% del importe.
La reclamación fue interpuesta por un consumidor en noviembre de 2023. En ella el usuario de la plataforma relataba que, tras ser suspendida su cuenta y volver a activarla, le pidieron un domicilio registrado, profesión actual, sueldo bruto anual, si jugaba con fondos propios o cedidos por terceros y la última nómina, o una declaración trimestral en el caso de ser autónomo.
El usuario accedió a ello aunque les hizo saber que dudaba de la legalidad de todas esas peticiones. No obstante, a pesar de haber facilitado a l plataforma toda la documentación que le habían pedido, manifestó que no le habían reactivado la cuenta.
Ante esta situación la AEPD pidió explicaciones a la empresa, la cual indicó que le solicitaron esos documentos debido a que su comportamiento en el uso de los servicios de Eurobox era indicativo de un jugador profesional. Algo que estaba prohibido en la ley 13/2011 de regulación del juego.
Sin embargo, a la AEPD no le quedó claro el motivo exacto por el que le habían pedido tales documentos, pues, por un lado, en el correo que le enviaron le dijeron que era la política de “Juego más seguro” de su empresa y, por otro, por su comportamiento como jugador profesional.
Además, en ningún apartado de la política de privacidad se explicaba que pudiesen recogerse datos relacionados con la profesión, retribuciones brutas anuales o el origen de todos sus ingresos. Por otra parte, en la cláusula 7 del contrato no se contemplaba la exigencia de esos datos ante un incumplimiento del contrato o de la ley vigente, tan sólo se recogía la posible suspensión del servicio o la clausura de su registro de usuario. Por lo que para la AEPD, no podían solicitar tales datos en los que en ningún caso se justificaban para qué se necesitaban.
En este escenario, la plataforma ha sido sancionada por infringir dos artículos del Reglamento General de Protección de Datos. Por un lado, el 5.1.c) que hace referencia a los “principios relativos al tratamiento” con 8.000 euros. En relación a este artículo le aplicaron agravantes porque aunque sólo una persona haya reclamado, otros clientes se han podido ver afectados por este tipo de prácticas. Además, los datos solicitados merecen una especial protección al ser de carácter financiero. Y, por otro lado, por vulnerar el artículo 13 que se refiere a “Información que deberá facilitarse cuando los datos personales se obtengan del interesado” con 2.000 euros. Ello al explicar claramente al usuario de los fines del tratamiento de sus datos personales.
La sanción no es firme porque puede ser recurrida ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.
