Protección de Datos apercibe a la Consejería de Turismo de Canarias

Al analizar una app autonómica para monitorizar el turismo en las islas, descubrió que el departamento no contaba con un delegado especializado en vigilar la información personal

Sandra C. Ramiro

Actualizado: 11/02/22 | 11:31

Etiquetas:

La Consejería de Turismo, Industria y Comercio del Gobierno de Canarias habría creado una app que permitía monopolizar y hacer seguimiento de la estancia de turistas en las islas.

Este proyecto entraba en el plan de Turismo de garantías de seguridad que propuso la consejería. Al considerarse que se pudieran haber pasado por alto la política de privacidad al no contar con un delegado especializado en vigilar la información personal, la Agencia Española de Protección de Datos, acuerda iniciar actuaciones de investigación.

Realiza unas actuaciones previas de investigación para el esclarecimiento de los hechos, requiriendo información a la Consejería de Turismo, Industria y Comercio del Gobierno de Canarias, teniendo conocimiento de los siguientes extremos; el 12 de mayo de 2020, se recibe respuesta de la Consejería de Turismo Industria y Comercio en la que declara no haber ordenado la puesta en marcha de app alguna que permita monitorizar y hacer seguimiento de la estancia de turistas en Canarias, así como afirma no tener constancia de la implementación de un proyecto para el desarrollo de una app con dicha finalidad.

A principios del mes de junio, se incorporan al expediente diversos comunicados y noticias de prensa, referidos a la posibilidad de desarrollo del denominado “pasaporte sanitario digital”, mediante la aplicación móvil "hi+Card", con datos de salud de los turistas que viajasen a Canarias durante el verano de 2020.

El 15 de junio de 2020 se solicita información a la Consejería de Sanidad del Gobierno de Canarias respecto a la app catalogada como sanitaria y denominada “hi+Card”, que permitiría monitorizar turistas llegados por vía aérea a Canarias, con tratamiento de datos personales referidos al seguimiento de la crisis sanitaria de la COVID-19. "Esta solicitud de información fue reiterada con fecha 8 de julio de 2020", aseguran desde la Aepd.

No existe Delegado de protección de datos

Según ha podido conocer ECA, en octubre de ese mismo año, y con la finalidad de comprobar la comunicación de dicha autoridad a la Aepd -por parte de la Consejería de Sanidad del Gobierno de Canarias- finalmente no constaba dicho Delegado en el intercambio oficial de documentación mantenido con el citado organismo a raíz de la investigación en curso, se constata que no se ha procedido a comunicar a la Agencia Española de Protección de Datos el Delegado de Protección de Datos de la Consejería de Sanidad del Gobierno de Canarias.

De esta manera, la Directora de la Aepd acordó iniciar procedimiento sancionador a la Consejería de Sanidad del Gobierno de Canarias, por la presunta infracción del artículo del artículo 37.1 del RGPD, tipificado en el artículo 83.4 del RGPD, declarando que la sanción que pudiera corresponder sería de apercibimiento, sin perjuicio de lo que resultase de la instrucción, según cita la Agencia.

La Consejería de Sanidad contra las cuerdas

La Consejería de Sanidad presentó el 12 de mayo del 2021 un escrito de alegaciones en el que solicitaba el archivo de las actuaciones, basando su petición en las alegaciones que se exponen a continuación:

“La Administración de la Comunidad Autónoma de Canarias lleva tiempo trabajando para unificar criterios en materia de protección de datos personales. Una de las líneas de actuación ha sido la designación de Delegados de Protección de Datos.(...) En consecuencia, desde el día 1 de mayo, el Delegado de Protección de Datos de esta Consejería es su Secretaría General Técnica, y así se ha procedido a comunicarlo con fecha 5 de mayo (se adjunta el justificante de la comunicación efectuada).”

En consecuencia, 13 de mayo de 2021 se aporta recibo de presentación en el Registro General de la Agencia Española de Protección de Datos, el 5 de mayo de 2021, de la comunicación de alta de Delegado de Protección de Datos de la Consejería de Sanidad.

Imposición de sanción de apercibimiento

La Agencia Española de Protección de Datos teniendo en cuenta las alegaciones de la Consejería y lo dispuesto en los reglamentos establecidos por la ley resuelve que "No cabe atender a lo solicitado por la Consejería de Sanidad en el sentido de que se archiven las actuaciones, toda vez que ha quedado constatado el incumplimiento de lo previsto en el artículo 37 del RGPD durante el período comprendido entre el 25 de mayo de 2018, fecha desde la que el RGPD es aplicable, y el 1 de mayo de 2021, fecha en la que se procede al nombramiento de delegado de protección de datos por parte de dicha entidad."

Por tanto, le impone a la Consejería de Sanidad del Gobierno de Canarias, por lo que considera una infracción tipificada en el artículo 83.4 del RGPD (Reglamento General de Protección de Datos), una sanción de apercibimiento.