Partiendo del principio de que los datos personales recabados deben ser adecuados, pertinentes y limitados a la necesidad para la que son recabados, la Agencia sanciona a una empresa porque para el acceso a los conciertos solicita que se cumplimente el "documento de acceso a menores de 16 años" por parte de padres, madres o tutores legales para poder permitir la entrada de los menores a estos eventos y además exige la presentación de fotocopia del DNI del progenitor o tutor que autoriza y que se quedará en poder de la empresa.
Esta recogida de la fotocopia del documento de identidad del cliente con toda la información contenida en ese documento, es un tratamiento de datos personales contrario al principio de "minimización de datos".
También se aprecian irregularidades en el "documento de acceso a menores de 16 años". La información básica sobre protección de datos, está desactualizada y hace referencia a la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal (LA LEY 4633/1999); además, en este documento no se hace referencia al tratamiento que se va a realizar de los datos obtenidos a través de la copia del DNI y tampoco del plazo de conservación de los mismos.
Detecta también la Agencia que en la política de protección de datos, no se aportan datos suficientes de la empresa para poder ejercitar ante ella los derechos de los interesados establecidos en el RGPD, en concreto, el derecho establecido en el artículo 17 "derecho de supresión".
La empresa sancionada debe adoptar todas las medidas adecuadas para ajustar su actuación a la normativa de aplicación y la imposición de esta medida es compatible con la sanción consistente en multa que se acuerda imponer por importe de 20.000 euros, de los que la sancionada ha hecho pago de 12.00 haciendo uso de las reducciones previstas en el Acuerdo de inicio del expediente sancionador.