Den spanska dataskyddsmyndigheten utfärdade en straffsanktion mot företaget Mouro Producciones som anordnar konserter och andra evenemang. Myndigheten fick in ett klagomål från en individ efter att de ansvariga för konserten hade krävt att föräldrar tillhandahåller en kopia av såväl sitt eget samt den minderårigas id-kort för att de båda skulle släppas in. Under granskningen upptäckte myndigheten att företagets policy för behandling av minderårigas personuppgifter var föråldrad och hänvisade till en nationell lagstiftning som inte längre var gällande. Myndigheten fann även att policyn inte besvarade varför kopior av id-korten var nödvändiga, hur kopiorna skulle behandlas eller hur länge uppgifterna skulle sparas av den ansvariga. Företaget argumenterar dock att det var nödvändigt för att de ska kunna förhindra att minderåriga tillträder evenemanget, om de inte omfattas av undantag enligt spansk lag, exempelvis om en vårdnadshavare medföljer.
Dataskyddsmyndigheten menar att företaget har begått överträdelse av principen om uppgiftsminimering samt skyldigheten att lämna information enligt GDPR. Myndigheten konstaterar att enligt GDPR ska personuppgifter endast behandlas om målet inte kan nås på något annat sätt. I detta fall är det inte nödvändigt med kopior av id-kort för att verifiera åldern. Mer personuppgifter än nödvändigt behandlades, och därmed bröt mot principen om uppgiftsminimering i GDPR. Myndigheten konstaterar även att policyn på plats är bristfällig och inte tillhandahåller tillräckligt med information för att de registrerade ska kunna utöva sina rättigheter.
På grund av detta rekommenderade myndigheten en straffsanktion på €20,000. Spansk lag tillåter dock att beloppet minskar om företaget erkänner ansvar och/eller betalar den föreslagna bötessumman. Företaget valde att göra båda och fick således betala en slutgiltig straffsanktion på €12,000.
