Otra sanción por parte de la Autoridad por pedir copia del DNI sin base legitimadora.

La Agencia Española de Protección de Datos (en adelante, AEPD) ha impuesto una nueva sanción de 30.000 euros a una entidad por solicitar a la parte reclamante una copia de su DNI como requisito para reembolsarle una cantidad pagada.

En este sentido, la parte reclamada justificó su decisión afirmando que la solicitud del documento nacional de identidad se realizó con la finalidad de verificar la identidad del paciente y así tramitar su reembolso con la diligencia debida.

En todo caso, la Agencia entiende que la relación contractual que supone la prestación de servicios (de carácter ontológico en este caso) a un cliente justifica el acceso por la parte reclamada a los datos personales de las personas que los reciben, siempre que resulten necesarios para el cumplimiento de las obligaciones que conlleva dicha prestación de servicios; pero no justifica en ningún caso el acceso a toda la información que contiene el documento de identidad del cliente y menos aun la recogida y conservación de una fotocopia de dicho documento.

Además, continúa afirmando que dado que la parte reclamante se trataba de un cliente ya identificado, dicho reintegro podía realizarse sirviéndose de la información ya disponible, sin necesidad de recabar la información adicional a la que se refiere la reclamación.

Por todo lo anterior, dicho tratamiento de datos personales se entiende inadecuado, no pertinente y no necesario para el fin específico del tratamiento y contrario al principio de “minimización de datos” recogido en la normativa de protección de datos.

Finalmente, se pudo verificar que la parte reclamante remitió un correo electrónico a la dirección del delegado de protección de datos de la entidad reclamada, no obstante, esta no fue trasladada a este por la organización, impidiendo dar solución a las cuestiones planteadas por la reclamante. Esta actuación pone de manifiesto que la parte reclamada no obró con la diligencia debida, lo que supone una infracción del artículo 38 del Reglamento General de Protección de Datos (en adelante, RGPD).

Así, la AEPD falló imponiendo una multa a la parte reclamada de 30.000 euros por infracción del artículo 5.1.c) y 38 del RGPD.

Puedes consultar la resolución completa, haciendo clic aquí.

Suscríbete a nuestra Newsletter

¡Únete a nuestra lista de contactos y recibe las últimas noticias de Privacidad, Derechos digitales y Ciberseguridad!

¡Gracias! Hemos recibido su mail correctamente