Índice
Una empresa de grúas ha recibido una multa de 8.000€ por sacarle una foto al DNI de un cliente usando el móvil de un empleado y no informarle sobre el tratamiento de sus datos personales
¿Alguna vez un repartidor te ha pedido sacarle una foto a tu DNI antes de entregarte un paquete? ¿Has ido a recoger un pedido en una tienda y te han escaneado el DNI? ¿Tu coche tuvo que se transportado por una grúa y el negocio fotocopió tu DNI al pasar a recoger el vehículo? Cualquiera de estas actuaciones transgrede el Reglamento General de Protección de Datos (RGPD).
Si hace unos meses, la Agencia Española de Protección de Datos (AEPD) concluía que no es legal que te escaneen el DNI en un hotel, ahora ha sancionado a una empresa de grúas por cuatro vulneraciones del RGPD ligadas, por un lado, a la exigencia de sacarle una foto al DNI de un cliente y, por otro, al hecho de disponer de un sistema de videovigilancia sin señalizar.
Hemos aprovechado este dictamen de la AEPD para explicarte por qué sacarle una foto al DNI de un cliente vulnera la normativa de protección de datos y cuáles son las consecuencias económicas y reputacionales a las que se expone un negocio que lleve a cabo esta clase de procedimiento.
Sacarle una foto al DNI de un cliente no cumple con el principio de minimización de datos
En el caso analizado por la AEPD, la empresa de grúas le había exigido a la persona que presentó la reclamación ante este organismo que permitiese que se le sacara una foto a su DNI para devolverle su automóvil.
De hecho, el ciudadano adjuntó a su reclamación un documento sellado y firmado por la empresa en el que figura la fotografía del DNI y en el que el negocio afirma que ha efectuado dicha fotografía para demostrar que el reclamante recogió el coche «como autorizado del vehículo».
¿Dónde radica el problema de sacarle una foto al DNI de un cliente? En que esta actuación puede infringir el artículo 5.1.c) del RGPD. Este precepto establece que los datos personales recogidos deben ser:
- Adecuados.
- Pertinentes.
- Limitados a lo necesario en relación con los fines para los que son tratados.
A esto se le denomina principio de minimización de datos. Y, al entender de la AEPD, sacarle una foto al DNI de un cliente para comprobar su identidad vulnera este principio. ¿Por qué? Según la resolución, la empresa podría haber optado por un sistema mucho menos invasivo y limitado:
- Solicitar que la persona exhibiera su documento de identidad.
- Anotar su número de DNI.
La multa máxima por infringir este artículo del RGPD puede ascender hasta los 20 millones de euros o el 4% del volumen de negocio anual en todo el mundo de la empresa incumplidora. En este caso, la AEPD decidió sancionar esta vulneración del principio de minimización de los datos con una multa de 3.000€.
Usar el móvil particular de un trabajador para sacarle una foto al DNI de un cliente también infringe el RGPD
El negocio no solo procedió a sacarle una foto al DNI de un cliente, sino que, además, llevó a cabo esta acción desde el teléfono personal de un empleado.
Esta acción vulnera, según la AEPD, el artículo 32 del RGPD. Este precepto establece que las empresas responsables del tratamiento de datos personales deben:
- Implementar medidas técnicas y organizativas que les permitan garantizar un nivel adecuado de la seguridad de los datos, lo que puede incluir la seudonimización o cifrado de datos, así como mecanismos para garantizar su confidencialidad.
- Tomar medidas para que cualquier persona bajo su dirección y con acceso a datos personales los trate siguiendo sus directrices.
Permitir que un profesional pueda usar su teléfono móvil personal para sacarle una foto al DNI de un cliente no parece una medida organizativa adecuada para salvaguardar información personalísima como la del DNI que se puede emplear para cometer fraudes digitales contra los consumidores.
El RGPD establece que la multa por infringir este precepto puede ascender hasta los 10 millones de euros o el 2% de la facturación anual de la empresa. En este caso, la AEPD optó por imponer 2.000 euros de sanción a la empresa de grúas.
Es imprescindible informar a los clientes sobre el tratamiento de sus datos personales
Además de sacarle una foto al DNI de un cliente, el negocio sancionado por la AEPD no informó a dicho ciudadano sobre su política de tratamiento de datos personales. Esta acción es obligatoria a tenor de lo dispuesto en el artículo 13 del RGPD que dicta que, en el momento en que se recaban datos personales, es obligatorio informar sobre cuestiones críticas como:
- La identidad y la información de contacto del responsable del tratamiento.
- Los fines del tratamiento de datos. Es decir, para qué se van a usar.
- El plazo durante el que la empresa va a conservar los datos recabados.
- El derecho del ciudadano a solicitar:
- El acceso, rectificación o supresión de sus datos.
- La limitación del tratamiento de datos o la oposición al mismo.
- El derecho a presentar una reclamación ante la AEPD.
- Si la comunicación de los datos personales es un requisito (legal, contractual o para suscribir un contrato) y cuáles son las consecuencias de no aportar esta información.
Tras analizar el caso, la AEPD concluyó que la empresa no había aportado ninguna información sobre el tratamiento de los datos personales cuando fueron recabados en el momento de recogida del coche. Esto pudo haber producido que el cliente:
- Perdiese el control sobre sus datos.
- Viese limitado su derecho al acceso, la rectificación o la supresión de sus datos, al no tener en su poder la información necesaria para ejercitarlos.
Como consecuencia de ello, la AEPD le impuso a la empresa una multa de 3.000 euros. ¿Hasta qué cifra pueden ascender las sanciones por vulnerar el artículo 13 del RGPD? 20 millones de euros o el 4% del volumen de negocio global de la empresa incumplidora.
No se puede contar con un sistema de videovigilancia sin informar a los consumidores
Si sumamos las tres multas que hemos señalado nos encontramos con una sanción global de 8.000 euros, pero, como ya apuntamos al inicio de este artículo, el negocio no solo vulneró la normativa de protección de datos al sacarle una foto al DNI de un cliente, sino que, además, contaba con un sistema de videovigilancia del que no se informaba a los ciudadanos.
Entiende la AEPD que disponer de cámaras de videovigilancia para proteger las instalaciones y los bienes de la empresa es perfectamente lícito. Sin embargo, para cumplir con el artículo 13 del RGPD es necesario informar previamente de ello. ¿Cómo se puede hacer? Colocando un dispositivo informativo en los accesos a las zonas vigiladas.
La empresa de grúas sancionada no había puesto ningún cartel informativo de que el negocio se trataba de un espacio videovigilado. Por lo que le impuso una cuarta multa de 3.000 euros. De tal forma que el importe total de las sanciones ascendió a los 11.000 euros, una cifra que puede alterar la salud financiera de una pyme.
En definitiva, escanear, fotocopiar o fotografiar el DNI de clientes es una práctica que, en la mayoría de los casos, vulnera la normativa de protección de datos, por lo que las empresas solo deben recurrir a ella cuando sea absolutamente imprescindible.
Desde la óptica de los ciudadanos, es importante que conozcan sus derechos y que sepan que pueden oponerse a prácticas como sacarle una foto al DNI de un cliente para dejar constancia de su identidad. Y, además, tienen derecho a que se les informe sobre el tratamiento de sus datos personales y acudir a la AEPD en caso de que crean que sus derechos han sido vulnerados.
