El RGPD y la AEPD sentencian: fotografiar el DNI de tus clientes te puede llevar a sanciones de hasta 11.000 euros

La Agencia Española de Protección de Datos multó a una empresa de grúas por inmortalizar el documento nacional de identidad sin consentimiento, vulnerando así la normativa del RGPD

Lo que puede llegar a parecer un trámite inofensivo en un proceso con un cliente se convierte en miles de euros de multa. En marzo del año 2024, un cliente acude a las instalaciones de una entidad a recoger su vehículo. Al llegar, le solicitaron su documento nacional de identidad, siendo éste fotografiado por la persona que le atendió a través de su móvil personal. En este contexto, el usuario en ningún momento fue informado sobre el tratamiento de sus datos personales, además de que esta actuación resultaba obligatoria para que se diera la entrega del vehículo. 

Entre otras irregularidades de la empresa (por ejemplo, tener un sistema de videovigilancia pero no tener un cartel que informe a las personas que asisten a la empresa de grúas que se le está grabando) el cliente decidió alertar a la Agencia Española de Protección de Datos (en adelante, AEPD) al tener dudas sobre si podrían estar vulnerando la normativa vigente en protección de datos, específicamente el Reglamento General de Protección de datos (en adelante, RGPD). Así las cosas, la AEPD terminó condenando a la empresa por no cumplir lo establecido en el mencionado reglamento. En concreto, se vulneraron tres preceptos del que se van a analizar a continuación: 

Artículo 5 RGPD: principios fundamentales del tratamiento de datos

Este precepto dicta que los datos personales serán tratados en base a unos principios determinados: primero de todo la licitud, lealtad y transparencia en relación con el interesado. En consiguiente, también son recogidos con fines determinados, teniendo que ser éstos explícitos y legítimos. Otro principio que le caracteriza sería el de la exactitud: los datos deben ser exactos y si fuera necesario actualizados. Así, se tomarán medidas para que se supriman o modifiquen los datos inexactos.

En el presente caso, lo que la empresa de grúas estaría vulnerando sería el principio de minimización de datos (apartado c), pues solo se pueden adquirir los datos estrictamente necesarios para la finalidad por las que se recogen, es decir, tienen que ser adecuados, pertinentes y adaptados a tal fin y no se percibía ninguna necesidad de fotografiar el documento para la finalidad del tratamiento, ya que se podría haber confirmado la recogida del vehículo a través de otros medios que fueran menos lesivos en materia de protección de datos.

Artículo 32 RGPD: seguridad del tratamiento

La propia resolución de la AEPD cita este precepto en relación con la seguridad del tratamiento: 

1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya (…).

Aplicado a lo ocurrido, los responsables de tratamiento deben adoptar las medidas de seguridad adecuadas que garanticen que el tratamiento es conforme a la normativa vigente para los derechos y libertades de las personas físicas, algo que ha incumplido la mencionada organización.

Artículo 13 RGPD: obligación de informar

Por último, este artículo explica que “cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación: (…); c. los fines del tratamiento al que se destinan los datos personales y la base jurídica del tratamiento; (…)”. De manera general la empresa en ningún momento informó sobre cómo iba a utilizar esa imagen tomada desde el móvil personal de uso de sus empleados, ni tampoco facilitó al cliente información sobre el tratamiento de datos en el momento en que fueron recogidos, algo a lo que estaría obligada.

Con todo esto, la mencionada agencia terminó sancionando a la empresa con 11.000 euros por incumplir estos tres preceptos citados. De hecho, la AEPD lleva varios meses informando sobre otros aspectos relativos al Documento Nacional de Identidad. Por ejemplo, declara que no está permitido solicitar una copia del DNI o del pasaporte en los hospedajes por vulnerar derechos similares a los apreciados en el caso: 

El Real Decreto 933/2021 establece la obligación del titular de la actividad de hospedaje de recoger determinados datos de las personas que hagan uso de sus servicios. La Agencia establece en la nota que esta recogida de información no autoriza a solicitar una copia del documento de identidad del cliente, ya que esto vulneraría el principio de minimización de datos y supondría un tratamiento excesivo. 

Asimismo, la nota sentencia que estos datos podrían recogerse por otro tipo de medios menos intrusivos para el usuario, por ejemplo, a través de un formulario presencial u online. Hoy en día hasta una simple fotografía puede suponer una clara intromisión en los derechos y libertades del usuario acerca de sus datos personales. 

Imagen: freepik