La Agencia Española de Protección de Datos (AEPD) ha sancionado con 30.000 euros a una Clínica por dos infracciones: exigir copia del DNI cuando no es necesario y luego, no atender la reclamación del paciente.
Contenidos de este artículo
¿Qué sucedió en esta Clínica Dental?
Cuando había que hacer algún reembolso a un cliente de cantidades que había adelantado en el pago de su tratamiento, la Clínica Dental exigía obligatoriamente que el cliente les entregase una copia de su Documento Nacional de Identidad, copia que además, conservaba.
La Clínica justificaba pedir esa copia del DNI diciendo que era “para verificar la identidad del cliente y asegurar que el reembolso se realiza a la persona correcta. “
El cliente reclamó por ello y su queja no fue atendida por el responsable de protección de datos de la Clínica, por lo que finalmente, denunció ante la Agencia de Protección de Datos.
En este caso, la resolución de la Agencia de Protección de Datos dicta que la empresa dental ha cometido dos incumplimientos del Reglamento General de Protección de Datos (RGPD).
- En primer lugar, la AEPD ha multado con 20.000 euros por la presunta infracción del artículo 5.1.c) del RGPD por incumplir el principio de minimización de datos al solicitar la fotocopia del DNI, porque según la Agencia no estaba justificado, ya que la clínica ya tenía información suficiente para reembolsar el dinero.
- La segunda infracción, sancionada con otros 10.000 euros, se produjo cuando el cliente envío un correo electrónico a la clínica dirigido a su delegado de protección de datos (DPD) reclamando por la exigencia del DNI para recibir el reintegro. La Clínica no respondió al correo “por descuido, sin intencionalidad, de la persona que recibió la comunicación y debió trasladarla al DPD”.
Así lo explica la Agencia de Protección de Datos en la resolución del Expediente N.º: EXP202302620
“Entiende esta Agencia que la relación contractual que supone la prestación de servicios odontológicos a un cliente (la parte reclamante) justifica el acceso por la parte reclamada a los datos personales de las personas que los reciben, siempre que resulten necesarios para el cumplimiento de las obligaciones que conlleva dicha prestación de servicios; pero no justifica el acceso a toda la información que contiene el documento de identidad del cliente y, menos aún, la recogida y conservación de una fotocopia de este documento sin que exista una base jurídica que así lo justifique.
Dado que el propósito es devolver una cantidad a una persona por cancelación de un tratamiento, u otra causa, quiere decir que se trata de un cliente de la Clínica ya identificado que ha realizado pagos anteriores, de modo que aquel reintegro puede realizarse sirviéndose de la información ya disponible y sin que sea necesario recabar la información adicional a la que se refiere la reclamación. Si como señala la parte reclamante, la parte reclamada ya disponía previamente de su cuenta bancaria y aquella admitía la devolución de cantidad mediante transferencia a dicha cuenta, no existen motivos para requerir copia del documento de identidad del cliente. Y lo mismo puede decirse respecto de los otros medios propuestos por la parte reclamante para que le fuera satisfecha la cantidad en cuestión, como son el pago mediante talón nominativo o el pago en metálico simplemente acreditando su identidad y suscribiendo el correspondiente recibo por la entrega de efectivo.
Siendo así, la recogida de la fotocopia del documento de identidad del cliente, dispuesta con carácter general por la parte reclamada, con toda la información contenida en ese documento, se entiende como un tratamiento de datos personales inadecuados, no pertinentes y no necesarios para el fin específico del tratamiento, contrario a los principios de protección de datos, concretamente, al principio de “minimización de datos”, regulado en el artículo 5.1.c) del RGPD.”
Fuente documental: Expediente N.º: EXP202302620, procedimiento sancionador, Agencia Española de Protección de Datos AEPD (pdf)
Conclusiones
Es una costumbre cada vez más frecuente que en muchos negocios pidan el DNI del cliente. Esta práctica debería ser únicamente exigible en los casos en los que lo permite la ley, pero no al libre albedrío del comerciante.
Entregar copia del DNI supone un doble riesgo: poner datos personales a disposición de más personas y luego, que el documento no sea custodiado de forma debida y la copia del DNI vaya a manos de terceras personas que lo utilicen para cometer fraudes y estafas, normalmente a través de la suplantación de identidad.
Otros artículos relacionados
Recomendaciones para evitar fraudes en la contratación
Asesor jurídico. Graduado en Derecho. Especialidad Derecho laboral y de la Seguridad Social. Miembro de la Asociación Nacional de Laboralistas (ASNALA). Gestor Administrativo colegiado (ICOGAM)
¿Quieres enviarme una consulta? Pulsa aquí.