La Agencia Española de Protección de Datos ha sancionado a una clínica dental por exigir a una clienta el DNI, para la devolución de un dinero que habían cobrado de más, además, la reclamación que interpuso la demandante sobre este hecho no fue trasladada a su delegado de protección de datos.
La empresa argumentaba que los datos solicitados a la afectada eran necesarios para cumplir con la transferencia que se iba a realizar, indicando que se necesitaba la recopilación del DNI para acreditar la identificación y garantizar que el reembolso se produzca a la persona correcta.
Aseguraba que las medidas eran la alternativa para que se produjera una transacción segura y efectiva, y, que la copia que se había realizado sobre el documento sería conservada durante el tiempo mínimamente necesario. Sin embargo, la AEPD indica que no existen motivos para requerir la copia del documento de identidad dado que la empresa ya disponía del número de cuenta.
La AEPD entiende que la empresa al prestar servicios odontológicos deba acceder a los datos de las personas que solicitan los servicios, siempre que se dé el caso de que sean necesarios para la prestación de servicios.
No obstante, la prestación de estos servicios, no justifica el acceso a toda la información que contiene el documento, entendiéndose como un tratamiento de datos personales inadecuados, no pertinentes y no necesarios para el fin especifico del tratamiento, contrario a los principios de protección de datos indicados en el artículo 5.1.c del RGPD.
Además, la reclamación que se presentó por parte de la reclamante no fue trasladada por la organización ante el delegado de protección de datos, alegando la empresa que la reclamación no fue trasladada por un descuido.
Sin embargo, la Agencia indico que, al no haber trasladado la reclamación, corresponde “a no darle curso, a no tramitarla por un mal funcionamiento de los canales internos dispuestos por la misma, lo que no puede admitirse como un error involuntario”
La AEPD ante lo sucedido no puede admitir la actuación de la parte demandada, ya que si se admitiera la actuación de la parte demandada se admitiría que no procede exigir responsabilidad por este hecho, indicando de esta manera que se puede ignorar la aplicación del RGPD y LOPDGDD, desvirtuando la figura del delegado de protección de datos, en el que se contempla la obligación de responder aquellas reclamaciones en todo caso.
Por consiguiente, los hechos expuestos indican que la empresa no obró con la diligencia a la que venía obligada, y, en materia de protección de datos de carácter personal, la jurisprudencia entiende “que basta con la simple negligencia o incumplimiento de los deberes que la que la Ley impone a las personas responsables de ficheros o del tratamiento de datos de extremar la diligencia”.
Para concluir, tras lo expuesto anteriormente la Agencia Española de Protección de Datos ha resuelto imponiendo a la reclamada una multa de 20.000 euros y una multa de 10.000 euros, un total de 30.000 euros de sanción, ya que las actuaciones cometidas por la empresa suponen la infracción del art. 5.1. c), calificada como muy grave; y del art. 38 del RGPD, calificada como grave.
