Multa de 11.000 euros a una empresa de grúas porque un trabajador fotografió el DNI de un cliente con su móvil personal

Sanción ejemplar de la Agencia Española de Protección de Datos a una empresa de grúas. Deberá pagar 11.000 euros después de que un empleado sacara con su móvil personal una foto del DNI del cliente sin su consentimiento.

Los hechos tuvieron lugar en marzo del pasado año cuando al ir a recoger su coche a las instalaciones de la mercantil le solicitaron el documento de identidad, «siendo fotografiado el mismo por la persona que le atendió en dicho establecimiento con su móvil personal, sin ser informado sobre el tratamiento de sus datos, y supeditando la entrega del vehículo a dicha actuación». Ante tal situación y sospechando que contravenía la normativa, decidió denunciarlo ante la Agencia Española de Protección de Datos (AEPD). Además, informó de que la empresa contaba con un sistema de videovigilancia, pero no había carteles que informaran de ello a los clientes.

En la resolución consultada por este periódico, se detalla que la empresa realizó una fotografía del anverso del DNI con el objetivo de demostrar que el cliente recogía el vehículo. En este sentido, la AEPD argumenta que la normativa, relativa al principio de minimización, vincula la utilización de los datos personales a la necesidad prevista para el cumplimiento de la finalidad del tratamiento. Según la cual los datos personales serán, «adecuados, pertinentes y limitados a la necesidad», para la que fueron recabados, de tal manera que, si el objetivo perseguido pudiera haberse alcanzado sin realizar dicho tratamiento, el mismo debería haberse evitado. «Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios».

Por otra parte, Protección de Datos recuerda que el responsable del tratamiento de datos personales debe aplicar las medidas necesarias que garanticen que se hace conforme a la normativa vigente. «El RGPD, en su artículo 32, exige a los responsables del tratamiento la adopción de las correspondientes medidas de seguridad de índole técnica y organizativa necesarias que garanticen que el tratamiento es conforme a la normativa vigente, así como garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo los pueda tratar siguiendo instrucciones del responsable», recoge la resolución.

En la misma se concluye que la empresa no adoptó estas medidas de seguridad para evitar la captación de la imagen del DNI del cliente por parte de uno de sus trabajadores y por tanto son constitutivos de una infracción por vulneración de aquel artículo, sancionada con 2.000 euros.

Además, la empresa tampoco facilitó al cliente información sobre el tratamiento de datos en el momento en que fueron recogidos, algo a lo que está obligada, tal y como recoge el artículo 13 del RGPD. «Esta ausencia de información puede producir en el interesado una pérdida de control sobre sus datos y causar, entre otras consecuencias, una limitación en varios de los derechos de la parte reclamante como los relativos al acceso, rectificación o supresión de sus datos personales al no poseer la información necesaria para poder ejercitarlos (como la identidad y los datos del responsable)», precisa la AEPD. Una vulneración de tal artículo que la AEPD ha sancionado con otros 3.000 euros.

Con respecto a no informar con cartelería visible de la instalación de un sistema de videovigilancia, Protección de Datos ha impuesto igualmente una multa de 3.000 euros. «Se entenderá cumplido mediante la colocación de un dispositivo informativo en lugar suficientemente visible, y como mínimo, en los accesos a las zonas vigiladas ya sean interiores o exteriores».

En resumen, la empresa se ha enfrentado al abono de 3.000 euros por la infracción del art. 5.1.c) por no observar el principio de minimización de datos al captar la imagen del DNI del cliente; 2.000 euros por la infracción del art. 32 por carecer de las medidas de seguridad de índole técnica y organizativa necesarias al utilizar un teléfono móvil personal para realizar la fotografía del DNI del cliente; 3.000 euros por la infracción del art. 13 por no facilitarle información al interesado y, por último, otros 3.000 euros por la infracción también del art. 13 por no disponer de los carteles de zona videovigilada. En total, por la suma de todas esas infracciones, 11.000 euros.

• Temas
• Multa
• Agencia Española de Protección de Datos