Hay acciones que, aunque estén normalizadas, no significa que sean correctas. Ni mucho menos legales. Un ejemplo está en el tratamiento de los datos que se hace de los clientes. En este sentido, la Agencia Española de Protección de Datos (AEPD) impuso una multa de 11.000 euros a una empresa de grúas después de que uno de sus empleados fotografiara con su móvil personal el DNI de un cliente sin su consentimiento y sin informarlo del tratamiento de su información personal, entre otras irregularidades.
Fue el 11 de marzo de 2024 cuando la persona afectada, que había ido a la empresa de grúas para recoger su coche, presentó una reclamación ante la AEPD. El motivo fue que, en dicha empresa, le solicitaron aportar su DNI “siendo fotografiado el mismo por la persona que le atendió en dicho establecimiento con su móvil personal, sin ser informado sobre el tratamiento de sus datos, y supeditando la entrega del vehículo a dicha actuación, lo que entiende contraviene la normativa de protección de datos”.
Asimismo, señaló que las instalaciones contaban con un sistema de videovigilancia pero que no había colocado ningún cartel que informara sobre ello, como exige la ley. Por todo ello, sospechando que podrían haber vulnerado la normativa vigente, decidió ponerlo en conocimiento de la Agencia Española de Protección de Datos.
Cuatro sanciones diferentes con multa
Tal como se puede ver en la resolución de la Agencia Española de Protección de Datos, se detectaron hasta cuatro infracciones diferentes, cada una con su correspondiente sanción. En primer lugar, se produjo una vulneración del principio de minimización de datos (artículo 5.1.c del Reglamento General de Protección de Datos, RGPD), ya que la empresa realizó una fotografía del DNI del cliente con el objetivo de demostrar la recogida del vehículo.
Esta acción, según la AEPD, constituyó “un tratamiento excesivo” de los datos personales, ya que la situación podría haberse resuelto con la mera exhibición del DNI y, en su caso, la anotación de los datos necesarios, sin la necesidad de capturar una imagen completa. Por la misma, establecieron unos 3.000 euros de sanción.
En segundo lugar, se constató una falta de medidas de seguridad en el tratamiento (artículo 32 del RGPD). Es así porque la fotografía del DNI se realizó con el móvil personal de un trabajador, por lo que la agencia señaló que la empresa no había adoptado las medidas de seguridad, técnicas y organizativas adecuadas para garantizar la seguridad y confidencialidad de los datos personales. La propuesta inicial de sanción fue de 2.000 euros.
La tercera sanción se produjo por la omisión de la empresa de su deber de informar al cliente sobre el tratamiento de sus datos personales (artículo 13 del RGPD), ya que la compañía no facilitó ninguna información sobre el tratamiento de sus datos en el momento en el que los solicitó para la recogida del vehículo. Esto, según la agencia, limitaba la capacidad del cliente para ejercer sus derechos. La sanción propuesta fue también de 3.000 euros.
En último lugar, la cuarta sanción fue porque las instalaciones contaban con cámaras de videovigilancia, pero carecían de carteles informativos de zona videovigilada (artículo 13 del RGPD). El RGPD y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, exigen un sistema de “información por capas”, empezando por un cartel visible que informe de la existencia del tratamiento y la identidad del responsable. La falta de estos carteles impide a los afectados conocer que están siendo grabados y ejercer sus derechos. En este caso, la propuesta de sanción inicial fue también de 3.000 euros.
En total, la suma de todas estas infracciones alcanzó los 11.000 euros, aunque la sanción se quedó en 6.600 porque la empresa reconoció su responsabilidad y se acogió al pago voluntario.
