Multa de 30.000 euros por pedir una fotocopia del DNI a un cliente: la AEPD vigila

No es la primera multa que la Agencia Española de Protección de Datos (AEPD) impone por solicitar una fotocopia o foto del Documento Nacional de Identidad (DNI) de una persona. En esta ocasión una clínica dental de Barcelona deberá pagar 30.000 euros por pedir una copia del DNI de un paciente para realizarle un reembolso de dinero. Una práctica que según la AEPD no era necesaria para hacer la devolución del dinero.

Pedir una foto o fotocopia del DNI se ha hecho una práctica habitual principalmente en hoteles o incluso en organismos públicos o bancos, pero no es lo recomendable. Este documento contiene información sensible con datos que si caen en las manos equivocadas pueden ser usados para estafas o ciberdelincuencia. Por este motivo, la AEPD vigila y pone multas económicas a las empresas que solicitan estas copias del DNI cuando no es necesario.

La empresa es responsable al pedir copia del DNI

La sanción de 30.000 euros fue impuesta a una clínica dental de Barcelona, por solicitar una copia del DNI de un cliente, al que debían hacerle un reembolso de dinero por haber pagado de más. En este caso, la AEPD ha entendido que no era necesario, porque ya tenían todos los datos del paciente, y que no procedía para hacer la devolución del dinero. 

De esta manera, se considera que la empresa incumplió el artículo 5.1.c del Reglamento General de Protección de Datos (RGPD), donde se recoge el principio de minimización de datos. La AEPD señala que “si existen otras medidas menos gravosas que cumplen con el fin de la identificación, lo recomendable es abstenerse” de fotocopiar el DNI de una persona Debido a que “su uso indebido o sin las garantías suficientes puede tener múltiples efectos desfavorables para el titular de los datos”. Por este incidente la clínica fue multada con 20.000 euros.

Desde la empresa alegan que se ha pedido la copia del DNI justamente para evitar posibles fraudes y suplantaciones de identidad, sin embargo, la AEPD, considera que no era necesario para el reembolso. Que ya contaban con información suficiente del paciente para devolverle el dinero y ha resaltado que es responsabilidad de las empresas el tratamiento de los datos personales. 

Otros 10.000 euros por no responder correos

A la multa de 20.000 euros, la AEPD ha sumado otros 10.000 euros, por una segunda infracción cometida por la clínica. El cliente había enviado un correo electrónico a la empresa, dirigido también al delegado de protección de datos, con respecto a la solicitud de una copia del DNI. Pero este email, no le fue enviado al delegado, por lo que no fue respondido.

Según la clínica dental esto fue un descuido, sin intención pero que la AEPD considera una infracción, según lo establecido en el artículo 38 del RGPD, multando con otros 10.000 euros, llegando así al total de 30.000.