La Agencia Española de Protección de Datos ha sancionado con 30.000 euros a una clínica dental por una infracción del art. 5.1.c) RGPD y por otra infracción del art. 38 RGPD, debido a que, por un lado, se solicitó copia del DNI de la reclamante para realizar una devolución de cantidad por un tratamiento no recibido; y por otro lado, no se dio respuesta por parte del DPD de la clínica, a las preguntas efectuadas con motivo de esta solicitud por parte de la interesa, denotando la inactividad o inoperatividad del DPD del centro médico.
La parte reclamante considera que “no se justifica la necesidad de disponer del DNI fotocopiado para conseguir el fin perseguido, el reintegro”.
Antes de presentar la reclamación ante la AEPD, la reclamante, “envió un correo electrónico a la Clínica, dirigido a su delegado de protección de datos, sin que haya recibido respuesta”.
Tras estos sucesos la parte reclamante interpuso reclamación ante la AEPD conta esta entidad en fecha 01/02/2023.
Primeramente, la Agencia Española de Protección de Datos, “dio traslado de dicha reclamación a la parte reclamada para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.”
El traslado, fue recogido por el responsable, y en fecha 31/03/2023 la parte reclamada, indica que el tratamiento realizado de este DNI está justificado porque “las gestiones administrativas, incluida la tramitación de reembolsos del saldo a favor en los monederos de los pacientes y/o clientes, se gestionan desde el departamento de administración (…) en las oficinas centrales. (…) De esta manera, el Delegado de Protección de Datos ha valorado que esta práctica cumple con el principio de minimización y limitación, ya que solo se recopilan los datos personales necesarios para cumplir con la finalidad específica de la gestión del reembolso, resultando necesaria, adecuada y pertinente la recopilación del DNI para acreditar la identificación inequívoca, (…). Del mismo modo, no se han encontrado medidas alternativas igual de efectivas y seguras.”
El día 27/04/2023 se admitió a trámite la reclamación presentada por la reclamante, y con fecha 21/07/2023, se acordó el inicio del procedimiento sancionador por parte de la AEPD a la parte reclamada, por la presunta infracción del art. 5.1.c) del RGPD y artículo 38 del RGPD, tipificadas, respectivamente, en los artículos 83.5. a) y 83.4.a) del RGPD.
De las actuaciones de la AEPD, quedó probado que “la parte reclamante es cliente de la parte reclamada, que presta servicios médicos y explota varias clínicas odontológicas. Dicha relación contractual generó una obligación de reintegro de cantidad por la parte reclamada a favor de la parte reclamante. Para hacer efectivo el pago de estos reintegros de cantidad, la parte reclamada ha dispuesto que sus clientes le aporten copia de su documento de identidad y así lo exigió a la parte reclamante” y que “la parte reclamante envió un correo electrónico a la parte reclamada, dirigido a su delegado de protección de datos, en relación con la exigencia de copia de su documento de identidad para recibir el reintegro de la cantidad que le adeuda la parte reclamada. Este correo electrónico no fue remitido por la parte reclamada a su DPD, por lo que las cuestiones planteadas por la parte reclamante no fueron respondidas por éste.”
La AEPD indica que a tenor del art. 5.1.c) del RGPD, “dado que el propósito es devolver una cantidad a una persona (…) quiere decir que se trata de un cliente de la Clínica ya identificado que ha realizado pagos anteriores, de modo que aquel reintegro puede realizarse sirviéndose de la información ya disponible y sin que sea necesario recabar la información adicional a la que se refiere la reclamación. (…) no existen motivos para requerir copia del documento de identidad del cliente. Y lo mismo puede decirse respecto de los otros medios propuestos por la parte reclamante para que le fuera satisfecha la cantidad en cuestión, como son el pago mediante talón nominativo o el pago en metálico simplemente acreditando su identidad y suscribiendo el correspondiente recibo por la entrega de efectivo. (…) la recogida de la fotocopia del documento de identidad del cliente, (…) se entiende como un tratamiento de datos personales inadecuados, no pertinentes y no necesarios para el fin específico del tratamiento, contrario, (…) al principio de “minimización de datos”.
Continúa diciendo la AEPD, en lo que se refiere a la infracción cometida del art. 38 RGPD que “la parte reclamada ha señalado que la reclamación dirigida por la parte reclamante al DPD de la entidad no fue trasladada a éste por un descuido, sin intencionalidad, (…). Sin embargo, entiende esta Agencia que no trasladar la reclamación al DPD equivale a no darle curso, a no tramitarla por un mal funcionamiento de los canales internos dispuestos por la misma, lo que no puede admitirse como un error involuntario. (…) En modo alguno puede considerarse que el error que alega haber cometido excluya su responsabilidad, puesto que, (…) no puede estimarse la existencia de tal error cuando éste es imputable a quien lo padece o pudo ser evitado con el empleo de una mayor diligencia.”
Por todo lo mencionado anteriormente, la AEPD, en la resolución del procedimiento sancionador considera la existencia de una infracción del art. 83.5 y 83.4 RGPD, por la recogida indebida de copia de los documentos de identidad de los clientes de la parte reclamada y por no dar curso a una reclamación dirigida por la parte reclamante al DPD de la parte reclamada. Se acordó imponer una multa de 20.000€ por la primera infracción y de 10.000€ por la segunda.
Asimismo, se acordó el cese inmediato del tratamiento por parte de esta entidad, absteniéndose de seguir solicitando dicha copia del documento nacional de identidad.
En definitiva, aquellas entidades privadas de ámbito sanitario o empresas que no cumplan con el principio de minimización de datos, así como con la concienciación de su personal sobre la importancia de la figura del DPD; deben saber que es altamente probable que la AEPD les sancione, si bien, pueden evitarlo contratando los servicios de técnicos y especialistas jurídicos en la materia, como Unive Abogados, que cuenta con una amplia experiencia en adaptación de empresas privadas a la normativa de protección de datos, y con Delegados de Protección de Datos puestos a su disposición.
Puede leer la resolución del expediente N.º: EXP202302620 aquí.