Multada con 11.000 euros una empresa de grúas por haber hecho el trabajador una foto del DNI del cliente con su móvil personal
Además de no informar al usuario del tratamiento que se iba a hacer de sus datos personales, la empresa carecía de carteles avisando que era una zona vigilada
La Agencia Española de Protección de Datos (AEPD) ha sancionado con 11.000 euros a una mercantil dedicada al servicio de grúas por llevar a cabo varias actuaciones que vulneran la normativa de protección de datos, como fotografiar el documento de identidad de los usuarios que acuden a las instalaciones, haciendo esto los empleados de la empresa con su móvil personal; no informar sobre el tratamiento que hacen de los datos personales recabados; y carecer de cárteles informando de que hay cámaras de seguridad.
La resolución sancionadora llega a raíz de que el pasado mes de octubre, la AEPD acordase iniciar procedimientos sancionador contra la citada empresa a raíz de que un ciudadano interpusiera una reclamación.
La parte reclamante ponía en conocimiento de la Agencia que cuando fue a recoger un vehículo a las instalaciones de la mercantil, le solicitaron aportar su documento de identidad, siendo este fotografiado por la misma persona que le atendió en el establecimiento con su móvil personal, sin ser informada sobre el tratamiento de sus datos y condicionando la entrega del vehículo a dicha actuación.
Asimismo, en la reclamación se informaba a la Agencia de que las instalaciones contaban con un sistema de videovigilancia que carecía de carteles de zona videovigilada.
Junto al escrito de reclamación se aportó una copia del documento expedido por la empresa de grúas a fecha en la que se recogió el vehículo y en la que se veía una fotografía del DNI de la reclamante escaneada y con un texto que indicaba que la mercantil hacía fotocopia del documento de identidad de la persona para demostrar que recogía el vehículo.
Respecto a la fotografía del anverso del DNI que se realizó por parte de un empleado de la empresa de grúas —con el objetivo de demostrar que la persona recogía el vehículo—supuso para la AEDP un “tratamiento excesivo” de los datos personales y “contrario al principio de minimización de datos”. Pues, los datos de la parte reclamante podrían haberse recogido de manera “menos invasiva, siendo suficiente con su mera exhibición y, en su caso, anotación”.
El artículo 5.1. c) del Reglamento General de Protección de Datos (RGPD), relativo al principio minimización, vincula el uso de los datos personales a la necesidad prevista para el cumplimiento de la finalidad del tratamiento. En este sentido, la Agencia explica que, “según dicho apartado, los datos personales serán adecuados, pertinentes y limitados a la necesidad, para la que fueron recabados, de tal manera que, si el objetivo perseguido pudiera haberse alcanzado sin realizar dicho tratamiento, el mismo debería haberse evitado”.
Por tanto, la mercantil vulneró el artículo 5.1. c) RGPD, motivo por el cual ha sido sancionada con una multa administrativa de 3.000 euros.
En lo que respecta al hecho de que la fotografía del DNI fuera tomada por el trabajador que atendió a la parte reclamante con su teléfono móvil personal, la AEPD ha recordado que el responsable y encargado del tratamiento de datos personales, conforme a lo establecido en el artículo 32 del RGPD, tiene la obligación de aplicar medidas técnicas y organizativas necesarias que aseguren que dicho tratamiento es conforme a la normativa vigente y, al mismo tiempo, que esas medidas sean adecuadas y proporcionadas al riesgo que conlleva el tratamiento realizado.
“Por tanto, este principio aplicado a la toma de los datos de un cliente que resulte necesario para la actividad exige que dicho tratamiento deba realizarse con métodos técnicos y organizativos que garanticen la seguridad y confidencialidad de los datos personales”, señala la autoridad competente en la resolución. Circunstancia que no ocurrió en el presente caso, ya que la mercantil no adoptó las medidas de seguridad adecuadas para evitar la captación de la imagen del DNI de un usuario por parte de uno de sus empleados.
En consecuencia, los hechos son constitutivos de una infracción por vulneración del artículo 32 del RGPD, razón por la cual la Agencia Española de Protección de Datos ha impuesto otra multa administrativa de 2.000 euros a la empresa de grúas.
La parte reclamante también ponía en conocimiento de la AEPD que la mercantil, pese a condicionar la entrega del vehículo a la identificación de la persona que lo recogía, no le informó sobre el tratamiento que iba a hacer de sus datos personales. Y así ha quedado acreditado con la documentación aportada por la reclamante, de la cual no consta que la empresa de grúas facilitara al cliente información alguna sobre dicho tratamiento en el momento en el que se recabaron sus datos personales para la recogida.
La Agencia ha recordado que el responsable del tratamiento de datos está obligado a facilitar esa información acerca del tratamiento de los datos personales, pues así lo dispone el artículo 13 del RGPD. “Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información”, y ello en aras de garantizar un tratamiento de datos leal y transparente.
“Esta ausencia de información puede producir en el interesado una pérdida de control sobre sus datos y causar, entre otras consecuencias, una limitación en varios de los derechos de la parte reclamante como los relativos al acceso, rectificación o supresión de sus datos personales al no poseer la información necesaria para poder ejercitarlos (como la identidad y los datos del responsable)”, señala la AEPD.
Por tanto, de conformidad con las evidencias, se considera que los hechos son constitutivos de una infracción por vulneración del artículo 13 del RGPD, motivo por el cual se ha impuesto otra multa administrativa de 3.000 euros a la empresa de grúas.
Por último, en lo que respecta al hecho de que la empresa de grúas tendría instaladas cámaras de videovigilancia en el establecimiento sin disponer de un cartel informando de que la zona está siendo videovigilada, la Agencia ha señalado al respecto que ello supone una infracción por vulneración del artículo 13 del RGPD, otra vez, motivo por el cual ha impuesto a la mercantil otra sanción de multa administrativa de 3.000 euros.
Si bien es cierto que la empresa está legitimada para llevar a cabo el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de sus bienes, así como de sus instalaciones —conforme a lo dispuesto en el artículo 22 de la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)—, no obstante, deberá de informar a los interesados de que está captando su imagen.
Pues, el artículo 12.1 del RGPD indica que “quien lleve a cabo un tratamiento de datos personales, como es la captación de imágenes mediante un sistema de videovigilancia, deberá suministrar a los interesados la información indicada en los artículos 13 y 14 del RGPD”, y ello para que el deber de información (artículo 12 RGPD) se cumpla de manera concisa y comprensible para el afectado.
Por ende, la AEPD explica en este punto que ese deber de información “se entenderá cumplido mediante la colocación de un dispositivo informativo en lugar suficientemente visible, y como mínimo, en los accesos a las zonas vigiladas ya sean interiores o exteriores”, con el objetivo de quede claro el contexto de la vigilancia.
Fuente: https://www.economis...movil-personal/
