La Agencia Española de Protección de Datos ha impuesto una multa de 11.000 euros a una empresa española de grúas tras comprobar que uno de sus empleados tomó una fotografía del DNI de un cliente con su teléfono móvil. Algo que se produjo sin ningún consentimiento ni con información alguna sobre el tratamiento de sus datos.
Fue el propio cliente quien denunció que para recoger su propio vehículo le exigieron mostrar el DNI con la fotografía incluida, la condición para que pudiese recoger su vehículo del depósito. Aparte de ello, la propia AEPD detectó más infracciones, como la falta de medidas de seguridad, la omisión de informar al cliente o la ausencia de carteles informativos de zonas videovigiladas de las instalaciones.
Tras el reconocimiento de la responsabilidad por parte de la empresa, y acogerse al pago voluntario, esta logró reducir la sanción a 6.600 euros. Pero aun así, este caso sirve para demostrar la importancia de cumplir con la debida protección de datos personales y sus correspondientes sanciones al respecto.
La multa por fotografiar un DNI sin consentimiento
La AEPD ha impuesto una multa de 11.000 euros a una empresa de grúas española bajo el sumatorio de varios conceptos. En primer lugar, interpuso 3.000 euros de multa tras descubrir que uno de sus empleados fotografió el DNI de un cliente con su propio teléfono personal sin ningún consentimiento. Según informó la propia Agencia Española de Protección de Datos, este mismo acto supone que se vulneró el principio de minimización de datos establecido en el artículo 5.1c del Reglamento General de Protección de Datos.
Dicho artículo obliga a que el tratamiento de nuestros datos sean adecuados, pertinentes y limitados a lo necesario respecto al propósito para el que se solicitan. En este caso, el hecho de mostrar el DNI y la anotación de los datos necesarios habrían sido suficientes para recoger el vehículo. Pero el acto de tomar una fotografía se considera un tratamiento excesivo y no justificado.
Falta de medidas de seguridad en el tratamiento de datos
Pero la sanción de la AEPD no terminó en la mera sanción por este hecho. También se detectó la falta de medidas técnicas y organizativas para proteger la seguridad de los datos personales de los clientes. De hecho, el trabajador utilizó su móvil para tomar la fotografía, lo que expone de manera directa al cliente a posibles riesgos de seguridad y a usos ilegales de su documento, incumpliendo con el artículo 32 del RGPD. Por ello, se añadió a la multa otros 3.000 euros.
Además de ello, la empresa no informó al cliente en ningún momento sobre el tratamiento de sus datos al solicitar el DNI. Un hecho que vulnera el artículo 13 del RGPD, el cual exige transparencia y derecho a la información. La falta de este aviso provoca que se limite la capacidad del afectado para ejercer sus derechos como titular de sus datos personales. Algo con lo que fue multada con otros 2.000 euros.
Por último, la empresa contaba con cámaras de videovigilancia en sus instalaciones, pero en ningún momento colocó carteles visibles que informaran sobre ningún sistema de grabación. Algo que incumple la Ley Orgánica 3/2018 y la normativa europea. Esta omisión impide a cualquier persona saber que están siendo grabadas, por lo que sancionaron a la empresa con 3.000 euros extra.
| Infracción Cometida | Artículo Vulnerado | Importe | Principio Afectado |
|---|---|---|---|
| Fotografiar DNI con móvil personal | Art. 5.1c RGPD | 3.000 € | Minimización de datos |
| Falta de medidas de seguridad | Art. 32 RGPD | 3.000 € | Integridad y confidencialidad |
| Omisión del deber de informar | Art. 13 RGPD | 2.000 € | Transparencia |
| Ausencia de carteles de videovigilancia | Ley Orgánica 3/2018 | 3.000 € | Derecho a la información |
La suma total de la multa finalmente ascendió a 11.000 euros, pero la empresa reconoció su responsabilidad y se acogió al pago voluntario. Algo que permitió reducir la sanción a 6.600 euros.