La empresa ha sido condenada por tratar en exceso información personal de sus clientes y por impedir la efectiva actuación del delegado de protección de datos
La Agencia Española de Protección de Datos (AEPD) ha sancionado a una clínica dental con 30.000 euros por exigir a un cliente una copia del DNI para devolverle un dinero cobrado de más y por no trasladar a su delegado de protección de datos la reclamación que el reclamante envió.
La empresa, que presta servicios médicos y explota varias clínicas odontológicas entre las que se encuentra la Clínica Sagrada Familia, de la que es cliente la parte reclamante, debía reintegrar una cantidad de dinero que se había cobrado en exceso. Esta clínica rechazó todas las alternativas propuestas por la reclamante para hacer efectivo el reintegro, como la transferencia a la cuenta bancaria, el talón nominativo o metálico, con firma del correspondiente recibo.
La empresa alegaba que sólo se recopilan los datos personales necesarios para cumplir con la finalidad específica de la gestión del reembolso, “resultando necesaria, adecuada y pertinente la recopilación del DNI para acreditar la identificación inequívoca, garantizar la seguridad del proceso y asegurar que el reembolso se realiza a la persona correcta”. Aseguraba que “no se han encontrado medidas alternativas igual de efectivas y seguras” y que la copia del documento sería conservada durante el tiempo “mínimo necesario para llevar a cabo la finalidad”.
Sin embargo, la clínica ya disponía previamente de la cuenta bancaria de la clienta “y esta admitía la devolución de cantidad mediante transferencia a dicha cuenta”, por lo que para la AEPD no existen motivos para requerir copia del documento de identidad del cliente. “Y lo mismo puede decirse respecto de los otros medios propuestos por la parte reclamante para que le fuera satisfecha la cantidad en cuestión”.
La Agencia entiende que la relación contractual que supone la prestación de servicios odontológicos a un cliente (la parte reclamante) justifica el acceso por la parte reclamada a los datos personales de las personas que los reciben, siempre que resulten necesarios para el cumplimiento de las obligaciones que conlleva dicha prestación de servicios; pero no justifica el acceso a toda la información que contiene el documento de identidad del cliente y, menos aún, la recogida y conservación de una fotocopia de este documento sin que exista una base jurídica que así lo justifique.
“La recogida de la fotocopia del documento de identidad del cliente, dispuesta con carácter general por la parte reclamada, con toda la información contenida en ese documento, se entiende como un tratamiento de datos personales inadecuados, no pertinentes y no necesarios para el fin específico del tratamiento, contrario a los principios de protección de datos, concretamente, al principio de minimización de datos, regulado en el artículo 5.1.c) del Reglamento General de Protección de Datos”.
La clínica no dio curso de la reclamación al responsable
Además, la reclamación planteada por la parte reclamante ante el delegado de protección de datos (DPD) no fue trasladada a éste por la organización de la parte reclamada, impidiendo con ello que se pudiera dar solución a las cuestiones suscitadas, que quedaron sin respuesta.
La empresa alegaba que la reclamación dirigida por la clienta al DPD de la entidad no fue trasladada a éste por “un descuido, sin intencionalidad, de la persona que recibió la comunicación”. Sin embargo, entiende la Agencia que no trasladar la reclamación al DPD equivale “a no darle curso, a no tramitarla por un mal funcionamiento de los canales internos dispuestos por la misma, lo que no puede admitirse como un error involuntario”.
En el caso concreto de la parte reclamante, y en base a los hechos expuestos, la AEPD no puede admitir que la actuación de la parte reclamada, no dando curso a la reclamación dirigida al DPD, haya sido diligente. “Admitir que no procede exigir responsabilidad por este hecho, en base a un supuesto error involuntario consistente en no dar trámite a la reclamación, sería tanto como admitir que pueda ignorarse la aplicación del RGPD y la LOPDGDD, desvirtuando todo el sistema que establece en relación con la figura del delegado de protección de datos, en el que se contempla expresamente la obligación de responder aquellas reclamaciones en todo caso, en el plazo de dos meses”.
Por tanto, los hechos expuestos ponen de manifiesto que la parte reclamada no obró con la diligencia a la que venía obligada, que actuó con falta de diligencia. Y, a mayor abundamiento, en materia de protección de datos de carácter personal, la jurisprudencia existente ha declarado que “basta la simple negligencia o incumplimiento de los deberes que la Ley impone a las personas responsables de ficheros o del tratamiento de datos de extremar la diligencia”.
Todo lo expuesto ha conllevado a que la Agencia Española de Protección de Datos haya resuelto imponiendo a la reclamada una multa de 20.000 euros y una multa de 10.000 euros, un total de 30.000 euros de sanción, ya que las actuaciones cometidas por la empresa suponen la infracción del art. 5.1. c), calificada como muy grave; y del art. 38 del RGPD, calificada como grave.
