La Agencia Española de Protección de Datos (AEPD) ha sancionado con 30.000 euros a una clínica dental de Barcelona por solicitar la copia del DNI como requisito para reembolsar a un cliente una cantidad de dinero por un tratamiento pagado en exceso.
La resolución dicta que la empresa dental ha cometido dos incumplimientos del Reglamento General de Protección de Datos (RGPD). En primer lugar, la AEPD ha multado con 20.000 euros por la presunta infracción del artículo 5.1.c) del RGPD por incumplir el principio de minimización de datos al solicitar la fotocopia del DNI, porque según la Agencia no estaba justificado, ya que la clínica ya tenía información suficiente para reembolsar el dinero.
Responsabilidad en el tratamiento de los datos
El segundo incidente sucedió cuando el cliente envío un correo electrónico a la clínica y dirigido a su delegado de protección de datos en relación con el requisito de solicitud del DNI para recibir el reitegro. Este correo electrónico no fue remitido a su DPD, y por tanto, se quedaron sin responder.
La clínica justificó esta acción por una "omisión por descuido, sin intencionalidad, de la persona que recibió la comunicación y debió trasladarla al DPD". Un descuido que ha supuesto una penalización de 10.000 euros por la presunta infracción del artículo 38 del RGPD.
Ante esta situación, la empresa se justificó alegando que la solicitud del documento de identidad se realizó "para evitar posibles fraudes y suplantaciones de identidad, es importante destacar que la práctica de recopilar una copia del DNI se realiza exclusivamente cuando se solicita la extracción del saldo disponible, para cumplir con la finalidad específica de verificar la identidad del paciente o cliente y tramitar su reembolso con la diligencia debida".
Sin embargo, la AEPD ha defendido que el reembolso se podría haber efectuado utilizando la información que ya obtenían del paciente. En esta línea, hace hincapié en la responsabilidad que tienen las organizaciones en el tratamiento de los datos personales y en la importancia del buen funcionamiento de los canales de información para atender las consultas.
Por ello, la Agencia ha defendido que esta infracción es muy grave, ya que afecta "a documentación de identidad de la persona; afecta a todos los clientes de la parte reclamada que se encuentren en la misma situación que la parte reclamante; y provoca perjuicios a los interesados que tengan derecho al reintegro de cantidades, que no se ven satisfechos con inmediatez por la exigencia impuesta por la parte reclamada".
