¿Qué debemos hacer en materia de protección de datos?

La AEPD ha sancionado con 20.000 € (Expediente N.º: 202310910) a una empresa por no cumplir con el principio de minimización de datos, al solicitar la fotocopia del DNI y por no informar adecuadamente en un formulario de autorización para el acceso de menores a conciertos.

Artículo 5 RGPD. Principios relativos al tratamiento.

1. Los datos personales serán (…) c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);

Artículo 13 RGPD. Información que deberá facilitarse cuando los datos personales se obtengan del interesado.

1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:

a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;

b) los datos de contacto del delegado de protección de datos, en su caso;

c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;

d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;

e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.

2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:

a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;

b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;

c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;

d) el derecho a presentar una reclamación ante una autoridad de control;

e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;

f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

3. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2.

4. Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en la medida en que el interesado ya disponga de la información.

Independientemente del rutinario control de accesos y de la normativa de entrada a espectáculos públicos para menores, la Agencia Española de Protección de Datos (AEPD) subraya que el DNI contiene datos sensibles y que no se deben solicitar fotocopias del DNI para el acceso a los recintos.

La solución adecuada para no incumplir la normativa de protección de datos es una verificación in situ de los datos (en este caso la edad), solicitando el DNI sin guardar una copia del mismo.

Acción infringida.

Una empresa requería que los progenitores o tutores presentaran una fotocopia de su DNI para autorizar la entrada de menores a conciertos y conservaba dicha copia. Además, el formulario no informaba adecuadamente sobre la protección de datos.

Hemos de recordar que los menores (16-17 años) pueden acceder a un evento (siempre que vaya dirigido a mayores de edad) con autorización firmada de los padres o tutores, que deben presentar en control de accesos. No es necesario que les acompañe madre, padre o tutor legal.

Conclusiones y resolución de la AEPD.

Sanciones: 13.000€ (artículo 5.1.c del RGPD) por solicitar la fotocopia del DNI del progenitor o tutor, un dato excesivo e innecesario, violando el principio de minimización de datos y 7.000 € (artículo 13 del RGPD) por proporcionar información incompleta sobre el tratamiento de datos en el formulario de recogida.

La empresa alegó que la fotocopia del DNI es necesaria para una correcta identificación conforme a la normativa vigente.

  • Conclusión de la AEPD: Rechaza este argumento, afirmando que el DNI contiene datos sensibles y que la verificación in situ de la edad hubiera sido suficiente.
  • Reducción de la sanción: La empresa ha reconocido un error al usar cláusulas informativas desactualizadas en su web y ha aceptado la responsabilidad, pagando finalmente 12.000 € tras aplicar reducciones.
  • Recomendaciones:
    • Principio de minimización de datos: Solicitar solo los datos mínimos necesarios y evitar el tratamiento excesivo. Es esencial cumplir con el principio de minimización de datos. Reiteramos: ¡Ojo con fotocopiar y guardar DNIs!
    • Información adecuada: Proveer información clara y actualizada sobre el tratamiento de datos, y no referirse a normativas obsoletas como la L.O. 15/1999. Hoy en día, aún se observan empresas que mantienen en su documentación referencias a la L.O. 15/1999, derogada por la L.O. 3/2018.