Una clínica dental de Barcelona ha sido multada con 30.000 euros por la Agencia Española de Protección de Datos (AEPD) por solicitar la copia del DNI a un cliente como requisito para reembolsarle un pago en exceso. Esta sanción se debe a dos motivos principales:
- Incumplimiento del principio de minimización de datos:
La clínica solicitó la fotocopia del DNI del cliente para realizar el reembolso, cuando ya disponía de información suficiente para identificarlo y realizar la devolución del dinero, como por ejemplo, su nombre, apellidos, datos de contacto y número de cuenta bancaria.
La AEPD considera que esta solicitud de información adicional no estaba justificada y que vulnera el principio de minimización de datos establecido en el RGPD, que obliga a las empresas a tratar solo los datos personales que sean estrictamente necesarios para la finalidad perseguida.
- No atender la reclamación del cliente:
El cliente envió un correo electrónico a la clínica, dirigido a su delegado de protección de datos, para expresar su disconformidad con la exigencia de la fotocopia del DNI.
Este correo electrónico no fue remitido al delegado de protección de datos, como establece el RGPD, por lo que la clínica no dio respuesta a la reclamación del cliente.
La AEPD considera que este hecho es una infracción grave, ya que la clínica no garantizó el derecho del cliente a recibir información y atención en relación con el tratamiento de sus datos personales.
En resumen, la clínica dental ha sido sancionada por:
- Solicitar información personal no necesaria para el tratamiento de los datos (principio de minimización de datos).
- No atender la reclamación del cliente en relación con el tratamiento de sus datos personales.
Este caso pone de relieve la importancia de que las empresas cumplan con la normativa de protección de datos y respeten los derechos de sus clientes.
Las clínicas dentales, al igual que cualquier otra empresa, deben informar a sus clientes de cómo recopilan, utilizan y protegen sus datos personales. Esta información debe ser clara, concisa y fácilmente accesible.
Las empresas deben establecer medidas de seguridad adecuadas para proteger los datos personales de sus clientes frente a accesos no autorizados, alteraciones, pérdida o destrucción.
Las empresas deben designar un delegado de protección de datos que sea responsable de supervisar el cumplimiento de la normativa de protección de datos y de atender las reclamaciones de los clientes en relación con sus datos personales. Regulado en el artículo 34 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
La AEPD pone a disposición de las empresas y los ciudadanos recursos e información para ayudarles a cumplir con la normativa de protección de datos.
Más información:
Agencia Española de Protección de Datos
Reglamento General de Protección de Datos (RGPD) Ley Orgánica de Protección de Datos