Desde la publicación del Reglamento Europeo de Protección de Datos y su transposición al ordenamiento jurídico español a través de la LOPD, parece ser que la Agencia Española de Protección de Datos (AEPD) en los últimos años no ha parado de sancionar a todo tipo de empresas por fotografiar, fotocopiar o escanear indebidamente los documentos de identidad de sus clientes.
Y es que, con la entrada en vigor de esta nueva normativa, hacer algo tan habitual como fotocopiar el pasaporte de un huésped a la entrada de un hotel u otro alojamiento turístico, o que el repartidor de un paquete exija la fotografía del DNI para ‘confirmar la identidad’ de quien lo recoge, está siendo sancionado por la AEPD con multas que oscilan desde los 2.000 hasta los 100.000 euros (siendo esta la más cuantiosa hasta la fecha).
Estas sanciones están causando revuelo, pues son leyes como la Ley Orgánica 4/2015, de 30 de marzo de protección de la seguridad ciudadana, las que imponen el deber de registro documental e información a aquellas personas físicas o jurídicas que realicen actividades ‘relevantes para la seguridad ciudadana’ como es el caso del hospedaje.
Si bien puede parecer que el deber de registro documental es incompatible con el correcto cumplimiento del RGPD/LOPD, lo cierto es que ambas normativas se complementan, y para cumplirlas adecuadamente, sólo es necesario que la empresa que vaya a recopilar la información de sus clientes tenga presente las siguientes consideraciones:
Que el escaneo o fotografía del DNI/Pasaporte sea la medida menos gravosa para identificar al usuario.
De modo que, si existiese cualquier otra medida, la empresa debería abstenerse de realizar el escaneado de estos documentos.
La AEPD ha señalado que los documentos de identificación como DNI o pasaporte son información especialmente sensible, y que su ‘uso indebido puede traer consecuencias desfavorables para el titular de los datos.’
Estos documentos de identificación no sólo contienen nombre y apellidos, si no que contienen información vulnerable como fotografía, lugar y fecha de nacimiento, equipo expedidor, clave de acceso a la información contenida en el mismo, fecha de validez…. Por lo tanto, por la naturaleza de estos datos, las empresas deben cumplir con la normativa vigente en protección de datos.
Se debe respetar el principio de minimización de datos.
Este es el punto más relevante, y el motivo principal por el cuál la AEPD ha impuesto numerosas sanciones: el tratamiento excesivo de datos personales.
El principio de minimización de datos exige que el tratamiento de datos tiene que ser ‘adecuado, pertinente y limitado a lo necesario en relación con los fines para los que son tratados.’ Por ello, para identificar a un huésped o al receptor de un paquete no es necesario obtener información como el equipo de expedición o el lugar de nacimiento del cliente; basta con comprobar y recopilar los datos que se requieran para obtener la identidad del cliente en el momento del hospedaje o en la entrega de un paquete.
Es importante remarcar que la AEPD no pone en duda la posibilidad de solicitar el DNI para comprobar u obtener ciertos datos, pero sí su escaneo y posterior tratamiento del documento.
La clave se encuentra en que las empresas cumplan con el principio de minimización de datos, pues de lo contrario, se estaría realizando un tratamiento excesivo de datos personales, lo que puede derivar en la comisión de una infracción muy grave del RGPD y en multas tan cuantiosas como las arriba mencionada.
Por lo tanto, cumplir con el principio, así como analizar qué datos son indispensables en nuestro negocio, para qué fines, y qué medida es la menos gravosa para obtenerlos deben ser las pautas a seguir dentro de nuestra empresa.
