La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha impuesto una sanción de 30.000 euros a una clínica dental como consecuencia de dos incumplimientos del Reglamento General de Protección de Datos (en adelante “RGPD”). A continuación, un breve análisis de cada uno de ellos:
- En primer lugar, la AEPD sanciona a la clínica con a pagar 20.000 euros, como consecuencia del incumplimiento del principio de minimización de los datos. En concreto, la clínica dental sancionada debía reintegrar en una determinada cantidad de dinero a uno de sus clientes, y, dicho reintegro se condicionaba a que el reclamante entregase una fotocopia del DNI a la clínica dental, con el fin de que esta pudiera verificar la identidad del cliente y asegurar que el rembolso se realizaba a la persona correcta.
No obstante, la AEPD determina en su resolución sancionadora que en la medida en que el reintegro de la cantidad era solicitado por un cliente de la clínica, ello quiere decir que el reclamante ya se había identificado con anterioridad, (habiendo realizado pagos anteriores), de modo que el reintegro podría haberse realizado sirviéndose de la información ya disponible, y sin que fuera necesario recabar información adicional.
Por tanto, la recogida de la fotocopia del documento de identidad del cliente y reclamante se entiende como un tratamiento de datos personales inadecuado, no pertinente y no necesario para el fin específico del tratamiento.
- En segundo lugar, la AEPD impone a la clínica dental una sanción de 10.000 euros por no trasladar a su Delegado de Protección de Datos la reclamación planteada por el reclamante, lo que impidió que se pudiera dar solución a las cuestiones suscitadas, quedando, por tanto, la solicitud sin respuesta.
