La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 30.000 euros a una clínica dental de Barcelona por solicitar una copia del Documento Nacional de Identidad como condición para reembolsar a un cliente el importe por un tratamientopagado de forma errónea.
La resolución establece, según el portal Noticias Jurídicas, que la empresa dental ha cometido dos incumplimientos del Reglamento General de Protección de Datos (RGPD). En primer lugar, la AEPD ha multado con 20.000 euros por la presunta infracción del artículo 5.1.c) del RGPD por incumplir el principio de minimización de datos al solicitar una fotocopia del DNI, porque según la Agencia no estaba justificado, ya que la clínica ya tenía información suficiente para reembolsar el dinero.
El segundo incidente sucedió cuando el cliente envió un correo electrónico a la clínica y dirigido a su delegado de protección de datos en relación con el requisito de solicitud del DNI para recibir el reintegro de la cantidad adeudada. Este correo electrónico no fue remitido a su DPD, y por tanto, no recibió respuesta.
La cuantía de la multa comprende 20.000 euros por incumplir el principio de minimización de datos y 10.000 euros por omisión de respuesta del delegado de protección de datos
La clínica justificó esta acción por una "omisión por descuido, sin intencionalidad, de la persona que recibió la comunicación y debió trasladarla al DPD". Un descuido que ha supuesto una penalización de 10.000 euros por la presunta infracción del artículo 38 del RGPD.
Ante esta situación, la empresa responsable de la clínica dental se justificó alegando que la solicitud del DNI se realizó "para evitar posibles fraudes y suplantaciones de identidad, es importante destacar que la práctica de recopilar una copia del DNI se realiza exclusivamente cuando se solicita la extracción del saldo disponible, para cumplir con la finalidad específica de verificar la identidad del paciente o cliente y tramitar su reembolso con la diligencia debida".
Sin embargo, la AEPD defiende que el reembolso se podría haber efectuado utilizando la información que ya tenían del paciente y aluden a la responsabilidad que tienen las organizaciones en el tratamiento de los datos personales y en la importancia del buen funcionamiento de los canales de información para atender las consultas.
Por ello, la Agencia establece que esta infracción es muy grave, ya que afecta "a documentación de identidad de la persona; afecta a todos los clientes de la parte reclamada que se encuentren en la misma situación que la parte reclamante; y provoca perjuicios a los interesados que tengan derecho al reintegro de cantidades, que no se ven satisfechos con inmediatez por la exigencia impuesta por la parte reclamada".