La Agencia Española de Protección de Datos (AEPD) ha sancionado con 30.000 euros a una clínica dental de Barcelona por exigir a un cliente una copia del DNI para efectuar una devolución económica y por no trasladar a su delegado de protección de datos la reclamación enviada por el reclamante. La empresa que gestiona la Clínica Sagrada Familia rechazó todas las opciones propuestas por la reclamante para hacer efectiva la devolución como transferencia a la cuenta bancaria o pago en metálico.
La empresa alegó que sólo se recopilan los datos personales necesarios para cumplir con la finalidad específica de la gestión del reembolso, “resultando necesaria, adecuada y pertinente la recopilación del DNI para acreditar la identificación inequívoca, garantizar la seguridad del proceso y asegurar que el reembolso se realiza a la persona correcta” o añadiendo que la copia del DNI sería conservada sólo el tiempo necesario “para llevar a cabo la finalidad”.
El conflicto se originó cuando un cliente presentó una reclamación ante el Delegado de Protección de Datos (DPD) de la empresa, alegando que se habían infringido sus derechos de protección de datos. Sin embargo, la organización no trasladó la reclamación al DPD, alegando que fue un "descuido sin intencionalidad" por parte de la persona que recibió la comunicación.
La empresa ha sido condenada por tratar en exceso información personal de sus clientes y por impedir la efectiva actuación del delegado de protección de datos
La AEPD considera que no trasladar la reclamación al DPD equivale a no darle curso ni tramitarla, lo que no puede justificarse como un error involuntario. La AEPD también señala que, en este caso específico, no puede admitirse que la actuación de la parte reclamada haya sido diligente. Ignorar la reclamación y no darle trámite equivale a desatender las obligaciones establecidas por el RGPD y la LOPDGDD, que requieren que las reclamaciones sean respondidas en un plazo máximo de dos meses.
La jurisprudencia existente en materia de protección de datos ha declarado que “basta la simple negligencia o incumplimiento de los deberes que la Ley impone a las personas responsables de ficheros o del tratamiento de datos de extremar la diligencia”.
En consecuencia, la AEPD ha impuesto una multa a la empresa reclamada, compuesta por dos partes: una multa de 20.000 euros por la infracción del artículo 5.1.c) del RGPD, calificada como muy grave; y una multa adicional de 10.000 euros por la infracción del artículo 38 del RGPD, calificada como grave.