Un cliente de una cadena de clínicas odontológicas a cuyo favor se debe hacer un reintegro, presenta denuncia por vulneración del principio de minimización en el tratamiento de datos personales porque para hacer efectivo el pago de los reintegros de cantidad, la parte reclamada exige a sus clientes que aporten copia de su documento de identidad.
La entidad reclamada rechazó las tres posibles alternativas propuestas, que contemplan la posibilidad de realizar el reintegro mediante transferencia a la cuenta bancaria que ya fue comunicada a la parte reclamada, talón bancario garantizado a nombre de la parte reclamante o metálico, con firma del correspondiente recibo.
Para la Agencia Española de Protección de Datos, la relación contractual que supone la prestación de servicios odontológicos a un cliente si bien justifica el acceso por la parte reclamada a los datos personales de las personas que los reciben, debe tratarse de datos necesarios para el cumplimiento de las obligaciones que conlleva la prestación de servicios; pero no justifica el acceso a toda la información que contiene el documento de identidad del cliente y, menos aún, la recogida y conservación de una fotocopia de este documento sin que exista una base jurídica que así lo justifique.
Así, frente al propósito de devolver una cantidad a una persona por cancelación de un tratamiento, u otra causa, tratándose de un cliente de la Clínica ya identificado que ha realizado pagos anteriores, el reintegro puede realizarse sirviéndose de la información ya disponible y sin que sea necesario recabar la información adicional.
De hecho, en el caso, ya se disponía previamente de su cuenta bancaria y aquella admitía la devolución de cantidad mediante transferencia a dicha cuenta, por lo que no existen motivos para requerir copia del documento de identidad del cliente.
La recogida de la fotocopia del documento de identidad se entiende como un tratamiento de datos personales inadecuados, no pertinentes y no necesarios para el fin específico del tratamiento, contrario a los principios de protección de datos, concretamente, al principio de "minimización de datos", regulado en el artículo 5.1.c) del RGPD (LA LEY 6637/2016).
Se denuncia también la omisión de la obligada intervención del delegado de protección de datos, porque la queja no fue trasladada a éste por la organización de la parte reclamada, y solo se remitió cuando la parte reclamante formuló la reclamación ante la Agencia.
A efectos de cuantificar la sanción, la Agencia considera que la primera infracción es muy grave, puesto que afecta a documentación de identidad de la persona; afecta a todos los clientes de la parte reclamada que se encuentren en la misma situación que la parte reclamante; y provoca perjuicios a los interesados que tengan derecho al reintegro de cantidades, que no se ven satisfechos con inmediatez por la exigencia impuesta por la parte reclamada, y propone multa de 20.000 euros; y en cuanto a la segunda infracción, cometida a título de negligencia, la multa que se estima adecuada es de 10.000 euros.
Y ambas sanciones, sin perjuicio de la obligación de adoptar medidas adecuadas para ajustar su actuación al RGPD.