Infringe el principio de minimización de datos que se solicite al cliente el DNI y se tome una fotografía con un teléfono personal, y es responsable de la infracción la empresa de las grúas a la que pertenece el empleado que la hizo, por ser la encargada del tratamiento de los datos.
La Agencia Española de Protección sanciona a la empresa porque considera que no es en absoluto necesario para recoger un vehículo en las instalaciones que el encargado haga una fotografía del documento de identidad, y menos aún con su móvil personal, sin ser informado sobre el tratamiento de sus datos, supeditando la entrega del vehículo a dicha actuación. Para acreditar la identidad sería suficiente enseñar el documento.
Además, en el caso, las instalaciones cuentan con un sistema de videovigilancia que carece de carteles de zona videovigilada.
Recuerda la Agencia que el principio de minimización vincula la utilización de los datos personales a la necesidad prevista para el cumplimiento de la finalidad del tratamiento, de modo que los datos recogidos para su tratamiento deben ser los estrictamente necesarios para lograr el objetivo declarado y el responsable del tratamiento debe limitar estrictamente la recogida de datos a aquella información que esté directamente relacionada con el fin específico que se intenta alcanzar, lo que en el caso ha sido excedido.
Realizar una fotografía al DNI de la parte reclamante es una medida excesiva cuando podía haberse realizado de una forma menos invasiva, siendo suficiente con su mera exhibición y, en su caso, anotación, - sugiere la Agencia-.
La toma de los datos de un cliente debe realizarse con métodos técnicos y organizativos que garanticen la seguridad y confidencialidad de los datos personales, y hacerlo con el móvil personal de uno de los trabajadores de la empresa revela que la empresa no ha adoptado las medidas de seguridad adecuadas para evitar la captación de la imagen del DNI de un usuario por parte de un empleado.
La conducta de la empresa afecta al eventual ejercicio por parte del interesado de sus derechos de acceso, rectificación o supresión de los datos.
No obstante, la sanción propuesta se reduce en un 40 % por el pronto pago y por el reconocimiento de la responsabilidad por la empresa sancionada. Imponiendo además la adopción de medidas correctivas para evitar la reiteración de las infracciones.