¡AEPD SE REAFIRMA! SANCIÓN DE 20.000 EUROS POR EXIGIR FOTOCOPIA DEL DNI EN UN EJERCICIO DE DERECHOS

El derecho a la protección de los datos personales se desarrolla y pasa a concretarse, en la práctica, y, para los interesados, en el ejercicio de los derechos digitales contemplados en los artículos 13 a 22 del Reglamento General de Protección de Datos (en adelante, RGPD). Pero ¿el ejercicio de tales derechos ha de realizarse y procurarse de una manera concreta?

Pues, sobre esta cuestión, se ha vuelto a reafirmar en su criterio la Agencia Española de Protección de Datos (en adelante AEPD) en una resolución que ha dictado recientemente y que ha puesto sobre la mesa la posible y pintoresca incompatibilidad de este órgano para dirimir este supuesto.

La parte reclamante motiva el inicio de este procedimiento sancionador con el hecho de haber recibido en su domicilio familiar una llamada telefónica de una inmobiliaria. En esta llamada, el reclamante pregunta por el origen de la obtención de sus datos. Por su parte, la inmobiliaria le responde y le manifiesta que proceden de Inglobaly (inglobaly.com), una entidad que comprende un dominio perteneciente a la empresa Quality Provider.

Ante esto, la parte reclamante se dirigió al responsable del tratamiento para solicitar la supresión de sus datos y los de su padre, quien, a su vez, le redirigió a usar los servicios de un tercero (viadenuncia.net) para poder hacerlo. Para poder tramitar la petición, el responsable le requirió la copia de DNI y, ante la negativa de la parte reclamante para proporcionárselo, se justifica la no tramitación de la supresión.

Se aduce en el procedimiento por el reclamante que, efectivamente, efectuó una comunicación anónima en el buzón de infracciones y denuncias de Quality Provider, en el sistema de viadenuncia.net, para suprimir los datos personales que figurasen en el fichero de Inglobaly y, por tanto, de Quality Provider. En concreto la comunicación y denuncia realizada por el reclamante era la siguiente:

“mis datos personales salen en su página web y yo no les he dado estos datos ni tampoco he dado consentimiento para que los publiquen. No sé cómo han conseguido mis datos, pero si no los retiran tomaré acciones legales”

Por su parte, los representantes de la entidad reclamada indican que la comunicación y denuncia efectuada por el reclamante era anónima, no existía un correo electrónico a través del cual contactar, ni figuraban el nombre y apellidos del denunciante. Esto conllevó, irremediablemente, a que no fuera posible identificar al solicitante y, en consecuencia, en palabras del reclamado, que resultase excesivamente complejo poner en marcha la gestión de supresión de los datos personales solicitada.

En esta línea, el reclamado contestó que dicho ejercicio requería que se remitiese copia del DNI de los datos cuya supresión se interesaba, puesto que, sin ello, no era posible cursar la orden de supresión y que, al no aportarse, no pudo llevarse a cabo.

Por tanto, podemos deducir que el reclamado justifica la no tramitación de la supresión con la siguiente argumentación:

  1. Existió una imposibilidad fáctica de llevar a cabo la supresión solicitada, al no haber sido proporcionados los datos cuya supresión se pretendía.
  2. Tampoco existía una autorización para que la solicitante efectuara una solicitud de supresión de los datos a nombre de su padre.
  3. Se considera que el responsable quiso obtener la identificación del solicitante con todos los medios que se hallaban a su alcance.
  4. Se obtuvo por parte del reclamante una negativa profunda a identificarse fehacientemente.

Asimismo, y, para más inri, Quality Provider considera, una vez iniciado el procedimiento sancionador, manifiesta incompetencia de la AEPD para la tramitación del proceso en virtud de la Directiva 2019/1937 del Parlamento Europeo y el Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, y, por ello, demanda que la Autoridad de control se declare incompetente y se inhiba de la tramitación del expediente.

Esto no acaba aquí y se indica por su parte que la Ley Orgánica de Protección de Datos española está sin efecto alguno en todos sus articulados, que ha sido declarada inconstitucional por el Tribunal Constitucional y que se trata de una ley que beneficia a los partidos políticos y empresas privadas.

Llega incluso a expresar abiertamente que “la AEPD es un nido de corrupción en todos los nombramientos”, que “han sido declarados ilegales por motivos políticos por el Tribunal Supremo”.

En cuanto al origen de los datos, el reclamado señala que los datos del reclamante fueron adquiridos por Quality Provider y obtenidos de la entidad Telefónica a través de fuentes accesibles al público desde el año 2004, concepto que ya no figura en el vigente RGPD.

En cuanto a la posible incompetencia de nuestra AEPD, se confirma que la Directiva (UE) 2019/1937 ha supuesto una modificación del artículo 24 de la Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales, pero esto no significa que, en palabras de la AEPD, haya dejado de ser la autoridad de control responsable para supervisar la aplicación del RGPD.

Una vez practicadas las investigaciones pertinentes por parte de la AEPD, queda constatado que la entidad reclamada no había dado de baja los datos personales del reclamante, pese a su solicitud.

Sobre la identificación de la persona solicitante, la AEPD alega las Directrices 01/2022 sobre los derechos de los interesados – derecho de acceso- adoptadas el 18 de enero de 2022, en las que se recoge que el responsable del tratamiento debe responder a las solicitudes de los interesados de ejercicios de sus derechos individuales, a menos que pueda demostrar, mediante una justificación conforme a la responsabilidad proactiva, que no está en condiciones de identificar al interesado.

De hecho, se aduce el considerando 69 de las mencionadas Directrices en el que se dispone que:

  • “Si el responsable del tratamiento tiene motivos razonables para dudar de la identidad de la persona solicitante, puede solicitar información adicional para confirmar la identidad del interesado”,
  • Sin embargo,al mismo tiempo,debe garantizar que no recopila más datos personales de los necesarios para permitir la identificación de la persona solicitante”.

Por ello, es necesario que el responsable lleve a cabo una evaluación de proporcionalidad, teniendo en cuenta la tipología de datos personales, la naturaleza de la solicitud, el contexto, así como cualquier otro tipo de daño que pueda resultar de una divulgación indebida, evaluación que no se realizó.

Además, del considerando 70, se establece que “el responsable debe aplicar un procedimiento de autenticación pertinente, adecuado y proporcionado, garantizando la seguridad del tratamiento durante todo el proceso de tramitación de una solicitud de acceso,así como la debida observancia al principio de minimización de datos y la obligación de facilitar el ejercicio de los derechos de los interesados”.

Finalmente, se subraya por la AEPD que la utilización de la copia de un DNI como parte de un proceso de autenticación, crea un riesgo para la seguridad de los datos, pudiendo dar lugar a una tratamiento no autorizado o ilícito, por lo que, con carácter general, debe considerarse inadecuada.

Con todo lo expuesto, la AEPD concluye su resolución con sanción a la entidad Quality Provider en los siguientes términos:

  1. Con 10.000 euros por infracción del artículo 6 del RGPD, puesto queQuality Provider no ha justificado la base de legitimación; ni ha aportado la ponderación necesaria para que el tratamiento de los datos del reclamante pueda basarse en el interés legítimo; ni consta que el reclamante haya sido informado de dicho interés legítimo del reclamado para poder ejercer su derecho de oposición.
  • Con 10.000 euros por infracción del artículo 17 del RGPD, por exigir para el ejercicio de derechos, mayores formalidades que las que se siguieron para obtener los datos.

Se infiere de esta resolución, que el proceder correcto debiera haber sido solicitar a la reclamante cualquier otro dato que la hiciera identificable para el trámite de la gestión, así como que acreditase la representación de su padre, y no su DNI o el de su progenitor, precisamente para que se identificara a los interesados a través de otros medios, fuese una petición proporcional y no excesiva, sin que, en ningún caso, se produjera una obstaculización del ejercicio del derecho de supresión. Para más información sobre la cuestión de la necesidad de solicitar el DNI de un interesado para responder a un ejercicio de derechos ARSOPOL pulse aquí.