Que una ley exija la verificación de la identidad no significa que se pueda solicitar copia del DNI

Una persona presentó una reclamación ante la AEPD contra una empresa dedicada a la organización de eventos, principalmente conciertos, en los que menores podían asistir acompañados de adultos. La reclamante alegó que, para asistir a estos eventos, la empresa requería que los padres, madres o tutores legales completaran una autorización en la que se solicitaba copia del DNI tanto del adulto como del menor. Además, la persona alegó que los documentos de autorización carecían de información adecuada en materia de protección de datos y estaban desactualizados, aludiendo a normativa derogada.

Ante esta reclamación, la AEPD trasladó la queja a esta empresa, otorgándole un mes para responder y adecuarse a los requisitos legales. En su respuesta, la empresa admitió que, debido a un error, las cláusulas de protección de datos publicadas en sus páginas web estaban obsoletas, haciendo referencia a la Ley Orgánica 15/1999, ya derogada. Argumentaron que la solicitud de copia del DNI del progenitor y del menor era necesaria para verificar la edad de los asistentes en cumplimiento con la normativa de espectáculos de Cantabria.

La AEPD investigó los hechos y confirmó que la empresa no contaba con un Delegado de Protección de Datos, aunque alegaron que no estaban obligados a designar uno. A pesar de la respuesta de la empresa, la AEPD inició un procedimiento sancionador por considerar que la recopilación de datos personales era excesiva y no estaba debidamente justificada, infringiendo el principio de minimización de datos. Además, se observó que la información proporcionada a los interesados no cumplía con los requisitos del RGPD, lo que también constituía una infracción.

En su análisis, la AEPD destacó que la empresa solicitaba datos personales que no eran necesarios para los fines propuestos, como la fotocopia del DNI, ya que el objetivo de verificar la edad de los menores se podría haber cumplido con otros medios menos invasivos. La normativa de Cantabria sobre espectáculos, aunque establece la necesidad de verificar la edad de los asistentes, no exige la retención de estos documentos. Asimismo, el documento de autorización estaba desactualizado, haciendo referencia a normativa derogada, y no informaba adecuadamente sobre el tratamiento de los datos ni sobre los derechos de los interesados.

La AEPD también evaluó la situación económica de la empresa, que se trataba de una pequeña empresa con un volumen de negocio de casi cinco millones de euros en 2022. Esto influyó en la determinación de la multa.

La AEPD consideró que la conducta de esta empresa infringía los artículos 5.1.c) y 13 del RGPD, relativos a los principios de minimización de datos y a la obligación de informar adecuadamente a los interesados. La infracción fue considerada muy grave, dado que el uso indebido de datos personales, como el DNI, puede derivar en problemas como la usurpación de identidad.

La AEPD propuso imponer una multa administrativa de 13.000 euros por la infracción del principio de minimización de datos y una multa de 7.000 euros por la falta de información adecuada, lo que sumaba un total de 20.000 euros. Además, se instó a la empresa a actualizar sus políticas de protección de datos y a eliminar la exigencia de presentar una copia del DNI para los acompañantes de menores en los eventos.

La resolución fue notificada a esta empresa, que tenía un plazo de diez días hábiles para presentar alegaciones. La empresa optó por reconocer su responsabilidad dentro de este plazo, lo que le permitió beneficiarse de una reducción del 20% en la sanción, quedando la multa reducida a 16.000 euros. Además, esta empresa realizó el pago voluntario de la sanción, lo que supuso una reducción adicional del 20%, quedando la sanción final en 12.000 euros.

Al aceptar las dos reducciones, la empresa renunció a interponer recursos o acciones legales contra la sanción y reconoció su responsabilidad. El procedimiento se dio por finalizado con la imposición de la multa y la exigencia de que la empresa adoptara las medidas necesarias para adecuar sus procesos de tratamiento de datos a la normativa vigente en un plazo de un mes.

La AEPD advirtió a la empresa que, si no cumplía con la adopción de las medidas correctivas, podría enfrentarse a nuevos procedimientos sancionadores, debiendo notificar a la AEPD la implementación de estas medidas una vez completadas, conforme a lo ordenado en la resolución.

Moraleja, que una ley exija la verificación de la identidad no significa que se pueda solicitar copia del DNI