Una clínica ha sido sancionada con una multa de 30.000€ por la Agencia Española de Protección de Datos (AEPD) por incumplir el principio de minimización de datos, regulado por el artículo 5.1.c del Reglamento General de Protección de Datos (RGPD). La situación surgió cuando un cliente solicitó un reembolso por un tratamiento pagado en exceso. Para proceder con el reembolso, la clínica pidió una copia del DNI del cliente, lo cual según la AEPD, no estaba justificado ya que la clínica ya tenía suficiente información del cliente para efectuar la devolución. La infracción le costó a la clínica una multa de 20.000€.
El segundo incidente se presentó cuando el cliente, en su intento de resolver el asunto, envió un correo electrónico a la clínica, que no fue respondido. A pesar de que el email fue enviado a una dirección genérica y no al canal habilitado para estos asuntos, la AEPD argumentó que la clínica debió haber atendido la solicitud del cliente de manera adecuada. La clínica justificó la falta de respuesta alegando que fue una omisión por descuido de la persona que recibió el email, quien debió haberlo redirigido al Delegado de Protección de Datos (DPD) de la clínica, según los protocolos internos. Este descuido resultó en una sanción adicional de 10.000€, sumando un total de 30.000€ en sanciones.
La clínica defendió su posición argumentando que la solicitud de fotocopia del DNI fue una medida tomada para evitar fraudes y suplantaciones de identidad, según el criterio de su DPD. Sin embargo, la AEPD señaló que el reembolso podría haberse realizado utilizando la información ya disponible, sin necesidad de recabar datos adicionales. Esta situación pone de manifiesto la importancia del papel del DPD y los canales de atención adecuados para garantizar el cumplimiento de las regulaciones de protección de datos y evitar sanciones.
La AEPD reitera la responsabilidad de las organizaciones en garantizar la diligencia en la gestión de los datos personales de los clientes y en mantener canales de comunicación efectivos para atender cualquier reclamación o consulta relacionada con la protección de datos. Este caso sirve como un recordatorio costoso sobre la importancia de adherirse a los principios de minimización de datos y tener procedimientos claros y efectivos para la gestión de las comunicaciones y los derechos de los clientes en lo que respecta a la protección de sus datos personales.
_____________________
Pídenos una valoración sin compromiso para asesorarte con la protección de datos de tu empresa.