La AEPD impone a Orange una sanción de 100.000€ por escanear el DNI de sus clientes

La Agencia Española de Protección de Datos (AEPD) ha impuesto a Orange una multa de 100.000 euros por considerar que el tratamiento de la imagen del Documento Nacional de Identidad (DNI) para la entrega de paquetería es excesivo y vulnera al artículo 5.1.C del RGPD.

La denuncia fue presentada en el año 2020 por un cliente de Orange al que al repartidor le pidió que le enseñara su DNI para verificar su identidad antes de entregarle el paquete remitido por la operadora. En lugar de verificar los datos del documento, el repartidor tomó una fotografía con su teléfono móvil a través de la aplicación del sistema IdentService; esta imagen del DNI por ambas caras no quedaba en el terminal del repartidor, sino que se almacenaba en un servidor y se comunicaba a Orange.

El sistema IdentService se ha venido usando desde el año 2018 para permitir a los repartidores de paquetes fotografiar el DNI de los clientes e identificarlos antes de proceder a la entrega de sus paquetes. Orange exigía a las empresas de logística que sus repartidores escaneasen con su terminal el DNI del destinatario como requisito previo a la entrega del paquete.

La AEPD ha entendido que la operadora ha infringido el artículo 5.1.C del RGPD que consagra el principio de minimización de datos que se aplica a todos los aspectos del tratamiento de datos personales, incluyendo la recogida, el almacenamiento, la conservación, el uso y la transmisión de datos. El responsable del tratamiento de datos personales debe asegurarse de que los datos que recoge, almacena, conserva, usa o transmite sean adecuados, pertinentes y limitados a la finalidad para la que se recogen.

Esta sanción pone de manifiesto la importancia de la privacidad desde el diseño, de la realización de análisis de impácto (también en los casos en los que no es legalmente requerido) y de la correcta valoración de la necesidad, adecuación y justificación de todo tratamiento de datos.

La Agencia ha estimado que el tratamiento de toda la información presente en el DNI (nombre y apellidos, dirección, fecha y lugar de nacimiento, de expedición del documento, fotografía, etc.) es innecesaria y excede la finalidad pretendida, existiendo otros procedimientos que aseguren la entrega del paquete al destinatario correcto sin  que sea necesario fotografiar su DNI por medio de la aplicación contenida en el móvil del repartidor de la empresa distribuidora y acreditar su entrega al responsable del tratamiento (Orange , en este caso)

La operadora ha alegado que el cliente estaba informado de la posibilidad de que se procediera a digitalizar su DNI en el momento de la entrega y que el tratamiento de los datos está justificado para la ejecución del contrato entre la operadora y el titular de los datos.  Así mismo ha fundamentado el tratamiento en el interés legítimo de la propia operadora de prevenir el fraude en la compra a distancia de dispositivos móviles.

La AEPD concluye que el tratamiento de la imagen del DNI y todos los datos que ésta incluye, no es adecuado, pertinente y limitado a lo necesario en relación con los fines para los que se realiza el tratamiento (verificación de la identidad del destinatario, en este caso), recordando la jurisprudencia el Tribunal Constitucional que establece que, si el objetivo puede alcanzarse sin realizar un tratamiento de datos, los mismos no deberían ser tratados.

La Agencia también desestima las alegaciones de la operadora que pretenden asimilar la entrega de un paquete con el momento de la contratación de servicios de telefonía, momento en el que si puede estar justificado el tratamiento de tales datos. Pero esta justificación no se extiende al momento de la entrega de un producto, aunque se haya adquirido a distancia.

Por último, la AEPD para graduar la sanción tiene en cuenta una serie de agravantes como son la naturaleza, gravedad y duración de la infracción, el número de personas potencialmente afectadas, la negligente actuación de la infractora y el carácter continuado de la infracción, valorando todo lo cual, impone una sanción de 100.000€.

La resolución de la AEPD no es firme y puede ser recurrida por la operadora ante la Audiencia nacional.

Recent Comments
    Recent Comments