Sanción de 300.000€ a una importante empresa de recruitment

La Agencia Española de Protección de Datos (AEPD) ha sancionado con una multa de 300.000 € a importante empresa de recruitment por solicitar al interesado el D.N.I. para ejercer el derecho de acceso.

Todo comenzó cuando una ciudadana holandesa abrió una cuenta en la versión holandesa del portal web de dicha empresa de recruitment en marzo de 2018 y envió, a través de la misma, su Currículum Vitae (CV). Unos meses después solicitó acceso a sus datos personales a través de la dirección de correo electrónico indicada en la Política de Privacidad del portal web.

 

Te recordamos que…

La normativa de protección de datos permite ejercer ante el responsable del tratamiento tus derechos de acceso, rectificación, oposición, supresión (“derecho al olvido”), limitación del tratamiento, portabilidad y derecho de no ser objeto de decisiones individualizadas.

El derecho de acceso te da la posibilidad de dirigirte al responsable del tratamiento y conocer si está tratando o no tus datos de carácter personal y obtener información de este tratamiento.

 

Esta empresa contestó a la solicitud requiriendo un documento de identificación a la usuaria para asegurar su correcta identificación y evitar entregar esos datos a personas distintas de la titular. La usuaria holandesa consideró excesiva la petición de documentación y alegó que el acceso autenticado en la cuenta aún activa, ya debería ser suficiente.

Con fecha 10 de noviembre de 2020, la Agencia Española de Protección de Datos (autoridad de control competente conforme el artículo 4.16 del Reglamento General de Protección de Datos -RGPD) dictó un Proyecto de Decisión con el fin de que las autoridades interesadas se manifestaran al respeto. Consecuentemente, formularon objeciones las autoridades de Portugal (CNPD) y Berlín (The Berlin Commissioner for Data Protection and Freedom of Information -Berlin DPA).

 

SOLICITAR CONSULTA

 

Ambas autoridades consideraron que existía infracción del principio de minimización de datos (artículo 5.1.c) y del artículo 12 del RGPD) respeto a la transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado.

¿Qué dice el principio de minimización de datos?

El artículo 5.1.c) del RGPD establece que los datos personales serán “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»)”. Es decir, se deben aplicar medidas técnicas y organizativas para garantizar que sean objeto de tratamiento los datos que, únicamente sean precisos para cada uno de los fines específicos del tratamiento, reduciendo la extensión de tratamiento, limitando a lo necesario el plazo de conservación y su accesibilidad.

¿Es correcto solicitar el D.N.I. para el ejercicio de derechos al interesado?

El artículo 12.6 del RGPD admite la posibilidad de requerir información adicional necesaria para confirmar la identidad del interesado, pero solo en el caso de que existan dudas sobre la identidad del solicitante.

La empresa de recruitment requería un documento identificativo en todos los casos de ejercicio de derechos y, con carácter general, no solo a los casos en los que existían dudas sobre la identidad del interesado.

Por ende, las normas que regulan el ejercicio de derechos no establecen la necesidad de aportar ningún documento identificativo, ni siquiera exigen que esa verificación de la identidad se realice mediante documentación. Sin embargo, el artículo 64 del RGPD se refiere a la posibilidad de que el responsable utilice “medidas razonables” para verificar la identidad de los interesados, correspondiendo al responsable determinar qué medidas resultan razonables en cada caso.

La CNPD y Berlin DPA concluyeron que la solicitud del DNI no protege los datos del solicitante, sino que aumenta los riesgos para los afectados y abogaron por formas menos intrusivas de comprobar la identidad del solicitante (como, por ejemplo, la identificación electrónica).

 

SOLICITAR CONSULTA

 

En definitiva…

Este caso concreto es el reflejo de una política común aplicada. En España la necesidad de aportar el D.N.I. por parte del interesado estaba previsto en el artículo 25 del derogado Real Decreto 1720/2007, aun así, es una práctica muy habitual entre los responsables, que podemos apreciar en innumerables cláusulas informativas cuando se trate de ejercitar los derechos otorgados por la normativa. En esta línea, la empresa de recruitment alegó haber actuado de buena fe y convencido de estar llevando a cabo una actuación acorde con la normativa.

Si quieres conocer todos los detalles de la resolución te los dejamos aquí.

 


Sobre el autor:

Abogada Laura MoratóLaura Morató

DiG Abogados

Asesora Protección de Datos