Si alguna vez un repartidor ha acudido a tu casa para entregarte un paquete y te ha pedido el DNI para hacerle una fotografía, debes saber que esa práctica es ilegal y puede salirle muy caro a la empresa que la solicita.
En este caso, la Agencia Española de Protección de Datos (AEPD) ha multado con 100.000 euros a Orange por ordenar a los repartidores de paquetes a domicilio fotografiar de forma íntegra el documento de identidad de los clientes. Técnica que utilizaban como método de seguridad desde 2018 a través del sistema IdentService.
Según la resolución consultada por Confilegal, todo comenzó cuando en abril de 2020 un ciudadano se personó junto con un repartidor de General Logistics Systems Spain (GLS) en una comisaría de la Guardia Civil de Murcia para denunciar los hechos. Los agentes decidieron poner la situación en manos de la AEPD.
Según argumentaron los agentes, el empleado de la empresa pretendía hacerle entrega de un teléfono móvil remitido por la compañía telefónica Orange, pero para ello, le pidió como condición necesaria realizar una fotografía completa de su DNI.
Dicha imagen se tomó con un terminal móvil para, posteriormente, cederla a Orange.
Ante esta situación, la AEPD pidió explicaciones tanto a la compañía telefónica como a la de reparto para ver qué era lo que estaba ocurriendo. GLS relató que Orange pedía esa fotografía con el objetivo de verificar que el paquete ha sido entregado al destinatario y “no a cualquier persona que pudiera vivir en el mismo domicilio”, relata la resolución.
Asimismo, GLS manifestó que este procedimiento lo estaban llevando a cabo desde hacía tres años y que esta petición por parte de la empresa telefónica estaba firmada por contrato.
Los datos se conservaban durante un año a efectos de reclamaciones extrajudiciales y durante cuatro a efectos de prueba de entrega por considerarse un documento mercantil. Se guardaban en un servidor pero no en el terminal del repartidor.
Por su parte, Orange manifestó que antes de enviarle el producto, le enviaron al cliente un correo informándole que por motivos de seguridad podría digitalizarse en el momento de la entrega con el que contrató el producto. A lo que añadieron que estas condiciones se encontraban detalladas en la página web.
Pues bien, la AEPD consideró que había indicios evidentes de que Orange había vulnerado el artículo 5 del Reglamento General de Protección de Datos, el cual hace referencia a los principios relativos al tratamiento al imponer como condición en la entrega del producto la fotografía y que esta práctica era abusiva.
Determinaron que existen otros procedimientos de entrega de productos menos agresivas para verificar la identidad de su destinatario. Pues se puede comprobar sin que sea necesario y hacer la entrega responsable.
El artículo 5.1.c) del Reglamento General de Protección de Datos (RGPD) consagra el principio de minimización de datos y supone que el tratamiento de los datos personales debe ser ajustado y proporcional a la finalidad a la que se dirige, determinando claramente los fines para los que se recogen y tratan los datos, debiendo restringirse el tratamiento de aquellos que sean excesivos o bien procederse a la supresión de los mismos.
Y en el DNI no sólo aparece el nombre y apellidos, sino la firma, domicilio, lugar y fecha de nacimiento, fecha de expedición o fecha de validez, entre otros.
Por lo que le han impuesto una sanción de 100.000 euros por vulneración del artículo 5.1 C) del RGPD. Eso sí, no es firme puesto que puede recurrirse ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.