Estudiamos el expediente número EXP202102522, emitido por la Agencia Española de Protección de Datos.
Los hechos según constan son que tras finalizar la consumición en el restaurante, el comensal solicita la emisión de la factura a su nombre y el encargado del establecimiento le requiere el número de teléfono, negándose el interesado a facilitarlo, ya que no es un dato necesario para la emisión de la factura.
Las pruebas presentadas por el reclamante fueron la factura simplificada y la hoja de reclamaciones «donde la parte reclamada manifiesta que pide dicho dato para emitir la factura, al ser un requerimiento de su sistema informático para crear el usuario en su base de datos«.
En el escrito de alegaciones la parte reclamada indica «que la sociedad está comprometida con la Protección de Datos y tiene establecidos procedimientos para el tratamiento de datos de carácter personal. La sociedad no tiene establecido ningún protocolo, procedimiento o instrucción que implique la solicitud del número de teléfono móvil para la emisión de la factura simplificada. Los encargados de realizar la gestión de emisión de factura simplificada no solicitan el teléfono, ya que en la casilla del CRM consignan un número genérico que está habilitado para ello. Ante la tensa situación el camarero que atendió a la clienta reclamante no supo recordar este número, cuya inserción es obligada para que el programa informático emita la factura, y por ello cometió el error de solicitarle el dato que el programa le reclamaba para poder terminar y entregarle la factura reclamada. Es de suma importancia destacar que esta parte, y concretamente sus trabajadores encargados del tratamiento de datos, cumplen escrupulosamente con el principio de “minimización de datos”, regulado en el Reglamento General de Protección de Datos; es decir, se aplican medidas técnicas y organizativas para garantizar que sean objeto de tratamiento los datos que únicamente sean precisos para cada uno de los fines específicos del tratamiento, concretamente para redactar facturas; reduciendo, la extensión del tratamiento, limitando a lo necesario el plazo de conservación y su accesibilidad».
Pero, sin embargo, la Agencia entiende que son dos los hechos probados: el primero que el camarero solicitó el número de teléfono par la emisión de la factura y, segundo, que ese dato es necesario para la emisión de facturas debido al sistema informático que se utiliza.
La conclusión de los fundamentos de derechos, entre otros, es «Pues bien, en el presente caso, el hecho de pedir el dato del número de teléfono de la parte reclamante resulta excesivo al fin para el que estaba destinado. No teniendo base legitimadora para ello. Los hechos conocidos podrían ser constitutivos de una infracción, imputable a la parte reclamada, por vulneración del artículo 5.1.c) del RGPD, donde dispone que los datos personales tratados por el responsable serán: “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»)”.
Y siendo la propuesta de Resolución la siguiente: «Que por la Directora de la Agencia Española de Protección de Datos se sancione a XXXXX, por una infracción del Artículo 5.1.c) del RGPD, tipificada en el Artículo 83.5 a) del RGPD, con una multa de 2.000 euros (dos mil euros)«.
En definitiva, nos tenemos que quedar con la obligación de cumplir el principio de minimización de datos, es decir, solicitar al usuario la mínima información para cumplir con la finalidad del tratamiento.
Contacto: info[arroba] tecnogados.com