Foto de Kindel Media obtenida en Pexels.com

No, y por ello la AEPD ha sancionado con 2.000€ a un restaurante

Ya sabemos que “poder”, “se pueden” hacer muchas cosas, otra cuestión es que sean conformes a la normativa o contraria a la misma, y ello termine en un procedimiento sancionador.

En este caso, la Agencia Española de Protección de Datos (AEPD) impone una sanción a un restaurante  por el mero hecho de pedir ese dato y considerarlo excesivo para el fin que se perseguía, es decir, emitir una factura, todo ello tras solicitar el camarero el teléfono a la clienta que solicitó una factura, cuando ese dato es evidente que no es necesario.

La clienta se niega, el camarero le dice que el sistema informático solicita ese dato y sin él no puede emitirla.

¿Qué hubiese pasado si el camarero, ante la situación creada, hubiese puesto un nº de teléfono al azar?

Ante la situación de tensión, seguro que muchos pensareis que, “si la aplicación me lo pide, pues pongo el 666 666 666 y listo”.

Pues sería un error mayor, ya que de manera consciente e intencionada incumpliríamos el “principio de exactitud” de los datos objeto de tratamiento, que es un deber para el responsable.

¿Qué hizo la clienta? ¿Qué alegó el restaurante?

La clienta le pide la hoja de reclamaciones y luego presenta denuncia ante la Agencia, quien solicitó alegaciones al restaurante y en síntesis, manifestó lo siguiente:

  1. Que la sociedad está comprometida con la Protección de Datos y tiene establecidos procedimientos para el tratamiento de datos de carácter personal.
  2. Que en sus protocolos no se solicita el número de teléfono para la emisión de factura simplificada.
  3. Los camareros no deben pedirlo puesto que en la casilla donde se almacena ese dato en el sistema (CRM) que es obligado rellenar, deben introducir número genérico que conocen.
  4. Pero con la situación de tensión generada, el camarero no recordó ese número, de inserción obligada, y por ello cometió el error de solicitarle el dato que el programa le reclamaba para poder terminar y entregarle la factura reclamada.
  5. Que no ha existido un carácter continuado, ya que ha sido un caso aislado y especial

¿Qué dice la Agencia al respecto?

Pues considera como probado (tal y como refleja la hoja de reclamación de la clienta y en las alegaciones anteriores del sancionado) que al pedirle el número de teléfono para la emisión de la factura y siendo un dato no necesario, tras negar aportarlo la reclamada, el camarero supeditó su emisión a que lo facilitase.

La Agencia también indica que el Real Decreto 1619/2012, de 30 de noviembre, por el que se aprueba el Reglamento por el que se regulan las obligaciones de facturación, recoge en su artículo 6 el contenido de la factura en cuanto a datos y requisitos, entre lo que no figura el número de teléfono.

En definitiva, al no existir una base de legitimación que ampare dicho tratamiento, solicitarlo es excesivo y se incumple el artículo 5.1.c) del RGPD.

La Agencia desoye la petición de archivo solicitada por el restaurante o que, subsidiariamente, aplicase otras medidas correctivas menos lesivas que la sanción.

¿Cuál fue la infracción cometida? ¿Podrá recurrirla?

El restaurante vulneró el art. 5 del RGPD, principios relativos al tratamiento, en relación con el art. 5 de la LOPDGDD, deber de confidencialidad, pues los datos de carácter personal requeridos para emitir la factura son excesivos para los fines propuestos.

El artículo 5.1.c) del RGPD, dispone que los datos personales tratados por el responsable serán: “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»)”.

La AEPD fija la sanción en 2.000€ por infracción del Artículo 5.1.c) del RGPD que la reclamada paga de manera voluntaria (1.600€) acogiéndose al 20% de reducción, es decir, renunciando a recurso en vía administrativa contra la sanción.

Moraleja o lecciones aprendidas:

Siguiendo nuestros análisis habituales de los procedimientos de la Agencia Española de Protección de Datos (AEPD) queremos destacar la necesidad de que las empresas tengan una verdadera conciencia en materia de protección de datos, contando con los protocolos adecuados y bien comunicados a su personal.

Aunque la empresa sancionada dijo estar muy comprometida con el cumplimiento de las leyes de protección de datos, algo falló, en este caso por un “error del camarero”, un error humano que le ha supuesto la sanción.

En definitiva, es necesario establecer un mínimo de formación/concienciación periódica respecto a sus obligaciones y a las medidas de seguridad, ciberseguridad que nos permitan estar mínimamente preparados.

Enlace a la resolución de la sanción aquí

Otras consideraciones al respecto de esta sanción y otras de la AEPD:

Observamos como la Agencia en algunos procedimientos sancionadores impone una multa en situaciones como esta en la que el tratamiento se supone que no llega a efectuarse, si bien, considera que solo el solicitarle el dato y negarle la factura ya supone incumplimiento.

Por otra parte, es importante que cuando consideremos adquirir un software, como el que usa el restaurante, se haga bajo la observación del cumplimiento del principio de «protección de datos desde el inicio y por defecto», es decir, que como en el caso sancionado, se cumplan los principios de protección de datos y no se pida un dato excesivo para la emisión de una factura.

Si ese software no lo permite, debemos de ser diligentes y descartar su adquisición, ya que es nuestra responsabilidad.