La Clínica Dental Sagrada Familia, ubicada en el corazón de Barcelona, ha sido sancionada con una multa de 30.000 euros por la Agencia Española de Protección de Datos (Aepd) tras solicitar una copia del Documento Nacional de Identidad (DNI) a un cliente para procesar un reembolso.
El incidente surgió cuando un cliente solicitó el reembolso de un tratamiento que había sido pagado por error. La clínica, en su procedimiento estándar, exigió una fotocopia del DNI como condición para realizar el reembolso. Sin embargo, esta práctica fue considerada excesiva y no justificada por la Aepd, ya que la clínica ya disponía de la información necesaria para efectuar la devolución sin necesidad de solicitar documentación adicional.
Principios de protección de datos infringidos
La agencia determinó que la Clínica Dental Sagrada Familia cometió dos infracciones del Reglamento General de Protección de Datos (Rgpd). La primera infracción, valorada en 20.000 euros, fue por incumplir el principio de minimización de datos al solicitar más información de la necesaria.
La clínica se defiende
La clínica defendió su acción argumentando que la solicitud del DNI se realizó para evitar posibles fraudes y suplantaciones de identidad. Aseguraron que la recopilación del documento de identidad se llevaba a cabo exclusivamente cuando se solicitaba la extracción del saldo disponible, con el fin de verificar la identidad del paciente o cliente y tramitar su reembolso con la diligencia debida.
Sin embargo, la Aepd contradijo la justificación de la clínica, sosteniendo que el reembolso podría haberse realizado utilizando la información bancaria ya existente del paciente. Además, la agencia enfatizó la responsabilidad que tienen las organizaciones en el tratamiento de los datos personales y la importancia de mantener un buen funcionamiento de los canales de información para atender las consultas.