Datos de verificación innecesarios en suscripciones de pago
Al utilizar servicios online, ya sean de vídeo o plataformas a las que nos abonamos con pagos recurrentes, es normal ver como existen procesos de verificación y guardado de los métodos de pago.
Ahora bien, la Agencia Española de Protección de Datos (AEPD) ha sancionado a un negocio que solicitaba en Documento Nacional de Identidad para realizar la verificación para acceder a una suscripción de pago en una aplicación. Este proceso se trata de un proceso habitual en aplicaciones, aunque esta resolución sienta un precedente.
Según firma la AEPD, la verificación podía realizarse sin necesidad de solicitar una copia del DNI, existiendo alternativas igualmente válidas que confirman la identidad del usuario.
Protección de datos y procesos de verificación online
Las plataformas online que registran los usuarios con tal de suscribirlos a algún servicio, deben cumplir con la normativa establecida en el Reglamento General de Protección de Datos (RGPD). Esto supone que los datos recabados serán los limitados a lo necesario para cumplir con los fines para los que son tratados, haciendo referencia a la minimización de datos.
Principios para el tratamiento de datos personales según el RGPD
Según el principio de minimización de datos no se deben solicitar datos que no sirvan estrictamente para el objetivo que se quiere cumplir, así como reducir el plazo de conservación de los datos, la extensión de su tratamiento y su accesibilidad.
En el caso de la empresa sancionada, se estableció a través de un informe externo, que la recogida del DNI cómo método de verificación de identidad, no se ajusta a la legalidad vigente para ese propósito.
Recomendaciones para el tratamiento de datos personales
Es por ello que los negocios deben utilizar métodos menos invasivos, para evitar incurrir en infracciones, informando a los clientes de la finalidad que se les dará a los datos recabados. Así cómo pueden ejercer los derechos de acceso, rectificación, supresión, oposición y limitación del tratamiento. Además del tiempo que se conservarán los datos.
Los responsables del tratamiento de datos personales deben seguir los principios reconocidos en el Reglamento General de Protección de Datos cómo el de finalidad, exactitud, limitación de plazo de conservación, seguridad, responsabilidad activa, minimización de datos y el de licitud, transparencia y lealtad.
La sanción impuesta a la empresa por solicitar el DNI para verificar la identidad de sus usuarios sin que fuera necesario, fue de un importe de 1.000 euros. Y sirve para ejemplificar como estas prácticas de plataformas web y apps pueden suponer un riesgo innecesario para el usuario. al tratar con información no necesaria para su finalidad.
En Forlopd ayudamos a empresas de diferentes sectores a cumplir con las normativas vigentes en materia de protección de datos, evitando que los negocios sufran fugas de información o brechas de seguridad, y que pueden suponer costosas sanciones de la AEPD. Puedes solicitarnos más información a través del formulario de contacto.
Entradas relacionadas:
¿Cómo cumplir con la protección de datos en el sector Inmobiliario?
Sancionan a TikTok con 530 millones de euros por transferir datos de Europa a China
Orange es sancionada con 1,2 millones de euros por duplicar tarjetas SIM sin verificar la identidad
Finalidad del tratamiento de datos personales
¿Qué es la Agencia Española de Protección de Datos (AEPD)?
Cómo proteger los datos personales de tus clientes: medidas y buenas prácticas
¿Qué es y cuál es el propósito de la protección de datos?
¿Sabes cómo cumplir con la Protección de Datos en las Relaciones Laborales?
