La AEPD sanciona por fotografiar el DNI en la entrega de paquetes

La Agencia Española de Protección de Datos (AEPD), en su resolución PS/00413/2021, sin fecha, como trámite de reposición, ha confirmado la sanción de 100.000 euros a Orange España por requerir para la entrega de productos que la transportista realice una fotografía del anverso y reverso del DNI de quien recibe el producto para remitirlas a la entidad remitente.

Resumimos a continuación los aspectos más relevantes de esta resolución.

Procedimiento invalidado

La citada resolución invalida el procedimiento de entrega de productos conocido como identservice (DNI + foto), que se usa para verificar la identidad de la persona que recibe un paquete para acreditar que se entrega al destinatario.

Aspectos resaltados en la resolución

En la resolución, la AEPD subraya los siguientes aspectos:

Principio de minimización de datos

Destaca este principio al indicar que los datos han de ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados, y para nada más:

• El tratamiento pertinente de los datos debe observarse en la recogida  y en los procesos posteriores.
• La limitación del uso o tratamiento de los datos la debe marcar la necesidad, no el número de ellos.

Otros procedimientos de verificación de identidad

Se pueden usar otros procedimientos de entrega de productos en los que se verifique  la identidad del destinatario sin necesidad de fotografiar su DNI ni acceder a la imagen.

El sistema aplicado resulta excesivo para la finalidad de verificar y acreditar que el destinatario a quien se entrega la mercancía es la misma persona que la contrató. En este sentido, señala que:

• El DNI contiene muchos más datos, además del nombre y apellidos, que no son adecuados ni pertinentes para la finalidad de asegurar la entrega de un producto.
• Se deberían utilizar otros medios menos invasivos de la privacidad de las personas. Así lo había recomendado la AEPD en el «Plan de Inspección de Oficio sobre Contratación a Distancia en Operadores de Telecomunicaciones y Comercializadores de Energía».

El Tribunal Constitucional, por otro lado, ya puso de manifiesto que, si el objetivo puede alcanzarse sin realizar un tratamiento de datos, estos no deberían tratarse.

La contratación y la entrega son momentos distintos

Indica la AEPD que, al contratar, el tratamiento del DNI de la persona que contrata es necesario para que la entidad verifique que es realmente quien dice ser. Esto acredita un nivel de diligencia adecuado.

Pero este momento es distinto del de la entrega del producto, por lo que rechaza la alegación de la entidad. No es posible aplicar la diligencia necesaria para verificar la identidad del contratante a un momento posterior, el de la entrega del producto (alude la AEPD a la Sentencia de la Audiencia Nacional del 5-5-2021 y a su resolución PS/00452/2019, entre otras).

Por tanto, si al formalizar el contrato se identificó adecuadamente al contratante (mediante la copia del DNI y documento bancario donde figure el número de cuenta), para comprobar que quien recibe el envío coincide con el contratante no debería solicitarse nuevamente la copia del DNI.

Resolución de la AEPD

Por todo ello, la AEPD desestima el recurso de reposición, considera que se ha infringido el principio de minimización de los datos y sanciona la infracción del artículo 5.1.c) del reglamento general de protección de datos¹ con una multa de 100.000 euros.