El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la adecuación al Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) en el tratamiento de datos personales por parte de operadores de telecomunicaciones y entidades financieras, así como por entidades de mensajería y paquetería. El informe se centra en la captura de imágenes del Documento Nacional de Identidad (DNI) en diversos supuestos, como la entrega de bienes adquiridos mediante financiación, duplicados de tarjetas SIM y dispositivos móviles.
El informe destaca la importancia de la responsabilidad proactiva, un principio clave del RGPD que exige a los responsables del tratamiento implementar políticas y procedimientos que garanticen el cumplimiento de las obligaciones de protección de datos. Esta responsabilidad implica un análisis continuo y la adopción de medidas adecuadas para minimizar riesgos y demostrar el cumplimiento normativo.
En cuanto al tratamiento del DNI, la AEPD subraya que este dato debe ser tratado con extrema cautela debido a su sensibilidad y al riesgo de usurpación de identidad. La captura de imágenes del DNI solo debe realizarse cuando esté justificada por la normativa vigente y siempre que se adopten las garantías necesarias para proteger los datos. La AEPD recuerda que el uso del DNI debe ser proporcional y necesario, evitando la recopilación excesiva de datos.
El informe también aborda la normativa de prevención de blanqueo de capitales, señalando que el DNI es un método válido para la identificación formal de personas físicas. Sin embargo, en operaciones no presenciales, se deben considerar otros medios de identificación y realizar un análisis de riesgos adecuado.
Finalmente, el informe analiza la consideración de las empresas de transporte y mensajería como responsables o encargados del tratamiento de datos. La AEPD indica que esta clasificación depende de las circunstancias específicas del caso, incluyendo la relación contractual entre las partes y las obligaciones legales impuestas para la prestación del servicio. La AEPD subraya que la determinación de la condición de responsable o encargado del tratamiento debe realizarse de manera individualizada, atendiendo a las actividades concretas y al contexto específico de cada tratamiento de datos.
En resumen, el informe de la AEPD subraya la necesidad de una responsabilidad proactiva en el tratamiento de datos personales, la cautela en el uso del DNI y la importancia de un análisis detallado y contextualizado para determinar la condición de responsable o encargado del tratamiento en el ámbito de las entidades de mensajería y paquetería.