La Agencia Española de Protección de Datos en el expediente PS/00287/2024 sancionó a a la pyme por varias infracciones del RGPD, tras una reclamación presentada por un ciudadano y reconocidas por la empresa mediante el pago voluntario de la sanción.
El procedimiento se inició después de que el reclamante denunciara que, al recoger su vehículo en las instalaciones de la empresa, se le exigió mostrar su DNI, siendo este fotografiado con el móvil personal de un empleado, sin recibir previamente información sobre el tratamiento de sus datos. Además, indicó que las instalaciones estaban videovigiladas sin ningún cartel informativo visible.
Tras la investigación, la AEPD confirmó los siguientes incumplimientos: el uso innecesario de una fotografía del DNI (vulnerando el principio de minimización de datos), la falta de medidas de seguridad adecuadas en el tratamiento (uso de móviles personales), y la ausencia de la información obligatoria tanto en la recogida de datos como en el sistema de videovigilancia.
Además, la pyme sancionada debe acreditar que en un plazo de dos meses ha implementado las siguientes medidas correctivas: evitar la captación innecesaria del DNI, aplicar medidas de seguridad adecuadas, informar correctamente a los usuarios y colocar la señalización exigida para la videovigilancia.
Las medidas correctivas impuestas por la AEPD son independientes de la sanción económica y su cumplimiento es obligatorio para la entidad.