La Agencia Española de Protección de Datos (AEPD) en su expediente sancionador impuso una multa de 30.000 euros a una cadena de cines.
Una usuaria presentó una denuncia ante la AEPD tras comprobar que, al acceder a la aplicación móvil de una cadena de cines para comprar entradas, aparecían automáticamente datos personales de otra persona. Además, la aplicación autocompletaba el campo de la tarjeta de fidelización con un número ajeno al de la denunciante, exponiendo información de terceros sin su consentimiento.
El incidente se originó por un error técnico en la sincronización de las bases de datos de la aplicación de fidelización, que provocó el cruce de información entre usuarios registrados el mismo día en distintos cines. Los datos comprometidos eran nombre, apellidos, correo electrónico, teléfono y número de tarjeta que incorporaba el DNI del cliente.
La entidad incurrió en dos infracciones relevantes del Reglamento General de Protección de Datos: artículo 5.1.d (principio de exactitud) por mantener información inexacta que se mostraba erróneamente entre usuarios y el artículo 32 (seguridad del tratamiento): por no aplicar medidas técnicas y organizativas adecuadas para proteger la confidencialidad e integridad de los datos personales.
El número de DNI, por su capacidad de identificar de forma única a una persona, es un dato sensible cuyo uso indebido puede facilitar la suplantación de identidad y fraudes que comportan un riesgo para la privacidad.