En una sociedad hiperdigitalizada donde los datos personales valen más que el propio efectivo, la frontera entre lo práctico y lo legal se diluye con una rapidez alarmante. Esta semana, la Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 11.000 euros a una empresa de grúas por fotografiar el DNI de una clienta con un teléfono móvil personal de un empleado. Puede parecer una anécdota… hasta que entiendes sus implicaciones.
Porque no estamos hablando solo de una fotografía. Estamos hablando de un tratamiento masivo, inseguro, y sin control de la identidad de una persona. Es una historia sobre cómo la tecnología mal implementada se convierte en una bomba de relojería legal. Y sobre cómo la falta de cultura digital en pequeñas empresas puede terminar costando caro, muy caro.
El caso: una grúa, un móvil… y una vulneración múltiple del RGPD
Todo empezó como un trámite rutinario. Un ciudadano acude a recoger su vehículo. En lugar de un formulario o una comprobación ocular, el operario le pide el DNI… y lo fotografía con su móvil personal. Sin firmar consentimiento, sin explicar nada. Ni siquiera había carteles advirtiendo de que la zona estaba videovigilada. El cliente, incómodo y sin alternativa, accede. Luego, denuncia. Y ahí empieza el verdadero giro.
La AEPD abre expediente sancionador. Analiza los hechos. Y emite una resolución contundente: la empresa ha infringido cuatro artículos clave del Reglamento General de Protección de Datos (RGPD):
- Artículo 5.1.c (minimización de datos)
- Artículo 32 (seguridad del tratamiento)
- Artículo 13 (deber de información al interesado)
- Artículo 12.1 y 13 (información en videovigilancia)
Resultado: cuatro infracciones, cuatro multas. Total: 11.000 euros.
Diagnóstico forense: ¿qué salió mal (además de todo)?
El móvil personal como herramienta de captura de datos
El uso de un móvil particular para fotografiar un documento oficial no es un descuido: es una negligencia grave. Rompe la cadena de custodia de los datos, impide su trazabilidad y abre la puerta a filtraciones, duplicaciones o usos indebidos.
Según el artículo 32 del RGPD, el responsable del tratamiento debe aplicar medidas técnicas y organizativas adecuadas. Aquí, la AEPD concluye que no solo no existía protocolo interno, sino que se actuó con improvisación tecnológica peligrosa.
Exceso de datos: el principio de minimización
No hacía falta una foto. Bastaba una mera verificación visual y anotación manual. El artículo 5.1.c es claro: los datos deben ser adecuados, pertinentes y limitados al fin. Tomar una imagen completa del anverso del DNI fue una recolección desproporcionada.
Sin carteles de videovigilancia, sin derecho a saber
Las instalaciones tenían cámaras, sí. Pero ni un solo cartel. Eso viola el artículo 12.1 y 13 del RGPD, y también el artículo 22 de la LOPDGDD. La vigilancia sin información es ilegal. No vale decir “todo el mundo sabe que hay cámaras”. La ley exige avisar de forma visible, clara y comprensible.
Sin informar sobre el tratamiento de datos
Y por si fuera poco, no se informó al cliente de qué se iba a hacer con la imagen capturada. Según el artículo 13 del RGPD, toda recolección de datos debe ir acompañada de:
- Finalidad del tratamiento.
- Identidad del responsable.
- Derechos del interesado.
- Posibilidad de revocación.
Nada de eso se comunicó. Y eso, en el ecosistema europeo, no se perdona.
Estamos ante un problema estructural: la falta de formación tecnológica mínima en la gestión de datos sensibles. Muchos negocios creen que tener un smartphone equivale a tener un sistema de gestión. Pero un móvil personal no es un terminal seguro, ni un repositorio autorizado, ni un canal cifrado.
En manos de un empleado, ese móvil:
- Puede ser robado.
- Puede contener apps que recolectan datos en segundo plano.
- Puede tener copia automática en la nube sin cifrado.
- Puede compartir datos con terceros sin supervisión.
Cada uno de estos puntos es un posible ciberincidente… y una futura multa.
Del DNI al rostro: ¿qué sigue si no actuamos?
Este caso debería servir de alerta para todos. Hoy es el DNI. Mañana puede ser:
- Una biometría facial captada sin consentimiento.
- Un contrato firmado y fotografiado.
- Una conversación grabada por “comodidad”.
La frontera entre lo cotidiano y lo legal es cada vez más delgada. Y con la proliferación de tecnologías como la IA de reconocimiento facial, los deepfakes y los algoritmos predictivos, el RGPD no es un lujo: es el único escudo que queda.
Este artículo no es contra una empresa de grúas. Es un aviso para miles de pymes, autónomos y negocios tradicionales que siguen usando la tecnología sin comprender sus riesgos. Que creen que “fotografiar el DNI” es lo mismo que “verificar identidad”. Que no entienden que cada dato mal tratado puede convertirse en un expediente sancionador.
Y también es un mensaje para los desarrolladores de apps, para los diseñadores de CRM, para los fabricantes de móviles y plataformas en la nube: la privacidad no es opcional. Es estructural, con lo que las empresas o actualizan su protocolo… o pagaran por su desconocimiento
La era de la ciberseguridad ciudadana ha llegado. La AEPD no es un ente lejano: es un actor activo y con capacidad sancionadora real. Y lo que antes eran advertencias, ahora son multas cuantificables.
No basta con decir “yo no sabía”. El nuevo mantra es: “yo me formo, yo me adapto, yo protejo”. Porque no hay negocio que justifique una infracción reiterada de la ley. Y porque ningún cliente merece ver su identidad comprometida por un descuido innecesario.
