En este contexto, destaco una resolución de la Agencia Estatal de Protección de Datos, que sancionó a una empresa tras una reclamación de un particular. El motivo de la sanción fue que la empresa, para permitir la asistencia a un concierto de menores, exigía una autorización del progenitor o tutor, acompañada de una fotocopia del DNI, que quedaba en poder de la empresa organizadora. Además, el documento de autorización carecía de información relevante sobre protección de datos.
Según la AEPD, los datos personales deben ser adecuados y limitados a la necesidad para la que son recabados. En este caso, la exigencia de una fotocopia del DNI contraviene el principio de “minimización de datos”. El documento en el que se solicitaba el DNI no explicaba cómo se tratarían los datos obtenidos, el plazo de conservación de los mismos, ni proporcionaba información suficiente sobre la empresa para que el interesado pudiera ejercer el derecho de supresión.
La AEPD subraya que el DNI es un dato especialmente sensible cuyo tratamiento inadecuado puede provocar problemas de usurpación de identidad o fraude. En este caso concreto, habría sido suficiente realizar una verificación “in situ” de la edad.