Sanción a Michael Page: No todo ejercicio de derecho requiere la aportación de documentación identificativa
El pasado 25 de febrero la Agencia Española de Protección de Datos (en adelante, AEPD) publicó una resolución por la cual se sancionaba a la famosa consultora de recursos humanos, Michael Page, al pago de 300.000 por haber establecido como procedimiento interno ante toda solicitud de derechos, la necesaria aportación de documentación identificativa por parte del interesado.
La AEPD, tal y como describiremos en las siguientes líneas, considera infringidos los artículos 12 y 5.1 c) del Reglamento General de Protección de Datos (en adelante, RGPD). Tal y como aclara la AEPD, la normativa no exige que, para atender el ejercicio de derechos de un interesado, sea necesaria la aportación de ninguna documentación identificativa y únicamente habilita a los responsables a solicitar información adicional (información que no tiene por qué constar en un documento) y aplicar medidas razonables, en caso de que los mismos tengan dudas razonables sobre la identidad del solicitante; circunstancia que, asimismo, no resultó probada en el caso que nos atañe.
Resolución de la AEPD
- Actuaciones previas: tratamiento transfronterizo
El origen del procedimiento se encuentra en una reclamación interpuesta por un ciudadano holandés ante la autoridad de control de Países Bajos (en adelante, DPA holandesa) contra la entidad Michael Page International.
El reclamante, usuario dado de alta en la web de la consultora, ante el ejercicio de un derecho de acceso, fue requerido a aportar documentación identificativa; documentación considerada por él mismo excesiva una vez autentificada la cuenta.
A pesar de ser un tratamiento transfronterizo, teniendo en cuenta que el establecimiento encargado de la gestión de derechos para Europa Continental de Michael Page International se encuentra en España (a través de la sociedad Page Group Europe, S.L), en aplicación del artículo 56 del RGPD la AEPD fue considerada como autoridad de control principal por entenderse que el establecimiento principal del reclamado es el situado en territorio español.
Ha de tenerse en cuenta que, en este caso, es aplicable el mecanismo de cooperación del artículo 60 del RGPD por el cual si una de las autoridades de control interesadas en el procedimiento formula una objeción pertinente y motivada al proyecto de decisión presentado por la principal (en este caso, la AEPD), la autoridad de control principal está obligada a tener en cuenta las objeciones formuladas.
En un primer momento, la AEPD no observó que la consultora hubiese cometido ninguna infracción, pero tras las objeciones presentadas por otras autoridades de control europeas (en concreto, las comunicadas por la DPA holandesa), replanteó su posición, presentó proyecto de decisión revisado y acordó el inicio de procedimiento sancionador.
- Verificación de identidad en caso de ejercicio de derechos
Como adelantábamos al principio del presente artículo, para la autoridad de control no sólo no existe ningún precepto en la regulación que obligue a los interesados a aportar algún documento identificativo adicional con ocasión de verificar su identidad en caso de ejercitar un derecho; si no que, ni siquiera los citados preceptos exigen que esa verificación de la identidad se realice mediante documentación.
La AEPD hace hincapié en que el proceso de verificación de identidad mediante la adopción de medidas adicionales debe limitarse a los supuestos concretos en los que el responsable tenga dudas “razonables” en relación con la identidad de la persona solicitante.
Por todo ello, las referencias del artículo 12 del RGPD, por el cual se admite la posibilidad de solicitud de información adicional por parte del responsable al interesado con el objeto de verificar su identidad y del Considerando 64 del mismo, por el cual se habilita a los responsables a tomar "todas las medidas razonables para verificar la identidad de los interesados que soliciten acceso" han de ser interpretadas teniendo en cuenta las siguientes consideraciones:
-Posibilidad: Son una posibilidad al alcance del responsable.
-Excepcionalidad: Se trata de una posibilidad aplicable únicamente si existen dudas razonables respecto a la identidad del solicitante.
-Minimización y proporcionalidad: Es obligación del responsable determinar qué información y qué medidas resultan razonables en cada caso, acudiendo siempre a los medios menos invasivos para los derechos del solicitante.
En base a los argumentos indicados, la AEPD constata que:
- Michael Page ha diseñado su procedimiento de gestión de derechos sin analizar previamente la existencia o no de dudas razonables respecto a la identidad del solicitante, aplicando la misma solución para todos los casos y, por lo tanto, no teniendo en cuenta las consideraciones anteriormente descritas.
- Michael Page no ha justificado tener dudas razonables sobre la identidad del solicitante. En este sentido, se destaca que el solicitante figuraba registrado en los sistemas de Michael Page, disponiendo de una amplia información sobre el mismo y habiéndose ejercitado el derecho desde la misma dirección de correo electrónico por la que se dio de alta.
- Michael Page disponía de medios menos intrusivos para verificar la identidad. Michael Page conocía los datos de contacto del solicitante, por lo que el hecho de haber recibido la solicitud desde el email que ya constaba en la base de datos era garantía suficiente para la acreditación de identidad.
- Michael Page es responsable de no haber dado respuesta al ejercicio de acceso en el plazo establecido por el RGPD, ya que las rigurosas exigencias impuestas motivaron que la resolución quedara sin respuesta.
- Michael Page no protege los datos de los solicitantes, ya que el tratamiento de los documentos identificativos requeridos aumenta los riesgos para los afectados. De esta forma, la entidad vulnera el principio de minimización.
En base a lo expuesto, la entidad reclamada es sancionada al pago de 50.000 euros por la infracción del artículo 12 del RGPD ("Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado"), y al pago de 250.000 euros por las infracciones relacionadas con el incumplimiento del artículo 5.1.c del RGPD ("Principio de minimización de datos").
Carlos Cuesta Hernández, Senior Privacy Counsel, Legal Army