Esta semana, os traemos la resolución de archivo que la Agencia Española de Protección de Datos (en adelante, AEPD) ha publicado en el día de ayer contra la reclamación que interpuso una asistente al festival de la edición pasada del Primavera Sound, quien reclamaba que para acceder al recinto había que subir a la aplicación “AccessTicket” el Documento Nacional de Identidad o Pasaporte a pesar de que, cuando se vendieron dichas localidades, no se informó sobre dicho extremo.
La Agencia Española de Protección de Datos traslada la reclamación al festival, quienes argumentan a favor del tratamiento lo siguiente:
- Que el uso de la aplicación “AccessTicket” es necesaria para:
- Verificar la identidad y edad de los asistentes, en especial, de los menores de 18 años, pues dentro del recinto se venden bebidas alcohólicas.
- Evitar suplantaciones de identidad al restringir las posibilidades de que una misma entrada pueda ser utilizada por más de una persona.
- Prevenir la venta fraudulenta de entradas.
- El uso de dicho aplicativo no es obligatorio, otorgando alternativamente la posibilidad de acreditar la identidad de los asistentes presentándose físicamente en la zona de incidencias del Festival.
- Se han recopilado exclusivamente los datos personales imprescindibles, estos son, nombre, apellido, fecha de nacimiento e imagen del portador de una entrada al festival.
En base a la contestación, la Subdirección General de Inspección de Datos procedió a iniciar actuaciones previas de investigación para el esclarecimiento de los hechos, remitiendo requerimiento de información a la entidad sobre:
- La necesidad de recopilar la foto. El Primavera Sound recoge la foto del DNI con la finalidad de agilizar los accesos al recinto, pues sólo tienen que comparar al portador de la entrada con la imagen que tienen almacenada, que será a su vez la imagen de perfil.
También señalan que en el caso de que la verificación de la identidad se realice presencialmente, el personal de la organización realizará una fotografía al portador de la entrada el día que concurra a la zona de incidencias.
Adicionalmente en ese mismo instante se rellenan los datos personales relevantes en el sistema, es decir, nombra, apellidos, fecha de cumpleaños, código del ticket y ticket type y se imprime una pulsera con el QR del ticket, el nombre del asistente y el tipo de entrada. Este QR será el que se lea en los accesos mientras se muestra al validador la foto registrada.
- Requerir el reverso del DNI. La empresa señala que resultaba imprescindible realizar un “matcheo” entre la información contenida en el anverso del documento y la indicada en el reverso pues la calidad de las fotografías aportadas y/o escaneadas no siempre es buena y eso dificultaba, cuando no impedía, la correcta verificación de la entidad, por lo que se realizaba una comprobación conjunta.
- La relación contractual con el encargado del tratamiento que realiza la operación de extracción de datos del DNI. Se trata de una entidad que en base a un sistema Know Your Customer, extrae los datos solicitados por el Responsable del Tratamiento, de modo que “el resto de la información personal que pueda estar incluida en el documento de identificación subido y el escaneo del propio documento de identificación, serán borrados automáticamente y no serán accesibles ni tratados por Primavera Sound”.
- Plazo de conservación de los datos. En este sentido evidencian que su política de plazos de conservación en donde se indica que “todos los datos capturados de tu documento oficial de identidad se eliminarán dos semanas después del evento” se aplica correctamente, pues sólo mantienen, al albur de lo expuesto en las capturas de pantalla aportadas, la dirección de email con la que se registran y la numeración de las entradas.
- Base de legitimación. En este caso, la finalidad en la que se amparan para el tratamiento de la gestión de la compra (datos identificativos) es el artículo 6.1.b) RGPD (“el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales”.), si bien para la imagen en el caso de la verificación física recaban el consentimiento (artículo 6.1.a) RGPD) en la verificación manual, informando de las finalidades verbalmente.
- Principio de información. En este caso, la alternativa al aplicativo viene expuesta, tanto en el apartado de Preguntas frecuentes como en la política de privacidad.
Por tanto, en base a lo indicado por la entidad y tras el análisis realizado por la AEPD sobre los documentos aportados y las circunstancias concurrentes, se acuerda el archivo de la reclamación.
La conclusión que podemos extraer de todo ello es que un buen diseño del tratamiento nos ayuda a ser respetuosos con los derechos y libertades de nuestros clientes y, adicionalmente, salvaguardarnos de posibles infracciones.
AUTORA: Alba Sánchez de la Calle
TWITTER: https://twitter.com/AlbusAlba