La reclamante indica en su escrito que, siendo propietaria de la vivienda desde hace 15 años, al intentar hacer uso de la piscina comunitaria, el vigilante de seguridad contratado por la comunidad de vecinos le solicitó que mostrase el DNI para acceder a la piscina, a lo que ella se negó al ser propietaria y estar correctamente identificada.

La reclamante también le solicitó al vigilante de seguridad que le informase el propósito de recoger los datos personales y que le ensañara el escrito donde estaba esa norma.

Además, la reclamante indica que, cuando los propietarios accedían a la piscina y presentaban su DNI al vigilante de seguridad, éste apuntaba los datos de la persona que accedía en un folio en blanco a la vista de todos y que no existía ningún documento junto al vigilante en el cual informase de la gestión que se iba a realizar con esos datos.

Señala la AEPD que es cierto que en la situación de pandemia que se vivió en 2020, las autoridades sanitarias competentes adoptaron las medidas necesarias para atajar la pandemia, y por tanto, los distintos responsables de los tratamientos de datos personales debieron seguir dichas instrucciones, incluso cuando ello supuso un tratamiento de datos personales de salud, en caso de que hubiera sido necesario comunicar a otras personas un posible brote en su entorno con el objetivo de salvaguardar la salud de todos.

No obstante, el hecho de pedir los datos personales incluidos en el DNI de la reclamante, resulta excesivo a los fines para los que estaban destinados, pues al ser propietaria de una vivienda en la comunidad con una antigüedad de más de 15 años, estaba suficientemente identificada incluso, solamente con la indicación del portal, piso y letra, por ejemplo.

Por tanto, los hechos expuestos son claramente constitutivos de una infracción, imputable a la parte reclamada, por vulneración del art. 5.1.c) RGPD, al solicitar a la reclamante más datos personales de los estrictamente necesarios para el fin que se perseguía.

Por otra parte, dado que no se informaba a los usuarios de la instalación sobre la gestión que posteriormente se realizaría con los datos personales obtenidos de los DNI. Atendiendo a esto los hechos son constitutivos de una infracción, imputable al reclamado, por vulneración del art. 13 RGPD, al no informar convenientemente de la gestión que se realizaba con los datos personales obtenidos cuando se accedía a la piscina comunitaria.

Resolución AEPD PS/00523/2021, de 11 de mayo de 2022.