Recientemente la Agencia Española de Protección de Datos (AEPD) ha dictado resolución contra la Fundación del Teatro Real, por vulneración del principio de minimización de datos, en el contexto de la venta de entradas a través de su página web.

El procedimiento sancionador fue iniciado tras la denuncia de un cliente que compró unas entradas a través del sitio web del Teatro Real y, al considerar excesiva la información solicitada de forma obligatoria durante el proceso de venta, decidió interponer una reclamación ante la AEPD.

Durante la instrucción del expediente, la AEPD pudo constatar que el Teatro Real requería como obligatorios los siguientes datos: nombre y apellidos, dirección de correo electrónico, teléfono móvil, fecha de nacimiento, dirección postal, código postal, país y número de pasaporte o DNI. Estos datos eran exigidos incluso cuando se trataba de compras de entradas sin servicios adicionales (por ejemplo, sin contratar seguros ni solicitar factura).

El Teatro Real argumentó que todos los datos solicitados eran necesarios para optimizar la experiencia del usuario, cumplir obligaciones contractuales y garantizar la seguridad en sus instalaciones. Sin embargo, la AEPD consideró que varias de esas finalidades no justificaban la recogida obligatoria de ciertos datos, en particular:

• DNI/Pasaporte, cuya exigencia se vinculaba con medidas de seguridad general (visitas de personalidades), pero sin una base legal suficiente ni indicación en la política de privacidad.
• Dirección postal, solicitada incluso sin necesidad de envío físico.
• Fecha de nacimiento, exigida de forma sistemática aunque sólo era relevante para acceder a tarifas especiales por edad.
• Código postal y país, recogidos con fines estadísticos, lo cual no justifica su obligatoriedad.

Además, la AEPD criticó que el proceso online exigiera más datos obligatorios que el presencial, sin justificación técnica ni legal para ello.

Proporcionalidad y principio de minimización de los datos

La AEPD concluyó que varios de estos datos no eran necesarios para la gestión de la compra de entradas y, por tanto, vulneraban el principio de minimización, reafirmando su criterio en la aplicación del RGPD: el tratamiento de datos debe ser proporcional y justificado por la finalidad concreta del tratamiento.

En este sentido, no basta con declarar que un dato es útil; es necesario justificar que es imprescindible para cumplir la finalidad concreta del tratamiento. La AEPD ya ha considerado en otras ocasiones excesivo solicitar datos como DNI, dirección postal completa, o número de teléfono móvil cuando no existe necesidad real o legal para ello.

Por su parte, el principio de minimización de datos consagrado en el Reglamento General de Protección de Datos (RGPD) exige que los datos personales tratados sean los adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se recaban. Este principio se entrelaza con el de proporcionalidad, una garantía esencial en todo tratamiento de datos personales.

En el caso que nos ocupa, si el Teatro Real ofrece un canal presencial y otro digital (por ejemplo, venta de entradas), no puede exigir más datos por vía online si no existe una diferencia objetiva que lo justifique.

Buenas prácticas para el cumplimiento de la normativa

Para cumplir adecuadamente con estos principios, las organizaciones deben:

• Revisar las bases de datos y formularios actuales;
• Eliminar campos obligatorios que no sean estrictamente necesarios;
• Aplicar el principio de privacidad por defecto, recogiendo únicamente los datos mínimos para cumplir la finalidad;
• Documentar las evaluaciones de necesidad y proporcionalidad en los tratamientos;
• Actualizar las políticas de privacidad para reflejar la finalidad real y la naturaleza opcional de los datos no imprescindibles.

Conclusión

El caso de la Fundación del Teatro Real es ilustrativo de los retos a los que se enfrentan las empresas en la digitalización de sus servicios. La comodidad tecnológica no puede imponerse sobre los derechos de protección de datos de los usuarios, por lo que la recogida de información debe estar basada en los principios claros de necesidad, adecuación y proporcionalidad.

Desde Microlab Hard , ayudamos a empresas a adaptar su sitio web a las exigencias legales sobre cookies y consentimiento. Auditamos tu página para asegurar que el banner cumple con el RGPD, que no se instalan cookies sin autorización y que la información al usuario es clara, accesible y completa.

Si tienes dudas sobre si tu web solicita más información de la necesaria, contáctanos. Te asesoraremos para ajustar tus formularios, actualizar tu política de privacidad y evitar riesgos de sanciones, garantizando al mismo tiempo una experiencia de usuario sencilla, segura y respetuosa con la protección de datos.