Si bien es cierto que solicitar el DNI se ha convertido en una práctica muy extendida en diversos campos; en hoteles, en federaciones deportivas, entidades de mensajería, etc.
Aunque el hecho de que nos soliciten el DNI es una práctica que nos pueda resultar habitual, la Agencia Española de Protección de Datos (AEPD) se ha pronunciado en distintas ocasiones sobre casos en los que se ha solicitado una fotocopia del DNI, no siendo necesario ni proporcional según la normativa de protección de datos.
¿A que se refiere la AEPD con esto?
El Reglamento General de Protección de Datos (RGPD) en su artículo 5, establece que los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»). Por su parte el artículo 32 indica que “los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación”
Esto implica que los datos recabados deben ser los estrictamente necesarios para lograr el objetivo declarado, en relación con la finalidad legitima que se pretende alcanzar.
Para ello, la AEPD establece en sus informes que el tratamiento del DNI debe estar estrictamente justificado por una norma que lo establezca, considerándose excesivo cuando su única finalidad es la identificación de personas. El número del DNI es una información especialmente sensible, cuyo uso indebido puede tener múltiples efectos desfavorables para el titular.
El uso y exhibición del número de DNI junto con el nombre debe ser restringido. Se deben adoptar cautelas al asociar el número del DNI con nombres y apellidos, evitando su conocimiento conjunto fuera de los casos necesarios.
¿Por qué?
Analizando los principios expuestos en la normativa de Protección de Datos, se llega a la siguiente conclusión:
Proporcionalidad y Minimización de Datos: La recogida de datos debe ser proporcional y evitar la recopilación excesiva.
Riesgo para la Seguridad: La utilización de una copia del DNI como parte del proceso de autenticación crea un riesgo significativo para la seguridad de los datos personales y puede dar lugar a tratamientos no autorizados o ilícitos.
Necesidad y Adecuación: El método de autenticación debe ser pertinente, adecuado y respetar el principio de minimización de datos. Solo se debería solicitar una copia del DNI si es estrictamente necesario y conforme al Derecho nacional.
Considerando lo anteriormente expuesto y siguiendo las directrices por parte de la Autoridad de Control en materia de Protección de Datos, entendemos que esta práctica:
- No cumple con el principio de minimización de datos.
- Introduce riesgos innecesarios para la seguridad de los datos personales.
- Puede ser considerada un tratamiento ilícito o no autorizado, salvo que exista una norma específica que lo justifique.
Entonces, si solicitar copia del DNI puede resultar excesivo, ¿cómo identifico a la persona?
La normativa de Protección de datos propone otra serie de medidas que resultan compatibles con el cumplimiento de la norma y que harán identificable a una persona sin necesidad de incumplir.
Revisión de Políticas: Revisar las políticas de recopilación de datos para asegurar el cumplimiento con la normativa de protección de datos.
Alternativas de Identificación: Implementar métodos de identificación que no requieran la copia del DNI. Algunos como enlaces de confirmación, preguntas de seguridad y códigos de confirmación, podrían ser evaluados para asegurar el consentimiento de los representantes legales.
En cuando a la comprobación de identidad, nacionalidad y edad de las personas, la exhibición del documento, debiera ser suficiente para ello. En el caso de que, tras el oportuno análisis, se concluya la imposibilidad de otro medio, al solicitar la copia del documento se debe comunicar al interesado la información que no es necesaria y la posibilidad de expurgar u ocultar esas partes del documento de identidad. Si el interesado no los ocultara, deberá hacerse por parte del Responsable (la empresa en cuestión).
Conservación de datos: Suprimir las copias de DNI que se encuentran archivados.
Capacitación: Capacitar al personal en las mejores prácticas de protección de datos y en la normativa aplicable para evitar infracciones y sanciones.
Por todo ello, la solicitud de copias del DNI es improcedente y vulnera la normativa de protección de datos, según lo establecido por la normativa. En este caso, recomendamos a las organizaciones que revisen sus prácticas de recopilación de datos para asegurar que cumple con los principios de proporcionalidad y minimización, evitando así sanciones y protegiendo adecuadamente los datos personales de los individuos.
¿Tienes más dudas?
En Legitec te podemos asesorar a establecer criterios que se adecuen al funcionamiento de tu organización, redactando los procedimientos que garanticen el cumplimiento y mejorando los procesos de la empresa para cumplir con la normativa de Protección de Datos. Ponte en contacto con nosotros y solicita un presupuesto sin compromiso en el siguiente enlace https://legitec.com/contacto/
una correduria de seguros me pedido el dni por wassat y se lo e mandado paradarme de alta de un seguro medico en sanitas, puedo tener problemas con eso de la suplantacion de identidad ? gracias
Gracias por tu consulta. Entiendo tu preocupación, y es importante aclarar algunos puntos. Enviar el DNI por WhatsApp no es, en sí mismo, ilegal, pero sí implica riesgos. WhatsApp no es el canal más seguro para compartir documentación sensible como el DNI, especialmente si no estás seguro de quién está al otro lado o si el número es realmente de la correduría.
En cuanto al riesgo de suplantación de identidad, sí, puede existir si ese DNI cae en manos equivocadas. Por eso es fundamental: Verificar siempre que estás tratando con un canal oficial y seguro de la correduría. Evitar enviar documentos sensibles por medios no cifrados o no verificados. Solicitar confirmación de que tus datos serán tratados conforme al RGPD y solo para tramitar el seguro.
Si ya lo has enviado y te quedas más tranquilo, puedes pedir a la correduría que te confirme por escrito el uso que harán de tu DNI y que lo eliminarán una vez finalizada la gestión. Y si detectas cualquier uso extraño de tus datos, no dudes en contactar con la AEPD o incluso ponerlo en conocimiento de la Policía.
Un saludo.
He solicitado por correo-e a mi propia compañía eléctrica sus precios actuales según tramos horarios por no saber encontrarlos en su p. web, y me piden para ello enviarles mi DNI. Creo que es una información que debería estar accesible sin necesidad de identificarse. Es así? Gracicas.
Buenas tardes, en general, las compañías eléctricas deben publicar en su página web la información básica sobre tarifas y precios, incluidos los tramos horarios, para que cualquier persona pueda consultarlos sin necesidad de identificarse. Esta información es pública y no debería requerir datos personales para acceder a ella.
Sin embargo, si solicitas información personalizada o específica vinculada a tu contrato o consumo, es habitual que te pidan identificarte (por ejemplo, con tu DNI) para garantizar que los datos se facilitan solo al titular o a personas autorizadas.
En tu caso, si solo pedías los precios generales por tramos horarios y no datos personales, tienes razón: deberían estar accesibles sin solicitarte el DNI. Te recomiendo revisar la web de la compañía o reclamarles que faciliten esta información pública sin requerir datos personales.
Buenos días
Mi corredor de seguros me dice que para dar de baja una póliza es imprescindible mandar carta de anulación y copia de mi dni. ¿Es esto verdad? ¿No vulnera la LOPD al tener mi dni datos sensibles?
No entregues copia de tu DNI si no se te informa adecuadamente del tratamiento de tus datos. Pide que acrediten su cumplimiento del RGPD o propón otra forma segura de verificar tu identidad. El corredor o la aseguradora pueden pedir una copia del DNI si:
Te informan claramente de la finalidad del tratamiento (verificar tu identidad para anular la póliza),
Te comunican cuál es la base jurídica que lo justifica (generalmente, interés legítimo del responsable),
Y te informan de tus derechos de protección de datos (acceso, supresión, oposición, etc.).
Para cualquier duda estamos a su disposición.
Una asociacion protectora d animales,me exsige mi dni para llevarla a la policia para q se me reconozca como alimentadora.Es denunciable esta presidenta??
Buenos días María.
En relación con su duda planteada podemos indicarle que en principio no es automáticamente denunciable que la presidenta le solicite el DNI si hay una base legal para hacerlo y se respetan las normativas de protección de datos. Sin embargo, si sospecha que sus datos se están usando de forma inadecuada o sin justificación, puede plantear una reclamación ante la AEPD.
Si tiene más dudas o necesita asesoramiento adicional, puede contactarnos mediante el formulario para analizar su caso con mayor detalle.
Un estimado saludo.