Si bien es cierto que solicitar el DNI se ha convertido en una práctica muy extendida en diversos campos; en hoteles, en federaciones deportivas, entidades de mensajería, etc.
Aunque el hecho de que nos soliciten el DNI es una práctica que nos pueda resultar habitual, la Agencia Española de Protección de Datos (AEPD) se ha pronunciado en distintas ocasiones sobre casos en los que se ha solicitado una fotocopia del DNI, no siendo necesario ni proporcional según la normativa de protección de datos.
¿A que se refiere la AEPD con esto?
El Reglamento General de Protección de Datos (RGPD) en su artículo 5, establece que los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»). Por su parte el artículo 32 indica que “los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación”
Esto implica que los datos recabados deben ser los estrictamente necesarios para lograr el objetivo declarado, en relación con la finalidad legitima que se pretende alcanzar.
Para ello, la AEPD establece en sus informes que el tratamiento del DNI debe estar estrictamente justificado por una norma que lo establezca, considerándose excesivo cuando su única finalidad es la identificación de personas. El número del DNI es una información especialmente sensible, cuyo uso indebido puede tener múltiples efectos desfavorables para el titular.
El uso y exhibición del número de DNI junto con el nombre debe ser restringido. Se deben adoptar cautelas al asociar el número del DNI con nombres y apellidos, evitando su conocimiento conjunto fuera de los casos necesarios.
¿Por qué?
Analizando los principios expuestos en la normativa de Protección de Datos, se llega a la siguiente conclusión:
Proporcionalidad y Minimización de Datos: La recogida de datos debe ser proporcional y evitar la recopilación excesiva.
Riesgo para la Seguridad: La utilización de una copia del DNI como parte del proceso de autenticación crea un riesgo significativo para la seguridad de los datos personales y puede dar lugar a tratamientos no autorizados o ilícitos.
Necesidad y Adecuación: El método de autenticación debe ser pertinente, adecuado y respetar el principio de minimización de datos. Solo se debería solicitar una copia del DNI si es estrictamente necesario y conforme al Derecho nacional.
Considerando lo anteriormente expuesto y siguiendo las directrices por parte de la Autoridad de Control en materia de Protección de Datos, entendemos que esta práctica:
- No cumple con el principio de minimización de datos.
- Introduce riesgos innecesarios para la seguridad de los datos personales.
- Puede ser considerada un tratamiento ilícito o no autorizado, salvo que exista una norma específica que lo justifique.
Entonces, si solicitar copia del DNI puede resultar excesivo, ¿cómo identifico a la persona?
La normativa de Protección de datos propone otra serie de medidas que resultan compatibles con el cumplimiento de la norma y que harán identificable a una persona sin necesidad de incumplir.
Revisión de Políticas: Revisar las políticas de recopilación de datos para asegurar el cumplimiento con la normativa de protección de datos.
Alternativas de Identificación: Implementar métodos de identificación que no requieran la copia del DNI. Algunos como enlaces de confirmación, preguntas de seguridad y códigos de confirmación, podrían ser evaluados para asegurar el consentimiento de los representantes legales.
En cuando a la comprobación de identidad, nacionalidad y edad de las personas, la exhibición del documento, debiera ser suficiente para ello. En el caso de que, tras el oportuno análisis, se concluya la imposibilidad de otro medio, al solicitar la copia del documento se debe comunicar al interesado la información que no es necesaria y la posibilidad de expurgar u ocultar esas partes del documento de identidad. Si el interesado no los ocultara, deberá hacerse por parte del Responsable (la empresa en cuestión).
Conservación de datos: Suprimir las copias de DNI que se encuentran archivados.
Capacitación: Capacitar al personal en las mejores prácticas de protección de datos y en la normativa aplicable para evitar infracciones y sanciones.
Por todo ello, la solicitud de copias del DNI es improcedente y vulnera la normativa de protección de datos, según lo establecido por la normativa. En este caso, recomendamos a las organizaciones que revisen sus prácticas de recopilación de datos para asegurar que cumple con los principios de proporcionalidad y minimización, evitando así sanciones y protegiendo adecuadamente los datos personales de los individuos.
¿Tienes más dudas?
En Legitec te podemos asesorar a establecer criterios que se adecuen al funcionamiento de tu organización, redactando los procedimientos que garanticen el cumplimiento y mejorando los procesos de la empresa para cumplir con la normativa de Protección de Datos. Ponte en contacto con nosotros y solicita un presupuesto sin compromiso en el siguiente enlace https://legitec.com/contacto/