A partir de las últimas resoluciones e informes jurídicos de la Agencia de Protección de Española Datos (AEPD), se han suscitado numerosas cuestiones en cuanto al requerimiento de los datos del documento nacional de identidad (DNI), para verificar la identidad de las personas físicas.  Así, se cuestiona, principalmente, si ¿es legal pedir fotocopia del DNI?, ¿por qué se concibe el DNI como dato sensible? y ¿qué medidas de seguridad se deben adoptar?

Antes de abordar estas cuestiones, hay que indicar que, el DNI, es un documento oficial emitido por el Ministerio del Interior que contiene información clave de una persona física como, por ejemplo, nombre y apellidos, fecha y lugar de nacimiento, fotografía, etc. Por lo tanto, el DNI va a permitir identificar de manera inequívoca a una persona física. De modo que, no hay que perder de vista los principios relativos al tratamiento que desarrolla el artículo 5 del Reglamento General de Protección de Datos (RGPD), es decir, el tratamiento de los datos debe de ser lícito, con fines determinados, exactos, adecuados pertinentes y limitados con relación a los fines para los que son tratados.

Entrando ya en materia, sería interesante trazar la línea la cual nos va a permitir determinar cuándo va a ser licito o no pedir fotocopia del DNI. En este sentido, es importante destacar el criterio de la AEPD recogido en el Informe jurídico 7/2023 cuando indica que «el uso del DNI únicamente se ha de someter a tratamiento cuando la norma así lo establezca, resultando excesivo el mismo cuando se pretende únicamente identificar a las personas».

Dicho esto, hay que tener en cuenta de que el responsable del tratamiento no solo podrá acudir a la norma como único medio que le legitime para solicitar copia del DNI (como es el caso de la Ley 10/2010, de 28 de abril de Prevención Blanqueo de Capitales y Financiación del Terrorismo), sino que también, en aquellos casos en los que dude de la identidad de la persona física, podrá solicitar información adicional, en este contexto. El responsable del tratamiento realizará una evaluación de proporcionalidad teniendo en cuenta la naturaleza de la solicitud, daño que pueda derivarse de una divulgación indebida, etc. En este sentido, es preciso destacar, que el uso de una copia del DNI para autenticación puede comprometer la seguridad de los datos personales y dar lugar a un tratamiento no autorizado o ilícito. Por ello, solo debe recurrirse a esta práctica si es realmente necesaria, adecuada y conforme a la normativa vigente.

En base a esto, hay que tener muy presente el principio de minimización de datos, ya que, el tratamiento excesivo de datos personales puede suponer la vulneración de los derechos de los afectados. Este nuevo paradigma, tiene un impacto directo en la recogida de datos para realizar determinados tramites, a modo de ejemplo, solicitar el DNI para atender un derecho de acceso puede ser desproporcionado si existen otras formas para verificar la identidad del solicitante (Expediente Nº PS/00003/2021), solicitar fotografía al DNI del destinatario al entregar un paquete puede ser también desproporcionado al entender que existen otros medios menos invasivos para identificar al receptor (Expediente Nº PS/00413/2021) , o incluso, pedir fotocopia del DNI para consultar los movimientos de la cuenta bancaria se considera excesivo al entenderse que el tratamiento de ese dato es innecesario ya que, se puede verificar la identidad del afectado con otros datos básicos como el usuario y la contraseña de la banca online (Expediente Nº EXP202104493).

Respecto a la consideración el DNI como un dato sensible, en primer lugar, decir que, con arreglo al artículo 9.1 del RGPD, no está contemplado entre los datos personales de categoría especial.  Además, tampoco el Considerando 51 del RGPD, alude a esta consideración de carácter sensible. Sin embargo, la AEPD, en sus últimas resoluciones e informes jurídicos destaca que el DNI es un dato sensible. La autoridad de control considera la sensibilidad de este dato, por cuanto a que un tratamiento del mismo, sin las garantías adecuadas, puede poner en alto riesgo las libertades y derechos de los afectados, teniendo como resultado:

• Suplantaciones de identidad.
• Fraudes financieros.
• Uso del DNI para la firma de contratos, el acceso a servicios públicos o la gestión de documentos legales.
• Aumento del riesgo de ataques dirigidos al estar asociado con información adicional como la dirección, fotografía, nombre completo, etc.

Con base a esto, la AEPD ha establecido criterios generales de privacidad e incide, que para el tratamiento legal del DNI se deberán de aplicar medidas de seguridad y protección adecuadas con el objetivo de garantizar su correcto tratamiento.

Seguir los criterios generales establecidos por la AEPD garantizará a los responsables el uso correcto y licito de los datos del DNI, a grandes rasgos, estos criterios generales son:

• Evitar el almacenamiento innecesario del DNI, es decir, solo solicitarlo cuando exista una justificación.
• Cuando no sea necesario solicitar una fotocopia del DNI se podrán almacenar algunos datos claves como nombre, apellidos, fecha de nacimiento recabando solo los datos esenciales.
• Impedir accesos no autorizados atendiendo al principio de mínimo privilegio.
• Uso de canales seguros mediante protocolos de comunicación cifrados.
• Respetar el principio de transparencia lo que conlleva a facilitar información clara y concisa sobre el tratamiento de los datos del afectado.
• Disponer de una política de retención y eliminación de documentos con el objetivo, de almacenarlos durante el tiempo que sea estrictamente necesario, así como utilizar métodos de destrucción segura.

Por tanto, a modo de conclusión, hay que incidir en que pedir fotocopia del DNI para verificar la identidad de los afectados no es una práctica prohibida ni sistemáticamente lleva aparejada una sanción. No obstante, sí es cierto que requerir una copia del DNI debe de considerarse una medida excepcional y limitarse, única y exclusivamente, a aquellas situaciones en las que no existan otros medios menos intrusivos para verificar la identidad del afectado.

Eric Santaella
Govertis, parte de Telefónica Tech