phone 915 752 750 email aec@aec.es

    DPD DPO

    Delegado de protección de datos > El Blog del DPD/DPO > DPD DPO

    El II Congreso Foro GRC consolida al profesional de gobernanza, riesgo y cumplimiento como eje estratégico de la transformación digital

    20 marzo, 2026 |by Blog AEC GOVERTIS | 0 Comments | DPD DPO

    El II Congreso Foro GRC volvió a reunir el pasado mes de febrero a profesionales de la gobernanza, la gestión del riesgo y el cumplimiento normativo en un momento especialmente intenso para la regulación tecnológica europea. El auditorio de la Fundación Telefónica acogió una jornada marcada por un denominador común: la necesidad de transformar la complejidad normativa en una ventaja estratégica para las organizaciones.

    Impulsado por la Asociación Española para la Calidad (AEC) con el apoyo de Govertis, part of Telefónica Tech, el Congreso congregó a cerca de 400 profesionales (tanto de forma presencial como en streaming) para analizar los grandes retos que plantea el llamado ecosistema regulatorio digital europeo: protección de datos, inteligencia artificial, ciberseguridad, resiliencia operativa y compliance.

    La apertura institucional corrió a cargo de Alberto Moreno, director de Regulación de Telefónica España, y Avelino Brito, director general de la AEC.

    Moreno situó el encuentro en el contexto de transformación que vive Europa destacando que la reacción inicial ante cada nueva regulación suele ser defensiva. Sin embargo, defendió que el enfoque debe evolucionar hacia una perspectiva más estratégica. En lugar de percibir la regulación únicamente como obligación, propuso entenderla como motor de innovación y competitividad: «Tenemos que empezar a darle la vuelta. En el Foro GRC siempre aparece la palabra riesgo, y yo quería intentar transformar ese riesgo en retos, en oportunidades».

    Mesa redonda: «Paquete Ómnibus Digital de la UE: desafíos regulatorios en PD, IA y Ciberseguridad para autoridades y profesionales»

    La primera mesa redonda abordó uno de los temas más comentados en el ámbito regulatorio europeo: el Paquete Ómnibus Digital, iniciativa impulsada por la Comisión Europea para simplificar y armonizar el marco normativo que regula la protección de datos, la inteligencia artificial y la ciberseguridad.

    Moderada por Javier Tamayo, responsable legal de privacidad y regulación digital en Telefónica Tech, la mesa reunió a dos de las principales autoridades españolas en la materia: Lorenzo Cotino, presidente de la Agencia Española de Protección de Datos, y Javier Candau, subdirector general del Centro Criptológico Nacional (CCN-CERT).

    Desde el inicio, Cotino quiso dejar clara una idea: simplificar la regulación es un objetivo deseable, pero extraordinariamente complejo.

    El presidente de la AEPD explicó que el paquete Ómnibus introduce propuestas de gran impacto, entre ellas la posible revisión del concepto de dato personal dentro del Reglamento General de Protección de Datos.

    «Si cambiamos el concepto de dato personal, esto afecta directamente a todo el alcance del reglamento de protección de datos», explicó alertando del riesgo de generar inseguridad jurídica si los cambios no se acompañan de criterios claros sobre anonimización, fragmentación de responsabilidades o reutilización de datos.

    Por su parte, Javier Candau ofreció una panorámica contundente sobre el crecimiento del marco regulatorio en ciberseguridad: «En 2016 teníamos dos normas relacionadas con ciber y protección de datos. En 2026 tenemos 17 normas».

    El subdirector del CCN calificó esta situación como un auténtico «tsunami legislativo» que afecta tanto a organizaciones públicas como privadas.

    Mesa Redonda: «El Responsable del Sistema Interno de Información: del cumplimiento formal al liderazgo ético»

    La segunda mesa, moderada por Carolina Tella (Responsable del Centro de Competencia de Compliance de Govertis, part of Telefónica Tech), abordó una figura de reciente creación: el Responsable del Sistema Interno de Información (RSI), surgido de la Ley 2/2023 de protección de informantes. La mesa reunió a representantes institucionales y profesionales del ámbito del compliance para analizar el papel del Responsable del Sistema Interno de Información.

    En ella participaron Ignacio Sáez Hidalgo, director de Gabinete de la Autoridad Independiente de Protección al Informante; Caridad Noreña Fanconi, jefa de cumplimiento normativo del ICO; José Rafael Díaz Hernández, head of department de la Autoridad Portuaria de Las Palmas; y Marlyn Cecilia Chávez Maury, gerente de compliance de Telefónica Tech.

    Ignacio Sáez abrió el debate reconociendo que el primer desafío para todos los actores implicados es entender en profundidad la nueva normativa.

    Desde la experiencia del sector financiero público, Caridad Noreña compartió una reflexión que les ha surgido desde el ICO: «La primera duda que nos surgió es: ¿somos las personas idóneas para gestionar todo esto?». La solución fue crear un órgano colegiado presidido por la Secretaría General con un gestor que asiste con voz pero sin voto. «Equilibramos objetividad y eficiencia», explicó, destacando la importancia de protocolizar hasta la última contingencia.

    Para José Rafael Díaz, el perfil ideal combina conocimiento del sistema, integridad, confidencialidad e independencia jerárquica, con dependencia directa del consejo.

    Chávez subrayó el desafío de la independencia: «Si el área del RSI está involucrada en una investigación, el sistema se compromete». Abogó por la formación continua y la dotación de recursos, así como por la conexión permanente con el departamento laboral y el DPO. «Estamos hablando de personas, de carreras que se ponen en juego», recordó.

    Ponencia: «Eje estratégico de la Ciberseguridad: ENS + NIS2 y DORA ¿Cómo enfrentarse a la auditoría combinada?»

    José Luis Colom Planas, asesor y formador del CCN-CERT, ofreció una auténtica clase magistral en treinta minutos sobre cómo enfrentar una auditoría combinada de los tres marcos normativos. Para ello, Colom desgranó las ventajas de una implementación integrada: contexto organizativo unificado, marco de gobernanza común, reducción del esfuerzo de mantenimiento y mejor alineación con el negocio.

    «El principio de proporcionalidad está en todas partes», explicó, comparando los artículos 4 de DORA, 21 de NIS2 y la categorización del ENS. Repasó el complejo entramado de directivas, reglamentos de ejecución, actos delegados y normas técnicas advirtiendo que «NIS2 y DORA no tienen esquema propio de certificación».

    Su conclusión sobre cómo abordar esta situación fue clara: «La certificación ENS es una excelente opción para cumplir el 90% del framework de ciberseguridad. Luego vendrán los aderezos específicos de cada norma». Destacó que la categoría alta del ENS cumple con la mayoría de requisitos, y que incluso el perfil de requisitos fundamentales (para organizaciones con pocos recursos) incluye ya ejemplos de plan de continuidad y cláusulas contractuales para proveedores.

    Colom no eludió el espinoso tema de la responsabilidad personal de la alta dirección: «Los órganos de dirección serán responsables por incumplimiento. Han de poder demostrar que se han formado en ciberseguridad». Y lanzó un dato esperanzador: entidades aseguradoras y bancos ya están certificándose en ENS para cumplir con DORA.

    Ponencia: «Gobierno de la seguridad en la administración pública: el rol del CISO municipal»

    David Esteban, CISO del Ayuntamiento de Barcelona, compartió su experiencia al frente de la seguridad de una de las ciudades más complejas de España: 52 entidades municipales que van desde cementerios y museos hasta grúas y hacienda. Esteban inició su intervención planteando las preguntas que todo CISO debe hacerse: «¿Conozco los objetivos de mi organización? ¿Me entienden? ¿Estoy protegiendo la misión o solo los activos?».

    «El CISO no es un técnico, es un líder ejecutivo», afirmó, citando definiciones de ISACA. Su receta para Barcelona incluye cinco pilares: marco de gobierno global, catálogo común de servicios, preparación para la ciberresiliencia (integrada en el plan básico de emergencia municipal), foco en servicios críticos mediante análisis de riesgo con criterios de negocio, y creación de cultura de corresponsabilidad.

    Entrega de los Premios «Foro GRC»

    Uno de los momentos más especiales del evento fue la entrega de premios de esta segunda edición del Congreso Foro GRC, que quiso reconocer la labor de profesionales y entidades destacadas en este ámbito:

    • Premio a la divulgación en inteligencia artificial: la Federación Española de Municipios y Provincias fue galardonada por su «Guía práctica y políticas de uso de la IA en las administraciones locales».
    • Premio al liderazgo femenino en GRC: Aleida Alcaide, directora general de Inteligencia Artificial en el Ministerio para la Transformación Digital y de la Función Pública.
    • Premio a la excelencia en ciberseguridad: Centro Criptológico Nacional (CCN-CERT), recogido por Javier Candau, en reconocimiento a su contribución en la seguridad del sector público.
    • Premio a la privacidad: el premio a la trayectoria en privacidad fue para Javier Sempere, DPD del Consejo General del Poder Judicial.

    Diálogo: «El valor del Profesional de GRC»

    Para cerrar la mañana, Alberto González y Marta Sánchez (RS Servicios Jurídicos) mantuvieron un diálogo distendido pero profundo sobre la evolución del profesional GRC. Sánchez, una de las primeras certificadas DPD por la AEC y recién certificada como profesional GRC en IA (CP-GRC-IA), explicó su visión: «La privacidad sin medidas técnicas es papel. La IA introduce nuevos riesgos que exigen un enfoque transversal».

    Sobre el debate de la independencia del DPD, Sánchez defendió que: «No interfiere. Asesoramos y supervisamos, no tomamos decisiones ejecutivas. Somos facilitadores de decisiones». Respecto a la nueva certificación CP-GRC-IA, destacó que aporta «un marco común para gestionar el riesgo, un hilo conductor en las empresas».

    Finalmente, reivindicó el valor de los foros profesionales: «La independencia no significa aislamiento. Estos espacios nos permiten ver que los mismos problemas los tenemos todos, y contrastar con perfiles técnicos nos da una visión transversal que refuerza nuestro papel».

    Entrega de premios del Concurso «Ponencias Foro GRC»

    La sesión de tarde arrancó con la lectura de las comunicaciones seleccionadas y la entrega de diplomas del Concurso «Ponencias Foro GRC».

    El jurado decidió por unanimidad conceder un accésit a la comunicación titulada «Incidentes de ciberseguridad en sistemas de inteligencia artificial como prueba de estrés del modelo GRC: impactos integrados en protección de datos, seguridad y cumplimiento normativo».

    El premio a la comunicación ganadora recayó en «MencIA: soberanía tecnológica realista. Un modelo integral de gobierno, riesgo y cumplimiento para la IA en el sector público», de José Antonio Aras Lombardero, jefe de la sección de innovación y participación ciudadana de la Diputación de Lugo.

    El ponente desgranó los tres pilares sobre los que construyen su modelo: la IA como copiloto (cumpliendo con la supervisión humana que exige el artículo 14 del RIA), la privacidad por diseño (ejecutando modelos open source en servidores propios para evitar las transferencias internacionales de datos) y la ciberseguridad en profundidad (con redes segmentadas que aíslan los sistemas de IA).

    Ponencia: «ISO/IEC 42001 El nuevo estándar para la gobernanza de la IA: una visión práctica»

    «Olvidémonos de la inteligencia artificial durante un momento. La IA no existe». Así arrancaba la ponencia de Daniel Murcia, responsable del Área de Competencia Regulación Digital en Govertis, part of Telefónica Tech, para abordar el nuevo estándar ISO/IEC 42001 desde una visión eminentemente práctica.

    Apoyándose en las reflexiones de Ramón López de Mántaras, Murcia instó a despojarnos de la moda y aterrizar el debate: «No estamos dejando de hablar de tecnología, estamos hablando de software, estamos hablando de datos, de ingentes cantidades de datos». Sin embargo, matizó que, aunque la IA como concepto pueda ser difuso, «sí que tenemos regulación», y con ella herramientas para abordar su gobierno.

    Con este contexto, Murcia presentó la ISO 42001 como un conjunto de elementos interrelacionados que permiten «establecer, implementar y mantener de forma continua la mejora de la gestión» del uso y desarrollo de la IA. Una de sus grandes ventajas, explicó, es la estructura armonizada con otros sistemas de gestión ISO.

    Por otra parte, insistió en la necesidad de abordar la IA desde una perspectiva de riesgo centrada en las personas: «La perspectiva de riesgo que tendríamos que abordar en este caso es la protección de los derechos y libertades de los interesados, de los titulares, de las personas físicas, de los clientes, de los empleados, de los funcionarios públicos»

    Ponencia: «Gobernanza, Riesgo y Cumplimiento en la -Guía Práctica y Políticas de uso de la IA en las Entidades Locales – de la FEMP»

    Borja Colón de Carvajal, jefe de Servicio de Administración e Innovación Pública de la Diputación de Castellón, fue el encargado de cerrar esta segunda edición del Congreso Foro GRC presentando la «Guía Práctica y Políticas de uso de la IA en las Entidades Locales», elaborada por la Federación Española de Municipios y Provincias (FEMP).

    El ponente contextualizó la necesidad de la guía en la realidad del mundo local español: 8.130 municipios, el 95% con menos de 20.000 habitantes. Una guía que ofrece un marco jurídico riguroso, un andamiaje técnico y, lo más novedoso, una metodología propia de autoevaluación que permite a los ayuntamientos medir su nivel de madurez directiva y organizativa mediante un cuestionario.

    Colón de Carvajal concluyó reivindicando el papel de las diputaciones como actor idóneo para liderar la transformación en el mundo rural: «Nuestra capilaridad y conocimiento del terreno, nuestra capacidad para dar soluciones que ya hemos probado… quizá podamos seguir avanzando con seguridad y con confianza, aunque sea sin mapa del tesoro».

     

    Esta segunda edición del Congreso Foro GRC ha puesto de manifiesto que los profesionales GRC se enfrentan a un entorno normativo de creciente complejidad, pero también a la oportunidad de liderar la transformación digital desde una posición estratégica en las organizaciones.

    Como acertadamente señaló Borja Colón de Carvajal durante su intervención, incluso sin mapa del tesoro, los profesionales GRC están llamados a ser los cartógrafos de un futuro digital que ya no admite espera.

    Govertis, part of Telefónica Tech

    KEEP READING

    El reconocimiento óptico de caracteres (OCR) en el tratamiento de los datos del DNI de los huéspedes del hotel (parte II)

    26 febrero, 2026 |by Blog AEC GOVERTIS | 0 Comments | DPD DPO

    La AEPD, en junio de 2025, publicaba la «Nota de la AEPD sobre las copias de documentos de identidad en hospedajes». Analizaba la prohibición de fotocopiar o guardar imágenes escaneadas del DNI de los huéspedes. Aquella comunicación, dejaba abiertas varias cuestiones prácticas y se echaba en falta mayor claridad sobre los sistemas que podían utilizarse conforme a la normativa de protección de datos y, en ese sentido, publicamos un post haciendo referencia a ello. En particular, quedaba en el aire la posibilidad de que medios alternativos como el OCR (reconocimiento óptico de caracteres), bien diseñados, pudieran ser compatibles con el RGPD. Estos medios de extracción son de máxima utilización en el sector turístico.

    Ahora, nos hacemos eco de una nueva resolución emitida por la AEPD que trata esta cuestión y que ofrece una evolución interpretativa. La resolución AI-00413-2024 aporta luz en un escenario real en el que esas dudas afloran. En este caso, un huésped presenta reclamación ante la AEPD indicando que en el momento del check-in se le solicita su documento de identidad para su “escaneo” en el proceso de registro de viajeros. A su juicio, ese tratamiento es injustificado, dado que bastaría con comprobar y anotar los datos contenidos en dicho documento y no utilizando un sistema de copia del documento de identidad. La entidad hotelera alega uso de un lector conectado a su sistema de gestión (PMS) para automatizar la captura de datos mediante lectura óptica para extraer únicamente los datos exigidos por la normativa de registro de viajeros.

    La AEPD concluye que, De los datos obrantes en el expediente se determina que el sistema automatizado utilizado por la *EMPRESA* Está configurado de tal forma que, para realizar el registro en el establecimiento hotelero, una vez comprobado que el DNI es el del cliente, se recogen los datos que indica el Real Decreto 933/2021, de 26 de octubre, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor (en adelante, RD 933/2021); dicha norma no indica en qué forma debe hacerse. Nada impide que la captación de los datos se realice de modo mecanizado siempre que se respete el principio de minimización, lo que sucede en este caso, pues el sistema no conserva más datos de los necesarios. La captación de datos del lector ICAD conectado al software PMS realiza un escaneo para capturar y conservar los datos necesarios. El tratamiento mecánico que se realiza al escanear el documento no supone mayores riesgos pues se realiza en forma local, no es accesible desde internet, y no se almacenan los datos capturados del documento. Además, para garantizar que todo funcione la *EMPRESA* ha contratado una empresa de mantenimiento. Finalmente, la autoridad de control, tras analizar las alegaciones y la documentación aportada por el establecimiento hotelero, archiva las actuaciones.

    De esta resolución y el extracto referido, se desprenden varias ideas poniendo el foco en dos ejes muy marcados, la finalidad y la minimización de datos personales:

    • Existe una norma, Real Decreto 933/2021, de 26 de octubre, que establece las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor, que obliga a las entidades hoteleras a llevar un registro en el que deben constar los datos identificativos de los huéspedes indicados en esta norma. Por tanto, su incumplimiento podría conllevar sanciones.
    • La forma en la que se recogen estos datos debe realizarse a través de un sistema que esté diseñado para extraer únicamente los campos obligatorios y no almacenar imágenes completas ni información innecesaria, respetando así el principio de minimización de datos y el principio de privacidad desde el diseño.
    • No basta con indicar que no se fotocopia o escanea el DNI o documento identificativo equivalente, el responsable del tratamiento debe ser capaz de demostrar qué hace exactamente el sistema. Por ejemplo, en el sistema OCR, qué datos captura, durante cuánto tiempo, con qué finalidad y bajo qué garantías. Se cumple de esta forma con el principio de responsabilidad proactiva.
    • El mecanismo de autenticación OCR agiliza la operativa de check in, sin embargo, la “comodidad operativa” en ningún caso puede sobreponerse a los derechos y libertades del interesado.
    • La sensación, cada vez más extendida, de que entregar el DNI implica perder el control sobre una parte de información especialmente sensible, debe mitigarse con información clara y precisa a ofrecer al huésped. En el momento que se recogen los datos para el registro de viajeros, el huésped en muchas ocasiones entrega su documento de identidad al hotel que lo introduce en un lector y esta acción puede apreciarse exactamente igual que una fotocopia. Si el establecimiento no explica con precisión qué ocurre con esos datos, la percepción del huésped puede ser invasiva, por lo que ofrecer información clara resulta esencial.

    En definitiva, esta resolución confirma la postura de la AEPD sobre la fotocopia sistemática e íntegra del DNI, está prohibida. Pero, no excluye el uso de soluciones técnicas similares para la extracción de datos. De este modo, podría permitirse el uso de los sistemas de reconocimiento óptico de caracteres (OCR), que permiten leer y realizar una extracción automática de los datos necesarios del documento de identidad que exige la norma, en el proceso de check in, siempre que estos sistemas no recojan otros datos innecesarios para completar el registro de huéspedes y se garantice por parte del hotel la transparencia y la proporcionalidad.

    A efectos de que no genere rechazo por parte de los huéspedes, ya que parece que se esté efectuando una copia digitalizada íntegra del documento identificativo oficial, recomendamos que se informe por parte del hotel, con gran claridad al momento de la recogida de datos, que no se está realizando una copia escaneada o digitalizada del documento.

    Eva María Simón de Lucas
    Govertis, parte de Telefónica Tech

    KEEP READING

    Privacidad en evolución: las claves del Ómnibus Digital

    26 enero, 2026 |by Blog AEC GOVERTIS | 0 Comments | DPD DPO

    La Unión Europea ha dado un paso decisivo hacia la simplificación normativa con la propuesta del Reglamento Ómnibus Digital. Este paquete legislativo busca reorganizar y armonizar leyes como el Reglamento General de Protección de Datos (RGPD), ePrivacy, el Data Act y el AI Act. Sin embargo, no se limita a reorganizar textos normativos, también redefine conceptos clave, plantea nuevos retos para las organizaciones y promete reducir cargas administrativas. Esta búsqueda de coherencia y eficiencia abre la puerta a una cuestión esencial, ¿cómo impactará esta iniciativa en la privacidad de los usuarios?

    Entre sus novedades más relevantes, destacan las siguientes:

    • Redefinición del concepto de dato personal

    Hasta ahora, el RGPD consideraba dato personal cualquier información que permitiera identificar de forma directa o indirecta a una persona. La propuesta incorpora un matiz, indicando que no se considerará dato personal para una entidad si esta no dispone de medios razonablemente probables para reidentificar al individuo. La definición pasa de ser absoluta a depender del contexto y de los recursos disponibles, lo que impacta de manera significativa en la seudonimización.

    Por ejemplo, una empresa que trata datos seudonimizados para realizar análisis estadísticos sin acceso a las claves de reidentificación podría realizar el tratamiento sin aplicar las obligaciones dispuestas en el RGPD, siempre y cuando pueda demostrar que no dispone de medios razonables que le permitan reidentificar a los usuarios.

    • Interés legítimo como base de legitimación para entrenar modelos de IA

    La propuesta reconoce explícitamente el interés legítimo como base jurídica para el tratamiento de datos personales en el funcionamiento y entrenamiento de sistemas de inteligencia artificial. No obstante, no se trata de un «cheque en blanco» ya que las organizaciones deben atenerse al cumplimiento de unos requisitos específicos, entre otros, reforzar la transparencia en la información facilitada, realizar evaluaciones de impacto en supuestos de riesgo elevado, minimizar los datos tratados, implantar controles técnicos robustos e, indudablemente, otorgar a los usuarios la posibilidad de ejercer el derecho de oposición.

    • Excepciones para el tratamiento de datos de categoría especial

    Se añaden dos importantes excepciones al artículo 9.2 del RGPD, que establece las circunstancias que levantan la prohibición del tratamiento de datos de categoría especial:

    • Se permite el tratamiento de datos biométricos cuando sea necesario para confirmar la identidad del interesado, siempre que los datos estén bajo su control exclusivo como ocurriría en los procesos de autenticación en banca online con biometría en el dispositivo del usuario. De esta manera, el banco no almacenaría la plantilla biométrica, la cual estaría exclusivamente almacenada en el dispositivo, recibiendo solamente un token de éxito para permitir el acceso al usuario.
    • Se autoriza el uso de datos de categoría especial (por ejemplo: datos de origen racial o étnico, datos biométricos, datos relativos a la salud) para entrenar u operar sistemas de inteligencia artificial, siempre que esté sujeto a una serie de medidas técnicas organizativas apropiadas. Un ejemplo práctico podría ser el uso de datos sobre género y origen étnico en un sistema de IA diseñado para detectar discriminación en procesos de selección, resultando justificado el tratamiento de dichos datos para garantizar la equidad del modelo.
    • Evaluaciones de impacto

    Hasta la fecha, cada autoridad nacional publicaba sus propios criterios sobre cuando era necesario realizar las evaluaciones de impacto. Con el objetivo de garantizar la homogeneidad en toda la Unión Europea, la propuesta atribuye al CEPD (Comité Europeo de Protección de Datos) la tarea de elaborar una lista común con aquellos tratamientos que precisan evaluación de impacto y aquellos que no, creando una plantilla oficial y una metodología armonizada para su ejecución, reemplazando las listas nacionales existentes y otorgando seguridad jurídica al proceso.

    • Excepciones al deber de información al interesado

    Se introducen flexibilizaciones para reducir la carga administrativa que puede suponer facilitar la información al interesado en los términos previstos por el RGPD, definiendo criterios claros de aplicabilidad. Entre las excepciones se encuentran los tratamientos realizados con fines de investigación científica, cuando el interesado disponga razonablemente de la información o cuando la comunicación individual sea desproporcionada en relación con el esfuerzo requerido, con más claridad y alcance que el criterio actual. Para cada uno de los escenarios se definen criterios claros que permitan determinar si es aplicable o no la exención, reduciendo así la interpretación subjetiva.

    • Brechas de seguridad

    Entre los cambios más significativos destacan los siguientes:

    • Se amplía el plazo para notificar una brecha a la autoridad competente, pasando de 72 a 96 horas, ofreciendo así un margen superior que permita a las organizaciones estudiar el caso de una manera más completa.
    • La obligación de notificar se limita a incidentes que supongan un alto riesgo para los derechos y libertades de las personas.
    • Se crea una plataforma centralizada para el reporte de las brechas de seguridad como punto único de notificación (Single-Entry Point). Este sistema será gestionado por ENISA (Agencia de la Unión Europea para la Ciberseguridad) el cual se encargará de distribuir la información a las autoridades pertinentes.
    • Se elaborarán plantillas estándar para las notificaciones por parte del CEPD, para garantizar su uniformidad.

    En definitiva, la propuesta Ómnibus Digital introduce cambios sustanciales en la forma en la que se entiende y gestiona la privacidad en la Unión Europea. Su propuesta marca un giro hacia un modelo más pragmático, buscando adaptarse a un entorno digital cada vez más dinámico. Sin embargo, esta modernización no se encuentra exenta de riesgos. El verdadero desafío será garantizar que estas medidas, orientadas a la eficiencia y la innovación, se implementen con salvaguardas lo suficientemente sólidas para que estos cambios no se traduzcan en pérdida de confianza digital.

    Isabel Abad Ayala
    Govertis, parte de Telefónica Tech

    KEEP READING

    De extensión a estándar independiente: Novedades de la ISO 27701:2025

    28 noviembre, 2025 |by Blog AEC GOVERTIS | 0 Comments | DPD DPO

    Después de varios meses esperando —a priori iba a publicarse la norma en marzo—, por fin en octubre de 2025 se publicó el estándar ISO/IEC 27701:2025. Esta nueva versión trae una modificación clave: ya no es solo un complemento de la ISO 27001, sino que ahora puede certificarse de forma independiente.

    Del complemento a la autonomía

    La mayor limitación de la norma ISO 27701:2019 radicaba en que necesitaba implementarse como extensión de la ISO 27001. Varias organizaciones enfocadas principalmente en privacidad tenían que pasar antes por una certificación en seguridad de la información.

    Desde la edición 2025, las organizaciones pueden obtener el sello ISO 27701 sin contar previamente con la ISO 27001, abriendo paso a más entidades hacia un sistema claro de gestión de privacidad. No obstante, también es posible aplicar ambas normas de forma integrada.

    Principales novedades

    La actualización sigue el formato High Level Service (HLS) usado en todas las normas ISO, dividida en 11 cláusulas principales y anexos complementarios. Así resulta más sencillo integrarla con normas como la ISO 27001 o la ISO 42001 sobre inteligencia artificial.

    La norma introduce requisitos explícitos para revisar y gestionar riesgos de privacidad, integrándolos con los de seguridad de la información en un análisis de dos niveles: uno para la organización y otro enfocado a los interesados. Este enfoque resulta especialmente relevante en España, donde hay que ajustarse al RGPD, la LOPDGDD y, frecuentemente, al Esquema Nacional de Seguridad.

    La norma exige ahora que las organizaciones establezcan un programa de seguridad de la información según la ISO 27001:2022, cubriendo 15 áreas fundamentales, desde la gestión de riesgos hasta la gestión de incidentes.

    Asimismo, toda la guía de implementación está ahora en el Anexo B, separando claramente lo que debe cumplirse durante una auditoría de las recomendaciones prácticas para el día a día.

    Implicaciones para los Delegados de Protección de Datos

    Para los delegados de protección de datos, esta norma proporciona una guía clara sobre cómo demostrar cumplimiento del RGPD, especialmente del principio de responsabilidad proactiva. El Anexo D incluye un mapeo detallado vinculado a cada artículo del Reglamento.

    Ejemplo práctico: si la AEPD revisa cómo gestionamos el ejercicio de derechos, con los controles A.1.3.7 y A.1.3.10 podemos demostrar que tenemos procedimientos documentados para responder a las solicitudes de los interesados.

    La norma mantiene prácticamente inalterados los controles para responsables del tratamiento (Tabla A.1) y encargados del tratamiento (Tabla A.2), lo que facilita la transición para organizaciones ya certificadas.

    Transición y conclusión

    Por todo ello, las organizaciones certificadas acorde al estándar de 2019 necesitan actualizar sus sistemas, enfocándose en la nueva gestión de riesgos de privacidad, documentando el programa de seguridad y reorganizando algunos documentos. No hay que empezar desde cero: gran parte del trabajo previo sigue siendo plenamente válido.

    La ISO/IEC 27701:2025 consolida la gestión de la privacidad como un área independiente y madura. Su alineación con el RGPD la convierte en herramienta estratégica para organizaciones que necesitan demostrar, de forma verificable, cómo protegen los datos personales. Independientemente de no ser un requisito legal obligatorio, sigue siendo el principal estándar internacional de referencia para acreditar la madurez de un sistema de gestión de privacidad.

    Equipo CdC Privacidad Govertis

    KEEP READING

    La protección de menores en línea: claves de las Directrices de la Comisión Europea

    6 noviembre, 2025 |by Blog AEC GOVERTIS | 0 Comments | DPD DPO

    El pasado 10 de octubre, la Comisión Europea adoptó las Directrices sobre medidas para garantizar un elevado nivel de privacidad, seguridad y protección de los menores en línea, en cumplimiento del artículo 28, apartado 4, del Reglamento (UE) 2022/2065 (esto es, la DSA o Digital Services Act). El citado artículo impone a toda plataforma accesible a menores la obligación de establecer medidas adecuadas y proporcionadas para garantizar un elevado nivel de privacidad, seguridad y protección de los menores en su servicio. Además, prohíbe la publicidad basada en perfiles cuando el prestador sea razonablemente consciente de que el destinatario del servicio es menor y deja claro que dar cumplimiento al artículo no exige tratar datos adicionales a fin de evaluar si el destinatario del servicio es un menor. 

    Ámbito de aplicación

    Las directrices se aplican a todas las plataformas online – o, en español, en línea – sometidas a las obligaciones del Reglamento (UE) 2022/2065 que sean accesibles a menores. El considerando 71 de dicho Reglamento clarifica que «una plataforma en línea es accesible para los menores cuando sus condiciones generales permiten a los menores utilizar el servicio, cuando su servicio está dirigido a menores o es utilizado predominantemente por ellos, o cuando el prestador es consciente de que algunos de los destinatarios de su servicio son menores». No obstante, por lo que se refiere al primer supuesto, la Comisión considera que un prestador de una plataforma en línea no puede basarse únicamente en una declaración en sus condiciones que prohíba el acceso a menores para alegar que la plataforma no es accesible a estos, sino que deberá aplicar medidas eficaces para impedir que los menores accedan a su servicio.

    Apuntar que las directrices no se aplicarían a los prestadores de plataformas en línea que se consideren microempresas o pequeñas empresas, excepto cuando su plataforma en línea haya sido designada por la Comisión como plataforma en línea de muy gran tamaño. Ejemplo de plataformas en línea u online de muy gran tamaño: Alibaba AliExpress; Amazon Store; Apple AppStore; Booking.com; Google Play; Google Maps; Google Shopping; Instagram; LinkedIn; Pinterest; Snapchat; TikTok; Twitter; Wikipedia; YouTube y Zalando. 

    Principios generales

    Las directrices se basan en una serie de principios generales que están interrelacionados y que se han de considerar de manera holística en todas las actividades de los prestadores de plataformas en línea:

    • Adecuación y proporcionalidad: Toda medida adoptada debe ser adecuada y proporcionada para garantizar un elevado nivel de privacidad, seguridad y protección de los menores. Dado que las diferentes plataformas en línea pueden plantear diferentes tipos de riesgos para los menores, no siempre será proporcionado o adecuado que todos los prestadores de plataformas en línea apliquen todas o solo algunas de las medidas descritas en las presentes directrices.
    • Protección de los derechos del niño:A fin de garantizar que las medidas sean adecuadas y proporcionadas, deben tenerse en cuenta todos los derechos de los menores y tomarse como consideración primordial su interés superior.
    • Privacidad, seguridad y protección desde el diseño: Los prestadores de plataformas en línea accesibles a menores deben integrar altos niveles de privacidad, seguridad y protección en el diseño, el desarrollo y el funcionamiento de sus servicios. Se debe configurar el desarrollo de productos y servicios de manera que se dé prioridad a los valores que promueven el bienestar humano.
    • Diseño adecuado a la edad: Los prestadores de plataformas en línea accesibles a menores deben diseñar sus servicios para adaptarse a las necesidades de desarrollo, cognitivas y emocionales de los menores.

    Revisión de riesgos

    La Comisión considera que a la hora de decidir cómo garantizar un alto nivel de seguridad, privacidad y seguridad a los menores en su plataforma y determinar las medidas adecuadas y proporcionadas a tal fin, los prestadores deben tener en cuenta, entre otras cuestiones, la probabilidad de que los menores accedan a su servicio, el impacto que la plataforma en línea les pueda ocasionar, las medidas que ya se estén adoptando u otras que se consideren adecuadas, o los posibles efectos positivos y negativos sobre los derechos de los niños. Los prestadores deben llevar a cabo la revisión periódicamente, y al menos una vez al año, o siempre que introduzcan cambios significativos en el diseño de la plataforma o tengan conocimiento de otras circunstancias que puedan afectar.

    Diseño de servicios

    • Garantía de la edad

    La Comisión describe diferentes mecanismos de garantía de la edad:

    • La autodeclaración: No considera que sea un método adecuado de garantía de la edad.
    • La estimación de la edad: Esta proporciona una aproximación de su edad. Se puede emplear cuando el prestador de la plataforma en línea haya detectado riesgos medios para los menores en su plataforma y dichos riesgos no puedan mitigarse con medidas menos restrictivas.
    • La verificación de la edad: Esta proporciona seguridad sobre la edad del usuario. La Comisión considera que el uso de restricciones de acceso respaldadas por métodos de verificación de la edad es una medida adecuada y proporcionada para garantizar un elevado nivel de privacidad, seguridad y protección de los menores en algunos casos, como cuando determinados productos o servicios plantean riesgos elevados (por ej. venta de alcohol, acceso a juegos de azar).

    La Comisión señala que una menor precisión de las soluciones de estimación de la edad no equivale automáticamente a un menor impacto en los derechos y libertades fundamentales de los destinatarios, ya que puede que las soluciones menos precisas traten más datos personales que otras más precisas. También pueden impedir, debido al menor nivel de precisión, que algunos menores accedan a plataformas en línea a las que, de otro modo, podrían tener acceso. Por lo tanto, al considerar los métodos de estimación de la edad que requieren el tratamiento de datos personales, los prestadores de plataformas en línea deben garantizar que los principios de protección de datos, especialmente la minimización de datos, se apliquen adecuadamente y sigan siendo sólidos a lo largo del tiempo y tengan en cuenta la declaración del Comité Europeo de Protección de Datos (CEPD) sobre la garantía de la edad.

    Antes de considerar la posibilidad de establecer un método específico de verificación o estimación de la edad que apoye las restricciones de acceso, los prestadores de plataformas en línea accesibles a menores deben tener en cuenta las siguientes características: precisión, fiabilidad, solidez, discreción y no discriminación.

    • Configuración de la cuenta

    La configuración por defecto es una herramienta importante que los proveedores de plataformas en línea accesibles a menores pueden utilizar para mitigar los riesgos para la privacidad, la seguridad y la protección de los menores, como, por ejemplo, el riesgo de contacto no deseado por parte de personas que pretenden dañar a los menores. Las pruebas sugieren que los usuarios tienden a no cambiar su configuración por defecto, lo que significa que la mayoría de los usuarios la mantiene y, por tanto, la Comisión entiende que es crucial para influir en el comportamiento. Por este motivo, las directrices establecen que, entre otras medidas, los prestadores deben configurar las plataformas de tal forma que no se pueda descargar ni realizar capturas de pantalla de la información de contacto, ubicación o cuentas, ni de contenidos cargados o compartidos por menores en la plataforma; o que la a geolocalización, el micrófono, el acceso a fotografías y a la cámara, la sincronización de los contactos y todas las características de seguimiento no estrictamente necesarias estén desactivadas por defecto.

    Cuando los menores cambien su configuración por defecto u opten por características que pongan en peligro su privacidad, seguridad o protección, el prestador de la plataforma en línea debe presentar advertencias y permitir restaurar fácilmente la configuración por defecto.

    • Prácticas comerciales

    La Comisión considera que los prestadores de plataformas en línea accesibles a menores deben adoptar una serie de medidas para evitar los efectos persuasivos de las prácticas comerciales, entre estas: garantizar que las declaraciones de comunicación comercial sean claramente visibles, estén adaptadas a los niños y a su edad y sean accesibles; garantizar que los menores no estén expuestos a la comercialización y la comunicación de productos o servicios que puedan tener un efecto adverso en su privacidad, su seguridad y su protección; garantizar que los menores no estén expuestos a publicidad encubierta; o que, cuando accedan a plataformas en línea o partes y características de estas que se presenten como gratuitas o lo parezcan, no estén expuestos a compras dentro de la aplicación o del juego que sean o parezcan necesarias para acceder al servicio o utilizarlo.

    Folleto explicativo de la norma para los jóvenes

    La Comisión, además del texto oficial, ofrece un folleto informativo, en el que explica, con un lenguaje sencillo e impregnado de imágenes, las directrices para proteger a niños y adolescentes (en cuestiones como, qué es la privacidad por defecto, la denuncia y apoyo a familias).

    Revisión
    La Comisión irá revisando las directrices teniendo en cuenta la experiencia práctica adquirida y el ritmo de la evolución tecnológica, social y reglamentaria.

    Nerea San Martín
    Govertis, parte de Telefónica Tech

    KEEP READING

    Riesgos legales de ignorar NIS-2 y DORA: la responsabilidad civil de las organizaciones bajo la lupa

    25 septiembre, 2025 |by Blog AEC GOVERTIS | 0 Comments | DPD DPO

    El cumplimiento de la normativa es siempre una máxima que cualquier entidad debe perseguir. La normativa de ciberseguridad establece un régimen de responsabilidad administrativa bastante exigente. De este modo, la Directiva NIS-2 determina multas administrativas que pueden alcanzar los 10 millones de euros o del 2% del volumen de negocios anual total a nivel mundial de la organización. Todo ello, sin entrar en el daño reputacional que puede resultar para una entidad el hecho de las posibles publicaciones de sanciones en medios de comunicación o la pérdida de confianza por parte de clientes y socios comerciales.

    La responsabilidad civil de las organizaciones

    En el ámbito de la responsabilidad civil, cualquier organización también responde de un comportamiento negligente o culposo, conforme a las reglas previstas en el Código Civil.  La inobservancia de los controles previstos en la normativa de ciberseguridad puede llegar a suponer que se genere un daño a un cliente. Supone que el daño es imputable objetivamente a la entidad, en tanto que ha omitido su obligación de establecer medidas tendentes a proteger los sistemas de información.

    Un caso práctico: la sentencia de Guadix

    Recientemente, se ha publicado una sentencia de la Sección Civil y de Instrucción del Tribunal de Instancia de Guadix número 2 que examina el cumplimiento de la normativa de ciberseguridad. El juzgador examina el caso de un cliente de una entidad bancaria estafada con la técnica de smishing.  La Sentencia de 4 de julio de 2025 analiza las obligaciones legales en materia de ciberseguridad derivadas de la Directiva NIS-2 y del Reglamento DORA, además de las obligaciones que establece la normativa de servicios de pago. Con respecto a la normativa de servicios de pago, el juzgador considera que no queda probado que la persona estafada cometiera fraude o negligencia grave en el uso de la aplicación bancaria y que notificó la utilización no autorizada de sus claves en cuanto tuvo conocimiento. El juzgador analiza la procedencia de las operaciones considerando que las operaciones suplantadas se realizan desde cuatro dispositivos distintos en un espacio corto de tiempo y 24 operaciones de órdenes bancarias, solicitudes de altas de tarjetas de prepago, compas y pago en efectivo en cajeros. Esta situación, debería haber sido posible evitar por la entidad bancaria ya que denota un uso inusual por parte un cliente legítimo.

    La Sentencia, respecto al Reglamento DORA detalla que «(…) no se ha aportado por la entidad bancaria sus políticas de gobernanza y control de ciberseguridad, su gestión de riesgos, sus medidas de supervisión continua, medidas de detección rápida de anomalías, las comunicaciones a los clientes en caso de incidente es de ciberseguridad, y sobretodo las políticas de la entidad bancaria que limiten el acceso físico o lógico a los activos de información y activos de TIC a lo que sea necesario únicamente para funciones y actividades legítimas y aprobadas, o las políticas y protocolos para mecanismos de autenticación fuerte, basados en estándares pertinentes y sistemas de control específicos, y medidas de protección de las claves criptográficas mediante las que se cifran los datos en función de los resultados de los procesos aprobados de clasificación de datos y evaluación de riesgos relacionados con las TIC» [el resaltado en negrita es del juzgador de instancia].

    Además, según se detalla, la entidad se había visto involucrada en una campaña masiva, que se ha llegado a usurpar la identidad de la propia entidad y que no consta comunicación del ciber incidente al CERT competente o una comunicación a los clientes con las posibles medidas a adoptar.

    En resumen, de una estafa, en la que se ve involucrado un cliente, también puede derivar en una responsabilidad de la entidad bancaria por este hecho delictivo. En el caso examinado, queda acreditado que deberían haberse aportado al procedimiento judicial por parte de la entidad evidencia de cumplimiento de las obligaciones de la normativa de ciberseguridad, en particular, de aquellos mecanismos que hubieran podido evitar el fraude; máxime cuando una organización se ha visto involucrada en brechas de seguridad con altas implicaciones para sus clientes. Es totalmente necesario cumplir con las obligaciones de notificación a las autoridades de control y comunicación a los afectados, de tal manera que estos últimos tengan conocimiento de los riesgos existentes y de las medidas de cautela que tienen que observar.

    Santiago Cruz
    Govertis, parte de Telefónica Tech

    KEEP READING

    ¿Desconectar sin desproteger? Seis claves para mantener tu información segura estas vacaciones

    1 agosto, 2025 |by María Martínez | 0 Comments | DPD DPO

    Las vacaciones de verano ya están aquí y, con ellas, la desconexión y el descanso de las preocupaciones del día a día. Sin embargo, comienza la temporada alta para los ciberdelincuentes, quienes no dudan en aprovechar esta época para incrementar y sofisticar sus ataques. La mayor actividad en línea debido a la reserva de viajes por internet, el incremento de las publicaciones en redes sociales y la relajación de las medidas de seguridad hacen del período vacacional el escenario perfecto para que los delincuentes informáticos «hagan su agosto».

    En esta época del año, los ciberataques se incrementan alrededor de un 30%. El 61% de los delitos informáticos reportados en 2024 a compañías de la industria del ocio y el turismo sucedieron entre junio y agosto, según datos de Stöik, empresa especializada en riesgos cibernéticos. Pero los ciberdelincuentes no se olvidan de los usuarios de a pie, que en medio de la emoción de descubrir nuevos lugares y publicar nuestras experiencias en redes sociales, dejamos al descubierto información muy valiosa prácticamente sin darnos cuenta.

    Por ello, y para que nada empañe el momento más esperado del año, te contamos los aspectos clave que debes tener en cuenta para mantener tu seguridad digital durante tus viajes:

    1. Desconfía de los chollos

    Uno de los ganchos más comunes son las ofertas de hoteles o vuelos de última hora a precios irresistibles. Antes de realizar una reserva, revisa si la plataforma tiene opiniones de otros usuarios y si muestra sus datos fiscales. Además, es importante cerciorarse de que la URL de la web empiece por «https://» y que tenga candado de seguridad así como que utilice pasarelas de pago seguras.

    1. Evita compartir tu viaje en tiempo real

    Subir fotos a tus redes sociales mientras estás de viaje puede parecer inofensivo pero, en realidad, estás revelando mucha más información de la que crees. Al indicar donde te encuentras exactamente, estás mostrando que tu vivienda probablemente se encuentre vacía, lo que puede convertirte en un blanco fácil para robos o fraudes.

    Para minimizar estos riesgos, lo ideal es esperar a regresar para compartir tus fotos o limitar tus publicaciones a un círculo cercano de confianza. Recuerda desactivar la opción de geolocalización automática de las aplicaciones y redes sociales y los permisos de acceso a la ubicación de tu dispositivo.

    1. Revisa la configuración de privacidad en redes sociales

    Antes de hacer una publicación en redes, asegúrate de que tus perfiles estén configurados como privados. La mayoría de las redes sociales permiten personalizar la visibilidad de cada publicación, permitiéndote decidir si será pública, privada o solo accesible para un grupo de personas que previamente hayas seleccionado. Esto evitará que cualquier persona ajena a tu circulo social tenga visibilidad sobre tu vida privada.

    1. Evita conectarte a redes WI-Fi públicas sin protección

    Las redes Wi-Fi abiertas en aeropuertos, cafeterías u hoteles suelen ser «no cifradas», lo que significa que la información que envíes a través de ellas puede ser fácilmente interceptada por ciberdelincuentes. Si necesitas utilizar este tipo de redes, evita realizar actividades que involucren información sensible, como acceder a tu cuenta bancaria, hacer compras online o ingresar contraseñas importantes. Si es posible, utiliza una VPN (Red Privada Virtual) lo que te permitirá navegar por la red pública como si estuvieras conectado a una red privada, ocultando tu dirección IP y cifrando tu tráfico de internet.

    1. Protege tus dispositivos con bloqueo automático y contraseñas seguras

    Asegúrate de que todos tus dispositivos estén protegidos con contraseñas robustas o sistemas biométricos. Además, algunos dispositivos permiten habilitar la verificación de huella o rostro para autorizar pagos, lo que va a proporcionarte mayor protección en caso de un uso no autorizado.

    Activa el bloqueo automático en caso de inactividad ajustándolo a lo más bajo posible (por ejemplo, 1 o 2 minutos) y evita dejar los dispositivos desatendidos en espacios públicos.

    1. Cuidado con los cajeros automáticos

    El acceso a efectivo y la posibilidad de realizar pagos con tarjeta son esenciales cuando viajamos. Sin embargo, el uso de cajeros automáticos o terminales de pago en lugares públicos presenta ciertos riesgos de seguridad que no debemos pasar por alto.

    Los ciberdelincuentes pueden instalar dispositivos fraudulentos con el fin de clonar tus tarjetas o robar tu información personal para realizar compras no autorizadas. Por ello, siempre que sea posible, utiliza cajeros automáticos ubicados dentro de sucursales bancarias, evitando utilizar aquellos situados en calles poco transitadas o en áreas con poca vigilancia.

    Antes de utilizar un cajero, recuerda siempre inspeccionar el equipo previamente en busca de cámaras ocultas o de los famosos skimmers, dispositivos instalados en la ranura en la que se inserta la tarjeta para copiar la información de la banda magnética. Al introducir el PIN, realiza una rápida inspección del entorno y cubre siempre el teclado con una mano.

    En definitiva, aunque la tecnología ha facilitado nuestras vidas, también ha abierto la puerta a nuevos riesgos, especialmente cuando se trata de la seguridad de nuestros datos personales. Antes de comenzar las vacaciones, asegúrate de tomar las precauciones necesarias protegiendo tu información y tus dispositivos para que puedas centrarte en lo que realmente importa, disfrutar del momento.

    Isabel Abad Ayala
    Govertis, parte de Telefónica Tech

     

    KEEP READING

    El reconocimiento óptico de caracteres (OCR) en la obtención de los datos del DNI de los huéspedes de un hotel

    10 julio, 2025 |by Blog AEC GOVERTIS | 0 Comments | DPD DPO

    Por un lado, de conformidad con el Real Decreto 933/2021, de 26 de octubre, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor, el sector hotelero está obligado a llevar registro informático en el que consten los datos identificativos de los huéspedes, incluidos los datos de los menores de 14 años.

    La aplicación de dicho Decreto, en diciembre de 2024, originó controversia, puesto que el sector hotelero entiende excesivo todos los datos personales a recabar de los huéspedes.  No obstante, no ahondaremos en este artículo en analizar pormenores del conflicto entre las necesidades de seguridad ciudadana y las exigencias en materia de protección de datos personales.

    Por otro lado, también son conocidas las sanciones de la AEPD impuestas a establecimientos hoteleros por realizar fotocopias del DNI del viajero, por infringir el principio de minimización de datos [art. 5.1.c) RGPD].  Ejemplos: https://www.aepd.es/documento/ps-00036-2024.pdf, https://www.aepd.es/documento/ps-00331-2023.pdf.

    Ahora, nos encontramos con un nuevo pronunciamiento de la AEPD con relación a la problemática que plantea la obtención de datos personales contenidos en el DNI/NIE o Pasaporte. Vid. publicación de una «Nota de la AEPD sobre las copias de documentos de identidad en hospedajes».

    De acuerdo con la Nota, «No se debe solicitar una copia del documento de identidad», esto es, no se puede fotocopiar, escanear o guardar la imagen del DNI/pasaporte o NIE de los huéspedes.

    La AEPD nos señala sendos medios de autenticación de los datos facilitados por el huésped, presencialmente o en línea:

    • En los casos de recogida presencial, podría bastar con comprobar visualmente la correspondencia entre los datos facilitados y el documento de identidad exhibido.
    • En caso de recogida de datos en línea sin atención presencial, esta verificación puede realizarse mediante mecanismos como certificados digitales. También es posible la verificación de que los datos y la información proporcionada concuerda con los datos asociados al medio de pago utilizado. Igualmente, entre las medidas posibles, se puede emplear el envío de códigos de seguridad enviados a los números de teléfono o direcciones de correo electrónico de los huéspedes obligados a identificar, como factores de autenticación.

    Sin embargo, la AEPD no entra a considerar la validez de los sistemas de reconocimiento óptico de caracteres (OCR), que permiten leer y realizar una extracción automática de los datos necesarios del documento, en el proceso de check in, sin guardar otros datos innecesarios para completar el preceptivo registro identificativo de los huéspedes (como la fotografía, la fecha de caducidad, el Código CAN, o los nombres del padre y la madre, que figuran en el reverso).

    Este medio de autenticación puede generar controversia, ya que al requerir al huésped que entregue el documento oficial identificativo, para que se haga el reconocimiento óptico de caracteres, parece que se esté efectuando una copia digitalizada íntegra del documento. Y, tal y como se ha extendido en la ciudadanía, que no tienen porqué fotocopiar o escanear el DNI/NIE o Pasaporte en el check in, obliga a tener que efectuar, a nivel presencial, la recogida de datos de manera manual, puesto que los huéspedes rechazarán este sistema.

    Esto, en pleno periodo estival, en el que el trasiego de entrada y salida de huéspedes es altísimo, ralentiza, enormemente, la operativa de la recepción del hotel. Téngase en cuenta también que, no solo deben recabarse los datos personales que obran en el documento del DNI/NIE o Pasaporte, sino que, además, deben aportarse otros, según el mencionado Decreto [entre otros, lugar de residencia habitual (dirección completa, localidad, país) teléfono fijo o móvil; correo electrónico].

    La AEPD se ha limitado a decir que «no descarta que puedan existir otros procedimientos válidos para poder dar cumplimiento a estas obligaciones, cuya compatibilidad con el RGPD deberá ser evaluada, en todo caso, por el responsable del tratamiento», pero, como decimos no se ha manifestado, explícitamente, acerca del mecanismo de autenticación OCR, el cual agiliza la operativa de check in.

    Ante esto, el sector hotelero ha echado en falta el que la autoridad de control en protección de datos avalase dicho mecanismo de autenticación y evitar el rechazo o recelo de los huéspedes.

    Aun así, podemos decir que no sería descartable el uso del reconocimiento óptico, siempre que se opere la extracción de los datos personales mínimos o imprescindibles del DNI/NIE o Pasaporte. Y, a los efectos de que no genere rechazo, se informe, con gran claridad al momento de la recogida de datos, que no se está realizando una copia escaneada o digitalizada del documento oficial de identidad. Más, por si acaso, el hotel deberá contar con un medio alternativo, ante la eventualidad de que el viajero se oponga a dicha extracción automática de datos. En estos casos, el huésped deberá exhibir su documento oficial de identidad, al objeto de rellenar de forma manual los datos, así como para verificar, de forma visual, la identidad del mismo.

    Ismael García
    Govertis, parte de Telefónica Tech

     

    KEEP READING

    II Insight del Club del DPD – 2025

    2 julio, 2025 |by Blog AEC GOVERTIS | 0 Comments | DPD DPO

    El pasado miércoles, 25 de junio, tuvo lugar la celebración del II Insight del Club del DPD de este año 2025, como siempre organizado por la Asociación Española para la Calidad, con la colaboración de Govertis, part of Telefónica Tech.

    En esta edición del evento, contamos con la dirección de Javier Villegas, Lead Advisor de Data Protection Officers en Govertis, part of Telefónica Tech, estructurando la presentación en tres partes:

    • La petición de copias de DNI y su relación con el ámbito de la protección de datos.
    • El análisis del Plan Estratégico de la AEPD.
    • El taller exclusivo para miembros del Club DPD en materia de herramientas de IA para el ejercicio de las funciones de DPD.
    1. Petición de copias del DNI y protección de datos: ¿cuándo, cómo y por qué?

    Esta primera ponencia ha sido ofrecida por María Jiménez, Delegada de Protección de Datos y Legal Advisor en Govertis, part of Telefónica Tech.

    María se adentró en una materia que genera actualmente mucha controversia, ya que no siempre está claro si es posible obtener copias del DNI de los ciudadanos y, si lo fuese, de qué modo y bajo qué pretextos sería lícita esta práctica.

    La primera labor comenzó contextualizando el marco normativo en el que se articula esta materia: la Constitución Española, la Carta de los derechos fundamentales de la Unión Europea, el RGPD, nuestra LOPD-GDD y el resto de normativas sectoriales y autonómicas aplicables, que son de especial atención en el ámbito del DNI.

    Seguidamente, María destacó la naturaleza del DNI, entendible como un dato de carácter personal, pero con una especial atención al hecho de que se presenta como un «paquete de datos» que abarca el nombre, apellidos, nacionalidad, imagen, número identificativo y demás categorías.

     

    Sin embargo, ningún dato obrante en el DNI se presenta como un dato de categoría especial (artículo 9.1 RGPD) en sentido estricto, pero por su especialidad, por ser el contenedor de diversa información es precisamente la razón por la que nos encontramos con un dato de una sensibilidad particular, en la medida en que es un dato único, permanente y ampliamente aceptado para autenticar inequívocamente a una persona, con todos los riesgos de suplantación y acciones derivadas que ello supone.

    Asentado lo anterior, cabe determinar cuándo se puede solicitar el DNI. Esto es, qué base de licitud va a resultar aplicable al tratamiento del DNI.

    Es la propia AEPD la que establece una regla básica para tratar el DNI: que exista una norma que así lo establezca y que ello derive de una necesidad demostrable.

    Sobre ello podemos mencionar varios ejemplos en los que se podrá tratar el DNI:

    • Cuando un vigilante de seguridad lo requiera para controlar el acceso a instalaciones
    • Cuando lo solicite cualquier persona elegida para formar parte de una mesa electoral a todo aquel que acuda a votar
    • Cuando nos lo requieran en establecimientos o servicios que tengan que ver con actividades relevantes para la seguridad ciudadana y locales de juego
    • Cuando lo requiera justificadamente la Autoridad o sus Agentes

    Lo siguiente que se debe abordar es cómo solicitar el DNI, respondiendo a la cuestión sobre si escanear o fotografiar el DNI es siempre lícito.

    En este sentido, el criterio de la AEPD es claro: la copia del DNI debe evitarse siempre que existan alternativas menos intrusivas, y no exista una ley que nos obligue a conservarlo.

    Entre los ámbitos de actuación más afectados por esta problemática podemos encontrar:

    • El sector hotelero, en el que la AEPD ha hecho hincapié expreso (y en la que se continúan emitiendo sanciones por su parte) en que no es legal solicitar el DNI para tomarle fotografías, escaneos o copias. Sí lo será tomar datos que constan en el DNI, pero únicamente los mínimos y necesarios para la finalidad que se persigue en el check-in.

     

     

    • El sector logístico: la AEPD igualmente se ha pronunciado indicando que solicitar, escanear o fotocopiar el DNI por parte de un repartidor de paquetería, sin base legal justificado, es una medida desproporcionada e innecesaria.

     

     

    Esta práctica debería sustituirse por otras alternativas menos lesivas, tales como la verificación visual del DNI, la firma del destinatario en el dispositivo o albarán de entra u, opcionalmente, recoger únicamente el nombre y número de DNI del destinatario del paquete.

    • El ámbito del ejercicio de derechos por parte de los afectados por los tratamientos de datos: en el caso de que la entidad a la que se dirige el afectado tenga dudas sobre la identidad del ejercitante, debe recurrir a métodos de identificación igualmente alternativos sin caer en la petición de copias del DNI.

     

     

    Esto conlleva entender que el foco principal que se debe tener en cuenta es la atención al principio de minimización: únicamente deberá recogerse el dato o datos personales que sean mínimos, proporcionales y estrictamente necesarios para la finalidad específica (y legítima) que se persigue.

    Cabe igualmente no perder de vista la necesidad de integrar garantías y medidas de seguridad adecuadas en los intercambios de este tipo de información, dada la especial sensibilidad del DNI como conjunto. Entre ellas, María destacó el contar con portales web con autenticación robusta (2FA), correos electrónicos cifrados, controles de acceso, comunicaciones cifradas de extremo a extremo y herramientas de firma electrónica reconocida, entre otros.

    Llegando a la última cuestión, cabe hablar del por qué: ¿por qué es necesaria la especial protección del DNI?

    La respuesta pasa inevitablemente por los riesgos que existen sobre un mal uso de esta información: la posible suplantación de identidad, el tratamiento no autorizado, la pérdida del control de los datos y, en los peores escenarios, fraudes financieros, estafas o revelación de secretos.

    Todo ello nos lleva a varias conclusiones:

    • El DNI adquiere un carácter sensible por su carácter de identificación inequívoca e indubitada y los riesgos sobre los derechos y libertades de los interesados.
    • Solo se acepta la solicitud del DNI cuando exista un imperativo legal.
    • Que existen sectores más críticos que sí obligan a solicitar el DNI, pero no el escaneo ni la fotografía.
    • Que además de tener una base de legitimación para su tratamiento, es necesario realizar un equilibrio entre el tratamiento del dato y los principios de minimización, finalidad, proporcionalidad, limitación, pertinencia y conservación.
    • Que se debe contar con un enfoque por defecto sobre los riesgos asociados al tratamiento.
    1. ¿Quo Vadis RGPD? Análisis del Plan Estratégico de la AEPD por los divulgadores en protección de datos.

    Este segundo bloque de contenidos, en forma de mesa de debate, estuvo moderado por Coral Pelegrín, DPD-GRC Senior Consultant en Govertis, quien ha estado acompañada de algunos de los divulgadores más influyentes del país:

    • María Luisa González Tapia, counsel en Ramón y Cajal Abogados.
    • Daniel Fernández-Viagas, responsable de GRC interno en SIRT.
    • Jorge Campanillas, socio abogado en Iurismática Abogados.

     

    En esta mesa de debate se abordó el contenido del del Plan Estratégico de la Agencia Española de Protección de Datos (AEPD) 2025-2030, cuyo enfoque pasa por el momento de transformación digital que atraviesa la sociedad.

    Dentro de este Plan, la AEPD propone ocho principios rectores de actividades, estableciendo a continuación seis grandes ejes de actuación para conseguirlos.

    Los principios rectores contenidos en el Plan son los siguientes:

    1. Innovación y adaptabilidad.
    2. Internacionalización e influencia.
    3. Cooperación.
    4. Proactividad y prevención.
    5. Excelencia y calidad técnica.
    6. Defensa del interés general.
    7. Agencia abierta.

    Por su parte, los grandes ejes de actuación propuestos son:

    Eje 1. Supervisión inteligente.

    Eje 2. Innovación tecnológica.

    Eje 3. Cooperación e influencia estratégica.

    Eje 4. Facilitar el cumplimiento normativo.

    Eje 5. Transformación digital y excelencia.

    Eje 6. Una Agencia abierta y cercana.

    María Luisa González, desde una perspectiva más apegada al ámbito de la abogacía, seleccionó el eje de actuación de supervisión inteligente (implementar sistemas avanzados para detección de riesgos y optimizar procesos internos utilizando IA), facilitar el cumplimiento normativo, ayudar en el cumplimiento a las Pymes y el eje de PROPONER una AEPD más abierta y cercana, en escucha permanente con los diversos sectores sociales.

    Sobre ello, María destacó la actividad de la ICO, la Autoridad competente en materia de protección de datos británica, que siempre ha estado en contacto con los sectores afectados por los tratamientos y demás ámbitos sociales.

    También puso en valor la necesidad de aumentar recursos en la AEPD, que la deje de convertir en una «agencia de consumo dentro del ámbito de la protección de datos» y sirva de un organismo verdaderamente útil y necesario para los sectores afectados.

    Daniel Fernández-Viagas, por su parte, destacó el eje de la cooperación con otras Autoridades y el refuerzo del cumplimiento normativo.

    El mensaje central para él, en este sentido, es que «para un DPD, es básico tener contrastada con varias Autoridades de Control las diferentes cuestiones que puedan ser de afectación».

    Se reafirma en las ideas expuestas por sus compañeros Jorge Campanillas, que hizo mayor hincapié en la elaboración de un laboratorio de desarrollo e innovación digital, sandbox, que tienda a abrazar el uso de la tecnología en pos del cumplimiento normativo. No siempre hay que demonizar el uso de la IA, también puede ayudarnos en nuestro trabajo y a la sociedad.

    El mensaje final fue, igualmente, reafirmar la necesidad de cooperación entre las diferentes Autoridades, aunando criterios y ejerciendo una labor de guía que estaba más perdida en los días actuales.

    Es clave que «los ciudadanos comprendan para qué estamos los Delegados de Protección de Datos».

    En otro orden de cuestiones, abordando cuestiones sobre metodología y riesgo, María Luisa hizo hincapié en la necesidad de reforzar y consolidar una metodología válida sobre el análisis de riesgos, los procesos de anonimización y las evaluaciones de impacto que no se presenten únicamente como un setlist sino como una metodología material y homogénea.

    Daniel suscribió el planteamiento anterior poniendo el foco en la metodología del análisis de riesgos: «no puede ser que el foco central sea únicamente el negocio y no el usuario o los derechos respectivos».

    También aprovechó la ocasión para destacar que el criterio sobre el uso de la biometría tiene margen de mejora, debiendo flexibilizar el uso de la misma para determinados escenarios que en la práctica son muy razonables.

    Jorge, en la misma línea, sostuvo que lo que se está trasladando a la ciudadanía con el actual criterio sobre el uso de la biometría convierte algunas prácticas habituales, como abrirse una cuenta bancaria con un escaneo facial, en cuestiones difíciles de encajar con otros supuestos de uso ilícito de este tipo de tecnología.

    Por otro lado, no pasó desapercibido el cuarto eje del Plan de la AEPD, en el que se integra la voluntad de potenciar y reforzar la figura del Delegado de Protección de Datos.

    Para Daniel, es fundamental que el DPD no se presente como una figura muy saturada de trabajo o que su conocimiento tenga que abarcar todos los ámbitos. Para él, la clave está en rodearse de equipos multidisciplinares que sepan asesorar y mantener una posición activa dentro de las empresas, codeándose con todos los departamentos para empaparse de la realidad de la problemática que le rodea.

    En cualquier caso, el principal hándicap a resolver en muchas organizaciones, incluyendo la Administración Pública, es dotar de recursos a esta figura, así como no denostar su trabajo forzando la necesidad de que sean unos «superhéroes» del conocimiento.

    Por último, en este bloque, se comentaron los desafíos a futuro en protección de datos, que todos los intervinientes coinciden en que van alineados con los principales ejes de actuación de la AEPD, en los que se debe acompañar con «formación, formación y formación» para los que ejercen las labores de DPD, sobre todo en área de ciberseguridad, tal como concluye Daniel.

    1. Taller exclusivo para miembros del Club: herramientas de IA para el ejercicio de las funciones de DPD.

    La jornada cerró con un taller práctico exclusivo para miembros del Club del DPD, dirigido por un invitado muy especial: Alejandro Sánchez del Campo Redonet (Replicante Legal), abogado experto en derecho digital y referente en el ámbito LegalTech.

    Alejandro comenzó su ponencia aclarando que su contenido no solo versaría sobre las herramientas basadas en inteligencia artificial, sino en el propio impacto que la IA tiene (y tendrá) en las labores de los DPD.

    Y este enfoque le llevó a plantear un titular inicial que lleva reflejando los últimos tiempos del sector: «solo un tercio de los letrados tiene suficiente formación en tecnología».

    Sin perjuicio de que se trata de una realidad que afecta principalmente al ámbito legal externo a la esfera de actuación de los Delegados de Protección de Datos, la falta de conocimiento suficiente en áreas tecnológicas, sobre todo ligadas a la Inteligencia Artificial, hace que sea necesario reforzar la formación en estas competencias.

     

    Esta problemática invita a reflexionar, en opinión del ponente, sobre si la existencia de herramientas de IA, sobre todo el ChatGPT, supone una evolución para la sociedad o una revolución.

    Alejandro exploró el concepto de ChatGPT aclarando que se trata de un modelo de lenguaje, no de una base de datos entrenada para aspectos legales o tecnológicos puramente.

    Otro titular que ha dejado abierto al debate el ponente expuso los posibles límites, si los hubiese, de este tipo de herramientas de IA generativa. Es decir, se trata de responder a la pregunta de si habrá alguna de las tareas que realiza un DPD o un profesional asociado al mundo de la privacidad o el Derecho que no pueda realizar la IA.

    Sobre todo, teniendo en cuenta que cada vez son más los grandes despachos y asesorías jurídicas los que tejen alianzas con plataformas como Legora o Harvey para optimizar sus funciones, estructura y dotar de mayor eficiencia a sus labores de asesoramiento.

    Dentro del área de consultoría GRC y compliance en materia de protección de datos, Alejandro destacó otras herramientas como Complylaw o Gobercom 360, ambas tendentes a facilitar y optimizar los trabajos de consultoría en esta materia. Sin embargo, en estos dos ejemplos, hay una gran presencia de IA (al menos en comparación con el sector puramente legal).

    Más adelante, Alejandro introdujo el horizonte que se está dibujando dentro del universo de la IA, convirtiendo las herramientas y procesos de automatización exclusiva en modelos de agente IA, en los que le puedes pedir que realice labores más complejas, con mayores comandos y acciones combinadas y que están dirigidas a dar con la tecla definitiva para optimizar nuestras profesiones, ya sean como Delegados de Protección de Datos, abogados o cualquier otro sector de aplicación.

    «Al DPD le va a tocar entender la problemática legal, regulatoria y ética que plantea la IA. Como al abogado, pero para su campo. Muchos DPDs van a evolucionar a ser quienes se ocupen de la adecuación y compliance relacionado con el Reglamento de Inteligencia Artificial».

     

    Esta aseveración arroja una pregunta que ya se planteaba al inicio de la ponencia, y es que teniendo en cuenta que muchas las labores del DPD pasan por un proceso, ¿cuánto de ese proceso se puede automatizar o «agentizar» a través de la IA?

    En opinión de Alejandro, en un futuro no muy lejano, la labor del DPD y del abogado en general pasará por integrar la IA irremediablemente en su día a día. «Si se han podido automatizar los taxis en una ciudad como San Francisco, ¿por qué no se va a poder automatizar la labor del DPD?».

    En cualquier caso, convendría hacer una lectura optimista de este reto que se plantea, aceptándolo como una realidad que conduce a una oportunidad futura, más que una amenaza para nuestra profesión.

    Alejandro cerró su ponencia animando a formarse en detalle sobre la IA, el uso que se le podría dar comprendiendo su funcionamiento, ayudando a su mejora y así adelantarnos a la amenaza, liderando el futuro y aceptando la realidad que, en su opinión, es irrefrenable.

    José Alejandro Veiga
    Govertis, parte de Telefónica Tech

     

    KEEP READING

    ¿Fotocopia del DNI? Claves según la Agencia de Protección de Española Datos

    2 junio, 2025 |by Blog AEC GOVERTIS | 0 Comments | DPD DPO

    A partir de las últimas resoluciones e informes jurídicos de la Agencia de Protección de Española Datos (AEPD), se han suscitado numerosas cuestiones en cuanto al requerimiento de los datos del documento nacional de identidad (DNI), para verificar la identidad de las personas físicas.  Así, se cuestiona, principalmente, si ¿es legal pedir fotocopia del DNI?, ¿por qué se concibe el DNI como dato sensible? y ¿qué medidas de seguridad se deben adoptar?

    Antes de abordar estas cuestiones, hay que indicar que, el DNI, es un documento oficial emitido por el Ministerio del Interior que contiene información clave de una persona física como, por ejemplo, nombre y apellidos, fecha y lugar de nacimiento, fotografía, etc. Por lo tanto, el DNI va a permitir identificar de manera inequívoca a una persona física. De modo que, no hay que perder de vista los principios relativos al tratamiento que desarrolla el artículo 5 del Reglamento General de Protección de Datos (RGPD), es decir, el tratamiento de los datos debe de ser lícito, con fines determinados, exactos, adecuados pertinentes y limitados con relación a los fines para los que son tratados.

    Entrando ya en materia, sería interesante trazar la línea la cual nos va a permitir determinar cuándo va a ser licito o no pedir fotocopia del DNI. En este sentido, es importante destacar el criterio de la AEPD recogido en el Informe jurídico 7/2023 cuando indica que «el uso del DNI únicamente se ha de someter a tratamiento cuando la norma así lo establezca, resultando excesivo el mismo cuando se pretende únicamente identificar a las personas».

    Dicho esto, hay que tener en cuenta de que el responsable del tratamiento no solo podrá acudir a la norma como único medio que le legitime para solicitar copia del DNI (como es el caso de la Ley 10/2010, de 28 de abril de Prevención Blanqueo de Capitales y Financiación del Terrorismo), sino que también, en aquellos casos en los que dude de la identidad de la persona física, podrá solicitar información adicional, en este contexto. El responsable del tratamiento realizará una evaluación de proporcionalidad teniendo en cuenta la naturaleza de la solicitud, daño que pueda derivarse de una divulgación indebida, etc. En este sentido, es preciso destacar, que el uso de una copia del DNI para autenticación puede comprometer la seguridad de los datos personales y dar lugar a un tratamiento no autorizado o ilícito. Por ello, solo debe recurrirse a esta práctica si es realmente necesaria, adecuada y conforme a la normativa vigente.

    En base a esto, hay que tener muy presente el principio de minimización de datos, ya que, el tratamiento excesivo de datos personales puede suponer la vulneración de los derechos de los afectados. Este nuevo paradigma, tiene un impacto directo en la recogida de datos para realizar determinados tramites, a modo de ejemplo, solicitar el DNI para atender un derecho de acceso puede ser desproporcionado si existen otras formas para verificar la identidad del solicitante (Expediente Nº PS/00003/2021), solicitar fotografía al DNI del destinatario al entregar un paquete puede ser también desproporcionado al entender que existen otros medios menos invasivos para identificar al receptor (Expediente Nº PS/00413/2021) , o incluso, pedir fotocopia del DNI para consultar los movimientos de la cuenta bancaria se considera excesivo al entenderse que el tratamiento de ese dato es innecesario ya que, se puede verificar la identidad del afectado con otros datos básicos como el usuario y la contraseña de la banca online (Expediente Nº EXP202104493).

    Respecto a la consideración el DNI como un dato sensible, en primer lugar, decir que, con arreglo al artículo 9.1 del RGPD, no está contemplado entre los datos personales de categoría especial.  Además, tampoco el Considerando 51 del RGPD, alude a esta consideración de carácter sensible. Sin embargo, la AEPD, en sus últimas resoluciones e informes jurídicos destaca que el DNI es un dato sensible. La autoridad de control considera la sensibilidad de este dato, por cuanto a que un tratamiento del mismo, sin las garantías adecuadas, puede poner en alto riesgo las libertades y derechos de los afectados, teniendo como resultado:

    • Suplantaciones de identidad.
    • Fraudes financieros.
    • Uso del DNI para la firma de contratos, el acceso a servicios públicos o la gestión de documentos legales.
    • Aumento del riesgo de ataques dirigidos al estar asociado con información adicional como la dirección, fotografía, nombre completo, etc.

    Con base a esto, la AEPD ha establecido criterios generales de privacidad e incide, que para el tratamiento legal del DNI se deberán de aplicar medidas de seguridad y protección adecuadas con el objetivo de garantizar su correcto tratamiento.

    Seguir los criterios generales establecidos por la AEPD garantizará a los responsables el uso correcto y licito de los datos del DNI, a grandes rasgos, estos criterios generales son:

    • Evitar el almacenamiento innecesario del DNI, es decir, solo solicitarlo cuando exista una justificación.
    • Cuando no sea necesario solicitar una fotocopia del DNI se podrán almacenar algunos datos claves como nombre, apellidos, fecha de nacimiento recabando solo los datos esenciales.
    • Impedir accesos no autorizados atendiendo al principio de mínimo privilegio.
    • Uso de canales seguros mediante protocolos de comunicación cifrados.
    • Respetar el principio de transparencia lo que conlleva a facilitar información clara y concisa sobre el tratamiento de los datos del afectado.
    • Disponer de una política de retención y eliminación de documentos con el objetivo, de almacenarlos durante el tiempo que sea estrictamente necesario, así como utilizar métodos de destrucción segura.

    Por tanto, a modo de conclusión, hay que incidir en que pedir fotocopia del DNI para verificar la identidad de los afectados no es una práctica prohibida ni sistemáticamente lleva aparejada una sanción. No obstante, sí es cierto que requerir una copia del DNI debe de considerarse una medida excepcional y limitarse, única y exclusivamente, a aquellas situaciones en las que no existan otros medios menos intrusivos para verificar la identidad del afectado.

    Eric Santaella
    Govertis, parte de Telefónica Tech

     

    KEEP READING