- 10 de octubre de 2023
La AEPD advierte que perseguirá el uso indiscriminado que hacen las empresas de las copias del DNI de terceros
Un informe del regulador recomienda un uso mínimo del mismo, con el agravante de poder ser sancionado de forma grave-
La
Agencia Española de Protección de Datos (AEPD) ha decidido frenar la
práctica de que las empresas pidan copias de DNI para identificar a los
ciudadanos por cualquier cuestión. El informe 48/2023 hace un análisis de
una costumbre que el regulador pretende que se reduzca al máximo.
Como
señalan algunos de los expertos, la copia del DNI tiene muchos datos sensibles
personales como es la foto, el lugar de nacimiento de esa persona, el nombre de
los padres de esa persona que podrían utilizarse en actividades
delictivas o de suplantaciones.
De
hecho, ese uso abusivo de las copias del DNI está produciendo
que los delitos de suplantación de identidad o de fraude estén
creciendo y muchos ciudadanos observan cómo se utilizan esos datos
para abrir una cuenta en su nombre, con el consiguiente destrozo económico que
cometen.
Existe
una tradición heredada de la derogada normativa española de protección
de datos, que establecía como procedimiento oficial para el ejercicio de
derechos la obligatoria entrega de una fotocopia del Documento Nacional
de Identidad, pasaporte u otro documento válido que identificase al
solicitante. Por tanto, no es de extrañar que muchas compañías sigan
solicitando fotocopias de DNI como parte de su proceso habitual de
identificación de clientes o usuarios.
Por
ello, la AEPD ha ido acotando y condicionando los supuestos en
los que un tercero que no es su titular puede requerir o tratar dicho
documento. El último de sus pronunciamientos al respecto lo encontramos en su
reciente Informe 48/2023.
Cada entidad será quien, al
afrontar los posibles casos de uso concretos que se le presenten, deberá
valorar si es procedente o no exigir y/o tratar el número y/o copia del DNI y, en su caso, qué
medidas de protección deba aplicar al respecto.
Lo que
hace la AEPD en este último informe es incidir en unos criterios
generales o básicos que deben ser seguidos por las entidades cuando se
plantee alguna de estas situaciones.
Sobre
dichos criterios generales hay que señalar que, en primer lugar, la
solicitud del número o copia del DNI no puede instaurarse por defecto o sistema,
siendo necesario analizar caso por caso. Al mismo tiempo, el número del DNI,
aunque no sea uno de los datos clasificados en el RGPD como de categoría
especial, sí es un dato sensible, puesto que su mal uso o abuso
puede generar efectos desfavorables para su titular.
La AEPD
en este informe destaca que “salvo que la norma lo prevea expresamente y no
exista otra alternativa menos invasiva para identificar a una persona, el
uso del DNI puede resultar excesivo e innecesario para cumplir la finalidad de
identificación, por tanto, si existen otras medidas menos gravosas que
cumplen con el fin de identificación, lo recomendable es abstenerse de usar el
DNI.
“En
definitiva, habrá que ir analizando caso por caso el posible uso del DNI e
incluso cuando resulte procedente pedir una copia del DNI, pero algunos de los
datos en él contenidos no sea necesarios, conviene instruir a su
titular de forma que éste pueda aportar copia sólo de la parte del DNI que sea
precisa, como por ejemplo excluir, tapar, difuminar o pixelar la
fotografía, el reverso, la fecha de validez o la firma).
Al
mismo tiempo, subraya que otros informes y resoluciones emitidos por la AEPD se
refieren a algunos supuestos específicos de uso del DNI. Así, por ejemplo, “en
relación con actividades de prevención de blanqueo de capitales y
financiación del terrorismo, la Agencia ya ha indicado que sí cabe requerir
copia del DNI, pues la propia normativa sobre la materia así lo contempla.
También
comenta que “en la publicación de actos administrativos en los que se deba
identificar a los afectados, el número del DNI no puede aparecer
completo, sino que se revelarán aleatoriamente cuatro de sus cifras
numéricas, tal como establece la disposición adicional séptima de nuestra
actual Ley Orgánica de Protección de Datos.
En
relación con el sector hotelero, la AEPD en un reciente procedimiento
sancionador consideró injustificado que una empresa de
alquiler de apartamentos a través de Airbnb requiriera, entre otros
datos, el envío de las fotografías del DNI, por ambas caras, de todas las
personas que se alojarían en el inmueble.
El
motivo es que, a pesar de que la normativa exige a dichas empresas facilitar a
la policía algunos de los datos que figuran en el DNI, lo cierto es que no
se necesitan todos los datos que aparecen en dicho documento y la
multa en este caso fue de 25.000 euros.
Por último,
aunque es práctica generalizada y derivada de la normativa anterior al RGPD,
tampoco es correcto requerir por sistema el DNI como método de identificación
de los interesados cuando éstos ejercitan cualquiera de sus derechos de
protección de datos (acceso, rectificación, supresión, etc.), sino que
sólo podrá ser requerido si no existe ningún otro medio de
identificación del interesado que sea menos intrusivo.
Son varias las sanciones impuestas por la AEPD por esta práctica, algunas de ellas llegando a superar los 200.000 euros, dado el volumen de operaciones y el nivel de facturación del responsable.
FUENTE: Economist & Jurist