Categorias
El Criteri de l'AEPD sobre el Us de la Copia del DNI
En els últims mesos, hi ha hagut diverses resolucions de l'Agència Espanyola de Protecció de Dades (AEPD) relatius a la recollida, ús i conservació del DNI. Un argument comú que es repeteix en les diferents resolucions és el que tenir accés a les dades contingudes en el DNI d'una persona i conservar una fotocòpia pot ser contrari als criteris i principis de la normativa de protecció de dades pel que, generalment, no es podrà demanar còpia del DNI ni conservar aquesta còpia en els sistemes de l'empresa.
A continuació, expliquem alguns aspectes i principis clau per a tenir en compte:
Minimització de dades: és un dels principis bàsics de protecció de dades. Això significa que només s'han de sol·licitar, tractar i conservar aquelles dades personals estrictament necessàries (han de ser adequades, pertinents i limitades) per a la finalitat per a la qual es recapten.
En el cas concret de la sol·licitud del DNI, si existeixen altres mesures menys oneroses que compleixen la finalitat d'identificació, el responsable ha d'abstenir-se de recollir la fotocòpia del DNI. Tal com indica l'AEPD: “l'ús indegut del DNI sense les garanties suficients pot tenir múltiples efectes desfavorables per al titular de les dades”. El mètode utilitzat per a la identificació d'una persona ha de ser pertinent, adequat, proporcionat i respectar el principi de minimització de dades.
Proporcionalitat del tractament: Relacionat amb el punt anterior, i tenint en compte tota la informació que conté el DNI (nom dels pares, lloc de naixement, adreça, etc.), l'AEPD emfatitza que només s'ha de recollir la informació continguda en el DNI que sigui necessària per a confirmar la identitat del subjecte.
Finalitat específica per al tractament: La còpia del DNI només ha d'utilitzar-se per a fins específics i legítims. Per exemple: Una persona arrendadora pot sol·licitar una còpia del DNI de l'inquilí per a verificar la seva identitat abans de signar un contracte de lloguer.
Conservació de les dades: Una vegada complerta la finalitat, s'ha d'eliminar la còpia del DNI (excepte en casos concrets com per exemple per a complir les obligacions de la Llei de prevenció de blanqueig de capitals). En la gran majoria dels casos, no estarà justificada la conservació de la còpia del DNI una vegada realitzada la verificació d'identitat.
En resum, l'AEPD advoca per la prudència en la gestió de la informació del DNI i estableix que s'ha de limitar el seu tractament a l'estrictament necessari. Només s'haurà de recollir la informació del DNI que sigui necessària per a confirmar la identitat del subjecte, i la còpia del DNI pot ser un tractament excessiu i innecessari.
En aquest sentit, l'AEPD ha imposat diverses sancions a empreses per sol·licitar còpia del DNI, que implica un risc elevat per a les persones interessades a causa del mal potencial que puguin sofrir les mateixes si s'usa aquesta còpia per a, per exemple, donar d'alta serveis a nom de l'usuari.
Alguns exemples de resolucions i consultes relacionades amb l'ús de la còpia del DNI:
En el seu informe jurídic 0048/2023, l'AEPD estableix uns criteris generals que hauran d'aplicar totes les entitats, però cada entitat serà responsable de decidir i afrontar cada cas concret, valorant si és necessari o no exigir la còpia del DNI o el tractament de les dades d'aquest. En el cas necessari de recollir una còpia del DNI s'haurà d'analitzar “multitud d'aspectes, que van des de la base jurídica que legitima aquest tractament, sobretot si està previst en la llei, fins al risc d'aquest tractament”. L'AEPD no valida mesures concretes, però emfatitza que el tractament ha de ser estrictament necessari i adequat.
Quant a expedients sancionadors, cal destacar les següents resolucions i multes de l'AEPD:
- PS/00253/2023: L'Agència Espanyola de Protecció de Dades sanciona amb 30.000 euros a una clínica dental pel fet que es va sol·licitar còpia del DNI de la reclamant per a realitzar una devolució de quantitat per un tractament no rebut.
- PS/00570/2023: Sanció de 20.000 euros per requerir la còpia del DNI dels pares o tutors legals perquè els menors puguin assistir a un concert. L'entitat sol·licitava, per a aquells menors de 16 anys, signatura d'un document d'autorització per part del pare o tutor, al costat de còpia del DNI d'aquest adult. L'AEPD considera que la normativa aplicable només habilita a sol·licitar l'exhibició del DNI pel que, la còpia del DNI només pot sol·licitar-se si existeix una necessitat legal que ho avali.
- PS/00499/2022: Sanció de 25.000€ a una empresa per sol·licitar una còpia dels DNI dels ocupants de l'immoble, per a realitzar el check-in. L'AEPD en la resolució destacava que eren dades excessives i que no eren necessaris per a prestar el servei de lloguer de l'estada vacacional, ni per a registrar a les persones que s'allotgen en aquest.
- PS/00413/2021: Sanció per sol·licitar fotografia del DNI per a lliurar un paquet: 100.000 €.
- PS/00170/2022: Sanció per sol·licitar còpia del DNI per a poder tramitar una consulta: 70.000 €.
- PS/00003/2021: Sanció per sol·licitar còpia del DNI per a atendre una sol·licitud d'exercici de drets: 300.000 €.
Per tant, a la pregunta de si pot una entitat fer i conservar còpies del DNI dels seus clients, la resposta, com a regla general, és que NO, tret que existeixi una llei que ho exigeixi de manera expressa.
