El criterio de la AEPD respecto al DNI

El Criterio de la AEPD sobre el uso de la copia del DNI. ¿Puede una entidad hacer y conservar copias del DNI de sus clientes?

En los últimos meses, ha habido varias resoluciones de la Agencia Española de Protección de Datos (AEPD) relativos a la recogida, uso y conservación del DNI. Un argumento común que se repite en las diferentes resoluciones es el de que tener acceso a los datos contenidos en el DNI de una persona y conservar una fotocopia puede ser contrario a los criterios y principios de la normativa de protección de datos por lo que, generalmente, no se podrá pedir copia del DNI ni conservar dicha copia en los sistemas de la empresa.

A continuación, explicamos algunos aspectos y principios clave para tener en cuenta:

Minimización de datos: es uno de los principios básicos de protección de datos. Esto significa que sólo se deben solicitar, tratar y conservar aquellos datos personales estrictamente necesarios (deben ser adecuados, pertinentes y limitados) para la finalidad para la que se recaban.

En el caso concreto de la solicitud del DNI, si existen otras medidas menos gravosas que cumplen el fin de identificación, el responsable debe abstenerse de recoger la fotocopia del DNI. Tal y como indica la AEPD: “el uso indebido del DNI sin las garantías suficientes puede tener múltiples efectos desfavorables para el titular de los datos”. El método utilizado para la identificación de una persona debe ser pertinente, adecuado, proporcionado y respetar el principio de minimización de datos.

Proporcionalidad del tratamiento: Relacionado con el punto anterior, y teniendo en cuenta toda la información que se contiene en el DNI (nombre de los padres, lugar de nacimiento, dirección, etc.), la AEPD enfatiza que solo se debe recoger la información contenida en el DNI que sea necesaria para confirmar la identidad del sujeto.

Finalidad específica para el tratamiento: La copia del DNI solo debe utilizarse para fines específicos y legítimos. Por ejemplo: Una persona arrendadora puede solicitar una copia del DNI del inquilino para verificar su identidad antes de firmar un contrato de alquiler.

Conservación de los datos: Una vez cumplida la finalidad, se debe eliminar la copia del DNI (excepto en casos concretos como por ejemplo para cumplir las obligaciones de la Ley de prevención de blanqueo de capitales). En la gran mayoría de los casos, no estará justificada la conservación de la copia del DNI una vez realizada la verificación de identidad.

En resumen, la AEPD aboga por la prudencia en la gestión de la información del DNI y establece que se debe limitar su tratamiento a lo estrictamente necesario. Sólo se deberá recoger la información del DNI que sea necesaria para confirmar la identidad del sujeto, y la copia del DNI puede ser un tratamiento excesivo e innecesario.

En este sentido, la AEPD ha impuesto varias sanciones a empresas por solicitar copia del DNI, que implica un riesgo elevado para las personas interesadas debido al daño potencial que puedan sufrir las mismas si se usa dicha copia para, por ejemplo, dar de alta servicios a nombre del usuario.

Algunos ejemplos de resoluciones y consultas relacionadas con el uso de la copia del DNI:

1. En su informe jurídico 0048/2023, la AEPD establece unos criterios generales que deberán aplicar todas las entidades, pero cada entidad será responsable de decidir y afrontar cada caso concreto, valorando si es necesario o no exigir la copia del DNI o el tratamiento de los datos de este. En el caso necesario de recoger una copia del DNI se deberá analizar “multitud de aspectos, que van desde la base jurídica que legitima dicho tratamiento, sobre todo si está previsto en la ley, hasta el riesgo de dicho tratamiento”. La AEPD no valida medidas concretas, pero enfatiza que el tratamiento debe ser estrictamente necesario y adecuado.

En cuanto a expedientes sancionadores, cabe destacar las siguientes resoluciones y multas de la AEPD:

1. PS/00253/2023: La Agencia Española de Protección de Datos sanciona con 30.000 euros a una clínica dental debido a que se solicitó copia del DNI de la reclamante para realizar una devolución de cantidad por un tratamiento no recibido.
2. PS/00570/2023: Sanción de 20.000 euros por requerir la copia del DNI de los padres o tutores legales para que los menores puedan asistir a un concierto. La entidad solicitaba, para aquellos menores de 16 años, firma de un documento de autorización por parte del padre o tutor, junto a copia del DNI de dicho adulto. La AEPD considera que la normativa aplicable solo habilita a solicitar la exhibición del DNI por lo que, la copia del DNI solo puede solicitarse si existe una necesidad legal que lo avale
3. PS/00499/2022: Sanción de 25.000€ a una empresa por solicitar una copia de los DNI de los ocupantes del inmueble, para realizar el check-in. La AEPD en la resolución destacaba que eran datos excesivos y que no eran necesarios para prestar el servicio de alquiler de la estancia vacacional, ni para registrar a las personas que se alojan en este.
4. PS/00413/2021: Sanción por solicitar fotografía del DNI para entregar un paquete: 100.000 €.
5. PS/00170/2022: Sanción por solicitar copia del DNI para poder tramitar una consulta: 70.000 €.
6. PS/00003/2021: Sanción por solicitar copia del DNI para atender una solicitud de ejercicio de derechos: 300.000 €.

Por tanto, a la pregunta de si puede una entidad hacer y conservar copias del DNI de sus clientes, la respuesta, como regla general, es que NO, salvo que exista una ley que lo exija de manera expresa.