El Documento Nacional de Identidad (DNI) contempla numerosos datos personales, como el nombre y apellidos, el rostro, el lugar y fecha de nacimiento, el domicilio, los nombres del padre y la madre y la firma del titular. Además, el llamado «DNI Europeo» o «DNI Electrónico 4.0.» incorpora un chip que permite almacenar datos personales del titular, en concreto, la huella dactilar, la firma y una imagen facial.
El caso que es que la AEPD ha decidido frenar a las empresas que, de forma indiscriminada, piden copia del DNI a efectos de identificación. El informe viene a responder a la práctica de las empresas de mensajería en distintos supuestos, si bien sus conclusiones son generales.
El informe 48/2023 del Gabinete Jurídico de la AEPD no facilita medidas concretas para tratamientos específicos del DNI. El responsable del tratamiento será quien, al afrontar los posibles casos de usos concretos que se le presenten, valore si procede exigir el DNI y, en su caso, copia y qué medidas de protección debe aplicar en virtud del principio de responsabilidad proactiva. El informe referenciado viene a completar a los informes 49/2004, 11/2020, 64/2020, 88/2020, 41/2021, 78/2022 y 7/2023.
La AEPD se basa su informe en las Directrices 1/2022, de 28 de marzo de 2023 del Comité Europeo de Protección de Datos, según las cuales, si el responsable del tratamiento tiene motivos razonables para dudar de la identidad de la persona solicitante podrá pedirle información adicional. No obstante, debe asegurarse de no recoger más datos personales de los estrictamente necesarios para permitir su identificación, teniendo en cuenta el tipo de datos personales tratados, la naturaleza de la solicitud, el contexto, así como cualquier daño que pudiera derivarse de una divulgación indebida, al tiempo que garantizará un nivel adecuado de seguridad.
El Comité Europeo de Protección de Datos advierte que la utilización de una copia de un documento de identidad como parte del proceso de autenticación crea un riesgo para la seguridad de los datos personales y puede dar lugar a un tratamiento no autorizado o ilícito, por lo que debe considerarse inadecuado, salvo que sea estrictamente necesario, adecuado y conforme con el derecho nacional, por ejemplo, cuando sea aplicable la normativa de prevención de blanqueo de capitales y financiación del terrorismo.
Conclusiones
La AEPD nos deja claro que la solicitud del número o copia del DNI no puede instaurarse por defecto. Habrá que explorar alternativas menos invasivas para identificar a la persona. Una fórmula viable es solicitarle al interesado algún dato conocido, que nos permita identificarlo como, por ejemplo, que nos confirme la dirección de correo electrónico o el número de teléfono que consta en su ficha de cliente.
Si, de forma excepcional, porque las circunstancias lo requieran, solicitan una copia del DNI pidan a su titular que borre, difumine o píxele la fotografía y en el reverso la fecha de validez y la firma.
—
Actualización
La AEPD sanciona con multa de 20.000 €, por la infracción del artículo 5.1.c) del RGPD, a una clínica dental por exigir a un paciente copia de su DNI para tramitar el reintegro de cantidades.
Al mismo tiempo, le impone una multa de 10.000 €, por la infracción del artículo 38 del RGPD, por no trasladar el delegado de protección de datos la reclamación dirigida a éste por la reclamante. Dejo enlazada aquí la resolución.