El Documento Nacional de Identidad (DNI) contempla numerosos datos personales, como el nombre y apellidos, el rostro, el lugar y fecha de nacimiento, el domicilio, los nombres del padre y la madre y la firma del titular.
El «DNI 4.0» incorpora un chip que permite almacenar datos personales del titular, en concreto, una fotografía digitalizada, la huella dactilar, las firmas digitalizada y electrónica y el certificado de autenticación.
El caso que es que la AEPD ha decidido frenar a las empresas que, de forma indiscriminada, piden copia o fotografían el DNI a efectos de identificación. La mayor sanción fue impuesta a la empresa ORANGE ESPAÑA, S.A.U. por importe de 100.000 €. Para hacer entrega de los paquetes a sus destinatarios, la empresa imponía como condición necesaria realizar una fotografía del anverso y reverso del DNI del destinatario. El empleado tomaba con su terminal móvil la imagen en el momento de la entrega para, posteriormente, cederla a la empresa que remitió el paquete. Dejo enlazada aquí la resolución correspondiente.
La AEPD en el informe 48/2023 responde a la práctica de las empresas de mensajería, si bien sus conclusiones son de aplicación general. No facilita medidas concretas para tratamientos específicos del DNI. El responsable del tratamiento será quien, al afrontar los posibles casos de usos concretos que se le presenten, valore si procede exigir el DNI y, en su caso, copia y qué medidas de protección debe aplicar en virtud del principio de responsabilidad proactiva. El informe viene a completar a los informes 49/2004, 11/2020, 64/2020, 88/2020, 41/2021, 78/2022 y 7/2023.
La AEPD basa su informe en las Directrices 1/2022, de 28 de marzo de 2023 del Comité Europeo de Protección de Datos, según las cuales, si el responsable del tratamiento tiene motivos razonables para dudar de la identidad de la persona solicitante podrá pedirle información adicional. No obstante, debe asegurarse de no recoger más datos personales de los estrictamente necesarios para permitir su identificación, debiendo garantizar un nivel adecuado de seguridad.
El Comité Europeo de Protección de Datos advierte que el tratamiento de una copia de un documento de identidad, como parte del proceso de autenticación, crea un riesgo para la seguridad de los datos personales, y puede dar lugar a un tratamiento no autorizado o ilícito, por lo que debe considerarse inadecuado, salvo que sea estrictamente necesario, adecuado y conforme con el derecho nacional, por ejemplo, cuando sea aplicable la normativa de prevención de blanqueo de capitales y financiación del terrorismo.
La AEPD deja claro que no se puede instaurar por defecto la solicitud de copia del documento de identidad. Habrá que explorar alternativas menos invasivas para identificar a una persona, por ejemplo, pedirle que nos confirme la dirección de correo electrónico, el número de teléfono que consta en su ficha de cliente, el número de cliente, el código postal del domicilio, etc.
Si, de forma excepcional, porque las circunstancias lo requieran, solicitan la copia de un documento de identidad, pidan a su titular que borre o difumine en el anverso el número de soporte, el sexo, la nacionalidad, la fecha de nacimiento y la firma y en el reverso el domicilio, el lugar de nacimiento y los nombres de los padres, pues dichos datos no son necesarios para identificar a una persona. Para identificar a una persona basta el nombre y apellidos, el número del documento y la fotografía. Insisto en que solo se pida una copia del documento en circunstancias excepcionales y justificadas.
Petición por parte de funcionarios y empleados públicos
Cualquier funcionario, en el ejercicio de sus funciones, pongamos por caso un Inspector de la Agencia Tributaria, un Inspector de Trabajo o un agente de la Policía Nacional, puede pedirle que se identifique con su documento acreditativo de identidad, pero no puede fotografiarlo, salvo que concurran circunstancias excepcionales.
El 20 de marzo de 2021 se convocó en Madrid una manifestación en señal de protesta por la entrada en prisión del rapero Pablo Hasél. La mayoría de los asistentes fueron identificados por los agentes de las FCSE, que usaron teléfonos móviles para capturar una imagen de los documentos de identidad. Tras la denuncia de tres afectados, la AEPD se pronunció en la resolución del PS/00470/2021, estableciendo que los agentes de las FCSE no pueden fotografiar los documentos de identidad, salvo circunstancias excepcionales (por ejemplo, por razones sanitarias, como una pandemia).
Si no concurren «circunstancias excepcionales» que justifiquen capturar la imagen del documento de identidad, y no es fácil que estas concurran, ningún funcionario puede fotografiar dicho documento. Además el dispositivo móvil que use para fotografiarlo debe pertenecer a la Administración actuante.
Para concluir, quisiera compartir un artículo de Manel Santilari Barnach, publicado por CEFI en Instituto de Derecho y Ética, titulado: El tratamiento del Documento Nacional de Identidad: normativa aplicable e interpretación de la AEPD.
—
Actualización
En 2023, la AEPD multó con 20.000 €, por infracción del artículo 5.1.c) del RGPD, a una clínica dental tras exigir a un paciente copia de su DNI para tramitar el reintegro de cantidades. Dejo enlazada aquí la resolución. Al mismo tiempo, le impuso una multa de 10.000 €, por infracción del artículo 38 del RGPD, por no trasladar al delegado de protección de datos la reclamación dirigida a este por la reclamante.
Ese mismo año, multó con 20.000 €, por infracción del artículo 5.1.c) del RGPD, a una empresa organizadora de conciertos por exigir la cumplimentación del documento de acceso a menores de 16 años y una fotocopia del DNI. Dejo enlazada aquí la resolución.
También en 2023, multó con 100.000 € a Atrium Lex por infracción de los artículos 13 y 32.1 del RGPD. La empresa gestiona proyectos inmobiliarios en los que participan distintos inversores. Para solicitar información de los proyectos, se exigía al inversor copia del DNI. Dejo enlazada aquí la resolución.
En 2024, multó con 3.000 € a EDA TV Consulting, S.L. por exigir una copia del DNI para el ejercicio de derechos de los interesados, considerándolo un tratamiento excesivo. Dejo enlazada aquí la resolución.
