El Documento Nacional de Identidad (DNI) contempla numerosos datos personales, como el nombre y apellidos, el rostro, el lugar y fecha de nacimiento, el domicilio, los nombres del padre y la madre y la firma del titular.
El «DNI 4.0» incorpora un microchip que permite almacenar datos personales del titular, en concreto, una imagen facial, dos impresiones dactilares, la firma electrónica y el certificado de autenticación.
El caso que es que la AEPD ha decidido frenar a las empresas que, de forma indiscriminada, piden copia o fotografían el DNI a efectos de identificación. La mayor sanción fue impuesta a la empresa ORANGE ESPAGNE SAU por importe de 100.000 €. Para hacer entrega de los paquetes a sus destinatarios, la empresa imponía como condición necesaria realizar una fotografía del anverso y reverso del DNI del destinatario. El empleado tomaba con su terminal móvil la imagen en el momento de la entrega para, posteriormente, cederla a la empresa que remitió el paquete. Dejo enlazada aquí la resolución correspondiente.
El informe 48/2023 del Gabinete Jurídico de la AEPD viene a responder a la práctica de las empresas de mensajería, si bien sus conclusiones son de aplicación general. No facilita medidas concretas para tratamientos específicos del DNI. El responsable del tratamiento será quien, al afrontar los posibles casos de usos concretos que se le presenten, valore si procede exigir el DNI y, en su caso, copia y qué medidas de protección debe aplicar en virtud del principio de responsabilidad proactiva. El informe referenciado viene a completar a los informes 49/2004, 11/2020, 64/2020, 88/2020, 41/2021, 78/2022 y 7/2023.
La AEPD basa su informe en las Directrices 1/2022, de 28 de marzo de 2023 del Comité Europeo de Protección de Datos, según las cuales, si el responsable del tratamiento tiene motivos razonables para dudar de la identidad de la persona solicitante podrá pedirle información adicional. No obstante, debe asegurarse de no recoger más datos personales de los estrictamente necesarios para permitir su identificación, debiendo garantizar un nivel adecuado de seguridad.
El Comité Europeo de Protección de Datos advierte que el tratamiento de una copia de un documento de identidad, como parte del proceso de autenticación, crea un riesgo para la seguridad de los datos personales, y puede dar lugar a un tratamiento no autorizado o ilícito, por lo que debe considerarse inadecuado, salvo que sea estrictamente necesario, adecuado y conforme con el derecho nacional, por ejemplo, cuando sea aplicable la normativa de prevención de blanqueo de capitales y financiación del terrorismo.
De modo que, la AEPD nos deja claro que no se puede instaurar por defecto la solicitud de copia del documento de identidad. Habrá que explorar alternativas menos invasivas para identificar a una persona, por ejemplo, pedirle que nos confirme la dirección de correo electrónico o el número de teléfono que consta en su ficha de cliente.
Si, de forma excepcional, porque las circunstancias lo requieran, solicitan la copia de un documento de identidad, pidan a su titular que borre o difumine en el anverso el sexo, la nacionalidad, la fecha de nacimiento y la firma y en el reverso el domicilio, el lugar de nacimiento y los nombres de los padres, pues dichos datos no son necesarios para identificar a una persona. Para identificar a una persona basta el nombre y apellidos, el número del documento y la fotografía, aunque insisto en que se pida sólo en circunstancias excepcionales.
Petición por parte de funcionarios y empleados públicos
Cualquier funcionario, en el ejercicio de sus funciones, pongamos por caso un Inspector de la Agencia Tributaria, un Inspector de Trabajo o un agente de la Policía Nacional, puede pedirle que se identifique con su documento acreditativo de identidad, pero no puede fotografiarlo, salvo que concurran circunstancias excepcionales.
El 20 de marzo de 2021 se convocó en Madrid una manifestación en señal de protesta por la entrada en prisión del rapero Pablo Hasél. La mayoría de los asistentes fueron identificados por los agentes de las FCSE, que usaron teléfonos móviles para capturar una imagen de los documentos de identidad. Tras la denuncia de tres afectados, la AEPD se pronunció en la resolución del PS/00470/2021, estableciendo que los agentes de las FCSE no pueden fotografiar los documentos de identidad, salvo circunstancias excepcionales (por ejemplo, por razones sanitarias, como una pandemia).
Si no concurren «circunstancias excepcionales» que justifiquen capturar la imagen del documento de identidad, y no es fácil que éstas concurran, ningún funcionario puede fotografiar dicho documento. Además el dispositivo móvil que use para fotografiarlo debe pertenecer a la Administración actuante.
—
Actualización
La AEPD sanciona con multa de 20.000 €, por la infracción del artículo 5.1.c) del RGPD, a una clínica dental por exigir a un paciente copia de su DNI para tramitar el reintegro de cantidades. Dejo enlazada aquí la resolución. Al mismo tiempo, le impone una multa de 10.000 €, por la infracción del artículo 38 del RGPD, por no trasladar al delegado de protección de datos la reclamación dirigida a éste por la reclamante.
La AEPD sanciona con multa de 20.000 €, por la infracción del artículo 5.1.c) del RGPD, a una empresa organizadora de conciertos por exigir la cumplimentación del documento de acceso a menores de 16 años y una fotocopia del DNI. Dejo enlazada aquí la resolución.
