H. Montare consultores

Protección de datos. La identificación de las personas mediante el DNI. Una distinción vital

Protección de datos. La identificación de las personas mediante el DNI. Una distinción vital

La protección de datos, en un mundo dominado por la digitalización y, el intercambio constante de información, se ha convertido en una cuestión de vital importancia. Dentro de este contexto, una frase destaca: «Identificar no significa copiar». Aunque a simple vista, puede parecer una declaración obvia, esta encierra un principio fundamental contenido tanto en el RGPD (Reglamento General de Protección de Datos Personales RGPD), como en la LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y, garantía de los derechos digitales) y, que la Agencia Española de Protección de Datos (AEPD) ha subrayado. El principio referido es el principio de minimización de los datos personales.

 

La minimización de los datos personales

El Reglamento General de Protección de Datos (RGPD) establece varios principios, entre los que destaca el principio de minimización. Este se refiere a la idea que sólo deben recopilarse y, procesarse los datos personales que sean estrictamente necesarios para cumplir con un propósito específico. La idea es simple: no solicitar, almacenar o procesar más datos de los absolutamente esenciales.

 

Aplicando este principio al Documento Nacional de Identidad (DNI), se evidencia un problema común: el DNI alberga una variedad de información personal. Desde el nombre completo, pasando por la fecha y, lugar de nacimiento, hasta la dirección actual y, otros datos sensibles. En muchos escenarios, toda esta información es excesiva para el mero acto de identificación.

 

El DNI en el ojo del huracán

El Documento Nacional de Identidad (DNI) es un instrumento esencial en la vida cotidiana de las personas, ya que acredita la identidad y, nacionalidad de su titular. Dada su relevancia, no es sorprendente que diversas entidades, tanto públicas como privadas, lo soliciten como parte de sus protocolos de identificación.

 

El acto de requerir el DNI para verificar la identidad de una persona es una práctica común y, justificada en muchos contextos, desde realizar trámites bancarios hasta inscribirse en un nuevo curso de formación. Es una manera de asegurarse que la persona que realiza una acción o solicitud es efectivamente quien dice ser.

 

Sin embargo, aquí es donde surge un problema frecuente y, preocupante: muchas organizaciones y, empresas van más allá de la simple verificación y, deciden hacer una copia, ya sea física o digital del DNI. Esto puede ser el resultado de un malentendido, creyendo que poseer una copia del documento aporta una capa adicional de seguridad o autenticidad al proceso, pero en la mayoría de los casos, se realiza «porque siempre se ha hecho así» o por «comodidad».

 

Pero la realidad es que la mera identificación no justifica la copia total del documento. Almacenar copias del DNI sin una razón legítima y, sin las medidas de protección adecuadas puede exponer a las organizaciones a riesgos de seguridad, tales como brechas de datos o el uso indebido de información personal. Además, esta práctica supone una violación de la normativa de protección de datos personales, como la sanción a una importante empresa de reclutamiento (recruiment) por solicitar el DNI del interesado para ejercer el derecho de acceso.

 

En numerosas ocasiones, la Agencia Española de Protección de Datos (AEPD) ha emitido resoluciones sobre situaciones donde se pedía una copia del DNI, considerando que era innecesario desde su perspectiva como recientemente se manifestó sobre las prácticas de las empresas de mensajería, específicamente cuando se trata de «entregar productos mediante financiación para cumplir la normativa de prevención de blanqueo de capitales; al proporcionar duplicados de tarjetas SIM y, al entregar dispositivos móviles.

En consecuencia, es crucial entender la diferencia entre verificar la identidad y, almacenar información del DNI innecesariamente. La primera es una medida necesaria para garantizar la autenticidad de una transacción o interacción; la segunda puede ser una invasión de la privacidad y, un riesgo para la seguridad de los datos.

 

Riesgos asociados a la copia indiscriminada del DNI

Los peligros de capturar y, almacenar copias del DNI van más allá de la simple violación del principio de minimización del RGPD. Almacenar o procesar de forma inapropiada copias del DNI abre la puerta a:

 

  • Fines fraudulentos: Con la suficiente información, actores maliciosos pueden realizar compras, abrir cuentas bancarias o incluso solicitar créditos en nombre de otra persona.
  • Robo de identidad: Va de la mano con el fraude, permitiendo a terceros actuar en representación de la víctima, como en el caso de BBVA que fue sancionada con 70.000 € por la AEPD por no verificar correctamente la identidad de un cliente. «La persona afectada perdió su DNI y, un individuo desconocido se presentó en una sucursal del banco haciéndose pasar por ella. El trabajador del banco le entregó todo lo disponible en cuenta sin verificar que la persona que estaba retirando los fondos, no se correspondía con la persona que aparecía en el documento de identificación.»
  • Estafas: A través de técnicas como el phishing, se pueden engañar a las personas utilizando la información obtenida del DNI.
  • Exposición en brechas de seguridad: Las bases de datos con copias de DNI son un blanco atractivo para ciberataques y, una filtración puede exponer a miles o millones de personas.

 

Legalidad y proporcionalidad en el uso del DNI

El Documento Nacional de Identidad (DNI) es un documento oficial que acredita la identidad y, nacionalidad de los ciudadanos españoles, como se ha comentado anteriormente. Por sus características, este documento contiene información personal sensible y, su uso indebido puede llevar a la violación de derechos fundamentales, como la privacidad.

 

Es común que, en muchos ámbitos, se solicite una copia del DNI, ya sea para realizar trámites, verificar identidad, o por cuestiones de seguridad. Sin embargo, no en todos los casos es legal o necesario requerir una fotocopia de este documento. La Agencia Española de Protección de Datos (AEPD) ha enfatizado que, antes de solicitar una copia del DNI, es imprescindible que exista una base legal sólida que justifique tal requerimiento.

 

Más allá de la legalidad, entra en juego el principio de proporcionalidad. Esto significa que las organizaciones, empresas o entidades deben evaluar si realmente es esencial obtener una copia completa del DNI o si, por el contrario, es suficiente con verificar ciertos datos del documento para cumplir con el propósito que se persigue. Por ejemplo, en muchos casos, basta con comprobar el nombre, apellidos y, número de DNI, sin necesidad de acceder a otros datos más sensibles o hacer una copia íntegra.

 

En relación a esto, es importante mencionar el Real Decreto 522/2006, de 28 de abril. Esta normativa suprime la obligatoriedad de aportar fotocopias de documentos de identidad en los procedimientos administrativos de la Administración General del Estado y, de sus Organismos Públicos vinculados o dependientes. Con esta medida, se busca simplificar los trámites administrativos, proteger la privacidad de los ciudadanos y, evitar posibles usos indebidos de la información contenida en los DNI.

 

La era digital ha transformado la manera en que se comparten y, se conserva la información. A medida que se avanza en la actual era tecnológica, se vuelve crucial tratar documentos como el DNI con suma precaución, respeto y, cumpliendo con la normativa de protección de datos, es necesario, por tanto, actuar con sensatez y, responsabilidad. Al final del día, resguardar la identidad de cada persona y, la de aquellos que nos rodean es una responsabilidad compartida.

 

Practicidad vs Privacidad: quedan descartadas las fotocopias del DNI

La Agencia Española de Protección de Datos, en adelante AEPD, ha determinado que la solicitud por defecto de una fotocopia del Documento Nacional de Identidad o DNI, puede constituir una práctica injustificada e impertinente.

 

La decisión se enmarca en el contexto de atención de solicitudes de ejercicio de derechos de los interesados, exigiéndose dicha fotocopia, como requisito previo, a efectos de verificar la identidad del solicitante.

 

Cada vez son más las autoridades europeas que se pronuncian en un sentido idéntico. Estas resoluciones tienen especial repercusión en España, donde el uso del número del Documento Nacional para identificarse constituye una práctica habitual muy extendida.

 

Recientemente, varias Autoridades europeas han sancionado a determinadas entidades por solicitar, por defecto, la remisión de una fotocopia del DNI del interesado, cuando este trataba de ejercitar su derecho de acceso, rectificación o supresión, entre otros, reconocidos por el Reglamento (UE) General de Protección de Datos (RGPD). La principal preocupación en estas resoluciones reside en la denegación o desatención al ejercicio de los derechos de los interesados, cuando los mismos no remitían dicha fotocopia del DNI.

 

A criterio de la AEPD, este procedimiento podría constituir una conducta obstativa, existiendo otros métodos más efectivos y, menos intrusivos para verificar la identidad del solicitante.

 

Se trata de una preocupación fundada, ya que el ejercicio de tales derechos integra el núcleo de la protección de datos. Esto es, el llamado habeas data, cuya finalidad es otorgar a los interesados el poder de disposición y, control sobre sus datos personales.

 

Ahora bien, ¿cuándo es «proporcional» exigir una fotocopia del DNI para atender las solicitudes de ejercicio de derechos de los interesados?

 

En los procedimientos de solicitud de ejercicio de derechos, los responsables del tratamiento deben implementar mecanismos y, fórmulas para facilitar al interesado el ejercicio de sus derechos. De este modo, la empresa habría de llevar a cabo, de forma gratuita y, con un intervalo de tiempo razonable, el ejercicio de cualesquiera de sus derechos reconocidos en el Reglamento (Art.12 RGPD; considerando 59 del RGPD).

 

Además, es importante tener en cuenta que, ante una petición de ejercicio de los derechos del interesado, el responsable del tratamiento debe utilizar todas las medidas razonables para verificar la identidad de los interesados o solicitantes.

 

El razonamiento detrás de esta obligación es la protección de tales datos ante un acceso o alteración no autorizada por terceros (Art. 32 RGPD; considerando 59 del RGPD).

 

No obstante, ¿qué ocurre cuando el responsable no puede constatar fehacientemente la identidad del solicitante?, ¿podrían denegar el derecho de acceso o supresión de los datos del solicitante?

 

El Reglamento determina que, sólo cuando el responsable del tratamiento tenga dudas razonables acerca de la identidad de una persona que cursa la solicitud, el mismo podrá solicitar que se facilite la información adicional necesaria para confirmar su identidad (Art. 12.6 del RGPD).

 

De modo que, sólo cuando no sea posible identificar al interesado o solicitante, podrá el responsable denegar o desatender una solicitud de ejercicio de derechos (Art. 12.2 del RGPD), sin embargo esto ha inducido a cometer errores en las entidades sancionadas, donde, ante cualquier solicitud por parte del interesado, entendieron legítimo identificarle, no sólo con la información contenida en sus bases de datos, sino también solicitando información adicional.

 

El criterio de la Agencia Española de Protección de Datos

La AEPD apreció que una asociación exigía al usuario aportar una fotocopia del DNI para dar de baja una cuenta online. Sin embargo, para crear dicha cuenta, el usuario tan sólo tenía que introducir una dirección de correo electrónico.

Al respecto, entiende la AEPD que “si no se solicitó la identidad del reclamante para dar de alta, no se requerirá acreditación para la supresión”, “[careciendo] de sentido que sea mayor el rigor para dar de baja que el rigor que para dar de alta”.

 

En el supuesto analizado se trataría de una operación de tratamiento que no requiere identificación (Art. 11.1 del RGPD): si los fines no exigían el tratamiento del DNI, el responsable no está obligado a tratar datos adicionales con el mero fin de cumplir con el RGPD (esto es, una identificación fehaciente del interesado).

 

Este criterio se sostiene, además, en una sanción posterior, ante una agencia de reclutamiento.  Esta última, en el contexto de atender al derecho de acceso del interesado, exigía la remisión de una fotocopia del DNI para acreditar fehacientemente la identidad y, demás datos personales del interesado.

 

Dado que el interesado buscaba conocer qué datos personales estaban siendo tratados por la empresa, en referencia a un currículum vitae remitido online, la AEPD entendió que dicho tratamiento adicional era impertinente y, contrario al principio de minimización, ex Art. 5.c del RGPD.

 

El criterio de las agencias europeas de protección de datos

A nivel europeo, se han adoptado criterios y, fundamentos jurídicos similares a los planteados por la AEPD. Así, conforme a las Directrices, sobre el derecho de acceso de los interesados, el Comité Europeo de Protección de Datos (CEPD) afirma que el uso de una fotocopia de un DNI como parte del proceso de autenticación puede constituir un riesgo adicional para la seguridad de los datos personales.

 

Un riesgo fundado, además, por cuanto que el DNI exhibe más datos de los necesarios para verificar la identidad del solicitante [nombre de ascendientes (en algunos casos), nacionalidad, domicilio, fecha de nacimiento, imagen, entre otros], conlleva a la posibilidad de un tratamiento no autorizado o ilícitos por parte de terceros, debiendo de considerarse inapropiado, salvo cuando sea estrictamente necesario, adecuado y, se ajuste a la legislación nacional.

 

En línea con lo anterior, la CEPD advierte que, la solicitud de una fotocopia del documento de identidad es desproporcional cuando el responsable pueda verificar la identidad a través del registro de la cuenta online (usuario y, contraseña), o un proceso de doble autentificación mediante correo electrónico.

 

Por su parte, la Agencia de Protección de Datos Neerlandesa, impuso una sanción de 525.000 € a una sociedad que tenía como requisito obligatorio para el ejercicio de los derechos de acceso y, supresión de los interesados, la remisión de una fotocopia del documento de identificación de la citada nacionalidad. La empresa, ante la falta de aportación y/o negativa de varios interesados a remitir una copia de su DNI, negaba o no tomaba en consideración la solicitud de ejercicio de los derechos de acceso y, supresión. En su decisión, la autoridad neerlandesa consideró que el citado procedimiento no cumplía con los principios relativos al tratamiento (Art. 5 del RGPD).

 

De esta manera, la solicitud (por defecto) de una fotocopia del DNI para el ejercicio de derechos a través del formulario web, constituía una práctica que dificultaba y, obstaculizaba el ejercicio de derechos de los interesados. Afirma la autoridad que la identidad del usuario pudo acreditarse a través de un método menos intrusivo. A tal efecto, cita a título ejemplificativo, la posibilidad de contrastar la identidad del solicitante mediante la combinación de:

 

  • Un número de abonado/cliente, con su nombre y, apellidos,
  • Una dirección postal y/o,
  • Una dirección de correo electrónico del interesado, alternativamente.

 

La Agencia de Protección de Datos Francesa (CNIL) abogó por el mismo fundamento. La regla general -al menos, en el contexto de servicios online- debe ser la identificación del interesado mediante su número de cliente o abonado (en conjunción con su nombre y, dirección, por ejemplo) o su cuenta online (con un usuario y, una contraseña).

 

En consecuencia, la fotocopia del DNI sólo podrá solicitarse en supuestos excepcionales, cuando el responsable tenga dudas razonables sobre la identidad del interesado o solicitante.

 

Si se tiene previsto la remisión de una fotocopia del DNI como práctica estándar para la atención de los derechos del interesado, ¿cómo debería procederse?

 

Para poder dar respuesta a si la solicitud de una fotocopia del DNI es pertinente para atender a las solicitudes de ejercicios de derechos, deberían tenerse en cuenta todos los factores involucrados en el tratamiento de datos personales: el sector de la organización, el tipo de datos recabados y, la finalidad del tratamiento al que se refiere la petición del ejercicio de derechos.

En cualquier caso, a la luz de las resoluciones citadas, queda patente que la AEPD pretende desincentivar la solicitud de una fotocopia del DNI por defecto y, ante cualquier tipo de supuesto o petición, siempre que existan otras fórmulas o mecanismos menos intrusivas para tal fin.

 

De modo que, aun cuando el responsable tenga que verificar la identidad del interesado y, deba para ello, solicitar datos personales adicionales, los mismos deberán de respetar, indudablemente, el principio de minimización, proporcionalidad y, subsidiariedad (Art. 5 del RGPD).​

 

De manera que, en el caso de ser necesario recoger una copia del DNI, se deberán analizar “multitud de aspectos, que van desde la base jurídica que legitima dicho tratamiento, sobre todo si está previsto en la ley, hasta el riesgo de dicho tratamiento”.

 

Los datos de carácter personal recabados serán adecuados, pertinentes y, limitados a lo necesario en relación con los fines para los que son tratados y, se realizará el tratamiento de los mismos con una finalidad concreta y, por el plazo de tiempo necesario.

 

Algunas de las cuestiones planteadas por la AEPD

En la entrega de productos de operadores de telecomunicaciones o entidades financieras, a través de mensajería o paquetería, se podrá solicitar el DNI en los siguientes casos:

 

  • Entrega de bienes adquiridos mediante financiación (para cumplir con la normativa de prevención de blanqueo de capitales).
  • Entrega de duplicados de tarjetas SIM.
  • Entrega de dispositivos móviles.

 

Sin embargo el responsable del tratamiento no podrá recoger más datos de los necesarios para la identificación del interesado.

 

Buenas prácticas y recomendaciones

Para las organizaciones y, empresas, es de vital importancia adoptar buenas prácticas en el manejo del DNI, por lo que se deberán tener en cuenta las siguientes premisas:

 

  • Limitar la recopilación: Solo solicitar una copia del DNI cuando sea estrictamente necesario y, haya una base legal para ello.
  • Proteger las copias: Si se tiene que almacenar una copia del DNI, garantizar que esté debidamente protegida, utilizando medidas de seguridad adecuadas.
  • Destruir las copias innecesarias: Una vez que ya no se necesite la copia del DNI, debe ser destruida de forma segura para evitar posibles filtraciones.

 

Conclusiones:

Si una persona solicita el acceso a sus datos, el responsable del tratamiento deberá aplicar un procedimiento de autenticación para verificar su identidad y, para garantizar la seguridad del tratamiento. El método para la autenticación debe ser pertinente, adecuado, proporcionado y, respetando el principio de minimización de datos.

 

Si el responsable del tratamiento impone medidas complejas para identificar al interesado, deberá justificarlo y, garantizar el cumplimiento de todos los principios, la minimización de los datos y, facilitar el ejercicio de los derechos

de los interesados.

 

La utilización de una copia del DNI para el proceso de autenticación crea un riesgo para la seguridad de los datos personales y, se considera inadecuada, salvo que sea estrictamente necesario, de manera que, exceptuando que el responsable del tratamiento tenga motivos razonables para dudar de la identidad de la persona solicitante, lo cual exija tener copia del DNI.

 

Se aconseja no solicitar dicha copia y, confirmar la identidad del interesado por otros medios, por ejemplo:

 

  • Utilizando el número de abonado/cliente, en conjunción con su nombre y, dirección postal.
  • Utilizando la dirección de correo electrónico, entendiéndose que una dirección de email es un dato personal.
  • Empleando una cuenta online (que disponga de usuario y, contraseña).

También podría interesarle: