Nos hemos acostumbrado a que nos pidan el DNI, a que hagan fotocopias de él o a tener que enviar fotografías de este para cualquier trámite o compra online o presencial. Pero… ¿hasta qué punto esto afecta a nuestra privacidad y pone en riesgo la protección de nuestros datos personales?
Lo cierto es que hemos normalizado tanto este acto, que no ponemos ninguna medida de seguridad, ni nos planteamos el riesgo que puede suponer el hacerlo para cualquier acción como realizar un pedido online, poner una reclamación, hacer una reserva o contratar servicios online.
Esto ha llevado a confusiones y a un aumento de cibercrímenes, ya que muchas veces ni siquiera nos planteamos quién nos está solicitando estos datos o si es legal o no.
Por eso, tanto si eres una empresa como si eres un particular, te recomendamos que empieces a tomar conciencia sobre la protección de los datos de carácter personal y siempre que envíes o solicites un DNI sea por motivos necesarios y a empresas de confianza.
Proteger la privacidad del DNI
Todavía existe una mala práctica que viene de la derogada normativa española de protección de datos, que establecía que para ejercer los derechos se debía entregar una fotocopia del Documento Nacional de Identidad, pasaporte o cualquier otro documento para identificarle. Es por eso por lo que muchas empresas, hoteles o compañías siguen utilizo este procedimiento antiguo.
La copia de un DNI contiene muchos datos personales sensibles, como pueden ser la fotografía, el nombre de los padres de esa persona o el lugar de nacimiento. Estos datos pueden ser tratados de forma delictiva, para cometer una suplantación de identidad o un fraude.
Por ejemplo, últimamente ha habido muchos robos de datos para abrir una cuenta bancaria a nombre del afectado o para solicitar préstamos, lo que comporta un gran problema.
Es por eso que la Agencia Española de Protección de Datos (AEPD) ha decidido frenar la práctica de que las empresas sigan pidiendo copias del DNI para identificar a los ciudadanos y realizar cualquier trámite.
Este informe llega después de que en estos últimos meses haya habido varias resoluciones de la AEPD donde se sancionaban a empresas que solicitaban copias del DNI a sus clientes, sin cumplir con la normativa europea y española de protección de datos.
Por ejemplo, el expediente Nº: PS/00499/2022 que se resolvió hace poco, sancionaba a una empresa con 25.000€ por solicitar una copia de los DNI de los ocupantes del inmueble, para realizar el check-in, a través de la aplicación de Airbnb. La AEPD en la resolución destacaba que eran datos excesivos y que no eran necesarios para prestar el servicio de alquiler de la estancia vacacional, ni para registrar a las personas que se alojan en este.
Evidentemente, los sectores que más utilizaban este método, como son el turístico, financiero, seguros y telecomunicaciones, se vieron en riesgo ante estas sanciones y es por este motivo que la AEPD ha visto necesario crear el Informe 48/2023.
Informe 48/2023 de la AEPD sobre las copias del DNI
La AEPD, siendo consciente de que en algunos casos será necesario pedir una copia del DNI para verificar la identidad de las personas, ha ido acotando posibles situaciones que las empresas se pueden encontrar en este informe 48/2023.
En el informe 48/2023 la AEPD incide en unos criterios generales que deberán aplicar todas las entidades, pero cada entidad será responsable de decidir y afrontar cada caso concreto, valorando si es necesario o no exigir la copia del DNI o el tratamiento de los datos de este.
Además, la entidad también será responsable de las medidas de seguridad y protección que se apliquen al hacer este tratamiento, como también de hacer el análisis correspondiente y documentarlo para que en el caso de haber una inspección o reclamación se pueda justificar.
La AEPD considera que solo se deberá recoger la información del DNI que sea necesaria para confirmar la identidad del sujeto, y que la copia del DNI es un tratamiento excesivo. Por tanto, podrá ser debidamente sancionado.
En el caso necesario de recoger una copia del DNI se deberá analizar “multitud de aspectos, que van desde la base jurídica que legitima dicho tratamiento, sobre todo si está previsto en la ley, hasta el riesgo de dicho tratamiento”.
Los datos de carácter personal recabados serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados, y se realizará el tratamiento de estos con una finalidad concreta y por el plazo de tiempo necesario.
Estas son algunas de las cuestiones que plantea este informe:
- En la entrega de productos de operadores de telecomunicaciones o entidades financieras, a través de mensajería o paquetería, se podrá solicitar el DNI en estos casos:
- Entrega de bienes adquiridos mediante financiación (para cumplir con la normativa de prevención de blanqueo de capitales).
- Entrega de duplicados de tarjetas SIM.
- Entrega de dispositivos móviles.
- Si el responsable del tratamiento tiene motivos razonables para dudar de la identidad de la persona solicitante, podrá solicitar más información o confirmar su identidad mediante el DNI. Pero este no podrá recoger más datos de los necesarios para la identificación.
- Si una persona solicita el acceso a sus datos, el responsable del tratamiento deberá aplicar un procedimiento de autenticación para verificar su identidad y para garantizar la seguridad del tratamiento. El método para la autenticación debe ser pertinente, adecuado, proporcionado y respetando el principio de minimización de datos.
- Si el responsable del tratamiento impone medidas graves para identificar al interesado, deberá justificarlo y garantizar el cumplimiento de todos los principios, la minimización de los datos y facilitar el ejercicio de los derechos de los interesados.
- La utilización de una copia del DNI para el proceso de autenticación crea un riesgo para la seguridad de los datos personales y se considera inadecuada, salvo que sea estrictamente necesario.
Si tienes una empresa y no sabes si puedes seguir haciendo copias del DNI o no en tus procedimientos, contacta con nuestras abogadas y te ayudarán a resolver tus dudas.
El equipo de PymeLegal.
