Últimamente, la Agencia Española de Protección de Datos (AEPD) ha intensificado su actividad sancionadora contra empresas y entidades que recopilan copias del Documento Nacional de Identidad de sus clientes sin una justificación legal adecuada.
Esta práctica puede vulnerar el principio de minimización de datos recogido en el Reglamento General de Protección de Datos (RGPD), y conllevar sanciones significativas.
¿Qué establece el RGPD? El principio de minimización de datos
El artículo 5.1.c) del RGPD obliga a que el tratamiento de datos personales sea “adecuado, pertinente y limitado a lo necesario en relación con los fines para los que son tratados”. La obtención y conservación de una fotocopia del DNI, salvo que esté legalmente justificada, se considera desproporcionada, y por tanto, sancionable.
El principal incumplimiento de este principio, viene dado porque en el DNI se recogen gran cantidad de datos, que por norma general no son los necesarios. Recordemos que en él, aparecen no solo el nombre, apellido, número de identificación y domicilio, sino que además aparecen sexo, firma manuscrita, fecha de expedición, fecha de validez, entre otros.
Sanciones impuestas por la AEPD y otras autoridades de control
Entre los casos recientes, destaca la sanción impuesta a un hotel en Cantabria, que fue multado por exigir a un cliente la entrega de una fotocopia de su DNI en el momento del registro. La Agencia Española de Protección de Datos (AEPD) consideró que dicha exigencia era desproporcionada, puesto que el establecimiento únicamente necesitaba verificar determinados datos identificativos, sin que fuera necesario conservar una copia del documento.
Otro caso relevante fue el de la empresa Orange España, que recibió una sanción por requerir la fotocopia del DNI a sus clientes durante la entrega de paquetes. Aunque la compañía alegó que contaba con el consentimiento expreso de los afectados, la AEPD determinó que dicha práctica vulneraba el principio de minimización, por considerarse excesiva y carente de una base jurídica adecuada.
En el ámbito sanitario, una clínica dental fue sancionada por exigir la presentación de una fotocopia del DNI como requisito para tramitar un reembolso económico. La AEPD consideró que dicha solicitud excedía lo estrictamente necesario, y que la identidad del cliente podría haberse verificado mediante medios menos invasivos y más respetuosos con la normativa vigente.
Prácticas contrarias a la normativa de protección de datos
A la luz de estos precedentes, deben considerarse prácticas contrarias al RGPD aquellas que; impliquen la fotocopia o escaneo del DNI sin una causa legal justificada, la solicitud del número de tarjeta bancaria en ausencia de una transacción económica que lo requiera, el almacenamiento de información financiera sin el consentimiento expreso del interesado o la exigencia de presentar el reverso del DNI sin que exista una necesidad concreta que lo ampare.
Cabe mencionar que, según el artículo 83 del RGPD, las infracciones de este tipo pueden ser castigadas con multas que ascienden hasta el 4% de la facturación anual global de la organización o 20 millones de euros, lo que sea mayor, dependiendo de la gravedad de la infracción.
Recomendaciones y alternativas legales
Se recomienda, por regla general y siempre que sea posible, optar por la verificación visual del documento, sin conservar copia alguna.
En los casos en que sea estrictamente necesario obtener una copia por razones internas o de seguridad, debe recabarse el consentimiento expreso, libre, informado y revocable del interesado.
Además, pueden emplearse soluciones tecnológicas que permitan verificar la identidad sin almacenar documentos, y en caso de recogerlos, asegurarse de su destrucción inmediata tras cumplir la finalidad, evitando cualquier conservación innecesaria.
Toda organización que recopile el DNI de sus clientes debe analizar si dicha práctica es legal, necesaria y proporcionada. En caso contrario, se arriesga a sanciones como las de los casos mencionados e imposición de multas considerables.
Recomendamos realizar un control interno de los procedimientos de recogida de datos personales, revisar las bases legales que los sustentan y, si es necesario, implementar alternativas menos invasivas.
El cumplimiento del RGPD no solo es una obligación legal, sino una garantía de confianza para sus clientes.