La AEPD advierte que perseguirá el uso indiscriminado que hacen las empresas de las copias del DNI de terceros

La Agencia Española de Protección de Datos (AEPD) ha decidido frenar la práctica de que las empresas pidan copias de DNI para identificar a los ciudadanos por cualquier cuestión. El informe 48/2023 hace un análisis de una costumbre que el regulador pretende que se reduzca al máximo.

Y es que como señalan algunos de los expertos consultados por Economist & Jurist, la copia del DNI tiene muchos datos sensibles personales como es la foto, el lugar de nacimiento de esa persona, el nombre de los padres de esa persona que podrían utilizarse en actividades delictivas o de suplantaciones.

De hecho, ese uso abusivo de las copias del DNI está produciendo que los delitos de suplantación de identidad o de fraude estén creciendo y muchos ciudadanos observan cómo se utilizan esos datos para abrir una cuenta en su nombre, con el consiguiente destrozo económico que cometen.

Existe una tradición heredada de la derogada normativa española de protección de datos, que establecía como procedimiento oficial para el ejercicio de derechos la obligatoria entrega de una fotocopia del Documento Nacional de Identidad, pasaporte u otro documento válido que identificase al solicitante. Por tanto, no es de extrañar que muchas compañías sigan solicitando fotocopias de DNI como parte de su proceso habitual de identificación de clientes o usuarios.

Por ello, la AEPD ha ido acotando y condicionando los supuestos en los que un tercero que no es su titular puede requerir o tratar dicho documento. El último de sus pronunciamientos al respecto lo encontramos en su reciente Informe 48/2023.

Para Ruth Benito, of Counsen de Elzaburu y responsable del área de Estrategia y Gestión de Datos Personales “en este informe, la AEPD no facilita medidas concretas para tratamientos específicos del Documento Nacional de Identidad puesto que, en virtud del principio de responsabilidad proactiva consagrado en el Reglamento General de Protección de Datos, cada entidad será quien, al afrontar los posibles casos de uso concretos que se le presenten, deberá valorar si es procedente o no exigir y/o tratar el número y/o copia del DNI y, en su caso, qué medidas de protección deba aplicar al respecto”.

Ruth Benito, of Counsen de Elzaburu. (Foto: Elzaburu)

“Lo que hace la AEPD en este último informe es incidir en unos criterios generales o básicos que deben ser seguidos por las entidades cuando se plantee alguna de estas situaciones”, aclara.

Sobre dichos criterios generales hay que señalar que, en primer lugar, la solicitud del número o copia del DNI no puede instaurarse por defecto o sistema, siendo necesario analizar caso por caso. Al mismo tiempo, el número del DNI, aunque no sea uno de los datos clasificados en el RGPD como de categoría especial, sí es un dato sensible, puesto que su mal uso o abuso puede generar efectos desfavorables para su titular”.

Martín recuerda que la AEPD en este informe destaca que “salvo que la norma lo prevea expresamente y no exista otra alternativa menos invasiva para identificar a una persona, el uso del DNI puede resultar excesivo e innecesario para cumplir la finalidad de identificación, por tanto, si existen otras medidas menos gravosas que cumplen con el fin de identificación, lo recomendable es abstenerse de usar el DNI”.

“En definitiva, habrá que ir analizando caso por caso el posible uso del DNI e incluso cuando resulte procedente pedir una copia del DNI, pero algunos de los datos en él contenidos no sea necesarios, conviene instruir a su titular de forma que éste pueda aportar copia sólo de la parte del DNI que sea precisa, como por ejemplo excluir, tapar, difuminar o pixelar la fotografía, el reverso, la fecha de validez o la firma)”, destaca esta jurista.

Al mismo tiempo, subraya que otros informes y resoluciones emitidos por la AEPD se refieren a algunos supuestos específicos de uso del DNI. Así, por ejemplo, “en relación con actividades de prevención de blanqueo de capitales y financiación del terrorismo, la Agencia ya ha indicado que sí cabe requerir copia del DNI, pues la propia normativa sobre la materia así lo contempla”.

También comenta que “en la publicación de actos administrativos en los que se deba identificar a los afectados, el número del DNI no puede aparecer completo, sino que se revelarán aleatoriamente cuatro de sus cifras numéricas, tal como establece la disposición adicional séptima de nuestra actual Ley Orgánica de Protección de Datos”.

Esta experta recuerda que “en relación con el sector hotelero, la AEPD en un reciente procedimiento sancionador consideró injustificado que una empresa de alquiler de apartamentos a través de Airbnb requiriera, entre otros datos, el envío de las fotografías del DNI, por ambas caras, de todas las personas que se alojarían en el inmueble”.

“El motivo es que, a pesar de que la normativa exige a dichas empresas facilitar a la policía algunos de los datos que figuran en el DNI, lo cierto es que no se necesitan todos los datos que aparecen en dicho documento y la multa en este caso fue de 25.000 euros”, aclara.

Para esta experta en privacidad, “por último, aunque es práctica generalizada y derivada de la normativa anterior al RGPD, tampoco es correcto requerir por sistema el DNI como método de identificación de los interesados cuando éstos ejercitan cualquiera de sus derechos de protección de datos (acceso, rectificación, supresión, etc.), sino que sólo podrá ser requerido si no existe ningún otro medio de identificación del interesado que sea menos intrusivo”.

“De hecho, son varias las sanciones impuestas por la AEPD por esta práctica, algunas de ellas llegando a superar los 200.000 euros, dado el volumen de operaciones y el nivel de facturación del responsable”, comenta.

Hay que cambiar la forma de funcionar

Por su parte, Eduard Blasi, abogado y vicepresidente tercero de la Asociación Profesional Española de la Privacidad (APEP) destaca que la AEPD ha recordado recientemente la sensibilidad de los datos recogidos en el DNI. Históricamente, el DNI se ha recabado de forma habitual por parte de muchas empresas, a veces como un mero trámite implantado por defecto y carente de sentido o necesidad.

“Ciertamente, la AEPD ha abierto estos últimos años varios expedientes sancionadores a responsables que han solicitado la copia del DNI a la hora de identificarse para ejercer determinados derechos, cuando no resultaba necesario para verificar la identidad del sujeto”, comenta.

Eduard Blasi, abogado y vicepresidente tercero de la Asociación Profesional Española de la Privacidad. (Foto: APEP)

Desde su punto de vista, “en el pasado, han sido varias las autoridades de control que han advertido de los riesgos a la hora de facilitar o compartir el DNI. Por nombrar algunos de los principales, con el uso indebido del DNI se puede suplantar la identidad y dar de alta contratos con nuestro nombre”.

Junto a ellos Blasi también señala que “en la medida en que resulta a veces el único medio para verificar la identidad, se pueden realizar algunos trámites telefónicos con algunas empresas. Por otra parte, determinados ciberdelincuentes podrían llevar a cabo la estafa del SIM swapping (duplicado de la tarjeta SIM) con este dato”.

Este abogado revela que “si bien existe el principio de responsabilidad proactiva, donde el responsable debe adoptar y poder demostrar en todo momento las medidas de seguridad aplicadas, lo cierto es que cualquier medida no es válida ni adecuada. El principio de minimización de los datos busca que el responsable adopte medidas que garanticen la seguridad pero que resulten a la vez las menos intrusivas y proporcionadas de acuerdo con el tratamiento llevado a cabo”.

Según explica, “con todo ello, la AEPD parece haber hecho un llamamiento al sentido común, obligando a las empresas a pensárselo dos veces antes de solicitar el DNI. La realidad es que a fecha de hoy sigue habiendo muchas empresas que recogen el DNI sin necesitarlo o bien recogen copia del anverso y reverso, sin precisar la totalidad de los datos”.

Eduard Blasi cree que “es un ejercicio que sin duda deberían hacer las empresas que recojan habitualmente DNI, y en especial aquellas que contemplen procedimientos amparados en la costumbre o la praxis habitual de otros tiempos”.

A su juicio, “dar una respuesta general para todos estos casos de uso del DNI cuesta realmente. Ahora la AEPD pide una reflexión a todas las empresas que hasta ahora realizaban esta práctica si necesitan verificar la identidad del sujeto de esta forma. En algunos casos, del citado informe señalan que sería desproporcionado recogerlo. Bastaría con dar el número del DNI porque el resto del documento, con su foto, lugar de nacimiento y nombre de los padres ofrece información adicional sensible”.

Actualmente el propio regulador ha impuesto algunas sanciones importantes por ese uso excesivo. “Lo que vemos es que la protección de datos está en constante evolución. Lo que valía hace un tiempo, ahora no tiene sentido. En ese escenario el trabajo de APEP va en una doble dirección, explicar a las organizaciones esos cambios y cómo adaptarse a ellos y mantener un diálogo con la AEPD a fin de que les llegue la voz de los profesionales y sus reivindicaciones”.

Pedir el DNI es excesivo

Para Paula Garralón asociada senior en Privacidad y Protección de Datos del despacho internacional Bird & Bird, “la posición de la Agencia Española de Protección de Datos en este sentido es muy clara; pedir este tipo de información para identificar a una persona resulta excesivo, dado que el número de DNI es una información especialmente sensible pues su uso indebido o sin las garantías suficientes puede tener múltiples efectos desfavorables para el titular de los datos”.

“Utilizar una copia de un documento de identidad como parte del proceso de autenticación crea un riesgo para la seguridad de los datos personales y puede dar lugar a un tratamiento no autorizado o ilícito, por lo que no puede instaurarse por sistema, sino que debe analizarse caso por caso”, comenta.

Paula Garralón asociada senior en Privacidad y Protección de Datos de Bird&Bird. (Foto: Bird&Bird)

A su juicio, “en casi todas las circunstancias existen medidas menos gravosas para identificar a una persona, como, por ejemplo, solicitar identificadores únicos de los que disponga la empresa y que no sean información tan sensible, como un número de teléfono, una dirección postal o incluso el envío de un código numérico o alfanumérico que debe entregar el usuario a la empresa, repartidor o funcionario que precise identificar a la persona”.

A su juicio, “además, los identificadores para confirmar la identidad sólo deben utilizarse cuando existan motivos razonables para dudar de la identidad de la persona solicitante, así lo establece la normativa de protección de datos. Por tanto, pedir información adicional no debe ser la norma sino un procedimiento excepcional”.

Esta experta en privacidad recuerda que “la AEPD ya ha sancionado a varias empresas por solicitar el DNI al interesado que ejercía un derecho de protección de datos, sanciones de miles de euros en las que la autoridad ha determinado que existían medios menos intrusivos para poder verificar la identidad del solicitante.”

“En cuanto a los repartidores a domicilio que solicitan copias o fotografías de documentos de identidad para la entrega de bienes, la Agencia también ha sancionado a una compañía por la operativa realizada en el momento de la recepción de terminarles en domicilios, entre la que se encontraba la solicitud del DNI para fotografiarlo, justificándose en la verificación de la identidad”, aclara.

Para esta jurista, “en este aspecto, la Agencia recuerda la importancia de solicitar únicamente aquellos datos estrictamente necesarios para el tratamiento, entendiendo que existen otros procedimientos de entrega de productos por los que puede verificarse la identidad del destinatario sin necesitar una fotografía del DNI. Además, señala que el DNI contiene numerosos datos personales que no son adecuados ni pertinentes para la acreditación de la persona”.

Al mismo tiempo, constata que “finalmente, otro tema controvertido es el proceso de check-in online, un trámite obligatorio para formalizar la entrega de llaves en alojamientos turísticos, en los que resulta también habitual que soliciten fotografías de documentos incluso antes de la llegada”.

Paula Garralón recuerda que “en este sentido, es preciso saber que la obligación de comunicar datos al Registro de Viajeros requiere información como el número del documento de identidad, tipo de documento, fecha de expedición del mismo (si consta), apellidos, etc. Si bien solicitar fotos o copias de los documentos resultaría en todo caso excesivo, y así lo ha manifestado la AEPD en una sanción de 75.000 euros a una empresa de alojamiento turístico en Cataluña”.