La Diputación de Pontevedra es reprendida por la Agencia de Protección de Datos por exigir y conservar una copia del DNI para reclamar una multa

La Agencia Española de Protección de Datos (AEPD) ha reprendido a la Diputación de Pontevedra por incumplir la normativa vigente en materia de protección de datos al exigir una fotocopia del Documento Nacional de Identidad (DNI) a un ciudadano que fue a reclamar una multa.

Según consta en la resolución (disponible en el botón ‘descargar resolución’), la AEPD tuvo conocimiento de los hechos a raíz de que un ciudadano pusiera una reclamación informando de que, cuando se personó en las oficinas de la Diputación para presentar un escrito de alegaciones, la persona que le atendió le indicó que para poder admitir el citado escrito era necesario que facilitase su DNI para escanearlo o entregar una fotocopia del mismo.

La Agencia dio traslado de dicha reclamación a la Diputación de Pontevedra para que ésta a su vez procediera a informar a la AEPD de las acciones llevadas a cabo para adecuarse a los requisitos previstos en el Reglamento General de Protección de Datos (RGPD).

La Diputación, por su parte, manifestó a la AEPD que en los casos de presentación presencial en una oficina de asistencia en materia de registro (OAMR), como ocurrió en este supuesto, aunque los datos del solicitante se incorporan a la solicitud, se exigía la exhibición del DNI original o de una copia que se digitalizaba y se adjuntaba a la presentación con el fin de verificar su identidad.

Asimismo, la Diputación comunicó a la Agencia que ya habían adoptado una serie de medidas para adaptarse a la normativa vigente en materia de protección de datos, como modificar el protocolo actual de incorporar una copia del DNI de las personas interesadas que se personan en las oficinas de asistencia en materia de registros del ORAL; actualizar la actuación que ha generado la presente reclamación con el objetivo de evitar que se produzcan incidencias similares en un futuro; y proceder a la supresión de la copia aportada por la persona reclamante.

(Imagen: E&J)

La Diputación podía comprobar la identidad con una medida menos intrusiva

La Diputación, en su condición de responsable del tratamiento de datos personales, realiza la recogida y conservación de datos personales de personas físicas: nombre y apellidos, dirección, localidad, código postal (CP), teléfono, email, NIF, firma y copia del DNI. Por tanto, esta administración pública está sujeta a la obligación de minimización de datos, recogida en la letra c) del artículo 5.1 del RGPD y que establece lo siguiente: “Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»)”.

Sin embargo, la Diputación de Pontevedra ha incumplido dicha obligación por cuanto, para acreditar los datos de identidad del ciudadano lo podría haber logrado sin necesidad de requerir y almacenar la fotocopia o imagen del DNI.

Pues, ha sido la propia administración pública la que ha reconocido en su escrito que pidió al reclamante que portara una copia del DNI, fotocopiada o escaneada, como requisito para poder presentar la reclamación a una multa. Igualmente, ha reconocido que existe una medida menos gravosa para verificar la identidad de los ciudadanos, como es la diligencia del funcionario de la oficina de asistencia de registros. Y, “a mayor abundamiento” —señala la AEPD— “han acordado actualizar el protocolo actual de identificación del presentante de documentos en sus oficinas de asistencia en materia de registros, es decir, reconocen que dicho protocolo podía ser contrario a la normativa de protección de datos”.

Por tanto, la Diputación ha reconocido que podía comprobar la identidad de los ciudadanos sin requerir y almacenar una imagen o fotocopia de sus documentos de identidad.

Es cierto que en el ámbito de la protección de datos personales, la solicitud de copias del Documento Nacional de Identidad (DNI) por parte de las administraciones, en su calidad de responsables del tratamiento, constituye una práctica habitual. Sobre esta cuestión ya se ha pronunciado en alguna ocasión la Agencia Española de Protección de Datos, indicando al respecto que es necesario ponderar la medida de recogida de datos con el principio de proporcionalidad. En este sentido, la AEPD considera que la solicitud de una copia del DNI debe considerarse una medida excepcional, reservada para situaciones en las que no existan otros medios menos intrusivos para verificar la identidad de una persona.

Como ya se ha mencionado, en el presente caso la Diputación de Pontevedra incorporó una copia del DNI para el cotejo de la unidad administrativa responsable de la gestión de la multa objeto de reclamación. En cuanto al juicio de necesidad y proporcionalidad de la actuación de la Diputación, la AEPD confirma al respecto que existía una medida menos gravosa para cumplir con el propósito de identificación de las personas interesadas, como es la diligencia del funcionario de la oficina de asistencia de registros.

Por tanto, la actuación de la Diputación constituye una infracción por vulneración del artículo 5.1, letra c) del RGPD al haber tratado datos personales que eran excesivos en innecesarios para la finalidad para la que se trataban.

(Imagen: E&J)

Por último, la Agencia Española de Protección de Datos señala en la resolución que las medidas técnicas y organizativas adoptadas por la Diputación de Pontevedra para evitar que se repitan hechos similares, es decir, evitar requerir y almacenar la fotocopia o imagen del documento nacional de identidad, son acciones que se han valorado positivamente por la Agencia, no obstante, esas medidas adoptadas no desvirtúan la existencia de la infracción cometida por la Diputación materia de protección de datos.

“Si bien esta Agencia valora positivamente la adopción de medidas correctoras implementadas (…) que permiten la comprobación visual del DNI, la validación en la aplicación y el registro de la confirmación, dichas actuaciones no eximen de responsabilidad por la infracción ya cometida ni eliminan los efectos derivados de la misma”, señala la AEPD.