Leer Noticia


La AEPD advierte que perseguirá el uso indiscriminado que hacen las empresas de las copias del DNI de terceros

Un informe del regulador recomienda un uso mínimo del mismo, con el agravante de poder ser sancionado de forma grave-


La Agencia Española de Protección de Datos (AEPD) ha decidido frenar la práctica de que las empresas pidan copias de DNI para identificar a los ciudadanos por cualquier cuestión. El informe 48/2023 hace un análisis de una costumbre que el regulador pretende que se reduzca al máximo.

Como señalan algunos de los expertos, la copia del DNI tiene muchos datos sensibles personales como es la foto, el lugar de nacimiento de esa persona, el nombre de los padres de esa persona que podrían utilizarse en actividades delictivas o de suplantaciones.

De hecho, ese uso abusivo de las copias del DNI está produciendo que los delitos de suplantación de identidad o de fraude estén creciendo y muchos ciudadanos observan cómo se utilizan esos datos para abrir una cuenta en su nombre, con el consiguiente destrozo económico que cometen.

Existe una tradición heredada de la derogada normativa española de protección de datos, que establecía como procedimiento oficial para el ejercicio de derechos la obligatoria entrega de una fotocopia del Documento Nacional de Identidad, pasaporte u otro documento válido que identificase al solicitante. Por tanto, no es de extrañar que muchas compañías sigan solicitando fotocopias de DNI como parte de su proceso habitual de identificación de clientes o usuarios.

Por ello, la AEPD ha ido acotando y condicionando los supuestos en los que un tercero que no es su titular puede requerir o tratar dicho documento. El último de sus pronunciamientos al respecto lo encontramos en su reciente Informe 48/2023.

Cada entidad será quien, al afrontar los posibles casos de uso concretos que se le presenten, deberá valorar si es procedente o no exigir y/o tratar el número y/o copia del DNI y, en su caso, qué medidas de protección deba aplicar al respecto.

Lo que hace la AEPD en este último informe es incidir en unos criterios generales o básicos que deben ser seguidos por las entidades cuando se plantee alguna de estas situaciones.

Sobre dichos criterios generales hay que señalar que, en primer lugar, la solicitud del número o copia del DNI no puede instaurarse por defecto o sistema, siendo necesario analizar caso por caso. Al mismo tiempo, el número del DNI, aunque no sea uno de los datos clasificados en el RGPD como de categoría especial, sí es un dato sensible, puesto que su mal uso o abuso puede generar efectos desfavorables para su titular.

La AEPD en este informe destaca que “salvo que la norma lo prevea expresamente y no exista otra alternativa menos invasiva para identificar a una persona, el uso del DNI puede resultar excesivo e innecesario para cumplir la finalidad de identificación, por tanto, si existen otras medidas menos gravosas que cumplen con el fin de identificación, lo recomendable es abstenerse de usar el DNI.

“En definitiva, habrá que ir analizando caso por caso el posible uso del DNI e incluso cuando resulte procedente pedir una copia del DNI, pero algunos de los datos en él contenidos no sea necesarios, conviene instruir a su titular de forma que éste pueda aportar copia sólo de la parte del DNI que sea precisa, como por ejemplo excluir, tapar, difuminar o pixelar la fotografía, el reverso, la fecha de validez o la firma).

Al mismo tiempo, subraya que otros informes y resoluciones emitidos por la AEPD se refieren a algunos supuestos específicos de uso del DNI. Así, por ejemplo, “en relación con actividades de prevención de blanqueo de capitales y financiación del terrorismo, la Agencia ya ha indicado que sí cabe requerir copia del DNI, pues la propia normativa sobre la materia así lo contempla.

También comenta que “en la publicación de actos administrativos en los que se deba identificar a los afectados, el número del DNI no puede aparecer completo, sino que se revelarán aleatoriamente cuatro de sus cifras numéricas, tal como establece la disposición adicional séptima de nuestra actual Ley Orgánica de Protección de Datos.

En relación con el sector hotelero, la AEPD en un reciente procedimiento sancionador consideró injustificado que una empresa de alquiler de apartamentos a través de Airbnb requiriera, entre otros datos, el envío de las fotografías del DNI, por ambas caras, de todas las personas que se alojarían en el inmueble.

El motivo es que, a pesar de que la normativa exige a dichas empresas facilitar a la policía algunos de los datos que figuran en el DNI, lo cierto es que no se necesitan todos los datos que aparecen en dicho documento y la multa en este caso fue de 25.000 euros.

Por último, aunque es práctica generalizada y derivada de la normativa anterior al RGPD, tampoco es correcto requerir por sistema el DNI como método de identificación de los interesados cuando éstos ejercitan cualquiera de sus derechos de protección de datos (acceso, rectificación, supresión, etc.), sino que sólo podrá ser requerido si no existe ningún otro medio de identificación del interesado que sea menos intrusivo.

Son varias las sanciones impuestas por la AEPD por esta práctica, algunas de ellas llegando a superar los 200.000 euros, dado el volumen de operaciones y el nivel de facturación del responsable.



FUENTE: Economist & Jurist

 

 

Más información...



Compártelo en las redes sociales


 

Volver a la sala de prensa