Pedir el DNI no está justificado sólo por la necesidad de identificación, según la AEPD
Todos hemos sido testigos, en más o menos ocasiones, de situaciones en las que, con la finalidad de identificarnos, nos han solicitado nuestro DNI y, lejos de pedirnos únicamente el número, nos han requerido el documento para hacerle una copia, una fotografía, etc.
La necesidad de identificarnos existe en muchas ocasiones, y lo vemos claramente en supuestos de compras en línea, reparto de productos, operaciones con entidades bancarias… pero también cabe preguntarse, ¿la identificación requiere en todo caso tratar los datos del DNI? Y en caso afirmativo, ¿es necesario tratar todos los datos que contiene ese DNI?
La Agencia Española de Protección de Datos (en adelante, “AEPD”) se ha pronunciado recientemente sobre esta cuestión mediante un Informe Jurídico, tras recibir una consulta que hacía referencia al tratamiento del DNI en los casos de contratación y entrega de productos de operadores de telecomunicaciones y de entidades financieras a través de entidades de mensajería o paquetería (sería el caso, por ejemplo, de la entrega de duplicados de tarjetas SIM, y en la entrega de dispositivos móviles).
A pesar de que la consulta, en principio, hacía referencia a estos casos, la AEPD se ha pronunciado fijando, de nuevo, su criterio en esta cuestión aplicable de manera general. Cabe decir que la autoridad española ya se había pronunciado anteriormente sobre ello, y por lo tanto en algunas partes de este informe se remite a otros informes anteriores, a resoluciones propias y a directrices establecidas por el Comité Europeo de Protección de Datos (CEPD).
En este sentido, la AEPD responde:
¿Es necesario tratar el DNI cuando sea necesaria la identificación de una persona?
El DNI “únicamente se ha de someter a tratamiento cuando la norma así lo establezca, resultando excesivo el mismo cuando se pretende únicamente identificar a las personas (…) si existen otras medidas menos gravosas que cumplen ese fin de identificación, lo recomendable es abstenerse de usarlo.”
Cabe traer a colación aquí las varias sanciones impuestas el pasado año por la AEPD en varios casos en que se solicitó el número del DNI (o, incluso, una fotocopia del mismo) para verificar la identidad ante una solicitud de ejercicio de derechos de protección de datos. Ante estos casos, la Agencia determinó que solo está justificado en el caso de que existan dudas razonables sobre la identidad que no puedan ser resueltas a través de un método menos gravoso.
Aun cuando se necesita tratar el DNI, ¿está justificado pedir una copia del documento?
La respuesta a esta pregunta ha de ser consecuencia de lo anterior, estableciendo la Agencia que “la información del documento de identidad que no sea necesaria para confirmar la identidad del interesado tal y como por ejemplo, el número del documento, la fotografía, o los datos que se pueden leer por máquina, nos lleva a concluir que la solicitud del DNI con la toma de una copia del mismo sería, en principio, un tratamiento excesivo, y que no puede instaurarse por sistema, sino que habrá que analizar, caso por caso, multitud de aspectos”.
En otras palabras, aun en el caso en que se necesite el número del DNI para la identificación, esto no justifica que se pida el documento para hacerle una copia o una fotografía, ya que esto implica también el tratamiento del nombre y apellidos, imagen, y otros datos que se pueden recabar de la lectura electrónica del DNI.
El motivo de todo lo anterior no es otro que el cumplimiento de los principios de minimización y proporcionalidad establecidos en el Reglamento General de Protección de Datos (RGPD), que obligan a los responsables del tratamiento a garantizar que sean objeto de tratamiento los datos que únicamente sean precisos para cada uno de los fines específicos del tratamiento reduciendo, la extensión del tratamiento, limitando a lo necesario el plazo de conservación y su accesibilidad.
En la práctica, tras este Informe emitido por la AEPD, las empresas se verán obligadas a revisar los procedimientos internos que siguen a la hora de identificar a terceras personas físicas para adaptarse a los criterios expuestos, y evitar en todo caso el tratamiento de datos personales innecesarios o excesivos a partir de la solicitud del DNI.
Artículo de Sara Hervías Costa, Legal Privacy, Legal Army