RIESGOS LEGALES QUE CORRES SEGÚN LOS CRITERIOS DE ACTUACIÓN DE LA AEPD
➢ INTRODUCCIÓN
En los últimos años, la Agencia Española de Protección de Datos (AEPD) ha intensificado el control sobre el tratamiento de los datos personales contenidos en el Documento Nacional de Identidad (DNI). Diversas resoluciones y sanciones impuestas recientemente subrayan la necesidad de que las empresas extremen la cautela a la hora de solicitar, fotocopiar o conservar copias de este documento, al considerarse un tratamiento especialmente delicado que puede entrañar importantes riesgos jurídicos y económicos.
➢ CRITERIOS CLAVE ESTABLECIDOS POR LA AEPD
- La AEPD ha reforzado, especialmente a partir de su Informe Técnico 0048/2023, los siguientes principios en relación con el uso del DNI:
- Minimización de datos: solo deben recabarse los datos personales estrictamente necesarios. La copia del DNI debe evitarse si existen alternativas menos intrusivas (como la mera visualización).
- Proporcionalidad del tratamiento: debe evaluarse si la totalidad de los datos contenidos en el DNI (por ejemplo, lugar de nacimiento, domicilio o nombres de los padres) son pertinentes para la finalidad del tratamiento para la cual se solicita.
- Finalidad legítima y específica: solo se justifica la solicitud y conservación de la copia del DNI cuando la finalidad del tratamiento de los datos venga amparada legalmente (ej.: prevención del blanqueo de capitales, trámites ante diversas administraciones públicas, ).
- Limitación temporal de la conservación: una vez alcanzada la finalidad, debe eliminarse la El almacenamiento indefinido una vez alcanzada la finalidad no está justificado
➢ SUPUESTOS EN LOS QUE SÍ PUEDE RECOGERSE UNA COPIA DEL DNI
- La AEPD considera, con carácter genérico, la adecuación del tratamiento del DNI en todos aquellos supuestos en los que el fundamento resida en el cumplimiento de una obligación de carácter
➢ SUPUESTOS EN LOS QUE DEBE EVITARSE LA COPIA DEL DNI
- Solicitud por defecto en todos los contratos o servicios, sin justificación concreta.
- Conservación generalizada en expedientes sin base jurídica.
- Ejercicio de los derechos ARSOLP (acceso, rectificación, supresión, oposición, limitación y portabilidad.) salvo duda razonable sobre la
- Firma de contratos si no es necesario más allá de la visualización.
- Como sustituto de una toma de datos, es decir, en vez de tomar datos necesarios de una persona para un fin concreto, fotocopiar el
➢ SANCIONES RECIENTES IMPUESTAS POR LA AEPD
La AEPD ha impuesto multas significativas a diversas entidades por vulneraciones en el tratamiento del DNI:
- 000 € de sanción por exigir una fotocopia del DNI de los padres o tutores legales para que un menor pueda acudir a un concierto. Para la AEPD la normativa únicamente ampara a solicitar la exhibición del DNI, pero no a su fotocopia.
- 000 € por solicitar a una empresa de grúas por fotografiar un empleado el DNI de un cliente sin información del modo de tratamiento de sus datos personales.
- 000 € a una clínica dental por pedir copia del DNI para una devolución.
- 000 € por realizar un escaneo del DNI de los huéspedes en un hotel.
➢ CONCLUSIONES Y RECOMENDACIONES
- La copia del DNI solo debe recabarse si existe una base legal clara y específica.
- Debe analizarse siempre si la finalidad puede alcanzarse mediante un método alternativo menos invasivo.
- La conservación debe ser limitada en el tiempo, y la custodia de las copias debe estar sujeta a medidas de seguridad
- Recomendamos a las empresas revisar sus protocolos internos y verificar que el uso del DNI cumple los principios del RGPD y la LOPDGDD.
