Identificar con DNI: Claves para cumplir con el RGPD
Si debes identificar a un cliente con su DNI, esto te interesa
Identificarnos con el DNI para realizar algunos trámites, ya sea como titular de algún derecho o como titular de alguna obligación, es algo cotidiano, general y a veces, hasta sistemático.
Esta identificación puede llevarse a cabo mediante la propia exhibición del documento, así como mediante el uso del certificado digital (DNI digital), y en algunos casos, entregando mediante solicitud previa, copia fotostática del mismo.
Pero solicitar una copia del DNI o documento equivalente, no siempre es posible legalmente, pues esta práctica es solo válida cuando lo autorice expresamente una ley o respete el
principio de minimización de datos establecido en la normativa de protección de datos.
En el caso de que algunos de estos requisitos se incumpla, existe un riesgo de sanción en materia de protección de datos por incumplir el RGPD y la LOPDGDD.
A este respecto, el Comité Europeo de Protección de Datos ha señalado que recoger/recopilar copias de los documentos de identificación de los ciudadanos, puede generar un riesgo para la seguridad de los datos, ya que pueden quedar expuestos a un mal uso de los mismos o accesos no autorizados, por lo que debe evitarse este tipo de prácticas, salvo que sea necesario, como en el caso de Prevención de Blanqueo de Capitales o cualquier otro que esté autorizado por ley.
Recientemente, con la aprobación del Real Decreto 933/2021, de 26 de octubre, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor, se ha vuelto a poner sobre la mesa, si requerir una fotocopia del DNI es legalmente aceptable o no.
Postura de la AEPD
La Agencia Española de Protección de Datos (AEPD) ha sido clara frente a este tipo de casos; solicitar fotocopia del DNI completo (ambas caras y con todos los datos visibles) vulnera la normativa de protección de datos.
Ello es así porque en el documento se incluyen datos que exceden en la finalidad del tratamiento de los datos, que es identificar la persona. Por ejemplo, a efectos de identificación, es irrelevante conocer el domicilio, el nombre de los progenitores, o el lugar de nacimiento.
Tratar estos datos sin una base legal que lo permita viola el principio de minimización de datos establecido en el art. 5.1 c) del RGPD, por no ser el tratamiento preceptivo ni pertinente.
En una resolución reciente (PS/00138/2024), relacionada con un establecimiento de hospedaje, en donde solicitaron a sus clientes copia del DNI de todos los huéspedes, la AEPD señala que: “no es obligatorio recoger, registrar ni comunicar a las autoridades competentes la imagen, fotocopia o imagen completa del documento de identidad de cada viajero, sino únicamente algunos de los datos contenidos en el mismo como: nombre y apellidos, el número de identificación, el número de soporte, el tipo de documento (DNI; pasaporte…etc.), la nacionalidad, y la fecha de nacimiento.”
Cabe señalar que el establecimiento de hospedaje fue sancionado por la AEPD por aplicar este tipo de prácticas.
Hay que recordar que los hoteles no son los únicos que pueden verse sancionados por este tipo de prácticas; hay pronunciamientos de la AEPD relativos a entidades bancarias que solicitaron copia del DNI a un cliente, que tan solo solicitó consultar los movimientos de su cuenta bancaria (PS/00170/2022), así como en la entrega de paquetes realizada por empresas de mensajería, en donde sacaron foto del DNI del destinatario (PS/00413/2021), o una clínica dental que solicitó el DNI para un reembolso de un paciente (PS/00253/2023).
Alternativas válidas de identificación
Para cumplir con el principio de minimización de datos, se deben buscar alternativas que sean válidas y que dentro del marco legal vigente, logrando identificar al cliente o la persona en cuestión.
Pueden aplicarse las siguientes medidas alternativas:
Lectura visual y anotación manual de los datos
La primera opción podría ser las más sencilla de aplicar, pero es posible que en algunas situaciones sea insuficiente, por ejemplo en casos de suplantación de identidad, pues es muy probable que tuvieras problemas por no haber aplicado las medidas necesarias que garanticen una verificación de la identidad de quien proporciona los datos.
Identificación mediante certificados digitales.
La implantación de identificación mediante certificados, puede resultar compleja y se deberá analizar si cumple con el principio de minimización de datos, por lo que no parece una solución definitiva.
Aplicaciones informáticas específicas
Podría ser la más recomendable ya que existen aplicaciones específicamente diseñadas para leer documentos, como un DNI, y extraer automáticamente los datos imprescindibles, además, algunas aplicaciones también pueden integrarse con sistemas de base de datos para registrar esos datos de forma inmediata.
Algunas de estas aplicaciones son:
ABBYY FineReader: https://pdf.abbyy.com/es/
Mitek Systems: https://www.miteksystems.com/es
Scanbot SDK: https://scanbot.io/
Lectores de DNIe
El DNIe (DNI Electrónico) es una versión avanzada del Documento Nacional de Identidad en varios países, como España, que incorpora un chip electrónico integrado en la tarjeta.
Este software facilita la verificación de identidad mediante el acceso a los datos personales almacenados en el chip, lo que garantiza una autenticación fuerte y segura.
Este sistema unido al de lectura visual y anotación manual de los datos, puede ser perfecto, siempre que el lector de DNIe no conserve más datos de los imprescindibles para cumplir con tus obligaciones legales.
Evita sanciones
Asimismo, para evitar sanciones se recomienda llevar a cabo las siguientes acciones:
Análisis previo
Antes de implantar alguna de las soluciones expuestas, será necesario analizar las garantías que ofrece cada una de estas, para garantizar el cumplimiento en materia de protección de datos y evitar sanciones, recomendando, que sea analizada por consultores expertos en la materia.
Destruir copias de DNI
Si aún conservas copias de DNI procede a su destrucción inmediata de forma segura, garantizando que el método de destrucción garantiza que no se puede acceder a la información que contenían los documentos destruidos.
Normativas sectoriales
Analizar las normativas a las que tu actividad esté sujeta y aplicar la medida que se ajuste a esa norma y que permita la identificación de personas sin riesgos de sanción.
Formar a las personas trabajadoras
Formar en protección de datos es invertir.
Si formas en materia de protección de datos a los trabajadores y las trabajadoras, como medida preventiva, evitarás sanciones.
Videovigilancia
Implantar un sistema de videovigilancia, puede reforzar las evidencias sobre el sistema de identificación utilizado, en caso de reclamaciones.
Business Adapter® a tu servicio
Si necesitas más información, contacta con tu consultor para recibir la asistencia necesaria.
Si aún no eres cliente y necesitas nuestra ayuda, contáctanos en el email: info@businessadapter.es, también puedes llamar al 96 131 88 04, o deja tu mensaje en nuestro formulario: