Fotocopiar el DNI de una persona sin causa justificada puede constituir una infracción grave del Reglamento General de Protección de Datos (RGPD). Así lo ha establecido la Agencia Española de Protección de Datos (AEPD), que ha alertado sobre las implicaciones legales, el principio de minimización de datos y el riesgo de suplantación de identidad asociado a esta práctica. Las empresas y entidades deben revisar sus protocolos para evitar sanciones y garantizar una protección adecuada de los datos personales.
Antes de profundizar en la normativa, es crucial comprender qué representa el DNI. No es simplemente un identificador; es un compendio de datos personales de primer nivel. En su anverso y reverso encontramos nombre completo, fecha de nacimiento, sexo, nacionalidad, domicilio, fotografía, firma manuscrita, nombres de los progenitores, lugar de nacimiento y, por supuesto, el número de DNI y su fecha de validez. Cada uno de estos datos, por separado, está protegido por el RGPD. Juntos, conforman un perfil completo de una persona, cuyo acceso y almacenamiento deben estar rigurosamente justificados y protegidos. La ligereza con la que a menudo se solicita y se entrega una copia completa de este documento es precisamente lo que ha encendido las alarmas de la autoridad de control.
La negativa de la AEPD a aceptar la fotocopia indiscriminada no es arbitraria, sino que se sustenta en principios jurídicos muy sólidos establecidos en la normativa europea y española de protección de datos.
El artículo 5.1.c del RGPD es categórico: los datos personales recogidos deben ser "adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados". Este es el conocido como principio de minimización. Cuando una empresa fotocopia un DNI por completo, casi siempre está recopilando más información de la que necesita.
Para la mayoría de las finalidades, como verificar la identidad de un cliente para un servicio básico, bastaría con comprobar el nombre y el número de DNI. La fotografía, la firma, el domicilio o los nombres de los progenitores son, en la gran mayoría de contextos comerciales, datos superfluos. Al hacer una copia íntegra, la empresa está almacenando información que no es pertinente para el servicio que presta, incumpliendo así directamente el principio de minimización. La AEPD sostiene que si la finalidad es la identificación, esta puede lograrse mediante la simple exhibición del documento, permitiendo al empleado anotar los datos estrictamente necesarios sin retener una copia física o digital del mismo.
Para que cualquier tratamiento de datos sea lícito, debe estar amparado por una de las bases de legitimación que enumera el artículo 6 del RGPD. Copiar el DNI no es una excepción.
Existen normativas sectoriales que sí exigen explícitamente la recopilación de una copia del documento de identidad. El caso más claro es el de las entidades financieras, que están obligadas por la Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo a identificar formalmente a sus clientes, lo que incluye obtener una copia del DNI. Fuera de estos supuestos tasados por ley, la obligación desaparece.
Una empresa podría argumentar que la copia es necesaria para la ejecución de un contrato. Sin embargo, esta base solo es válida si la copia es imprescindible para el cumplimiento del mismo. Un ejemplo podría ser un contrato de financiación donde la identidad fehaciente es un elemento central del riesgo. No obstante, para un simple alta en un gimnasio o la compra de un producto, no es imprescindible almacenar una copia completa del DNI.
Otra base podría ser el consentimiento del interesado. Sin embargo, el RGPD exige que este sea libre, informado, específico e inequívoco. En la práctica, el consentimiento que se obtiene bajo la premisa de "o me das una fotocopia o no te presto el servicio" no se considera libre, ya que existe un claro desequilibrio de poder. El ciudadano se ve forzado a aceptar para obtener el bien o servicio, lo que invalida dicho consentimiento.
La insistencia de la AEPD no es un mero formalismo burocrático, sino una respuesta a los peligros tangibles que entraña la circulación de copias de DNI.
Una copia del DNI contiene todos los elementos necesarios para que un tercero malintencionado pueda suplantar nuestra identidad. Con esos datos se pueden contratar servicios, solicitar créditos rápidos, dar de alta líneas telefónicas o cometer fraudes en nuestro nombre. El riesgo se multiplica cuando estas copias se almacenan digitalmente en servidores poco seguros, susceptibles de sufrir brechas de seguridad y ciberataques. Un simple archivo PDF o una imagen JPG con nuestro DNI puede acabar en la dark web, a la venta por unos pocos euros.
La Agencia Española de Protección de Datos ha dejado clara su postura a través de la imposición de multas a empresas que no han podido justificar la necesidad de fotocopiar el DNI de sus clientes. Estas sanciones, que pueden ascender a varios miles de euros, se basan en la consideración de que se ha producido un tratamiento ilícito de datos personales al vulnerar los principios de minimización y de licitud del tratamiento. Es un aviso directo a las organizaciones: la comodidad operativa no puede prevalecer sobre el derecho fundamental a la protección de datos.
Tanto empresas como ciudadanos deben adaptarse a este marco normativo para operar de forma segura y legal.