El DNI: Un Tesoro de Datos Personales
Antes de profundizar en la normativa, es crucial comprender qué representa el DNI. No es simplemente un identificador; es un compendio de datos personales de primer nivel. En su anverso y reverso encontramos nombre completo, fecha de nacimiento, sexo, nacionalidad, domicilio, fotografía, firma manuscrita, nombres de los progenitores, lugar de nacimiento y, por supuesto, el número de DNI y su fecha de validez. Cada uno de estos datos, por separado, está protegido por el RGPD. Juntos, conforman un perfil completo de una persona, cuyo acceso y almacenamiento deben estar rigurosamente justificados y protegidos. La ligereza con la que a menudo se solicita y se entrega una copia completa de este documento es precisamente lo que ha encendido las alarmas de la autoridad de control.
Los Pilares del RGPD que Limitan la Fotocopia del DNI
La negativa de la AEPD a aceptar la fotocopia indiscriminada no es arbitraria, sino que se sustenta en principios jurídicos muy sólidos establecidos en la normativa europea y española de protección de datos.
Principio de Minimización de Datos: Recoger Solo lo Imprescindible
El artículo 5.1.c del RGPD es categórico: los datos personales recogidos deben ser "adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados". Este es el conocido como principio de minimización. Cuando una empresa fotocopia un DNI por completo, casi siempre está recopilando más información de la que necesita.
¿Qué datos son realmente necesarios?
Para la mayoría de las finalidades, como verificar la identidad de un cliente para un servicio básico, bastaría con comprobar el nombre y el número de DNI. La fotografía, la firma, el domicilio o los nombres de los progenitores son, en la gran mayoría de contextos comerciales, datos superfluos. Al hacer una copia íntegra, la empresa está almacenando información que no es pertinente para el servicio que presta, incumpliendo así directamente el principio de minimización. La AEPD sostiene que si la finalidad es la identificación, esta puede lograrse mediante la simple exhibición del documento, permitiendo al empleado anotar los datos estrictamente necesarios sin retener una copia física o digital del mismo.
La Exigencia de una Base Jurídica Válida
Para que cualquier tratamiento de datos sea lícito, debe estar amparado por una de las bases de legitimación que enumera el artículo 6 del RGPD. Copiar el DNI no es una excepción.
Obligación Legal Específica
Existen normativas sectoriales que sí exigen explícitamente la recopilación de una copia del documento de identidad. El caso más claro es el de las entidades financieras, que están obligadas por la Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo a identificar formalmente a sus clientes, lo que incluye obtener una copia del DNI. Fuera de estos supuestos tasados por ley, la obligación desaparece.
Relación Contractual
Una empresa podría argumentar que la copia es necesaria para la ejecución de un contrato. Sin embargo, esta base solo es válida si la copia es imprescindible para el cumplimiento del mismo. Un ejemplo podría ser un contrato de financiación donde la identidad fehaciente es un elemento central del riesgo. No obstante, para un simple alta en un gimnasio o la compra de un producto, no es imprescindible almacenar una copia completa del DNI.
El Consentimiento Explícito y sus Trampas
Otra base podría ser el consentimiento del interesado. Sin embargo, el RGPD exige que este sea libre, informado, específico e inequívoco. En la práctica, el consentimiento que se obtiene bajo la premisa de "o me das una fotocopia o no te presto el servicio" no se considera libre, ya que existe un claro desequilibrio de poder. El ciudadano se ve forzado a aceptar para obtener el bien o servicio, lo que invalida dicho consentimiento.
Consecuencias Reales: Riesgos Elevados y Sanciones
La insistencia de la AEPD no es un mero formalismo burocrático, sino una respuesta a los peligros tangibles que entraña la circulación de copias de DNI.
El Peligro de la Suplantación de Identidad y Otros Fraudes
Una copia del DNI contiene todos los elementos necesarios para que un tercero malintencionado pueda suplantar nuestra identidad. Con esos datos se pueden contratar servicios, solicitar créditos rápidos, dar de alta líneas telefónicas o cometer fraudes en nuestro nombre. El riesgo se multiplica cuando estas copias se almacenan digitalmente en servidores poco seguros, susceptibles de sufrir brechas de seguridad y ciberataques. Un simple archivo PDF o una imagen JPG con nuestro DNI puede acabar en la dark web, a la venta por unos pocos euros.
Sanciones Ejemplares de la AEPD
La Agencia Española de Protección de Datos ha dejado clara su postura a través de la imposición de multas a empresas que no han podido justificar la necesidad de fotocopiar el DNI de sus clientes. Estas sanciones, que pueden ascender a varios miles de euros, se basan en la consideración de que se ha producido un tratamiento ilícito de datos personales al vulnerar los principios de minimización y de licitud del tratamiento. Es un aviso directo a las organizaciones: la comodidad operativa no puede prevalecer sobre el derecho fundamental a la protección de datos.
Alternativas Legales y Buenas Prácticas
Tanto empresas como ciudadanos deben adaptarse a este marco normativo para operar de forma segura y legal.
Referencias