Protección de datos personales en España

Fotocopiar el DNI sin justificación: una práctica ilegal según la AEPD

Ampliar

La Agencia Española de Protección de Datos advierte de los riesgos legales y sanciones por vulnerar el Reglamento General de Protección de Datos

Por Redacción

admincibelesnet/5/5/13

cibeles.net

Más artículos de este autor

martes 10 de junio de 2025, 08:24h

Fotocopiar el DNI de una persona sin causa justificada puede constituir una infracción grave del Reglamento General de Protección de Datos (RGPD). Así lo ha establecido la Agencia Española de Protección de Datos (AEPD), que ha alertado sobre las implicaciones legales, el principio de minimización de datos y el riesgo de suplantación de identidad asociado a esta práctica. Las empresas y entidades deben revisar sus protocolos para evitar sanciones y garantizar una protección adecuada de los datos personales.

El DNI: Un Tesoro de Datos Personales

Antes de profundizar en la normativa, es crucial comprender qué representa el DNI. No es simplemente un identificador; es un compendio de datos personales de primer nivel. En su anverso y reverso encontramos nombre completo, fecha de nacimiento, sexo, nacionalidad, domicilio, fotografía, firma manuscrita, nombres de los progenitores, lugar de nacimiento y, por supuesto, el número de DNI y su fecha de validez. Cada uno de estos datos, por separado, está protegido por el RGPD. Juntos, conforman un perfil completo de una persona, cuyo acceso y almacenamiento deben estar rigurosamente justificados y protegidos. La ligereza con la que a menudo se solicita y se entrega una copia completa de este documento es precisamente lo que ha encendido las alarmas de la autoridad de control.

Los Pilares del RGPD que Limitan la Fotocopia del DNI

La negativa de la AEPD a aceptar la fotocopia indiscriminada no es arbitraria, sino que se sustenta en principios jurídicos muy sólidos establecidos en la normativa europea y española de protección de datos.

Principio de Minimización de Datos: Recoger Solo lo Imprescindible

El artículo 5.1.c del RGPD es categórico: los datos personales recogidos deben ser "adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados". Este es el conocido como principio de minimización. Cuando una empresa fotocopia un DNI por completo, casi siempre está recopilando más información de la que necesita.

¿Qué datos son realmente necesarios?

Para la mayoría de las finalidades, como verificar la identidad de un cliente para un servicio básico, bastaría con comprobar el nombre y el número de DNI. La fotografía, la firma, el domicilio o los nombres de los progenitores son, en la gran mayoría de contextos comerciales, datos superfluos. Al hacer una copia íntegra, la empresa está almacenando información que no es pertinente para el servicio que presta, incumpliendo así directamente el principio de minimización. La AEPD sostiene que si la finalidad es la identificación, esta puede lograrse mediante la simple exhibición del documento, permitiendo al empleado anotar los datos estrictamente necesarios sin retener una copia física o digital del mismo.

La Exigencia de una Base Jurídica Válida

Para que cualquier tratamiento de datos sea lícito, debe estar amparado por una de las bases de legitimación que enumera el artículo 6 del RGPD. Copiar el DNI no es una excepción.

Obligación Legal Específica

Existen normativas sectoriales que sí exigen explícitamente la recopilación de una copia del documento de identidad. El caso más claro es el de las entidades financieras, que están obligadas por la Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo a identificar formalmente a sus clientes, lo que incluye obtener una copia del DNI. Fuera de estos supuestos tasados por ley, la obligación desaparece.

Relación Contractual

Una empresa podría argumentar que la copia es necesaria para la ejecución de un contrato. Sin embargo, esta base solo es válida si la copia es imprescindible para el cumplimiento del mismo. Un ejemplo podría ser un contrato de financiación donde la identidad fehaciente es un elemento central del riesgo. No obstante, para un simple alta en un gimnasio o la compra de un producto, no es imprescindible almacenar una copia completa del DNI.

El Consentimiento Explícito y sus Trampas

Otra base podría ser el consentimiento del interesado. Sin embargo, el RGPD exige que este sea libre, informado, específico e inequívoco. En la práctica, el consentimiento que se obtiene bajo la premisa de "o me das una fotocopia o no te presto el servicio" no se considera libre, ya que existe un claro desequilibrio de poder. El ciudadano se ve forzado a aceptar para obtener el bien o servicio, lo que invalida dicho consentimiento.

Consecuencias Reales: Riesgos Elevados y Sanciones

La insistencia de la AEPD no es un mero formalismo burocrático, sino una respuesta a los peligros tangibles que entraña la circulación de copias de DNI.

El Peligro de la Suplantación de Identidad y Otros Fraudes

Una copia del DNI contiene todos los elementos necesarios para que un tercero malintencionado pueda suplantar nuestra identidad. Con esos datos se pueden contratar servicios, solicitar créditos rápidos, dar de alta líneas telefónicas o cometer fraudes en nuestro nombre. El riesgo se multiplica cuando estas copias se almacenan digitalmente en servidores poco seguros, susceptibles de sufrir brechas de seguridad y ciberataques. Un simple archivo PDF o una imagen JPG con nuestro DNI puede acabar en la dark web, a la venta por unos pocos euros.

Sanciones Ejemplares de la AEPD

La Agencia Española de Protección de Datos ha dejado clara su postura a través de la imposición de multas a empresas que no han podido justificar la necesidad de fotocopiar el DNI de sus clientes. Estas sanciones, que pueden ascender a varios miles de euros, se basan en la consideración de que se ha producido un tratamiento ilícito de datos personales al vulnerar los principios de minimización y de licitud del tratamiento. Es un aviso directo a las organizaciones: la comodidad operativa no puede prevalecer sobre el derecho fundamental a la protección de datos.

Alternativas Legales y Buenas Prácticas

Tanto empresas como ciudadanos deben adaptarse a este marco normativo para operar de forma segura y legal.

Práctica Habitual Incorrecta	Riesgo Asociado	Alternativa Legal y Segura	Finalidad de la Alternativa
Fotocopiar el DNI completo para un alta de servicio (ej. telecomunicaciones).	Recogida excesiva de datos, incumplimiento del principio de minimización.	Exhibición del DNI y anotación manual o digital de los datos necesarios (nombre, DNI).	Verificar la identidad del titular del contrato.
Solicitar una foto del DNI por WhatsApp para una reserva.	Almacenamiento en un canal inseguro, riesgo de brecha de seguridad.	Usar un formulario web seguro (HTTPS) que solicite solo los datos imprescindibles.	Confirmar la identidad y los datos de contacto del cliente.
Exigir copia del DNI para acceder a un evento privado o edificio.	Ausencia de base jurídica, finalidad desproporcionada.	Mostrar el DNI al personal de seguridad para una simple comprobación visual.	Controlar el acceso de personas autorizadas.
Guardar fotocopias de DNI en archivadores físicos sin control de acceso.	Riesgo de robo físico, acceso indebido por parte de personal no autorizado.	Digitalización segura con cifrado y control de acceso, o destrucción segura tras su uso.	Cumplir con obligaciones legales de conservación, si existen.

Para los ciudadanos, la recomendación es clara: preguntar siempre por la finalidad y la base legal que justifica la solicitud de una copia. Si la copia es inevitable y legalmente obligatoria, una práctica de autoprotección es tachar todos los datos que no sean estrictamente necesarios y escribir sobre la propia fotocopia el motivo por el que se entrega (ej. "Copia exclusiva para el contrato de alquiler del vehículo X"), lo que dificulta su uso para otros fines.