En los últimos meses ha habido diversas resoluciones por parte de la autoridad en España en materia de protección de datos respecto al uso del DNI y sus implicaciones acerca de la privacidad. La Agencia Española de Protección de Datos (AEPD) ha llegado a señalar, por ejemplo, que es ilegal que los hoteles soliciten una copia del documento nacional de identidad, por el principio de minimización de datos. ¿Qué implicaciones tiene esto para tu empresa y cómo protegerse de posibles multas?
¿Es el DNI un dato de carácter personal?
El DNI es un documento oficial que contiene datos de carácter personal. El artículo 4 del RGPD define los «datos personales» como toda información sobre una persona identificada o identificable, lo que abarca una amplia gama de datos, entre los cuales se encuentra el número de identificación personal del DNI, así como todo lo que aparece en el documento sobre la persona.
El DNI incluye datos como:
- El nombre completo
- La fotografía de la cara
- La firma
- El número de identificación personal
- La dirección
- El nombre de los progenitores
Todos estos elementos permiten vincular a un individuo con su identidad y, por tanto, son considerados datos personales que deben ser tratados conforme a la legislación sobre privacidad.
Normativas clave sobre protección de datos del DNI
En la legislación española, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), adapta el RGPD a la normativa nacional, y también regula el uso y la protección de los datos personales. El tratamiento del DNI, como dato personal identificativo, está regulado bajo estas normativas, lo que implica que las entidades que traten estos datos deben garantizar su protección adecuada frente a accesos no autorizados, alteraciones o pérdidas.
La AEPD se ha posicionado recientemente sobre ello en el Informe 7/2023, donde se recuerda que, de acuerdo con la LOPDGDD y el RGPD:
«Sobre el uso del DNI, el criterio de esta Agencia es que únicamente se ha de someter a tratamiento cuando la norma así lo establezca, resultando excesivo el mismo cuando se pretende únicamente identificar a las personas, ya que el número del DNI es una información especialmente sensible pues su uso indebido o sin las garantías suficientes puede tener múltiples efectos desfavorables para el titular de los datos».
Más allá de las leyes de protección de datos, se han publicado en los últimos años normativas específicas sobre el DNI en cuestión.
Real Decreto 1553/2005
El Real Decreto 1553/2005, de 23 de diciembre, regula la expedición del documento nacional de identidad y sus certificados de firma electrónica. En este documento en particular no se mencionan temas relacionados con la protección de datos personales, sino que más bien se concretan aspectos técnicos y operativos sobre el DNI electrónico.
Ley 19/2013
La Ley 19/2013 de transparencia, acceso a la información pública y buen gobierno, aunque tiene un enfoque principal en la accesibilidad a la información pública y en la gestión ética del gobierno, también aborda, de manera indirecta, temas relacionados con la protección de datos personales cuando se refiere a la divulgación de información.
La ley establece que la protección de datos personales es una de las excepciones que justifica la no divulgación de cierta información pública. Esto implica que, en caso de que una solicitud de acceso a la información pública incluya datos personales como el DNI, la administración pública debe asegurarse de que el acceso no vulnere los derechos de privacidad de los individuos.
La Ley 19/2013 debe interpretarse y aplicarse de manera coherente con el Reglamento General de Protección de Datos (RGPD), que es la normativa europea principal que regula el tratamiento de los datos personales. Cuando se habla del acceso a la información pública, la ley subraya que se deben proteger los datos personales y que cualquier divulgación de información debe ajustarse a la legislación vigente.
Buenas prácticas para el tratamiento del DNI
Las empresas deben asegurarse de solicitar el DNI solo cuando sea estrictamente necesario y de proteger cualquier información y documentación recopilada al respecto.
Respecto al primer punto, la recopilación del DNI debe ser proporcionada y adecuada para la finalidad específica del tratamiento. El principio de minimización de datos recogido en el artículo 5 del RGPD establece que solo se deben recopilar aquellos datos que son estrictamente necesarios para cumplir con el propósito legítimo de la empresa.
Una vez recopilado el DNI o cualquier otro dato personal, siempre tras el consentimiento explícito del titular, las empresas deben asegurarse de proteger esta información de acuerdo con las mejores prácticas de seguridad.
Almacenamiento seguro
Es fundamental utilizar métodos de protección como el cifrado de datos cuando se maneje información digital. Además, es importante emplear contraseñas robustas y otras prácticas de ciberseguridad para proteger los datos. En caso de contar con servidores locales o documentos físicos (como una copia del carné de identidad), se deben establecer controles de acceso limitado para evitar el acceso no autorizado. Estas medidas ayudan a reducir el riesgo de acceso indebido o uso inapropiado de los datos.
Anonimización
Siempre que sea posible, la anonimización de los datos del DNI debe ser una prioridad. Esta práctica asegura que los datos no puedan asociarse a una persona específica, lo que reduce significativamente los riesgos en caso de que la información se vea comprometida. La anonimización es una de las mejores maneras de proteger la privacidad de los individuos, minimizando el impacto de un posible incidente de seguridad.
Destrucción segura
La legislación establece un tiempo limitado para la conservación de datos personales. Cuando los datos o copias del DNI ya no sean necesarios para el fin para el que fueron recopilados, deben ser eliminados de forma segura, utilizando métodos como el borrado seguro o la destrucción física de los documentos o dispositivos que los contengan.
¿Cuándo y dónde puede publicarse el DNI?
La publicación del DNI debe ser proporcional al fin que se persigue. No se puede divulgar este dato personal de manera generalizada o indiscriminada. Antes de publicar un DNI, es esencial verificar que se cuenta con el consentimiento adecuado y que la publicación es estrictamente necesaria para cumplir con un objetivo legítimo.
En algunos casos, la ley obliga a la publicación del DNI para cumplir con requisitos administrativos, judiciales o legales. Por ejemplo, en ciertos procedimientos oficiales o cuando así lo exijan normativas fiscales o de control público. En caso de que una persona quiera acceder a la sede electrónica de una administración, como Hacienda, se le solicitará el documento nacional de identidad, como una de las formas de acceso.
Si una persona otorga su consentimiento expreso para la publicación de su DNI en un contexto específico (por ejemplo, en el marco de una convocatoria pública), esta puede ser válida siempre y cuando se haya informado adecuadamente sobre el propósito de la publicación.
El uso del DNI para atender solicitudes relativas a la protección de datos
En el contexto de que una empresa reciba la solicitud de un usuario relativa al tratamiento de sus datos personales, por ejemplo su modificación, ¿puede la empresa solicitar el DNI? Bruno Auferil, abogado especializado en protección de datos con más de 10 años de experiencia, explica lo siguiente:
«En aquellos supuestos en que la organización tenga dudas sobre la identidad del interesado, después de haber realizado las indagaciones pertinentes con la información facilitada, la misma estará facultada para solicitar al interesado información adicional para confirmar su identidad. (…) A modo de ejemplo, con carácter general, la suscripción a una newsletter por vía de correo electrónico únicamente requiere una dirección electrónica. Por tanto, una solicitud de supresión proveniente de la misma dirección electrónica empleada en el alta debería ser suficiente para que el responsable atienda la misma».
El Real Decreto 1720/2007, que fue el Reglamento de desarrollo de la Ley Orgánica 15/1999 de Protección de Datos Personales (LOPD), incluía en su artículo 25 una disposición en la que se establecía la obligación de que la comunicación del ejercicio de los derechos (como el acceso, rectificación, cancelación u oposición de datos) fuera acompañada de una fotocopia del DNI, pasaporte u otro documento que identificara al solicitante.
Con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) en mayo de 2018, el artículo 25 del Real Decreto 1720/2007 fue derogado casi en su totalidad. Sin embargo, el RGPD no establece de forma explícita la obligación de solicitar un DNI u otro documento para acreditar la identidad del solicitante. Lo que establece es que el responsable del tratamiento tiene que asegurarse de que la persona que ejerce el derecho es quien dice ser. Esto permite a las organizaciones la flexibilidad de elegir la forma más adecuada para verificar la identidad, siempre que sea proporcionada, no invasiva y adecuada al contexto.
Consecuencias de no cumplir con la protección de datos del DNI
Las empresas deben asegurarse de estar al día en materia de protección de datos para evitar un incumplimiento consciente o inconsciente, por parte de cualquiera de sus miembros. Esto pasa por implementar protocolos de seguridad, formar al personal, contar con software RGPD y otras medidas.
Incumplir con la protección de datos del DNI y otra información de carácter personal puede tener serias consecuencias tanto legales como reputacionales para las empresas y organizaciones. Las multas pueden llegar hasta el 4% de la facturación anual global de una empresa o 20 millones de euros, lo que sea mayor.
El RGPD establece dos niveles de multas, dependiendo de la gravedad de la infracción:
- Multas menores: hasta 10 millones de euros o el 2% de la facturación anual global.
- Multas mayores: hasta 20 millones de euros o el 4% de la facturación anual global.
Además, incumplir las leyes de protección de datos para empresas también puede suponer daños irreparables a la reputación, confianza y relaciones comerciales.
Conclusión
El tratamiento responsable del DNI es esencial para las empresas que operan bajo el marco del RGPD. Las organizaciones y entidades públicas deben garantizar que solicitan el DNI solo cuando sea necesario, lo protegen adecuadamente durante su almacenamiento y uso, y cumplen con todos los derechos de los individuos en cuanto a su privacidad y seguridad.
¿Quieres asegurarte de cumplir la normativa de protección de datos y evitar sanciones? Usercentrics te ofrece soluciones innovadoras que facilitan la gestión del consentimiento y la protección de la privacidad con la mayor confianza. Descubre una manera práctica y efectiva de cumplir con las exigencias del RGPD en lo que se refiere a protección de datos en tu sitio web o app, y garantiza el cumplimiento no solo con un correcto tratamiento del DNI de clientes, proveedores o empleados, sino también de cualquiera de tus otros datos en el entorno digital.
–Descargo de responsabilidad: Usercentrics no provee asesoría legal y la información provista tiene fines únicamente educativos. Siempre recomendamos recurrir a consultorías legales cualificadas o especialistas en privacidad en relación a las cuestiones y operaciones sobre privacidad y protección de datos.