Protección de datos y la Identificación de las personas mediante el DNI: Una distinción crucial

Proteccion de datos

Protección de datos: La Identificación de las personas mediante el DNI: Una distinción vital

La protección de datos, en un mundo dominado por la digitalización y el intercambio constante de información, se ha convertido en una cuestión de importancia nuclear. Dentro de este contexto, una frase destaca: «Identificar no significa copiar». Aunque a simple vista, puede parecer una declaración obvia, esta encierra un principio fundamental contenido tanto en el RGPD (Reglamento General de Protección de Datos Personales), como en la  LOPD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales) y que la Agencia Española de Protección de Datos (AEPD) ha subrayado en su reciente informe 2023-0048«.

El principio al que nos referimos es el principio de minimización de los datos personales

La minimización de los datos personales

El Reglamento General de Protección de Datos (RGPD) establece varios principios, entre los que destaca el principio de minimización. Este se refiere a la idea de que solo deben recopilarse y procesarse los datos personales que son estrictamente necesarios para cumplir con un propósito específico. La idea es simple: no solicitar, almacenar o procesar más datos de los absolutamente esenciales.

Aplicando este principio al Documento Nacional de Identidad (DNI), se evidencia un problema común: el DNI alberga una variedad de información personal. Desde el nombre completo, pasando por la fecha y lugar de nacimiento, hasta la dirección actual y otros datos sensibles. En muchos escenarios, toda esta información es excesiva para el mero acto de identificación.

Proteccion de datos

El DNI en el Ojo del Huracán

El Documento Nacional de Identidad (DNI) es un instrumento esencial en la vida cotidiana de las personas, ya que acredita la identidad y nacionalidad de su titular. Dada su relevancia, no es sorprendente que diversas entidades, tanto públicas como privadas, lo soliciten como parte de sus protocolos de identificación.

El acto de requerir el DNI para verificar la identidad de una persona es una práctica común y justificada en muchos contextos, desde realizar trámites bancarios hasta inscribirse en un nuevo curso de formación. Es una manera de asegurarse de que la persona que realiza una acción o solicitud es efectivamente quien dice ser.

Sin embargo, aquí es donde surge un problema frecuente y preocupante: muchas organizaciones y empresas van más allá de la simple verificación y deciden hacer una copia, ya sea física o digital, del DNI. Esto puede ser el resultado de un malentendido, creyendo que poseer una copia del documento aporta una capa adicional de seguridad o autenticidad al proceso, pero en la mayoría de los casos, se realiza  «porque siempre se ha hecho así» o por «comodidad».

Pero la realidad es que la mera identificación no justifica la copia total del documento. Almacenar copias del DNI sin una razón legítima y sin las medidas de protección adecuadas puede exponer a las organizaciones a riesgos de seguridad, tales como brechas de datos o el uso indebido de información personal. Además, esta práctica supone una violación de la normativa de protección de datos personales, como la sanción a una importante empresa de recruiment, por solicitar el DNI del interesado para ejercer el derecho de acceso (PS 00003-2021). 

En numerosas ocasiones, la Agencia Española de Protección de Datos (AEPD) ha emitido opiniones sobre situaciones donde se pedía una copia del DNI, considerando que era innecesario desde su perspectiva como recientemente se manifestó sobre las prácticas de las empresas de mensajería, específicamente cuando se trata de «entregar productos mediante financiación para cumplir la normativa de prevención de blanqueo de capitales; al proporcionar duplicados de tarjetas SIM y al entregar dispositivos móviles.

En consecuencia, es crucial entender la diferencia entre verificar la identidad y almacenar información del DNI innecesariamente. La primera es una medida necesaria para garantizar la autenticidad de una transacción o interacción; la segunda puede ser una invasión de la privacidad y un riesgo para la seguridad de los datos.

 

Riesgos Asociados a la Copia Indiscriminada del DNI

Los peligros de capturar y almacenar copias del DNI van más allá de la simple violación del principio de minimización del RGPD. Almacenar o procesar de forma inapropiada las copias del DNI abre la puerta a:

  1. Fines fraudulentos: Con la suficiente información, actores maliciosos pueden realizar compras, abrir cuentas bancarias o incluso solicitar créditos en nombre de otra persona.
  2. Robo de identidad: Va de la mano con el fraude, permitiendo a terceros actuar en representación de la víctima, como en el caso de BBVA que fue sancionada con 70.000 € por la AEPD por no verificar correctamente la identidad de un cliente. «La persona afectada perdió su DNI, y un individuo desconocido se presentó en una sucursal del banco haciéndose pasar por ella. El trabajador del banco le otorgó todo el dinero que tenía depositado sin pedir permiso ni verificar que realmente no coincidía con la persona del documento de identificación.» PS 00426-2022
  3. Estafas: A través de técnicas como el phishing, se pueden engañar a las personas utilizando la información obtenida del DNI.
  4. Exposición en brechas de seguridad: Las bases de datos con copias de DNI son un blanco atractivo para ciberataques, y una filtración puede exponer a miles o millones de personas.

Legalidad y Proporcionalidad en el Uso del DNI

El Documento Nacional de Identidad (DNI) es un documento oficial que acredita la identidad y nacionalidad de los ciudadanos españoles. Por sus características, este documento contiene información personal sensible, y su uso indebido puede llevar a la violación de derechos fundamentales, como la privacidad.

Es común que, en muchos ámbitos, se solicite una copia del DNI, ya sea para realizar trámites, verificar identidad, o por cuestiones de seguridad. Sin embargo, no en todos los casos es legal o necesario requerir una fotocopia de este documento. La Agencia Española de Protección de Datos (AEPD) ha enfatizado que, antes de solicitar una copia del DNI, es imprescindible que exista una base legal sólida que justifique tal requerimiento.

Más allá de la legalidad, entra en juego el principio de proporcionalidad. Esto significa que las organizaciones, empresas o entidades deben evaluar si realmente es esencial obtener una copia completa del DNI o si, por el contrario, es suficiente con verificar ciertos datos del documento para cumplir con el propósito que se persigue. Por ejemplo, en muchos casos, basta con comprobar el nombre, apellidos y número de DNI, sin necesidad de acceder a otros datos más sensibles o hacer una copia íntegra.

En relación a esto, es importante mencionar el Real Decreto 522/2006, de 28 de abril. Esta normativa suprime la obligatoriedad de aportar fotocopias de documentos de identidad en los procedimientos administrativos de la Administración General del Estado y de sus organismos públicos vinculados o dependientes. Con esta medida, se busca simplificar los trámites administrativos, proteger la privacidad de los ciudadanos y evitar posibles usos indebidos de la información contenida en los DNIs.

Buenas Prácticas y Recomendaciones

Para las organizaciones y empresas, es de vital importancia adoptar buenas prácticas en el manejo del DNI:

  • Limitar la recopilación: Solo solicitar una copia del DNI cuando sea estrictamente necesario y haya una base legal para ello.
  • Proteger las copias: Si se tiene que almacenar una copia del DNI, garantizar que esté debidamente protegida, utilizando medidas de seguridad adecuadas.
  • Destruir las copias innecesarias: Una vez que ya no se necesite la copia del DNI, debe ser destruida de forma segura para evitar posibles filtraciones.

Conclusión

La era digital ha transformado la manera en que compartimos y conservamos información. A medida que avanzamos en esta era tecnológica, se vuelve crucial tratar documentos como el DNI con suma precaución respeto, cumpliendo con la normativa de protección de datos . El reciente informe de la AEPD subraya la necesidad de actuar con sensatez y responsabilidad. Al final del día, resguardar nuestra identidad y la de aquellos que nos rodean es una responsabilidad compartida.

Proteccion de datos

Proteccion de datos

Imagen de vectorjuice en Freepik

Sueca. CP 46410 València
96 203 41 21