¿Realiza su empresa tratamientos adecuados con el DNI?
Es habitual que las empresas pidan a sus clientes que exhiban el DNI o pasaporte y que incluso lo escaneen o soliciten que se lo envíen por correo electrónico para llevar a cabo la identificación de una persona física. Sin embargo, al llevar a cabo esta práctica, las empresas pueden estar incumpliendo el principio de minimización de los datos recogido en el artículo 5 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 ( “RGPD”), que exige que solo se puedan recabar datos adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. En este artículo, analizamos el tratamiento adecuado y el uso indebido del DNI por las empresas.
¿Cuál es el criterio de la AEPD en relación con la captura de la imagen del DNI por parte de las entidades de mensajería?
La AEPD emitió el informe 0048/2023 en relación con una consulta planteada sobre si es conforme a la normativa de protección de datos la captura de la imagen del DNI por parte de las entidades de mensajería en distintos supuestos.
En dicho informe la AEPD, remitiéndose a consultas anteriores, destaca que el número de DNI es una información especialmente sensible, pues su uso indebido o sin las garantías suficientes puede tener múltiples efectos desfavorables para el titular de los datos. Por lo tanto, el uso del DNI puede resultar excesivo o innecesario para cumplir la finalidad de identificación y, si existen otras medidas menos gravosas que cumplan con el fin de identificar a una persona, se recomienda no usar el DNI.
Destaca el informe que la información del documento de identidad que no sea necesaria para confirmar la identidad del interesado (teniendo en cuenta el contexto concreto), tal y como, por ejemplo, el número del documento o la fotografía, podría conducir a que la solicitud del DNI y la recogida de una copia del mismo fuera un tratamiento excesivo.
Para determinar si lo es, habría que analizar caso por caso y evaluar diferentes aspectos, como pueden ser la base jurídica que legitima dicho tratamiento (sobre todo si hay una norma que lo autoriza) así como el riesgo que implica dicho tratamiento, partiendo siempre del respeto a los principios de minimización y de proporcionalidad, con el objetivo de que sólo se traten datos personales si la finalidad del tratamiento no puede lograrse de forma razonable por otros medios.
El informe nos sirve de apoyo para interpretar los principios de minimización y proporcionalidad, pero no dice en qué casos pueden realizarse tratamientos de datos del DNI cuando no existe una norma que expresamente prevea su uso, como ocurre con la normativa de prevención de blanqueo de capitales, por lo que cada empresa es la propia responsable de analizar qué tratamiento de datos del documento de DNI necesita para su actividad y para cada finalidad.
Resoluciones de la AEPD sobre el uso indebido del DNI por parte de las empresas
También la AEPD ha tenido ocasión de pronunciarse sobre el uso indebido del DNI por parte de las empresas en varias resoluciones sancionadoras que ha impuesto a empresas de distintos sectores como consecuencia de reclamaciones de clientes personas físicas.
Podemos mencionar así la reciente resolución dictada por la AEPD en el expediente EXP202310910 como consecuencia de la exigencia por parte de una empresa organizadora de conciertos de aportar copia del DNI de los padres o tutores de los menores de 16 años que acudían a un evento si querían acceder al mismo. La autoridad de control, a la vista de los hechos alegados en dicha reclamación, considera que la recogida de la fotocopia del DNI es un tratamiento de datos personales contrario al principio de minimización de datos regulado en el artículo 5.1.c) del RGPD, agravándose además la sanción por estar desactualizada la política de protección de datos que hacía referencia a la Ley Orgánica 15/1999 de Protección de Datos ya derogada y no informar sobre el tratamiento que se iba a realizar con los datos obtenidos en la copia del DNI, ni sobre el plazo de conservación de los mismos. Por todo ello, la AEPD sanciona con una multa de 20.000 €.
Práctica común también de los hoteles es solicitar copia del DNI en el momento de realizarse el registro de entrada. Si bien esta exigencia es acorde para cumplir con las obligaciones de registro documental impuestas por la legislación aplicable, el tratamiento puede ser excesivo si se recoge copia del DNI y se usan más datos de los necesarios como, por ejemplo, la fotografía del DNI sin el consentimiento del cliente y sin informar de finalidades.
Así se deriva de la resolución dictada en el procedimiento sancionador Nº: PS/00078/2021 en la que se sanciona a un hotel con una multa de 30.000 € por utilizar la fotografía recogida de los pasaportes para prevenir fraudes en los consumos de los servicios, haciéndolo además sin informar de este tratamiento a los huéspedes y sin recabar su consentimiento.
Podemos mencionar también el procedimiento sancionador PS/00413/2021 contra una empresa de telefonía que exigía a la empresa de mensajería que, para entregar un teléfono móvil al cliente, tomase una fotografía del anverso y reverso del DNI con su terminal en el momento de la entrega.
La AEPD, a la vista de los hechos, determina que existen otros procedimientos a través de los cuales puede verificarse la identidad de su destinatario sin que sea necesario fotografiar su DNI por medio de la aplicación contenida en el móvil del repartidor de la empresa, y concluye que este tratamiento resulta excesivo para la finalidad pretendida e impone un sanción de 100.000 €.
Todas estas sanciones evidencian que cada vez más los ciudadanos han tomado conciencia de la importancia de la protección de sus datos y se oponen a un tratamiento excesivo o inadecuado de los mismos y, por lo tanto, las empresas, en cumplimiento del principio de responsabilidad proactiva, deben llevar a cabo un análisis exhaustivo de los tratamientos de datos que realizan, evaluando si los mismos son necesarios y proporcionales para las distintas finalidades para los que los recaban, atendiendo a la casuística de cada actividad. El cumplimiento de la normativa de protección de datos requiere una actualización constante de las empresas en esta materia mediante el asesoramiento adecuado.
¿Necesita asesoramiento? Acceda a nuestra área relacionada con el tratamiento del DNI y la protección de datos: