La Agencia Española de Protección de Datos (AEPD) ha emitido recientemente el Informe 48/2023 en un intento por regular y, de cierta manera, frenar la práctica empresarial de solicitar copias del Documento Nacional de Identidad (DNI) como método generalizado de identificación de los ciudadanos. Pero, ¿por qué es tan importante este cambio? A continuación, desglosamos el contenido del informe, las implicaciones legales y el impacto que podría tener en la sociedad y en el ámbito empresarial.
índice
El Contexto Histórico
Desde hace años, el DNI ha sido el documento predilecto para demostrar la identidad de una persona en España. Empresas, bancos y organizaciones en general han considerado el DNI como la «llave» que certifica la identidad de alguien. Este uso generalizado tiene sus raíces en una normativa ya derogada que establecía la entrega de una fotocopia del DNI como un procedimiento válido para la identificación. Esto ha llevado a que muchas entidades continúen con la práctica, a menudo sin considerar las implicaciones en la protección de datos personales.
Qué dice el Informe 48/2023
El Informe 48/2023 no solo desalienta esta práctica, sino que va más allá al condicionar los supuestos en los que es permisible requerir una copia del DNI. La AEPD ha subrayado que cada entidad deberá valorar si es necesario exigir y/o tratar la copia del DNI y aplicar las medidas de protección adecuadas.
El informe establece que la solicitud del DNI no debe hacerse por defecto, sino que debe analizarse caso por caso. Además, aunque el número del DNI no está clasificado como un dato de categoría especial según el Reglamento General de Protección de Datos (RGPD), sí se considera sensible. Un mal uso de este podría tener efectos graves para su titular.
Implicaciones Legales y Casos Específicos
En ciertos casos, como actividades relacionadas con la prevención de blanqueo de capitales y financiación del terrorismo, el informe acepta que se puede requerir una copia del DNI. Esto se debe a que la normativa específica lo contempla.
Por otro lado, en el sector hotelero, la AEPD ha considerado injustificado que se requiera el envío de fotografías del DNI para todas las personas que se alojarán en un inmueble. La agencia sostiene que no se necesitan todos los datos que figuran en el DNI para cumplir con los requisitos legales, y las sanciones pueden ser elevadas, llegando hasta los 25.000 euros.
El Desafío para las Empresas
Para las empresas, este cambio es un llamado a la reflexión. Muchas organizaciones recopilan el DNI como parte de sus procedimientos estándar sin preguntarse si realmente es necesario o si hay formas menos invasivas de identificar a los clientes. El principio de minimización de datos del RGPD busca que se adopten medidas que sean las menos intrusivas y proporcionadas de acuerdo con el tratamiento que se va a llevar a cabo.
El incumplimiento de estas directrices puede resultar en sanciones significativas. Hemos visto casos en los que la AEPD ha impuesto multas que superan los 200.000 euros, en función del volumen de operaciones y el nivel de facturación del responsable.
Consecuencias para los Ciudadanos
Este nuevo enfoque representa un gran avance en la protección de la privacidad y los datos personales de los ciudadanos. Con el auge de los delitos informáticos, incluida la suplantación de identidad, nunca ha sido más crítico proteger la información sensible. El uso indebido del DNI puede llevar a una serie de problemas, desde la apertura de cuentas bancarias fraudulentas hasta contratos y compras realizadas en nombre del titular del DNI sin su consentimiento.
Hacia una Nueva Cultura de Protección de Datos
Lo que está claro es que la cultura en torno a la protección de datos está cambiando. Ya no es aceptable solicitar el DNI por sistema. Las empresas tendrán que hacer un esfuerzo adicional para asegurarse de que cualquier solicitud de datos personales sea absolutamente necesaria y justificada. De la misma manera, los ciudadanos también tienen un papel que desempeñar siendo conscientes de sus derechos y ejerciéndolos de manera responsable.
Este cambio no solo afecta a las empresas, sino que también llama a los ciudadanos a ser más cautelosos y a conocer sus derechos en materia de protección de datos. La recomendación es sencilla pero esencial: sea cuidadoso con quién y cómo comparte su información personal, incluido su DNI. Conocer la regulación y ejercer nuestros derechos es el primer paso para construir una sociedad más segura y protegida en el ámbito digital.