Vamos a explorar cómo utilizar de manera correcta y legal el Documento Nacional de Identidad (DNI) en el entorno empresarial, siguiendo las directrices establecidas por el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos (LOPD).
El DNI es un dato sensible, tal y como ha advertido en numerosas ocasiones la Agencia Española de Protección de Datos (AEPD), y puede ser usado para suplantar la identidad de una persona. En el informe 48/2023 de la AEPD, esta autoridad considera que escanear, fotocopiar o fotografiar un DNI es excesivo.
La AEPD incide en unos criterios generales de privacidad y uso legal del DNI en las empresas, por lo que debemos valorar y responsabilizarnos en cada caso si resulta necesario o no exigir la copia del DNI o tratar este tipo de datos. Debiendo asimismo evaluar y aplicar las medidas de seguridad y protección aplicables.
La AEPD considera que solo debemos recoger la información del DNI necesaria para confirmar la identidad de la persona, y que la copia del DNI es un tratamiento excesivo, pudiendo ser sancionados.
¿Cuándo hay obligación de mostrar el DNI?
Hemos normalizado tanto esta acción, que no reparamos en los riesgos de tomar y de dar el DNI. No nos planteamos si es legal solicitar el DNI o no. Por eso, si eres una empresa debes tomar conciencia sobre el RGPD y la necesidad de recabar el DNI.
Es importante recordar que la obligación de mostrar el DNI recae principalmente en situaciones donde la ley lo requiere, como en transacciones financieras, contratación de servicios regulados, o en el ejercicio de derechos ciudadanos. En el ámbito empresarial, es fundamental respetar la privacidad de los clientes y empleados, solicitando el DNI solo cuando sea estrictamente necesario para cumplir con obligaciones legales o para llevar a cabo actividades comerciales específicas.
Situaciones en las que hay obligación de mostrar el DNI:
- Cuando se motivo justificado, lo requiera la Autoridad o sus Agentes (Art. 2.2. Real Decreto 1553/2005 y Art. 9.2. Ley Orgánica 4/2015):
- Agentes de los Cuerpos y Fuerzas de Seguridad del Estado.
- Autoridades gubernamentales, ya sean funcionarios de instituciones estatales, autonómicas o municipales.
- Cuando lo solicite cualquier persona elegida para formar parte de una mesa electoral a todo aquel que acuda a votar.
- Cuando lo requiera un vigilante de seguridad en el ejercicio de sus funciones de control de acceso a instalaciones.
- Cuando nos lo requieran en establecimientos o servicios que tengan que ver con actividades relevantes para la seguridad ciudadana, como el hospedaje, el acceso comercial a servicios telefónicos o telemáticos de uso público mediante establecimientos abiertos al público, la compraventa de joyas y metales, objetos u obras de arte, la cerrajería de seguridad o el comercio al por mayor de chatarra o productos de desecho ( Ley 4/2015 de protección de la seguridad ciudadana) y locales de juegos, para evitar el acceso a estos establecimientos de los “autoprohibidos” (personas inscritas en el Registro de Acceso Prohibido, que voluntariamente hayan solicitado la prohibición de acceso), menores de edad y personas incapacitadas judicialmente. (normativa autonómica).
¿Puede una empresa realizar copia del DNI de sus clientes y conservarla posteriormente?
El informe 48/2023 de la Agencia Española de Protección de Datos (AEPD) es claro al respecto: la copia del DNI debe evitarse siempre que sea posible. En la mayoría de los casos, no existe una necesidad real de conservar copias del DNI de los clientes o usuarios. Si se requiere verificar la identidad, se pueden utilizar métodos alternativos que no comprometan la privacidad, como el uso de sistemas de verificación de identidad electrónica.
Tener acceso al DNI de cualquier persona y conservar una copia del mismo, supone:
- Acceder a datos personales no adecuados ni pertinentes a los fines para los que se recaban, es decir datos personales prescindibles, innecesarios y por tanto excesivos (imagen, fecha de nacimiento, fecha de validez, nombre y primer apellido de los padres), por lo que se estaría vulnerando uno de los principios esenciales del RGPD, esto es el de minimización (art. 5.1.c RGPD).
- Un riesgo para el titular del DNI, porque podría utilizarse de forma fraudulenta.
Una alternativa, a la solicitud de una copia del DNI, en los casos que sea imprescindible verificar la identidad de una persona, sería solicitarle sus datos de identificación y cotejarlos con los datos de identificación que obren en los archivos, bases de datos u otros fondos documentales de la empresa.
En lo referente a solicitar una copia del DNI, en el caso de las Administraciones Públicas (AAPP):
- En los procedimientos cuya tramitación y resolución corresponda a la Administración General del Estado o sus organismos públicos vinculados o dependientes, no se exigirá a efectos de comprobación de los datos de identificación personal, a quien tenga la condición de interesado, la aportación de fotocopias del DNI.
¿Qué criterios sigue la AEPD?
La AEPD también se ha pronunciado en distintas resoluciones de procedimientos sancionadores en el sentido que se deben emplear fórmulas menos intrusivas para verificar la identidad de una persona, que la de solicitar una copia del DNI, que vulneraria como indicábamos anteriormente el principio de minimización del art. 5.1.c) RGPD. Por ejemplo, en el ejercicio de derechos que el RGPD confiere al interesado entre otras:
- Si la dirección de correo electrónico de la persona solicitante consta ya en los sistemas del responsable y la solicitud se lleva a cabo desde la misma, sería suficiente para verificar su identidad.
- Si es el caso, enviar la solicitud a través de una cuenta de usuario junto con un factor de autenticación adicional remitido por otro canal diferente.
HOTELES y ALQUILERES VACACIONALES, ¿cómo cumplir con la privacidad y el uso legal del DNI?
En el sector hotelero o de alquiler vacacional, es común solicitar el DNI como parte del proceso de registro. Sin embargo, es importante limitar la recopilación de datos personales únicamente a lo necesario para cumplir con las obligaciones legales y para la gestión de la reserva. No se deben conservar copias del DNI una vez que se haya completado el proceso de registro, a menos que exista una justificación legal específica para hacerlo.
La Agencia Española de Protección de Datos (AEPD) ha señalado que tomar una fotocopia o escanear el Documento Nacional de Identidad (DNI) de un individuo como parte del proceso de reserva en un establecimiento hotelero es una medida considerada injustificada.
Aunque es necesario cumplir con el Real Decreto 933/2021 para mantener un registro detallado de los huéspedes y facilitar la comunicación con las autoridades pertinentes, realizar dicho registro y verificar su identidad mediante la presentación del documento, la recopilación y el almacenamiento excesivos de datos personales, más allá de lo estrictamente necesario, se consideran desproporcionados. Esto se debe a que el anverso del DNI contiene información personal que no es relevante para el registro hotelero.
La Orden INT/1922/2003, de 3 de julio, sobre libros-registro y partes de entrada de viajeros en establecimientos de hostelería y otros análogos recoge, en su Anexo el “Modelo de parte de entrada de viajeros”, que de los huéspedes se recogerán los siguientes datos:
- Núm. de documento de identidad
- Tipo de documento
- Fecha expedición del documento
- Nombre y apellidos
- Sexo
- Fecha de nacimiento
- País de nacionalidad
- Fecha de entrada
Por tanto, una vez recogidos los datos no se almacenará copia del DNI.
¿Qué criterios generales hay que seguir en las empresas?
En general, las empresas deben seguir estos criterios para garantizar el uso responsable del DNI:
- Limitar la recopilación y conservación de datos personales al mínimo necesario.
- Obtener el consentimiento explícito de los individuos para el tratamiento de sus datos, explicando claramente el propósito y la duración del mismo.
- Implementar medidas de seguridad adecuadas para proteger los datos personales de accesos no autorizados o usos indebidos.
- Garantizar la transparencia en el tratamiento de datos, proporcionando información clara y completa sobre cómo se utilizarán los datos personales.
¿Qué infracciones puede conllevar no cumplir estos criterios?
El incumplimiento de protección de datos, como el RGPD y la LOPD, puede conllevar sanciones severas por parte de las autoridades de protección de datos. Estas sanciones pueden incluir multas económicas significativas y daños a la reputación de la empresa. Además, las empresas pueden enfrentarse a demandas judiciales por parte de los individuos cuyos derechos de privacidad hayan sido infringidos.
Algunas sanciones a este respecto son:
- PS/00413/2021, sanción por solicitar fotografía del DNI para entregar un paquete: 100.000€
- PS/00499/2022, sanción por solicitar fotografía del DNI, para un check-in: 25.000€
- PS00170/2022, sanción por solicitar copia del DNI para poder tramitar una consulta: 70.000€
- PS00003/2021, sanción por solicitar copia del DNI para atender una solicitud de ejercicio de derechos: 300.000€
CONCLUSIÓN
Toda empresa debe tomar conciencia acerca de la protección de datos y privacidad relacionada con el uso del DNI de las personas.
Tomar copia del DNI a clientes, huéspedes, empleados, etc., cuando no es pertinente hacerlo, conlleva incumplir el RGPD y la LOPD, con la correspondiente sanción.
Es fundamental informar a los interesados de la finalidad de uso del DNI, evaluar y aplicar las medidas de seguridad necesarias evitando su uso fraudulento por terceros.
Al hacerlo cumples la Ley y construyes confianza y lealtad de las personas (clientes, huéspedes, empleados, etc.)
En Auditta llevamos más de 17 años ayudando a negocios, pymes y empresas de la Región de Murcia y de toda España a cumplir adecuadamente la protección de datos.
Nos ocupamos de que tu negocio cumpla con el RGPD y la LOPDGDD de forma cercana, rigurosa y fácil.
Créditos:
- Imagen de vectorjuice en Freepik
- Imagen de Freepik
- Imagen de storyset en Freepik