Vamos a explorar cómo utilizar de manera correcta y legal el Documento Nacional de Identidad (DNI) en el entorno empresarial, siguiendo las directrices establecidas por el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos (LOPD).

El DNI es un dato sensible, tal y como ha advertido en numerosas ocasiones la Agencia Española de Protección de Datos (AEPD), y puede ser usado para suplantar la identidad de una persona. En el informe 48/2023 de la AEPD, esta autoridad considera que escanear, fotocopiar o fotografiar un DNI es excesivo.

La AEPD incide en unos criterios generales de privacidad y uso legal del DNI en las empresas, por lo que debemos valorar y responsabilizarnos en cada caso si resulta necesario o no exigir la copia del DNI o tratar este tipo de datos. Debiendo asimismo evaluar y aplicar las medidas de seguridad y protección aplicables.

LA AEPD HA FIJADO CRITERIOS DE PRIVACIDAD Y USO LEGAL DEL DNI EN LAS EMPRESAS Y ENTIDADES.

La AEPD considera que solo debemos recoger la información del DNI necesaria para confirmar la identidad de la persona, y que la copia del DNI es un tratamiento excesivo, pudiendo ser sancionados.

¿Cuándo hay obligación de mostrar el DNI?

Hemos normalizado tanto esta acción, que no reparamos en los riesgos de tomar y de dar el DNI. No nos planteamos si es legal solicitar el DNI o no. Por eso, si eres una empresa debes tomar conciencia sobre el RGPD y la necesidad de recabar el DNI.

Es importante recordar que la obligación de mostrar el DNI recae principalmente en situaciones donde la ley lo requiere, como en transacciones financieras, contratación de servicios regulados, o en el ejercicio de derechos ciudadanos. En el ámbito empresarial, es fundamental respetar la privacidad de los clientes y empleados, solicitando el DNI solo cuando sea estrictamente necesario para cumplir con obligaciones legales o para llevar a cabo actividades comerciales específicas.

Situaciones en las que hay obligación de mostrar el DNI:

¿Puede una empresa realizar copia del DNI de sus clientes y conservarla posteriormente?

El informe 48/2023 de la Agencia Española de Protección de Datos (AEPD) es claro al respecto: la copia del DNI debe evitarse siempre que sea posible. En la mayoría de los casos, no existe una necesidad real de conservar copias del DNI de los clientes o usuarios. Si se requiere verificar la identidad, se pueden utilizar métodos alternativos que no comprometan la privacidad, como el uso de sistemas de verificación de identidad electrónica.

Tener acceso al DNI de cualquier persona y conservar una copia del mismo, supone:

Una alternativa, a la solicitud de una copia del DNI, en los casos que sea imprescindible verificar la identidad de una persona, sería solicitarle sus datos de identificación y cotejarlos con los datos de identificación que obren en los archivos, bases de datos u otros fondos documentales de la empresa.

En lo referente a solicitar una copia del DNI, en el caso de las Administraciones Públicas (AAPP):

¿Qué criterios sigue la AEPD?

La AEPD también se ha pronunciado en distintas resoluciones de procedimientos sancionadores en el sentido que se deben emplear fórmulas menos intrusivas para verificar la identidad de una persona, que la de solicitar una copia del DNI, que vulneraria como indicábamos anteriormente el principio de minimización del art. 5.1.c) RGPD. Por ejemplo, en el ejercicio de derechos que el RGPD confiere al interesado entre otras:

HOTELES y ALQUILERES VACACIONALES, ¿cómo cumplir con la privacidad y el uso legal del DNI?

PRIVACIDAD Y USO LEGAL DEL DNI EN LAS EMPRESAS. CHECK IN HOTELES Y ALQUILERES VACACIONALES.

En el sector hotelero o de alquiler vacacional, es común solicitar el DNI como parte del proceso de registro. Sin embargo, es importante limitar la recopilación de datos personales únicamente a lo necesario para cumplir con las obligaciones legales y para la gestión de la reserva. No se deben conservar copias del DNI una vez que se haya completado el proceso de registro, a menos que exista una justificación legal específica para hacerlo.

La Agencia Española de Protección de Datos (AEPD) ha señalado que tomar una fotocopia o escanear el Documento Nacional de Identidad (DNI) de un individuo como parte del proceso de reserva en un establecimiento hotelero es una medida considerada injustificada.

Aunque es necesario cumplir con el Real Decreto 933/2021 para mantener un registro detallado de los huéspedes y facilitar la comunicación con las autoridades pertinentes, realizar dicho registro y verificar su identidad mediante la presentación del documento, la recopilación y el almacenamiento excesivos de datos personales, más allá de lo estrictamente necesario, se consideran desproporcionados. Esto se debe a que el anverso del DNI contiene información personal que no es relevante para el registro hotelero.

La Orden INT/1922/2003, de 3 de julio, sobre libros-registro y partes de entrada de viajeros en establecimientos de hostelería y otros análogos recoge, en su Anexo el “Modelo de parte de entrada de viajeros”, que de los huéspedes se recogerán los siguientes datos:

Por tanto, una vez recogidos los datos no se almacenará copia del DNI.

¿Qué criterios generales hay que seguir en las empresas?

En general, las empresas deben seguir estos criterios para garantizar el uso responsable del DNI:

  1. Limitar la recopilación y conservación de datos personales al mínimo necesario.
  2. Obtener el consentimiento explícito de los individuos para el tratamiento de sus datos, explicando claramente el propósito y la duración del mismo.
  3. Implementar medidas de seguridad adecuadas para proteger los datos personales de accesos no autorizados o usos indebidos.
  4. Garantizar la transparencia en el tratamiento de datos, proporcionando información clara y completa sobre cómo se utilizarán los datos personales.

¿Qué infracciones puede conllevar no cumplir estos criterios?

El incumplimiento de protección de datos, como el RGPD y la LOPD, puede conllevar sanciones severas por parte de las autoridades de protección de datos. Estas sanciones pueden incluir multas económicas significativas y daños a la reputación de la empresa. Además, las empresas pueden enfrentarse a demandas judiciales por parte de los individuos cuyos derechos de privacidad hayan sido infringidos.

Algunas sanciones a este respecto son:

  • PS/00413/2021, sanción por solicitar fotografía del DNI para entregar un paquete: 100.000€
  • PS/00499/2022, sanción por solicitar fotografía del DNI, para un check-in: 25.000€
  • PS00170/2022, sanción por solicitar copia del DNI para poder tramitar una consulta: 70.000€
  • PS00003/2021, sanción por solicitar copia del DNI para atender una solicitud de ejercicio de derechos: 300.000€
PRIVACIDAD Y USO LEGAL DEL DNI EN LAS EMPRESAS. SANCIONES RGPD Y LOPD.

CONCLUSIÓN

Toda empresa debe tomar conciencia acerca de la protección de datos y privacidad relacionada con el uso del DNI de las personas.

Tomar copia del DNI a clientes, huéspedes, empleados, etc., cuando no es pertinente hacerlo, conlleva incumplir el RGPD y la LOPD, con la correspondiente sanción.

Es fundamental informar a los interesados de la finalidad de uso del DNI, evaluar y aplicar las medidas de seguridad necesarias evitando su uso fraudulento por terceros.

Al hacerlo cumples la Ley y construyes confianza y lealtad de las personas (clientes, huéspedes, empleados, etc.)


AUDITTA ayuda a empresas y organizaciones a cumplir el RGPD y la LOPD, asesorando en la privacidad y uso legal del DNI en las empresas.

En Auditta llevamos más de 17 años ayudando a negocios, pymes y empresas de la Región de Murcia y de toda España a cumplir adecuadamente la protección de datos.

Nos ocupamos de que tu negocio cumpla con el RGPD y la LOPDGDD de forma cercana, rigurosa y fácil.

¿Hablamos?

Créditos:

Ir al contenido