El Documento Nacional de Identidad (DNI) es el documento de identificación de las personas por excelencia. Aparte del número, que nos identifica de forma certera, el propio documento físico contiene multitud de datos personales: nombre y apellidos, fotografía, lugar y fecha de nacimiento, nombre de los progenitores, firma… De ahí que no resulte baladí que las empresas y los consumidores sepamos si es legal fotocopiar, escanear o fotografiar el DNI de clientes.
Sobre todo porque estamos hablando de datos considerados sensibles, que pueden permitir la suplantación de identidad del titular, y cuya recogida y tratamiento por norma general contravienen los principios de proporcionalidad y minimización de datos del Reglamento General de Protección de Datos (RGPD).
En este sentido, con respecto a la posibilidad de fotocopiar o fotografiar el DNI de clientes, el Comité Europeo de Protección de Datos ha declarado que (Directrices 1/2022, v. 2.1, de 28 de marzo de 2023):
La utilización de una copia de un documento de identidad como parte del proceso de autenticación crea un riesgo para la seguridad de los datos personales y puede dar lugar a un tratamiento no autorizado o ilícito, por lo que debe considerarse inadecuada, salvo que sea estrictamente necesario, adecuado y conforme con el Derecho nacional.
En la misma línea, la Agencia Española de Protección de Datos (AEPD) viene insistiendo en que la exigencia de fotocopiar, escanear o fotografiar el DNI de clientes debe tener carácter residual:
Salvo que la norma lo prevea expresamente y no existan otros elementos que sirvan para la identificación de la persona en cuestión, el uso del DNI puede resultar excesivo e innecesario para cumplir la finalidad de identificación sobre todo teniendo en cuenta lo indicado en el RGPD en su artículo 87 y la protección que se brinda a este dato personal en la propia LOPDGDD en su disposición adicional séptima.
La AEPD sanciona económicamente exigir una copia o fotografiar el DNI de clientes
En la práctica, la AEPD ha aplicado esta doctrina en múltiples expedientes sancionadores: ha impuesto multas a negocios de todo tipo, por solicitar o exigir la copia, escaneo o fotografía del DNI a los clientes o usuarios con diferentes finalidades. Por ejemplo, las siguientes:
- EXP202302620: Impone una sanción de 30.000€ a una clínica dental que debía reembolsar una cantidad pagada de más a una paciente, y le exigía una copia del DNI para realizar el reembolso. La AEPD considera que había otros modos de verificar la identidad de la paciente, de la que además ya tenían la cuenta bancaria y que estaba dispuesta a aceptar otros medios de pago.
- PS/00413/2021: Sanción de 100.000€ a una empresa de telefonía móvil porque exigía para la entrega a domicilio de los terminales, que el repartidor hiciese una fotografía del anverso y reverso del DNI del cliente como condición para entregar el dispositivo.
- EXP202310840: Sanciona con 5.000 euros a una pequeña empresa de organización de eventos por exigir para la entrada de menores de 16 años a un concierto, una autorización del tutor o progenitor, necesariamente acompañada de la fotocopia de su DNI.
- PS/00499/2022: Sanción de 75.000€ a una empresa de alojamiento que se ofertaba en Airbnb, porque exigía a los huéspedes un selfie y una copia de su DNI para realizar el check-in.
- EXP202104493: Sanción de 70.000€ a una entidad bancaria por solicitarle a una persona la copia del DNI para facilitarle los datos de contacto de una oficina del propio banco. El Banco le había remitido previamente a esta persona una comunicación para que contactase con una oficina, indicándole únicamente la dirección de la misma.
- PS/00003/2021: Sanción de 250.000€ a una empresa de recruiting por exigir la copia del DNI a una usuaria para poder ejercitar su derecho de acceso. Se considera que existen formas menos intrusivas de identificación como la identificación electrónica o enviar la solicitud a través de la cuenta de usuario junto con un factor de autenticación adicional remitido por otro canal diferente.
Cómo actuar para evitar sanciones por escanear o fotografiar el DNI de clientes
Copiar, escanear o fotografiar el DNI de clientes y conservarlo es contrario al principio de minimización de datos del RGPD: no debemos tratar más datos personales de los necesarios para la finalidad concretar que se necesite. Aplicando el principio de proporcionalidad del RGPD, debemos valorar si podemos identificar al cliente o usuario con otros medios que impliquen menos datos personales: por ejemplo, sólo mediante su número de DNI, o mediante la exhibición del documento, sin copiarlo ni escanearlo.
Por norma general, no debe solicitarse una copia o fotografiar el DNI de clientes: sólo debemos hacernos con una copia de este documento en caso de que exista una norma que lo prevea expresamente, y cuando no existan otros elementos que sirvan para la identificación de la persona en cuestión.
El principal supuesto de excepción, en que sí existe una norma legal que exige solicitar la copia o escanear o fotografiar el DNI de clientes, es la prevención de blanqueo de capitales: los sujetos obligados por la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo -por ejemplo entidades bancarias o despachos de abogados– deben solicitar a sus clientes una copia de DNI y conservarla, como medida de diligencia debida impuesta por la ley.
En conclusión, a la hora de diseñar la política de privacidad de nuestra empresa, debemos tener en cuenta las circunstancias particulares de la actividad y las normas aplicables, así como los principios de tratamiento de datos personales del RGPD. Pero ante la duda y por norma general, debe evitarse solicitar una copia, escanear o fotografiar el DNI de clientes.
En Vento Abogados & Asesores disponemos de un equipo de juristas especializados en Protección de Datos que asesoran a las empresas a la hora de confeccionar e implementar sus políticas de privacidad y ayudarlas a evitar cuantiosas sanciones por realizar acciones indebidas como escanear, fotocopiar o fotografiar el DNI de clientes.
