¿Puede una entidad hacer y conservar copias del DNI de sus clientes?
La respuesta, como regla general, es NO, salvo que alguna ley lo exigiese expresamente. Tener acceso al DNI de cualquier persona y conservar una copia del mismo, supone:
- Acceder a datos personales no adecuados ni pertinentes a los fines para los que se recaban, es decir datos personales prescindibles, innecesarios y por tanto excesivos (imagen, fecha de nacimiento, fecha de validez, nombre y primer apellido de los padres), por lo que se estaría vulnerando uno de los principios esenciales del RGPD, esto es el de minimización (art. 5.1.c RGPD).
- Un riesgo para el titular del DNI, porque podría utilizarse de forma fraudulenta.
Una alternativa, a la solicitud de una copia del DNI, en los casos que sea imprescindible verificar la identidad de una persona, sería solicitarle sus datos de identificación y cotejarlos con los datos de identificación que obren en los archivos, bases de datos u otros fondos documentales de la entidad.
Qué dice la normativa al respecto
En lo referente a la obligación de exhibir el DNI, deberíamos hacerlo, siempre y cuando se justifiquen los motivos, cuando nos sea requerido:
- Por la autoridad o sus agentes (art. 9. 2 Ley Orgánica 4/2015, de protección de la seguridad ciudadana).
- Por un vigilante de seguridad en los controles de accesos o en el interior de los inmuebles de cuya vigilancia y seguridad estuvieran encargados (art. 77 RD 2364/1994 por el que se aprueba el Reglamento de Seguridad Privada).
En lo referente a solicitar una copia del DNI, en el caso de las Administraciones Públicas (AAPP):
- En los procedimientos cuya tramitación y resolución corresponda a la Administración General del Estado (AGE) o sus organismos públicos vinculados o dependientes, no se exigirá a efectos de comprobación de los datos de identificación personal, a quien tenga la condición de interesado, la aportación de fotocopias del DNI.
Qué criterios sigue la AEPD
La AEPD también se ha pronunciado en distintas resoluciones de procedimientos sancionadores en el sentido que se deben emplear fórmulas menos intrusivas para verificar la identidad de una persona, que la de solicitar una copia del DNI, que vulneraria como indicábamos anteriormente el principio de minimización del art. 5.1.c) RGPD. Por ejemplo, en el ejercicio de derechos que el RGPD confiere al interesado entre otras:
- Si la dirección de correo electrónico de la persona solicitante consta ya en los sistemas del responsable y la solicitud se lleva a cabo desde la misma, sería suficiente para verificar su identidad.
- Si es el caso, enviar la solicitud a través de una cuenta de usuario junto con un factor de autenticación adicional remitido por otro canal diferente.
Sanciones
- PS/00413/2021, sanción por solicitar fotografía del DNI para entregar un paquete: 100.000€
- PS/00499/2022, sanción por solicitar fotografía del DNI, para un check-in: 25.000€
- PS00170/2022, sanción por solicitar copia del DNI para poder tramitar una consulta: 70.000€
- PS00003/2021, sanción por solicitar copia del DNI para atender una solicitud de ejercicio de derechos: 300.000€