Recordamos la célebre frase de Groucho Marx en la película “Una noche en la ópera”. En un camarote abarrotado, Groucho hace el pedido de comida al camarero y cada vez añade un plato a la lista. Chico, otro hermano, dice: “Y también dos huevos duros”, y Harpo, el tercer hermano mudo, hace sonar la bocina para indicar que, en vez de dos, ponga tres huevos. Y así varias veces.
Me he acordado de esta frase en relación al Informe 48/2023 de la Agencia de Protección de Datos del pasado septiembre, en el que pone de manifiesto la decisión de poner freno a la práctica de que las empresas pidan copias del DNI para identificar a los ciudadanos por cualquier cuestión. Es una costumbre arraigada que empresas y Administración pidan toda suerte de documentación al ciudadano y además “también copia del DNI” (a ser posible por las dos caras).
Existe una tradición heredada de la derogada Ley Orgánica de 1999, que establecía como procedimiento oficial para el ejercicio de derechos la obligatoria entrega de una copia del DNI (o NIE o documento equivalente). Esta práctica sigue llevándose a cabo sin que nadie se la cuestione porque “siempre se ha hecho así” y porqué parece que ofrece más seguridad al tráfico jurídico.
En su Informe, la AEPD considera que el uso de DNI puede resultar excesivo o directamente innecesario para cumplir con la finalidad de identificación.
¿Qué problemas plantea?
El número del DNI no es un dato de categoría especial pero sí es un dato sensible, puesto que su mal uso o abuso puede generar efectos desfavorables para su titular.
La suplantación de identidad es un perjuicio muy habitual puesto que pueden realizarse muchas gestiones como dar de alta contratos o cuentas corrientes, registrarse en sitios web de pornografía o juego online, incluso, pedir un duplicado de la tarjeta SIM.
Y también supone un reto de seguridad de la información para las empresas que realizan los tratamientos porque tienen que almacenar los DNIs, en formato analógico o digital, y asegurar su transmisión a terceros. Para compañías que manejan cientos de miles de documentos, incluso de millones, al año, no es un problema menor. Una brecha de seguridad en estos casos puede ser devastadora para su reputación, sanciones al margen.
¿Qué es el principio de minimización?
Está consagrado en el artículo 5.1.c) “Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»). Es decir, solo podemos tratar como responsable únicamente aquellos datos que son estrictamente necesarios para la finalidad perseguida.
¿Qué dice la Agencia?
La Agencia parte de recordar el principio de responsabilidad proactiva, que recoge el RGPD, de forma que cada responsable tendrá que valorar los casos de uso concretos que se le presenten, y hacer juicios de ponderación si fuera necesario, y ver si es procedente o no pedir el DNI o tratar el número o guardar una copia para sus registros. Y, si hay que pedirlo, qué medidas de protección especial se deben aplicar.
Y en el Informe, la Agencia expone unos criterios generales como que la solicitud del número o copia del DNI no puede instaurarse por defecto y que hay que analizar cada supuesto concreto.
Y tampoco puede solicitarse una copia del DNI para el ejercicio de derechos por parte del interesado.
Como en todo, existen excepciones. Por ejemplo, se puede pedir el DNI para cumplir con la normativa en las actividades de prevención del blanqueo de capitales y la financiación del terrorismo porque la ley lo ampara.
Sanciones
Las sanciones son cada vez más frecuentes y de importe más elevado. Mensajería (por fotografiar el DNI), hoteles y plataformas como AirBnb (por pedir copia para hacer la reserva), entidades bancarias por pedir el DNI para hacer un trámite e, incluso, una sanción de 300.000€ a una empresa de selección de personal por vulnerar el art. 5.1.c) del RGPD (minimización de datos) y una infracción del artículo 12 RGPD en el ámbito del ejercicio de los derechos del interesado.
Soluciones
No hay una solución única. Cada responsable tendrá que revisar sus casos de uso y ver qué datos necesita y recoger solo esos. O, si necesita la copia del DNI, justificarlo.
Y ver si hay alternativas menos gravosas para el usuario.
Hay en el mercado soluciones técnicas que permiten, por ejemplo, escanear un documento apantallando (ofuscando, excluyendo, pixelando la imagen, etc.) determinados campos lo que permite guardar solo aquellos estrictamente necesarios.
O enviar códigos alfanuméricos al teléfono móvil que permitirá la identificación del usuario.
Conclusiones
La práctica de pedir el DNI para todo tiene que decaer. Y debe hacerse un esfuerzo por parte de todos para que se acometa la reforma de los sistemas de las empresas lo antes posible. Y tomar medidas también para con los documentos guardados, de los que hablaremos otro día.
Como siempre, ¡cuidaos!
