Pedimos y damos el DNI en exceso

La Agencia Española de Protección de Datos (AEPD) publicó recientemente un informe en el que concluye que las empresas piden en exceso copias del DNI para identificar a los ciudadanos, una costumbre que considera que debe reducirse al máximo dado los peligros que esa práctica implica.

El DNI, pasaporte o cualquier documental nacional de identidad contiene mucha información personal relevante (nombre y apellidos, fotografía, lugar de nacimiento o nombre de los padres, entre otros). Datos que pueden ser usados para actividades ilícitas como una suplantación de identidad.

Eso por ejemplo puede derivar en que si nuestro gestor nos solicita una copia del DNI y por un error o descuido la misma acaba en manos de un ciberatacante, el mismo podría usar ese documento y la información incluida para crearse una cuenta en un servicio de micro préstamos, comenzar a solicitar dinero, nunca devolverlo y cargarle la deuda a la persona suplantada.

Por desgracia eso no es ciencia ficción y ocurre más de lo que parece.

Las razones por las que muchas empresas todavía nos solicitan, y a las que entregamos con facilidad, copias del DNI tiene su origen por un lado en la derogada normativa sobre protección de datos, según la cual el procedimiento oficial para el ejercicio de derechos como el de acceso o rectificación requería entregar una fotocopia del DNI, pasaporte u otro documento válido que identificase al solicitante.

Por otro lado, muchos procesos frente a la Administración Pública requerían hacer entrega de una copia del DNI. Si bien hace más de 15 años que esa obligación desapareció por ley, la lenta digitalización de la administración pública también ha contribuido a que la costumbre de pedir el DNI por casi cualquier trámite no llegue a desaparecer.

Finalmente, hay que sumar la costumbre de muchas empresas de pedir copia del DNI para identificarse a efectos de un alojamiento turístico, al llegar a un hotel, alquilar un vehículo, contratar un seguro, una hipoteca o tantas otras actividades habituales en el día a día.

Todo ello ha hecho común que nos pidan copia del DNI y que no lo veamos como algo extraño o peligroso. Pero claro, la digitalización del mundo ha convertida a esa práctica habitual en un serio riesgo ya que el DNI como documento y la información que contiene pueden usarse para muchas actividades ilícitas en caso de ciberataques. Por ejemplo, que se hagan pasar por nosotros y contraten múltiples servicios o productos en nuestro nombre.

Por tanto, con la intención de limitar esta práctica, la AEPD indica en su Informe 48/2023 que cada entidad será la que en función del tratamiento a realizar y el caso concreto, deba valorar si es procedente o no exigir y/o tratar no solo una copia del DNI, incluso el número. Además, qué medidas de protección deba aplicar al respecto si no queda más remedio que solicitarlo.

¿Cuáles son las pautas generales indicadas por la AEPD a efectos de solicitar el DNI?

• -Nada de pedirlo por defecto o de forma sistemática, debe ser caso por caso y cuando sea necesario. Por ejemplo, en actividades de prevención de blanqueo de capitales o financiación del terrorismo.
• Como decíamos antes, el número en sí ya es un dato sensible que puede generar riesgos. Si no queda más remedio que usarlo, no debe aparecer completo si debe publicarse o compartirse con terceros.
• Si hay otras alternativas válidas para identificar al usuario y que resulten menos gravosas para su privacidad, por ejemplo un SMS o correo con código de identificación, hay que usarlas.
• Si una copia del DNI es necesaria pero no requerimos todos los datos incluidos, tiene que posibilitarse esa opción. Por ejemplo, entregarlo pixelando la fotografía.
• Sectores que históricamente han solicitado copia del DNI para identificar al ciudadano, por ejemplo en hoteles, servicios de mensajería o alojamientos turísticos, deben repensar el proceso, asegurar que necesitan ese dato y tomar las medidas oportunas para evitar problemas.

En ese sentido, recordar que solo en el último año ha habido varias sanciones a esos sectores, de 25 mil a 200 mil euros, por requerir el DNI cuando era innecesario. Por ejemplo, una empresa de alquiler de apartamentos a través de Airbnb que entre otros datos requería el envío de las fotografías del DNI, por ambas caras. También un servicio de mensajería que pedía fotos del DNI al entregar el paquete o un hotel que almacenaba el DNI y pasaportes a efectos de identificar a los usuarios a la entrada en el restaurante, un caso del que ya hablamos aquí.

En resumen, si eres la empresa que lo solicita, ojo con pedir alegremente el DNI o copia del mismo a la hora de tratar datos personales. La AEPD ha agotado su paciencia con este tipo de práctica y la está sancionando con fuerza.

Por otro lado, si eres el ciudadano al que se lo piden, ojo con darlo alegremente y recuerda a la empresa solicitante que hay alternativas menos invasivas que debe valorar antes de pedir una copia.

Si necesitas ayuda con alguna de las cuestiones comentadas, puedes encontrarnos aquí.