Muchas son ya las sanciones que viene imponiendo la agencia española de protección de datos sobre la solicitud de la fotocopia del DNI cuando no existe una habilitación legal para ello. Analizamos a continuación varias de ellas y al final del articulo realizamos un análisis de las conclusiones:
Procedimiento sancionador ps-00036-2024 en el que se impone una multa de 1.500 euros a un establecimiento hotelero donde se indica que no es obligatorio recoger, registrar ni comunicar a las autoridades competentes la imagen, fotocopia o fotografía completa del documento de identidad de cada viajero, sino únicamente de algunos datos contenidos en el mismo como: nombre y apellidos, el número de identificación, el número de soporte, el tipo de documento (DNI; pasaporte…etc.), la nacionalidad, y la fecha de nacimiento.
Y es que hay que tener en cuenta que la fotografía o fotocopia del DNI del viajero (en sus dos caras), del pasaporte u otros documentos acreditativos de la identidad contiene datos personales que exceden de los exigidos en la normativa, tales como: la imagen o cara del viajero, el número de equipo, o los nombres de los progenitores del viajero, sobre los que no concurre una obligación legal de recogida, registro, y comunicación, de acuerdo con normativa. Todos ellos serían datos personales cuyo tratamiento no puede ampararse en la base de licitud del artículo 6.1.c) del RGPD, suponiendo un tratamiento excesivo que es contrario al principio de minimización de datos previsto en el artículo 5.1.c) del RGPD.
Además en este caso se utiliza una aplicación online para la gestión de datos personales implantado por esta entidad con carácter general, diseño que supone una operación de tratamiento de datos personales según el concepto amplio de operaciones de tratamiento mantenido por el Tribunal de Justicia de la Unión Europea, y que, por tanto, debe realizarse teniendo en cuenta que es necesario una base de licitud para tratar todos los datos personales que solicita a sus viajeros a través de dicha aplicación, que la reclamada pudo configurar sin necesidad de exigir la entrega de la fotografía del documento de identidad en el check in on line, pidiendo la exhibición del documento para cumplimentar los datos directamente en el momento del check in presencial, pero optó por pedirle a su proveedor expresamente que se exigiera dicha copia.
Procedimiento sancionador ps-00457-2023 a una empresa que gestiona proyectos inmobiliarios con participación de distintos inversores. La sanción viene impuesta por vulnerar los artículos 13 y 32.1 del RGPD en este caso no se informó adecuadamente a los inversores sobre el tratamiento de sus datos personales al solicitar una copia de su DNI y se consideró insuficiente la seguridad aplicada en el proceso de solicitud del DNI por correo electrónico, exponiendo a los interesados a riesgos de seguridad y suplantación de identidad.
En este procedimiento se indica que con respecto al DNI que su identificador numérico junto con el carácter de verificación correspondiente al número de identificación fiscal identifica a una persona física de modo indubitado. Esta cualidad lo convierte en un dato particularmente sensible, y este carácter se agrava cuando nos referimos a una copia escaneada del DNI, pues un tercero que tenga acceso al mismo puede suplantar la identidad de su titular con total facilidad, y perpetrar conductas que supongan un alto riesgo para la privacidad, el honor y el patrimonio del suplantado.
La parte reclamada debió adoptar las medidas técnicas y organizativas adecuadas encaminadas a paliar los riesgos del tratamiento del DNI escaneado, previo análisis de dichos riesgos, ofreciendo un medio seguro a la parte reclamante para el envío de la documentación. Sin embargo, no ha acreditado que haya realizado un análisis de los riesgos que supone la solicitud del DNI escaneado, a través del correo electrónico, enfocado a la protección de los derechos y libertades de los interesados, ni de las medidas técnicas y organizativas que tuviera implementadas para tratar tales riesgos.
La responsabilidad del reclamado viene determinada por la ausencia de medidas adecuadas puestas de manifiesto, ya que es responsable de tomar decisiones destinadas a implementar de manera efectiva las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, restaurando su disponibilidad e impedir el acceso a los mismos en caso de incidente físico o técnico.
Se cuestiona por tanto que el correo electrónico constituya una vía segura para el envío de documentación, como en el presente caso la copia escaneada del DNI, cuando debe garantizarse la seguridad. Se considera que el envío de la información solicitada mediante un simple correo electrónico no es una medida adecuada en función del riesgo para los derechos y libertades de las personas físicas por el uso descuidado que pudiera hacerse del correo, por lo que la parte reclamada debería de hacer adoptado medidas de seguridad apropiadas en función del riesgo para proteger los derechos y libertades de la parte reclamante en relación con el tratamiento de los datos objeto del presente procedimiento.
Procedimiento sancionador 00331-2023 el que a un hotel se le impone una sanción por un tratamiento de datos excesivo al solicitar el escaneo de los DNI de los clientes. la Orden INT/1922/2003, de 3 de julio, sobre libros-registro y partes de entrada de viajeros en establecimientos de hostelería y otros análogos recoge, en su Anexo el “Modelo de parte de entrada de viajeros”, y de los datos de los viajeros indica que se recogerán de los viajeros los siguientes datos: “núm. de documento de identidad, tipo de documento, fecha expedición del documento, primer apellido, segundo apellido, nombre, sexo, fecha de nacimiento, país de nacionalidad, fecha de entrada” De este modo, se puede concluir que la copia del documento de identificación no es un tratamiento necesario para realizar el registro, y dar cumplimiento a la Ley Orgánica 4/2015, constituyendo dicha actuación una vulneración del artículo 5.1.c) RGPD, ya que no se trataría de datos necesarios para el tratamiento que se realiza, considerando que se ha tratado datos excesivos que no son necesarios para la finalidad para la que deben destinar.
Conclusiones
Prohibición de solicitar fotocopias del DNI sin base legal: La Agencia Española de Protección de Datos (AEPD) ha impuesto sanciones a diversas empresas por solicitar copias del DNI sin una justificación legal. Solo ciertos datos específicos pueden ser recopilados, pero no la imagen completa del documento.
Principio de minimización de datos: Según el RGPD, solo se deben recoger los datos estrictamente necesarios. La fotocopia del DNI contiene información adicional (foto, nombres de progenitores, número de equipo) que no es imprescindible y, por lo tanto, su solicitud es excesiva.
Riesgos de seguridad y suplantación de identidad: La copia escaneada del DNI puede ser usada para cometer fraudes. En el caso de una empresa inmobiliaria sancionada, se determinó que la falta de medidas de seguridad adecuadas exponía a los inversores a un riesgo de suplantación.
Uso inadecuado del correo electrónico: Enviar documentos sensibles como el DNI por correo electrónico sin medidas de seguridad adecuadas no es una práctica aceptable, ya que puede poner en riesgo la privacidad de los interesados.
En el caso de que por cualquier motivo se tenga que compartir la fotocopia del DNI te recordamos a continuación como indica la guardia civil que hay que hacerlo:
Envía la foto en blanco y negro: así será más evidente que se trata de una copia y será más difícil que te suplanten.
Pixela, tapa o borra todos aquellos datos no necesarios: como podría ser la fecha de emisión o validez y especial mención a la firma de tu DNI o en muchos casos puedes hacer lo mismo con la foto.
Añade el motivo por el que lo compartes: esta frase no afecta a la validez de la copia y sirve para evitar que la copia se usada para otros trámites por terceros.
Si necesitas más información escríbenos a datusmas@datusmas.com