La AEPD endurece criterios y obliga a revisar muchos procedimientos habituales
En los últimos meses la Agencia Española de Protección de Datos (AEPD) ha intensificado sus criterios y actuaciones respecto a la solicitud y conservación de copias de DNI/NIE o pasaporte por parte de empresas y organizaciones.
Se trata de una cuestión que afecta a multitud de procedimientos cotidianos:
- altas de clientes;
- onboarding de usuarios;
- acreditación de proveedores;
- controles de acceso;
- registros de visitas;
- contratación de servicios;
- o incluso gestión de derechos en materia de protección de datos.
Muchas organizaciones continúan solicitando y archivando copias completas del DNI como práctica habitual, sin plantearse si dicha conservación resulta realmente necesaria desde la perspectiva del RGPD.
Y precisamente ahí es donde la AEPD está poniendo actualmente el foco.
Identificar no significa necesariamente conservar una copia del DNI
Uno de los aspectos más importantes que conviene entender es que:
- identificar correctamente a una persona y conservar una copia íntegra de su documento identificativo son tratamientos distintos.
- Es perfectamente legítimo —y en muchos casos necesario— verificar la identidad de:
- clientes,
- trabajadores,
- usuarios,
- proveedores,
- visitantes,
- o terceros.
Sin embargo, ello no implica automáticamente que siempre resulte necesario conservar una copia completa del DNI/NIE o pasaporte.
De hecho, la propia AEPD recuerda expresamente en sus FAQs oficiales que, como regla general, no es necesario solicitar una copia del DNI para identificar a una persona cuando existen mecanismos menos invasivos.
¿Cuándo sí puede existir obligación legal de conservar el documento?
Existen determinados sectores donde sí existe una obligación legal expresa de identificar formalmente al cliente y conservar copia de la documentación acreditativa.
El ejemplo más claro es el de los sujetos obligados por la Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo, cuyo artículo 3 exige la identificación formal y conservación de la documentación correspondiente.
En estos casos:
- la conservación documental sí se encuentra amparada legalmente;
- y forma parte de una obligación normativa específica.
Por ello, no debe trasladarse la idea de que “guardar copias de DNI está prohibido”, ya que dependerá siempre:
- del contexto;
- de la finalidad;
- y de la existencia o no de una obligación legal concreta.
Casos recientes donde la AEPD está endureciendo criterios
La AEPD ha venido cuestionando especialmente aquellos tratamientos donde la finalidad perseguida podía alcanzarse mediante mecanismos menos invasivos.
Entre otros ejemplos recientes destacan:
- solicitudes de copias de DNI para el ejercicio de derechos RGPD;
- conservación de copias documentales en hoteles y alojamientos turísticos;
- o determinados procesos comerciales o contractuales.
Además, aplicando criterios análogos de minimización y proporcionalidad, conviene revisar también otros tratamientos muy habituales en las organizaciones, tales como:
- controles de acceso;
- registros de visitas;
- acreditación de proveedores;
- onboarding de clientes;
- o procedimientos internos de identificación presencial.
En muchos de estos casos, la pregunta clave debería ser:
¿es realmente necesario guardar una copia completa del DNI para cumplir la finalidad perseguida?
¿Qué exige realmente el RGPD?
Fuera de aquellos casos donde exista obligación legal expresa, el RGPD exige que la conservación de documentación identificativa se encuentre debidamente justificada conforme a criterios de:
- necesidad;
- proporcionalidad;
- minimización de datos;
- limitación de finalidad;
- y limitación del plazo de conservación.
Por ello, conservar copias íntegras del DNI:
- de forma sistemática,
- indefinida,
- o sin una finalidad claramente justificada,
puede generar riesgos regulatorios ante una eventual actuación de la AEPD.
Algunas recomendaciones prácticas
Desde una perspectiva de cumplimiento y reducción de riesgos, resulta recomendable que las organizaciones revisen:
- ¿para qué necesitan conservar la copia del documento;
- ¿durante cuánto tiempo;
- ¿ quién accede a dicha documentación;
- y si existen alternativas menos invasivas.
Asimismo, conviene aplicar medidas adicionales como:
- restricción de accesos;
- políticas de supresión;
- minimización de datos;
- o enmascaramiento de información no necesaria (fotografía, firma, códigos MRZ/CAN, etc.).
En tratamientos basados en interés legítimo, también puede resultar recomendable documentar previamente una valoración interna de necesidad y proporcionalidad (LIA).
Hacia modelos de identificación más seguros y menos invasivos
Cada vez más organizaciones están evolucionando hacia mecanismos de identificación electrónica más robustos y respetuosos con el principio de minimización.
Entre ellos:
- firma electrónica cualificada;
- DNIe;
- certificados FNMT;
- o otros sistemas compatibles con el Reglamento eIDAS.
Este tipo de soluciones:
- permiten acreditar la identidad de forma trazable;
- reducen la necesidad de conservar documentación identificativa completa;
- y aportan mayor seguridad jurídica y técnica.
Conclusión
La conservación de copias de DNI no es una práctica automáticamente ilícita, pero tampoco puede seguir tratándose como una rutina administrativa indiscriminada.
El criterio actual de la AEPD obliga a revisar:
- la necesidad real de estos tratamientos;
- su proporcionalidad;
- las bases jurídicas utilizadas;
- y las medidas de minimización y seguridad aplicadas.
En muchos casos, identificar correctamente a una persona no exige conservar una copia completa de su documento identificativo.
Y precisamente ahí estará, cada vez más, el foco regulatorio en los próximos años.