La protecció de dades i el DNI


Ens hem acostumat al fet que ens demanin el DNI, a què facin fotocòpies d’ell o a haver d’enviar fotografies d’aquest per qualsevol tràmit o compra online o presencial. Però… fins a quin punt això afecta la nostra privacitat i posa en risc la protecció de les nostres dades personals?

El cert és que hem normalitzat tant aquest acte, que no posem cap mesura de seguretat, ni ens plantegem el risc que pot suposar fer-ho per qualsevol acció com realitzar una comanda online, posar una reclamació, fer una reserva o contractar serveis online.

Això ha portat a confusions i a un augment de cibercrims, ja que moltes vegades ni tan sols ens plantegem qui ens està sol·licitant aquestes dades o si és legal o no.

Per això, tant si ets una empresa com si ets un particular, et recomanem que comencis a prendre consciència sobre la protecció de les dades de caràcter personal i sempre que enviïs o sol·licitis un DNI sigui per motius necessaris i a empreses de confiança.

Protegir la privacitat del DNI

Encara existeix una mala pràctica que ve de la derogada normativa espanyola de protecció de dades, que establia que per exercir els drets s’havia d’entregar una fotocòpia del Document Nacional d’Identitat, passaport o qualsevol altre document per identificar-li. És per això per què moltes empreses, hotels o companyies encara utilitzen aquest procediment antic.

La còpia d’un DNI conté moltes dades personals sensibles, com poden ser la fotografia, el nom dels pares d’aquesta persona o el lloc de naixement. Aquestes dades poden ser tractades de forma delictiva, per cometre una suplantació d’identitat o un frau.

Per exemple, últimament hi ha hagut molts robatoris de dades per obrir un compte bancari a nom de l’afectat o per sol·licitar préstecs, el que comporta un gran problema.

És per això que l’Agència Espanyola de Protecció de Dades (AEPD) ha decidit frenar la pràctica de què les empreses encara demanin còpies del DNI per identificar als ciutadans i realitzar qualsevol tràmit.

Aquest informe arriba després que en aquests últims mesos hi hagin hagut vàries resolucions de l’AEPD on se sancionaven a empreses que sol·licitaven còpies del DNI als seus clients, sense complir amb la normativa europea i espanyola de protecció de dades.

Per exemple, l’expedient Nº: PS/00499/2022 que es va resoldre fa poc, sancionava a una empresa amb 25.000€ per sol·licitar una còpia dels DNI dels ocupants de l’immoble, per fer el check-in, a través de l’aplicació d’Airbnb. A la resolució l’AEPD destacava que eren dades excessives i que no eren necessàries per prestar el servei de lloguer de l’estada de vacances, ni per registrar a les persones que s’allotjaven en aquest.

Evidentment, els sectors que més utilitzaven aquest mètode, com són el turístic, financer, segurs i telecomunicacions, es van veure en risc davant d’aquestes sancions i és per aquest motiu que l’AEPD ha vist necessari crear l’Informe 48/2023.

Informe 48/2023 de l’AEPD sobre les còpies del DNI

L’AEPD, sent conscient que en alguns casos serà necessari demanar una còpia del DNI per verificar la identitat de les persones, ha anat acotant possibles situacions que les empreses es poden trobar en aquest informe 48/2023.

A l’informe 48/2023 l’AEPD incideix en uns criteris generals que hauran d’aplicar totes les entitats, però cada entitat serà responsable de decidir i afrontar cada cas concret, valorant si és necessari o no exigir la còpia del DNI o el tractament de les dades d’aquest.

A més, l’entitat també serà responsable de les mesures de seguretat i protecció que s’apliquin en fer aquest tractament, com també de fer l’anàlisi corresponent i documentar-ho perquè en el cas d’haver-hi una inspecció o reclamació es pugui justificar.

L’AEPD considera que només s’haurà de recollir la informació del DNI que sigui necessària per confirmar la identitat del subjecte, i que la còpia del DNI és un tractament excessiu. Per tant, podrà ser degudament sancionat.

En el cas necessari de recollir una còpia del DNI s’haurà d’analitzar “multitud d’aspectes, que van des de la base jurídica que legitima aquest tractament, sobretot si està previst a la llei, fins al risc d’aquest tractament”.

Les dades de caràcter personal recavades seran adequades, pertinents i limitades a allò necessari en relació amb els fins pels que són tractades, i es realitzarà el tractament d’aquests amb una finalitat concreta i pel termini de temps necessari.

Aquestes són algunes de les qüestions que planteja aquest informe:

  • A l’entrega de productes d’operadores de telecomunicacions o entitats financeres, a través de missatgeria o paqueteria, es podrà sol·licitar el DNI en aquests casos:
  • Entrega de béns adquirits mitjançant finançament (per complir amb la normativa de prevenció de blanqueig de capitals).
  • Entrega de duplicats de targetes SIM.
  • Entrega de dispositius mòbils.
  • Si el responsable del tractament té motius raonables per dubtar de la identitat de la persona sol·licitant, podrà sol·licitar més informació o confirmar la seva identitat mitjançant el DNI. Però aquest no podrà recollir més dades de les necessàries per la identificació.
  • Si una persona sol·licita l’accés a les seves dades, el responsable del tractament haurà d’aplicar un procediment d’autenticació per verificar la seva identitat i per garantir la seguretat del tractament. El mètode per l’autenticació ha de ser pertinent, adequat, proporcionat i respectant el principi de minimització de dades.
  • Si el responsable del tractament imposa mesures greus per identificar a l’interessat, haurà de justificar-ho i garantir el compliment de tots els principis, la minimització de les dades i facilitar l’exercici dels drets dels interessats.
  • La utilització d’una còpia del DNI pel procés d’autenticació crea un risc per la seguretat de les dades personals i es considera inadequada, excepte que sigui estrictament necessari.

Si tens una empresa i no saps si pots continuar fent còpies del DNI o no als teus procediments, contacta amb les nostres advocades i t’ajudaran a resoldre els teus dubtes.

L’equip de PymeLegal.