19-05-2025

Entregar la copia del DNI como método de verificación de identidad: Nuestros datos sensibles expuestos a riesgos de suplantación de identidad, sin necesidad

La práctica habitual de pedir copia del DNI como método para asegurar que quien solicita un servicio es quien dice ser, viene siendo considerado por la Agencia Española de protección de Datos (AEPD), una práctica intrusiva que excede de lo necesario, existiendo métodos alternativos de verificación sin necesidad de exponer información que contiene el documento de identidad (sea, DNI o pasaporte) irrelevante para el servicio, y de someter a las personas a riesgos que pueden tener un gran impacto por las consecuencias que tendría un uso ilícito del documento suplantando la identidad del titular.

Aunque ni el número de DNI, ni el documento en sí, suponen como tal, datos considerados por el Reglamento General de Datos como datos de categorías especial, como pueden ser, por ejemplo, los datos de salud, lo cierto es que se trata de información especialmente sensible, no por su afectación a la intimidad, sino por los perjuicios que puede causar al titular de los datos un uso indebido o sin las garantías de seguridad suficientes.

Desde hace un par de años, el de goteo de resoluciones sancionadoras de la AEPD, por pedir y/o almacenar las copias de los DNI de las personas para verificar su identidad, y las últimas resoluciones son especialmente interesantes porque a pesar de las advertencias y recomendaciones en diferentes informes emitidos por las Autoridades, vemos que esta práctica sigue estando presente sin que el ciudadano sea consciente de los riesgos que corre.

Veamos las últimas resoluciones publicadas por la AEPD sobre este tema.

Verificación de cuentas de usuario en aplicación

Expediente Nº 202409823: La app exige a los usuarios que deseen verificar su identidad como “usuario verificado”, subir una copia por ambas caras del DNI. Las copias del documento quedaban según indica en la resolución, almacenadas temporalmente en la base de datos hasta el momento en que el administrador comprueba que la identidad se corresponde con la declarada por el usuario y en ese momento se procede a su eliminación. De los 139.979 usuarios registrados, 27.974 eran usuarios activos y 4.536 habían verificado su identidad. La misma empresa reconoce a través de un informe solicitado a un experto en protección de datos que el uso de las copias escaneadas de DNI como método de verificación de identidad es intrusivo y detiene el proceso de verificación hasta la implementación de un sistema alternativo.

Pedir copia del DNI para verificación de cuentas de usuario no está justificado, según esta resolución, aunque se almacenen solo de forma temporal, por ser un método excesivo, contrario al principio de minimización.

Linkedin, pone a disposición de los usuarios un sistema de verificación de identidad – opcional-, en el que se pide subir la copia del documento de identidad y un selfie, con reconocimiento facial incluido. El responsable en Europa, es PERSONA, quien declara en su política de privacidad que hace uso de los datos del usuario, incluido el contenido subido, la geocalización, entre otros para la mejora y desarrollo de nuevas características e investigación, todo ello, considerando que tiene un interés legítimo en hacerlo.

No sería esta práctica excesiva igual que en el caso sancionado? Son conscientes los usuarios de la cantidad de información innecesaria que facilitan, el uso de esos datos y los riesgos añadidos innecesarios?

Hoteles y apartamentos turísticos

Expedientes Nº 202313983 y Nº 2023311801: Los Establecimientos hoteleros están obligados a comprobar la exactitud de los datos personales de los huéspedes, según lo previsto en el artículo 4.3 del Real Decreto 933/2021,- normativa que regula los libros-registros y partes de entrada de huéspedes en establecimientos de hostelería-, y a recoger para traslado a las Fuerzas y Cuerpos de Seguridad, nada más y nada menos que: el nombre y apellidos, sexo, número de DNI, número de soporte de documento, tipo de documento, nacionalidad, fecha de nacimiento, lugar de residencia habitual, dirección completa, localidad y país, teléfono fijo, y móvil, correo electrónico, número de huéspedes, y relación de parentesco entre los huéspedes en el caso de menores de edad.

Ahora bien, la AEPD deja claro en las dos resoluciones que NO ES OBLIGATORIO facilitar ni la imagen, ni la fotocopia o imagen completa del documento (DNI, pasaporte, etc.).por lo que no es lícito recoger la copia del documento, existiendo otras alternativas válidas que permiten realizar de forma fiable la comprobación.

En el primer caso, la empresa de alojamientos turísticos pidió al denunciante enviar las fotos de los DNIs por WhatsApp. En el segundo caso, se pedía a través de la aplicación, con consentimiento obligatorio, no solo la copia del DNI sino también selfie, con reconocimiento facial biométrico.

Por último, cuidado con pedir por costumbre copia del DNI para atender solicitudes de acceso a los datos o de cualquier otro derecho. TAMPOCO está justificado con carácter general. La AEPD viene advirtiendo desde hace tiempo que solo en casos en que por la información que se deba facilitar tengamos dudas razonables, limitando su uso a la verificación e implementando las medidas de seguridad necesarias, hasta la eliminación.

Es muy común leer en las políticas de privacidad de numerosas páginas web, como requisito para el ejercicio de derechos la presentación junto a la solicitud de una copia del DNI o documento de identidad.

Nuestra recomendación, como en casi todo lo relacionado con el cumplimiento de la normativa de protección de datos, evaluar la situación concreta, aplicar siempre privacidad y seguridad por defecto buscando soluciones alternativas sin exponer a la empresa a riesgos de sanciones, ni a sus usuarios o clientes a riesgos por suplantación de identidad que podrían ser evitados.

En OptimumTIC, creemos en la adecuación constante y la mejora continua, basada en el seguimiento de los estándares internacionales como las normas ISO 27001, y en este caso, ISO 27701, sobre las que estamos certificados y ayudamos a las empresas a certificarse. Es cierto que con ello no se asegura el cumplimiento de la normativa de protección de datos, pero nuestra experiencia indica que las empresas que pasan por estas certificaciones adquieren un grado de madurez necesario y en el seguimiento de procedimientos y normas internas encaminadas a una correcta gestión de riesgos, en el tratamiento de los datos personales

Cumplir con el RGPD implica compromiso de la organización en la implementación de medidas orientadas a garantizar los derechos de los clientes o usuarios de los servicios o productos propios de la actividad de cada organización, y para ello, es indispensable hacer seguimiento y mejora continua. En esa adecuación continua la formación y concienciación de los empleados de manera regular, es sin duda, una medida esencial en cualquier organización.

Si desea más información sobre nuestros servicios o productos, no dude en contactar con nosotros sin compromiso a través de nuestra página web: www.optimumtic.com o escríbenos a info@optimumtic.com.

¿Empezamos a trabajar juntos?

Queremos conocerte para poder ayudarte y ofrecerte las mejores soluciones en ciberseguridad para tu organizacion.

+34 932 527 467

NOMBRE

MENSAJE

En cumplimiento a la normativa de protección de datos le informamos que los datos recabados en el presente formulario serán tratados por OptimumTIC SL (“OTIC”), responsable del tratamiento, con la finalidad de dar respuesta a su solicitud. Puede ejercer sus derechos ante OTIC escribiendo a privacy@optimumtic.com (Asunto: "Protección de datos”).

He leído y acepto la política de privacidad de OTIC.