El DNI es un documento personal e intransferible que contiene una gran cantidad de datos (foto, nombre y apellidos, nombre de los progenitores, dirección…) que pueden ocasionar perjuicios a aquellas personas cuyo DNI se trate.
Por este motivo, la AEPD ha redactado un informe en el que analiza exhaustivamente los riesgos que puede implicar el hecho de que las empresas pidan copias del DNI a las personas con las que se relacionan.
La continua renovación normativa hacia la que camina el sector de la Protección de Datos también motiva este informe de la agencia. La antigua LOPD obligaba a los Interesados a aportar una fotocopia del DNI para ejercitar sus derechos en materia de Protección de Datos. Muchas empresas han mantenido esta práctica hasta día de hoy para otras gestiones diferentes pese a la entrada en vigor del RGPD y la LOPDGDD.
En su informe, la AEPD asegura que perseguirá el uso indiscriminado de las fotocopias del DNI de terceros, pudiendo llegar a sancionar estas por infracciones graves conforme a lo dispuesto en la LOPDGDD.
No obstante, la agencia no aporta ejemplos de medidas que aplicar en tratamientos específicos respaldándose en el principio de responsabilidad proactiva que tiene cada uno de los Responsables del Tratamiento.
En este sentido, será cada Responsable del Tratamiento el que evalúe la procedencia de la utilización del DNI de terceros por su parte en cada caso concreto, así como la elaboración de medidas de Protección de Datos para evitar posibles brechas de seguridad.
En primer lugar, las empresas deberán tener en cuenta que el hecho de solicitar el número o la fotocopia del DNI por defecto es desproporcional dado que, aunque el número de DNI no sea per se, un dato especial, conforme a las prescripciones del RGPD, puede acarrear efectos desfavorables para los Interesados, por lo que, deberemos limitar estas solicitudes a aquellos casos en los que el RGPD, la LOPDGDD o cualquier otra normativa que aplique al caso concreto, lo solicite expresamente.
En este sentido, y cumpliendo con el deber de información del tratamiento, los Interesados serán informados de cómo aportar esa información, para que, incluso en los casos previstos por la normativa, aporten únicamente la información estrictamente necesaria seudonimizando parte de la información o, por ejemplo, pixelando la fotografía que contiene el propio DNI.
Como siempre, el asesoramiento por parte de expertos, el sentido común y el conocimiento de la normativa, son aspectos claves, para el correcto tratamiento de los Datos Personales de terceros, que tengan relación con nuestra Entidad.
