El principio de minimización de datos, establecido en el artículo 5.1.c) del Reglamento General de Protección de Datos (RGPD), obliga a que los datos personales recabados sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
Teniendo en cuenta este principio, solicitar una copia de documentos identificativos, -como DNI, permiso de conducir, pasaporte u otros documentos identificativos similares- solo es lícito cuando sea estrictamente necesario para la finalidad perseguida y no exista una alternativa menos intrusiva.
El incumplimiento del principio de minimización de datos puede derivar en sanciones por parte de la Agencia Española de Protección de Datos (AEPD).
Además, la filtración del DNI, por ejemplo, en el caso de ocurrir una brecha de seguridad, puede conllevar consecuencias graves para los titulares de los datos cuyas copias de documentos identificativos fueran sustraídas porque dichas personas, pueden sufrir fraudes y suplantaciones de identidad si se hace un uso fraudulento de sus documentos.
Recientemente, el Instituto Nacional de Ciberseguridad (INCIBE) publicó un caso en el que un ciudadano sufrió una suplantación de identidad. Con su identidad, los delincuentes ganaron una serie de premios en loterías y juegos similares y la Agencia Tributaria le está reclamando ahora a dicho ciudadano la tributación de esas ganancias. Lo más probable es que su identidad fuera suplantada a través de una copia de su documento identificativo.
Buenas prácticas para el cumplimiento normativo en relación a la solicitud y tratamiento de documentos identificativos como el DNI.
- Analizar por parte de la organización si existe alguna base legal que justifique solicitar dicho documento, de lo contrario, no se justifica su solicitud y se incumple el principio de minimización al tratar esos datos.
- En caso de que sea necesario por motivos de seguridad, como verificar la identidad de una persona que accede al edificio, se deben aplicar medidas basadas en verificación visual siempre que sea posible, sin retención de copia del documento. O, al menos, que sea suficiente con el tratamiento parcial del documento, ocultando datos que no son necesarios del mismo. Eso evitará al menos, si el documento es sutraído en una brecha de seguridad, que los ciberatacantes que sustraen los documentos puedan hacer uso de ellos para suplantar identidad de dichas personas.
- Si recoger y tratar el documento identificativo es imprescindible porque existe una obligación legal para ello, se debe garantizar la seguridad en el tratamiento y almacenamiento con las adecuadas medidas de seguridad, así como limitar el acceso y el tiempo de conservación conforme a la normativa aplicable. Igualmente, solicitar y recoger dicho documento por correo electrónico no es un medio adecuado que garantice las adecuadas medidas de seguridad. Deben buscarse otros medios de recogida más seguros, como formularios cifrados.
Redactado por Carlota Moreno, a fecha 03 de marzo de 2025.