¿Es legal hacer fotocopia/foto o escanear el DNI de un cliente?

Fotocopias DNI

Es probable que, para realizar ciertos trámites, bien sean de forma presencial u online, se solicite una copia del documento de identidad del cliente. Pero, ¿es legal requerir una fotocopia del DNI, escanearlo o fotografiarlo para verificar la identidad de una persona?

DNI, dato sensible

La Agencia Española de Protección de Datos (AEPD) ha advertido en numerosas ocasiones que el DNI es un dato especialmente sensible y que puede ser utilizado para suplantar fácilmente la identidad de una persona. Por tanto, debemos tener mucho cuidado a la hora de facilitar el DNI y tratarlo, requisito que se aplica a cualquier tipo de entidad que trate datos personales.

En una reciente resolución, la AEPD considera que escanear/fotocopiar o fotografiar un DNI es excesivo, al tratarse de datos sensibles. La Agencia entiende que la relación contractual justifica el acceso a los datos personales, siempre que resulten necesarios para el cumplimiento de las obligaciones que conlleva dicha prestación de servicios; pero no justifica el acceso a toda la información que contiene el documento de identidad del cliente y, menos aún, la recogida y conservación de una fotocopia de este documento, sin que exista una base jurídica que así lo justifique.

¿Cuándo es legal pedir fotocopias del DNI?

Si existen otras medidas menos gravosas que cumplen ese fin de identificación, lo recomendable es abstenerse de recoger la fotocopia del DNI, puesto que, conforme a las directrices marcadas por la AEPD: “el uso indebido del DNI o sin las garantías suficientes puede tener múltiples efectos desfavorables para el titular de los datos”. El método utilizado para la autenticación de una persona debe ser pertinente, adecuado, proporcionado y respetar el principio de minimización de datos.

No obstante, hay ciertos trámites en los que es necesario presentar copia del DNI, como cuando abrimos una cuenta bancaria, puesto que la Ley de Prevención del Blanqueo de Capitales exige que las entidades financieras verifiquen la identidad de sus clientes mediante el DNI. También a la hora de formalizar un contrato de arrendamiento. Es decir, en relación con actividades de prevención de blanqueo de capitales y financiación del terrorismo, la Agencia ya ha indicado que sí cabe requerir copia del DNI, pues la propia normativa sobre la materia así lo contempla.

Trámites con la Administración Pública: fotocopias DNI

Desde 2006, se eliminó la exigencia de tener que adjuntar una fotocopia del documento de identidad en cualquier escrito, comunicación o formulario que los ciudadanos tengan que realizar a la Administración General del Estado o a cualquier organismo dependiente de la misma. Por ello, actualmente, nadie tiene el derecho de solicitar una copia del DNI (ni siquiera la Administración Pública) sin presentar un motivo oficial. 

De hecho, el Real Decreto 522/2006, de 28 de abril, indica que está prohibido que una persona o entidad pueda guardar una copia del carnet de identidad. Es así porque, como advierte la AEPD, en este documento figuran unos datos con los que se puede dar de alta a su titular en todo tipo de servicios. Es decir, se podría producir una suplantación de la identidad.

INFORME 48/2023 DE LA AEPD SOBRE LAS FOTOCOPIAS DEL DNI

La AEPD, siendo consciente de que en algunos casos será necesario pedir una copia del DNI para verificar la identidad de las personas, ha ido acotando las posibles situaciones con las que las empresas se pueden encontrar.

En el informe 48/2023 la AEPD incide en unos criterios generales que deberán aplicar todas las entidades, siendo cada una de ellas responsable de decidir y afrontar cada caso concreto, valorando si es necesario o no exigir la copia del DNI o el tratamiento de los datos de este.

Además, la entidad también será responsable de las medidas de seguridad y protección que se apliquen al hacer este tratamiento. La AEPD considera que sólo se deberá recoger la información del DNI que sea necesaria para confirmar la identidad del sujeto, y que la copia del DNI es un tratamiento excesivo. Por tanto, podrá ser debidamente sancionado.

¿Cómo debe aplicarse en el sector hotelero?

El sector hotelero se enfrenta a desafíos significativos en la gestión de la documentación de identidad de sus clientes. Esto se debe a la obligación de mantener un registro detallado de todos los huéspedes, con el fin de cumplir con los requisitos legales establecidos en el Real Decreto 933/2021 y de facilitar la comunicación con las autoridades pertinentes.

La Agencia Española de Protección de Datos (AEPD) ha señalado que tomar una fotocopia o escanear el Documento Nacional de Identidad (DNI) de un individuo como parte del proceso de reserva en un establecimiento hotelero es una medida considerada injustificada. Aunque es necesario realizar el registro de los huéspedes y verificar su identidad mediante la presentación del documento, la recopilación y el almacenamiento excesivos de datos personales, más allá de lo estrictamente necesario, se consideran desproporcionados. Esto se debe a que el anverso del DNI contiene información personal que no es relevante para el registro hotelero.

¿Qué información debe recopilarse en el registro?

La Orden INT/1922/2003, de 3 de julio, sobre libros-registro y partes de entrada de viajeros en establecimientos de hostelería y otros análogos recoge, en su Anexo el “Modelo de parte de entrada de viajeros”, que de los huéspedes se recogerán los siguientes datos:

• Núm. de documento de identidad
• Tipo de documento
• Fecha expedición del documento
• Nombre y apellidos
• Sexo
• Fecha de nacimiento
• País de nacionalidad
• Fecha de entrada

Infracción de la normativa

En conclusión, pedir una fotocopia del DNI cuando no es pertinente hacerlo, puede suponer una infracción de la normativa, especialmente si no se informa a los interesados de la finalidad o uso que se hará de dicha copia, ni se aplican las medidas de seguridad necesarias que garanticen que esa fotocopia no se usará con otra finalidad o por terceros.

La infracción del art. 5.1.c) del RGPD supone la comisión de una de las infracciones tipificadas en el art. 83.5 del RGPD, que dispone lo siguiente: “Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”.