Uno ya está acostumbrado a relacionarse presencial o telemáticamente con un negocio tradicional u online y que le pidan copia del documento nacional de identidad (dni) a las primeras de cambio para poder tramitar su pedido, reclamación o cualquier otra acción.

Lo sorprendente no es sólo que nos lo pidan, sino que lo sigamos entregando y facilitando una copia sin adoptar ninguna medida de seguridad al respecto o sin plantearnos si quiera si la acción de entregarlo supone algún riesgo o incluso si es legal o no que quien tenemos al otro lado de la comunicación nos lo pida.

Poco a poco las empresas van siendo más cautas a la hora de solicitar datos de carácter personal de terceros fundamentalmente por el aumento del cibercrimen y la posibilidad de que alguien acceda a dichos datos de forma irregular y los utilice, por el aumento del número y del volumen de las sanciones que impone la Agencia Española de Protección de Datos a las empresas así como por la propia concienciación que el ciudadano empieza a tomar del valor de proteger sus datos de carácter personal.

En un entorno donde las herramientas de inteligencia artificial permiten generar contenidos visuales de imagen, vídeo y sonido de imposible distinción de la realidad y en un entorno donde los delincuentes están dejando atrás la delincuencia tradicional viendo la capacidad de generación de ingresos que permite la delincuencia online, esa antaño inexistente concienciación donde el ciudadano vendía gratuitamente sus datos personales ahora ya empieza a calar en las conductas de al menos los ciudadanos más vanguardistas en la protección de su información personal.

Lo cierto es que en los últimos meses se han sucedido una serie de resoluciones de la Agencia Española de Protección de Datos donde se sancionaba a empresas que solicitaban copia del dni de sus clientes sin cumplir con el análisis de rigor sobre la legalidad o no de la medida en aplicación de lo dispuesto en la normativa europea y española en la materia.

A modo de muestra, en el expediente N.º: PS/00499/2022 resuelto recientemente se sancionó a una empresa con 25.000 euros por solicitar a través de la plataforma de Airbnb copia de los dnis de los ocupantes del inmueble para hacer el registro (check-in) correspondiente, al entender la Agencia Española de Protección de Datos que eran datos excesivos por que no era necesario “ni para prestar el servicio de alquiler de apartamentos vacacionales ni para dar cumplimiento a la obligación de registrar a las personas que se alojan en los establecimientos de hospedaje”.

Ante tal tesitura, sectores como el financiero, turístico, seguros, telecomunicaciones y otros se han visto en una situación de riesgo ante la Agencia Española de Protección de Datos y es por ello que la propia Agencia ha emitido el Informe 48/2023 en respuesta a una consulta planteada sobre la legalidad o no de pedir o hacer una copia del dni de la persona que realiza una solicitud de un producto os servicio o de la que recoge dicho producto o recibe el servicio.

En dicho Informe se parte de la premisa de que es imposible establecer una regla general al respecto y que habrá que estar a cada caso concreto, debiendo cada empresa hacer el análisis correspondiente y documentarlo debidamente para poder justificarlo en caso de reclamación o inspección.

Ese análisis debe partir necesariamente de que sólo se debe recoger aquella información del dni que sea necesaria para confirmar la identidad del sujeto en ese contexto específico y por lo tanto pedir copia del dni sería un tratamiento excesivo que no se puede establecer como sistema y sería susceptible de cometer una infracción y por tanto de ser debidamente sancionado.

Para poder recoger copia del dni se deberá analizar como dice el propio Informe “multitud de aspectos, que van desde la base jurídica que legitima dicho tratamiento, sobre todo si está previsto en la ley, hasta el riesgo de dicho tratamiento.”

Y todo ello con respeto a los principios esenciales que regulan el ámbito de los datos de carácter personal por los cuales (i) los datos personales recabados sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (principio de minimización) y (ii) los datos personales se tratarán con una finalidad concreta y por el plazo necesario y que no haya un tratamiento menos lesivo (principio de proporcionalidad).

Por lo tanto, debemos estar alerta como empresarios para que, en caso de que en los procesos de nuestra empresa en que se recoja copia del dni de los clientes o usuarios, se analice debidamente la legalidad de la medida conforme a los parámetros indicados, y como ciudadanos para evitar entregar algo tan preciado como copia de nuestro dni sin que esté legalmente soportada la exigencia de dicha copia por parte de la empresa.