La AEPD y la Protección de Datos: ¿Es necesario almacenar copias del DNI?
En los últimos años, la Agencia Española de Protección de Datos (AEPD) ha intensificado su labor para frenar la práctica extendida de que las empresas soliciten y almacenen copias del Documento Nacional de Identidad (DNI) de los ciudadanos por motivos diversos. Esta práctica, común en sectores como la hostelería, se ha convertido en un foco de atención debido a los riesgos asociados con el manejo inadecuado de datos personales sensibles.
¿Por qué es problemático almacenar copias del DNI?
El Informe 48/2023 de la AEPD pone de manifiesto la preocupación por el almacenamiento indiscriminado de copias del DNI. Estos documentos contienen información personal altamente sensible, como la foto del titular, el lugar de nacimiento y los nombres del padre y la madre. Estos datos pueden ser utilizados para actividades delictivas, como la suplantación de identidad y el fraude económico.
Ejemplo real: riesgos en la hostelería
Imaginemos el caso de un hotel que solicita una copia del DNI de cada huésped al realizar el check-in. Si estas copias no se almacenan adecuadamente, pueden ser accesibles para empleados sin autorización o incluso para hackers que comprometan el sistema informático del hotel. Un delincuente podría utilizar esta información para abrir cuentas bancarias, solicitar créditos o cometer otros fraudes en nombre del huésped, causando graves perjuicios económicos y de reputación tanto al afectado como al hotel.
Evolución normativa y cambios recomendados
En el pasado, la normativa española permitía que las empresas solicitaran una fotocopia del DNI para diversos trámites, incluidos aquellos relacionados con el ejercicio de derechos fundamentales. Esta práctica se mantuvo en muchas empresas como un procedimiento estándar para la identificación de clientes o usuarios.
Sin embargo, la AEPD ha ido acotando y condicionando los casos en los que es lícito requerir o tratar una copia del DNI. El Informe 48/2023 es clave en este sentido, ya que establece que las entidades deben evaluar cuidadosamente si es necesario exigir o tratar el número o la copia del DNI, y qué medidas de protección deben aplicarse. En otras palabras, no se puede solicitar el número o la copia del DNI por defecto, sino que debe analizarse cada caso individualmente.
Recomendaciones de la AEPD para las empresas
La AEPD recomienda a las empresas reducir al mínimo la solicitud y almacenamiento de copias del DNI. Solo se debe recopilar la información estrictamente necesaria para confirmar la identidad del individuo, y la copia completa del DNI generalmente se considera un tratamiento excesivo. Las empresas deben implementar medidas adecuadas de seguridad para proteger estos datos y garantizar su uso legítimo.
Caso de estudio: hoteles sancionados
Varios hoteles han sido sancionados por la AEPD por escanear y almacenar indebidamente las copias del DNI de sus clientes. Estas sanciones subrayan la importancia de cumplir con las normativas de protección de datos y la necesidad de adoptar prácticas más seguras y responsables en el manejo de la información personal.
Buenas prácticas para el manejo del DNI
Para cumplir con las recomendaciones de la AEPD y proteger mejor los datos personales de los clientes, las empresas, especialmente en el sector de la hostelería, pueden adoptar las siguientes buenas prácticas:
- Solicitar solo lo necesario: En lugar de una copia completa del DNI, pedir únicamente los datos esenciales, como el número de identificación.
- Verificación sin almacenamiento: Utilizar métodos de verificación que no requieran almacenar copias del DNI, como la comprobación visual del documento.
- Medidas de seguridad: Implementar sistemas robustos de seguridad para proteger cualquier información del DNI que sea necesaria almacenar.
- Políticas de acceso: Limitar el acceso a los datos del DNI a personal autorizado y con una necesidad legítima de conocer esta información.
- Formación y concienciación: Capacitar al personal sobre la importancia de la protección de datos personales y las normativas aplicables.
Conclusión
La postura de la AEPD en relación al almacenamiento de copias del DNI es clara: se debe evitar en la medida de lo posible debido a los riesgos significativos que conlleva. Las empresas, y en particular los hoteles, deben revisar sus prácticas actuales y alinearlas con las recomendaciones de la AEPD para garantizar la seguridad y privacidad de los datos personales de sus clientes. Adoptar un enfoque más prudente y responsable no solo ayudará a cumplir con la normativa, sino que también contribuirá a generar confianza y proteger a los individuos contra el fraude y la suplantación de identidad.