Sol·licitud, accés i còpia del DNI


Manuel Castilleja Toscano     13/07/2023


Quan hi ha l'obligació de mostrar el DNI?

Sol·licitar a una persona física que mostri el seu DNI per identificar-se suposa un tractament de dades personals, que només es pot dur a terme quan es compleixen tots els principis de l'art. 5 del RGPD, i essencialment quan hi ha una base legal que ho empari (arts. 5.1.a del RGPD en relació amb l'art. 6.1 del RGPD) i la sol·licitud sigui proporcionada, adequada i necessària per a les finalitats que es persegueixen (art. 5.1.c del RGPD).

Aquests són els casos en què sí que es pot demanar a una persona que mostri el seu DNI per identificar-se:

1. Sempre que es justifiquin els motius, quan ens ho requereixi l'Autoritat o els seus Agents (arts. 9. 2 i 16 Llei Orgànica 4/2015, de protecció de la seguretat ciutadana):

  • Agents dels cossos i les forces de seguretat de l'Estat.
  • Autoritats governamentals, siguin funcionaris d'institucions estatals, autonòmiques o municipals.

2. En processos administratius o judicials que requereixin acreditar la identitat (art. 9.1 de la Llei 39/2015 del Procediment Administratiu Comú de les Administracions Públiques).

3. En tots els casos previstos a la Llei Orgànica 5/1985 del Règim Electoral General, entre d'altres, quan ho sol·liciti qualsevol persona que hagi estat elegida per formar part d'una mesa electoral a tothom que vagi a votar.

4. Quan ho requereixi un/a vigilant de seguretat a l'hora de regular l'entrada a unes instal·lacions; fins i tot poden demanar ajuda als agents policials si algú es nega a mostrar el seu DNI (art. 77 del RD 2364/1994 pel qual s'aprova el Reglament de Seguretat Privada).

5. Quan ho requereixin entitats financeres, notaris, registradors i professionals com a subjectes obligats de la Llei 10/2010, de prevenció de blanqueig de capitals i finançament del terrorisme.

6. Quan ho requereixin en establiments o serveis que tinguin a veure amb activitats rellevants per a la seguretat ciutadana, com l'allotjament, l'accés comercial a serveis telefònics o telemàtics d'ús públic mitjançant establiments oberts al públic, la compravenda de joies i metalls, objectes o obres d'art, la serralleria de seguretat o el comerç a l'engròs de ferralla o productes de rebuig, o de venda de productes químics perillosos a particulars (art. 25.1 de la Llei 4/2015 de protecció de la seguretat ciutadana).

7. Quan ho requereixin en locals de jocs, per evitar l'accés a aquests establiments dels "autoprohibits" (persones inscrites en el Registre d'Accés Prohibit, que voluntàriament hagin sol·licitat la prohibició d'accés), menors d'edat i persones incapacitades judicialment (normativa autonòmica).

8. Per a l'accés a serveis o contractes que requereixin identificació, només si és imprescindible per prestar el servei (per exemple, contractar una línia telefònica, contractar subministrament elèctric, etc.).

9. Altres casos específics previstos en lleis sectorials:

  • Identificar pacients en centres sanitaris.
  • Menors i els seus progenitors o tutors en centres educatius en determinades situacions.
  • Control d'accés d'instal·lacions crítiques.
  • Etc

Una entitat pot fer i conservar còpies del DNI dels interessats?

La resposta, com a regla general, és NO, ja que crea un risc per a la seguretat de les dades personals que conté el DNI i pot donar lloc a un tractament no autoritzat o il·lícit. Per tant, no s'ha de sol·licitar, tret que alguna llei ho exigís expressament. Per exemple, en determinades normatives sectorials com la de prevenció de blanqueig de capitals, sí que s'exigeix en determinades circumstàncies l'obtenció d'una còpia del DNI.

Tenir accés al DNI de qualsevol persona i conservar-ne una còpia suposa:

  • Accedir a dades personals no adequades ni pertinents a les finalitats per a les quals es recapten, és a dir dades personals prescindibles, innecessàries i per tant excessives (imatge, data de naixement, data de validesa, nom i primer cognom dels pares), per això que s'estaria vulnerant un dels principis essencials del RGPD, és a dir, el de minimització (art. 5.1.c RGPD).
  • Un risc per al titular del DNI, perquè es podria utilitzar de forma fraudulenta.

És a dir, tret que una norma ho prevegi expressament i no hi hagi altres elements que serveixin per a la identificació de la persona en qüestió, l'ús del DNI pot resultar excessiu i innecessari per complir la finalitat d'identificació.

La identitat de la persona es pot verificar d'altres maneres que no requereixen la còpia del DNI. De qualsevol manera, serà el responsable del tractament qui, en compliment de la normativa de protecció de dades i atenent a la seva responsabilitat proactiva, determini quin és el mitjà més adequat per identificar de manera fefaent la persona en qüestió, en el marc de les mesures implementades en la seva organització.

Alternatives per identificar una persona sense necessitat de sol·licitar còpia:

  • Signatura electrònica.
  • L'exhibició del DNI en els casos presencials.
  • Enllaços de confirmació.
  • Preguntes de seguretat, sol·licitant dades d'identificació i comparant-les amb les que constin en els arxius, bases de dades o altres fons documentals de l'entitat.
  • Codis de confirmació.
  • Etc.

En el cas que es determini la impossibilitat d'identificar d'una altra manera, en sol·licitar la còpia del DNI s'ha d'informar l'interessat que hi ha informació que no és necessària i de la possibilitat d'ocultar aquestes parts i incloure marques d'aigua que permetin identificar la data, la finalitat o el destinatari de la còpia. Si l'interessat no ho fes, ho haurà de fer el Responsable.

Administracions públiques

Pel que fa a sol·licitar una còpia del DNI, en el cas de les Administracions Públiques, el Reial Decret 522/2006, pel qual se suprimeix l'aportació de fotocòpies de documents d'identitat en els procediments administratius de l'Administració General de l'Estat i dels seus organismes públics vinculats o dependents, estableix en l'apartat 1 del seu article únic que en els procediments la tramitació i resolució dels quals correspongui a l'Administració General de l'Estat o els seus organismes públics vinculats o dependents, no s'exigirà, a efectes de comprovació de les dades d'identificació personal, a qui tingui la condició d'interessat, l'aportació de fotocòpies del DNI.

Quins criteris segueix l'AEPD

L'AEPD també s'ha pronunciat en diferents resolucions de procediments sancionadors en el sentit que s'han d'utilitzar fórmules menys intrusives per verificar la identitat d'una persona, que sol·licitar una còpia del DNI, que vulnerària com indicàvem anteriorment el principi de minimització de l'art . 5.1.c) RGPD. Per exemple, en l'exercici de drets que el RGPD confereix a l'interessat entre d'altres:

  • Si l'adreça de correu electrònic de la persona sol·licitant consta ja als sistemes del responsable i la sol·licitud es duu a terme des de la mateixa, n'hi hauria prou per verificar-ne la identitat.
  • Si escau, enviar la sol·licitud a través d'un compte d'usuari juntament amb un factor d'autenticació addicional remés per un altre canal diferent.

Sancions

  • PS/00413/2021, sanció per sol·licitar fotografia del DNI per lliurar un paquet: 100.000€
  • PS/00499/2022, sanció per sol·licitar fotografia del DNI, per a un check-in: 25.000€
  • PS00170/2022, sanció per sol·licitar còpia del DNI per poder tramitar una consulta: 70.000€
  • PS00003/2021, sanció per sol·licitar còpia del DNI per atendre una sol·licitud d'exercici de drets: 300.000 €
  • PS/00570/2023, sanció per sol·licitar còpia del DNI de mares, pares o tutors dels menors que vagin a concerts organitzats pel responsable: 3.000 €.
  • Etc.