¿Se debe solicitar el DNI para verificar la identidad del solicitante del ejercicio de derechos?


Manuel Castilleja Toscano     01/03/2022

Qué dice al respecto en el GDPR:

  • El considerando 64 establece que el responsable del tratamiento debe utilizar todas las medidas razonables para verificar la identidad de los interesados que soliciten acceso, en particular en el contexto de los servicios en línea y los identificados en línea.
  • El artículo 12.6 establece que, sin perjuicio de lo dispuesto en el artículo 11, cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona física que cursa la solicitud a que se refieren los artículos 15 a 21, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado.
  • El artículo 5.1.c establece que los datos personales tratados serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (principio de minimización de datos)

Qué criterios sigue la AEPD:

En su E/9130/2018 procede al archivo de actuaciones ante una reclamación por solicitar el DNI para acreditar la identidad ante un ejercicio de derecho de supresión resolviendo que se acredita que la actuación del reclamado es proactiva y ajustada en su respuesta al ejercicio de un derecho personalísimo, no estimándose que se produce infracción de la normativa vigente de protección de datos.

En el TD/00204/2019, resuelve que no se debería solicitar el DNI si cuando al recabarse los datos personales tampoco se solicitó. Si no se solicitó la identidad para darle de alta, no se requerirá acreditación para la supresión de sus datos, sino la comprobación del correo electrónico desde el que se solicitó dicha alta y que figura en sus registros. No debe ser mayor el rigor para dar de baja que el rigor para dar de alta.

Recientemente en el PS/00003/2021, resuelve que si la dirección de correo electrónico de la persona ejerciente de la solicitud de derecho, constaba ya en los sistemas de la entidad responsable del tratamiento y la solicitud se llevó a cabo desde la misma, sería suficiente para verificar la identidad de dicha persona.

Conclusión:

Cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona física que solicita el ejercicio de alguno de sus derechos, podrá utilizar todas las medidas razonables para verificar dicha identidad y solicitar información adicional. Será por tanto el responsable quien, en cada caso, según las circunstancias y teniendo en cuenta, entre otros, el principio de minimización del art. 5.1.c GDPR, determine qué medidas resultarán razonables y si necesita solicitar información adicional, y en tal caso que información solicitar para verificar la identidad de la persona solicitante.

Las autoridades de control recomiendan formas menos intrusivas, que la solicitud del DNI, para comprobar la identidad del solicitante, por ejemplo y entre otras:

  • Si la dirección de correo electrónico de la persona solicitante, consta ya en los sistemas del responsable del tratamiento y la solicitud se lleva a cabo desde la misma, sería suficiente para verificar la identidad de dicha persona.
  • Si es el caso, enviar la solicitud a través de una cuenta de usuario junto con un factor de autenticación adicional remitido por otro canal diferente.