Cada vez más se solicita el DNI para realizar gestiones que podemos encontrar en el ámbito de nuestro día a día, desde una acción tan simple como recibir un paquete hasta el ejercicio de nuestros derechos de protección de datos ante una entidad.
El DNI contiene más información de la que nos pensamos, no es solamente el código identificador, nuestra fotografía o el nombre completo, también contiene nuestra firma, domicilio, equipo expedidor, el nombre de los progenitores, etc. (AEPD PS/00413/2021). La problemática surgida con relación a esta información relevante de nuestro DNI ha sido objeto de análisis por parte de la Agencia Española de Protección de Datos (AEPD) en multitud de procesos: casos de mensajería (0048/2023; PS/00413/2021), de selección de personal (PS/00003/2021), de reserva de alojamientos… (PS/00499/2022).
Según las resoluciones de la AEPD, el uso indebido del DNI puede suponer la vulneración de principios rectores de la protección de datos como son los de minimización de los datos, el de proporcionalidad del tratamiento, el de limitación de la finalidad, y el de la conservación de los datos.
Dicho esto, en el caso de querer ejercer un derecho de protección de datos ante una entidad, es necesario plantearnos si el tratamiento de datos de nuestro documento de identidad puede considerarse excesivo. Por ello, fundamentado en el artículo 5.1.c RGPD, referente al principio de minimización de datos, debe determinarse que la solicitud del DNI sea estrictamente necesaria para el tratamiento que se quiere realizar y, en consecuencia, el responsable de tratamiento debe asegurarse de que no recogen más datos personales de los necesarios para realizar la identificación de la persona solicitante. Hay que tener en cuenta que la base legitimadora de este hecho es el artículo 12.6 RGPD: «cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona física que cursa la solicitud a que se refieren los artículos 15 a 21, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado.»
Los últimos procedimientos sancionadores resueltos sobre estos hechos son un indicativo de la preocupación que la AEPD tiene sobre el uso del DNI para la identificación, así encontramos imposiciones de multas que van desde 3.000 euros (PS/00570/2023) hasta 250.000 euros (PS/00003/2021), basadas en la aplicación del artículo 5.1 del RGPD.
Tal y como indica la AEPD: «el uso indebido del DNI sin las garantías suficientes puede tener múltiples efectos desfavorables para el titular de los datos». El método utilizado para la identificación de una persona debe ser pertinente, adecuado, proporcionado y respetar el principio de minimización de datos.
Algunas medidas alternativas o soluciones para la realización de la identificación del solicitante pueden ser mediante una identificación electrónica o realizar el envío de una solicitud a través de una cuenta de usuario junto con un factor de autenticación adicional remitido por otro canal diferente. A través de estas técnicas, se evita el uso de datos personales y se realiza la identificación mediante códigos o contraseñas que permitan asegurar que la persona que realiza el ejercicio de derechos es la correcta.
En definitiva, solicitar el DNI es una opción viable y legítima, pero debe limitarse su tratamiento a lo estrictamente necesario, y en palabras de la AEPD.: «Sólo se deberá recoger la información del DNI que sea pertinente para confirmar la identidad del sujeto, y si existen otras medidas menos graves que cumplen la finalidad de la identificación, lo más recomendable es abstenerse de utilizarlo.» (AEPD 0048/2023)
El pasado 9 de febrero de 2023, el Tribunal Superior de Justicia de la Unión Europea (TSJUE) hacía pública la sentencia por la cual resuelve una petición de decisión prejudicial que había elevado el Tribunal Supremo del laboral de Alemania en relación con las causas válidas que pueden justificar el despido de un Delegado de Protección de Datos (DPD) y en relación con la interpretación del que se entiende por conflicto de intereses en el desarrollo de las tareas del DPD. (más…)
El pasado 3 de noviembre se publicó en el Boletín Oficial del Estado la Orden PCM/1047/2022, de 1 de noviembre, por la que se aprueba y publica el procedimiento de valoración de los puestos de trabajo previsto en el Real decreto 902/2020, de 13 de octubre, de igualdad retributiva entre mujeres y hombres. Fue precisamente en este real decreto donde se introdujo una nueva regulación de diversos instrumentos a través de los cuales debe aplicarse el principio de transparencia retributiva, siendo uno de ellos el procedimiento de valoración de puestos de trabajo. (más…)
El Ministerio de Trabajo de la República Francesa ha publicado los resultados del estudio anual de la profesión de delegado de Protección de Datos (DPD), realizado con el apoyo de la CNIL Commission nationale del informatique et des libertés (Comisión nacional de informática y libertades de Francia), que es la autoridad de control en materia de protección de datos en Francia. El estudio se ha realizado mediante encuestas a los mismos DPDs entre los años 2019-2021.
Destaca el resultado de la formación de los DPDs consultados que un tercio de los mismos responden que no ha realizado ninguna formación en tecnologías de la información, así como tampoco del Reglamento General de Protección de Datos (RGPD) desde el año 2016, lo que supone más de 7 puntos respecto al citado año. Se señala que la CNIL lo estudiará particularmente porque los responsables y encargados del tratamiento que hayan designado un DPD deben proporcionarle los recursos necesarios para mantener los conocimientos especialidades conforme al artículo 38.2 del RGPD. (más…)