Cada cop més es sol·licita el DNI per a realitzar gestions que podem trobar en l’àmbit del nostre dia a dia, des d’una acció tan senzilla com rebre un paquet fins a l’exercici dels nostres drets de protecció de dades davant d’una entitat.
El DNI conté més informació de la que ens pensem, no és solament el codi identificador, la nostra fotografia o el nom complet, també conté la nostra firma, domicili, equip expedidor, el nom dels progenitors, etc. (AEPD PS/00413/2021). La problemàtica sorgida respecte a aquesta informació rellevant del nostre DNI ha estat objecte d’anàlisis per part de l’Agència Espanyola de Protecció de Dades (AEPD) en multitud de processos: casos de missatgeria (0048/2023; PS/00413/2021), de selecció de personal (PS/00003/2021), de reserva d’allotjaments… (PS/00499/2022).
Segons les resolucions de l’AEPD, l’ús indegut del DNI pot suposar la vulneració de principis rectors de la protecció de dades com són els de minimització de les dades, el de proporcionalitat del tractament, el de limitació de la finalitat, i el de la conservació de les dades.
Donat això, en el cas de voler exercir un dret de protecció de dades davant d’una entitat, és necessari plantejar-nos si aquest tractament de dades del nostre document d’identitat, pot considerar-se excessiu. Per això, fonamentat en l’article 5.1.c RGPD, referent al principi de minimització de dades, s’ha de determinar que la sol·licitud del DNI ha de ser estrictament necessària pel tractament que es vol realitzar, i en conseqüència, el responsable de tractament, ha d’assegurar-se de no recollir més dades personals de les necessàries per a realitzar la identificació de la persona sol·licitant. Cal tenir en compte que la base legitimadora d’aquest fet és l’article 12.6 RGPD: “quan el responsable del tractament tingui dubtes raonables en relació amb la identitat de la persona física que cursa la sol·licitud a què es refereixen els articles 15 a 21, podrà sol·licitar que es faciliti la informació addicional necessària per a confirmar la identitat de l’interessat.”
Els últims procediments sancionadors resolts per aquests fets són un indicatiu de la preocupació que l’AEPD té sobre l’ús del DNI per a la identificació, així trobem imposicions de multes que van des de 3.000 euros (PS/00570/2023) fins a 250.000 euros (PS/00003/2021), basades en l’aplicació de l’article 5.1 del RGPD.
Tal com indica l’AEPD “l’ús indegut del DNI sense les garanties suficients pot tenir múltiples efectes desfavorables per al titular de les dades”. El mètode utilitzat per a la identificació d’una persona ha de ser pertinent, adequat, proporcionat i respectar el principi de minimització de dades.
Algunes mesures alternatives o solucions per a la realització de la identificació del sol·licitant poden ser mitjançant una identificació electrònica o realitzar l’enviament d’una sol·licitud a través d’un compte d’usuari juntament amb un factor d’autenticació addicional remès per un altre canal diferent. A través d’aquestes tècniques, s’evita l’ús de dades personals i es realitza la identificació mitjançant codis o contrasenyes que permetin assegurar que la persona que realitza l’exercici de drets és la correcta.
En definitiva, sol·licitar el DNI és una opció viable i legítima, però s’ha de limitar el seu tractament a l’estrictament necessari, i en paraules de l’AEPD “Només s’haurà de recollir la informació del DNI que sigui pertinent per a confirmar la identitat del subjecte, i si existeixen altres mesures menys greus que compleixen la finalitat de la identificació, el més recomanable és abstenir-se d’utilitzar-lo.” (AEPD 0048/2023)