Cada cop més es sol·licita el DNI per a realitzar gestions que podem trobar en l’àmbit del nostre dia a dia, des d’una acció tan senzilla com rebre un paquet fins a l’exercici dels nostres drets de protecció de dades davant d’una entitat.
El DNI conté més informació de la que ens pensem, no és solament el codi identificador, la nostra fotografia o el nom complet, també conté la nostra firma, domicili, equip expedidor, el nom dels progenitors, etc. (AEPD PS/00413/2021). La problemàtica sorgida respecte a aquesta informació rellevant del nostre DNI ha estat objecte d’anàlisis per part de l’Agència Espanyola de Protecció de Dades (AEPD) en multitud de processos: casos de missatgeria (0048/2023; PS/00413/2021), de selecció de personal (PS/00003/2021), de reserva d’allotjaments… (PS/00499/2022).
Segons les resolucions de l’AEPD, l’ús indegut del DNI pot suposar la vulneració de principis rectors de la protecció de dades com són els de minimització de les dades, el de proporcionalitat del tractament, el de limitació de la finalitat, i el de la conservació de les dades.
Donat això, en el cas de voler exercir un dret de protecció de dades davant d’una entitat, és necessari plantejar-nos si aquest tractament de dades del nostre document d’identitat, pot considerar-se excessiu. Per això, fonamentat en l’article 5.1.c RGPD, referent al principi de minimització de dades, s’ha de determinar que la sol·licitud del DNI ha de ser estrictament necessària pel tractament que es vol realitzar, i en conseqüència, el responsable de tractament, ha d’assegurar-se de no recollir més dades personals de les necessàries per a realitzar la identificació de la persona sol·licitant. Cal tenir en compte que la base legitimadora d’aquest fet és l’article 12.6 RGPD: “quan el responsable del tractament tingui dubtes raonables en relació amb la identitat de la persona física que cursa la sol·licitud a què es refereixen els articles 15 a 21, podrà sol·licitar que es faciliti la informació addicional necessària per a confirmar la identitat de l’interessat.”
Els últims procediments sancionadors resolts per aquests fets són un indicatiu de la preocupació que l’AEPD té sobre l’ús del DNI per a la identificació, així trobem imposicions de multes que van des de 3.000 euros (PS/00570/2023) fins a 250.000 euros (PS/00003/2021), basades en l’aplicació de l’article 5.1 del RGPD.
Tal com indica l’AEPD “l’ús indegut del DNI sense les garanties suficients pot tenir múltiples efectes desfavorables per al titular de les dades”. El mètode utilitzat per a la identificació d’una persona ha de ser pertinent, adequat, proporcionat i respectar el principi de minimització de dades.
Algunes mesures alternatives o solucions per a la realització de la identificació del sol·licitant poden ser mitjançant una identificació electrònica o realitzar l’enviament d’una sol·licitud a través d’un compte d’usuari juntament amb un factor d’autenticació addicional remès per un altre canal diferent. A través d’aquestes tècniques, s’evita l’ús de dades personals i es realitza la identificació mitjançant codis o contrasenyes que permetin assegurar que la persona que realitza l’exercici de drets és la correcta.
En definitiva, sol·licitar el DNI és una opció viable i legítima, però s’ha de limitar el seu tractament a l’estrictament necessari, i en paraules de l’AEPD “Només s’haurà de recollir la informació del DNI que sigui pertinent per a confirmar la identitat del subjecte, i si existeixen altres mesures menys greus que compleixen la finalitat de la identificació, el més recomanable és abstenir-se d’utilitzar-lo.” (AEPD 0048/2023)
El passat 9 de febrer de 2023, el Tribunal Superior de Justícia de la Unió Europea (TSJUE) feia pública la sentència per la qual resol una petició de decisió prejudicial que havia elevat el Tribunal Suprem del laboral d’Alemanya en relació amb les causes vàlides que poden justificar l’acomiadament d’un Delegat de Protecció de Dades (DPD) i en relació amb la interpretació del que s’entén per conflicte d’interessos en el desenvolupament de les tasques del DPD. (more…)
El passat 3 de novembre va publicar-se en el Butlletí Oficial de l’Estat l’Ordre PCM/1047/2022, d’1 de novembre, per la qual s’aprova i es publica el procediment de valoració dels llocs de treball previst en el Reial decret 902/2020, de 13 d’octubre, d’igualtat retributiva entre dones i homes. Fou precisament en aquest reial decret on s’introduí una regulació nova de diversos instruments a través dels quals ha d’aplicar-se el principi de transparència retributiva, essent-ne un d’ells el procediment de valoració de llocs de treball. (more…)
El Ministeri de Treball de la República Francesa ha publicat els resultats de l’estudi anual de la professió de delegat de Protecció de Dades (DPD), realitzat amb el suport de la CNIL Commission nationale de l’informatique et des libertés (Comissió nacional d’informàtica i llibertats de França), que és l’autoritat de control en matèria de protecció de dades a França. L’estudi s’ha dut a terme mitjançant enquestes als mateixos DPDs entre els anys 2019-2021.
Destaca el resultat de la formació dels DPDs consultats que un terç dels mateixos responen que no ha fet cap formació en tecnologies de la informació, així com tampoc del Reglament General de Protecció de Dades (RGPD) des de l’any 2016, el que suposa més de 7 punts respecte a l’esmentat any. S’assenyala que la CNIL ho estudiarà particularment perquè els responsables i encarregats del tractament que hagin designat un DPD han de proporcionar-li els recursos necessaris per mantenir els coneixements especialitats conforme l’article 38.2 del RGPD. (more…)