Introducción
La Agencia Española de Protección de Datos hace hincapié, en una reciente resolución, en la necesidad de cumplir con el principio de minimización de los datos. En este caso, en el contexto de la solicitud de copias escaneadas del DNI o documentos identificativos equivalentes.
A continuación os resumimos las cuestiones tratadas en dicha resolución que son muy relevantes para que reviséis si lleváis a cabo el tratamiento de tipo de datos en vuestra organización.
Antecedentes
La AEPD inició un procedimiento sancionador y, recientemente, ha sancionado a una establecimiento hotelero con una multa de 2.000 euros por vulnerar el artículo 5.1.c) de RGPD que recoge el principio de minimización de los datos:
«Los datos personales serán: c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados»
La vulneración de dicho principio viene dado por realizar un tratamiento excesivo de datos personales al realizar un escaneo del DNI de los clientes.
Tratamientos realizados y finalidades perseguidas
La AEPD establece que:
- Si el objetivo perseguido con el tratamiento de los datos se puede lograr sin realizar un tratamiento excesivo de datos, entonces, el tratamiento debe realizarse de esa manera.
- Las categorías de datos seleccionados para ser tratados deben ser los estrictamente necesarios para lograr el objetivo declarado.
- Se debe limitar la recogida de los datos a aquella información que esté directamente relacionada con el fin específico que se pretende alcanzar.
Para llevar a cabo el análisis del fin específico que se pretende alcanzar con el tratamiento sirve bien el ejemplo de la sanción impuesta al hotel.
Hay dos normativas que obligan a los establecimientos hoteleros a llevar un registro de clientes:
- La LO 4/2015, de protección de la seguridad ciudadana impone obligaciones de registro documental a distintos tipos de establecimientos, entre ellos, los hoteleros.
- La Orden INT/1922/2003 sobre libros de registro que indica el tipo de datos de los viajeros que se deben recoger: nº de documento de identidad; tipo de documento; fecha de expedición; primer apellido; segundo apellido; nombre; sexo; fecha de nacimiento; país de nacionalidad; fecha de entrada.
En este caso, la AEPD, tras el análisis de ambas normativas, concluye que la copia del documento de identidad no es un tratamiento necesario para cumplir con la obligación del registro de viajeros y que, por tanto, se tratan datos excesivos en el contexto de la finalidad del tratamiento y sanciona a la empresa por dicho tratamiento excesivo.
Es decir, el hecho de tener que recabar los datos indicados en la Orden anterior, no implica que deba realizarse mediante una fotocopia del DNI.
Conclusiones
Con carácter general debe evitarse la solicitud de copias del DNI (o medios de identificación equivalente) salvo que exista una normativa que obligue a la recogida y tratamiento del mismo, por ejemplo, en el contexto sujetos obligados por la normativa de blanqueo.
Los riesgos asociados a la solicitud de copias de DNI (o documentos identificativos similares) son altos debido a la posibilidad que tenemos las personas de ser objeto de fraudes si alguien utiliza una copia robada de nuestro documento identificativo. Por ese motivo, si las organizaciones evitan almacenar dichos documentos, cuando no es necesario solicitar dichas copias, se evita la probabilidad de que sea sustraídos ante una potencial brecha de seguridad y el riesgo para los titulares de los datos.
Elena Pérez Gómez
Derecho Tecnológico y Seguridad de la Información
