Multas de hasta 100.000€ por fotografiar el DNI: la AEPD avisa a los consumidores

La Agencia Española de Protección de Datos advierte que solicitar copias del documento sin justificación puede acarrear sanciones para las empresas.

Imagen genérica de un DNI español con una huella digital superpuesta.
IA

Imagen genérica de un DNI español con una huella digital superpuesta.

La Agencia Española de Protección de Datos (AEPD) ha emitido un aviso urgente a los consumidores sobre la ilegalidad de fotografiar o fotocopiar el DNI sin una justificación clara, recordando que puede acarrear multas de hasta 100.000 euros.

Fotografiar o solicitar una fotocopia del Documento Nacional de Identidad (DNI) puede parecer un trámite habitual en diversas gestiones, como la entrega de paquetes, el acceso a recintos o la contratación de servicios. Sin embargo, la Agencia Española de Protección de Datos (AEPD) ha reiterado que esta práctica no siempre es legal.
El DNI contiene información adicional a la necesaria para verificar la identidad de una persona, como la fotografía, la fecha de caducidad o datos de la expedición. Según la AEPD, conservar o tratar estos datos sin una necesidad imperiosa puede infringir el principio de minimización de datos y aumentar el riesgo de suplantación de identidad.
La AEPD recuerda que, como norma general, no es necesario entregar una copia del DNI para ejercer derechos como el acceso, la rectificación o la supresión de datos. Solo se podría solicitar información adicional si existen dudas razonables sobre la identidad de quien realiza la solicitud.
En sectores como hoteles, alojamientos turísticos o empresas de alquiler de vehículos, donde la normativa puede obligar a recoger datos de los viajeros, la Agencia considera que a menudo es suficiente con rellenar un formulario y verificar visualmente el documento, sin guardar una copia.
El caso más destacado es la sanción de 100.000 euros impuesta a Orange, después de que un mensajero fotografiara el DNI de un cliente por ambas caras para entregarle un paquete. La sanción se fundamentó en la recogida de más datos de los estrictamente necesarios para la verificación de la identidad.
Esta práctica vulnera el artículo 5.1.c del Reglamento General de Protección de Datos (RGPD), que establece que los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para la finalidad del tratamiento.
El riesgo para el ciudadano es significativo, ya que una copia del DNI puede ser utilizada para abrir cuentas bancarias, contratar servicios, realizar compras fraudulentas o suplantar la identidad. Por ello, la AEPD insiste en limitar la información entregada y, si es necesario, ocultar datos no imprescindibles o utilizar métodos alternativos de verificación.
Si te encuentras en esta situación, es recomendable preguntar por el motivo de la solicitud de la copia completa y la base legal que la autoriza. En caso de duda o si la empresa insiste sin justificación, se puede negar a entregar la copia y solicitar un método alternativo. Si el tratamiento de datos es indebido, se puede presentar una reclamación ante la AEPD.
El mensaje de la Agencia es claro: el DNI contiene datos personales sensibles y su copia incontrolada puede abrir la puerta al fraude.