Madrid Lu - Ju 9:00-14:00 16:00-19:00 | Vi 9:00-14:30 Llamada gratuita +34 900 264 785
info@acountax.es

Solicitar el DNI a clientes puede costarte caro: sanciones de la AEPD por incumplir el RGPD

23/06/2025
, , ,
0

El uso del DNI y el principio de minimización de datos: nuevo criterio de la AEPD

La Agencia Española de Protección de Datos (AEPD) ha endurecido recientemente su criterio en relación con la solicitud de documentos de identidad por parte de empresas, especialmente en el marco de la gestión de derechos recogidos en el Reglamento General de Protección de Datos (RGPD). Esta evolución ha dado lugar a una serie de resoluciones sancionadoras que afectan directamente a prácticas habituales en muchas organizaciones.

Fundamento jurídico: el principio de minimización

El RGPD, en su artículo 5.1.c), establece que los datos personales deben ser:

«adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados».

Este principio, conocido como «minimización de datos», obliga a las empresas a no solicitar más información personal de la necesaria para una finalidad concreta. Esto incluye, por ejemplo, la identificación de una persona para gestionar una solicitud de acceso, rectificación, cancelación o cualquier otro derecho regulado por el RGPD.

¿Qué dice la AEPD?

En varias resoluciones recientes, la AEPD ha declarado que solicitar una fotocopia del DNI de forma sistemática y sin una justificación clara infringe este principio. El Documento Nacional de Identidad contiene datos excesivos para la simple verificación de identidad: fotografía, firma manuscrita, número de soporte, datos de filiación, entre otros.

Uno de los casos más relevantes es la sanción de 3.000 euros impuesta a una empresa por pedir una copia completa del DNI a través de su sitio web para tramitar el ejercicio de derechos. La AEPD consideró esta práctica desproporcionada, dado que existen medios alternativos menos intrusivos.

Resoluciones sancionadoras recientes

Entre los expedientes más significativos destacan:

  • PS/00436/2023: Sanción de 3.000 euros a una empresa del sector mediático por solicitar copia completa del DNI para ejercer derechos.
  • PS/00003/2021: Sanción por requerir el DNI completo para permitir el acceso a movimientos bancarios.
  • PS/00349/2023: Multa de 30.000 euros a un hotel por escanear sistemáticamente los DNI de sus clientes al hacer check-in sin necesidad legal.
  • Exp. E/08266/2024: Sanción reducida a 1.200 euros a una posada por solicitar a sus clientes la fotografía del DNI para una reserva online.

Estas resoluciones reflejan una clara línea interpretativa por parte de la AEPD, orientada a reforzar el cumplimiento del principio de minimización.

¿Cómo puede una empresa verificar la identidad sin vulnerar el RGPD?

La AEPD sugiere varias alternativas que cumplen con la normativa:

  • Mostrar el DNI en una videollamada, sin conservar copia.
  • Usar un certificado digital o una firma electrónica cualificada.
  • Verificación a través de un correo electrónico previamente validado.
  • Contrastar los datos facilitados con la información ya existente en la base de datos.
  • Formularios con preguntas de seguridad específicas.
  • Solicitar únicamente los datos necesarios, ocultando o tachando aquellos que no son imprescindibles (por ejemplo, el número de soporte o la firma).

Recomendaciones prácticas para las empresas

  1. Revisar los procedimientos internos de verificación de identidad.
  2. Evitar prácticas generalizadas de solicitud de DNI sin valorar su necesidad.
  3. Documentar y justificar internamente los casos en que sea estrictamente necesario solicitar la copia del documento.
  4. Incluir estas pautas en las políticas de privacidad y en la formación del personal.
  5. Aplicar medidas técnicas que aseguren el principio de protección de datos desde el diseño y por defecto (art. 25 RGPD).

La doctrina de la AEPD en relación con el uso del DNI en el ámbito empresarial está evolucionando hacia una aplicación cada vez más rigurosa del principio de minimización. Las empresas deben adaptar sus protocolos para evitar sanciones y, al mismo tiempo, fortalecer la confianza de sus clientes en el tratamiento responsable de sus datos personales.

El cumplimiento normativo en protección de datos no solo es una obligación legal, sino también una ventaja competitiva en un entorno donde la privacidad se valora cada vez más.

Si  desea ampliar la presente información, no dude en ponerse en contacto con nuestro despacho llamando al 900 264 785 o bien enviando un email a info@acountax.es

¿Dudas sobre su caso? Escríbanos y le orientamos.

Puede ponerse en contacto con nosotros escribiéndonos a info@acountax.es, llamándonos de forma gratuita al 900 264 785 o rellenando el siguiente formulario de contacto que ponemos a su disposición. Le responderemos en menos de 24 horas.


    Información básica protección de datos personales; Responsable: Acountax Madrid S.L. Finalidad del tratamiento: atender las cuestiones que nos plantee cuando le llamemos en respuesta a su petición y, en su caso, concertar una cita en nuestro despacho. Derechos: puede ejercitar los derechos que le reconoce la normativa vigente sobre protección de datos en los supuestos y forma que se explica en nuestra
    política de privacidad, donde encontrará Información completa sobre el tratamiento de sus datos personales.

    Categorías

    Powered by  GDPR Cookie Compliance
    Resumen de privacidad

    Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.