Ejercicio de Derechos en Protección de Datos, adiós al DNI
La Agencia Española de Protección de Datos (en adelante, “AEPD”), siguiendo la línea que vienen imponiendo diferentes autoridades de protección de datos en otros estados miembros de la Unión Europea tales como Francia o Países Bajos, ha determinado en recientes resoluciones que la solicitud por defecto de una fotocopia del Documento Nacional de Identidad (en adelante, “DNI”) en el contexto de la atención de solicitudes de ejercicio de derechos de los interesados puede constituir una práctica injustificada e impertinente.
El DNI como principal método de identificación
Tradicionalmente, el DNI o carné de identidad ha constituido el principal método para verificar la identidad de un individuo. En este sentido, una de las entidades sancionadas ha argumentado que solicitar el DNI como regla general para identificar al remitente es “un aspecto cultural o de cumplimiento, que se irá definiendo y homogeneizando en los próximos años”
Lo cierto que es que conocer la identidad de los interesados que ejercitan un derecho constituye un requisito exigible para todas las entidades que actúen en calidad de responsable del tratamiento. Siendo esto así, solicitar el DNI u otra documentación identificativa supone una práctica común y extendida en tanto que constituye una garantía del cumplimiento de las obligaciones de diligencia exigibles a este respecto.
Sin embargo, las recientes resoluciones de la AEPD indican que aplicar este procedimiento por defecto y como regla general podría constituir una conducta obstativa, ya que pueden existir, en función de las circunstancias, otros métodos más efectivos y menos intrusivos para verificar la identidad del solicitante.
En este mismo sentido, las recientes Directrices 1/2022 sobre el derecho de acceso de los interesados, del Comité Europeo de Protección de Datos recomiendan evitar solicitar el uso de una fotocopia del DNI como parte de un proceso de autenticación en la medida en que no sea necesario, para evitar incurrir en riesgos adicionales para la seguridad de los datos personales por cuanto que el DNI exhibe más datos de los necesarios para verificar la identidad del solicitante.
¿Cuándo puede solicitarse el DNI para el ejercicio de derechos?
A pesar de lo anterior, y como se ha indicado anteriormente, tec solicitar el DNI u otra documentación identificativa sigue siendo procedente en ciertos supuestos. Esto es así porque la falta de diligencia a la hora de verificar la identidad de un interesado también es sancionable por la AEPD.
Siendo esto así, corresponde concluir que únicamente debe solicitarse al interesado que ejerce sus derechos que proporcione documentación suficiente para probar su identidad si no fuera posible determinarla a través de otros medios menos lesivos.
A este respecto es importante señalar que corresponde a la entidad que solicita la identificación del individuo demostrar la procedencia de solicitar esta información por existir una duda razonable respecto de la identidad del solicitante.
Recomendaciones para cumplir con el criterio de la AEPD
De conformidad con lo expuesto, nuestras recomendaciones para asegurar el cumplimiento con
- Asegurar que vuestra política de privacidad que no indique que el interesado debe proporcionar una copia del DNI cuando ejerza sus derechos en materia de protección de datos.
- Dar respuesta a toda solicitud de ejercicio de derechos que un interesado haga llegar de conformidad con lo dispuesto anteriormente. Esto es, únicamente solicitar que el interesado os proporcione una copia del DNI y/o otra pieza identificativa si existen dudas razonables sobre su identidad y no existe un medio menos lesivo para acreditarla.
En caso de duda sobre el método elegido para identificar a un usuario, Letslaw cuenta con profesionales expertos en materia de privacidad que pueden ponerse a vuestra disposición para proporcionaros un asesoramiento adaptado a vuestras necesidades.
Marta Moreno cuenta con experiencia profesional internacional trabajando tanto en inglés como en francés en el seno de empresas como Microsoft o IBM en las que se ha dedicado al asesoramiento legal en materias como protección de datos, contratación, comercio electrónico o compliance penal.