En el día a día de muchas empresas y administraciones públicas, solicitar una copia del DNI se ha convertido en una práctica habitual. Sin embargo, lo que a menudo se percibe como un simple trámite administrativo puede suponer una infracción relevante en materia de protección de datos.
El Documento Nacional de Identidad no es un dato cualquiera. Se trata de un documento que concentra una gran cantidad de información personal: nombre completo, número identificativo, fotografía, firma y otros datos que permiten identificar de forma inequívoca a una persona. Desde la perspectiva del Reglamento General de Protección de Datos, su tratamiento debe realizarse con especial cautela.
Uno de los principios clave que rige esta materia es el de minimización de datos. Este principio implica que solo deben recogerse aquellos datos que sean estrictamente necesarios para la finalidad perseguida. En la práctica, esto significa que, en la mayoría de los casos, no es necesario conservar una copia del DNI. Basta con verificar la identidad del interesado o, en su caso, registrar los datos imprescindibles.
A pesar de ello, es frecuente encontrar situaciones en las que se solicita y archiva una fotocopia del DNI “por si acaso”. Este enfoque preventivo, lejos de ser una buena práctica, constituye precisamente lo que l
a normativa pretende evitar: la acumulación innecesaria de datos personales.
Incluso las administraciones públicas, que a menudo se perciben como legitimadas para solicitar este tipo de documentación, están obligadas a justificar su necesidad. No basta con invocar el interés público; es imprescindible acreditar que no existe una alternativa menos intrusiva.
Además, almacenar copias del DNI incrementa significativamente el riesgo en caso de brecha de seguridad. La filtración de este tipo de documentos puede tener consecuencias graves, como la suplantación de identidad, lo que eleva el nivel de responsabilidad de la organización.
Existen, por supuesto, supuestos en los que la copia del DNI puede estar justificada, como en determinados procedimientos con obligación legal expresa o cuando se requiere una verificación reforzada de identidad. Pero estos casos deben ser la excepción, no la regla.
En definitiva, el mensaje para empresas y profesionales es claro: solicitar el DNI puede ser necesario en determinados contextos, pero copiarlo o almacenarlo solo es lícito cuando exista una justificación concreta y documentada. Ante la duda, siempre debe optarse por la solución menos intrusiva, alineando la operativa diaria con los principios del RGPD.