El uso del Documento Nacional de Identidad está en el punto de mira: no todo vale a la hora de pedirlo o guardarlo. La Agencia Española de Protección de Datos (AEPD) ha endurecido su postura frente a prácticas que considera excesivas al verificar identidades, especialmente cuando se solicitan copias del DNI sin amparo legal claro.
En paralelo, ciertos sectores alegan obligaciones normativas para identificar a clientes y visitantes, pero la premisa no cambia: la ley exige necesidad, proporcionalidad y una base jurídica para cualquier tratamiento. La tensión se nota con fuerza en el turismo y otros servicios donde se han disparado las sanciones por escanear o fotografiar el documento.
Quién puede pedirte el DNI y con qué base legal
Mostrar el DNI supone tratar datos personales; por eso, solo cabe cuando hay una base legal (art. 6 RGPD) y es proporcionado (art. 5.1.c RGPD). En ese marco, pueden identificarte la Policía y otras autoridades (controles e identificaciones), órganos administrativos o judiciales, mesas electorales, seguridad privada en accesos determinados, y sectores sujetos a normas específicas como prevención de blanqueo (banca, notariado, registros) o actividades sensibles.
También se admite en contratos de servicios si es estrictamente imprescindible y en ámbitos con regulación sectorial (hospitales, centros educativos o instalaciones críticas). Fuera de esos supuestos, pedir el documento “por costumbre” carece de respaldo: si no hay necesidad real, no procede.
Copiar o escanear el DNI: qué permite la AEPD
Otra cosa muy distinta es guardar una copia. Salvo que una norma lo exija de forma expresa (por ejemplo, la legislación antiblanqueo en determinados sujetos obligados o para compulsar el DNI), la AEPD considera que fotocopiar o escanear el DNI es, por regla general, excesivo. Se incumple el principio de minimización y se incrementan riesgos de fraude.
El regulador señala que existen fórmulas menos intrusivas para verificar identidades: comprobar datos ya registrados en el sistema, reforzar el acceso con autenticación adicional, o corroborar la cuenta de usuario sin necesidad de capturar la imagen completa del documento, lo que además reduce el riesgo de vishing.
Multas y resoluciones recientes
En los últimos tiempos se han impuesto sanciones sonadas a empresas de selección de personal, mensajería para entregas de alta gama, entidades financieras y plataformas de alojamiento por exigir copias o fotos del DNI sin justificación suficiente. Las cuantías han llegado a ser altas: de 25.000 a 300.000 euros, según el caso analizado y la gravedad.
Los patrones que más han pesado son claros: pedir la imagen del documento cuando ya existía una vía de verificación menos intrusiva (por ejemplo, la propia cuenta del usuario), conservar fotografías del anverso y reverso durante largos periodos, o recabar más datos de los necesarios para cumplir la finalidad.
El mensaje del supervisor es inequívoco: el DNI no es un comodín. Si se reclama o se copia sin base legal y sin proporcionalidad, la práctica se califica de tratamiento excesivo y puede conllevar una sanción relevante, más aún si se vulneran principios básicos del RGPD.
Hospedaje: obligaciones, límites y alternativas prácticas
Donde más tensión hay es en el turismo. Los alojamientos deben identificar a viajeros y remitir determinados datos a las autoridades (según el RD 933/2021 y la normativa de seguridad), pero la AEPD remarca que no se pueden solicitar ni conservar copias del documento para ese fin ordinario.
La nota informativa del organismo publicada en junio reafirma esta posición: basta con anotar los campos obligatorios y verificar la identidad de forma visual o con medios electrónicos que no almacenen la imagen completa. La dificultad surge en check-ins remotos y alojamientos sin recepción, donde no siempre hay una alternativa técnica clara aceptada por el regulador.
Para reducir riesgos, la agencia sugiere optar por soluciones de verificación sin captura integral del documento, confirmar datos ya existentes o habilitar factores de autenticación adicionales. Y conviene extremar la cautela: si no es imprescindible para la finalidad, no se debe pedir la copia.
En el plano del usuario, varias recomendaciones ayudan a protegerse si te roban el DNI cuando no queda otra que remitir el documento. La Organización de Consumidores y Usuarios, en línea con Policía y AEPD, aconseja: usar una versión en blanco y negro cuando proceda, tapar datos no necesarios, añadir una marca visible con el motivo y fecha del envío, y remitir la imagen en formato JPG (mejor que documentos editables donde lo oculto podría recuperarse).
Quien tenga la aplicación oficial del documento puede compartir el “DNI simple” desde MiDNI: se genera un código Bidi y la otra parte visualiza solo los datos imprescindibles. Además, es clave asegurarse de que el envío se hace por canales cifrados, guardar un justificante y recordar que siempre puedes solicitar la supresión o retirar el consentimiento si procede.
El criterio que se consolida es que la identificación debe hacerse con la mínima intrusión posible: mostrar el DNI en los supuestos legales, anotar solo lo obligatorio y evitar copias salvo exigencia normativa expresa. Donde haya duda, conviene decantarse por métodos alternativos de verificación y por prácticas que reduzcan la exposición de datos, tanto para empresas como para usuarios.