La protección de datos se ha convertido en un elemento a vigilar, sobre todo por las pequeñas empresas y autónomos, ya que un error puede derivar en una dura sanción económica.
Como sabes, todas las empresas, independientemente de su tamaño, deben cumplir el Reglamento general de protección de datos (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016), por lo que ninguna está al margen de recibir una denuncia por alguno de sus clientes, incluso a veces como arma arrojadiza, y exponerse a un expediente sancionador.
Pedir el DNI si, escanearlo no
En ocasiones en la protección de datos, como en toda normativa hay aspectos interpretables, y en esos casos interviene la Agencia Española de Protección de datos (AEPD), como éste Informe 48/2023 que viene a decir que escanear un DNI es excesivo al tratarse de datos sensibles y no debe hacerse.
El caso analizado es el de un hotel, que como casi todos, realizan, en su proceso de check-in, el escaneo de DNI de los clientes, pues lo han sancionado con 2.000 euros por eso.
La importancia de esta resolución es que choca con aspectos preestablecidos de Seguridad Ciudadana, concretamente con la Orden INT/1922/2003, de 3 de julio, sobre libros-registro y partes de entrada de viajeros en establecimientos de hostelería y otros análogos, donde se obliga a los establecimientos a llevar un registro de clientes, y con el artículo 25 de Ley Orgánica 4/2015 de Seguridad Ciudadana.
Aún así, en esta resolución la AEPD concluye que la copia del documento de identificación no es un tratamiento necesario para realizar el registro, y dar cumplimiento a la Ley Orgánica 4/2015, constituyendo dicha actuación una vulneración del artículo 5.1.c) RGPD, ya que no se trataría de datos necesarios para el tratamiento que se realiza, considerando que se ha tratado datos excesivos que no son necesarios para la finalidad para la que deben destinar.
Pero ojo, que en esta resolución no se está poniendo en duda la posibilidad de solicitar el DNI para realizar una comprobación de los datos, sino la pertinencia de hacer un escaneo y tratamiento posterior del documento.
Principio de minimización de datos en relación a la finalidad a conseguir
Este criterio se sustenta en algo que ya queda claro en el artículo 5.1.c del RGPD, donde se establece el principio de minimización de datos: “Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”.
Como hemos visto, la AEPD se ha manifestado, en relación al escaneo de los DNI por parte de un hotel, que por otro lado, está obligado por distintas normativas a mantener, por Seguridad Ciudadana, un registro de clientes, y aún así, es excesivo escanear el DNI de los huéspedes al ser un documento sensible respecto a los datos que contiene y que son tratados.
Esto trasládalo a tu negocio, en el que a lo mejor se te ha ocurrido escanear el DNI para poner a funcionar una tarjeta de fidelización o simplemente para construir una base de datos, pues está claro, no es proporcional la medida con el fin a conseguir con el tratamiento de los datos. No lo hagas. Analiza qué datos son indispensables y solo pídelos en caso de ser indispensables para lo que quieras conseguir.