La Agencia Española de Protección de Datos (en adelante, AEPD) sanciona con 100.000 euros a una empresa por imponer como condición necesaria para la recepción de paquetes la realización de una fotografía al anverso y al reverso del DNI.
La AEPD considera que la empresa reclamada vulneró el art. 5 del Reglamento General de Protección de Datos (en adelante, RGPD), relativo al principio de minimización, que indica que los datos han de ser “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”.
Se considera que existen otros procedimientos de entrega de productos a través de los cuales puede verificarse la identidad del destinatario, comprobando que es la persona a la que va dirigido, sin que sea necesario fotografiar su DNI. Para la AEPD el tratamiento de las imágenes del DNI resulta excesivo para la finalidad de verificar y determinar que el destinatario al que se le entrega la mercancía es el mismo que la persona que celebró el contrato.
Asimismo, la AEPD indica que el DNI no solo contiene el nombre y apellidos, número y fotografía del destinatario, sino que incorpora muchos otros datos adicionales (firma, domicilio, lugar y fecha de nacimiento, clave de acceso a la información contenida en el mismo etc.) que no son ni adecuados, ni pertinentes, ni limitados a la finalidad de entrega del paquete, añadiendo que para acreditar que la persona que recoge el producto es la titular que facilitó los datos en el momento de la contratación, se deberían utilizar otros medios que resulten menos lesivos y agresivos para la privacidad de las personas.
La AEPD señala que es en el momento de la celebración del contrato donde el DNI es necesario para poder acreditar que la persona que contrata es realmente quien dice ser y, por lo tanto, acreditar un nivel de diligencia adecuado. No obstante, no hay que confundir este momento con el de la entrega del producto a su destinatario trasladando la diligencia exigible para acreditar que la persona contratarte es la que dice ser mediante la aportación del DNI a un momento posterior.
En conclusión, el tratamiento de la imagen del DNI durante la entrega de un producto adquirido a distancia no es solo ilícito, sino que se considera inadecuado, no pertinente, ni limitado a lo necesario en relación con los fines previstos. El DNI contiene información que no guarda relación con la finalidad del tratamiento y su utilización no está limitada a lo estrictamente necesario.