Tras recordar los criterios generales establecidos sobre el tratamiento de la información contenida en el DNI, y tras valorar la interpretación en este sentido del Comité Europeo de Protección de Datos, la Agencia Española de Protección de Datos (en adelante, AEPD) ha establecido que “la solicitud del DNI con la toma de una copia del mismo (sacarle una foto, por ejemplo) sería, en principio, un tratamiento excesivo”.
En orden a desarrollar este criterio general, la AEPD hace una serie de consideraciones:
- El DNI contiene información que, atendiendo al caso concreto, no siempre es necesaria para llevar a cabo la tarea de identificar al interesado: el número de documento, la fotografía, los datos que han de leerse necesariamente por máquina, etc.
- La toma de una copia del DNI (sacarle una foto, por ejemplo) no puede instaurarse por sistema, sino que habrá que analizar, atendiendo a las circunstancias de cada caso, una serie de aspectos: la base jurídica del tratamiento, el riesgo del tratamiento, la finalidad perseguida, etc.
- Han de tenerse en especial consideración el principio de minimización y el de proporcionalidad, y en este sentido, ha de estarse a lo que establece el art. 39 del Reglamento General de Protección de Datos: “Los datos personales deben de ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados […] Los datos personales sólo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios”.