DNI y protección de datos: ¿Qué debo tener en cuenta?

El DNI debe considerarse un dato de carácter personal, sujeto a la normativa de Protección de datos.

Los datos personales son la base del  Reglamento General de Protección de Datos. Este aclara: “una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos del físico, identidad fisiológica, genética, mental, económica, cultural o social de esa persona natural”. Haciendo referencia, por tanto, a tipos de documentos como el documento nacional de identidad.

El DNI, ¿es un dato de carácter personal? Lo que dice la AEPD

Como indicaba anteriormente, el DNI es considerado como un dato personal, tanto por el RGPD como por la LOPDGDD. Y es así porque a través del mismo podría identificarse a una persona.

Sin embargo, la AEPD ha considerado en alguna resolución que el DNI no se considera un dato personal si no va unido al nombre y apellido de la persona. Es decir, considera que por sí solo no podría dar lugar a una identificación de la persona a la que corresponde.

Al ser un dato personal, deben aplicarse las mismas medidas de protección que sobre otros datos personales.

Esto significa asegurarse de que los datos estén seguros, reducir la cantidad de datos que almacena, recopilar solo la cantidad de datos necesaria para completar sus actividades de procesamiento y mantener los datos solo mientras  cumplan con su propósito.

Los datos personales que se recopilen deben ser seudónimos y / o cifrados. La seudonimización enmascara los datos al reemplazar la información de identificación con identificadores artificiales.

El cifrado también oscurece la información al reemplazar los identificadores con otra cosa. Pero mientras que la seudonimización permite que cualquier persona con acceso a los datos vea parte del conjunto de datos, el cifrado solo permite que los usuarios aprobados accedan al conjunto de datos completo.

Normativa sobre protección de datos del DNI

Vamos a analizar ahora cómo se trata el DNI en las distintas normativas.

El RGPD, en su artículo 4 establece lo que se consideran datos personales y el DNI, en cuanto sirva para identificar a una persona física, está considerado como tal.

Real Decreto 1553/2006

Esta ley regula la expedición del DNI y sus certificados de firma electrónica.

El DNI es un documento identificativo exigido por la Ley Orgánica de protección de la Seguridad ciudadana. Esta ley establece que será obligatorio para los mayores de 14 años y en él deben aparecer los datos personales de su titular, su fotografía y firma.

En este Real Decreto se regula la obligatoriedad del Documento Nacional de Identidad (DNI), el procedimiento para obtenerlo, su contenido y los certificados electrónicos.

Ley 19/2013 de Transparencia y Buen Gobierno

En esta ley se regula la transparencia, el derecho de acceso a la información pública y las normas de buen gobierno.

Es decir, la Ley tiene un triple alcance:

• Aumenta y refuerza la transparencia en la actividad pública
• Reconoce y garantiza el acceso a la información
• Recoge las obligaciones de buen gobierno que deben cumplir los responsables públicos, así como las consecuencias jurídicas derivadas de su incumplimiento.

En virtud de esta norma, es posible publicar determinados datos personales, entre los que está el DNI, por las Administraciones públicas en determinados casos.

Criterios para la publicación del DNI, pasaporte o documento equivalente

¿Es legal publicar el nombre y DNI?

Dado que existen unos criterios dados por la AEPD para publicar el DNI de manera acorde a la normativa de protección de datos, no, no es legal publicar el nombre y DNI de los interesados.

Así, para la publicación del DNI, pasaporte o documento equivalente sin vulnerar la ley de protección de datos, cuando sea necesario publicar información que hace referencia a este tipo de documentos, habitualmente en el ámbito de las administraciones públicas, pero que podemos aplicar también en las empresas privadas que manejan documentos identificativos, es necesario seguir los criterios de anonimización dados por la AEPD.

Por ejemplo, las universidades usan frecuentemente este tipo de documentos, ya sea en la publicación de las listas de calificaciones, de las resoluciones de procesos competitivos, o en la publicación de becas y ayudas. Este tipo de publicaciones en el entorno universitario deben realizarse con las debidas garantías, como su publicación a través de la Intranet universitaria y utilizando los datos estrictamente necesarios para la finalidad perseguida, con la debida anonimización del DNI.

¿Cómo anonimizar el DNI o documento equivalente?

Cómo decíamos, la AEPD ha dado unos criterios a seguir para anonimizar el DNI o documento equivalente en las administraciones públicas, criterios a los que también pueden recurrir los responsables o encargados del tratamiento de entidades privadas.

Así, cuando sea necesario incluir el DNI o documento identificativo equivalente en publicaciones, se anonimizará de la siguiente manera:

• Se publicarán los dígitos que en el formato del documento correspondiente ocupen la posición cuarta, quinta, sexta y séptima (numerados dichos dígitos de izquierda a derecha); y se evitarán los caracteres alfabéticos.
• Se sustituirán los caracteres alfabéticos y aquellos numéricos no seleccionados para su publicación por un asterisco (*) en cada posición.
• Ejemplos:
  • En el caso de un DNI 12345678X, se publicará como ***4567**.
  • En el caso de un NIE L1234567X, al evitarse los caracteres alfabéticos, se publicará como ****4567*.
  • Si se trata de un Pasaporte ABC123456, al evitarse los caracteres alfabéticos y contenerse solo seis dígitos, se publicará como *****3456.
  • Cuando sea un Documento de identificación XY12345678AB, se publicará como *****4567***.
  • Si es un Documento de identificación ABCD123XY, la publicación sería *****23XY.

Con esto podemos ver que no es posible publicar el DNI completo por motivos de protección de datos.

Notificaciones de multas y sanciones

La AEPD establece las recomendaciones anteriores para los casos de notificaciones de multas y sanciones administrativas. En ellas debe aparecer el DNI del afectado, por lo que se incluirá siguiendo las pautas previstas.

Con ello se evita que el DNI aparezca completo y que cada administración siga pautas diferentes. Esta es una forma de anonimización de los datos que permite que no pueda identificarse ese DNI y solo puedan acceder a él las administraciones correspondientes.

Tratamiento de datos en el DNI electrónico

Al igual que en el caso de DNI normal, el DNIe también está sujeto a la normativa de Protección de datos.

Para hacer uso del DNI electrónico (DNIe), este provee las siguientes funciones de seguridad:

• Autenticación. La tarjeta DNIe dispone de distintos métodos de autenticación, mediante los que una entidad
  externa demuestra su identidad, o el conocimiento de algún dato secreto almacenado en la tarjeta. La correcta realización de cada uno de estos métodos, permite obtener unas condiciones de seguridad, que podrán ser requeridas para el acceso a los distintos recursos de la tarjeta.
• Securización de mensajes. La tarjeta DNIe permite la posibilidad de establecer un canal seguro entre el terminal y la tarjeta que securice los mensajes transmitidos. Para el establecimiento es necesaria la autenticación previa del terminal y la tarjeta, mediante el uso de certificados. Durante la presencia del canal seguro los mensajes se cifran y autentican, de tal forma que se asegura una comunicación “una a uno” entre los dos puntos originarios del canal.
• Desbloqueo y cambio de PIN. Se permite el cambio de PIN, mediante la presentación del valor antiguo. Es posible también el cambio de PIN bajo determinadas condiciones tras la realización de una verificación biométrica.
  Debido a la criticidad de esta operación, el cambio de PIN se ha de realizar siempre en condiciones de máxima confidencialidad y en terminales específicamente habilitados a tal efecto o con las debidas condiciones de seguridad, exigiéndose, por tanto, el establecimiento de un canal seguro.
• Funcionalidad criptográfica
  • Claves RSA
  • Hash
  • Firmas electrónicas
• Intercambio de claves. La operación de intercambio de claves es usada para compartir claves simétricas o de sesión entre dos entidades.
• Cifrado.

Consejos que debes seguir para proteger los datos de tu DNI en Internet

Aunque te parezca increíble que la gente publique su DNI en Internet, te sorprenderías de la cantidad de estos que aparecen en la red. Si pones en Google imágenes “DNI” podrás ver numerosos DNI escaneados.

Nuestro DNI puede terminar publicado en la red al enviarlo por correo electrónico a una dirección incorrecta o publicarlo en una red social para que tus amigos vean cuándo naciste.

Son muchos los perjuicios que pueden causarte si un tercero malintencionado accede a tu DNI a través de Internet:

• Registrarse con tus datos en casas de apuestas online: como solo los mayores de 18 años pueden registrarse en estos lugares, hay menores que buscan DNI en Internet para registrarse con esos datos. También lo usan personas que quieren registrarse suplantando a otro para blanquear dinero. Esto puede ocasionarte serios problemas legales si se descubre, ya que tendrás que demostrar que han suplantado tu identidad.
• Crear una cuenta bancaria: con los datos personales del DNI es posible abrir cuentas bancarias y usarlas para hacer pagos a nombre de esa persona.
• Pedir préstamos: en caso de pedir un préstamo en nuestro nombre, la empresa nos solicitará la devolución de ese dinero solicitado sin nosotros tener conocimiento.
• Efectuar compras y ventas fraudulentas online: los estafadores en Internet utilizan los DNI para efectuar compras y ventas suplantando la identidad de otra persona sin tener que inventarse esa identidad.

Por todo esto, debes evitar publicar tu DNI en cualquier sitio de Internet y enviarlo a una dirección de correo electrónico desconocida o de la que desconfíes.

En caso de que veas tu DNI publicado en Internet debes acudir a la policía para denunciarlo. También puedes denunciar ante la AEPD y además, solicitar a la página web donde aparece que lo retiren.