Durante años, en España muchas empresas han tratado la fotocopia del DNI como un atajo: “si tengo el documento, ya he verificado la identidad”. El problema es que esa lógica se sostiene más por costumbre que por eficacia real. Y, además, puede abrir la puerta a un escenario incómodo: tratar datos personales de forma excesiva sin necesidad, con el consiguiente riesgo de sanciones y de exposición ante un incidente de seguridad.
La escena se repite en sectores muy distintos: altas de servicios por Internet, cambios de titularidad, duplicados de SIM, contratación de suministros, reservas, soporte técnico o incluso el ejercicio de derechos de protección de datos. En todos esos casos, la petición es similar: “envíeme una foto del DNI por delante y por detrás”. Para el usuario, es una cesión de información muy sensible; para la empresa, un material que cree que le protege. Pero esa sensación de seguridad es, en muchos casos, engañosa.
La idea clave: posesión no es identidad
La primera grieta es conceptual. Que alguien tenga una imagen del DNI no demuestra que sea su titular. Solo demuestra que alguien, por el motivo que sea, tiene acceso a ese documento (o a una copia). En un mundo donde existen filtraciones, robo de bandejas de correo, suplantaciones por mensajería y mercados de datos, esa diferencia es fundamental.
De hecho, en términos prácticos, pedir el DNI en una contratación online puede terminar generando el efecto contrario al deseado: aumentar el riesgo de fraude, porque el sistema se apoya en una prueba débil. Si el atacante ya dispone de la imagen (por una brecha previa o una filtración), la empresa le está dando precisamente lo que necesita: un procedimiento “automático” que valida una copia, no una persona.
El problema legal: minimización de datos y “lo necesario”
La segunda grieta es normativa. El RGPD establece el principio de minimización: los datos deben ser “adecuados, pertinentes y limitados a lo necesario” para la finalidad perseguida (art. 5.1.c).
En la práctica, una copia completa del DNI suele incluir más información de la imprescindible para muchos trámites (foto, CAN, fecha de validez, soporte, nombre de los padres en algunos casos, firma, etc.). Cuando no es estrictamente necesario, pedirla y almacenarla puede interpretarse como un tratamiento inadecuado o excesivo, y eso coloca a la empresa en una zona de riesgo.
Un ejemplo reciente y muy ilustrativo lo ha dado la Agencia Española de Protección de Datos (AEPD) en el ámbito del registro de viajeros: la AEPD recuerda que no se debe solicitar una copia del DNI o pasaporte, porque vulnera el principio de minimización y supone un tratamiento excesivo.
Este aviso se ha difundido especialmente en el contexto de alojamientos y alquiler de vehículos, donde existe obligación de recoger ciertos datos, pero no necesariamente de fotocopiar el documento.
El mensaje de fondo es claro: si el objetivo es registrar unos datos concretos, se recaban esos datos; no se captura todo el documento “por si acaso”.
El “y si mañana…”: cuando la rutina se convierte en debilidad
Muchas organizaciones se sienten tranquilas porque “siempre se ha hecho así” o porque “nadie ha reclamado”. Sin embargo, en privacidad, la calma puede ser solo una fotografía del momento. La exposición no aparece solo con una inspección: aparece con una queja, con un cambio de criterio, con una auditoría de un cliente exigente o, sobre todo, con un incidente de seguridad.
Y aquí entra el tercer problema: almacenar copias de DNI eleva el impacto de una brecha. No es lo mismo filtrar un nombre y un correo que filtrar documentos oficiales completos. Además del posible impacto regulatorio, el daño reputacional suele ser muy superior. En términos de gestión del riesgo, guardar imágenes de DNI sin una necesidad sólida es como almacenar “material inflamable” sin un plan claro.
¿Qué se suele hacer mal además de pedir el DNI?
Cuando se revisan procesos reales, la solicitud de la copia del DNI casi nunca viene sola. Frecuentemente, se acompaña de fallos típicos de cumplimiento:
- Información deficiente: textos legales genéricos, poco claros o directamente inexistentes.
- Base jurídica débil: se pide el documento “por seguridad” sin justificar por qué es necesario y proporcional.
- Conservación indefinida: la copia se queda en un correo, un CRM o una carpeta compartida sin plazos.
- Canales inseguros: envío por email sin cifrado, adjuntos reenviados, soporte tercerizado sin controles.
- Dificultad para ejercer derechos: el usuario pide acceso o supresión y el proceso no está preparado.
En pocas palabras: se pide un dato muy sensible, pero luego se gestiona como si fuera un dato cualquiera.
Alternativas más sensatas para verificar identidad
No existe una receta única (depende del sector, el riesgo y la normativa aplicable), pero sí hay un principio transversal: verificar identidad no significa recopilarlo todo.
Algunas alternativas habituales, más proporcionales, incluyen:
- Verificación visual y toma de datos necesarios (presencial o en videollamada), sin conservar copia completa del documento si no hace falta.
- Autenticación fuerte: doble factor (OTP), confirmaciones por canal ya validado, llaves FIDO, etc.
- Pruebas de control: confirmación desde un medio de pago ya verificado, microtransacción, o validación con entidad de confianza (cuando proceda).
- Identidad digital y firma electrónica en trámites de mayor riesgo.
- Reducción de exposición cuando se requiere documento: permitir (o exigir) ocultar campos irrelevantes y evitar el “frontal + trasera” por defecto.
También es importante recordar un matiz que a veces se olvida: incluso cuando se necesita verificar identidad, no siempre es necesario almacenar la evidencia en forma de copia del DNI. Verificar y registrar el resultado del proceso (quién verificó, cuándo, por qué método, con qué garantías) puede ser suficiente en muchos escenarios.
Un recordatorio práctico para empresas: si no puedes defenderlo, no lo pidas
La pregunta que debería guiar cualquier procedimiento es sencilla:
“¿Podría explicar ante un tercero (cliente, auditor, juez o autoridad) por qué es imprescindible recoger exactamente estos datos y no menos?”
Si la respuesta es un “por si acaso”, el proceso probablemente necesita una revisión.
Preguntas frecuentes
¿Es legal que una empresa me pida una foto del DNI por WhatsApp o por email para contratar un servicio?
Depende del caso, pero en muchos trámites es una práctica de riesgo: la copia puede ser excesiva para la finalidad y, además, el canal puede no ser adecuado. Lo razonable es que la empresa justifique por qué lo necesita y ofrezca alternativas.
¿Puede un hotel obligarme a entregar una fotocopia del DNI para hacer el check-in?
La AEPD ha recordado que no se debe solicitar una copia del documento por el principio de minimización; lo habitual es recabar los datos exigidos por la normativa mediante formularios, sin necesidad de fotocopiar el documento. (AEPD)
¿Qué debería hacer una empresa para verificar identidad online sin guardar el DNI completo?
Usar métodos proporcionales al riesgo: autenticación fuerte, confirmaciones por canal verificado, verificación visual sin copia, firma electrónica cuando aplique y, si se requiere documento, limitar campos y conservar solo lo imprescindible.
¿Por qué guardar copias de DNI aumenta el riesgo en una brecha de seguridad?
Porque son datos de alto valor para la suplantación. Si se filtran, el impacto para los afectados y para la empresa suele ser mayor que con datos básicos, y la gestión del incidente se complica.
