En las semanas anteriores hemos visto cómo la Agencia Española de Protección de Datos (AEPD) continúa sancionando a empresas por solicitar a sus clientes fotocopias de sus documentos de identidad, al considerarla una práctica contraria al principio de minimización recogido en el Reglamento General de Protección de Datos (RGPD).
En primer lugar, en la Resolución Nº EXP202405459 la AEPD ha sancionado a una empresa de grúas por solicitar a uno de sus clientes que aportara su DNI para verificar su identidad antes de recoger un vehículo, siendo el documento fotografiado por uno de los empleados de la compañía utilizando su móvil personal. La autoridad de control ha apreciado diversas vulneraciones de la normativa de protección de datos, además del ya mencionado principio de minimización (art. 5.1 RGPD), se sanciona a la entidad por vulneraciones en la seguridad del tratamiento (art. 32 RGPD) por la utilización del móvil personal del empleado y por no informar sobre el tratamiento de datos (art. 13 RGPD), siendo la suma de todas estas infracciones cuantificada por un total de 11.000 euros.
Apenas semanas después de la sanción, la AEPD publica otra Resolución, esta vez la Nº EXP202409823, en la que se sanciona a una empresa propietaria de una aplicación que exigía a sus usuarios aportar fotocopias de ambas caras de los documentos de identidad para obtener la condición de usuario verificado, lo que permite, entre otros, suscribir servicios de pago dentro de la aplicación o acceder al servicio en aquellos casos en los que existiesen dudas sobre la edad del usuario. En este caso, la AEPD vuelve a apreciar una vulneración del principio de minimización, ya que existen alternativas menos intrusivas para los derechos de los usuarios para alcanzar la misma finalidad: identificar a los usuarios.
Lejos de sorprender, estas sanciones reiteran los criterios ya expresados por la autoridad de control en años anteriores, por ejemplo en los informes 7/2023 y 48/2023, donde ya adelantaba que el uso de fotocopias de documentos de identidad solo debe realizarse cuando no existan alternativas menos lesivas, ya que estamos ante información que en manos equivocadas podría conllevar múltiples efectos desfavorables para los titulares de los datos. Todo indica que la AEPD no va a cambiar su posición respecto al escaneado de documentos de identidad y que a lo largo del año veremos diversas sanciones a las empresas que continúen con esta práctica.