En España, pocas cuestiones parecen tan evidentes como la necesidad de identificarse mediante el Documento Nacional de Identidad. Sin embargo, la transformación digital y la creciente preocupación por la privacidad están obligando a replantear una práctica que durante años se ha aceptado sin discusión, la exigencia sistemática de copias completas del DNI para realizar cualquier trámite.
La cuestión no es menor. Cada día miles de ciudadanos envían fotografías de sus documentos de identidad para contratar servicios, presentar reclamaciones, ejercer derechos de protección de datos o realizar gestiones administrativas. Pero ¿es realmente necesario aportar una copia íntegra del DNI? ¿Es el único documento válido para identificarse? ¿Puede una empresa exigir siempre el anverso y el reverso?
La respuesta jurídica es más compleja de lo que parece.
Identificar no es lo mismo que acreditar
Uno de los errores más frecuentes consiste en confundir identificación con acreditación.
Identificar significa determinar quién es una persona con un grado de certeza suficiente para una finalidad concreta. Acreditar, en cambio, supone aportar una prueba formal y jurídicamente reforzada de esa identidad.
Esta diferencia es esencial porque no todos los procedimientos requieren el mismo nivel de garantía.
No es lo mismo suscribirse a una plataforma digital que contratar un producto financiero, acceder a datos médicos o comparecer en un procedimiento administrativo. Cada situación exige un nivel distinto de verificación y, por tanto, distintos medios de identificación.
La clave jurídica reside en aplicar criterios de proporcionalidad.
El DNI, el documento de referencia en España
La posición del Documento Nacional de Identidad es singular dentro del ordenamiento jurídico español.
El artículo 8 de la Ley Orgánica 4/2015, de Protección de la Seguridad Ciudadana, establece que el DNI es el único documento con valor suficiente por sí solo para acreditar la identidad y los datos personales de su titular.
De hecho, es la propia Ley Orgánica de Protección de la Seguridad Ciudadana la que reconoce este carácter reforzado del DNI como documento de referencia para acreditar la identidad en España.
Sin embargo, esta afirmación suele interpretarse de forma incorrecta.
La ley no dice que el DNI sea el único documento que permita identificar a una persona. Lo que establece es que es el único documento que, por sí mismo y sin necesidad de apoyarse en otros elementos adicionales, acredita plenamente la identidad de su titular.
Esto significa que es el único documento con valor suficiente por sí solo, pero no que otros documentos oficiales no puedan servir para identificarse si la organización los acepta y son adecuados a la finalidad perseguida.
La diferencia es importante porque permite comprender por qué otros documentos también pueden utilizarse válidamente para identificar a una persona en numerosos contextos.
El pasaporte también identifica
El pasaporte es un documento público oficial expedido por el Estado y constituye un medio plenamente válido para acreditar la identidad de su titular.
De hecho, para numerosos procedimientos administrativos, trámites privados o ejercicio de derechos en materia de protección de datos, el pasaporte ofrece garantías equivalentes a las del DNI.
Lo relevante no es la denominación del documento, sino que permita verificar de forma fiable quién es la persona que actúa.
Por esta razón, la práctica habitual de muchas organizaciones consiste en aceptar indistintamente DNI, pasaporte o tarjeta de identidad de extranjero cuando la finalidad es exclusivamente identificativa.
El permiso de conducir, mucho más que una autorización para conducir
Quizá el documento más infravalorado desde el punto de vista identificativo sea el permiso de conducción.
Aunque su función principal es habilitar legalmente para conducir vehículos, incorpora fotografía, nombre, apellidos, firma y elementos de seguridad suficientes para vincularlo inequívocamente con una persona concreta.
No es casualidad que pueda utilizarse para votar en procesos electorales o que sea admitido habitualmente en multitud de actuaciones administrativas y privadas.
La jurisprudencia ha reconocido progresivamente esta función identificativa, si bien conviene realizar una precisión importante, el permiso de conducir no desplaza al DNI cuando una norma exige expresamente este último.
Por tanto, constituye un documento válido de identificación en muchos contextos, pero no siempre puede sustituir al DNI cuando la ley establece una exigencia específica. En caso de duda razonable sobre el nivel de exigencia legal aplicable, el criterio prudente sigue siendo solicitar el DNI.
El principio de minimización, la verdadera clave del debate
La cuestión fundamental no reside en qué documento se presenta, sino en cuántos datos son realmente necesarios para alcanzar la finalidad perseguida.
Aquí entra en juego uno de los pilares del Reglamento General de Protección de Datos.
El artículo 5.1.c) RGPD establece que los datos personales deben ser «adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados».
Este principio, conocido como principio de minimización, obliga a empresas, administraciones y profesionales a recopilar únicamente la información imprescindible para cada finalidad concreta.
Este precepto obliga a que la identificación no se convierta en una coartada para recopilar más datos de los necesarios.
En consecuencia, la identificación no puede utilizarse como justificación para obtener información irrelevante o excesiva.
¿Es necesario aportar el DNI completo?
Esta pregunta ha cobrado especial relevancia en los últimos años.
Los modelos actuales del DNI contienen en el anverso los principales elementos identificativos, nombre y apellidos, fotografía, número de DNI, fecha de nacimiento, nacionalidad y fecha de caducidad.
El reverso incorpora, entre otros datos, el domicilio, el lugar de nacimiento, la filiación y diversos elementos de lectura mecánica.
Desde la perspectiva del RGPD, resulta legítimo preguntarse si una empresa necesita realmente conocer el domicilio, el lugar de nacimiento o el nombre de los progenitores de una persona para gestionar una reclamación, tramitar una baja o atender una solicitud de ejercicio de derechos.
En numerosos supuestos la respuesta parece evidente, no.
Por ello, cada vez cobra más fuerza la tesis de que, cuando sea imprescindible solicitar una copia del documento, debería recabarse únicamente la información estrictamente necesaria para verificar la identidad.
La posición de la Agencia Española de Protección de Datos
La Agencia Española de Protección de Datos ha venido insistiendo en la necesidad de aplicar criterios de proporcionalidad en los procesos de identificación.
La autoridad de control ha recordado reiteradamente que la solicitud de documentos identificativos debe responder a una necesidad real y estar vinculada a la finalidad perseguida.
En diversas resoluciones ha llegado incluso a cuestionar prácticas consistentes en exigir fotografías completas del DNI para trámites en los que esa información resultaba excesiva, por ejemplo, para la simple entrega de paquetes o para determinados procedimientos de registro y alegaciones donde existían mecanismos menos intrusivos de identificación.
La lógica es sencilla, si una organización puede verificar razonablemente la identidad por medios menos invasivos, debe optar por ellos.
La paradoja de la identificación digital
La transformación digital ha generado situaciones que, analizadas con detenimiento, resultan paradójicas.
Millones de usuarios contratan servicios, crean cuentas y establecen relaciones jurídicas mediante direcciones de correo electrónico, sistemas de doble autenticación, certificados digitales o mecanismos de verificación telefónica.
Sin embargo, cuando posteriormente desean ejercer un derecho de acceso, rectificación o supresión de datos, algunas organizaciones exigen una copia completa del DNI.
La contradicción es evidente.
Si para establecer la relación jurídica inicial fue suficiente un sistema determinado de identificación, resulta difícil justificar que posteriormente se exija una cantidad significativamente mayor de datos personales para gestionar una solicitud relacionada con esa misma cuenta.
Cuando una firma electrónica vale más que una fotocopia
El desarrollo de los sistemas de identificación electrónica está transformando completamente este escenario.
El Reglamento (UE) 910/2014, conocido como Reglamento eIDAS, establece que la firma electrónica cualificada tiene el mismo valor jurídico que la firma manuscrita.
Esto significa que un documento firmado electrónicamente mediante un certificado cualificado no solo identifica al firmante, sino que además garantiza la autenticidad de la firma, la integridad del contenido y el denominado principio de no repudio.
Desde un punto de vista técnico y jurídico, una firma electrónica cualificada ofrece, en muchos casos, más garantías que una simple fotografía del DNI enviada por correo electrónico.
Por ello, cada vez más procedimientos administrativos y privados sustituyen la copia documental por mecanismos de identificación electrónica mucho más seguros y respetuosos con la privacidad.
Hacia una nueva cultura de la identificación
Durante décadas la identificación se basó en mostrar físicamente un documento oficial. La era digital está modificando profundamente ese paradigma.
La cuestión ya no consiste en recopilar la máxima cantidad posible de información sobre una persona, sino en obtener únicamente aquella que resulte necesaria para saber quién es.
El futuro apunta hacia sistemas de identificación graduados en función del riesgo, donde el nivel de información exigido se adapte a la trascendencia de cada actuación.
Porque la verdadera pregunta ya no es qué documento identifica mejor a una persona. La cuestión es cuántos datos necesita realmente una organización para saber quién está al otro lado.
Y en una sociedad cada vez más digital, la mejor identificación puede ser precisamente aquella que permite acreditar quién somos, revelando la menor cantidad de datos posible.
Isaac Díaz
Procade