Boletín semanal

Boletín nºXX - AAAA dd/mm/aaaa

• 
• Portada
• Noticias
• Comentarios
• Artículos

Noticias

La Agencia Española de Protección de Datos te puede multar por un proceso de verificación en la app o web mal diseñado.

• La última resolución de la AEPD publicada sanciona con 1.000 euros al responsable de una aplicación por solicitar una copia del DNI para verificar la identidad de los usuarios.


• Se suma a una serie reciente de sanciones que pueden llegar hasta los 20 millones de euros o el 4% del volumen de facturación de la empresa.

---

La Agencia Española de Protección de Datos (AEPD) ha vuelto a dejar claro que un mal diseño en los procesos de verificación de identidad puede salir caro. En el último caso publicado ha sancionado con 1.000 euros al responsable de una aplicación móvil por solicitar a sus usuarios una copia completa del Documento Nacional de Identidad (DNI) para verificar los datos identificativos aportados mediante formulario. Esta resolución, firmada el 15 de abril de 2025, se enmarca en un procedimiento de terminación por reconocimiento de responsabilidad y pago voluntario, que le ha permitido al menos reducir la multa a 600 euros por pronto pago.

No se trata de un caso aislado.

Esta sanción se suma a una serie de resoluciones recientes que evidencian la firmeza de la AEPD en la aplicación del principio de minimización de datos establecido en el Reglamento General de Protección de Datos (RGPD). Según este principio, las empresas deben limitar la recogida de datos personales a aquellos estrictamente necesarios para la finalidad perseguida. Solicitar una imagen completa del DNI, que incluye información sensible como la fotografía, la firma y los nombres de los progenitores, se considera un tratamiento excesivo e innecesario.

Casos similares han sido objeto de sanción por parte de la AEPD. En febrero de 2025, un hotel en Cantabria fue multado con 1.500 euros por exigir una fotocopia del DNI a un cliente durante el proceso de registro, práctica que fue considerada desproporcionada y contraria al RGPD.

Asimismo, en marzo de 2025, la AEPD impuso una sanción de 2.000 euros a una empresa de alquiler turístico por solicitar a sus clientes el envío de imágenes completas del DNI a través de WhatsApp, sin informar adecuadamente sobre el tratamiento de los datos ni garantizar su seguridad.

Prácticas correctas para verificar la identidad.

Estas resoluciones destacan la importancia de diseñar procesos de verificación de identidad que respeten la privacidad de los usuarios y se ajusten a la normativa vigente. La AEPD recomienda utilizar métodos menos invasivos, como la transcripción manual de los datos necesarios o la verificación presencial o por videoconferencia, evitando la recopilación y almacenamiento de copias completas de documentos de identidad.

Las empresas deben ser conscientes de que prácticas aparentemente rutinarias, como solicitar una copia del DNI para verificar la identidad de un usuario, pueden constituir infracciones graves si no se ajustan a los principios de protección de datos. La falta de adecuación a la normativa puede conllevar sanciones económicas -con un límite máximo escalofriante, 20 millones de euros o el 4% del volumen anual de facturación-, así como dañar la reputación de la empresa.

Obligación legal y ética.

En un entorno cada vez más digitalizado, es esencial que las organizaciones revisen y actualicen sus procedimientos de recogida y tratamiento de datos personales, asegurándose de que cumplen con los principios de legalidad, lealtad, transparencia y minimización de datos establecidos en el RGPD.

La reciente sanción impuesta por la AEPD sirve como recordatorio de que la protección de datos personales no es solo una obligación legal, sino también una responsabilidad ética hacia los usuarios. Diseñar procesos de verificación respetuosos con la privacidad no solo evita sanciones, sino que también fortalece la confianza de los usuarios en los servicios digitales.