La AEPD declara que una diputación provincial cometió infracción por pedir copia del DNI en registro

La Agencia Española de Protección de Datos (AEPD), en la resolución PS-00138-2025, de 2 de marzo de 2025, declara que la Diputación de Pontevedra infringió el artículo 5.1.c) del RGPD por exigir y conservar una copia o imagen del DNI para la presentación presencial de un escrito de alegaciones en una oficina de asistencia en materia de registro.

La relevancia de la resolución radica en que insiste en el principio de minimización de datos: la verificación de la identidad no permite, por sistema, requerir y almacenar una fotocopia o escaneo del documento identificativo si existen medios menos intrusivos para lograr esa finalidad.

Antecedentes del caso

La reclamación se presentó ante la AEPD el 23 de julio de 2024. Según los hechos recogidos en la resolución, la persona reclamante acudió el 17 de julio de 2024 a una oficina de la Diputación para registrar un escrito de alegaciones y se le indicó que, para admitirlo, debía facilitar su DNI para escanearlo o entregar una fotocopia.

En la tramitación del expediente, la entidad reclamada explicó que, en la presentación presencial ante oficinas de asistencia en materia de registro, venía exigiéndose la exhibición del DNI original o de una copia que se digitalizaba y se unía a la presentación para verificar la identidad. También reconoció que, en estos supuestos, podía utilizarse una alternativa menos invasiva basada en la diligencia del funcionario que comprobara la identidad de la persona compareciente.

Qué argumentos utiliza la AEPD

La AEPD recuerda que el apartado 1.c) del artículo 5 del RGPD exige que los datos personales sean adecuados, pertinentes y limitados a lo necesario en relación con los fines del tratamiento. Desde esa premisa, considera excesivo conservar una copia del DNI cuando la finalidad perseguida —comprobar la identidad— puede alcanzarse por otros medios menos gravosos.

La resolución cita las Directrices 01/2022 sobre los derechos de los interesados y el Informe 0048/2023 de la AEPD sobre uso de los datos y realización de copias del DNI. En ambos casos se subraya que solicitar una copia del documento de identidad no puede instaurarse de forma automática y debe analizarse caso por caso, atendiendo a la necesidad, proporcionalidad y existencia de alternativas.

En concreto, la Agencia destaca que datos del documento como la fotografía, el número o la zona de lectura mecánica pueden resultar innecesarios para una simple comprobación de identidad. Por ello, entiende que en este supuesto la obligación de acreditar la identidad podía satisfacerse sin requerir ni almacenar la fotocopia o imagen del DNI.

Medidas adoptadas por la Diputación

Durante el procedimiento, la Diputación comunicó la revisión de su protocolo. Según consta en la resolución, se optó por eliminar la práctica de incorporar copias del DNI en estos supuestos y sustituirla por un sistema de comprobación visual del documento, validación en la aplicación y constancia de la verificación realizada mediante diligencia.

Asimismo, la entidad indicó que se había procedido a la supresión de la copia del documento identificativo de la persona reclamante, incorporando en su lugar una diligencia acreditativa de la comprobación de identidad.

Fallo y consecuencias

La Presidencia de la AEPD acordó declarar la infracción del artículo 5.1.c) del RGPD, tipificada en el artículo 83.5.a) del mismo reglamento. La resolución precisa que, al tratarse de una entidad local, resulta de aplicación el régimen del artículo 77 de la LOPDGDD, por lo que el procedimiento se resuelve con declaración de infracción, sin imposición de multa administrativa en los términos recogidos en esa norma para determinadas administraciones públicas.

La Agencia valora positivamente las medidas correctoras adoptadas para evitar nuevas incidencias, pero señala que esas actuaciones no eliminan la responsabilidad por la infracción ya cometida. Por ese motivo, no archiva la reclamación y mantiene la declaración de infracción.

Impacto práctico

La resolución refuerza un criterio ya reiterado por la AEPD: pedir y conservar una copia del DNI no puede convertirse en una práctica generalizada en la atención presencial de las administraciones. Si la identidad puede comprobarse mediante exhibición del documento y diligencia del empleado público, esa opción resulta, en principio, más respetuosa con el principio de minimización de datos.

Para administraciones y demás responsables del tratamiento, el expediente subraya la conveniencia de revisar protocolos de identificación en registros y trámites presenciales para evitar la recogida de más datos de los estrictamente necesarios.