Durante años, pedir una fotocopia del DNI (por una o ambas caras) se ha convertido en un gesto casi automático en muchos procesos digitales: alta de un servicio, contratación remota, cambios de titularidad o “verificación” previa a atender a un cliente. A primera vista parece un trámite razonable: si la empresa tiene una copia del documento, “queda constancia” de quién es la persona. El problema es que esa sensación de seguridad puede ser más estética que real… y, además, choca de frente con uno de los principios más básicos del Reglamento General de Protección de Datos (RGPD): la minimización.
La primera pregunta incómoda es técnica y práctica, no jurídica: ¿una copia del DNI prueba la identidad de alguien? En términos estrictos, no. Lo único que demuestra es que alguien ha tenido acceso a una imagen del documento, algo que puede ocurrir por múltiples vías: una filtración previa, un reenvío, un robo, una compra en mercados ilícitos o incluso una manipulación convincente. En Internet, donde no hay presencia física ni comprobación documental “en mano”, una fotocopia se queda a medio camino: no valida que la persona que la envía sea el titular, ni garantiza que el documento no esté alterado.
La segunda pregunta es todavía más delicada: si no verifica de forma sólida, ¿por qué se sigue pidiendo? En muchos casos, por inercia operativa y por miedo al fraude. Pero esa inercia es la que puede salir cara cuando entra en juego la privacidad: si el objetivo declarado es “verificar identidad”, el RGPD exige que el responsable trate solo los datos adecuados, pertinentes y limitados a lo necesario. En la práctica, una fotocopia completa del DNI suele incluir más información de la imprescindible (número de soporte, dirección, imagen facial, e incluso datos del reverso), elevando el riesgo sin aportar una verificación equivalente.
La trampa legal: cuando “por si acaso” se convierte en exceso
El RGPD no prohíbe “por sistema” cualquier verificación, pero sí obliga a justificarla. En castellano llano: no basta con que a la empresa le venga bien. Hace falta encajar la medida en una base jurídica válida y, además, demostrar que no existe una alternativa menos intrusiva.
En el terreno de los derechos de protección de datos (por ejemplo, cuando una persona ejerce acceso, rectificación o supresión), la Agencia Española de Protección de Datos (AEPD) lo expresa con claridad: como regla general no es necesario aportar copia del DNI, y solo puede pedirse información adicional cuando existan dudas razonables sobre la identidad. Es una distinción clave: “dudas razonables” no es “por defecto”. Esa misma lógica aparece en documentos y criterios de la AEPD donde se considera excesivo solicitar la copia del DNI en determinados escenarios de identificación vinculados al ejercicio de derechos.
Traducido al día a día: muchas organizaciones han convertido un recurso excepcional en un requisito rutinario. Y ahí es donde el riesgo crece, porque la rutina tiende a traer consigo otros fallos asociados: información de privacidad poco clara, plazos de conservación indefinidos (“ya lo borraremos”), usos secundarios no declarados (“por si hay problemas”), proveedores sin controles suficientes o, directamente, almacenes de documentos sensibles en buzones de email y carpetas compartidas.
El efecto dominó: el DNI como “dato tóxico” en caso de brecha
Aunque el debate suele empezar por la proporcionalidad, termina casi siempre en seguridad. Una cosa es gestionar un nombre y un correo. Otra es almacenar copias de documentos de identidad: multiplican el impacto de una brecha y el daño potencial para las personas afectadas (suplantaciones, apertura de cuentas, fraudes dirigidos, ingeniería social de alta precisión).
El dilema es conocido por cualquier equipo de seguridad: a mayor “valor” del dato, mayor atractivo para un atacante. Si además la organización no tiene una estructura madura de privacidad —procesos, controles de acceso, registro de actividad, cifrado, retención, auditoría de encargados—, el DNI se convierte en un pasivo. Y cuando eso ocurre, ya no se discute solo si el tratamiento era necesario: se discute también si se aplicaron medidas adecuadas, si se informó bien y si se conservó más tiempo del debido.
Alternativas reales: verificar sin convertir el onboarding en un archivo de documentación sensible
La buena noticia es que hay vida más allá de la fotocopia. No todas las alternativas encajan en todos los sectores, pero el enfoque suele ser el mismo: reducir superficie de datos y aumentar garantías.
Algunas prácticas habituales, según el tipo de servicio, incluyen:
- Verificación por “conocimiento y control”: confirmar datos ya existentes en la relación (referencias de contrato, últimos cargos, códigos de cliente, factores de autenticación).
- Firmas electrónicas y métodos reforzados de autenticación cuando proceda (y cuando el marco legal o contractual lo justifique).
- Validaciones con documentación “minimizada”: si excepcionalmente se necesita documento, aplicar ocultación de campos no necesarios y evitar el envío por canales inseguros.
- Procesos guiados y trazables (no “mándalo por email”), con registros de acceso, borrado y caducidad automática.
El objetivo no es “no verificar nunca”, sino evitar el autoengaño: pedir una copia del DNI no convierte un alta online en un proceso robusto y, a la vez, puede empujar a la organización a un terreno de tratamiento excesivo difícil de defender si llega una inspección o un litigio.
Una pregunta que cada empresa debería hacerse antes de pedir el DNI
En caso de conflicto serio —fraude, impago, suplantación—, una compañía puede acabar defendiendo su procedimiento ante terceros. Y ahí aparece la cuestión incómoda: ¿de verdad esa copia era imprescindible? ¿Acredita identidad o solo acredita que alguien envió un archivo? Si la respuesta honesta se parece más a lo segundo, la organización no solo asume riesgo regulatorio: asume también un riesgo operativo, porque habrá construido un proceso con apariencia de control, pero con eficacia limitada.
Preguntas frecuentes
¿Es legal pedir una copia del DNI por email para contratar un servicio online?
Depende del contexto, pero como regla práctica suele ser difícil de justificar si no hay una obligación legal específica o una necesidad real no resoluble por medios menos intrusivos. Además, el envío por email añade riesgos de seguridad y trazabilidad.
¿Qué dice la AEPD sobre pedir copia del DNI para verificar identidad al ejercer derechos RGPD?
La AEPD indica que, por norma general, no es necesario aportar copia del DNI para ejercer derechos, y que solo debe pedirse información adicional cuando existan dudas razonables sobre la identidad.
Si una empresa insiste en pedir el DNI, ¿qué medidas minimizan el riesgo?
Evitar el envío por canales inseguros, limitar el uso a la finalidad concreta, establecer plazos de borrado claros y aplicar ocultación de datos no necesarios. Cuanto más “completa” sea la copia, mayor es el riesgo y más difícil la justificación.
¿Qué riesgos tiene almacenar copias del DNI y cuánto tiempo se pueden conservar?
El principal riesgo es amplificar el impacto de una brecha (suplantación, fraude y daño reputacional). El tiempo de conservación debe ser el mínimo necesario para la finalidad declarada y con una política de borrado defendible; guardar “por si acaso” es una mala estrategia.
