¿Cuándo debe solicitarse el DNI para el ejercicio de derechos en protección de datos? A cargo de Marcos Rubiales.

AD 45/2020

¿CUÁNDO DEBE SOLICITARSE EL DNI PARA EL EJERCICIO DE DERECHOS EN PROTECCIÓN DE DATOS?

RESUMEN:

¿Es necesario aportar copia del Documento Nacional de Identidad al responsable del tratamiento cuando se ejerce un derecho en protección de datos? Se analizará esta cuestión a la luz de las últimas resoluciones de la Agencia Española de Protección de Datos, a partir de este análisis se incidirá en la importancia de asentar un criterio único por parte de las autoridades de control, garantizando así un principio constitucional básico en los estados constitucionales de derecho: El principio de seguridad jurídica.

PALABRAS CLAVE:

RGPD, AEPD, ejercicio de derechos, seguridad jurídica.

En el presente artículo, analizaremos si es necesario exigir copia del Documento Nacional de Identidad (DNI) cuando un interesado ejerce su derecho en materia de protección de datos, con la finalidad de verificar su identidad, o si, por el contrario, únicamente deberá facilitar los datos que aportó cuando se registró en el formulario determinado (fichero físico u online).

Para el análisis de la cuestión, hemos acudido a diferentes resoluciones de la Agencia Española de Protección de Datos (en adelante AEPD), que como veremos, no es capaz de asentar un criterio para el tema, cuestión preocupante y que atenta contra el principio de seguridad jurídica.

1. ES NECESARIO APORTAR EL DNI PARA COMPROBAR LA IDENTIDAD DEL INTERESADO:

En el procedimiento E/9130/2018 ante la AEPD, un interesado interpone reclamación por considerar vulnerado su derecho en materia de protección de datos, al solicitar el responsable del tratamiento una copia de su DNI, cuando pretendía ejercer su derecho a la cancelación de sus datos.

En este supuesto, la autoridad de control española va a archivar las actuaciones y no va a dar la razón al interesado, ya que, considera que el responsable del tratamiento ha actuado adecuadamente solicitando copia del DNI, y lo basa en el considerando 64 del RGPD:

“El responsable del tratamiento debe utilizar todas las medidas razonables para verificar la identidad de los interesados que soliciten acceso, en particular en el contexto de los servicios en línea y los identificados en línea”

Además, lo fundamenta en los artículos 12.1,.2 y 6. del RGPD: “Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado:

“1. El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.

2. El responsable del tratamiento facilitará al interesado el ejercicio de sus

derechos en virtud de los artículos 15 a 22. En los casos a que se refiere el artículo 11, apartado 2, el responsable no se negará a actuar a petición del interesado con el fin de ejercer sus derechos en virtud de los artículos 15 a 22, salvo que pueda demostrar que no está en condiciones de identificar al interesado.

6. Sin perjuicio de lo dispuesto en el artículo 11, cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona física que cursa la solicitud a que se refieren los artículos 15 a 21, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado.”

Concluye la AEPD diciendo lo siguiente:

“Se ha acreditado que la actuación del reclamado es proactiva y ajustada en su respuesta al ejercicio de un derecho personalísimo, no estimándose que se produce infracción en la normativa vigente en protección de datos”

Parece bastante clara en sus palabras, la autoridad de control, al considerar que se trata de un derecho personalísimo, y que, por tanto, se deben tomar las medidas pertinentes por los responsables del tratamiento, con la finalidad de verificar su identidad, y entre ellas, se encuentra justificada, la necesidad de aportar copia del DNI.

Además, a mayor abundamiento, la propia AEPD, en sus formularios para realizar un ejercicio de derechos, en las instrucciones, considera necesario aportar la copia del DNI para poder cursar el ejercicio del derecho, diciendo así:

“Será necesario aportar fotocopia del DNI o documento equivalente que acredite la identidad y sea considerado válido en derechos, en aquellos supuestos en el que el responsable tenga dudas sobre su identidad.”

Parece bastante claro, que el responsable del tratamiento, si tiene dudas sobre la identidad del interesado, deberá exigir la copia del DNI o de un documento equivalente que acredite su identidad, con la finalidad de evitar un posible fraude. 

Como ahora veremos, el criterio adoptado por la Agencia, no ha sido el mismo y hemos encontrado otra resolución contradictoria.

2. NO ES NECESARIO APORTAR EL DNI PARA COMPROBAR LA IDENTIDAD DEL INTERESADO

La AEPD ha publicado una resolución(TD/00204/2019) el pasado 4 de diciembre de 2019, argumentando que no será necesario aportar copia del DNI para cursar el ejercicio de un derecho en protección de datos.  

Esta resolución versa sobre un interesado que ejerce su derecho de supresión ante un partido político. El partido político le contesta al interesado que necesita que le facilite su DNI para poder identificarle, y así darle curso a su petición. En este punto, el interesado presenta una reclamación al considerar que no se está atendiendo al derecho conforme a lo que establece la normativa.

Bajo estas premisas, la AEPD considera que el partido político, cuando recogió los datos del interesado para cursar el alta no le pidió en ningún momento su DNI, y es por ello que, no se requerirá acreditación para la supresión, sino la comprobación del correo electrónico desde el que se solicitó dicha alta. Y dice textualmente la AEPD que el hecho de pedir el DNI cuando no se exigió para el alta:

“Carece de sentido que sea mayor el rigor para dar de baja que el rigor para dar de alta. Por lo tanto, procede estimar la reclamación que originó el presente procedimiento al no haberse atendido el derecho conforme establece la normativa”.

La AEPD basa su decisión en el artículo 11 del RGPD (Tratamiento que no requiere identificación):

“Si los fines para los cuales un responsable trata datos personales no requieren o ya no requieren la identificación de un interesado por el responsable, este no estará obligado a mantener, obtener o tratar información adicional con vistas a identificar al interesado con la única finalidad de cumplir el presente Reglamento”

Parece totalmente contraria a la resolución citada anteriormente, en la que la AEPD justificaba la necesidad de aportar copia del DNI o documento equivalente para comprobar la identidad del interesado, y, además, como hemos visto la propia autoridad de control está pidiendo este requisito para poder cursar la solicitud de un interesado.

¿Qué deberán hacer los responsables de tratamiento ante tal disparidad de criterios?

En mi opinión, para poder eludir determinados fraudes, y en atención al principio de responsabilidad proactiva, sobre todo en lo relacionado con plataformas online, cuando se tenga dudas sobre la identidad del interesado, deberá solicitarse una copia del DNI, evitando así posibles problemas futuros. Además, así lo venía exigiendo la anterior normativa en el Real Decreto 1720, de 21 de diciembre por el que se aprueba el Reglamento de desarrollo de la Ley 15/1999, 13 de diciembre de protección de datos de carácter personal, en su artículo 25.1 apartado a, en el que exigía la aportación de fotocopia del DNI.

Pero, parece que la AEPD ha tomado una disparidad de criterios frente a esta cuestión y no parece tenerlo del todo claro. Toda esta situación de incertidumbre jurídica, incide sobre un principio fundamental en los estados constitucionales de derecho: el principio de seguridad jurídica. Este principio se plasma en el artículo 9.3 de la Constitución Española, que dice así:

“La Constitución garantiza el principio de legalidad, la jerarquía normativa, la publicidad de las normas, la irretroactividad de las disposiciones sancionadoras no favorables o restrictivas de derechos individuales, la seguridad jurídica, la responsabilidad y la interdicción de la arbitrariedad de los poderes públicos.”

Este principio tiene naturaleza jurídico-normativa, y como todo principio constitucional, debe ser considerado como directriz interpretativa de nuestro ordenamiento jurídico. La seguridad jurídica ha de ser entendida, en su sentido amplio, como la expectativa razonablemente fundada del ciudadano en cuál ha de ser la actuación del poder en aplicación del Derecho y que equivale a la certeza del ordenamiento jurídico aplicable.

Desde sus inicios, el Tribunal Constitucional ha establecido que la seguridad jurídica:

“Es la suma de certeza y legalidad, jerarquía y publicidad normativa, irretroactividad de lo no favorable, e interdicción de la arbitrariedad” (STC 27/1981, de 20 de julio)

Además, tiene una doble proyección. Una objetiva, que engloba los aspectos relativos a la certeza del Derecho (a veces expresada como certeza “de las normas”, otras como certeza “sobre el ordenamiento jurídico aplicable y los intereses jurídicamente tutelados”. Y otra subjetiva, la cual se concreta en la “previsibilidad de los efectos de su aplicación por los poderes públicos, o en la “expectativa razonablemente fundada del ciudadano en cuál ha de ser la actuación del poder en la aplicación del Derecho (STC 27/1981, de 20 de julio) 

Por lo tanto, al tener dos interpretaciones diferentes sobre un mismo asunto, no tenemos una certeza, y, además, las mismas se resuelven con la invocación de preceptos legislativos totalmente distintos, ¿no se estaría creando una situación de inseguridad jurídica para el ciudadano y la sociedad en su conjunto?

¿Debemos pedir el DNI como condición para cursar el ejercicio del derecho en protección de datos de un interesado?

Yo lo tengo claro, pero parece que pueden darte un toque de atención, tanto si lo pides como si no lo pides.

Juzguen ustedes mismo.

Marcos Rubiales

6 de abril de 2020

---

PERFIL PROFESIONAL

Marcos Rubiales Olmedo es graduado en Derecho y Ciencias Políticas, con gran interés por el mundo de la abogacía y especialmente en el Derecho de las Nuevas Tecnologías, motivado por ámbitos como: Propiedad Intelectual, Patentes y Marcas, Comercio Electrónico, contratos informáticos, y en especial en la Protección de Datos de carácter personal, habiendo realizado el Curso de Delegado de Protección de Datos de Aranzadi (programa formativo que cumple con los requisitos establecidos en el esquema de certificación de la Agencia Española de Protección de Datos).

También he desempeñado labores relacionadas con el Derecho Civil (incluyendo Derecho de Familia), Derecho Penal y Derecho Mercantil. Resumen de cualificaciones

PERFIL DIGITAL : Linkedin