Durante décadas, la fotocopia del DNI ha sido el «comodín» de la burocracia española. Un documento que se exigía para todo, desde reclamar una multa hasta inscribirse en un polideportivo, y que acababa durmiendo en archivadores o servidores sin las medidas de seguridad adecuadas. Pero el tiempo de la impunidad administrativa ha terminado. La Agencia Española de Protección de Datos (AEPD) ha reprendido severamente a la Diputación de Pontevedra, marcando un precedente que debería hacer temblar los protocolos de miles de ayuntamientos e instituciones.
El caso nace de una escena cotidiana. Un ciudadano acude a las oficinas de la Diputación de Pontevedra para presentar alegaciones contra una multa. El funcionario, siguiendo un protocolo obsoleto, le exige escanear o entregar una copia del DNI como condición sine qua non para admitir el escrito.
Lo que la Diputación consideraba una «verificación de identidad» rutinaria es, en realidad, una vulneración directa del Reglamento General de Protección de Datos (RGPD). ¿Por qué? Porque para comprobar quién es la persona que tienes delante, basta con mirar el documento original y dejar constancia de ello. Quedarse con una imagen del soporte físico es, técnica y legalmente, un exceso innecesario.
La resolución de la AEPD se apoya en el artículo 5.1.c del RGPD, que establece el principio de minimización de datos. Este principio obliga a cualquier responsable de tratamiento a tratar únicamente los datos que sean «adecuados, pertinentes y limitados a lo necesario».
En el peritaje informático y la consultoría de seguridad que defendemos en TecFuturo, la minimización no es solo una norma legal, es una estrategia de defensa. Cuantos menos datos almacena una institución, menor es el riesgo en caso de un ciberataque. La Diputación de Pontevedra almacenaba imágenes completas del DNI (con firma, fecha de validez y otros datos sensibles) cuando una simple diligencia del funcionario —haciendo constar que ha visto el original— era suficiente.
El Reconocimiento de la Culpa y la Medida «Menos Gravosa»
Lo más revelador de este caso es que la propia Diputación ha reconocido que existía una medida menos intrusiva. Tras la reclamación, la institución ha tenido que modificar sus protocolos, suprimir las copias almacenadas y formar a su personal para evitar que se repita el incidente.
Sin embargo, la AEPD ha sido clara: las medidas correctoras posteriores no eliminan la infracción cometida. La Administración pública está sujeta a un estándar de diligencia superior al de una empresa privada, y condicionar el derecho de un ciudadano a presentar un escrito a la entrega de una copia del DNI es un abuso de poder digital.
La Fotocopia como Medida Excepcional
La resolución establece una jerarquía clara para la identificación:
- Comprobación visual: El método estándar y preferente.
- Registro de la confirmación: El funcionario anota que la identidad ha sido validada.
- Copia del DNI: Una medida estrictamente excepcional, reservada para situaciones donde no exista absolutamente ningún otro medio de verificación.
Este tirón de orejas a la Diputación de Pontevedra es un aviso para navegantes. En la era de la identidad soberana y la administración electrónica, pedir una fotocopia del DNI es un anacronismo peligroso que facilita el robo de identidad y las brechas de datos masivas.
Desde TecFuturo celebramos esta resolución. Es un paso necesario para que las instituciones entiendan que el ciudadano es el dueño de sus datos y que la «comodidad» del funcionario no puede estar por encima del derecho fundamental a la privacidad. La próxima vez que le pidan una fotocopia del DNI en una oficina pública, recuerde esto: probablemente sea ilegal.
Mientras que una empresa privada puede enfrentarse a multas astronómicas (de hasta 20 millones de euros o el 4% de su facturación global), las Administraciones Públicas en España suelen recibir simplemente un apercibimiento (un «tirón de orejas» oficial).
La excepción de la LOPDGDD (El escudo legal)
Aunque el RGPD (Reglamento General de Protección de Datos) a nivel europeo permite que los Estados miembros decidan si multan o no a sus administraciones, España optó por la vía de la inmunidad económica.
El artículo 77 de la Ley Orgánica 3/2018 (LOPDGDD) establece que, cuando el infractor es una entidad pública (Ayuntamientos, Diputaciones, Ministerios, etc.), la AEPD solo puede dictar una resolución de apercibimiento. No existe la sanción pecuniaria.
El argumento del «Dinero Público»
La lógica jurídica detrás de esta decisión es evitar un movimiento de dinero que, en última instancia, sale del bolsillo del contribuyente.
- Si la AEPD (que es parte del Estado) multa a una Diputación (que es parte del Estado), el dinero solo cambia de cuenta bancaria pública.
- El pago de una multa millonaria por parte de un Ayuntamiento pequeño podría llevar a la quiebra de servicios básicos (limpieza, alumbrado, servicios sociales). Se castigaría al ciudadano dos veces: primero por la pérdida de su privacidad y segundo por la pérdida de sus servicios públicos.
La responsabilidad administrativa vs. La sanción económica
Que no haya multa no significa que no haya consecuencias, aunque sean más lentas y menos visibles:
- Apercibimiento público: La resolución se publica en el BOE o en la web de la AEPD, lo que supone un daño reputacional para el político de turno.
- Medidas correctoras: La administración está obligada a corregir el fallo en un tiempo determinado.
- Expediente disciplinario: La resolución de la AEPD suele exigir que se abra una investigación interna para determinar si algún funcionario o jefe de servicio cometió una falta grave, lo que podría derivar en suspensiones de empleo y sueldo.
La paradoja: El agravio comparativo
Esto crea una situación de desigualdad que en TecFuturo denunciamos a menudo:
- Si una PYME de barrio pide el DNI sin necesidad, puede ser multada con 2.000€ o 3.000€, una cantidad que puede comprometer su mes.
- Si una Diputación lo hace de forma masiva con miles de ciudadanos (como el caso de Pontevedra), el coste económico para la institución es cero.
La vía de la indemnización (El único castigo real)
Aunque la AEPD no pueda multar a la Administración, el ciudadano sí puede reclamar. Si un ciudadano puede demostrar que ese mal uso de sus datos le ha causado un daño moral o patrimonial (por ejemplo, si su DNI se filtró y se usó para contratar créditos a su nombre), puede acudir a la vía contencioso-administrativa para exigir una responsabilidad patrimonial. En este caso, la Administración sí tendría que pagar una indemnización directamente al afectado.
En la práctica, la falta de multas económicas a las administraciones genera una sensación de impunidad que retrasa la adopción de medidas de ciberseguridad y privacidad en el sector público. Como decimos en el peritaje informático: «lo que no cuesta dinero, no es una prioridad en la agenda política».
Es una de las grandes asignaturas pendientes para lograr una verdadera soberanía digital en España.
La soberanía digital empieza por conocer nuestros derechos frente a la pantalla y frente al mostrador. El principio de minimización de datos es nuestra mejor protección contra la burocracia desmedida y el cibercrimen.
