Imagine una institución que presume de formar a los líderes del mañana, pero que gestiona su seguridad con la mentalidad burocrática del siglo XIX. Ese anacronismo le ha costado a otra institución académica española una sanción de 40.000 euros (Resolución PS/00137/2024) y es la decimoctava.
El patrón ser repite: obligar a un estudiante a remitir una copia íntegra de su DNI para la expedición de un título. Lo que la administración consideraba un «trámite rutinario», la Agencia Española de Protección de Datos (AEPD) lo ha calificado como una invasión desproporcionada de la privacidad.
Como dato adicional, recientemente ha habido otra sanción mucho más elevada (650.000 euros) contra la Universidad Internacional de Valencia (VIU), pero en ese caso fue por el uso de reconocimiento facial con IA en exámenes online sin ofrecer alternativas reales.
Como expertos en compliance, este caso es el acta de defunción de una práctica tan común como peligrosa: la captura indiscriminada de imágenes de documentos oficiales.
La defensa habitual de las universidades se apoya en el Real Decreto 1002/2010, que exige verificar la identidad del graduado para evitar errores en el título oficial. Sin embargo, la AEPD ha establecido una distinción técnica crucial: Verificar no es capturar.
- El Principio de Minimización (Art. 5.1.c RGPD)
Exigir la imagen completa de un DNI es «Diógenes Digital». Una copia contiene la firma ológrafa (el activo más crítico para el fraude), la imagen facial (biometría potencial) y datos de filiación totalmente irrelevantes para un expediente académico.
- La Falacia de la Seguridad
Las instituciones argumentan que la copia garantiza la seguridad jurídica. La realidad técnica es la opuesta: almacenar miles de archivos PDF con DNIs es crear un «Honeypot» (tarro de miel) para el cibercrimen. Si esos archivos se filtran en una brecha de seguridad, la responsabilidad de la entidad no tiene límites.
El «Muro de la Vergüenza»: Mapa de Sanciones (Actualizado 2026)
La tendencia es imparable. La AEPD está enviando un mensaje claro a través de sanciones que escalan según la negligencia y el volumen de datos tratados.
Infracciones por Biometría e IA (Nivel Crítico)
| Universidad | Sanción | Motivo de la Infracción | Año |
| Univ. Internacional de Valencia (VIU) | 650.000 € | Uso de reconocimiento facial en exámenes sin base legal ni alternativas. | 2024 |
Infracciones por Captura de DNI y Minimización
| Resolución | Sanción | Contexto / Motivo |
| PS/00003/2021 | 300.000 € | Exigir copia del DNI para el ejercicio de derechos de acceso. |
| PS/00413/2021 | 100.000 € | Exigir fotografía del DNI para servicios de mensajería. |
| PS/00499/2022 | 75.000 € | Captura de imagen del DNI en el check-in de un alojamiento. |
| PS/00389/2024 | 70.000 € | Exigir copia del DNI para check-in online. |
| PS/00137/2024 | 40.000 € | Caso Universidad Europea: Copia de DNI para expedición de título. |
| PS/00476/2024 | 15.000 € | Exigir un selfie con DNI para cancelar un préstamo. |
| PS/00570/2023 | 5.000 € | Copia de DNI para acceso de menores a eventos. |
Guía de Supervivencia: Cómo actuar ante la petición del DNI
Desde abril de 2026, la normativa ha dado un giro radical con la obligatoriedad de sistemas digitales. Aquí están los protocolos de actuación para ciudadanos y empresas:
1# Identificación Presencial: Soberanía Visual
Es el método más seguro. La mera exhibición del documento físico es suficiente para que el responsable verifique los datos.
- MiDNI: Desde abril de 2026, es obligatorio que las entidades acepten la aplicación oficial MiDNI. Permite validar la identidad mediante un código dinámico sin que el verificador toque tu soporte físico ni capture imágenes.
2# Ciclo Académico y Auditoría
La identificación fehaciente no requiere capturas. Si un alumno muestra su DNI en cada examen oficial, su identidad ya está validada de forma recurrente. La universidad ya tiene la certeza de quién es el titular; pedir el escaneo al final del grado es una infracción grave por redundancia.
3# Entornos Remotos: Adiós al PDF
Se debe priorizar el uso de:
- Firma Electrónica Cualificada: Vincula al firmante de forma única.
- Código Seguro de Verificación (CSV): Permite cotejar la validez de un documento en la sede electrónica del emisor.
- IMPORTANTE: El uso de MiDNI no es válido en remoto. Para trámites a distancia, la solución es el certificado digital o sistemas de identidad federada.
4# Tecnología de Privacidad (Máscaras de Datos)
Si es estrictamente necesario un escaneo para extraer datos (OCR), este debe ser local y con máscara de privacidad.
- Prohibición: No son legales los sistemas que capturan el DNI íntegro en remoto bajo la promesa de «tapar» los datos después. El mero tránsito y captura inicial ya constituyen un tratamiento excesivo.
El Veredicto del Perito (Ángel Bahamontes)
Como tecnólogos de la ANTPJI, debemos ser implacables: subir una imagen de un DNI a internet carece de valor probatorio real. En la Dark Web circulan millones de copias sustraídas; cualquier delincuente puede usar una.
La identificación es un deber legal, pero la captura de la imagen es —salvo excepciones como la Prevención de Blanqueo de Capitales (Ley 10/2010)— una negligencia que expone a la entidad a sanciones millonarias y al ciudadano al robo de su vida digital.
Consejo Final para el Ciudadano
No entregues copias de tu DNI/NIE, como norma general. Ninguna entidad debe conservar una copia, salvo en las excepciones que indico más abajo. Entregar una copia os pone en riesgo a la entidad y a ti.
El DNI contiene información que no es necesaria para la mayoría de los trámites (5.1.c RGPD): firma, dirección, datos de filiación, etc. Salvo por exigencia de la Ley de Prevención del Blanqueo de Capitales (art. 12 LPBC, con 10 años de conservación + plazo de bloqueo) u otra que expresamente lo indique o si existe legitimidad suficiente, la entidad no puede pedirte copias del DNI.
Aun así, sigue siendo habitual que empresas, universidades, centros de FP, hoteles (Nota de la Agencia Española de Protección de Datos con relación a la solicitud de copias de documentos de identidad en hospedajes para dar cumplimiento al Real Decreto 933/2021) o servicios de mensajería pidan fotografiar o subir el DNI completo.
- PS/00535/2024: 1.000 € por exigir copia del DNI para verificar cuentas en una app.
- PS/00476/2024: 15.000 € por exigir un selfie con DNI para cancelar un préstamo, cuando habría bastado la firma electrónica o una copia simple del DNI para cumplir la normativa de PBC.
- PS/00389/2024: 70.000 € por exigir copia del DNI para check-in online.
- PS/00137/2024: 40.000 € por pedir copia del DNI para la expedición de un título universitario.
- PS/00570/2023: 5.000 € por exigir copia del DNI para permitir acceso de menores a conciertos.
- PS/00413/2021: 100.000 € por exigir fotografía del DNI para mensajería.
- PS/00499/2022: 75.000 € por exigir copia del DNI para el check-in en un alojamiento.
- PS/00170/2022: 70.000 € por exigir copia del DNI para un trámite.
- PS/00003/2021: 300.000 € por exigir copia del DNI para el ejercicio de derechos.
¿Cómo actuar correctamente?
- ✗ No se puede: escanear, fotografiar ni conservar el DNI completo.
- ✓ Sí se puede: Verificar visualmente el DNI, validación electrónica segura o sistemas de verificación con garantías.
Conservar copias del DNI supone un riesgo añadido: si hay una brecha, un tercero podría usarlos para suplantación de identidad u otros delitos. En caso de sustracción, denuncia en Policía Nacional o Guardia Civil.
¿Qué hago si en un hotel, universidad, hospital… me pide una copia del DNI? Puedes negarte. La exhibición visual del documento es suficiente. Si insisten, pide que te indiquen qué base legal les obliga a ello. Si no existe, puedes ejercer tus derechos ante la entidad y, en caso necesario, reclamar ante la AEPD.
Si le obligan a enviar una copia por internet y decide hacerlo por necesidad urgente: Píxele los datos sensibles (firma, equipo expedidor, filiación y fotografía) y añada una marca de agua con el texto: «Solo para uso en [Nombre de la Entidad] – Fecha: [Día/Mes/Año]» y denúncielo ante la AEPD.
Prohibiciones en canales de comunicación
- Envío por correo electrónico: está prohibido solicitar o aceptar el envío de copias de documentos de identidad a través de correo electrónico, al ser un canal que no garantiza la integridad ni la confidencialidad, aumentando el riesgo de suplantación de identidad en caso de interceptación.
- Mensajería instantánea: no se deben utilizar aplicaciones de mensajería para la recepción de pruebas de identidad que contengan imágenes de documentos oficiales.
Si la empresa se niega a aceptarlo, recuérdeles que esa negativa les puede costar, como mínimo, 20.000 euros.
¿Es legal ofrecer “opcionalmente” escanear el DNI para extraer datos?
No. Aunque se presente como voluntario o como un servicio adicional, escanear el DNI implica tratar datos excesivos y vulnera el principio de minimización del RGPD (art. 5.1.c), ya que se capturan elementos innecesarios para la finalidad (fotografía, firma, dirección, filiación).
El consentimiento no convierte en lícito un tratamiento desproporcionado, porque la normativa exige que sea necesario y proporcional, incluso con consentimiento. Además, la obligación de bloquear la imagen durante el plazo de prescripción (art. 32 LOPDGDD) prolonga el riesgo en caso de brecha.
El escaneo tampoco acredita identidad fehaciente y existen métodos menos intrusivos y más seguros, como la validación presencial, sistemas electrónicos con garantías o certificados con CSV. Por ello, esta práctica se considera ilícita y ha sido objeto de sanciones por la AEPD.
Recordemos que no está permitido siquiera escanear, como regla general, por lo que no es válida la excusa de «se borran inmediatamente» los demás datos.
- ¿Qué hago si ya entregué la copia?
Puedes ejercer el derecho de limitación para que la empresa bloquee el tratamiento y conserve la evidencia hasta que la AEPD resuelva.
Cumplir no es solo evitar sanciones (70.000 € en PS/00389/2024, 5.000 € en PS/00570/2023): es proteger la privacidad, reducir riesgos y reforzar la confianza. Es seguridad para el negocio.
