¿ Seguridad o Temeridad ? El peligro de exigir el "DNI limpio y completo" en plataformas CAE.

Como Técnico en Prevención de Riesgos Laborales (TPRL) y en Seguridad Informática, me encuentro con una práctica que me chirría : Algunas plataformas de Coordinación de Actividades Empresariales (CAE) exigen, como requisito indispensable, subir una copia escaneada y "limpia" del DNI de los trabajadores.

🤔 La excusa: "Es por comodidad, para que no pongan pegas al entrar en las instalaciones del cliente".
👉🏻 La realidad: Es una negligencia de seguridad y un riesgo legal innecesario.
🚫 Riesgos para el Trabajador (Seguridad Informática / Ciberseguridad).

Un DNI escaneado sin marcas de agua es el "Santo grial" para el fraude. Si esa plataforma sufre una brecha de datos (Algo que según el INCIBE es un riesgo constante para las empresas), esos documentos pueden acabar en la Dark Web para:

🕵️👤 Contratar microcréditos a nombre del trabajador.
🕵️👤 Abrir cuentas bancarias para blanqueo de capitales.
🕵️👤 Suplantación de identidad en trámites oficiales.

El REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, RGPD UE 2016/679):

• Se sitúa en la cúspide por el principio de primacía del Derecho de la Unión Europea.
• Es una norma de aplicabilidad directa.
• Tiene preferencia de aplicación en las materias donde la UE tiene competencia.

La Agencia Española de Protección de Datos (AEPD) es clara en la obligación de aplicar el Principio de Minimización de Datos (Art. 5.1.c del RGPD):

✅ Pilares del Principio de minimización de datos :

• 👉🏻 Adecuado: Debe estar directamente relacionado con la finalidad del tratamiento.
• 👉🏻 Pertinente: Solo se debe solicitar lo que sea útil para el objetivo buscado, deben guardar vínculo racional entre el dato solicitado y el fin.
• 👉🏻 Limitado a lo necesario: Se debe recoger la cantidad mínima de información indispensable para cumplir ese fin específico.

El Principio de minimización de datos establece que los datos personales recogidos por cualquier entidad deben ser adecuados, pertinentes y limitados a lo estrictamente necesario para la finalidad específica del tratamiento.

⚖️ Riesgos para la Empresa.

• 👉🏻 Falta de base legal: Yo no conozco ninguna norma que obligue a entregar copia física/digital del DNI para la CAE. Puede bastar con la verificación mediante el ITA (Informe de Trabajadores en Alta), RNT (Relación Nominal de Trabajadores) u otros medios.
• 💸 Sanciones: La AEPD ya ha impuesto multas de hasta 100.000€ por solicitar copias del DNI de forma desproporcionada en otros sectores.
• ⚠️ Responsabilidad: Ceder ante la "comodidad" del cliente no exime a la empresa de su responsabilidad de actuar de forma proactiva, cuya exigencia esta recogida en el RGPD (Reglamento General de Protección de Datos, Reglamento (UE) 2016/679).

🤔 Si una empresa solo necesita verificar tu identidad, recoger la firma, la fotografía o el lugar de nacimiento puede ser excesivo si no hay una base legal que lo justifique específicamente.

⚠️ Riesgos de compartir el DNI sin precauciones :

• 🆔 Suplantación de identidad.
• 🛡️ Vulnerabilidades en las comunicaciones.
• ⚖️ Sobreexposición de información.
• ☁️ Almacenamiento de información en la nube.

El DNI completo incluye información cuyo tratamiento incrementa el riesgo de suplantación de identidad si no se toman las debidas precauciones.

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) en su Disposición derogatoria única es clara y concisa : "Asimismo, QUEDAN DEROGADAS CUANTAS DISPOSICIONES de igual o inferior rango contradigan, se opongan, o resulten INCOMPATIBLES con lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgánica."

El Principio de Privacidad desde el Diseño (Art. 25 RGPD) obliga al responsable a que, incluso cumpliendo una ley, elija el método menos invasivo.

💡 Mi consejo didáctico :

🏢 Si eres empresa, no pidas el DNI limpio. Si eres plataforma, permite marcas de agua y datos pixelados.

👷 Si eres trabajador:

• ✅ Marca de agua siempre: Cruza el documento con un texto opaco ("Copia para CAE Empresa "X", No se autoriza otro uso").
• ✅ Pixela datos críticos: Aplica el principio de Minimización de Datos.
• ✅ Exige transparencia: Solicita el contacto del Delegado de Protección de Datos (DPD / DPO), o en defecto el Responsable del Tratamiento de Datos, de tu empresa y de la plataforma. Para que puedas ejercitar, cuando lo estimes oportuno, los derechos ARSULIPO / ARCO-POL recogidos en la LOPDGDD.

⚖️ LOPDGDD Derechos → A · R · SU · LI · P · O ( ARCO-POL ) :

• Art. 13 Derecho de Acceso : Permite a la persona solicitar y obtener información sobre si sus datos personales están siendo tratados y, en caso afirmativo, acceder a ellos.
• Art. 14 Derecho de Rectificación : Permite a la persona solicitar la modificación de sus datos personales si son inexactos o incompletos.
• Art. 15 Derecho de Supresión o Derecho al Olvido : Permite a la persona solicitar la eliminación de sus datos personales cuando ya no son necesarios para los fines para los que fueron recogidos, o cuando se ha retirado el consentimiento para su tratamiento.
• Art. 16 Derecho a la Limitación del Tratamiento : Permite a la persona solicitar que se limite el tratamiento de sus datos personales en determinadas circunstancias, por ejemplo, cuando se impugna la exactitud de los datos.
• Art. 17 Derecho a la Portabilidad : Permite a la persona solicitar recibir sus datos personales en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable del tratamiento.
• Art. 18 Derecho de Oposición : Permite a la persona oponerse al tratamiento de sus datos personales en determinadas circunstancias, como cuando se utilizan para fines de mercadotecnia directa o cuando el tratamiento se basa en el interés legítimo del responsable.

La seguridad no es solo llevar el casco y las botas; es proteger nuestra identidad digital.

ℹ️ La Agencia Española de Protección de Datos (AEPD) es la autoridad pública independiente encargada de velar por la privacidad y la protección de datos de la ciudadanía. Te recomiendo consultar sus guías y publicaciones orientadas tanto a ciudadanos como a responsables de empresas.

ℹ️ También puedes consultar las Guías del INCIBE-CERT, Instituto Nacional de Ciberseguridad. En caso de un incidente de seguridad puedes contactar con ellos a través de sus diferentes canales tanto si eres ciudadano o empresa. 📱 017 Número gratuito, confidencial y fácil de recordar

⚠️ Consulta y sigue siempre las recomendaciones de las Autoridades y Organismos competentes en la materia.

Esta es solo mi opinión personal, la cual someto a cualquier otra mejor fundamentada en derecho.

Pueden visitar mi artículo publicado en linkedin : ¿ Seguridad o Temeridad ? El peligro de exigir el "DNI limpio y completo" en plataformas CAE.

👇 Sigamos la conversación en LinkedIn.

Recuerda visitar el aviso legal del Blog.

Si te gusta, no dudes en compartirlo en las redes sociales. Gracias.