⛔ No entregues copias de tu DNI/NIE, como norma general. Ninguna entidad debe conservar una copia, salvo en las excepciones que indico más abajo. Entregar una copia os pone en riesgo a la entidad y a ti.
El DNI contiene información que no es necesaria para la mayoría de los trámites (5.1.c RGPD): firma, dirección, datos de filiación, etc. Salvo por exigencia de la Ley de Prevención del Blanqueo de Capitales (art. 12 LPBC, con 10 años de conservación + plazo de bloqueo) u otra que expresamente lo indique, la entidad no puede pedirte copias del DNI.
Conservar copias del DNI supone un riesgo añadido: si hay una brecha, un tercero podría usarlos para suplantación de identidad u otros delitos. En caso de sustracción, denuncia en Policía Nacional o Guardia Civil.
Aun así, sigue siendo habitual que empresas, universidades, centros de FP, hoteles (Nota de la Agencia Española de Protección de Datos con relación a la solicitud de copias de documentos de identidad en hospedajes para dar cumplimiento al Real Decreto 933/2021) o servicios de mensajería pidan fotografiar o subir el DNI completo.
- ⚠ PS/00389/2024: 70.000 € por exigir copia del DNI para check-in online.
- ⚠ PS/00535/2024: 1.000 € por exigir copia del DNI para verificar cuentas en una app.
- ⚠ PS/00570/2023: 5.000 € por exigir copia del DNI para permitir acceso de menores a conciertos.
- ⚠ PS/00413/2021: 100.000 € por exigir fotografía del DNI para mensajería.
- ⚠ PS/00499/2022: 75.000 € por exigir copia del DNI para el check-in en un alojamiento.
- ⚠ PS/00170/2022: 70.000 € por exigir copia del DNI para un trámite.
- ⚠ PS/00003/2021: 300.000 € por exigir copia del DNI para el ejercicio de derechos.
¿Cómo actuar correctamente?
- ✗ No se puede: escanear, fotografiar ni conservar el DNI completo.
- ✓ Sí se puede: Verificar visualmente el DNI, validación electrónica segura o sistemas de verificación con garantías.
En el caso de entidades educativas, basta con que el alumno, muchas veces menor de edad, aporte los datos en el formulario y los valide presencialmente o mediante un sistema seguro. La entidad no puede conservar la imagen del documento. Debe permitir el envío del formulario de matriculación aun cuando no haya querido subir una copia de su DNI.
Recordemos que en Internet y en TOR circulan miles de copias de DNI sustraídas, por lo que subir una simple imagen de un DNI carece de valor probatorio si no se certifica la identidad de quien la carga, como se demuestra, por analogía, en la SAP Lleida 74/2021, de 29 de enero de 2021.
Solo si existe una norma con rango de ley u otra base de legitimación de igual categoría que permita escanear o solicitar copias del DNI, la entidad podría hacerlo, si no existe una forma menos lesiva para lograr su objetivo. Para la mayoría de las entidades privadas y públicas, no han norma ni base que lo permita, por lo que no pueden realizar estas acciones.
1. ¿Qué hago si en un hotel, universidad, hospital… me pide una copia del DNI?
Puedes negarte. La exhibición visual del documento es suficiente. Si insisten, pide que te indiquen qué base legal les obliga a ello. Si no existe, puedes ejercer tus derechos ante la entidad y, en caso necesario, reclamar ante la AEPD.
2. ¿Y si me obligan a enviarlo por Internet?
Si decides enviar una copia, aplica una máscara de privacidad: oculta datos innecesarios (firma, número de soporte, equipo expedidor, filiación —padre, madre—, dirección completa, fotografía…). Añade una marca de agua indicando el propósito (“Solo para matrícula en [nombre del centro]”). Esto reduce riesgos si la imagen se filtra y ayuda a identificar a la empresa responsable.
3. ¿Se puede pedir copia del DNI de menores para matrículas o federaciones?
No, como norma general. Basta con verificar presencialmente o usar sistemas seguros.
4. ¿Qué alternativas tienen las empresas para verificar identidad sin pedir copia completa?
- ✈ A distancia: Firma electrónica cualificada (o avanzada FNMT), sistema Cl@ve, videollamada con validación facial, video-identificación SEPBLAC, token SMS vinculado a número móvil, certificado bancario, identidad federada (eIDAS), pasaporte electrónico con NFC, certificados oficiales con CSV, certificados oficiales de estudios con firma electrónica, documentos notariales con firma electrónica.
- ✎ Nota: No todos los métodos son válidos para todos los casos. Cada tipo de entidad debe elegir el sistema adecuado según su obligación legal y el nivel de garantía exigido (por ejemplo, sujetos obligados por la LPBC requieren procedimientos reforzados, mientras que las universidades pueden optar por certificados con CSV o firma electrónica). Se recomienda combinar dos o más métodos para mitigar riesgos de suplantación.
- 🏦 Presencial: Exhibición visual del DNI/NIE (sin copia ni escaneo), pasaporte físico, permiso de circulación, tarjeta de residencia, certificado de ciudadano de la UE, acta notarial, certificado de empadronamiento, documentos oficiales con cotejo notarial o consular.
5. ¿Es legal ofrecer “opcionalmente” escanear el DNI para extraer datos?
No. Aunque se presente como voluntario o como un servicio adicional, escanear el DNI implica tratar datos excesivos y vulnera el principio de minimización del RGPD (art. 5.1.c), ya que se capturan elementos innecesarios para la finalidad (fotografía, firma, dirección, filiación).
El consentimiento no convierte en lícito un tratamiento desproporcionado, porque la normativa exige que sea necesario y proporcional, incluso con consentimiento. Además, la obligación de bloquear la imagen durante el plazo de prescripción (art. 32 LOPDGDD) prolonga el riesgo en caso de brecha.
El escaneo tampoco acredita identidad fehaciente y existen métodos menos intrusivos y más seguros, como la validación presencial, sistemas electrónicos con garantías o certificados con CSV. Por ello, esta práctica se considera ilícita y ha sido objeto de sanciones por la AEPD.
Recordemos que no está permitido siquiera escanear, como regla general, por lo que no es válida la excusa de «se borran inmediatamente» los demás datos.
6. ¿Qué hago si ya entregué la copia?
Puedes ejercer el derecho de limitación para que la empresa bloquee el tratamiento y conserve la evidencia hasta que la AEPD resuelva.
Cumplir no es solo evitar sanciones (70.000 € en PS/00389/2024, 5.000 € en PS/00570/2023): es proteger la privacidad, reducir riesgos y reforzar la confianza. Es seguridad para el negocio.
7. Anexo
- ¿Se debe solicitar el DNI para el ejercicio de derechos? Ver sección 3.3 (apartados 70 a 79) de las Directrices 01/2022 sobre los derechos de los interesados — Derecho de acceso Versión 2.1 Adoptada el 28 de marzo de 2023, del EDPB.
¿Y a ti? ¿Te han pedido copias del DNI
Pablo Fdez. Burgueño 