Pablo Fdez. Burgueño

Está prohibido pedir una copia del DNI (salvo excepciones). Multas millonarias a quien lo incumple.

por

Pablo Fdez. Burgueño
en

Última actualización de este post: 03 de abril de 2026

⛔ No entregues copias de tu DNI/NIE, como norma general. Ninguna entidad debe conservar una copia, salvo en las excepciones que indico más abajo. Entregar una copia os pone en riesgo a la entidad y a ti.

El DNI contiene información que no es necesaria para la mayoría de los trámites (5.1.c RGPD): firma, dirección, datos de filiación, etc. Salvo por exigencia de la Ley de Prevención del Blanqueo de Capitales (art. 12 LPBC, con 10 años de conservación + plazo de bloqueo) u otra que expresamente lo indique o si existe legitimidad suficiente, la entidad no puede pedirte copias del DNI.

Conservar copias del DNI supone un riesgo añadido: si hay una brecha, un tercero podría usarlos para suplantación de identidad u otros delitos. En caso de sustracción, denuncia en Policía Nacional o Guardia Civil.

Aun así, sigue siendo habitual que empresas, universidades, centros de FP, hoteles (Nota de la Agencia Española de Protección de Datos con relación a la solicitud de copias de documentos de identidad en hospedajes para dar cumplimiento al Real Decreto 933/2021) o servicios de mensajería pidan fotografiar o subir el DNI completo.

  • PS/00535/2024: 1.000 € por exigir copia del DNI para verificar cuentas en una app.
  • PS/00476/2024: 15.000 € por exigir un selfie con DNI para cancelar un préstamo, cuando habría bastado la firma electrónica o una copia simple del DNI para cumplir la normativa de PBC.
  • PS/00389/2024: 70.000 € por exigir copia del DNI para check-in online.
  • PS/00137/2024: 20.000 € por pedir copia del DNI para la expedición de un título universitario (multa reducida a 20K «en atención a que solo ha quedado acreditada la afectación a un estudiante»).
  • PS/00570/2023: 5.000 € por exigir copia del DNI para permitir acceso de menores a conciertos.
  • PS/00413/2021: 100.000 € por exigir fotografía del DNI para mensajería.
  • PS/00499/2022: 75.000 € por exigir copia del DNI para el check-in en un alojamiento.
  • PS/00170/2022: 70.000 € por exigir copia del DNI para un trámite.
  • PS/00003/2021: 300.000 € por exigir copia del DNI para el ejercicio de derechos.

¿Cómo actuar correctamente?

  • ✗ No se puede: escanear, fotografiar ni conservar el DNI completo.
  • ✓ Sí se puede: Verificar visualmente el DNI, validación electrónica segura o sistemas de verificación con garantías.

En el caso de entidades educativas, basta con que el alumno, muchas veces menor de edad, aporte los datos en el formulario y los valide presencialmente o mediante un sistema seguro. La entidad no puede conservar la imagen del documento. Debe permitir el envío del formulario de matriculación aun cuando no haya querido subir una copia de su DNI.

Recordemos que en Internet y en TOR circulan miles de copias de DNI sustraídas, por lo que subir una simple imagen de un DNI carece de valor probatorio si no se certifica la identidad de quien la carga, como se demuestra, por analogía, en la SAP Lleida 74/2021, de 29 de enero de 2021.

Solo si existe una norma con rango de ley u otra base de legitimación de igual categoría que permita escanear o solicitar copias del DNI, la entidad podría hacerlo, si no existe una forma menos lesiva para lograr su objetivo. Para la mayoría de las entidades privadas y públicas, no han norma ni base que lo permita, por lo que no pueden realizar estas acciones.

1. ¿Qué hago si en un hotel, universidad, hospital… me pide una copia del DNI?

Puedes negarte. La exhibición visual del documento es suficiente. Si insisten, pide que te indiquen qué base legal les obliga a ello. Si no existe, puedes ejercer tus derechos ante la entidad y, en caso necesario, reclamar ante la AEPD.

2. ¿Y si me obligan a enviarlo por Internet?

Si decides enviar una copia, aplica una máscara de privacidad: oculta datos innecesarios (firma, número de soporte, equipo expedidor, filiación —padre, madre—, dirección completa, fotografía…). Añade una marca de agua indicando el propósito (“Solo para matrícula en [nombre del centro]”). Esto reduce riesgos si la imagen se filtra y ayuda a identificar a la empresa responsable.

3. ¿Se puede pedir copia del DNI de menores para matrículas o federaciones?

No, como norma general. Basta con verificar presencialmente o usar sistemas seguros.

4. ¿Qué alternativas tienen las empresas para verificar identidad sin pedir copia completa?

La selección del método de verificación adecuado debe responder a un análisis de riesgos y proporcionalidad caso por caso, ya que el listado de alternativas ofrecido tiene un carácter meramente orientativo debido a las particularidades de cada sector y actividad. Es necesario considerar que, si bien desde el 2 de abril de 2026 es obligatorio aceptar la aplicación MiDNI para la identificación presencial, su uso no está habilitado para trámites a distancia; paralelamente, normativas como la Ley de Prevención del Blanqueo de Capitales pueden obligar a conservar copias del DNI en supuestos de diligencia reforzada, mientras que la identificación por videollamada se rige por estándares técnicos y sujetos específicamente autorizados.

4.1. Verificación en modalidad presencial

  • Exhibición del documento físico: El interesado muestra su DNI, NIE o pasaporte original al responsable. Este realiza una comprobación visual de los datos biométricos y biográficos para confirmar la identidad en el acto. Bajo ninguna circunstancia se debe fotocopiar, escanear o retener el documento.
  • Identificación mediante MiDNI: Uso de la aplicación oficial del Ministerio del Interior. El titular genera un código dinámico en su dispositivo móvil que el verificador valida presencialmente. Este método tiene la misma validez legal que el documento físico y evita cualquier contacto con soportes analógicos.
  • Escaneo local con máscara de privacidad: Utilización de tecnología de lectura que, en el momento del escaneado, aplica una capa técnica para ocultar la imagen del titular y datos no pertinentes. Este sistema solo se emplea para la extracción automatizada de datos de texto necesarios para un registro, sin que se almacene la imagen del documento original.

4.2. Verificación en modalidad a distancia (remoto)

  • Firma electrónica cualificada o avanzada: Empleo de certificados digitales reconocidos que vinculan de forma única al firmante con su identidad. Es el método de mayor seguridad jurídica para la suscripción de documentos o realización de trámites telemáticos.
  • Sistemas de Código Seguro de Verificación (CSV): Verificación de la autenticidad de un documento o identidad mediante el cotejo de un código alfanumérico en la sede electrónica del organismo emisor, eliminando la necesidad de enviar archivos gráficos del documento de identidad.
  • Doble/multi factor de autenticación (2FA/MFA): Procedimiento que refuerza la seguridad mediante el envío de un código temporal a un dispositivo previamente vinculado o el uso de biometría, asegurando que quien accede es el titular legítimo. No sirve para identificar, pero sí para validar y permitir el acceso a quien ya estuviera previamente identificado.
  • Videoconfirmación en directo: Validación de la identidad mediante una conexión de video en tiempo real con un agente. El agente verifica que la persona física coincide con el titular, pero tiene prohibido realizar capturas de pantalla o grabaciones del documento de identidad mostrado.
  • Proveedores de servicios de confianza: Uso de plataformas de verificación que procesan la identidad de forma cifrada. El sistema debe estar configurado para que solo se transmita la confirmación de «identidad verificada» y los datos estrictamente necesarios, sin que el receptor final tenga acceso ni almacene la imagen completa del documento.

4.3. Prohibiciones (selección)

4.3.1. Prohibiciones relativas a la gestión documental

  • Solicitud de copias íntegras: queda prohibido requerir, ya sea en formato físico (fotocopia) o digital (escaneo o fotografía), la imagen completa del DNI, NIE o pasaporte.
  • Conservación de imágenes: no se permite el almacenamiento de copias de los documentos de identidad en expedientes, bases de datos o archivos físicos, incluso si han sido facilitadas voluntariamente por el titular.
  • Escaneo sin enmascaramiento: se prohíbe el uso de sistemas de reconocimiento óptico de caracteres (OCR) o captura de documentos que procesen la imagen completa sin aplicar máscaras de privacidad sobre los datos no pertinentes (como la fotografía o la firma, si no son estrictamente necesarias).

4.3.2. Prohibiciones en canales de comunicación

  • Envío por correo electrónico: está prohibido solicitar o aceptar el envío de copias de documentos de identidad a través de correo electrónico, al ser un canal que no garantiza la integridad ni la confidencialidad, aumentando el riesgo de suplantación de identidad en caso de interceptación.
  • Mensajería instantánea: no se deben utilizar aplicaciones de mensajería para la recepción de pruebas de identidad que contengan imágenes de documentos oficiales.

4.3.3. Prohibiciones metodológicas y técnicas

  • Uso de MiDNI en remoto: no se permite el uso de la aplicación oficial MiDNI para trámites a distancia; su validez legal queda restringida exclusivamente a la verificación presencial mediante la exhibición del código dinámico ante el verificador.
  • Captura durante videoconferencia: en los procesos de verificación por video, está prohibido realizar capturas de pantalla o grabaciones del documento de identidad que muestra el titular.
  • Identificación mediante imagen estática: se prohíbe dar por válida la identidad de una persona basándose únicamente en la recepción de una foto del titular sosteniendo su DNI (selfie con documento), por considerarse un método de alto riesgo y poco fiable.

5. ¿Es legal ofrecer “opcionalmente” escanear el DNI para extraer datos?

No. Aunque se presente como voluntario o como un servicio adicional, escanear el DNI implica tratar datos excesivos y vulnera el principio de minimización del RGPD (art. 5.1.c), ya que se capturan elementos innecesarios para la finalidad (fotografía, firma, dirección, filiación).

El consentimiento no convierte en lícito un tratamiento desproporcionado, porque la normativa exige que sea necesario y proporcional, incluso con consentimiento. Además, la obligación de bloquear la imagen durante el plazo de prescripción (art. 32 LOPDGDD) prolonga el riesgo en caso de brecha.

El escaneo tampoco acredita identidad fehaciente y existen métodos menos intrusivos y más seguros, como la validación presencial, sistemas electrónicos con garantías o certificados con CSV. Por ello, esta práctica se considera ilícita y ha sido objeto de sanciones por la AEPD.

Recordemos que no está permitido siquiera escanear, como regla general, por lo que no es válida la excusa de «se borran inmediatamente» los demás datos.

6. ¿Qué hago si ya entregué la copia?

Puedes ejercer el derecho de limitación para que la empresa bloquee el tratamiento y conserve la evidencia hasta que la AEPD resuelva.

Cumplir ayuda a evitar sanciones (70.000 € en PS/00389/2024, 5.000 € en PS/00570/2023), mejorar la protección de la privacidad, reducir riesgos y reforzar la confianza. Es seguridad para el negocio.

7. Anexo

¿Y a ti? ¿Te han pedido copias del DNI

Comparte:

DNI no real

International & National (Spain)
Certified Compliance Professional
(since March 2026)

Contacta con Pablo

← Volver

Gracias por tu respuesta. ✨

Pablo te atenderá. Puedes ejercer tus derechos como se indica en Privacidad.

Suscríbete al blog

Tus datos serán tratados por Pablo. Puedes darte de baja en cada envío y como se indica en el aviso de privacidad.

∝ Suscribirse al Feed (RSS)