Pedir una foto del DNI por las dos caras se ha convertido en un gesto casi automático en altas online, cambios de titularidad, reclamaciones o simples verificaciones de cliente. Para muchas empresas, esa imagen funciona como un “cinturón de seguridad” frente al fraude: si mañana hay un conflicto, la copia del documento “demuestra” quién contrató.
El problema es que esa seguridad es, en gran parte, una ilusión. Y no solo por una cuestión técnica, sino también jurídica. La Agencia Española de Protección de Datos (AEPD) lleva tiempo insistiendo en una idea incómoda para el tejido empresarial: mostrar un DNI puede servir para identificar, pero copiarlo, almacenarlo o pedirlo sin necesidad real suele ser un exceso de datos que aumenta el riesgo y complica la defensa del tratamiento en caso de inspección o incidente.
Tener una copia no equivale a haber verificado a la persona
Una copia del DNI —sobre todo si llega por correo electrónico, mensajería o un formulario sin garantías— demuestra, como mucho, que alguien tuvo acceso a esa imagen. En la práctica, no garantiza que quien envió la foto sea el titular, ni que haya habido una comprobación robusta. En la economía del fraude digital, las copias de documentos circulan con facilidad: filtraciones, compras en mercados ilícitos, capturas de pantalla, reutilización de imágenes enviadas a otras empresas, o simples engaños a terceros.
La AEPD ha recordado en distintos contextos que recabar una copia completa del documento no suele ser necesario y que, cuando la finalidad es la identificación, existen vías menos intrusivas y más coherentes con la minimización de datos. Ese principio —clave en el RGPD— exige tratar solo los datos adecuados y pertinentes para lo que se pretende hacer.
El riesgo legal: “minimización” y “base jurídica”, las dos preguntas que lo cambian todo
En una investigación o reclamación, la pregunta no suele ser “¿la empresa pidió el DNI?”, sino “¿era imprescindible pedirlo así?” y “¿qué base jurídica lo amparaba?”.
- Minimización de datos: el RGPD obliga a limitar el tratamiento a lo necesario. Si la finalidad es verificar identidad, guardar una copia íntegra (con foto, firma, número, soportes, CAN, MRZ, etc.) puede considerarse desproporcionado en muchos escenarios, especialmente cuando existen alternativas de verificación o cuando basta con anotar ciertos datos.
- Licitud del tratamiento: incluso si la empresa alega “seguridad” o “prevención de fraude”, eso no convierte automáticamente cualquier método en válido. Hay que justificar por qué esa medida concreta era necesaria y proporcional, y cómo se minimizó el impacto.
Aquí aparece una paradoja que muchas organizaciones descubren tarde: cuantos más datos sensibles acumulan “por si acaso”, más superficie de riesgo crean. Y, si ocurre un incidente, esa decisión se vuelve en su contra.
Cuando la práctica se normaliza, el peligro crece: el “cajón” de copias de DNI
El problema no suele estar en un caso puntual, sino en el sistema: bandejas de entrada con adjuntos, carpetas compartidas con PDFs, CRMs con imágenes del DNI subidas sin cifrado real, tickets de soporte con documentos anexados, o proveedores externos gestionando esas copias sin controles sólidos.
En ese punto, la cuestión ya no es solo la legitimidad de pedir el documento: es si la empresa tiene gobernanza, procesos, control de accesos, trazabilidad, plazos de conservación y gestión de derechos. Dicho de forma simple: si se guarda documentación de identidad, hay que operar como si se custodiara material de alto riesgo. Porque lo es.
La propia AEPD, en comunicaciones recientes vinculadas al sector turístico y al registro de viajeros, ha insistido en que no es lo mismo verificar visualmente un documento que quedárselo en forma de copia, y que conservarlo implica un tratamiento adicional con riesgos claros, incluida la suplantación de identidad. Ese enfoque, aunque se haya popularizado por el debate de hoteles, refleja una lógica aplicable a muchas verificaciones “por costumbre”.
“Pero si me lo envían ellos…”: consentimiento no es carta blanca
Otro argumento habitual es que “el cliente lo envía voluntariamente”. Sin embargo, el hecho de que alguien lo envíe no convierte el tratamiento en necesario ni proporcional, ni elimina la obligación de informar bien, limitar el uso, controlar la conservación y proteger el dato.
Además, cuando el canal es inseguro (correo, mensajería, adjuntos en texto plano), la empresa se queda con un problema adicional: ha incentivado la transmisión de un dato muy sensible por vías frágiles, algo difícil de defender si hay filtración o acceso indebido.
Alternativas más sólidas (y normalmente más defendibles)
Si el objetivo real es reducir fraude, muchas organizaciones logran mejores resultados combinando controles que sí verifican continuidad de identidad y control del canal, por ejemplo:
- Verificación por posesión de canal (código a teléfono, app, correo verificado con medidas anti-suplantación).
- Autenticación reforzada (MFA) y pruebas de control de cuenta antes de operaciones sensibles.
- Pago o validación bancaria en procesos donde tenga sentido (sin almacenar datos innecesarios).
- Firma electrónica o mecanismos equivalentes cuando el riesgo lo requiere (y cuando la operativa lo justifica).
- Controles antifraude basados en señales (riesgo de dispositivo, patrones, geolocalización aproximada, velocidad de alta, coincidencias anómalas), con evaluación de impacto si aplica.
Y si, por obligación normativa o por un caso excepcional, una empresa concluye que necesita una copia, el enfoque cambia: reducir al máximo lo capturado (ocultar datos no necesarios), usar un canal seguro, limitar accesos, registrar el motivo, y establecer un plazo de borrado claro.
Un aviso para empresas: la copia del DNI no suele ganar un juicio, pero sí puede complicarlo
En un conflicto serio, la copia del DNI rara vez resuelve por sí sola la autoría de una contratación online. Lo que pesa es el conjunto: trazas, autenticación, pruebas de control del canal, comunicaciones, y coherencia del proceso.
En cambio, guardar copias sin justificación sólida suele traer dos consecuencias previsibles: riesgo de sanción y riesgo reputacional si hay incidente. En un contexto de RGPD, ambos pueden salir muy caros.
Preguntas frecuentes
¿Es legal pedir una copia del DNI para verificar un cliente en una contratación online?
Depende del caso y de la necesidad real. La AEPD ha reiterado que, con carácter general, no debería solicitarse una copia completa del DNI si no es imprescindible, y que deben aplicarse medidas de minimización y proporcionalidad.
¿Qué puedo hacer si una empresa me exige foto del DNI por las dos caras para una gestión simple?
La persona afectada puede pedir que expliquen la finalidad y la base jurídica, y proponer alternativas menos intrusivas. Si la exigencia parece desproporcionada, puede presentarse una reclamación ante la autoridad de protección de datos.
¿Qué alternativas hay para verificar identidad sin almacenar el DNI?
Autenticación reforzada (MFA), verificación del canal (códigos), firma electrónica en casos justificados, y controles antifraude basados en señales y trazabilidad suelen ser más útiles y menos invasivos que almacenar copias del documento.
¿Qué riesgos de seguridad implica guardar copias de DNI en un CRM o en tickets de soporte?
Aumenta el impacto de cualquier brecha (suplantación de identidad, fraude documental) y exige controles estrictos: accesos mínimos, cifrado, trazabilidad, plazos de borrado y supervisión de proveedores.
