La Agencia Española de Protección de Datos (AEPD) ha resuelto el procedimiento sancionador PS-00535-2024 contra el responsable de una aplicación digital (***APP.1), imponiendo una multa de 600 euros por exigir la subida y almacenamiento de la copia del DNI para obtener la condición de “usuario verificado” en la plataforma. La resolución se ha producido tras el reconocimiento de responsabilidad y el pago voluntario de la sanción por parte del responsable de la app[1].

Los hechos

Un usuario denunció ante la AEPD que la app solicitaba, de forma indebida y sin justificación suficiente, la copia escaneada del DNI o documento equivalente para verificar la identidad de los usuarios. Además, el reclamante alegó que tras solicitar la baja no quedaba constancia de la destrucción de dicho documento ni del resto de información personal, y que no se respetaban los derechos de los menores, aunque no aportó pruebas sobre estos dos últimos extremos[1].

La investigación de la AEPD confirmó que la app exigía subir una copia del DNI para verificar la identidad y que esta imagen se almacenaba en la base de datos hasta que el administrador la revisaba, momento en el que se procedía a su eliminación. El responsable de la app argumentó que esta medida era necesaria para evitar fraudes y suplantaciones, pero reconoció que tras recibir la reclamación suspendió el proceso de verificación y contrató a un experto externo en protección de datos, quien concluyó que la recogida de copias escaneadas del DNI era intrusiva y no se ajustaba a la normativa vigente[1].

¿Por qué es sancionable?

La AEPD recuerda que el Reglamento General de Protección de Datos (RGPD) exige que el tratamiento de datos personales sea “adecuado, pertinente y limitado a lo necesario” (principio de minimización de datos, art. 5.1.c RGPD). En este caso, la Agencia considera que la finalidad de verificar la identidad puede lograrse por otros medios menos intrusivos, como servicios de verificación externos mediante API, sin necesidad de recabar y almacenar la copia del DNI[1].

La propia app reconoció estar valorando la externalización de este proceso a empresas especializadas para minimizar el impacto en la privacidad de los usuarios y cumplir estrictamente con el RGPD[1].

Sanción y medidas correctivas

La infracción se calificó como “muy grave” por vulnerar los principios básicos del tratamiento de datos personales (art. 5 RGPD), aunque la multa se fijó en 1.000 euros, reducida a 600 euros por reconocimiento de responsabilidad y pago voluntario dentro del plazo legal[1].

Además de la sanción económica, la AEPD ha ordenado a la app que, en el plazo de tres meses, adopte las medidas necesarias para garantizar el cumplimiento del principio de minimización de datos, eliminando la exigencia de la copia del DNI para el registro y verificación de usuarios, y acreditando ante la Agencia la adopción de estas medidas[1].

Este caso refuerza la importancia de aplicar el principio de minimización de datos en la verificación de identidad online. Las empresas deben buscar soluciones menos invasivas y justificar la necesidad de cada dato solicitado, evitando prácticas desproporcionadas que puedan vulnerar los derechos de los usuarios.

—[1] Resolución AEPD PS-00535-2024 (expediente EXP202409823)