La Agencia Española de Protección de Datos (AEPD) ha publicado la resolución del procedimiento sancionador PS/00052/2024, que afecta al Consejo General del Notariado (CGN) por el tratamiento de copias de documentos de identidad en el Portal Notarial del Ciudadano. El caso se origina tras la reclamación de un usuario que consideró excesiva la exigencia de aportar una fotografía de su DNI para poder acceder a determinados servicios notariales online, alegando que la identificación mediante firma electrónica debería ser suficiente.
Hechos y contexto
- Reclamación inicial: El reclamante denunció que, para registrarse y utilizar servicios del Portal Notarial del Ciudadano, se exigía la carga de imágenes del DNI por ambas caras, lo que consideraba innecesario y desproporcionado.
- Respuesta del CGN: El Consejo General del Notariado defendió la necesidad de esta medida, argumentando que responde a obligaciones legales en materia notarial y de prevención del blanqueo de capitales, y que el portal cumple con los estándares de seguridad exigidos.
- Investigación de la AEPD: La Agencia comprobó que para acceder a servicios como constitución de sociedades, gestión de copias, legitimación de firma y testamentos, era obligatorio subir la copia del DNI. Además, detectó que la política de privacidad no informaba adecuadamente sobre la finalidad y la base legal de la conservación de estos documentos.
Infracciones detectadas
La AEPD concluye que el CGN incurrió en tres infracciones principales del Reglamento General de Protección de Datos (RGPD):
- Falta de base legal adecuada (art. 6.1 RGPD): El CGN no contaba con una base de legitimación suficiente para conservar copias de los DNIs de los usuarios, ya que la obligación de conservación recae únicamente en los notarios y solo en supuestos específicos relacionados con la prevención del blanqueo de capitales, no en el propio Consejo General del Notariado.
- Deficiencias en la información al usuario (art. 13 RGPD): La política de privacidad del portal no informaba de forma clara y específica sobre la finalidad de la recogida y conservación de las copias del DNI, ni sobre la posibilidad de prestar o denegar el consentimiento para su tratamiento, incumpliendo así el deber de transparencia.
- Conflicto de intereses en la figura del Delegado de Protección de Datos (art. 38.6 RGPD): Se detectó que la Agencia Notarial de Certificación (ANCERT) ejercía simultáneamente como Delegado de Protección de Datos y como encargado del tratamiento (desarrollador y mantenedor del portal), lo que supone un conflicto de intereses y compromete la independencia exigida para la función de DPD.
Medidas y consecuencias
- Requerimiento de adaptación: La AEPD ordena al CGN que, en el plazo de seis meses desde la firmeza de la resolución, comunique las medidas adoptadas para ajustar el tratamiento de datos a la normativa, incluyendo la determinación de la base de legitimación para solicitar y conservar copias del DNI y la modificación de la información ofrecida a los usuarios.
- Cambio en la gestión del DPD: El CGN ha designado un nuevo Delegado de Protección de Datos, separado de las funciones de encargado del tratamiento, para evitar futuros conflictos de intereses.
- Publicación y comunicación: La resolución será comunicada al Defensor del Pueblo y publicada, conforme a la normativa aplicable.
