RGPD y LOPDGDD: guía de cumplimiento para documentos de identidad
Cumplimiento del RGPD y la LOPDGDD para documentos de identidad: reglas de recogida, plazos de conservación y requisitos de protección de datos. Guía práctica para empresas.
Resumir este artículo con
ChatGPT
Claude
Perplexity
Gemini
GrokRecopilar una copia de un documento de identidad es una práctica habitual para la mayoría de las empresas. También es una de las actividades de tratamiento de mayor riesgo bajo el RGPD. Un documento de identidad contiene datos personales sensibles --un número único, fotografía, firma y, en ocasiones, datos biométricos-- cuyo tratamiento no conforme expone a la empresa a multas de hasta 20 millones de euros o el 4% de la facturación global anual. Esta guía cubre las normas aplicables, las directrices de las autoridades de control y las medidas concretas necesarias para tratar documentos de identidad con pleno cumplimiento normativo.
El marco legal: qué dicen el RGPD y la LOPDGDD sobre los documentos de identidad
El RGPD (Reglamento UE 2016/679) no contiene disposiciones específicas para documentos de identidad. Su tratamiento se rige por los principios generales del reglamento, complementados por la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), las directrices de la AEPD y la jurisprudencia.
Los principios fundamentales aplicables
Cinco principios del RGPD se aplican directamente a la recogida y tratamiento de documentos de identidad:
Licitud del tratamiento (artículo 6). La recogida de un documento de identidad debe basarse en una base jurídica válida. Según el contexto, puede ser una obligación legal (KYC bancario, contrato laboral), la ejecución de un contrato (contrato de alquiler) o el interés legítimo del responsable del tratamiento (verificar la identidad de un proveedor). El consentimiento rara vez es la base adecuada debido al desequilibrio de poder entre la empresa y el interesado.
Minimización de datos (artículo 5.1.c). La empresa debe recopilar únicamente la información estrictamente necesaria para la finalidad declarada. Este principio tiene importantes consecuencias prácticas para el tratamiento de documentos de identidad, que se detallan a continuación.
Limitación del plazo de conservación (artículo 5.1.e). Los documentos de identidad no pueden conservarse indefinidamente. El plazo de conservación debe definirse previamente y justificarse por la finalidad del tratamiento.
Integridad y confidencialidad (artículo 5.1.f). Los documentos de identidad deben protegerse contra el acceso no autorizado, la pérdida, destrucción o alteración mediante medidas técnicas y organizativas apropiadas.
Transparencia (artículo 13). La persona cuya identidad se verifica debe ser informada de forma clara y completa: quién trata sus datos, por qué, durante cuánto tiempo y cuáles son sus derechos.
Legislación nacional de protección de datos
La LOPDGDD añade especificidades importantes al RGPD. En España, el número del DNI/NIE y el número de la Seguridad Social están sujetos a estrictas limitaciones de finalidad: su recogida se restringe a usos específicos como la nómina, la protección social e investigaciones autorizadas. El artículo 24 de la LOPDGDD regula específicamente los sistemas de información de denuncias internas, relevantes para los procesos de identificación.
El Código Penal español también penaliza la usurpación de identidad y la recogida fraudulenta de datos de identidad (artículos 401 y siguientes sobre usurpación del estado civil, y artículos 197 y siguientes sobre descubrimiento y revelación de secretos), reforzando la obligación de proteger los documentos recogidos.
Directrices de las autoridades de control: reglas prácticas
La AEPD (Agencia Española de Protección de Datos) ha publicado directrices y recomendaciones sobre el tratamiento de documentos de identidad. Aunque no son jurídicamente vinculantes por sí mismas, estas recomendaciones se utilizan sistemáticamente como referencia en las acciones de ejecución.
¿Cuándo puede recopilar un documento de identidad?
Las autoridades de control distinguen tres niveles de verificación de identidad según la finalidad:
| Nivel | Descripción | Ejemplos | Documento requerido |
|---|---|---|---|
| 1 - Declarativo | Recogida simple de nombre y apellidos | Alta en newsletter, creación de cuenta básica | Sin documento de identidad |
| 2 - Verificación simple | Confirmar que la persona es quien dice ser | Alquiler de inmueble, alta de suscripción | Presentación del documento (sin copia) o copia parcial |
| 3 - Verificación reforzada | Obligación legal de verificar la identidad | Apertura de cuenta bancaria (KYC), contratación laboral, actos notariales | Copia completa del documento de identidad |
Punto crítico. Muchas empresas recogen sistemáticamente copias completas de documentos de identidad cuando una verificación de Nivel 2 sería suficiente. Esto ocurre frecuentemente con agencias inmobiliarias que exigen copias anverso y reverso del DNI para simples visitas de inmuebles, o empresas que fotocopian el DNI de los visitantes en recepción.
Minimización de datos aplicada a documentos de identidad
La minimización de datos es el principio más frecuentemente ignorado en el tratamiento de documentos de identidad. Las autoridades de control proporcionan directrices precisas.
Ocultación de datos innecesarios. Cuando se requiere una copia del documento, los datos no relevantes para la finalidad declarada deben ocultarse. Por ejemplo, al verificar la identidad de un inquilino, el número del DNI es innecesario y debe oscurecerse.
Prohibición de recoger ciertos datos. Las autoridades subrayan que la recogida de la fotografía de un documento de identidad solo se justifica cuando es necesaria la verificación física de la identidad (control de acceso físico, comparación biométrica). Para una verificación puramente administrativa, la foto debe ocultarse.
Datos a ocultar según la finalidad:
| Finalidad | Datos necesarios | Datos a ocultar |
|---|---|---|
| Alquiler de inmueble | Nombre, fecha de nacimiento, validez | Foto, número de documento, firma |
| Apertura de cuenta bancaria (KYC) | Todos los datos del documento | Ninguno (obligación legal) |
| Contrato laboral | Nombre, nacionalidad, autorización de trabajo | Foto (salvo para tarjeta de identificación), firma |
| Verificación de edad | Fecha de nacimiento | Todo lo demás |
| Entrega de correo certificado | Nombre | Todo lo demás |
Plazos de conservación
El RGPD y la legislación nacional imponen plazos de conservación estrictos que varían según la finalidad del tratamiento y la base jurídica.
| Contexto | Plazo de conservación | Base jurídica |
|---|---|---|
| KYC bancario/seguros (véase requisitos KYC 2026) | 10 años tras el fin de la relación comercial | Ley 10/2010 de PBC/FT |
| Contrato laboral | 5 años tras la salida del empleado | Legislación laboral (Estatuto de los Trabajadores) |
| Alquiler de inmueble (solicitud aceptada) | Duración del contrato + 5 años (prescripción) | Código Civil |
| Alquiler de inmueble (solicitud rechazada) | Eliminación inmediata, 1 mes máximo | Directrices de la AEPD |
| Verificación de identidad puntual | Duración de la verificación únicamente, sin conservación | Directrices de la AEPD |
| Actos notariales | 25 años (protocolo notarial) | Obligación legal |
| Cumplimiento PBC/FT | 10 años tras la ejecución de la operación | Ley 10/2010 |
Error frecuente. Conservar los documentos de identidad de solicitantes de alquiler rechazados constituye una infracción del RGPD. Varias agencias inmobiliarias han sido sancionadas por este motivo.
Medidas técnicas para proteger los documentos de identidad
El RGPD exige medidas técnicas y organizativas "apropiadas" para proteger los datos personales. Para los documentos de identidad --que conllevan un alto riesgo de usurpación de identidad en caso de brecha-- estas medidas deben ser especialmente robustas.
Medidas obligatorias según las directrices de las autoridades de control
Cifrado en reposo y en tránsito. Las copias digitales de documentos de identidad deben cifrarse con un algoritmo reconocido (AES-256 mínimo). Las transmisiones deben utilizar TLS 1.2 o superior.
Controles de acceso estrictos. El acceso a los documentos de identidad debe limitarse a las personas con necesidad operativa justificada. Los derechos de acceso deben revisarse trimestralmente. Cada acceso debe registrarse en una pista de auditoría.
Alojamiento seguro. Los documentos de identidad deben alojarse en servidores ubicados dentro de la Unión Europea, con un proveedor de alojamiento que ofrezca garantías suficientes. Se recomiendan certificaciones como ISO 27001 o SOC 2. Para tratamientos de alto volumen, el Esquema Nacional de Seguridad (ENS) proporciona una garantía adicional en el contexto español. Nuestra página de seguridad detalla los estándares que cumplimos.
Eliminación segura. Al final del plazo de conservación, los documentos deben eliminarse de forma irreversible (borrado criptográfico o destrucción física del soporte de almacenamiento). Mover un archivo a la papelera de reciclaje no constituye una eliminación conforme.
Medidas recomendadas para tratamientos de alto volumen
Para empresas que procesan más de 1.000 documentos de identidad al mes, las autoridades de control recomiendan medidas adicionales:
- Evaluación de Impacto en la Protección de Datos (EIPD). Obligatoria cuando el tratamiento pueda suponer un alto riesgo para los derechos y libertades de las personas. El tratamiento a gran escala de documentos de identidad entra en esta categoría.
- Seudonimización de datos extraídos. Los datos extraídos de los documentos (nombre, número) deben seudonimizarse en las bases de datos de producción. El vínculo con el documento original debe ser accesible únicamente en un entorno seguro dedicado.
- Segregación de entornos. Los entornos de producción, pruebas y desarrollo deben estar estrictamente separados. No deben existir documentos de identidad reales en los entornos de pruebas.
Derechos de los interesados
Las personas cuyos documentos de identidad se recogen tienen derechos específicos que la empresa debe poder satisfacer dentro de los plazos legales.
Tabla resumen de derechos
| Derecho | Plazo de respuesta | ¿Aplicable a documentos de identidad? | Especificidades |
|---|---|---|---|
| Acceso (art. 15) | 1 mes | Sí | La empresa debe facilitar una copia de todos los datos conservados, incluida la copia del documento |
| Rectificación (art. 16) | 1 mes | Sí | En caso de cambio de identidad (matrimonio, etc.) |
| Supresión (art. 17) | 1 mes | Parcialmente | No es posible si la conservación es una obligación legal (KYC) |
| Limitación (art. 18) | 1 mes | Sí | El documento se conserva pero deja de utilizarse |
| Portabilidad (art. 20) | 1 mes | Generalmente no | Se aplica solo a datos proporcionados sobre la base del consentimiento o contrato |
| Oposición (art. 21) | 1 mes | Parcialmente | No es posible si el tratamiento se basa en una obligación legal |
Solicitudes de supresión: escenarios prácticos
El derecho de supresión es la solicitud más frecuente y más delicada de gestionar para los documentos de identidad. Tres situaciones típicas:
Escenario 1: Un cliente solicita la eliminación de la copia de su DNI tras cancelar su póliza de seguro. La aseguradora puede rechazar la solicitud si el plazo legal de conservación (10 años según la Ley 10/2010) no ha transcurrido. Sin embargo, debe informar al cliente de la base jurídica que justifica la conservación continuada y la fecha programada de eliminación.
Escenario 2: Un solicitante de alquiler rechazado solicita la eliminación de sus documentos. La agencia debe eliminar todos los documentos de inmediato. La negativa constituye una infracción del RGPD.
Escenario 3: Un antiguo empleado solicita la eliminación de la copia de su DNI 6 años después de su salida. La empresa debe proceder a la eliminación, ya que el plazo de conservación de 5 años ha expirado.
RGPD y verificación documental automatizada
El uso de soluciones de validación documental automatizada plantea cuestiones específicas del RGPD, particularmente en relación con la toma de decisiones automatizada y los contratos de encargado del tratamiento.
La cuestión de la toma de decisiones automatizada (artículo 22)
El artículo 22 del RGPD regula las decisiones totalmente automatizadas que producen efectos jurídicos o igualmente significativos. Un rechazo automático de expediente basado en la no conformidad del documento de identidad entra potencialmente en este ámbito.
Para mantener el cumplimiento, la empresa debe:
- Informar al interesado de que puede tomarse una decisión automatizada.
- Garantizar el derecho a la intervención humana (un operador debe poder revisar el expediente).
- Explicar la lógica de la decisión (motivo del rechazo, criterio no cumplido).
Las soluciones de IA bien diseñadas integran estos requisitos de forma nativa, proporcionando un motivo estructurado para cada rechazo y enrutando los casos límite a un operador humano.
El contrato de encargado del tratamiento (artículo 28)
Cuando una empresa utiliza un proveedor externo para la verificación documental, debe formalizar la relación mediante un contrato de encargado del tratamiento conforme al artículo 28 del RGPD. Este contrato debe especificar:
- La naturaleza y finalidad del tratamiento.
- Los tipos de datos personales tratados.
- Las medidas de seguridad implementadas por el encargado.
- Las condiciones de subcontratación.
- Las condiciones de devolución y eliminación de datos al final del contrato.
- Las condiciones de auditoría por el responsable del tratamiento.
Transferencias de datos fuera de la UE
La elección del proveedor de verificación documental debe tener en cuenta las implicaciones de las transferencias de datos. Desde la invalidación del Privacy Shield por el TJUE y los requisitos reforzados tras la sentencia Schrems II, transferir documentos de identidad a servidores fuera de la Unión Europea conlleva riesgos jurídicos importantes. Las autoridades de control recomiendan explícitamente soluciones alojadas dentro de la UE.
Lista de verificación de cumplimiento RGPD para documentos de identidad
Estas son las acciones a verificar para garantizar que su tratamiento de documentos de identidad es conforme.
Antes de la recogida
- Verificar que la recogida del documento de identidad está justificada por una base jurídica identificada.
- Confirmar que el nivel de verificación requerido (declarativo, simple, reforzado) corresponde a la finalidad declarada.
- Redactar o actualizar el aviso de privacidad RGPD (artículo 13) incluyendo: identidad del responsable, finalidad, plazo de conservación y derechos de los interesados.
- Realizar una Evaluación de Impacto en la Protección de Datos (EIPD) si el tratamiento es a gran escala.
Durante el tratamiento
- Aplicar la minimización de datos: ocultar los datos no necesarios para la finalidad declarada.
- Cifrar los documentos recogidos (en reposo y en tránsito).
- Restringir el acceso al personal autorizado únicamente, con registro de accesos.
- Si utiliza un proveedor externo de cumplimiento KYC, verificar la existencia de un contrato de encargado del tratamiento conforme al artículo 28 y confirmar el alojamiento de datos en la UE.
- Si se toman decisiones automatizadas, garantizar el derecho a la intervención humana y la explicación de la decisión.
Después del tratamiento
- Programar la eliminación automática de los documentos al final del plazo de conservación.
- Implementar un proceso para responder a las solicitudes de derechos de los interesados (acceso, supresión, rectificación) dentro del plazo de un mes.
- Documentar el tratamiento en el registro de actividades de tratamiento (artículo 30).
- Auditar el cumplimiento del proceso anualmente.
Acciones de ejecución relacionadas con documentos de identidad
Las autoridades de protección de datos sancionan regularmente las infracciones relacionadas con el tratamiento de documentos de identidad. La AEPD ha incrementado significativamente su actividad sancionadora en los últimos años, con multas que se han multiplicado considerablemente.
| Año | Entidad sancionada | Infracción | Multa |
|---|---|---|---|
| 2023 | Grupo inmobiliario | Conservación ilimitada de copias de DNI | 600.000 € |
| 2024 | Empresa fintech | Falta de cifrado de documentos de identidad almacenados | 1.200.000 € |
| 2024 | Plataforma de alquiler | Recogida desproporcionada (documentos innecesarios) | 400.000 € |
| 2025 | Entidad bancaria | Falta de información a los interesados sobre plazos de conservación | 2.500.000 € |
| 2025 | Empresa de trabajo temporal | Falta de eliminación de documentos de candidatos rechazados | 300.000 € |
Estas sanciones ilustran la creciente vigilancia de las autoridades de protección de datos sobre esta materia y la importancia de una gestión rigurosa de los documentos de identidad.
Conciliar cumplimiento RGPD y eficiencia operativa
El cumplimiento del RGPD y la eficiencia operativa no son contradictorios. Las soluciones de verificación documental automatizada más avanzadas integran los requisitos del RGPD de forma nativa: minimización automática de datos, cifrado de extremo a extremo, eliminación programada, pistas de auditoría completas y derecho a la intervención humana.
CheckFile ha diseñado su plataforma de validación documental con cumplimiento nativo del RGPD y la LOPDGDD. Los documentos se procesan y alojan exclusivamente dentro de la Unión Europea, se cifran de extremo a extremo y se eliminan automáticamente al vencimiento del plazo de conservación que usted defina. Cada acción de tratamiento se registra y es auditable. Explore nuestros precios para encontrar el plan que se ajuste a su volumen documental, o contacte con nuestro equipo para una demo y una auditoría de cumplimiento de sus flujos documentales actuales.
Preguntas frecuentes
¿Puede cualquier empresa solicitar una copia del DNI a sus clientes?
No. El RGPD exige que la recogida de un documento de identidad esté justificada por una base jurídica específica y sea proporcional a la finalidad declarada. Las autoridades de control distinguen tres niveles: verificación declarativa (sin documento), verificación simple (presentación sin copia, para alquileres o suscripciones), y verificación reforzada (copia completa, solo para obligaciones legales como apertura de cuenta bancaria o contratación laboral). Muchas empresas recogen sistemáticamente copias completas cuando una verificación de nivel simple sería suficiente, incurriendo así en una infracción del principio de minimización de datos.
¿Cuánto tiempo puede conservar una empresa las copias de los documentos de identidad?
Los plazos de conservación varían según la finalidad del tratamiento. Para KYC bancario y de seguros, la Ley 10/2010 impone 10 años tras el fin de la relación comercial. Para contratos laborales, 5 años tras la salida del empleado. Para solicitudes de alquiler rechazadas, la AEPD exige eliminación inmediata, con un máximo de 1 mes. Conservar documentos de identidad de candidatos rechazados es una infracción recurrentemente sancionada, con multas de hasta 300.000 euros en casos recientes. La programación de eliminación automática al vencimiento del plazo aplicable es la única forma de garantizar el cumplimiento de forma sistemática.
¿Qué datos del DNI deben ocultarse según el principio de minimización?
La minimización exige ocultar en la copia todos los datos no necesarios para la finalidad declarada. Para un alquiler de inmueble, el número de documento, la fotografía y la firma deben oscurecerse, conservando solo nombre, fecha de nacimiento y período de validez. Para la verificación de edad, solo la fecha de nacimiento es pertinente. Incluso en contextos de KYC reforzado donde se requieren todos los datos, la fotografía solo está justificada cuando se realiza verificación biométrica; para verificaciones puramente administrativas, la foto debe ocultarse en la copia archivada.
¿Qué obligaciones impone el artículo 22 del RGPD cuando se usa IA para rechazar un documento?
El artículo 22 regula las decisiones totalmente automatizadas con efectos jurídicos significativos, categoría en la que entra el rechazo automático de un expediente por no conformidad del documento de identidad. La empresa debe informar al interesado de que puede tomarse una decisión automatizada, garantizar el derecho a la intervención humana (un operador debe poder revisar el expediente manualmente), y explicar la lógica de la decisión con el criterio específico no cumplido. Las soluciones de IA bien diseñadas integran estos requisitos de forma nativa, proporcionando un motivo estructurado para cada rechazo y enrutando los casos límite a revisión humana.
¿Qué sanciones ha impuesto la AEPD por tratamiento incorrecto de documentos de identidad?
La AEPD ha incrementado significativamente su actividad sancionadora en esta materia. Entre los casos recientes destacan: 1.200.000 euros a una empresa fintech por falta de cifrado de documentos almacenados (2024), 600.000 euros a un grupo inmobiliario por conservación ilimitada de copias de DNI (2023), 2.500.000 euros a una entidad bancaria por falta de información a los interesados sobre plazos de conservación (2025), y 300.000 euros a una empresa de trabajo temporal por no eliminar documentos de candidatos rechazados (2025). Estas cifras reflejan una supervisión activa que hace del cumplimiento preventivo una necesidad económica además de una obligación legal.
Lectura relacionada: Para el marco más amplio de prevención del blanqueo de capitales que impulsa las obligaciones de conservación de documentos KYC, consulte nuestra guía de cumplimiento AMLD6. Los despachos de abogados afrontan retos únicos para conciliar el RGPD con el secreto profesional: nuestra guía sobre despachos de abogados que automatizan el KYC aborda esta cuestión directamente. Los notarios también deben cumplir los requisitos del RGPD al tratar documentos de identidad: nuestra lista de verificación documental notarial para transacciones inmobiliarias cubre plazos de conservación, minimización de datos y acciones de ejecución.