La preocupación por la privacidad y el uso adecuado de la información personal viene de lejos. Hace décadas, cuando todo era papel y bolígrafos, los datos personales se guardaban en archivadores físicos, o si alguien necesitaba consultar alguna información sobre ti, tenía que acudir a buscarla. Era un sistema lento, pero tenía una ventaja: era difícil copiar y compartir esa información de forma masiva.
En la era digital, los datos personales pueden copiarse, almacenarse y compartirse en cuestión de segundos, esto que, en principio, aporta numerosas ventajas, tiene también sus riesgos: ¿quién controla esa información? ¿Para qué se usa? ¿es realmente necesaria tanta información?
En un mundo en el que se mercadea con la información, los datos personales son el nuevo petróleo. Es fácil que las empresas y organizaciones se pasen de la raya, recogiendo más información de la necesaria, lo que puede tener serios riesgos para las personas, pero también para la organización que los trata.
Aquí es donde entra en juego el principio de minimización de datos, un principio que se recoge en el Reglamento General de Protección de Datos RGPD en cuyo artículo 5.1c) se determina que los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. Esto significa que no se pueden solicitar más datos de los imprescindibles para una finalidad concreta y legítima. La carga de la prueba recae en el responsable del tratamiento, quien debe justificar por qué un dato es necesario.
Uno de los ejemplos más claros de cómo se ha vulnerado este principio es la práctica de pedir fotocopias del DNI para todo. ¿Quieres alquilar un piso, comprar un móvil, ejercer un derecho? Para todo ello te pedían fotocopia del DNI.
Durante años, esta práctica fue la norma, como si el DNI fuera la llave maestra que lo justificaba todo. Pero la Agencia Española de Protección de Datos (AEPD) ha puesto coto a dicha práctica resolviendo varios casos en los que la solicitud de la fotocopia del DNI ha sido considerada excesiva y contraria al principio de minimización de datos. En los últimos años hay varios pronunciamientos de la AEPD por medio de los cuales se sanciona al responsable del tratamiento al entender que solicitar fotocopia del DNI al interesado es desproporcionado, a modo de ejemplo podemos citar los siguientes:: Expediente PS/00003/2021, Expediente N.º: PS/00413/2021 , N.o: EXP202302620 , PS/524/2022 o PS/00499/2022 entre otras muchas.
Según la AEPD, pedir una copia completa del DNI cuando no es estrictamente necesaria, vulnera el RGPD, ya que implica un tratamiento de información personal altamente sensible que puede ser sustituido por alternativas menos intrusivas. Hay que ser muy conscientes de que la práctica de facilitar fotocopia del DNI supone un riesgo importante de que se produzca una usurpación de identidad.
Otra de las practicas recurrentes en empresas y organizaciones es la de solicitar el género o sexo de una persona en los formularios de alta. Es habitual dicha práctica como una forma de dirigirse al usuario. Pues bien, una reciente Sentencia del TJUE 9 de enero de 2025 (C-394/23) viene a incidir en dicho principio. Según el TJUE, solicitar información sobre el género de los clientes sin una justificación clara vulnera el principio de minimización de datos del RGPD.
Esta decisión del TJUE surge a raíz de una cuestión prejudicial presentada por el Consejo de Estado francés, en relación con la empresa de ferrocarril SNCF, la cual obligaba a sus clientes a elegir un término de cortesía (“señor” o “señora”) para completar la compra de billetes. El Tribunal consideró que esta práctica no era indispensable y que SNCF podría optar por fórmulas de comunicación más inclusivas. El fallo establece que la identidad de género de un cliente no es un dato necesario para realizar una transacción comercial.
El principio de minimización de datos no es solo una obligación legal; es una forma de pensar. Es entender que, en el tratamiento de datos personales, “menos es más”. Que no se trata de recoger toda la información posible, sino de recoger solo la necesaria. Y que, en muchos casos, una copia del DNI no es la solución, sino el problema.
