¿Te pueden pedir foto del DNI?

Distintos servicios que contratamos y empresas o apps nos piden foto del documento nacional de identidad. ¿Qué tan legal es ello a la luz de la ley de protección de datos personales?

Es una práctica común que en Argentina necesitamos fotocopia del DNI para todo. Esto ya viene de hace rato. Las razones son varias. Como hay tanto truchie dando vueltas, la persona del otro lado quiere estar seguro de validar nuestra identidad, de acreditar que al menos se nos pidió el documento nacional de identidad.

Del otro lado, está nuestra foto, un dato sensible como el # de trámite (que habilita el acceso a Mi Argentina), domicilio y demás. Aunque este último al igual que nuestro nombre y DNI es un dato público (ver ley 25326 de protección de datos personales), de todas maneras, hay recaudos para almacenarlos en una base de datos privada.

Básicamente, la base de datos debe estar registrada ante la agencia nacional de protección de datos personales. Además, el dato que se pide debe ser pertinente con la finalidad. Es decir, necesario. A veces solo alcanza con verificar nuestra identidad, no hay necesidad de que guarden nuestra foto! Al respecto, es esclareceder el hilo de Twitter de Horacio Azzolin, lo transcribo.

Más abajo, también podés leer un caso en que se sancionó a un correo por haber pedido foto del DNI para la entrega de un paquete.

¿Entonces tengo que dar mi DNI?

Entonces, en la práctica, la persona puede negarse a dar copia de su DNI. Sí pueden pedir que lo exhibamos, que acreditemos nuestra identidad. Pero en principio no hay derecho a que almacenen copia o foto o fotocopia.

Hay algunas excepciones para bancos, por ejemplo, o compañías financieras, que necesitan tener respaldo de esa validación de identidad. Hay que ver caso por caso y, como se dijo, necesidad.

En cualquier caso, si se facilita copia del DNI, es un derecho taparle el número de trámite, un dato sensible con el que pueden acceder a Mi Argentina.

 

Comentarios sobre la foto de nuestro DNI

Este es el hilo de Twitter de Horacio Azzolin:

Con motivo de una nueva costumbre de pedirnos por cualquier cosa sacar foto de nuestro DNI (excluyamos a validación de identidad ante entidades financieras) publicamos este «hilo» que trajo mucho revuelo.

Es ENORME la cantidad de reportes que recibimos de cuentas falsas (bancos, billeteras digitales, etc.) abiertas a nombre de personas que antes compartieron fotos de su DNI por diversas razones (trámites, delivery, búsqueda laboral)

Se trata de una empresa de correos que sacó fotos del DNI para entregarle a una persona su pedido. Creo que muchos de nosotrxs hemos estado en esa situación al menos una vez en los últimos meses…

Obviamente, los datos estaban mal tratados, tanto que la empresa no estaba inscripta en el Registro Nacional de Bases de Datos (estoy sorpresa!) y, además, los que recolectaban estaban expuestos a consultas públicas

Se verificó además que la empresa de correo ponía al receptor del paquete en una situación difícil. O le sacaban la fotito al DNI, o se quedaba sin envío.

La empresa dijo que el ENACOM los habilitó a constatar identidad con la exhibición del DNI a distancia prudencial (por el tema del covid 19) Pero el problema era que la letra de los DNI es chiquita y se complicaba la cosa

Dice la resolución: «la constatación de la identidad debió quedar perfeccionada con la mera exhibición del DNI, sin que sea necesario complementarlo con ningún dato adicional, como puede ser la toma de una fotografía del rostro de la persona o… la toma de una fotografía de su DNI»

Señala, además, la obligación de estas empresas de destruir los datos cuando dejaron de ser necesarios, lo que ocurre en el caso de un courier cuando entregan la mercadería Face with rolling eyes

Es decir:

– la empresa nunca debería haber sacado la foto,
– si la sacaba debería haber estado inscripta en el registro de bases de datos (porque al sacarla y relacionarla con el envío estaba haciendo una base)
– y debería haberla destruido una vez que el paquete se entregó

Moraleja 1: estemos muy atentos/as a cuando nos piden tomar o que enviemos una foto del DNI (ya sabemos que decirle al cartero Winking face)

Moraleja 2: si no queda otra, tacha o tapá el número de trámite y el código de barras del DNI.

Moraleja 3: ante la duda denunciá en la Agencia de Protección de Datos Personales», concluye el dr. Azzolin.

Al respecto, Ale Daglio (@aleli_d) agregó este mensaje: «Hace poco me pasó. La persona del correo me pide le exhiba DNI y me pregunta si le puede sacar foto. Mi respuesta fue: «Y… la verdad que no». Tenía el speech preparado por si insistía, pero me respondió «bueno».

 

Resolución sobre mostrar el DNI o dejar fotocopia

CIUDAD DE BUENOS AIRES

Viernes 12 de Febrero de 2021

Referencia: EX-2020-47371793- -APN-DNPDP#AAIP. Res°Ind….L.

VISTO el EX-2020-47371793-APN-DNPDP#AAIP, las leyes Nros 25.326 y 27.275, los Decretos 1558 del 29 de noviembre de 2001, 746 del 25 de septiembre de 2017, 899 del 3 de noviembre de 2017 y 1012 del 16 de diciembre del 2020; la Resolución N° 30 del 14 de mayo del 2018 y la Disposición DNPDP N° 7 del 8 de noviembre del 2005 y sus modificatorias; y

CONSIDERANDO:

Que por las actuaciones mencionadas en el VISTO tramita una denuncia ante la Dirección Nacional de Protección de Datos Personales (en adelante, DNPDP) de la AGENCIA DE ACCESO A LA INFORMACIÓN PuBLICA, Autoridad de Aplicacion de la Ley N° 25.326, presentada por el Sr. X contra …. S.R.L., CUIT N’ 33-71545532-9, (en adelante, tambien «….»), con motivo de la presunta violación al deber de seguridad previsto en el articulo 9 de la Ley N° 25.326.

Que el Sr. X manifesto que el 14 de julio) de  2020 hizo una compra online en la tienda digital de NESTLE S.A., cuyo envio a su domicilio era realizado a través del servicio de entrega denominado «….», desarrollado per la empresa … S.R.L.

Que, en ocasión de realizar el seguimiento de su pedido, detectó que .XXX no implementó las medidas de resguardo adecuadas en el tratamiento de sus datos personales, dado que: (i) la plataforma consiste en una API pública, que permite visualizar y descargar datos de terceras personas, ingresado con números consecutivos de seguimiento de pedidos; (ii) sus datos se encontraban expuestos de manera, pública, pudiendo ser visualizados y descargados por terceras (nombre, telefono, número de pedido, domicilio, firma), incluyendo fotografías de su Documento Nacional de Identidad; y (iii) que dicha information continuaba accesible varies dias despues de haberse perfeccionado la entrega del producto.

Que, en este contexto, y a fin de corroborar si el accionar de la empresa denunciada se ajustaba a las previsiones dispuestas en la Ley N° 25.326, la DNPDP intimó a ENT,….. S.R.L., para que en el plazo de DIEZ (10) días hábiles de notificada y bajo apercibimiento de lo establecido en Disposición N° 7/05 y modificatorias: (i) Proceda a su inscripción en el Registro Nacional de Bases de Datos; (ii) Informe cuales son las medidas de seguridad y confidencialidad implementadas en su esquema de seguimiento de pedidos, de acuerdo con el articulo 9 de la Ley N° 25.326 y (iii) Informe la base legal por la cual la empresa almacena y conserva los datos personales de los titulares de datos, y en particular las imágenes de los DNI, en relación con el articulo 4 de la citada Ley.

Que el 4 de septiembre de 2020, … presentó su descargo por el cual (i) adjuntó documentación respecto a su inscripción el Registro Nacional de Bases de Datos; (ii) menciono las medidas de seguridad y de confidencialidad implementadas en el esquema de seguimiento de pedidos; (iii) advirtio que «la información objeto de tratamiento consta de nombre, apellido, número de documento y direcciçon del destinatario del envío a los efectos de confeccionar la guia de entrega y conforme para su firma por quien recibe dicho envio …» aclarando que «este tipo de datos son de público acceso irrestricto», de conformidad con la ley N° 25.326; y (iv) respecto a la base legal que lo habilitaría a tomar imágenes de DNI del denunciante para constatar su identidad, almacenarla y conservarla tiempo posterior a la entrega, la empresa invoco la Resolución ENACOM N° 304/20, que le seria aplicable en su catheter de prestador postal, la que -en el marco del COVID-19- simplifico la modalidad de constatación de identidad a «un procedimiento consistente en la exhibicion del DNI del receptor a una distancia prudencial».

Que en cuanto a este ultimo punto, XXXX justificó la solicitud de imagen de los DNIs de los receptores, basándose en «el diminuto tamaño de los caracteres impresos en los DNI», que haria practicamente imposible la constatacion de la identidad del receptor, y para evitar la responsabilidad de la empresa frente a eventuales reclamos por supuesta falta de entrega

Que el 23 de septiembre de 2020 la DNPDP procedió a labrar el Acta de Constatacion, mediante la cual (i) se advirtió que el comprobante acompañado por la empresa no acreditaba el cumplimiento de la totalidad del tramite del registro de sus bases de datos personales -puesto que se encontraba pendiente el segundo paso, de acuerdo con el articulo 1 de la Resolucion AAIP N° 132/18-; (ii) se indico que la explicación de la empresa respecto a las medidas de seguridad fue insuficiente, toda vez que no detallo ni acompañó prueba documental que acredite la implementación de las mismas, de acuerdo con el articulo 9° de la Ley N° 25.326; (iii) se aclaro que los datos de acceso pablico irrestricto gozan de protección bajo la Ley N° 25.326, haciendo notar que las categorías de datos personales contenidas en el DNI, no solo incluyen datos de acceso público irrestricto (como nombre o número de DNI), sino que ademas, incluye otras categorias de datos que poseen una proteccion reforzada como la huella dactilar y la fotografía del rostro alli incluida, o bien el codigo de tramite o «Tramite NVOfident.», dato solicitado por la Administraciún Pública Nacional, para validar la identidad de forma complementaria al DNI ante distintos organismos públicos; (iv) se corroboro que …. no dio cumplimiento al principio de informacion del articulo 6° de la Ley N° 25.326, ya que en su sitio web, no enuncio los derechos que preve dicha Ley para que los titulares tengan conocimiento de ellos y puedan ejercerlos; (v) se constato la ilicitud de tratamiento de acuerdo al articulo 5° de la Ley N° 25.326, toda vez que el consentimiento del denunciante no fue valid() por (a) la presion ejercida sobre el titular del dato —ya que el distribuidor de … le solicit() en su domicilio proceder a la toma de una fotografia de su DNI como condicion previa para que la entrega del producto ya abonado por el usuario pueda ser perfeccionada; (b) el titular del dato no fue informado por la empresa sobre el objeto y consecuencias de ese consentimiento en los Terminos y Condiciones y Politica de Privacidad de su sitio web, de acuerdo al articulo 6°, Ley N° 25.326; y (c) el ambito de aplicacion no result() razonable, de acuerdo al articulo 4 de la citada Ley, ya que, «los datos personales [..] deben ser ciertos, adecuados, pertinentes y no excesivos en relacion al ambito y finalidad para los que se hubieren obtenido».

Que, en particular, sobre la base legal invocada por … que lo habilitaria para recolectar, almacenar y conservar datos personales se consider() inadmisible el argumento de la empresa por el cual afirmaba que por la «distancia prudencial» no pudo constatar la identidad de los receptores debido a las «diminutas letras» de los DNIs porque: (a) podria haberlo hecho con medios mas razonables, como consultarle al receptor cual era su niunero de DNI y corroborarlo con el que tenia identificado la empresa; (b) podria haber utilizado la misma «distancia prudencial» que implemento para que los receptores firmen sus planillas; y y/o (c) podria haber acatado la normativa citada como base legal, respetando la distancia prudencial sin requerir firma ni foto del DNI del receptor. De este modo, ha quedado evidenciada tambien la falta del principio «proporcionalidad».

Que, en este punto, siguiendo la tendencia jurisprudencial relacionada a la autorizacion del use de la imagen y su interpretacion restrictiva, como regla general, la constatacion de la identidad debio quedar perfeccionada con la mera exhibici6n del DNI, sin que sea necesario complementarlo con ningim dato adicional, como puede ser la toma de una fotografia del rostro de la persona, o como este caso, la toma de una fotografia a su DNI.

Que, asimismo, …. incumplio con la obligacion prevista en el articulo 4°, inciso 7° de la Ley N° 25.326, que establece que «los datos deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen sido recolectados», ya que se verifico que la informacion continuo expuesta en el sitio web de la denunciada aun varios dias despues de figurar como «entrega confirmada».

Que, ademas, mediante el Acta de Constataci6n se le requirio a XXX:  (i) que acredite la efectiva implementacion de las medidas de seguridad y confidencialidad conforme los articulos 9 y 10 de la Ley N° 25.326;   (ii) que cumpla con el principio de informacion del articulo  6° la mencionada Ley brindando a los usuarios informacion concreta en los Terminos y Condiciones y Politica de Privacidad de su sitio web acerca de cuales son sus derechos previstos en la Ley N° 25.326; (iii) que cese en el requerimiento de imagenes de DNI para tener por constatada la identidad de los receptores, bastando unicamente su exhibicion, (iv) que proceda a la destruccion de la fotografia del DNI del denunciante, asi como la de terceros que obren en sus bases de datos, implementando los procesos detallados la Resolucion N° 47/2018; y (v) que acredite el segundo paso del registro de la Base de datos, de acuerdo con el articulo 1° de la Resolucion AAIP N°132/18.

Que mediante la nota NO-2020-64237461-APN-DNPDP#AAIP se notifico fehacientemente del Acta de Constatacion a la empresa denunciada y, el 27 de octubre de 2020, la DNPDP recibio, a traves del correo institucional, el descargo de la empresa XXX, presentado por el Sr. …n su carácter de representante legal de ,… S.R.L.

Que en su nuevo descargo XXXX (i) manifiesta que ha realizado modificaciones en su plataforma para dar cumplimiento con las medidas de seguridad, expresando que ya no figuran los datos de clientes en el servicio de tracking, evitando asi la visualizacion y/o descarga por terceros; (ii) acredita haber completado su inscripcion en el Registro Nacional de Bases de Datos; (iii) afirma haber adecuado la informacion brindada a los usuarios en cuanto a los Terminos y Condiciones y Politica de Privacidad de su sitio web; (iv) afirma haber cesado en el requerimiento de imagenes de DNI para tener por constatada la identidad; (v) manifiesta haber procedido a la destruccion de las fotografias del DNI del denunciante y de terceros que obraban en sus bases; (vi) refiere que el regimen de sanciones administrativas establecido en el articulo 31  de la Ley N° 25.326 y sus normal reglamentarias le son inaplicables, por lo que su aplicacion seria inconstitucional.

Que teniendo en consideracion los adicionales argumentos de XXX en su nuevo descargo, la DNPDP concluyo que (i) se ha cumplimentado con el registro de las bases de datos solicitado y (ii) se tiene presente la documentaciOn acompariada respecto a las modificaciones informadas para dar cumplimiento a los articulos 9 y 10 de la Ley N° 25.326 y se corrobora que en la actualidad no se exhiben los datos ni fotografias de DNIs.

Que, por otra parte, si bien se ha incluido la referencia a la Ley N° 25.326 en la Politica de Privacidad de la pagina web de la empresa, este punto no ha sido cumplimentado en su totalidad, puesto que resta la inclusion de informaci6n adicional para dar cumplimiento al Principio de Informacion del articulo 6 de la Ley N° 25.326.

Que, asimismo, debido a que este Organismo de Control ha continuado recibiendo denuncias por nuevos casos de pedidos de imagenes de DNIs por las entregas realizadas por repartidores de …., y toda vez que en su pagina web actualmente refieren que el «Protocolo despacho sin contacto» implica la toma de «una fotografia a manera de constancia de recepcion», son elementos que evidencian que este punto no ha sido resuelto y continua en incumplimiento pese a lo requerido la DNPDP.

Que los argumentos vertidos por la empresa respecto a las competencias y facultades de esta Agencia para aplicar infracciones por incumplimientos, evidencian el desconocimiento a normas de orden publico vigentes, tales como la Ley N° 25.326, la Disposicion DNPDP N° 7/2005 y normativa complementaria.

Que, en consecuencia, lo expresado por EXXX.R.L. en los descargos en nada conmueve los elementos de juicio tenidos en cuanto al momento de labrar el Acta de Constatación cuestionada, raz6n por la cual se confirman las conductas atribuidas con excepción de la falta de registración de sus bases de datos personales, que ha sido debidamente cumplimentada.

Que, por todo lo expuesto, se ratifica el total acumulado de TRES  (3) infracciones graves consistentes en

«Recoger datos de catheter personal sin proporcionar a los titulares de los mismos la información exigida por el articulo 6° de Ley N° 25.326 o sin recabar su consentimiento libre, expreso e informado en los casos en que ello sea exigible», «Proceder al tratamiento de datos de carácter personal que no refinan las calidades de ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido»,

«Mantener bases de datos locales, programas o equipos que contengan datos de catheter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen», todo ello de conformidad con el punto 2, incisos a), i) y k) del Anexo I a la Disposición DNPDP N° 7/2005 y modificatorias, respectivamente.

Que el Anexo II a la Disposicion DNPDP N°           7/05 y sus modificatorias establece que en el caso de INFRACCIONES GRAVES la sancion a aplicar sera de hasta CUATRO (4) apercibimientos, suspension de UNO (1) a TREINTA (30) dias y/o multa de PESOS VEINTICINCO MIL UNO ($25.001,00) a PESOS OCHENTA MIL ($80.000).

Que, asimismo, se ratifica la comision de UNA (1) infraccion muy grave consistente en «Tratar los datos de catheter personal en forma ilegitima o con menosprecio de los principios y garantías establecidos en Ley N°

2.5.326 y normas reglamentarias», conforme el punto 3, inciso f) del Anexo I a la Disposicion DNPDP N° 7/2005 y modificatorias.

Que el punto 3 del Anexo II de Disposici6n citada preve que «En el caso de INFRACCIONES MUY GRAVES, se aplicaran hasta SEIS (6) APERCIBIMIENTOS, SUSPENSION DE TREINTA Y UNO (31) a TRESCIENTOS SESENTA Y CINCO (365) DIAS, CLAUSURA o CANCELACION DEL ARCHIVO, REGISTRO 0 BANCO DE DATOS y/o MULTA de PESOS OCHENTA MIL UNO ($80.001,00) a PESOS LIEN MIL ($100.000,00)».

Que, por su parte, el punto 6 del mencionado Anexo II establece que la aplicacion y cuantía de las sanciones debera graduarse considerando proporcionalidad respecto de la entidad de la falta, la naturaleza de la infraccion cometida y los antecedentes de la empresa.

Que, asimismo, el punto  7 dispone que «Cada infracción debera ser sancionada en forma independiente,  debiendo acumularse cuando varias conductas sancionables se den en las mismas actuaciones».

Que en razÓn de ello, corresponde aplicar el monto de PESOS OCHENTA MIL ($ 80.000,00) por cada una de las infracciones grave y de PESOS CIEN MIL ($100.000,00) por la infracción muy grave, cometidas por la empresa ENTREGA CREATIVA S.R.L.

Que ante la ausencia del Titular de la AGENCIA DE ACCESO A LA INFORMACION PUBLICA y a los efectos de garantizar el normal desenvolvimiento del organismo, de conformidad con lo dispuesto por la ResoluciÓn AAIP N° 30 de fecha 14 de mayo de 2018 que ha encomendado la atencion del despacho y la resolucion de asuntos concernientes a la competencia del titular de la AGENCIA DE ACCESO A LA INFORMACION PUBLICA, en el Sefior Director Nacional de Protección de Datos Personales, Dr. Eduardo Hernan CIMATO , delegandose la firma correspondiente.

Que ha tornado intervencion la Coordinacion De Asuntos Juridicos de la AGENCIA DE ACCESO A LA INFORMACION PUBLICA.

Que la presente medida se dicta en virtud de las atribuciones conferidas por los articulos 19 de la Ley N° 27.275 y por el articulo 29, inciso 1, apartado f) de la Ley N° 25.326.

Por ello,

EL DIRECTOR NACIONAL DE PROTECCION DE DATOS PERSONALES DE LA AGENCIA DE ACCESO
A LA INFORMACION PUBLICA RESUELVE:

ARTICULO 1.- Aplicase a la empresa ….S.R.L. (CULT N° 33-71545532-9, con domicilio en Avenida Roque  Saenz …. N° 885,  piso 4°,  oficina K,  CABA)  la  sancion pecuniaria  de  PESOS TRESCIENTOS CUARENTA MIL ($ 340.000.-) por la comision de TRES (3) infracciones graves y UNA (1) infraccion muy grave, de conformidad con lo previsto en los puntos 2, incisos a), i), k) y 3, inciso 0 del Anexo I a la DisposiciOn DNPDP N° 7/2005 y sus modificatorias.

ARTICULO 2.- Notifiquese la presente resolucion a la firma a E…A S.R.L., haciendole saber que la presente resolucion agota la via administrativa, quedando expedita la accion judicial, la que deberá interponerse dentro de los NOVENTA (90) dias habiles judiciales de notificado el acto. Asimismo, podth deducir recurso de reconsideracion dentro de los plazos de DIEZ (10), de acuerdo con lo normado por el articulo 84 del «Reglamento de Procedimientos Administrativos. Decreto N° 1759/72 T.O. 2017.

ARTICULO 3.- Hagase saber a la interesada que el 7 de mayo de 2020, esta AGENCIA DE ACCESO A LA INFORMACION PUBLICA dictó la Resolucion AAIP N° 93/2020, mediante la cual establecio el criterio de declarar inadmisibles los recursos de alzada en consonancia con la Ley N° 27.483 que en su articulo 1° aprobo el Convenio para la Proteccion de las Personas con respecto al Tratamiento Automatizado de Datos de caracter Personal, suscripto en la ciudad de Estrasburgo, Repfiblica Francesa, el dia. 28 de enero de 1981, y el Protocolo

Adicional al Convenio, suscripto en la ciudad de Estrasburgo, Republica Francesa, el dia 8 de noviembre de 2001. ARTICULO 4.- Tomese nota en el REGISTRO DE INFRACTORES – LEY N° 25.326; cumplido, archivese.

 

 

 

 

 

 

Digitally signed by CIMATO Eduardo Hernan

Date: 2021.02.12 10:20:14 ART

Location: Ciudad Autonoma de Buenos Aires

Eduardo Heman Cimato

Director Nacional

Direction Nacional de Proteccion de Datos Personales Agencia de Acceso a la Infonnacion Pt blica

 

 

Los comentarios están cerrados, pero trackbacks Y pingbacks están abiertos.