¿Es obligatorio dar el DNI? Es una pregunta recurrente cuando un hotel, una tienda o una empresa de mensajería solicita el documento de identidad. Sin embargo, la respuesta no es uniforme. Esta depende del sector, de la finalidad y del marco normativo aplicable. Además, desde la perspectiva del RGPD y de la LOPDGDD, la recogida del DNI debe respetar el principio de minimización de datos. Así pues, las ideas clave a destacar son, en esencia:
- Para comenzar, no siempre es obligatorio facilitar el DNI.
- Seguidamente, solo puede exigirse cuando exista base jurídica suficiente.
- También, el principio de minimización del artículo 5.1.c del RGPD limita la recogida excesiva.
- A su vez, en hoteles, existe obligación legal de registro.
- Por otro lado, en comercios, la exigencia suele depender de la finalidad concreta.
- Para finalizar, la copia indiscriminada del DNI puede ser desproporcionada.
Tabla de contenidos
- Marco normativo: ¿Qué dice la ley sobre si es obligatorio dar el DNI?
- Hoteles y hospedajes: cuándo sí es obligatorio dar el DNI
- ¿Es obligatorio dar el DNI en tiendas físicas?
- Envíos y mensajería: identificación razonable pero limitada
- Copiar el DNI: ¿es legal o excesivo?
- Riesgos para las empresas al imponer como obligatorio dar el DNI: sanciones y reputación
- Buenas prácticas cuando es obligatorio dar el DNI
- Conclusión
- Preguntas frecuentes
- Fuentes y recursos
Marco normativo: ¿Qué dice la ley sobre si es obligatorio dar el DNI?
En primer lugar, el tratamiento del DNI implica el tratamiento de datos personales, ya que el documento contiene información identificativa de una persona física conforme a la definición de “datos personales” del artículo 4.1 del RGPD, así como operaciones encuadrables en el concepto de “tratamiento” del artículo 4.2 del mismo Reglamento.
Además, el artículo 5.1.c del RGPD consagra el principio de minimización. Es decir, los datos deben ser adecuados, pertinentes y limitados a lo necesario.
Por su parte, el artículo 8 de la LOPDGDD regula específicamente el tratamiento basado en obligación legal. En consecuencia, solo cuando una norma con rango suficiente lo exija podrá imponerse la comunicación del DNI.
Por tanto, la pregunta correcta no es solo si pueden pedirlo, sino si es necesario para la finalidad perseguida.
Hoteles y hospedajes: cuándo sí es obligatorio dar el DNI
En el ámbito hotelero, la obligación sí tiene respaldo normativo. De este modo, el Real Decreto 933/2021, de 26 de octubre, regula las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor. Esta norma impone la recogida de determinados datos identificativos de los viajeros. En consecuencia:
- Primero, el establecimiento debe recoger datos identificativos.
- Segundo, debe comunicarlos a las Fuerzas y Cuerpos de Seguridad del Estado.
- Tercero, la obligación deriva de norma con rango reglamentario habilitada legalmente.
Ahora bien, el tratamiento posterior de esos datos sigue sujeto al RGPD. Por tanto, deben cumplirse las obligaciones de información del artículo 13 del RGPD. Asimismo, la conservación no puede ser indefinida. Debe ajustarse a los plazos legalmente previstos.
¿Es obligatorio dar el DNI en tiendas físicas?
En el comercio minorista la situación es distinta. Con carácter general, no existe una norma que obligue a un cliente a facilitar su DNI para realizar una compra ordinaria en efectivo. Sin embargo, pueden existir supuestos concretos:
- Para comenzar, devoluciones de productos.
- Seguidamente, financiaciones o pagos aplazados.
- A su vez, operaciones sujetas a normativa de prevención del blanqueo de capitales.
En este último caso, la Ley 10/2010, de prevención del blanqueo de capitales y de la financiación del terrorismo, establece en su artículo 3 la obligación de identificación formal en determinados sujetos obligados. No obstante, no todos los comercios lo son.
Por tanto, solicitar el DNI por política interna sin analizar necesidad y proporcionalidad puede vulnerar el artículo 5.1.c del RGPD.
Además, copiar o escanear el documento completo exige una justificación adicional. La AEPD ha recordado, en distintos pronunciamientos y criterios interpretativos, que la copia del DNI debe superar un juicio de necesidad y proporcionalidad conforme al artículo 5.1.c del RGPD.
Envíos y mensajería: identificación razonable pero limitada
En el ámbito de la mensajería, la identificación puede estar justificada para garantizar la correcta entrega. Sin embargo, debe distinguirse:
- Primero, identificación visual del receptor.
- Segundo, registro del número completo del DNI.
- Tercero, copia o fotografía del documento.
Desde la perspectiva del RGPD, registrar más datos de los necesarios puede resultar excesivo. En consecuencia, si basta con comprobar identidad sin conservar copia, la empresa debería optar por la opción menos intrusiva.
Asimismo, el principio de responsabilidad proactiva del artículo 24 del RGPD exige que la empresa pueda demostrar que el tratamiento es adecuado y necesario.
Copiar el DNI: ¿es legal o excesivo?
Aquí surge una cuestión especialmente sensible. Para comenzar, el DNI contiene múltiples datos: fotografía, domicilio, número de soporte y equipo de expedición. Por ello, cabe señalar que no todos son necesarios para cualquier finalidad. En consecuencia:
- Primeramente, no toda solicitud de copia es proporcional.
- También, no toda política interna legitima el tratamiento.
- Del mismo modo, la base jurídica debe ser clara y específica.
Además, el consentimiento no siempre es válido como base jurídica. Conforme al artículo 4.11 del RGPD, el consentimiento debe ser libre, específico, informado e inequívoco. Además, el artículo 7 del mismo Reglamento regula las condiciones para su validez. Si la negativa impide acceder a un servicio sin alternativa razonable, podría cuestionarse su libertad.
Por tanto, desde la óptica empresarial, resulta imprescindible realizar un análisis de necesidad y proporcionalidad antes de incorporar la copia del DNI como práctica habitual.
| Sector | ¿Es obligatorio facilitar DNI? | Fundamento jurídico |
| Hoteles y hospedaje | Sí | RD 933/2021 |
| Compra ordinaria en tienda | No, en general | Art. 5.1.c RGPD (minimización) |
| Financiación en comercio | Puede ser obligatorio según el caso | Artículo 6.1.b RGPD y, en su caso, Ley 10/2010 |
| Mensajería | Identificación razonable | Principio de proporcionalidad |
| Operaciones sujetas a PBC | Sí (si es sujeto obligado) | Ley 10/2010 |
Riesgos para las empresas al imponer como obligatorio dar el DNI: sanciones y reputación
Desde el punto de vista corporativo, la recogida excesiva de datos puede derivar en:
- Primero, procedimientos sancionadores por la Agencia Española de Protección de Datos.
- Segundo, infracciones del artículo 83 del RGPD, con multas administrativas significativas.
- Tercero, daño reputacional y pérdida de confianza.
En consecuencia, implementar políticas de minimización no es solo cumplimiento normativo. Es gestión de riesgo. Además, documentar el análisis jurídico previo fortalece la posición defensiva de la empresa.
Buenas prácticas cuando es obligatorio dar el DNI
Para alinear cumplimiento y operativa recomendamos, entre otros aspectos:
- De un lado, identificar claramente la base jurídica aplicable.
- De otro, limitar los datos recogidos a los estrictamente necesarios.
- También, evitar la copia sistemática del documento completo.
- Del mismo modo, informar al interesado conforme al artículo 13 del RGPD.
- Por su parte, establecer plazos de conservación definidos.
Asimismo, es conveniente formar al personal. Muchas incidencias se producen por protocolos internos mal diseñados. Contacta con Legal Veritas para recibir asesoramiento experto.
| Riesgo detectado | Norma implicada | Medida recomendada |
| Copia sistemática sin análisis | Art. 5.1.c RGPD | Juicio de proporcionalidad previo |
| Exigencia sin base jurídica | Art. 6 RGPD | Verificar obligación legal |
| Conservación indefinida | Art. 5.1.e RGPD | Definir plazo claro |
| Falta de información al interesado | Art. 13 RGPD | Política visible y clara |
Conclusión
En definitiva, la pregunta ¿Es obligatorio dar el DNI? no admite una respuesta única, sino que depende del sector y de la norma aplicable. Sin embargo, lo que sí es constante es el límite que impone el RGPD. Así pues, la recogida de datos debe ser necesaria, proporcional y justificada.
Además, para las empresas, revisar protocolos de identificación no es opcional. Contrariamente, es una exigencia de cumplimiento normativo y una medida de prevención de riesgos.
En Legal Veritas analizamos protocolos internos de identificación y tratamiento documental. Si tu empresa solicita el DNI a clientes o usuarios, conviene revisar si el procedimiento supera un análisis jurídico de proporcionalidad.
Este texto está redactado con carácter informativo, sin que suponga ningún tipo de asesoramiento jurídico. Cada caso debe analizarse individualmente. Por tanto, si escaneas documentos oficiales de tus clientes, contacta con nuestro equipo para una auditoría específica en protección de datos y evita riesgos innecesarios.
Preguntas frecuentes
En principio, en una compraventa ordinaria no existe obligación legal general de facilitar el DNI. Por tanto, exigirlo sin base jurídica podría resultar desproporcionado conforme al artículo 5.1.c del RGPD. Ahora bien, si la operación implica financiación o identificación exigida por la Ley 10/2010, la negativa puede impedir formalizar el contrato. Por ello, en cada caso debe analizarse la finalidad concreta y la normativa sectorial aplicable.
Solo si dispone de una base jurídica válida conforme al artículo 6 del RGPD. En principio, el consentimiento no siempre es la base adecuada. Además, debe respetarse el principio de minimización del artículo 5 del RGPD. Por eso, si la finalidad puede cumplirse sin conservar copia, la reproducción íntegra podría considerarse excesiva. En consecuencia, la empresa debe poder justificar la necesidad objetiva del tratamiento.
Sí, en el ámbito del hospedaje existe obligación de registro conforme al Real Decreto 933/2021. El establecimiento debe recoger determinados datos identificativos y comunicarlos a las autoridades competentes. No obstante, el tratamiento sigue sujeto al RGPD y a la LOPDGDD. Por ello, deben cumplirse los deberes de información y seguridad previstos en los artículos 13 y 32 del RGPD.
En primer lugar, puede solicitar información sobre la base jurídica del tratamiento conforme al artículo 13 del RGPD. Además, puede ejercer los derechos reconocidos en los artículos 15 y siguientes del RGPD. También, si aprecia irregularidades, puede presentar reclamación ante la AEPD conforme al artículo 77 del RGPD y al artículo 63 de la LOPDGDD. En consecuencia, la empresa deberá acreditar la licitud y proporcionalidad del tratamiento realizado.
Fuentes y recursos
- RGPD: Reglamento UE 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de datos personales
- LOPDGDD: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
- Ley 10/2010: Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo
- Obligaciones de registro documental en hospedajes: Real Decreto 933/2021, de 26 de octubre, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor
- AEPD: Nota sobre identidad en hospedajes
Privacidad en el sector bancario: riesgos de accesos indebidos y responsabilidad del banco
Deja una respuesta