La digitalización intensiva de los servicios académicos obliga a las entidades educativas a revisar los mecanismos de verificación de identidad del estudiantado en fases críticas como la admisión, la matrícula, la evaluación y la expedición de títulos.
Este análisis se fundamenta en el Reglamento (UE) 2016/679 (RGPD), particularmente en el principio de minimización del artículo 5.1.c, que exige limitar el tratamiento a los datos estrictamente necesarios para la finalidad perseguida. Este principio se refuerza con la Ley Orgánica 3/2018 (LOPDGDD), que insiste en la proporcionalidad y adecuación del tratamiento de datos personales.
En este marco, la práctica —aún extendida— de solicitar, escanear o conservar copias del DNI/NIE/pasaporte para verificar identidad resulta incompatible con la normativa vigente. El Real Decreto 522/2006, que eliminó la obligación de presentar copias del DNI, declara expresamente que dichas fotocopias son innecesarias y fácilmente manipulables. De manera consistente, la AEPD ha sancionado reiteradamente a organizaciones que conservaban copias del DNI cuando existían alternativas menos intrusivas: resoluciones PS/00389/2024, PS/00499/2022, PS/00170/2022, PS/00535/2024, PS/00570/2023 o PS/00413/2021, todas accesibles en la sede electrónica de la Agencia, además de la nota de la Agencia Española de Protección de Datos con relación a la solicitud de copias de documentos de identidad en hospedajes para dar cumplimiento al Real Decreto 933/2021.
1. La copia del documento identificativo no acredita la identidad
Desde un punto de vista jurídico y técnico, escanear, pedir o conservar imágenes completas del DNI es una práctica:
- innecesaria,
- desproporcionada,
- y, además, inútil para verificar identidad.
El documento escaneado o fotografiado puede manipularse y no comprueba la correspondencia real entre la persona y el documento. La AEPD ha reiterado esta posición en múltiples procedimientos sancionadores. La jurisprudencia también lo ha confirmado: la SAP Lleida 74/2021 subraya la falta de valor probatorio de las copias de DNI en procedimientos telemáticos cuando no van acompañadas de garantías adicionales.
La doctrina del Comité Europeo de Protección de Datos (EDPB) coincide con esta interpretación. Las Directrices 01/2022 sobre el derecho de acceso establecen que el responsable debe emplear métodos proporcionados de verificación de identidad, evitando solicitar documentos excesivos.
De igual modo, la Opinion 03/2013 on Purpose Limitation (WP203) —adoptada por el EDPB como doctrina vigente— establece que un responsable no puede recabar o conservar datos “por si acaso”, cuando existan alternativas menos invasivas.
Y las Guidelines 4/2019 sobre protección de datos por diseño y por defecto insisten en seleccionar la opción menos intrusiva entre las disponibles.
2. Alternativas válidas para verificar la identidad en entidades educativas
La prohibición de conservar copias del DNI no exime a las instituciones educativas de verificar la identidad del estudiantado. Las alternativas legales, seguras y proporcionadas son claras:
En presencial
- Exhibición física del documento, sin captura ni copia.
- MiDNI, conforme a la documentación oficial del Ministerio del Interior, válida exclusivamente para acreditación presencial.
- Escaneo local con máscara (analógica o digital) de privacidad, siempre que no se capture ni transmita la imagen completa del documento, conforme a la resolución AI/00413/2024. No es acorde a la normativa el escaneo en remoto de la totalidad del DNI, su transmisión a la empresa o un tercero, la gestión completa de la imagen con OCR y la posterior supresión de los datos innecesarios puesto que han sido realizados múltiples tratamientos innecesarios sobre datos excesivos para alcanzar el fin buscado.
En remoto
- Firma electrónica cualificada o avanzada, según el Reglamento eIDAS.
- Documentos oficiales con CSV verificables en origen.
- Videoconfirmación sin captura del documento.
- 2FA vinculado a identidad previamente verificada.
- Proveedores cualificados que verifican identidad sin recibir imagen completa del documento.
3. La acreditación debe dejarse por escrito, no conservarse el documento
Para cumplir con el Real Decreto 1002/2010, que exige acreditar identidad en la expedición de títulos oficiales, basta con dejar constancia en el expediente de la verificación realizada:
“Identidad verificada por [identificador], el [fecha], mediante [método utilizado].”
No existe —ni en este RD ni en ninguna otra norma académica española— obligación de conservar fotocopias del DNI.
4. Riesgo institucional de conservar copias del DNI
La retención innecesaria de imágenes del DNI incrementa la exposición al riesgo. La resolución PS/00329/2025, relativa a la brecha en SATSE/FUDEN, evidencia el impacto devastador de la exfiltración de miles de documentos identificativos completos. La AEPD recuerda en su Guía sobre brechas de seguridad que minimizar los datos almacenados reduce el daño en caso de incidente.
5. Conclusión operativa
El marco europeo y español es inequívoco:
la verificación de identidad es obligatoria, pero la copia del DNI no solo no lo es, sino que está prohibida cuando existen medios menos intrusivos para lograr la misma finalidad.
Las entidades educativas deben:
- emplear métodos proporcionados de verificación,
- registrar la comprobación realizada sin conservar imágenes,
- y eliminar definitivamente la práctica de solicitar copias de documentos identificativos.
Este enfoque garantiza el cumplimiento del RGPD, reduce los riesgos jurídicos y operativos y protege efectivamente los derechos del estudiantado.
abanlex.com 