La Agencia Española de Protección de Datos (AEPD) impuso una sanción de 20.000 euros a la Universidad Nebrija por exigir una copia completa del DNI a un alumno para expedirle un título de máster, rechazando una versión pixelada que protegía datos irrelevantes. Esta exigencia, para la AEPD, vulnera el principio de minimización de datos, ya que la universidad ya poseía información identificativa suficiente.
El conflicto se originó cuando el alumno, tras enviar su DNI pixelado, basándose en el principio de minimización de datos, vio rechazado el documento. La universidad le exigió el envío de la copia completa, argumentando que el Real Decreto 1002/2010 obliga a acreditar la identidad y que una copia pixelada se considera un documento manipulado que podría derivar en un fraude.
En su defensa, el centro manifestó que al ser una institución privada, no podía acceder al Sistema de Verificación de Datos de Identidad de la Administración Pública, por lo que consideraba imprescindible la entrega del DNI íntegro y sin alteraciones. Tras la queja del alumno, la AEPD inició el procedimiento por dos presuntas infracciones del Reglamento General de Protección de Datos (RGPD): vulneración del principio de minimización de datos (artículo 5.1.c) y fallos en la seguridad del tratamiento (artículo 32).
Infracciones del RGPD
En cuanto a la seguridad del tratamiento, inicialmente, la AEPD señaló que solicitar el envío del DNI a través de un simple correo electrónico no ofrecía las garantías de seguridad adecuadas. Sin embargo, la universidad logró acreditar que disponía de un entorno seguro en el portal del estudiante, el cual utiliza credenciales y un sistema de doble factor de autenticación (2FA) para la recepción de documentación. Al demostrar un nivel de seguridad adecuado al riesgo, la AEPD acordó archivar y desestimar esta infracción.
Sobre la minimización de datos, la agencia sí determinó que exigir la copia completa del DNI constituye un tratamiento excesivo de datos y vulnera el RGPD. Si bien es cierto que la normativa exige acreditar datos como el nombre, apellidos, lugar y fecha de nacimiento, el DNI contiene información adicional que no es necesaria para expedir un título (como la fotografía, la fecha de caducidad, datos legibles por máquina o el nombre de los padres).
Además, la AEPD destacó que la universidad ya disponía de los datos identificativos del estudiante desde el momento de su matriculación, por lo que tenía la capacidad de cotejarlos sin necesidad de requerir y almacenar una copia completa del documento de identidad.
Por ese motivo, aunque la sanción inicial era de 50.000 euros, se rebajó hasta los 20.000, tras descartarse la infracción relativa a la seguridad del tratamiento. Asimismo, la AEPD ordenó a la universidad a que, en un plazo máximo de 2 meses, adecuase sus procesos de solicitud de expedición de títulos para que la documentación exigida cumpliese estrictamente con el principio de minimización de datos.