Un concesionario de Málaga recibió una sanción de 7.500 euros por fotocopiar el DNI completo de un cliente bajo falsos pretextos. La Agencia Española de Protección de Datos (AEPD) confirmó que no existe justificación legal ni contractual para exigir copias íntegras del documento. Esta práctica viola el principio de minimización de datos, obliga a almacenar información innecesaria y expone a los ciudadanos a riesgos reales de suplantación de identidad y filtraciones.
¿Por qué copiar el DNI completo es ilegal en un taller mecánico?
La AEPD determinó que Cumaca Motor S.L. actuó sin base jurídica válida. El taller alegó que la aseguradora lo exigía, pero la propia compañía negó rotundamente ese requisito. La autoridad destacó que la verificación de identidad puede hacerse con la simple exhibición del DNI frente al personal, sin retención ni copia.
El DNI contiene datos innecesarios para una reparación: domicilio, nombres de los padres, lugar de nacimiento y número de identificación personal. Estos no guardan relación con la prestación del servicio. Su recogida sistemática constituye una infracción grave bajo el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales (LOPDGDD).
¿Qué alternativas legales existen para identificar a un cliente?
Verificación presencial sin copia
El personal puede observar el DNI en presencia del cliente y registrar únicamente el número de identificación o el nombre y apellidos, si es estrictamente necesario para la factura o la gestión del siniestro.
Uso de sistemas digitales seguros
Algunos talleres usan aplicaciones certificadas que leen el DNI mediante NFC y extraen solo los campos imprescindibles. Estas soluciones deben cumplir con los requisitos de seguridad por diseño y privacidad por defecto, según exige el RGPD.
Consentimiento informado y limitado
Si se requiere una copia, debe ser expresa, específica y revocable, y solo para un fin concreto. Nunca puede ser una condición general para acceder al servicio.
¿Qué consecuencias económicas tiene esta infracción?
La multa de 7.500 euros no es simbólica: forma parte de un patrón creciente de sanciones contra pymes que subestiman la normativa. Según datos de la AEPD, las infracciones por tratamiento indebido de datos de identidad representaron el 18 % de las sanciones en 2025. El impacto va más allá de la multa: daño reputacional, pérdida de confianza del cliente y posibles reclamaciones civiles por vulneración del derecho al honor y a la intimidad.
Empresas del sector automotriz han reportado un aumento del 22 % en costes operativos derivados de auditorías internas y adaptación de procesos tras estas resoluciones. Además, los seguros ya exigen cláusulas contractuales que responsabilicen a los talleres de sus propias prácticas de tratamiento de datos.
¿Qué dice la ley sobre la conservación de copias de DNI?
La AEPD es clara: no existe un marco legal que autorice la conservación sistemática de copias completas del DNI. Ni el RGPD, ni la LOPDGDD, ni las instrucciones de la Dirección General de Seguros lo permiten. La única excepción es cuando una ley expresa lo exija —como en actividades sujetas a prevención del blanqueo de capitales—, y ni los talleres ni los concesionarios están incluidos en ese régimen.
La resolución contra Cumaca Motor refuerza que la normativa interna no sustituye a la ley. Una política de empresa no puede imponer obligaciones que contradigan el principio de limitación de la finalidad.
Datos Clave
- La AEPD sancionó con 7.500 euros por copiar el DNI completo sin justificación.
- La aseguradora negó haber exigido dicha copia, desmontando el argumento del taller.
- El DNI contiene datos sensibles innecesarios para una reparación mecánica.
- La alternativa legal es la exhibición presencial o el uso de sistemas de lectura selectiva.
- Las infracciones por manejo indebido de identidad ya representan 1 de cada 5 sanciones de la AEPD.
El caso refleja una realidad extendida: muchas pymes confunden la burocracia con la legalidad. La protección de datos no es un trámite, sino un requisito operativo obligatorio. Ignorarlo no solo genera multas, sino vulnerabilidades reales en la cadena de confianza con el cliente y con las entidades colaboradoras.
