Un hotel me pidió mi DNI escaneado antes de llegar. Lo compartí editando todo esto por seguridad

Dar el DNI de forma indiscriminada por Internet (y en persona) es algo que puede causarnos enormes problemas a medio y largo plazo. Cuando lo compartimos en sus dos caras y sin ninguna modificación, nos exponemos a ser víctimas de suplantación de identidad, y con ello, a sufrir incluso citaciones judiciales.

Por ello, mi compañera Eva Rodríguez de Luis fue reacia a dar su DNI escaneado sin editar a un alojamiento de Booking. E hizo bien. Se lo pidieron antes de su llegada al lugar, y tenía dos opciones: escanear su DNI o añadir los datos uno por uno. Decidió rellenar la ficha y enviar un DNI alterado para correr menos riesgos. Así lo hizo.

Tan fácil como seguir el consejo de la Policía

Con los potenciales problemas de seguridad que planteaba enviar el DNI sin modificar, Eva decidió seguir el consejo de quien más sabe sobre el asunto. Sí, quien lo expide, la Policía.

La institución llama a seguir varios pasos como "borrar o difuminar algunos datos innecesarios para el receptor", como fecha completa de validez, equipo de expedición o padres del ciudadano, así como "añadir el motivo por el cual se facilita la copia", a modo de marca de agua escrita en rojo sobre la captura del DNI para que quede clara la finalidad con la que estamos compartiéndolo.

Para editar, recomiendan hacer uso de una herramienta que casi toda la ciudadanía tiene instalada: WhatsApp. Evidentemente, hay opciones más versátiles y también gratuitas como los editores de la app de Fotos de iOS o Google Fotos en Android.

Samuel Parra (@Samuel_Parra), abogado experto  en privacidad, ciberseguridad y protección de datos, nos explicaba así que ni siquiera la Administración nos puede pedir fotocopias del DNI:

"En casos de suplantación de identidad por parte de una Administración Pública, también se podría recordar que, respecto a los trámites ante la Administración General del Estado, está prohibido que nos pidan fotocopia del DNI desde el Real Decreto 522/2006, de 28 de abril, por el que se suprime la aportación de fotocopias de documentos de identidad en los procedimientos administrativos de la Administración General del Estado y de sus organismos públicos vinculados o dependientes,  por lo que si algún órgano de la Administración General del Estado nos la estuviera pidiendo tendríamos que desconfiar automáticamente porque quizá se trate de un caso de phising".

Pese a ello, el alojamiento lo pedía como algo obligatorio para el check-in:

Hay una novedad importante que considerar. Y es que a partir del 1 de diciembre de 2024, con la entrada en vigor el Real Decreto 933/2021 (también conocido como 'registro de viajeros'), ha aumentado el número de datos que los alojamientos turísticos tienen que recopilar (aunque el Gobierno oficialmente niegue que este haya crecido).

En lo que nos afecta, como recogía el abogado especializado en derecho digital Borja Adsuara, si antes se pedía el número de documento de identidad (DNI), junto con la fecha de expedición del documento, ahora se pide también el número de soporte del documento, que encontramos en el anverso. En los DNI electrónicos con chip tiene el siguiente formato: AAA000000 (3 letras y 6 dígitos).

Ese número, que en anteriores versiones del DNI también se llamaba IDESP, es de los que borró Eva Rodríguez. Aunque ahora este dato se pida con obligatoriedad a los alojamientos turísticos, editarlo si damos nuestro DNI escaneado es totalmente lícito, pues en caso de que nos lo soliciten específicamente siempre podemos compartirlo en texto, que es al final lo que el establecimiento necesita.

Nos pidan más o menos datos, el principio debe ser siempre tratar de dar la menor cantidad posible, con motivo de dificultar suplantación de datos y evitar elaboración de perfiles para fines fraudulentos como esquemas de estafas, etc.

Una de las críticas a la nueva norma es que, con los recursos disponibles, los hoteles no pueden garantizar un tratamiento de datos con garantías, como establece la normativa europea de protección de datos. En ese sentido, Fernando Macías, consultor de protección de datos, afirmaba que "ese sistema no puede superar la evaluación de impacto bajo ningún concepto: datos excesivos y no adecuados a la finalidad del tratamiento".

Imagen | Markus Spiske en Unsplash, editada con captura de pantalla

En Genbeta | Estafa Booking: cómo identificar de cuál estás siendo víctima para proteger tus vacaciones