Lo más importante

No existe ninguna ley nueva que multe con 100.000 € por fotografiar el DNI. Lo que hay —desde 2018— es el RGPD. Pedir o guardar el DNI de un cliente no es ilegal en sí: lo es hacerlo sin una razón que lo justifique o guardarlo "por si acaso". La regla de oro es la minimización: solo los datos imprescindibles, para un fin concreto y durante el tiempo justo.

Cada cierto tiempo reaparece el mismo titular: "Entró en vigor: hasta 100.000 € de multa por fotografiar el DNI". Genera alarma, se comparte mucho… y mezcla verdades con exageraciones. Vamos a separarlas, porque el fondo sí importa para cualquier negocio que maneje datos de clientes.

¿Hay una ley nueva de 100.000 € por fotografiar el DNI?

No. No hay una norma que acabe de "entrar en vigor" con una multa específica por fotocopiar o fotografiar el DNI. El marco es el de siempre:

  • El RGPD (Reglamento General de Protección de Datos), aplicable en toda la UE desde mayo de 2018.
  • La LOPDGDD (Ley Orgánica 3/2018), que lo desarrolla en España.
  • La AEPD (Agencia Española de Protección de Datos), que vigila y sanciona.

¿Y los 100.000 €? Salen del rango sancionador del RGPD para infracciones graves. El tope teórico es mucho mayor —hasta 20 millones de euros o el 4% de la facturación anual—, así que el titular coge una cifra intermedia y la cuelga del DNI como si fuera una multa exclusiva de ese caso. No lo es. La cuantía real depende de la gravedad, la intencionalidad, el número de afectados y muchos otros factores.

Dicho esto, el mensaje de fondo es correcto: la AEPD lleva años sancionando la recogida indiscriminada de copias del DNI. Que el titular sea sensacionalista no significa que puedas hacer lo que quieras con el documento de tus clientes.

Entonces, ¿cuándo puedes pedir el DNI de un cliente?

La pregunta correcta no es "¿puedo?", sino "¿tengo una base jurídica y es necesario?". El RGPD exige que todo tratamiento de datos tenga una base legal (artículo 6) y que se limite a lo imprescindible (principio de minimización, artículo 5).

Cuándo SÍ suele estar justificado

  • Obligación legal. Hay actividades que obligan a identificar y conservar copia del documento: prevención del blanqueo de capitales (banca, inmobiliaria, notarías…), alta de un trabajador en la Seguridad Social, ciertos trámites administrativos.
  • Ejecución de un contrato. Cuando el dato es imprescindible para el servicio que has contratado con el cliente y no hay una alternativa menos intrusiva.

Cuándo NO (y te la juegas)

  • Para un simple registro, una tarjeta de fidelización o una promoción.
  • Para "tener constancia" o "por si algún día hace falta".
  • Cuando bastaría con verificar visualmente el documento o anotar solo el dato que necesitas, sin quedarte una copia.
Situación ¿Guardar copia del DNI?
Alta de un empleado / obligación legalSí, con base jurídica y plazo
Prevención de blanqueo (sector obligado)Sí, es una obligación
Tarjeta de cliente o newsletterNo — con el email basta
"Por si acaso" / sin finalidad claraNo — es el error más sancionado
Verificar edad o identidad en el momentoNo — verifica, no archives

El error más caro: guardar "por si acaso"

Aunque tengas una razón legítima para ver el DNI, eso no significa que puedas quedártelo para siempre. El RGPD obliga a conservar los datos solo mientras dure la finalidad y a borrarlos después. Acumular copias de documentos de identidad en un cajón, en un correo o en una carpeta compartida, sin plazo de borrado y sin control de quién accede, es precisamente lo que más disgustos da ante una inspección.

Cómo pedir y guardar documentos de clientes sin sustos

Si tu negocio necesita, de verdad, manejar documentos de identidad, esta es la forma sensata de hacerlo:

  1. Minimiza. Antes de pedir el DNI, pregúntate si de verdad lo necesitas o si te basta con el nombre, el email o una verificación visual.
  2. Ten clara la base jurídica. Obligación legal, contrato, consentimiento… Si no puedes nombrarla, probablemente no debas guardar el documento.
  3. Informa. El cliente debe saber qué guardas, para qué, quién accede y cuánto tiempo. Un aviso breve en el momento de subir el documento y un enlace a tu política de privacidad.
  4. Fija un plazo de borrado. Define cuánto conservas cada documento y bórralo al cumplirse. Mejor si el borrado es automático.
  5. Protégelo. Documentos fuera de carpetas compartidas abiertas, con acceso restringido y, a ser posible, cifrado. Nada de mandarlos por WhatsApp o dejarlos en un email.
  6. Documenta el tratamiento. Anótalo en tu registro de actividades de tratamiento. Lo que no está documentado, ante una inspección, no existe.

Aviso: este artículo es divulgación para orientarte, no asesoramiento legal vinculante. Para tu caso concreto y para redactar tus textos legales (privacidad, registro de tratamientos, contratos), consulta con un abogado o con un delegado de protección de datos (DPO).

Un ejemplo real: cómo lo resolvimos en nuestra propia firma de contratos

No lo contamos desde la teoría. Cuando montamos la firma electrónica de nuestros contratos, nos hicimos justo esta pregunta: ¿necesitamos el DNI del cliente para que firme? La respuesta honesta fue no.

Nuestra firma funciona con un código de un solo uso (OTP) enviado al email del cliente: eso ya identifica a la persona y deja constancia de la firma —con fecha, hora y una huella del documento— sin necesidad de recoger ni almacenar su DNI. Solo pedimos documentación de identidad cuando un contrato concreto lo exige de verdad, y siempre con acceso restringido. Es el principio de minimización aplicado a un caso real: menos datos, menos riesgo, mismo resultado.

La solución de MSM Consulting

La mayoría de las multas de protección de datos en pymes no vienen de mala fe, sino de procesos montados "a ojo": se piden datos de más, se guardan sin plazo y se comparten sin control. Ahí es donde entramos.

En MSM Consulting ayudamos a pymes de Málaga y Andalucía a montar sus procesos digitales para que cumplan el RGPD por diseño, sin frenar el negocio:

  • Revisamos qué datos pides y por qué — y quitamos lo que sobra (minimización).
  • Firma y trámites sin recoger documentos de más, como hicimos con nuestra propia firma por código.
  • Gestión segura de documentos: acceso restringido, cifrado y plazos de borrado.
  • Automatización con IA de esos procesos, con la lógica AI-First: que la tecnología haga el grueso y tu equipo decida.

Lo hacemos combinando consultoría de IA en Málaga y desarrollo a medida, para que el "cumplir" no sea un papel guardado en un cajón, sino algo que ya está metido en cómo trabajas cada día. Puedes ver el enfoque en nuestros servicios.

¿Pides o guardas datos de clientes y no sabes si lo haces bien?

Te lo revisamos y te decimos, con criterio, qué datos te sobran, qué debes borrar y cómo montar tus trámites para dormir tranquilo. Sin humo.

Revisar mi caso →

Preguntas frecuentes

¿Es ilegal fotocopiar o fotografiar el DNI de un cliente?

No es ilegal en sí. Depende de que exista una base jurídica y de que sea realmente necesario para el fin que persigues. Hacerlo sin justificación, o guardar la copia "por si acaso", puede constituir una infracción del RGPD.

¿Hay una ley nueva de 100.000 € por fotografiar el DNI?

No. El marco es el RGPD (aplicable desde 2018) y la LOPDGDD. La cifra de 100.000 € procede del rango sancionador para infracciones graves; los titulares la generalizan como si fuera una multa específica del DNI, y no lo es.

¿Cuándo puedo guardar el DNI de un cliente?

Cuando existe una base jurídica: una obligación legal (por ejemplo, prevención de blanqueo o alta de un trabajador) o cuando es imprescindible para ejecutar el contrato. Para un simple registro, una promoción o "por si acaso", normalmente no está justificado.

¿Cuánto tiempo puedo conservar el DNI de un cliente?

Solo mientras dure la finalidad que lo justifica; después hay que borrarlo. Conservar documentos de identidad de forma indefinida "por si acaso" es uno de los errores que más sanciona la AEPD.

¿Necesito el DNI para que un cliente firme un contrato?

No necesariamente. Una firma electrónica con verificación por código de un solo uso (OTP) enviado al email o al móvil ya identifica a la persona y deja evidencia de la firma, sin necesidad de recoger y almacenar su DNI.

¿Esto es asesoramiento legal?

No. Es divulgación para orientarte. Para tu caso concreto y para redactar los textos legales, consulta con un abogado o con un delegado de protección de datos (DPO).