Volver al blog

Cómo guardar copias del DNI de tus clientes sin incumplir el RGPD

2026-07-13•8 min de lectura

Cómo guardar copias del DNI de tus clientes sin incumplir el RGPD

La mayoría de inmobiliarias, administradores de fincas y gestorías guardan una carpeta —física o digital— llena de copias del DNI de clientes. DNIs, pasaportes, tarjetas de residencia, todo escaneado "por si acaso hace falta más adelante".

Ese hábito es justo lo que las autoridades están multando. En 2022 la Agencia Española de Protección de Datos (AEPD) sancionó a un hotel con 30.000 euros por escanear el pasaporte completo de un cliente en el check-in, al considerar que conservar la imagen entera era excesivo y no tenía base legal detrás.

La verdad incómoda: guardar una copia de un documento es un tratamiento distinto al de verificar la identidad, y casi siempre solo necesitas lo segundo. Este artículo explica qué exige de verdad el RGPD, cuándo puedes conservar una copia y cómo identificar clientes sin crear un riesgo que no necesitas.

La regla que pilla a todo el mundo: la minimización de datos

El artículo 5.1.c) del RGPD dice que los datos personales deben ser "adecuados, pertinentes y limitados a lo necesario" para la finalidad perseguida. Es el principio de minimización de datos, y es la razón por la que la mayoría de prácticas con copias del DNI son ilícitas.

Un documento de identidad es un paquete denso de datos. Un DNI o un pasaporte lleva la fotografía, el número de documento, la fecha de caducidad, los nombres de los padres, el número CAN, a veces una referencia de huella. Cuando fotocopias o escaneas todo, recoges absolutamente todo —aunque tu finalidad real (confirmar que esta persona es quien dice ser) rara vez necesite más que el nombre y el número.

La AEPD lo ha repetido sin rodeos: pedir y conservar una copia del DNI no puede convertirse en una práctica generalizada. Si ninguna norma lo exige expresamente, guardar la copia es un tratamiento excesivo e ilícito según el artículo 5.1.c).

"Pero es que tengo que identificar a mis clientes" — sí, y son cosas distintas

Verificar la identidad y guardar una copia no son el mismo acto. Puedes estar legalmente obligado a lo primero sin tener ningún derecho a lo segundo.

Un buen ejemplo es el hospedaje. El Real Decreto 933/2021 obliga a hoteles y viviendas turísticas a recoger determinados datos del viajero y comunicarlos. Pero en junio de 2025 la AEPD aclaró que esa obligación no autoriza a solicitar una copia del documento de identidad: recoges los campos exigidos, no la imagen de la tarjeta.

La misma lógica se aplica en todos los sectores:

  • KYC en inmobiliaria — la normativa de prevención de blanqueo puede exigir identificar y registrar al cliente, pero "registrar los datos" no es lo mismo que "guardar una foto del pasaporte indefinidamente".
  • Recepción / atención al cliente — comprobar que alguien es quien dice ser se puede hacer por inspección, sin que ninguna copia salga del mostrador.
  • Contratos — normalmente necesitas el nombre y el número de documento en el contrato, no una tarjeta escaneada en una unidad compartida.

Así que antes de guardar nada, responde a una pregunta: *¿hay una ley concreta que me obligue a conservar la copia, o simplemente necesito haber identificado a la persona?* Si es lo segundo, no guardes la copia.

Cuándo sí puedes conservar una copia del DNI

Guardar una copia no está prohibido de forma absoluta: está prohibido cuando es innecesaria. Pisas terreno firme cuando se cumplen todas estas condiciones:

  1. Tienes una base jurídica para la copia en concreto —no solo para la relación—. Consentimiento, una obligación legal o un interés legítimo documentado que supere el juicio de ponderación.
  2. Una finalidad concreta requiere la imagen en sí, no solo los datos que contiene. "Rastro de auditoría de una operación regulada" puede valer; "por si acaso", no.
  3. Minimizas incluso dentro de la copia — tacha o evita los campos que no necesitas. Si solo importan el nombre y el número, no conserves la foto ni los nombres de los padres.
  4. Has fijado un plazo de conservación ligado a esa finalidad, y eliminas cuando vence.
  5. La has protegido — control de accesos, cifrado en reposo, ninguna copia de DNI suelta en el correo o en la galería abierta de WhatsApp.

Si no puedes marcar las cinco casillas, estás cargando con un riesgo, no con documentos.

Una checklist práctica para una conservación conforme

Úsala como procedimiento de trabajo, no como ensayo jurídico:

  • Asocia cada campo a un motivo. Por cada dato del documento que conserves, apunta la ley o finalidad que lo justifica. Lo que se quede sin línea, fuera.
  • Separa "identificado" de "almacenado". Donde la ley solo pide identificar, deja una anotación de que se verificó la identidad (quién, cuándo, tipo y número de documento) en lugar de la imagen.
  • Fija la conservación por finalidad. Un registro KYC y un expediente de alquiler no tienen la misma vida útil. Asigna a cada uno una fecha de borrado respaldada por una regla, y automatiza la eliminación.
  • Blinda el almacenamiento. Las copias del DNI van en un sistema con control de accesos y cifrado, nunca en el correo personal, hilos de chat o una carpeta desordenada en la nube.
  • Documenta la base. Ten por escrito tu base jurídica y tus decisiones de conservación; ante una inspección, "siempre lo hicimos así" no es una respuesta, un registro mapeado sí.
  • Da una salida. Cuando te apoyes en el consentimiento, tiene que ser realmente opcional y revocable.

La buena noticia: convertir un documento en datos estructurados hoy es trivial. En lugar de archivar la imagen bruta, puedes extraer solo los campos que necesitas de un DNI o pasaporte y descartar el resto. Así "identificar al cliente" produce un registro limpio —nombre, número, sello de verificación— en vez de un escaneo de alto riesgo que ahora tienes que custodiar y acabar borrando.

La opción más segura: verlo, no guardarlo

Cuando dudes, la postura más defendible es la que la AEPD repite: inspecciona el documento, captura solo los datos que puedes conservar y no retengas la imagen.

En la práctica significa que la persona muestra el documento, un empleado lo confirma y tu sistema guarda los campos necesarios más una nota de que hubo verificación —no una fotografía de la tarjeta—. Para flujos online, el mismo resultado se logra con certificados digitales, comprobación del medio de pago o códigos de un solo uso.

Aquí es donde extraer datos gana a escanear documentos. Si tu paso de identificación lee la tarjeta y devuelve datos estructurados que puedes volcar directamente a Excel o a tu CRM, obtienes el beneficio de cumplimiento (solo campos necesarios, ninguna imagen persistente) y eliminas de paso el tecleo manual. Para hospedaje en concreto, el mismo enfoque te permite registrar viajeros en SES.Hospedajes sin conservar copias del documento: capturas los campos obligatorios y ahí te detienes.

Guardar menos no solo es más barato y rápido. Bajo el RGPD, suele ser la opción legal.

WhappScan convierte el DNI que un cliente te envía por WhatsApp en solo los campos estructurados que puedes conservar, para que identifiques a las personas sin acumular documentos. Míralo en whappscan.com.

¿Listo para automatizar tus documentos?

Prueba WhappScan gratis hoy mismo. No requiere tarjeta de crédito.

Probar gratis