El Informe 0476/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la inclusión del dato del Documento Nacional de Identidad (DNI) en un fichero y su conformidad con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. A continuación, se presenta un resumen de los puntos clave del informe.
### I. Naturaleza del DNI como Dato Personal
El informe comienza determinando si el número de DNI es un dato de carácter personal. Según la Ley Orgánica 15/1999, un dato personal es cualquier información concerniente a una persona física identificada o identificable. El DNI, al ser un identificador numérico personal y general, se considera un dato de carácter personal. Esta conclusión se refuerza con el Real Decreto 1720/2007, que define el DNI como un documento que acredita la identidad y los datos personales de su titular.
### II. Tratamiento del DNI en un Fichero
La inclusión del DNI de los representantes de las empresas en un fichero debe cumplir con los principios de protección de datos establecidos en la Ley Orgánica 15/1999. El artículo 2 de esta ley establece que es de aplicación a los datos de carácter personal registrados en soporte físico y a su uso posterior. El artículo 4 especifica que los datos solo pueden ser recogidos y tratados si son adecuados, pertinentes y no excesivos en relación con la finalidad para la que se obtuvieron.
El informe subraya que la inclusión del DNI debe ser necesaria para el logro de una actividad legítima. Si el DNI no es necesario para la finalidad del fichero, su inclusión no sería pertinente. Además, si se incluye el DNI, el fichero debe ser notificado a la AEPD, y la empresa será responsable del mismo.
### III. Definición de Fichero y Responsabilidad
El informe define un fichero como cualquier conjunto organizado de datos de carácter personal, independientemente de la forma o modalidad de su creación, almacenamiento, organización y acceso. Un fichero debe tener una estructura básica, una descripción de los tipos de datos y una finalidad concreta. La empresa será responsable de tantos ficheros como conjuntos estructurados de datos utilice, independientemente del número de datos personales incluidos.
Para la creación de ficheros de titularidad privada, se requiere que sea necesario para el logro de una actividad u objeto legítimo y que se respeten las garantías establecidas por la ley. Si el dato no se refiere a una parte de un contrato o precontrato y no es necesario para su mantenimiento o cumplimiento, se necesita el consentimiento inequívoco del interesado.
### IV. Derechos de los Interesados
El informe también aborda los derechos de acceso, rectificación, cancelación y oposición, que son mecanismos de tutela del derecho fundamental a la protección de datos. Estos derechos pueden ejercerse respecto a cualquier dato de carácter personal, no solo a los íntimos, ya que su objeto es garantizar el control sobre los datos personales y su uso.
En resumen, el informe concluye que el DNI es un dato de carácter personal y que su inclusión en un fichero debe cumplir con los principios de protección de datos. La empresa debe notificar el fichero a la AEPD y garantizar los derechos de los interesados. La inclusión del DNI debe ser necesaria y pertinente para la finalidad del fichero, y se requiere el consentimiento del interesado si no se cumple con las excepciones legales.