Qué cuatro dígitos del DNI contendrán las notificaciones de multas
La AEPD ha emitido unas orientaciones con el fin de facilitar un criterio práctico hasta que se aprueben normas administrativas
Una de las novedades destacadas que introdujo la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), es que, en la identificación de los interesados en las notificaciones de actos administrativos que contengan datos personales como multas o sanciones, se identificará a los afectados sólo mediante su nombre y apellidos, añadiendo cuatro cifras numéricas aleatorias del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente.
Hasta entonces, esa identificación incluía nombre, apellidos y número de documento completos, con el consiguiente impacto en la privacidad de los ciudadanos, precisamente por actos de la Administración. Las multas o los resultados de oposiciones son actos que se notifican con frecuencia por estas vías, y que exponen a los individuos, pues su DNI completo era fácilmente localizable hasta la LOPDGDD.
Es una solución que ayudará a que no se indexen estos nombres y apellidos de modo que algunos datos de los ciudadanos puedan resultar menos obvios en la era internet.
Una vía práctica y sencilla para conciliar la publicación de actos administrativos con la protección de datos y facilita el derecho al olvido. O no tanto si no hay un criterio único y cada Administración adopta fórmulas distintas y se publican cifras numéricas de los documentos identificativos de las personas en posiciones distintas, posibilitando la recomposición íntegra de dichos documentos.
Por ese motivo la Agencia Española de Protección de Datos (AEPD), ante las consultas recibidas por las autoridades de protección de datos sobre cómo interpretar la mención a las cuatro cifras numéricas aleatorias, ha emitido unas orientaciones con el fin de facilitar un criterio práctico, aunque provisional, hasta que se aprueben normas administrativas al respecto.
Para ello, se ha seleccionado aleatoriamente un grupo de cuatro cifras numéricas, que deberían ser las mismas en todas las publicaciones. Según recoge el documento de la AEPD, “el procedimiento para la determinación de forma aleatoria de las cuatro cifras numéricas a publicar del código de identificación de un interesado se realizó mediante el proceso de selección aleatoria en una bolsa opaca de una bola de entre cinco bolas numeradas del 1 al 5, realizado el 27 de febrero de 2019 en la AEPD. La bola resultante fue la número 4”, de modo que de los documentos (DNI, NIE, etc.): se publicarán los dígitos que ocupen las posiciones cuarta, quinta, sexta y séptima; mientras que los caracteres alfabéticos, y aquellos numéricos no seleccionados para su publicación, se sustituyen por un asterisco.
El documento se publica en coordinación con la Autoridad Catalana de Protección de Datos, la Agencia Vasca de Protección de Datos y el Consejo de Transparencia y Protección de Datos de Andalucía.
¿Pueden estar incumpliendo alguna de las obligaciones del RGPD las Administraciones que no sigan esta pauta, al dejar en evidencia los datos personales, en este caso DNI, de los ciudadanos? Parece que sí, puesto que el nuevo marco normativo obliga a una responsabilidad proactiva y trazabilidad que también afecta a los organismos públicos y que puede demostrarse previendo riesgos como este mediante herramientas que ayudan y guían en el cumplimiento de la normativa de protección de datos.