Utilització de número DNI per accedir a sistema d’informació Ajuntament (CNS 43/2018)

El dictamen CNS 43/2018 de l'Autoritat Catalana de Protecció de Dades aborda la qüestió de la utilització del número de DNI per accedir a un sistema d'informació d'un ajuntament, en el context de la tramitació de targetes bonificades per a persones en situació d'atur. L'Institut Municipal de Serveis Socials (IMSS) de l'Ajuntament va subscriure un contracte d'encarregat del tractament amb l'Autoritat del Transport Metropolità (ATM) per gestionar aquestes targetes, permetent als empleats de Transports Metropolitans de Barcelona (TMB) accedir a l'aplicació SIAS de l'IMSS per verificar l'elegibilitat dels sol·licitants. L'accés es realitzava mitjançant la introducció del número de DNI dels empleats de TMB.

L'APDCAT analitza si aquesta pràctica és conforme a la legislació de protecció de dades, especialment en relació amb els principis de proporcionalitat i minimització de dades. Es conclou que l'ús del número de DNI com a únic identificador per accedir al sistema no és una mesura de seguretat adequada, ja que no garanteix l'autenticació de l'usuari i pot ser insuficient per impedir accessos no autoritzats. Es recomana que, a més del número de DNI, s'utilitzi un sistema d'autenticació addicional, com una contrasenya, per assegurar una identificació inequívoca i segura dels usuaris. Aquesta combinació d'usuari i contrasenya és una pràctica estesa i reconeguda en estàndards internacionals de seguretat informàtica, com la norma ISO/IEC 27001.

Així, l'APDCAT considera que la utilització del número de DNI com a identificador d'usuari és adequada sempre que es complementi amb mesures d'autenticació addicionals que garanteixin la seguretat i confidencialitat de les dades personals tractades.