O recente caso da Universidade Nebrija, multada em 20.000 euros pela Agência Espanhola de Proteção de Dados (AEPD) por exigir a cópia integral do DNI de um aluno para emitir um diploma de mestrado, reacende o debate sobre até que ponto instituições de ensino podem solicitar, tratar e armazenar dados pessoais à luz do RGPD e da crescente preocupação com a privacidade digital.
O que é o DNI e qual a relação com o RGPD na identificação de estudantes
O DNI (Documento Nacional de Identidade) é o principal documento oficial de identificação de cidadãos espanhóis, com dados como nome completo, número de identificação, fotografia, assinatura, filiação, data de validade e elementos de segurança. Já o RGPD (Regulamento Geral sobre a Proteção de Dados) define regras para o tratamento de dados pessoais na União Europeia, com princípios como licitude, transparência, segurança e minimização.
Esse regulamento impacta diretamente universidades e centros de ensino que exigem documentos de identidade para matrícula, gestão acadêmica e emissão de diplomas. A forma como essas instituições coletam, processam e armazenam cópias do DNI deve ser sempre justificada e limitada ao estritamente necessário.
Como ocorreu a multa à Universidade Nebrija pela exigência do DNI completo
O conflito começou quando o estudante apresentou uma cópia pixelizada do DNI, ocultando dados considerados irrelevantes para a emissão do diploma. A universidade recusou o arquivo e insistiu na entrega do DNI completo, alegando que alterações visuais poderiam caracterizar adulteração e facilitar possíveis fraudes na certificação.
LeiaTambém
Em sua defesa, a Universidade Nebrija citou o Real Decreto 1002/2010 e afirmou que, por ser um centro privado, não tinha acesso ao Sistema de Verificação de Dados de Identidade da Administração Pública. Por isso, considerava o documento integral indispensável para confirmar a identidade do aluno na fase de emissão do diploma de mestrado.
Como o princípio da minimização de dados do RGPD foi aplicado neste caso
A AEPD analisou o caso com base no artigo 5.1.c do RGPD, que trata da minimização de dados, e concluiu que a exigência da cópia completa do DNI configurou tratamento excessivo. Para a autoridade, a universidade já possuía dados suficientes para identificar o aluno sem recorrer à cópia integral do documento.
Entre os elementos presentes no documento de identidade considerados supérfluos para a emissão de um certificado acadêmico, a AEPD destacou:
- Fotografia do titular;
- Data de validade do documento;
- Zona de leitura mecânica (MRZ);
- Nomes dos pais e filiação;
- Outros dados biométricos ou elementos de segurança.
Quais medidas de segurança e conformidade podem reduzir riscos no tratamento de dados
Além da minimização, a investigação examinou as medidas de segurança aplicadas ao tratamento dos dados enviados pelo aluno. Inicialmente, a AEPD questionou o eventual envio de documentos de identidade por e-mail, apontando riscos de interceptação, vazamento e acesso não autorizado por terceiros.
A Universidade Nebrija demonstrou que o procedimento ocorria por meio de um portal do aluno, com credenciais personalizadas e autenticação de dois fatores (2FA), considerado adequado ao risco. Em geral, para se alinhar ao RGPD e às orientações das autoridades, instituições podem adotar práticas como:
- Avaliar se a finalidade realmente exige a cópia integral do documento de identidade;
- Optar por versões parcialmente ocultas, removendo dados desnecessários sempre que possível;
- Verificar se os dados essenciais já constam dos registros internos da instituição;
- Implementar canais seguros para envio e armazenamento, com autenticação forte e controle de acessos;
- Revisar políticas internas de privacidade, retenção de dados e resposta a incidentes.
Quais lições finais as instituições devem aplicar com urgência
Ao determinar, além da multa, que a universidade adapte em até dois meses seus processos de solicitação de diplomas ao princípio da minimização de dados, a AEPD sinaliza que a exigência de DNI completo deve ser exceção, e não regra. Em ambientes educacionais, onde a circulação de dados pessoais é intensa, revisar fluxos e formulários tornou-se questão de conformidade urgente.
Se a sua instituição ainda exige cópias integrais de documentos sem análise crítica da necessidade, o momento de agir é agora: revise processos, atualize políticas, envolva o DPO ou equipe de proteção de dados e treine seus times. Cada procedimento ajustado hoje pode ser a diferença entre um ecossistema digital seguro e uma autuação de alto impacto amanhã — não espere a próxima sanção para começar a mudança.