Qué dice al respecto en el GDPR:
Qué criterios sigue la AEPD:
En su E/9130/2018 procede al archivo de actuaciones ante una reclamación por solicitar el DNI para acreditar la identidad ante un ejercicio de derecho de supresión resolviendo que se acredita que la actuación del reclamado es proactiva y ajustada en su respuesta al ejercicio de un derecho personalísimo, no estimándose que se produce infracción de la normativa vigente de protección de datos.
En el TD/00204/2019, resuelve que no se debería solicitar el DNI si cuando al recabarse los datos personales tampoco se solicitó. Si no se solicitó la identidad para darle de alta, no se requerirá acreditación para la supresión de sus datos, sino la comprobación del correo electrónico desde el que se solicitó dicha alta y que figura en sus registros. No debe ser mayor el rigor para dar de baja que el rigor para dar de alta.
Recientemente en el PS/00003/2021, resuelve que si la dirección de correo electrónico de la persona ejerciente de la solicitud de derecho, constaba ya en los sistemas de la entidad responsable del tratamiento y la solicitud se llevó a cabo desde la misma, sería suficiente para verificar la identidad de dicha persona.
Conclusión:
Cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona física que solicita el ejercicio de alguno de sus derechos, podrá utilizar todas las medidas razonables para verificar dicha identidad y solicitar información adicional. Será por tanto el responsable quien, en cada caso, según las circunstancias y teniendo en cuenta, entre otros, el principio de minimización del art. 5.1.c GDPR, determine qué medidas resultarán razonables y si necesita solicitar información adicional, y en tal caso que información solicitar para verificar la identidad de la persona solicitante.
Las autoridades de control recomiendan formas menos intrusivas, que la solicitud del DNI, para comprobar la identidad del solicitante, por ejemplo y entre otras: