Sobre lo del DNI, salió a colación en un hilo del rincón, sobre otra página, pero que es aplicable aquí también (lo menciono):
viewtopic.php?p=1741429932En particular, tal cual dice el artículo 24 punto 4, no es necesario otro medio de identificación personal, además de ser un sinsentido, porque el DNI no os ayuda a verificar la identidad, cuando ya hay un medio por el que podéis identificar a la persona, o al usuario, en este caso.
Reglamento de desarrollo de la Ley Orgánica de Protección de datos escribió:Artículo 24
[...]
4. Cuando el responsable del fichero o tratamiento disponga de servicios de cualquier índole para la atención a su público o el ejercicio de reclamaciones relacionadas con el servicio prestado o los productos ofertados al mismo, podrá concederse la posibilidad al afectado de ejercer sus derechos de acceso, rectificación, cancelación y oposición a través de dichos servicios. En tal caso, la identidad del interesado se considerará acreditada por los medios establecidos para la identificación de los clientes del responsable en la prestación de sus servicios o contratación de sus productos.
Luego en el artículo 25 (te remito al enlace superior) dice, justamente en el primer párrafo, que no se aplicará la petición del DNI en el supuesto anterior.
Yo, si fuera vosotros, haría consulta a la gestoría (por salir de dudas), o preguntaría directamente a la AEPD, pero, vamos, la ley es la ley, y si os dicen otra cosa, pues bueno, pero el DNI no hace falta, que, además, como digo, no os sirve de nada a efectos de verificación de identidad.
Estamos de acuerdo en la vaguedad de la identificación porque nada os garantiza la usurpación de la cuenta por hackeo/adivinación de contraseña, pero ese es otro tema; y, al fin y al cabo, alguien os puede aportar un DNI de un tercero, y no necesariamente suyo.
Esto lo pongo aquí, porque ha habido dos casos seguidos iguales o casi, y tentado estuve de ponerlo en el otro hilo.