Eso no es que de mucha seguridad, ¿no sería mejor almacenar en la HttpSession una variable con el dni y asi no tener que pasarlo como parametro?. Los parametros ocultos de HTML no están ocultos para nadie que quiera acceder.

S!

Edit: Añadidos los interrogantes, que si no se lee raro