La AEPD prohíbe pedir copia del DNI en hospedajes

por

La AEPD prohíbe pedir copia del DNI en hospedajes y deja claro aspectos de especial interés para los obligados, de cara al cumplimiento de la norma. El Real Decreto 933/2021, de 26 de octubre, establece una obligación clara y vinculante para quienes gestionan actividades de hospedaje (hoteles, hostales, apartamentos turísticos) y arrendamiento de vehículos: recopilar y archivar cierta información de las personas usuarias antes de que inicien su estancia o disfruten del servicio. Esta normativa tiene dos objetivos fundamentales:

  1. Facilitar el control y vigilancia por parte de las autoridades.

  2. Incrementar la seguridad pública, dificultando que delincuentes puedan usar estos servicios para su operativa.

El decreto detalla, en su Anexo I, los datos exigidos que deben recopilarse por los obligados:

  • A.3 – Personas físicas (general).

  • A.4 – Personas físicas extranjeras.

  • B.3 – Personas jurídicas (empresas viajando).

  • B.4 – Personas jurídicas extranjeras.

Aunque el texto no los enumera de forma explícita en el decreto, suelen incluirse:

  • Identificación: nombre y apellidos, nacionalidad, fecha de nacimiento.

  • Datos del documento de identidad: tipo y número de pasaporte o documento oficial, fecha de expedición y caducidad, entidad emisora.

  • Fecha de llegada y salida.

  • Datos de alojamiento: tipo de estancia, número de personas.

  • En el caso de empresas viajeras, detalles de la entidad contratante: razón social, CIF, representante legal.

El objetivo central es permitir a las autoridades acceder a esta información en caso de ser necesaria.

No recogerlos puede conllevar sanciones administrativas, incluso económicas, que analizaremos más adelante.

El principio de minimización de datos y la prohibición de solicitar copia del documento

Una cuestión relevante señalada por la AEPD es la prohibición de exigir una copia del DNI o pasaporte a los clientes. Solicitar estos documentos va en contra del principio de minimización de datos recogido en el artículo 5.1.c) del RGPD, ya que:

  • El documento contiene información innecesaria para los fines del decreto, como fotografía, CAN, o datos de fechas de expiración.

  • Exponer una copia del documento aumenta el riesgo de suplantación de identidad o filtración de datos sensibles.

Además, remitir una copia no sirve para cumplir con la normativa, pues no garantiza que la persona que presenta el documento sea realmente quien usa los servicios. La finalidad del real decreto no es almacenar documentos, sino verificar identidad y prevenir el uso del servicio por delincuentes.

La finalidad del Real Decreto 933/2021 es clara: protección de personas y bienes, y la preservación del orden público ante posibles actuaciones delictivas. Este objetivo está expresado en la Exposición de Motivos de la norma.

Desde la perspectiva del RGPD, la base jurídica para recoger estos datos es el artículo 6.1.e): el tratamiento es necesario para el cumplimiento de una misión realizada en interés público, o basado en una ley.

En consecuencia, siempre que los datos se limiten a los exigidos por la norma y se apliquen los procedimientos adecuados de recogida y verificación, no existe conflicto legal.

La Agencia Española de Protección de Datos (AEPD) ha publicado orientaciones específicas para aclarar cómo cumplir con la normativa sin sobrepasar los límites del RGPD y respetar el principio de minimización de datos (de esta manera la AEPD prohíbe pedir copia del DNI en hospedajes):

  • Basta con disponer de un formulario con los datos previstos en el Anexo I y que se rellene presencialmente, al realizar el check-in o en línea antes de llegar al establecimiento o recoger el vehículo.
  • El huésped completa el formulario y presenta su documento de identidad (DNI, pasaporte…). El personal comprueba visualmente que los datos del formulario coinciden con los del documento (nombre, número, fecha de nacimiento). Este método cumple con la normativa sin necesidad de copias.
  • Y para aquellos que completan el formulario en línea la AEPD acepta diversos métodos de verificación de identidad:
      1. Certificados digitales: firmado del formulario usando DNIe o certificados reconocidos.
      2. Verificación basada en el pago: que los datos bancarios coincidan con el formulario.
      3. Envío de códigos de seguridad: mediante SMS o correo electrónico, validados por el usuario.

Estos mecanismos buscan garantizar que la persona identificada en el formulario es la misma que realiza la reserva o disfrutará del servicio.

Ejemplo de aplicación*

El Hotel Estrella Azul, con 120 habitaciones, decide adaptar sus procesos tras la entrada en vigor del RD 933/2021:

    1. Diseña y publica un formulario web con los campos exigidos por el Anexo I A.3.

    2. El usuario lo completa al realizar la reserva online.

    3. Antes del check-in, el sistema envía un código de autenticación al móvil/email del cliente.

    4. Al llegar, el huésped muestra el correspondiente DNI y el personal verifica que coincida con los datos del formulario.

    5. No se guarda copia del DNI, solo una entrada en el registro interno.

    6. Los datos se almacenan en un sistema con acceso restringido y se eliminan tras el plazo legal.

    7. El hotel documenta el procedimiento y forma al personal sobre la protección de datos.

De este modo, el Hotel Estrella Azul cumple con la legalidad, evita sobreexposición de información y respeta la privacidad de sus huéspedes.

No cumplir con las obligaciones de registro, o solicitar datos de forma errónea (como copias de DNI), puede acarrear graves consecuencias:

  • Infracciones leves: tratamiento de datos personales sin causa justa – hasta 10.000 €.

  • Infracciones graves: violación del principio de minimización (art. 5.1.c) – hasta 300.000 €.

  • Infracciones muy graves: si existe riesgo serio para la seguridad de los datos o se amplía indebidamente el tratamiento – hasta 20 000 000 € o el 4 % de la facturación anual global.

Adoptar buenas prácticas (formularios adecuados, verificación efectiva, políticas internas) permite cumplir con la ley, proteger los derechos de los ciudadanos y fortalecer la imagen institucional del proveedor (hotel, empresa de vehículos, etc.).

*Caso ficticio

Conoce más sobre las últimas novedades que puedes afectar a tu actividad o empresa y si necesitas más información ponte en contacto con nosotros y te ayudaremos.

Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. Nunca almacenamos información personal.

La información de las cookies se almacena en tu navegador y realiza funciones como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.

Tienes toda la información sobre privacidad, derechos legales y cookies en nuestras páginas sobre Política de Privacidad, Aviso Legal y Política de Cookies