AEPD lo deja claro: DNI sin copias en hoteles

AEPD lo deja claro: DNI sin copias en hoteles Cada verano se repite la misma escena: al hacer el check-in, algunos alojamientos siguen pidiendo fotocopiar o escanear el DNI del huésped “por seguridad” o “porque lo exige la Policía”. Sin embargo, esa práctica no está permitida y puede acarrear sanciones. El marco legal actual obliga a recoger y comunicar determinados datos de los viajeros, pero no legitima conservar una copia del documento. La AEPD lo ha aclarado de forma expresa en junio de 2025.

Qué exige de verdad el registro de viajeros (RD 933/2021)

Antes de entrar en procedimientos, conviene distinguir obligaciones reales de prácticas erróneas. El RD 933/2021 regula qué datos deben recogerse de cada viajero y a qué fuerzas y cuerpos de seguridad hay que comunicarlos. No otorga “carta blanca” para pedir cualquier información ni para copiar documentos. El marco legal exige recoger ciertos datos identificativos (por ejemplo, nombre y apellidos, tipo y número de documento, nacionalidad, fecha de nacimiento, entre otros) y remitirlos conforme a los canales establecidos. No exige escanear o guardar imágenes del documento, ni mucho menos almacenar fotografías, CAN del DNIe o fecha de caducidad. Repetimos: el RD 933/2021 obliga a registrar datos, no a conservar copias del documento. Tras recabar los campos obligatorios, el establecimiento cumple. Pasarse de ese límite —por ejemplo, fotocopiando el documento— vulnera el principio de minimización del RGPD: los datos han de ser adecuados, pertinentes y limitados a lo necesario para la finalidad del tratamiento. Por eso la AEPD ha aclarado expresamente que no está permitido solicitar una copia del DNI o pasaporte a los huéspedes para cumplir el RD 933/2021.

Qué ha dicho la AEPD (y por qué)

Tras constatar dudas persistentes, la AEPD publicó el 17 de junio de 2025 una nota que despeja el debate:

“No se debe solicitar una copia del documento de identidad.”

• Hacerlo vulnera el principio de minimización (art. 5.1.c RGPD), porque el DNI contiene más datos de los necesarios (foto, fecha de caducidad, CAN, nombres de los padres, etc.).
• Además, entregar copias incrementa el riesgo de suplantación de identidad y no garantiza la verificación real de la persona (la copia puede no corresponder con quien se presenta).

La verificación correcta consiste en comprobación visual del documento exhibido en recepción o, en el caso de registros en línea, métodos de autenticación como certificados electrónicos, verificación del medio de pago o códigos de un solo uso enviados al teléfono o correo del huésped.

Sanciones recientes que debes conocer

La doctrina no es teórica. En los últimos meses han trascendido resoluciones y multas por pedir copias o escaneos del documento durante el check-in:

World2Meet (Grupo Iberostar): 70.000 € (42.000 € por reducción)

La AEPD tramitó expediente contra World 2 Meet, S.L. por requerir imágenes del documento a quienes iban a alojarse para el check-in online y el registro de viajeros. La Agencia apreció tratamiento excesivo y graduó la sanción en 70.000 €, quedando en 42.000 € por pronto pago y reconocimiento de responsabilidad. La resolución especifica, además, que pedir ambas caras del documento agrava el riesgo para la persona afectada. Agencia Española de Protección de Datos.

Hoteles sancionados por escanear el DNI

Medios generalistas han recogido otros casos: un hotel en Girona sancionado por exigir escaneo del DNI (multa final 5.400 € tras reducciones), y otro caso en Cantabria por exigir fotocopia (multa de 1.500 €, reducida por pronto pago). El patrón es recurrente: se interpreta como tratamiento desproporcionado que añade datos no necesarios y aumenta riesgos.

¿Se puede pedir una fotocopia del DNI?

Cómo verificar correctamente sin vulnerar el RGPD

Evitar copias no significa renunciar a la seguridad. La clave está en procedimentar un flujo de registro de viajeros que cumpla RD 933/2021 y RGPD a la vez. Proponemos un método en tres capas:

1) Identificación presencial “sin copia”

En check-in presencial, se muestra el documento y se contrasta con los datos del parte de entrada. El personal valida visualmente que el documento coincide con la persona y los datos declarados. No se fotocopia, no se escanea, no se almacena imagen. Conviene formar al equipo en identificación documental básica y detección de fraudes.

2) Check-in digital con “lectura sin retención”

Si se ofrece pre-check-in digital, la plataforma debe extraer los campos obligatorios y no conservar la imagen del documento. Las soluciones deben configurarse para no almacenar fotografía, reverso, CAN ni datos extra. La verificación puede apoyarse en lógica antifraude (coherencia, duplicidades, controles de integridad) sin guardar la copia del documento.

3) Mecanismos complementarios de autenticación

Para reservas a distancia, pueden combinarse doble factor (envío de código a teléfono/correo), firma electrónica en el parte de viajeros o la validación del medio de pago (coincidencia de identidad), siempre sin transformar esos medios en “fuentes de datos adicionales” innecesarias. Todo ello debe recogerse en una política interna con su evaluación de riesgos.

Qué no debes hacer (errores frecuentes)

En nuestra experiencia con alojamientos y apartamentos turísticos, estos son los fallos que más multas generan:

• Fotocopiar o escanear el documento “por sistema”.
• Guardar imágenes del anverso y reverso del DNI en carpetas o apps del establecimiento.
• Configurar la plataforma de check-in para que retenga imágenes de documentos tras el check-out.
• Pedir datos no exigidos por el anexo del RD 933/2021 (p. ej., fotografía, nombre de los progenitores, CAN).
• No informar adecuadamente (falta de capas informativas y base jurídica equivocada).
• Omitir un registro de actividades y análisis de riesgos específico para el registro de viajeros.

La nota de la AEPD recalca que esos excesos no están amparados por la finalidad del RD 933/2021 y deben evitarse.

Preguntas frecuentes de dirección y recepción

¿La Policía puede exigir las copias del DNI?

Lo que pueden requerir son los datos del registro y las comunicaciones realizadas conforme al RD 933/2021. Las copias del documento no están previstas como requisito ni son necesarias para la verificación de identidad.

¿Y si el cliente se niega a mostrar el documento?

La exhibición del documento para verificación visual es razonable y necesaria para cumplir el RD 933/2021. Si el registro es online, emplee métodos alternativos de autenticación recogidos por la AEPD (certificados, verificación del medio de pago, códigos de seguridad). No se puede obligar a entregar copias del documento.

¿Podemos pedir el anverso y reverso del DNI “solo para ficha”?

No. Es excesivo y contrario al principio de minimización. La norma exige datos, no imágenes del documento.

¿Qué multas se han impuesto por pedir copias?

Se han conocido sanciones a alojamientos que exigían fotocopiar el DNI o cancelaban la reserva ante la negativa del cliente; además, la entrada en vigor del sistema de registro comporta multas administrativas por incumplimientos en registro/comunicación (hasta 30.000 €).

RGPD y registro de viajeros: asesoría para hoteles

Somos abogados especialistas en protección de datos en Zaragoza y acompañamos a hoteles, hostales y viviendas turísticas a implantar un check-in conforme y sin copias. Diseñamos protocolos operativos, redactamos cláusulas RGPD, configuramos controles de seguridad y formamos a tu equipo de recepción. Además, auditamos tu PMS y los conectores con Ses.Hospedajes, revisamos acuerdos con proveedores, y defendemos tus intereses ante requerimientos policiales o actuaciones de la AEPD. La clave es cumplir el RD 933/2021 (registro, conservación y comunicación en plazo) sin extralimitar el tratamiento de datos. No se pueden solicitar ni conservar copias del DNI/pasaporte; existen métodos de verificación igual de eficaces y menos intrusivos. Con un protocolo “cero copias”, formación práctica y controles tecnológicos adecuados, tu establecimiento protege a los clientes, evita sanciones y gana eficiencia.