fotocopias dni

No se puede pedir copia del DNI al hacer el check-in

Protección de datos / Por

Solicitar una copia del DNI o pasaporte durante el check-in sigue siendo una práctica habitual en muchos alojamientos turísticos. Sin embargo, esta acción entra en conflicto con la normativa vigente en protección de datos y puede suponer un riesgo legal considerable. La Agencia Española de Protección de Datos lo ha dejado claro: no es legal pedir una copia del documento de identidad en estos contextos.

En este artículo explicamos por qué esta práctica vulnera el RGPD, qué alternativas seguras existen para cumplir con el Real Decreto 933/2021, y cómo pueden los establecimientos turísticos adaptar sus procesos para garantizar tanto el cumplimiento normativo como la confianza del cliente.

El nuevo escenario normativo para alojamientos turísticos

Con la entrada en vigor del Real Decreto 933/2021, se ha producido una transformación profunda en las obligaciones que deben asumir los establecimientos de hospedaje respecto a la identificación de viajeros. Sin embargo, muchas de estas entidades siguen aplicando prácticas que no se ajustan al marco legal vigente en materia de protección de datos, especialmente al solicitar una copia del DNI o pasaporte del cliente al realizar el check-in.

Este tipo de solicitud, aunque frecuente, constituye un tratamiento de datos excesivo y no permitido, tal y como ha recordado recientemente la Agencia Española de Protección de Datos (AEPD). En este artículo analizamos los motivos legales, los riesgos y las alternativas recomendadas para cumplir con la normativa sin vulnerar derechos fundamentales.

¿Qué exige realmente el Real Decreto 933/2021?

El Real Decreto 933/2021, que regula los registros documentales de actividades de hospedaje y alquiler de vehículos a motor, establece que los titulares de estas actividades están obligados a recoger una serie de datos identificativos de los usuarios que hagan uso de sus servicios. Entre estos datos se encuentran:

  • Nombre y apellidos
  • Número del documento de identidad
  • Fecha de nacimiento
  • Sexo
  • Nacionalidad
  • Teléfono de contacto

No se requiere en ningún caso que se realice una copia física o digital del documento identificativo. Tampoco se solicita información como la fotografía, el nombre de los padres, el CAN (Código de Acceso a la Información del DNIe) o la fecha de caducidad del documento.

Principio de minimización de datos: una obligación, no una sugerencia

El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) establecen que los datos personales tratados deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se recaban.

Este principio de minimización de datos implica que no se deben recopilar datos adicionales a los estrictamente exigidos por la normativa. La solicitud de una copia del DNI supone, por tanto, una extralimitación, ya que incluye datos sensibles que no son requeridos y que incrementan innecesariamente los riesgos de seguridad.

¿Por qué no se puede pedir una copia del DNI al cliente?

La AEPD ha sido clara: pedir y almacenar una copia del DNI o pasaporte del cliente vulnera la normativa de protección de datos por las siguientes razones:

  • Contiene información adicional innecesaria para cumplir con el Real Decreto 933/2021.
  • Supone un tratamiento excesivo de datos personales.
  • Aumenta el riesgo de suplantación de identidad y fuga de información.
  • No está respaldado por ninguna base jurídica legítima en este contexto específico.

¿Cómo puede un alojamiento verificar los datos del cliente?

El cumplimiento del Real Decreto no exige copiar el documento de identidad. Existen alternativas legítimas y seguras para verificar los datos de los huéspedes, que garantizan la legalidad del proceso y la protección de los datos personales:

1. Verificación visual presencial

Durante el proceso de check-in presencial, el personal del alojamiento puede comparar visualmente los datos que el cliente ha rellenado en el formulario con los que aparecen en su documento de identidad. Esta revisión debe realizarse sin fotocopiar, escanear ni almacenar el documento. Se trata de una comprobación momentánea cuyo único fin es confirmar que el viajero es quien dice ser.

Es recomendable que el personal esté formado en identificación documental básica, para poder detectar errores o indicios de falsedad sin necesidad de un escaneo completo del documento.

2. Formulario digital o en papel

El cliente debe facilitar sus datos mediante un formulario específico diseñado conforme a lo establecido en el Anexo I del Real Decreto 933/2021. Este formulario puede estar disponible tanto en papel como en formato digital, y debe incluir únicamente los campos obligatorios (nombre, apellidos, sexo, fecha de nacimiento, tipo y número de documento, nacionalidad, entre otros).

La empresa debe asegurarse de que estos formularios se almacenan cumpliendo con las medidas de seguridad organizativas y técnicas establecidas por el RGPD. Es crucial disponer de políticas claras de limitación del acceso, cifrado y conservación temporal de los datos recogidos.

3. Verificación online

En los casos en los que el check-in se realiza a distancia (por ejemplo, en reservas a través de plataformas web o apps móviles), existen alternativas tecnológicas válidas y conformes al RGPD:

  • Certificados digitales: permiten comprobar la identidad del cliente a través de una firma electrónica avanzada, siendo un método válido para autenticar información.
  • Verificación por medio de pago: en ocasiones, el cruce de los datos personales con los asociados al método de pago utilizado (como una tarjeta bancaria) puede servir como mecanismo de autenticación.
  • Autenticación en dos pasos: enviar un código de verificación al teléfono móvil o correo electrónico declarado por el cliente es una forma eficaz de confirmar que la persona que facilita los datos es quien dice ser.
  • Plataformas de check-in con verificación automática: existen herramientas diseñadas para el sector hotelero que automatizan este proceso y aplican verificaciones de seguridad sin almacenar información sensible innecesaria.

Adoptar estas medidas garantiza que el alojamiento cumple tanto con la legislación sobre registro de viajeros como con la normativa en materia de protección de datos, evitando sanciones y generando mayor confianza en sus usuarios.

Consecuencias legales de incumplir la normativa

Solicitar una copia del DNI sin base legal no solo representa una infracción del RGPD, sino que también puede conllevar sanciones económicas importantes. La Agencia Española de Protección de Datos (AEPD) tiene la potestad de imponer multas que pueden alcanzar hasta los 20 millones de euros o el 4 % de la facturación anual global de la empresa infractora, en función de la gravedad de la infracción.

Uno de los ejemplos más ilustrativos es el caso recientemente publicado en un artículo de Maser Legal, donde un hotel fue sancionado con 30.000 euros por exigir a sus clientes una fotocopia del DNI sin justificar adecuadamente la base legal para dicho tratamiento. La AEPD concluyó que esa práctica infringía directamente el principio de minimización de datos y suponía un riesgo innecesario de seguridad para los titulares de los datos.

Este tipo de prácticas no solo expone a las empresas a procedimientos sancionadores, sino que también tiene consecuencias reputacionales. En un entorno cada vez más sensibilizado con la protección de datos, la pérdida de confianza del cliente puede derivar en una disminución de reservas y en daños a la imagen pública difíciles de revertir.

Por tanto, es imprescindible que los responsables de establecimientos turísticos revisen sus procedimientos internos y reciban el asesoramiento adecuado para garantizar que todas sus actuaciones están alineadas con el RGPD y el Real Decreto 933/2021. 

Desde Maser Legal, ofrecemos consultoría especializada y formación adaptada al sector hotelero, para prevenir riesgos y asegurar una gestión correcta de los datos personales.

CONTACTAR CON EXPERTOS EN PROTECCIÓN DE DATOS

Buenas prácticas para alojamientos responsables

Los establecimientos que desean cumplir con la normativa y ofrecer garantías reales a sus clientes pueden aplicar estas buenas prácticas:

  • Actualizar los protocolos de check-in eliminando la solicitud de copia de documentos.
  • Implementar un sistema seguro de recogida de datos conforme al Anexo I del RD 933/2021.
  • Formar al personal en protección de datos y gestión documental.
  • Utilizar plataformas que faciliten la coordinación documental y la seguridad jurídica en la gestión de los registros de viajeros.

En este sentido, desde Maser Legal ofrecemos servicios de consultoría especializada en protección de datos y cumplimiento normativo, así como herramientas digitales seguras para la gestión documental de alojamientos turísticos.

También puede interesarte nuestro artículo sobre cómo aplicar el RGPD en el canal de denuncias de tu empresa, donde abordamos otra dimensión crítica del cumplimiento normativo.

Protección de datos y check-in: un equilibrio imprescindible

En el contexto actual, la protección de datos personales no debe entenderse como un obstáculo, sino como un elemento esencial de confianza y seguridad. Las empresas del sector turístico tienen la responsabilidad de adaptar sus procedimientos a la normativa vigente, sin recurrir a prácticas invasivas que comprometan la privacidad del cliente.

Entender los límites legales, aplicar el principio de minimización y utilizar medios tecnológicos adecuados permite a los alojamientos cumplir con sus obligaciones sin vulnerar los derechos fundamentales de los viajeros. Desde Maser Legal podemos ayudarte a implantar un sistema seguro, legal y eficaz de gestión de datos en tu establecimiento.

Call Now Button