Solicitar una copia del DNI o pasaporte durante el check-in sigue siendo una práctica habitual en muchos alojamientos turísticos. Sin embargo, esta acción entra en conflicto con la normativa vigente en protección de datos y puede suponer un riesgo legal considerable. La Agencia Española de Protección de Datos lo ha dejado claro: no es legal pedir una copia del documento de identidad en estos contextos.
En este artículo explicamos por qué esta práctica vulnera el RGPD, qué alternativas seguras existen para cumplir con el Real Decreto 933/2021, y cómo pueden los establecimientos turísticos adaptar sus procesos para garantizar tanto el cumplimiento normativo como la confianza del cliente.
Con la entrada en vigor del Real Decreto 933/2021, se ha producido una transformación profunda en las obligaciones que deben asumir los establecimientos de hospedaje respecto a la identificación de viajeros. Sin embargo, muchas de estas entidades siguen aplicando prácticas que no se ajustan al marco legal vigente en materia de protección de datos, especialmente al solicitar una copia del DNI o pasaporte del cliente al realizar el check-in.
Este tipo de solicitud, aunque frecuente, constituye un tratamiento de datos excesivo y no permitido, tal y como ha recordado recientemente la Agencia Española de Protección de Datos (AEPD). En este artículo analizamos los motivos legales, los riesgos y las alternativas recomendadas para cumplir con la normativa sin vulnerar derechos fundamentales.
El Real Decreto 933/2021, que regula los registros documentales de actividades de hospedaje y alquiler de vehículos a motor, establece que los titulares de estas actividades están obligados a recoger una serie de datos identificativos de los usuarios que hagan uso de sus servicios. Entre estos datos se encuentran:
No se requiere en ningún caso que se realice una copia física o digital del documento identificativo. Tampoco se solicita información como la fotografía, el nombre de los padres, el CAN (Código de Acceso a la Información del DNIe) o la fecha de caducidad del documento.
El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) establecen que los datos personales tratados deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se recaban.
Este principio de minimización de datos implica que no se deben recopilar datos adicionales a los estrictamente exigidos por la normativa. La solicitud de una copia del DNI supone, por tanto, una extralimitación, ya que incluye datos sensibles que no son requeridos y que incrementan innecesariamente los riesgos de seguridad.
La AEPD ha sido clara: pedir y almacenar una copia del DNI o pasaporte del cliente vulnera la normativa de protección de datos por las siguientes razones:
El cumplimiento del Real Decreto no exige copiar el documento de identidad. Existen alternativas legítimas y seguras para verificar los datos de los huéspedes, que garantizan la legalidad del proceso y la protección de los datos personales:
Durante el proceso de check-in presencial, el personal del alojamiento puede comparar visualmente los datos que el cliente ha rellenado en el formulario con los que aparecen en su documento de identidad. Esta revisión debe realizarse sin fotocopiar, escanear ni almacenar el documento. Se trata de una comprobación momentánea cuyo único fin es confirmar que el viajero es quien dice ser.
Es recomendable que el personal esté formado en identificación documental básica, para poder detectar errores o indicios de falsedad sin necesidad de un escaneo completo del documento.
El cliente debe facilitar sus datos mediante un formulario específico diseñado conforme a lo establecido en el Anexo I del Real Decreto 933/2021. Este formulario puede estar disponible tanto en papel como en formato digital, y debe incluir únicamente los campos obligatorios (nombre, apellidos, sexo, fecha de nacimiento, tipo y número de documento, nacionalidad, entre otros).
La empresa debe asegurarse de que estos formularios se almacenan cumpliendo con las medidas de seguridad organizativas y técnicas establecidas por el RGPD. Es crucial disponer de políticas claras de limitación del acceso, cifrado y conservación temporal de los datos recogidos.
En los casos en los que el check-in se realiza a distancia (por ejemplo, en reservas a través de plataformas web o apps móviles), existen alternativas tecnológicas válidas y conformes al RGPD:
Adoptar estas medidas garantiza que el alojamiento cumple tanto con la legislación sobre registro de viajeros como con la normativa en materia de protección de datos, evitando sanciones y generando mayor confianza en sus usuarios.
Solicitar una copia del DNI sin base legal no solo representa una infracción del RGPD, sino que también puede conllevar sanciones económicas importantes. La Agencia Española de Protección de Datos (AEPD) tiene la potestad de imponer multas que pueden alcanzar hasta los 20 millones de euros o el 4 % de la facturación anual global de la empresa infractora, en función de la gravedad de la infracción.
Uno de los ejemplos más ilustrativos es el caso recientemente publicado en un artículo de Maser Legal, donde un hotel fue sancionado con 30.000 euros por exigir a sus clientes una fotocopia del DNI sin justificar adecuadamente la base legal para dicho tratamiento. La AEPD concluyó que esa práctica infringía directamente el principio de minimización de datos y suponía un riesgo innecesario de seguridad para los titulares de los datos.
Este tipo de prácticas no solo expone a las empresas a procedimientos sancionadores, sino que también tiene consecuencias reputacionales. En un entorno cada vez más sensibilizado con la protección de datos, la pérdida de confianza del cliente puede derivar en una disminución de reservas y en daños a la imagen pública difíciles de revertir.
Por tanto, es imprescindible que los responsables de establecimientos turísticos revisen sus procedimientos internos y reciban el asesoramiento adecuado para garantizar que todas sus actuaciones están alineadas con el RGPD y el Real Decreto 933/2021.
Desde Maser Legal, ofrecemos consultoría especializada y formación adaptada al sector hotelero, para prevenir riesgos y asegurar una gestión correcta de los datos personales.
CONTACTAR CON EXPERTOS EN PROTECCIÓN DE DATOS
Los establecimientos que desean cumplir con la normativa y ofrecer garantías reales a sus clientes pueden aplicar estas buenas prácticas:
En este sentido, desde Maser Legal ofrecemos servicios de consultoría especializada en protección de datos y cumplimiento normativo, así como herramientas digitales seguras para la gestión documental de alojamientos turísticos.
También puede interesarte nuestro artículo sobre cómo aplicar el RGPD en el canal de denuncias de tu empresa, donde abordamos otra dimensión crítica del cumplimiento normativo.
En el contexto actual, la protección de datos personales no debe entenderse como un obstáculo, sino como un elemento esencial de confianza y seguridad. Las empresas del sector turístico tienen la responsabilidad de adaptar sus procedimientos a la normativa vigente, sin recurrir a prácticas invasivas que comprometan la privacidad del cliente.
Entender los límites legales, aplicar el principio de minimización y utilizar medios tecnológicos adecuados permite a los alojamientos cumplir con sus obligaciones sin vulnerar los derechos fundamentales de los viajeros. Desde Maser Legal podemos ayudarte a implantar un sistema seguro, legal y eficaz de gestión de datos en tu establecimiento.
La tecnología de reconocimiento facial ha ganado terreno en múltiples sectores, desde la seguridad hasta…
Registro biométrico y control horario: prohibición, multas y alternativas El control horario de los trabajadores…
Mantener la confidencialidad y el respeto a la privacidad en una comunidad de vecinos no…
La tecnología, cuando se aplica de forma indebida, puede poner en jaque derechos fundamentales. Uno…
Durante una reunión en abril de 2023, una conocida inmobiliaria instó a sus empleados a fotografiar…
Exposición de datos personales en zonas comunes: ¿una práctica legal? La publicación de datos personales…