La Agencia Española de Protección de Datos (AEPD) ha emitido un comunicado para aclarar que los hoteles, apartamentos turísticos y empresas similares no pueden solicitar ni conservar una fotocopia o escaneo del DNI o pasaporte de sus clientes durante el proceso de check-in. La normativa vigente obliga a estos establecimientos a recoger datos esenciales (como nombre, apellidos, número de documento, nacionalidad, fecha de nacimiento y fechas de estancia), pero no autoriza el tratamiento de información adicional contenida en dichos documentos, como fotografía, fecha de caducidad o nombres de los progenitores.
¿En qué fundamento legal se basa la AEPD?
El fundamento jurídico está basado en el Real Decreto 933/2021 (registro de viajeros) y el Artículo 5.1. C del RGPD, que establece que los datos personales deben ser adecuados, pertinentes y no excesivos en relación a su finalidad. El órgano regulador señala que el DNI contiene elementos adicionales innecesarios (como la fotografía, la fecha de expedición o los nombres de los padres) cuya recogida no está contemplada para fines de registro de hospedaje.
Solicitar o mantener copias de los documentos expone a los consumidores a riesgos de suplantación de identidad o fraudes financieros. La AEPD ha impuesto sanciones a varios establecimientos, incluyendo multas de hasta 1.500 euros en el caso de un hotel de Cantabria que canceló una reserva por la negativa del cliente a entregar una copia de su DNI. En otros casos, la Agencia ha aplicado multas mayores, que pueden alcanzar cifras de hasta 100.000 euros, como ilustra el caso de una gran empresa multada por este motivo.
La AEPD recuerda que esta práctica vulnera el principio de minimización de datos, establece un riesgo de suplantación de identidad y puede llevar a sanciones económicas. La Agencia insiste en que los datos requeridos pueden recogerse mediante formularios presenciales u online, sin necesidad de almacenar copias completas de los documentos identificativos. Ante un futuro aumento de viajeros este verano, la AEPD advierte de la importancia de emplear métodos menos intrusivos y respetuosos con la privacidad, y advierte que continuará monitorizando posibles incumplimientos.
¿Cómo deben actuar los establecimientos y los consumidores?
Los alojamientos deben limitarse a verificar el DNI visualmente y anotar los datos exigidos por la normativa, sin escanear ni copiar el documento. También pueden usar sistemas automáticos que leen únicamente los datos obligatorios mediante OCR o integraciones digitales, sin conservar la imagen completa del documento.
Si un hotel insiste en obtener una copia, los huéspedes pueden rechazar la petición amparándose en sus derechos, exigir un formulario con los datos mínimos necesarios, y en caso de negativa persistente, solicitar hoja de reclamaciones, grabar la conversación y denunciar ante la AEPD. Accede a nuestra sección de actualidad para conocer otras noticias de interés.
