¿Es legal pedir el DNI en hoteles y viviendas turísticas?

El eterno debate sobre la legalidad de fotocopiar el DNI en hoteles y viviendas turísticas ha llegado a su fin. El pasado 17 de junio, la Agencia Española de Protección de Datos (AEPD) emitió una nota informativa que zanja cualquier duda: no está permitido conservar una copia del documento de identidad de los huéspedes. Esta práctica, común hasta ahora en muchos alojamientos, supone una infracción del Reglamento General de Protección de Datos (RGPD) y conlleva un riesgo innecesario para la privacidad.

La decisión se enmarca en la correcta aplicación del Real Decreto 933/2021, norma que regula las obligaciones de registro documental en actividades de hospedaje y alquiler de vehículos. Y lo deja claro: los alojamientos deben recabar ciertos datos, pero no conservar documentos.

¿A quién afecta esta normativa?

Tanto a hoteles y apartamentos turísticos como a particulares que alquilan viviendas de uso turístico a través de plataformas como Airbnb, Booking o Vrbo. Estos operadores deben cumplir las mismas obligaciones de registro e información, aunque no desarrollen la actividad de forma profesional.

El Real Decreto no distingue entre actores profesionales y no profesionales. Si se ofrece alojamiento temporal, se debe cumplir con las obligaciones de registro e información previstas en el Anexo I (apartados A.3, A.4, B.3 y B.4).

¿Es legal pedir fotocopia DNI?

Solicitar una copia del documento de identidad no solo es innecesario, sino que también vulnera el principio de minimización de datos recogido en el artículo 5.1.c) del Reglamento General de Protección de Datos (RGPD).

La copia de un documento oficial incluye información que no es necesaria para los fines del Real Decreto, como la fotografía, la firma, la fecha de caducidad o incluso el nombre de los padres. Además de tratarse de datos excesivos, su almacenamiento incrementa el riesgo de suplantación de identidad.

La AEPD recuerda que, paradójicamente, el propio DNI no contiene todos los datos exigidos por la norma, por lo que ni siquiera es un medio válido para cumplir con ella en su totalidad. Y advierte: conservar una fotocopia no garantiza la autenticación ni aporta trazabilidad suficiente.

• Multan con 30.000 € a un hotel por escanear el pasaporte de un huésped

La AEPD informa de que no está permitido solicitar una copia del DNI o pasaporte en los hospedajes Fuente: ChatGPT IA

¿Qué datos exige el RD 933/2021 al registrar a los huéspedes?

Los justos y necesarios: nombre y apellidos, número del documento, nacionalidad, fecha de nacimiento, sexo, lugar de procedencia, y fechas de entrada y salida, entre otros. Todos estos campos figuran detallados en el Anexo I - apartados A.3 y B.3.- del RD 933/2021.

Estos datos registrados pueden recogerse mediante formularios, ya sea en papel o a través de herramientas digitales. La clave está en diseñar procesos proporcionales que permitan cumplir la ley sin comprometer derechos fundamentales.

La finalidad no es otra que facilitar a las Fuerzas y Cuerpos de Seguridad del Estado una trazabilidad de los usuarios, en un contexto donde el alojamiento forma parte del modus operandi de algunas formas de criminalidad organizada.

Verificación de identidad: presencial y online

Para el check-in presencial, la AEPD considera suficiente una verificación visual del documento de identidad. Es decir, el recepcionista puede comprobar que los datos del formulario coinciden con los del DNI mostrado, sin necesidad de escanearlo ni copiarlo, lo que alivia también la carga administrativa del establecimiento.

En los registros realizados a distancia, la identidad del huésped puede comprobarse mediante soluciones tecnológicas igualmente válidas, siempre que respeten los principios del RGPD. Entre las opciones aceptadas por la AEPD figuran el uso de certificados digitales, la verificación cruzada con los datos del método de pago o el envío de códigos de autenticación al teléfono o correo electrónico proporcionado por el cliente.

En registros online, la verificación puede realizarse mediante:

• Certificados digitales.

• Comprobación de los datos asociados al método de pago.

• Envío de códigos de verificación al móvil o correo electrónico facilitado por el huésped.

Estos métodos permiten validar la identidad sin necesidad de tratar más datos de los necesarios ni comprometer la privacidad del viajero

Estas alternativas son perfectamente compatibles con el RGPD, siempre que se garantice la seguridad y se limite el tratamiento de datos a lo estrictamente necesario.

¿Y si se usa tecnología OCR o escáneres automáticos?

Asimismo, la AEPD admite que podrían aplicarse otras fórmulas válidas para verificar la identidad de los huéspedes, siempre que se haya realizado previamente un análisis riguroso del impacto que dichas medidas puedan tener sobre la privacidad.

Esta responsabilidad recae en los propios alojamientos, que deben asegurarse de que cualquier sistema implementado -especialmente si se basa en inteligencia artificial o soluciones automatizadas externas- se ajusta escrupulosamente a los principios del RGPD y no incurre en tratamientos excesivos de datos personales.

La tecnología no está reñida con la legalidad, pero debe usarse con cautela. La AEPD permite el uso de sistemas de lectura automática (OCR) siempre que:

• No se almacene la imagen completa del documento.

• Solo se extraigan los datos exigidos por el Real Decreto.

• No se conserve el documento como medio de verificación.

La tecnología OCR (Reconocimiento Óptico de Caracteres) analiza la imagen, identificando patrones de luz y oscuridad para distinguir los caracteres individuales. Luego, el software compara estos patrones con una base de datos de caracteres predefinidos para traducirlos a texto digital. Este texto digital puede ser guardado en formatos como Word o Excel, permitiendo su edición y búsqueda. Fuente: ChatGPT IA

Mostrar el DNI, pero no entregarlo en copia

Porque enseñar el documento únicamente permite confirmar, de forma puntual y sin retener datos innecesarios, que la información facilitada es veraz.

En cambio, entregar una copia implica tratar todos los datos que contiene el documento, muchos de los cuales no son requeridos por la normativa. Solo la primera opción -mostrar sin conservar- se ajusta, en líneas generales, a los principios del RGPD y a los criterios establecidos por la AEPD.

¿Qué deben hacer los alojamientos a partir de ahora?

La reciente interpretación de la AEPD implica una transformación profunda en los procedimientos habituales. No basta con introducir cambios en los formularios.

El cambio de enfoque es claro. Ya no basta con almacenar documentos "por si acaso".

Tanto los gestores profesionales como los particulares que alquilan inmuebles por periodos cortos deben revisar a fondo sus protocolos de recogida de datos, adaptar sus políticas de privacidad y formar adecuadamente a su personal conforme a los nuevos criterios de tratamiento de la información.

La normativa exige responsabilidad proactiva, y los operadores deben:

1. Revisar y actualizar sus protocolos de registro.

2. Utilizar formularios adaptados al Anexo I del RD 933/2021.

3. Verificar la identidad sin almacenar documentos.

4. Garantizar la seguridad de los datos recogidos, y envío de la información.

5. Conservar la información solo durante el plazo legal de tres años, como indica el artículo 5.3 del Real Decreto 933/2021.

6. Aplicar políticas internas de protección de datos y formar a su personal para ejecutarlas.

Recomendamos la lectura del post en comunidad Hosteltur realizado por nuestro colaborador Guillermo Caro, abogado de MONLEX, donde detalla de forma práctica cómo deben actuar hoteles y gestores de viviendas turísticas para adaptarse a esta normativa sin complicaciones

¿Sabes que puedes estar al día con el mejor contenido de HOSTELTUR directamente en tu teléfono?

Síguenos en nuestros canales de WhatsApp y Telegram, donde enviamos cada día una selección de nuestras mejores historias y de las noticias de última hora.