La AEPD informa de que no está permitido solicitar una copia del DNI o pasaporte en los hospedajes
La Agencia Española de Protección de Datos (AEPD) ha emitido una nota aclaratoria sobre la aplicación del Real Decreto 933/2021, comúnmente conocido como “Registro viajero”, que establece las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje. En esta nota, la AEPD subraya que solicitar una copia del DNI o pasaporte de los huéspedes no está permitido, ya que vulnera el principio de minimización de datos y supone un tratamiento excesivo de información personal.
Prohibiciones ante la identificación de clientes en turismo
El Real Decreto 933/2021 tiene como objetivo la protección de personas y bienes y el mantenimiento de la tranquilidad ciudadana, ante la especial relevancia de la logística del alojamiento en el modus operandi de los delincuentes. Sin embargo, la AEPD ha identificado que la solicitud de copias de documentos de identidad excede lo necesario para cumplir con esta finalidad.
El RGPD, en su artículo 5.1.c), establece que los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados: principio de minimización de datos. Solicitar una copia del DNI o pasaporte implica recopilar datos adicionales que no son requeridos por la normativa, como la fotografía, la fecha de caducidad del documento, el CAN o el nombre de los padres.
Entregar una copia de la documentación personal implica un riesgo innecesario de suplantación de la identidad, que debe ser evitado o, por lo menos, mitigado de manera efectiva.
El envío de una copia del documento no permite verificar con certeza la identidad de la persona y, por tanto, carece de la idoneidad suficiente para cumplir con la finalidad de la norma. Además, el DNI no contiene la totalidad de la información solicitada en el Anexo I del Real Decreto 933/2021, por lo que, por sí solo, no es un recurso válido para poder cumplir con la citada norma.
Sanciones de la AEPD por incumplimiento de protección de datos
El incumplimiento de la normativa de protección de datos puede acarrear importantes sanciones económicas y reputacionales para los establecimientos de hospedaje. La AEPD tiene la potestad de imponer multas que varían en función de la gravedad de la infracción, pudiendo alcanzar hasta 20 millones de euros o el 4% del volumen de negocio anual global de la empresa, según lo establecido en el RGPD.
Además de las sanciones económicas, las empresas que incumplan la normativa pueden enfrentarse a:
- Apercibimientos: advertencias formales por parte de la AEPD para que se corrijan las prácticas irregulares.
- Obligación de notificar a los interesados: en caso de que se produzca una brecha de seguridad que afecte a los datos personales de los clientes, la empresa está obligada a notificarlo a los interesados y a la AEPD.
- Daño reputacional: la publicidad negativa derivada de una sanción por parte de la AEPD puede dañar la imagen y la reputación de la empresa, lo que puede afectar a su negocio.
¿Cómo deben hoteles y alojamientos hacer el registro?
La AEPD propone que los establecimientos de hospedaje utilicen un formulario para recoger exclusivamente los datos exigidos en los apartados A.3 y B.3 del Anexo I del Real Decreto 933/2021. Este formulario puede ser cumplimentado en línea o presencialmente en el hospedaje.
Los datos que deben recogerse son los siguientes:
- Tipo de documento de identidad: DNI, pasaporte, NIE, etc.
- Número de documento de identidad.
- Nombre y apellidos.
- Fecha de nacimiento.
- Nacionalidad.
Autenticación de los datos:
- En los casos de recogida presencial, podría bastar con comprobar visualmente la correspondencia entre los datos facilitados y el documento de identidad exhibido.
- En caso de recogida de datos en línea sin atención presencial, esta verificación puede realizarse mediante mecanismos como certificados digitales. También es posible la verificación de que los datos y la información proporcionada concuerda con los datos asociados al medio de pago utilizado. Igualmente, entre las medidas posibles, se puede emplear el envío de códigos de seguridad enviados a los números de teléfono o direcciones de correo electrónico de los huéspedes obligados a identificar, como factores de autenticación.
Es imprescindible que los hoteles y alojamientos turísticos revisen sus procedimientos de recogida de datos para garantizar el cumplimiento del RGPD y evitar posibles sanciones. La AEPD no descarta que puedan existir otros procedimientos válidos para poder dar cumplimiento a estas obligaciones, cuya compatibilidad con el RGPD deberá ser evaluada, en todo caso, por el responsable del tratamiento.
En Letslaw somos abogados expertos en derecho digital, por lo que podemos asesorarte en todo lo que necesites.
María Manrique es abogada especializada en derecho digital, protección de datos y derecho de las telecomunicaciones.
Graduada en Derecho por la Universidad Complutense de Madrid, actualmente cursa un máster en derecho de las telecomunicaciones, audiovisual y sociedad de la información en la Universidad Carlos III. Asesora en comercio electrónico, publicidad digital, inteligencia artificial, NFTs y blockchain, con un perfil adaptable y proactivo en entornos tecnológicos.
Artículos Relacionados
Cumplimiento del RGPD en el sector turístico
Primeras multas de la AEPD de más de 40.000 euros por aprovecharse de los datos de los clientes que usan el wifi de los negocios
El CEPD aclara las normas para el intercambio de datos con las autoridades de terceros países y aprueba la certificación del sello de protección de datos de la UE
Ejercicio de Derechos en Protección de Datos, adiós al DNI
Uber se opone a la tercera y más cuantiosa multa de la DPA holandesa por transferencia de datos a EEUU
The Phone House y la Agencia de Protección de Datos se enfrentan por una multa de 6,5 millones de euros