Protección de datos en sector hostelería
La protección de datos en el sector de la hostelería es un aspecto esencial en la gestión de cualquier establecimiento que ofrezca servicios de alojamiento, ya sean hoteles, hostales, apartamentos turísticos o casas rurales. La necesidad de registrar la identidad de los huéspedes ha sido reforzada a través del Real Decreto 933/2021, que establece obligaciones de control documental con el objetivo de proteger la seguridad pública y prevenir delitos relacionados con la logística del alojamiento.
Sin embargo, esta obligación legal debe interpretarse conjuntamente con el Reglamento General de Protección de Datos (RGPD), que reconoce el derecho fundamental a la protección de los datos personales y exige que el tratamiento de dicha información sea lícito, transparente y limitado a lo estrictamente necesario.
La cuestión no está en si los hoteles deben o no recoger datos personales, sino en cómo deben hacerlo, qué límites existen y qué prácticas deben evitarse para no incurrir en infracciones.
Cómo deben gestionar los hoteles los datos
Los establecimientos de hospedaje están obligados a recoger determinados datos identificativos de sus huéspedes antes del inicio de la estancia, tal y como indica el Anexo I del Real Decreto 933/2021. Esta recogida de información debe realizarse, según ha aclarado la Agencia Española de Protección de Datos (AEPD), mediante un formulario, ya sea presencial o digital, en el que el huésped proporcione exclusivamente los datos requeridos por la normativa.
El RGPD establece que los datos personales solo pueden tratarse cuando exista una base legal que lo justifique. En este caso, dicha base es el cumplimiento de una obligación legal impuesta al establecimiento. Sin embargo, que exista obligación no significa que se pueda solicitar cualquier información. En virtud del principio de minimización, recogido en el artículo 5.1.c) del RGPD, el tratamiento debe limitarse a los datos estrictamente necesarios para la finalidad prevista. La recogida excesiva de datos se considera un incumplimiento, incluso aunque el huésped los facilite voluntariamente, porque el consentimiento no puede considerarse libre si la prestación del servicio se condiciona a proporcionar información que no es necesaria.
Asimismo, la verificación de la identidad no requiere la conservación del documento identificativo. La AEPD señala que basta con comprobar visualmente la correspondencia entre los datos facilitados y el documento mostrado, sin necesidad de escanearlo o fotocopiarlo. En el caso de registros online, la identidad puede verificarse mediante mecanismos seguros como certificados electrónicos, validación de medios de pago o códigos de verificación enviados al teléfono o correo del huésped.
Una vez recogidos, los datos deben conservarse únicamente durante el tiempo exigido por la normativa y almacenarse aplicando medidas que garanticen su confidencialidad, evitando accesos no autorizados o pérdidas de información. El establecimiento debe informar claramente al huésped sobre quién es el responsable del tratamiento, con qué finalidad se recogen sus datos, durante cuánto tiempo se conservarán y cuáles son sus derechos de acceso, rectificación o supresión.
Datos que no son obligatorios pedir a los huéspedes
Una de las dudas más habituales en hoteles y alojamientos es si pueden solicitar y conservar una copia del DNI o pasaporte del huésped. La respuesta, según la AEPD, es claramente negativa. La Agencia ha indicado que solicitar o conservar una copia del documento vulnera el principio de minimización de datos, ya que el documento contiene información que no es necesaria para cumplir con la obligación legal, como la fotografía, la fecha de caducidad o datos de carácter familiar. Además, la conservación de copias supone un riesgo adicional de suplantación de identidad que debe evitarse.
Por tanto, el establecimiento no debe exigir ni guardar copias del DNI, pasaporte o NIE, ni fotografías del documento, ni datos adicionales que no figuren entre los requeridos por el Real Decreto. Tampoco debe solicitar información relativa a salud, orientación religiosa, nacionalidad étnica o cualquier otro dato considerado sensible por el RGPD, puesto que ello constituiría un tratamiento desproporcionado y carente de base legal.
El objetivo de la identificación es confirmar la identidad del huésped, no recopilar más información de la necesaria. Cumplir correctamente con esta obligación no solo evita sanciones, sino que transmite confianza y respeto hacia la privacidad de los clientes, lo cual es un valor diferenciador en un sector tan orientado a la experiencia del usuario como la hostelería.
Por todo ello, los hoteles deben recoger datos de identificación porque así lo exige la normativa, pero deben hacerlo de manera proporcionada, segura y respetuosa con la protección de datos. No es necesario, ni permitido, fotocopiar documentos ni almacenar información adicional no requerida. El equilibrio entre obligación legal y privacidad es posible si se aplica el sentido de proporcionalidad que exige el RGPD.
En Letslaw estamos al corriente de la regulación y ayudamos a nuestros clientes a tratar correctamente los datos de sus clientes en sus hoteles bajo lo dispuesto en la ley. Letslaw es un despacho de abogados especializados en derecho digital, comercio electrónico y derecho de la publicidad.
Letslaw es una firma de abogados internacionales especializada en el derecho de los negocios.
Artículos Relacionados
LETSLAW colabora con TURICOMPRAS en resolver consultas legales del sector hostelero
La AEPD informa de que no está permitido solicitar una copia del DNI o pasaporte en los hospedajes
¿Qué supone la entrada en vigor del Real Decreto 933/2021 relativo al registro de viajeros?
Cumplimiento del RGPD en el sector turístico
Las marcas, su utilidad y protección
El interés legítimo y la protección de datos