La AEPD cierra el debate: los alojamientos no pueden solicitar copias del DNI ni del pasaporte para el registro de huéspedes.

Por
Otras Fuentes
-
0
20

Check-in en alojamientos: normativa AEPD sobre la gestión de datos identificativos

Con la llegada de la temporada alta, el sector turístico experimenta un aumento notable en las reservas y la afluencia de visitantes. Sin embargo, este período de actividad frenética también trae consigo viejas inquietudes sobre la gestión de documentos de identidad en el proceso de check-in. En este contexto, surge la pregunta: ¿es legal que los hoteles, apartamentos turísticos o casas rurales fotocopian el DNI o soliciten enviar una fotografía del pasaporte por WhatsApp para facilitar el check-in? En una reciente nota informativa publicada el 17 de junio de 2025, la Agencia Española de Protección de Datos (AEPD) deja claro que no está permitido solicitar o conservar copias de los documentos de identidad para cumplir con el Real Decreto 933/2021, que regula el registro de viajeros.

El rechazo a esta práctica no es arbitrario. La normativa de protección de datos, específicamente el principio de minimización del RGPD, establece que solo se deben recoger los datos necesarios para el fin para el cual son tratados. Copiar un documento completo, como el DNI, plantea elevadas preocupaciones en cuanto a la protección de datos, ya que incrementa el riesgo de suplantación y no contribuye a los objetivos de seguridad pública que se persiguen con la normativa.

Lo que establece la AEPD

La AEPD aclara que el DNI y el pasaporte contienen información que no es requerida por el Real Decreto, como la fotografía, el CAN (Código de Autenticidad de Números) y datos de los progenitores, entre otros. Integrar estos datos en el registro de viajeros resulta en un tratamiento excesivo que incrementa la posibilidad de exposición en caso de un incidente de seguridad. Por tal motivo, la AEPD sostiene que no son caminos válidos la fotocopia, el escaneo o la fotografía de estos documentos para satisfacer la obligación legal de registro.

La recomendación es sencilla: recoger únicamente los datos necesarios según los apartados establecidos en el Anexo I del Real Decreto para la actividad de hospedaje y verificar su autenticidad mediante métodos más seguros. Entre los métodos recomendados por la AEPD se encuentran la verificación visual del documento en el check-in presencial y mecanismos digitales como certificados digitales, validación con los datos de pago y códigos de verificación enviados al dispositivo móvil o al correo del huésped. Cada responsable deberá evaluar los métodos a utilizar para garantizar el cumplimiento del RGPD.

Contenido del Real Decreto 933/2021

El Real Decreto 933/2021 establece tres obligaciones fundamentales para los establecimientos:

  1. Recoger los datos de los huéspedes en un registro informático (ver artículo 5), conforme a la información que se indica en los anexos aplicables.
  2. Conservar este registro durante tres años al finalizar la prestación del servicio.
  3. Comunicar parte de la información necesaria a la autoridad competente de inmediato, y, en todo caso, dentro de las 24 horas siguientes a la reserva, anulación o al inicio del servicio (artículo 6). Esta comunicación debe realizarse a través de los procedimientos telemáticos estipulados por el Ministerio del Interior.

La normativa también libera a quienes realicen actividades de hospedaje de manera no profesional de la obligación de registro informático y conservación de datos, aunque igualmente deben hacer las comunicaciones especificadas en el artículo 6.

Implicaciones prácticas para hoteles y alojamientos turísticos

Las implicaciones de esta normativa son significativas. Durante años, muchos establecimientos han optado por el procedimiento de “comodidad”, que consistía en la rápida fotocopia de documentos de identidad. Sin embargo, con la entrada en vigor del Real Decreto 933/2021 y la regulación del RGPD, este procedimiento resulta obsoleto. La obligación actual no es la de tener copias, sino de recoger campos específicos y trasmitirlos dentro de los plazos establecidos de forma segura.

Para el check-in presencial, se recomienda el siguiente flujo: formularios con los datos exigidos + verificación visual del documento, sin realizar copias + firma del parte de entrada. En el caso de check-in online, los alojamientos pueden utilizar mecanismos como:

  • Autenticación reforzada (certificados o identidades digitales válidas).
  • Contraste con el método de pago (coincidencia de titularidad y datos).
  • Códigos de un solo uso enviados al móvil o al correo del cliente.

Siempre deberá existir un registro informático estructurado y una comunicación telemática oportuna y segura.

Riesgos asociados a la conservación de datos

Desde la perspectiva de la protección de datos, cuanto mayor sea la cantidad de información conservada, mayor será el riesgo de sufrir un ataque. Una copia del DNI puede ser un recurso valioso para los delincuentes para falsificar identidades o realizar fraudes. Aunque el RGPD permite el tratamiento de datos, exige que cada dato recopilado tenga una justificación de finalidad y que el tratamiento sea adequado, pertinente y limitado a lo necesario. Dado que el Real Decreto 933/2021 claramente no exige conservar fotografías u otros datos no solicitados, almacenar esta información resulta desproporcionado y sin base legal suficiente.

Acciones recomendadas para el cumplimiento normativo

  1. Revisar formularios (en papel y online) para recoger solo los datos estipulados en el Anexo I, pertinentes a la modalidad de hospedaje.
  2. Eliminar la práctica de fotocopiar, escanear o fotografiar documentos de identidad. Si algún proveedor externo automatiza el check-in, asegurarse de que no capture información innecesaria.
  3. Documentar el flujo de autenticación: tanto presencial como online.
  4. Ajustar el registro informático para conservar los datos durante exactamente tres años, implementando borrados seguros y controles de acceso.
  5. Actualizar textos de privacidad, el registro de actividades de tratamiento y realizar una Evaluación de Impacto si el contexto lo requiere.

Cómo actuar ante la insistencia del cliente

En ocasiones, un huésped puede intentar enviar una fotografía de su documento de identidad de forma voluntaria. En este caso, es fundamental que la recepción verifique visualmente la información, pero no incorpore dicha imagen al sistema ni la conserve. Si se recibe por correo o mensajería, lo recomendable es eliminarla inmediatamente tras la verificación, dejando constancia de que solo se han recabado los datos exigidos.

Obligaciones para anfitriones no profesionales

Los anfitriones que no operan de manera profesional (como quienes alquilan su casa temporalmente) están exentos de llevar un registro informático, pero deben cumplir con las obligaciones de comunicación inmediata y dentro de las 24 horas tanto al realizar la reserva como al inicio de la estancia. Este enfoque reduce la carga administrativa, aunque no elimina completamente las responsabilidades.

Sanciones y acceso a los datos

El Real Decreto 933/2021 busca fortalecer la seguridad ciudadana. Los datos generados se conservan en archivos de la Secretaría de Estado de Seguridad, y únicamente las Fuerzas y Cuerpos de Seguridad pueden tratarlos para fines de prevención e investigación del delito. Las sanciones se contemplan en la Ley Orgánica 4/2015: las irregularidades menores se sancionan como leves, mientras que las grave pueden acarrear multas significativas.

Conclusión

La AEPD no impone restricciones innecesarias. Al contrario, acota la recolección de datos para que el sector turístico cumpla de forma adecuada con el Real Decreto 933/2021. En la práctica, la fotocopia indiscriminada de documentos no incrementa la seguridad, sino que aumenta la exposición a riesgos. Un sistema de registro bien diseñado, con métodos de autenticación adecuados y preciosas comunicaciones telemáticas, logran los objetivos de seguridad pública sin comprometer la privacidad de clientes y visitantes.