La Agencia Española de Protección de Datos (AEPD) ha emitido una nota informativa en la que recuerda que los establecimientos de hospedaje no están autorizados a solicitar copias del DNI, pasaporte u otros documentos de identidad a sus clientes. Esta práctica, advierte el organismo, vulnera la normativa vigente en materia de protección de datos personales.
El comunicado se enmarca en la aplicación del Real Decreto 933/2021, que regula la obligación de los titulares de actividades de hospedaje de registrar ciertos datos identificativos de los huéspedes. Sin embargo, la AEPD subraya que esta obligación no implica, en ningún caso, la autorización para requerir una copia del documento de identidad.
Recogida de datos sí, fotocopias no
La Agencia recuerda que el principio de minimización de datos —fundamental en el Reglamento General de Protección de Datos (RGPD)— impide tratar más información de la necesaria. Documentos como el DNI o el pasaporte incluyen datos sensibles que no son exigidos por la normativa, como la fotografía, el código CAN, la fecha de caducidad o los nombres de los progenitores. Al solicitar una copia, se estaría incurriendo en un tratamiento desproporcionado, que además aumenta el riesgo de suplantación de identidad.
Asimismo, la AEPD señala que el DNI, por sí solo, no contiene todos los datos requeridos por el Real Decreto, por lo que ni siquiera puede considerarse un medio suficiente para cumplir con la normativa de forma íntegra.
Alternativas legales para verificar la identidad
Para cumplir con las exigencias legales, la recogida de datos puede realizarse mediante formularios, ya sean en papel o electrónicos. En el caso de registros presenciales, bastaría con una verificación visual del documento de identidad, sin necesidad de fotocopiarlo o escanearlo.
En contextos digitales, la AEPD sugiere mecanismos como certificados electrónicos, validaciones mediante datos del método de pago o autenticación a través de códigos enviados al teléfono móvil o correo electrónico del cliente. Estas opciones ofrecen garantías suficientes para verificar la identidad sin comprometer la privacidad del usuario.
Responsabilidad del tratamiento de datos
Finalmente, la Agencia subraya que cualquier otro sistema de verificación utilizado debe ser evaluado por el responsable del tratamiento, garantizando en todo momento su adecuación a la legislación de protección de datos. Las empresas del sector deben asegurar que sus procedimientos respeten los principios de necesidad, proporcionalidad y seguridad.
El documento completo está disponible en la página oficial de la AEPD y ha sido remitido al Ministerio del Interior y a las asociaciones representativas del sector hotelero para su difusión y cumplimiento.
