La AEPD advierte: los alojamientos no deben solicitar copias del DNI a sus huéspedes

La Agencia Española de Protección de Datos (AEPD) ha emitido una nota informativa clave dirigida a hoteles, hostales, apartamentos turísticos y otros establecimientos de hospedaje, aclarando los límites legales en la recogida de datos personales en virtud del Real Decreto 933/2021. El organismo recuerda que solicitar copias del DNI o pasaporte a los clientes supone una vulneración del Reglamento General de Protección de Datos (RGPD) y no está justificado legalmente.

 

¿Qué exige realmente el Real Decreto 933/2021?

Este Real Decreto, en vigor desde octubre de 2021, obliga a los titulares de actividades de hospedaje a recoger cierta información de las personas físicas que se alojen en sus establecimientos, antes del inicio de la estancia. Los datos requeridos están concretamente recogidos en el Anexo I, apartados A.3, A.4, B.3 y B.4, y están orientados a garantizar la seguridad ciudadana y prevenir actividades delictivas, como recuerda la propia Exposición de Motivos de la norma.

 

Copiar el DNI: un tratamiento excesivo de datos

La AEPD ha sido tajante: no debe solicitarse una copia del documento de identidad del huésped. Hacerlo vulnera el principio de minimización de datos del RGPD (art. 5.1.c), ya que el DNI contiene datos innecesarios para cumplir la normativa, como la fotografía, el número CAN, la fecha de caducidad o los nombres de los progenitores.

Además, esta práctica incrementa innecesariamente los riesgos de suplantación de identidad, al multiplicar las copias de un documento sensible en manos de múltiples responsables.

 

El DNI no basta y no es obligatorio aportarlo como copia

Paradójicamente, el documento nacional de identidad tampoco contiene toda la información exigida por el Real Decreto, por lo que ni siquiera sería suficiente como único medio de verificación. Así, la AEPD recalca que el envío de una copia del DNI no garantiza la identidad real del huésped y, por tanto, no cumple la finalidad de la norma.

 

¿Cómo deben recogerse y verificar los datos entonces?

Según la Agencia, la recogida puede hacerse mediante un formulario específico, presencial o en línea, siempre que incluya exclusivamente los datos requeridos en el Anexo I. Para su verificación, se contemplan distintos métodos en función del tipo de recogida:

• En persona: basta con verificar visualmente que los datos coinciden con el documento mostrado, sin hacer copia.

• En línea: puede recurrirse a certificados digitales, verificación del medio de pago o envío de códigos de seguridad al teléfono o correo del huésped.

Estas últimas opciones, aclara la AEPD, se consideran formas válidas de autenticación dentro del marco del RGPD.

 

Responsabilidad del cumplimiento: en manos del hospedador

La AEPD subraya que cualquier método alternativo de recogida o verificación debe ser evaluado por el responsable del tratamiento (es decir, el hospedador), para garantizar que cumple con la normativa de protección de datos.

 

Una advertencia con implicaciones legales

La nota llega en un momento en el que muchos alojamientos, especialmente del sector turístico, siguen solicitando y almacenando copias de documentos de identidad, en parte por desconocimiento y en parte por exceso de celo en el cumplimiento normativo. Esta advertencia pública de la AEPD marca un límite claro: cumplir el Real Decreto 933/2021 no justifica vulnerar el RGPD.