La Agencia Española de Protección de Datos (AEPD) ha dejado claro que los hoteles, hostales y el resto de los hospedajes no pueden solicitar una copia del DNI o del pasaporte a sus clientes, y que estos pueden negarse a tal exigencia. La AEPD ha desarrollado tota una argumentación para que la identificación de las personas que van a reservar o contratar un hospedaje no vean conculcados sus derechos relativos a la privacidad. Los hoteles, sin embargo, denuncian la inseguridad jurídica que provoca la resolución y piden claridad normativa y herramientas operativas que no bloqueen la actividad turística ni expongan a los alojamientos a sanciones.
España es uno de los destinos vacacionales favoritos del mundo, pero también lo es para los y las ciudadanas españolas. Según las previsiones de Datastur, para 2025 se prevé un aumento del +2,7% en la llegada de turistas internacionales y del +1,0% en los viajes nacionales respecto al verano de 2024, con más de 22 millones de turistas internacionales que viajen a nuestro país, y más de 39 turistas nacionales que nos vamos a mover por nuestro territorio solo en los meses de julio y agosto.
Con estas cifras, el sector hotelero está de enhorabuena. Sin embargo, acaban de de recibir un nuevo revés en lo que se refiere a la normativa relacionada con el registro de viajeros. La Agencia Española de Protección de Datos (AEPD) ha publicado una nota informativa en la que «aborda diversos aspectos relacionados con la identificación de las personas que van a reservar o contratar un hospedaje». El objetivo del documento, que ha sido elaborado por la Agencia y se ha remitido de forma previa tanto al Ministerio del Interior como a la confederación que agrupa a las empresas que prestan servicios de hospedaje, «es evitar riesgos para la privacidad de las personas».
El Real Decreto 933/2021 establece la obligación del titular de la actividad de hospedaje de recoger determinados datos de las personas que hagan uso de sus servicios
La petición y posterior copia del DNI y el pasaporte a la hora de reservar o hacer el Check-In en un hotel, definitivamente no está permitida. El Real Decreto 933/2021 establece la obligación del titular de la actividad de hospedaje de recoger determinados datos de las personas que hagan uso de sus servicios. La Agencia establece en la nota que «esta recogida de información no autoriza a solicitar una copia del documento de identidad del cliente, ya que esto vulneraría el principio de minimización de datos y supondría un tratamiento excesivo«.
LOS HOTELES PIDEN CLARIDAD NORMATIVA Y HERRAMIENTAS
La Confederación Española de Hoteles y Alojamientos Turísticos (CEHAT) alerta sobre la situación de inseguridad jurídica y operativa en la que se encuentra el sector a raíz del nuevo registro de viajeros (Real Decreto 933/2021), aún pendiente de desarrollo legislativo, y cuya aplicación está generando múltiples conflictos con la normativa de protección de datos, además de confusión entre los propios cuerpos policiales y plataformas.
Después de que la AEPD haya recordado que es ilegal fotocopiar o escanear el DNI o pasaporte a los viajeros, los hoteleros consideran que «la responsabilidad última recae en la deficiente regulación del Real Decreto y en la falta de un sistema claro y uniforme que permita a los establecimientos cumplir con las exigencias legales sin riesgos ni bloqueos operativos».
los hosteleros se quejan de la imposibilidad de verificar la veracidad de los datos y de la ausencia de soluciones digitales armonizadas, que les obligan a «improvisar procesos manuales o check-in digitales no homologados»
Según indican, la actual situación genera problemas críticos para los alojamientos turísticos, como la «imposibilidad de verificar la veracidad de los datos sin conservar una prueba documental, lo que deja al empresario indefenso ante inspecciones o fraudes, la colisión entre el Real Decreto 933/2021 y la normativa de protección de datos, especialmente en relación con las plataformas que marcan datos como obligatorios sin base legal clara. , la ausencia de soluciones digitales armonizadas, que obligan a los establecimientos a improvisar procesos manuales o check-in digitales no homologados, así como de las contradicciones entre la obligación de conservar datos durante tres años y el
principio de minimización, sin garantía de seguridad ni criterios de aplicación claros».
Por todas estas razones, piden con urgencia que se produzca un diálogo institucional entre los ministerios de Interior y Turismo, junto a las asociaciones del sector, para clarificar de manera homogénea los requisitos del Real Decreto que establece la identificación de los huéspedes para «adaptarlo a la realidad del sector turístico y recordando que ya más de un 50% de los viajeros no se alojan en establecimientos con recepción 24 horas y un personal que verifique la entrada».
También piden desarrollar una herramienta tecnológica nacional única, interoperable y segura y evitar que «los hoteles asuman responsabilidades penales o administrativas por falta de respaldo legal o técnico».
LA AEPD OFRECE ALTERNATIVAS A LA FOTOCOPIA
El problema está en que, según la AEPD, documentos como el DNI incluyen información adicional a la requerida por la norma (como la fotografía, la fecha de caducidad, el CAN o nombres de los padres), cuyo tratamiento incrementa el riesgo de suplantación de identidad.
Por esa razón establece que «solicitar una copia del Documento Nacional de Identidad o del Pasaporte vulnera el principio de minimización de datos, establecido en el artículo 5.1.c) del RGPD, y supone un tratamiento excesivo de datos. Esto se debe a que el DNI completo contiene más datos que los obligados a aportar en virtud de la normativa aplicable».
Además, según señala el regulador, el entregar una copia de la documentación personal implica, entre otros, «un riesgo innecesario de suplantación de la identidad, que debe ser evitado o, por lo menos, mitigado de manera efectiva«.
Por otro lado, el DNI no incluye la totalidad de la información solicitada en el Real Decreto 933/2021 por lo que, por sí solo, no es un recurso válido para poder cumplir con la norma. Además, el envío de una copia del documento no permite verificar con certeza la identidad de la persona que lo remite.
recogida de información no autoriza a solicitar una copia del documento de identidad del cliente, ya que esto vulneraría el principio de minimización de datos y supondría un tratamiento excesivo
Así, para cumplir con la obligación legal, la Agencia considera que el huésped «debe proporcionar los datos que se detallan en los apartados correspondientes del Real Decreto en cuestión», y que estos datos se pueden recoger perfectamente «mediante un formulario presencial u online».
Según el contundente escrito de la AEPD, para la autenticación de los datos facilitados, en el caso presencial, «bastaría con una verificación visual del documento. Si esta se realiza online, se recomienda el uso de mecanismos como certificados digitales, comprobación con los datos asociados al método de pago o autenticación a través de códigos enviados al teléfono o correo electrónico del cliente«.
En todo caso, cualquier otro procedimiento que se utilice deberá ser evaluado por el responsable del tratamiento de datos, «garantizando siempre su compatibilidad con la normativa de protección de datos».
