CONTROL SIN EXCESOS: LA AEPD PROHÍBE LAS COPIAS DE DNI EN HOSPEDAJES

Con la llegada del periodo vacacional y el incremento de reservas en hoteles, apartamentos turísticos y otros alojamientos, volvemos a pronunciarnos sobre una práctica aún habitual en muchos establecimientos: la solicitud de copias del DNI o del pasaporte a los huéspedes.

La Agencia Española de Protección de Datos es clara: no está permitido exigir ni conservar copias de documentos de identidad para cumplir con el Real Decreto 933/2021, al considerarse una práctica contraria al Reglamento General de Protección de Datos (RGPD), en concreto al principio de minimización.

Qué exige realmente la normativa

El Real Decreto 933/2021, de 26 de octubre, regula las obligaciones de registro documental e información de las personas físicas o jurídicas que desarrollan actividades de hospedaje. La norma establece que los titulares de estos establecimientos deben recoger determinados datos de los usuarios antes del inicio del servicio.

Estos datos están definidos en el Anexo I del Real Decreto, que delimita de forma concreta qué información debe ser facilitada. Sin embargo, la norma no contempla en ningún caso la obligación de obtener o conservar una copia del documento de identidad.

Este matiz es relevante, ya que durante años se ha extendido la práctica de escanear o fotocopiar el DNI como mecanismo de control, sin base jurídica suficiente en la normativa vigente.

La posición de la AEPD

La AEPD advierte de que solicitar una copia del DNI o pasaporte supone un tratamiento excesivo de datos personales. Un documento de identidad contiene información que excede claramente de la requerida por la normativa de hospedaje, como la fotografía, la fecha de caducidad, el número de soporte o datos familiares.

Desde la perspectiva del RGPD, esta práctica vulnera el principio de minimización, que obliga a limitar el tratamiento de datos a aquellos que sean adecuados, pertinentes y necesarios.

Además, la Agencia subraya que la conservación de copias de documentos de identidad incrementa el riesgo de usos indebidos, incluyendo posibles supuestos de suplantación de identidad, lo que añade un elemento adicional de preocupación en términos de seguridad.

Otro aspecto destacado es que la copia del documento, por sí sola, no garantiza la verificación efectiva de la identidad del huésped, por lo que tampoco cumple adecuadamente con la finalidad perseguida por la norma.

Cómo deben actuar los establecimientos

La AEPD apunta alternativas ajustadas al marco legal. Los establecimientos pueden cumplir con sus obligaciones mediante la recogida de datos a través de formularios, ya sea en formato digital o presencial, siempre limitándose a la información exigida.

En el caso de atención presencial, basta con comprobar visualmente la correspondencia entre los datos facilitados y el documento de identidad exhibido por el usuario.

Para los procesos en línea, se admiten distintos mecanismos de verificación, como el uso de certificados digitales, la validación a través del medio de pago o sistemas de autenticación mediante códigos enviados al teléfono o correo electrónico del cliente.

Consecuencias de una práctica irregular

La solicitud o conservación de copias de documentos de identidad puede dar lugar a sanciones en materia de protección de datos, al implicar un tratamiento indebido de información personal.

Más allá del plano sancionador, la cuestión también tiene implicaciones operativas. Desde la perspectiva policial y administrativa, este criterio refuerza la necesidad de que las actuaciones de control se ajusten no solo a la normativa sectorial, sino también a los principios de protección de datos.

Seguridad y derechos fundamentales

El objetivo del Real Decreto 933/2021 es reforzar la seguridad ciudadana mediante el control de determinadas actividades, como el hospedaje. Sin embargo, este objetivo debe alcanzarse respetando los límites legales establecidos.

La AEPD recuerda que la protección de datos no es un obstáculo, sino un marco de garantías. En este sentido, la recogida indiscriminada de información no mejora la seguridad, sino que puede generar riesgos adicionales.

En un contexto de alta movilidad y digitalización de servicios, el cumplimiento normativo pasa por aplicar criterios de proporcionalidad y rigor jurídico, evitando prácticas que, aunque arraigadas, carecen de respaldo legal.

Conclusión

La campaña de verano vuelve a poner sobre la mesa una cuestión clave: la necesidad de adaptar los procedimientos de identificación en hospedajes al marco legal vigente.

No se trata de recoger más datos, sino de recoger los necesarios y hacerlo correctamente. La diferencia entre una práctica habitual y una práctica legal, en este caso, es clara.