Registro de viajeros: ¿Puede un hotel exigir una copia del DNI? La AEPD responde

Recientemente, la Agencia Española de Protección de Datos (AEPD) ha sancionado con 1.500 euros a la Posada El Azufral, en Cantabria, por exigir a un cliente la fotocopia de su DNI como requisito indispensable para completar su check-in. El viajero, al negarse a proporcionar la copia del documento, vio cómo su reserva era cancelada por el establecimiento, lo que motivó una denuncia ante la AEPD.

La resolución del organismo de control fue clara: solicitar la fotocopia del DNI de un cliente sin una base legal que lo justifique es un tratamiento excesivo de datos y una vulneración del principio de minimización establecido en el artículo 5.1.c) del Reglamento General de Protección de Datos (RGPD). Además, la normativa aplicable en materia de registro de huéspedes (Ley Orgánica 4/2015 y Real Decreto 933/2021) no exige en ningún caso que se guarde una copia del documento de identidad, sino únicamente ciertos datos esenciales.

Este caso ha generado un importante precedente en el sector turístico y pone en alerta a los hoteles y alojamientos sobre la necesidad de revisar sus procedimientos de gestión de datos personales para evitar sanciones similares. La protección de datos ya no es solo una cuestión legal, sino una parte fundamental de la reputación y la confianza que los clientes depositan en los establecimientos.

El principio de minimización de datos: clave en la gestión hotelera

El Reglamento General de Protección de Datos (RGPD) establece en su artículo 5.1.c) el principio de minimización de datos, según el cual los datos personales recabados deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. En el ámbito hotelero, este principio cobra especial relevancia, ya que los establecimientos deben asegurarse de que la información solicitada a los clientes se ajusta estrictamente a los requerimientos legales.

Solicitar datos innecesarios, como una fotocopia del DNI, no solo incrementa el riesgo de una sanción por parte de la AEPD, sino que también supone un riesgo en términos de seguridad, ya que el almacenamiento de copias de documentos de identidad puede ser un objetivo atractivo para posibles ataques cibernéticos.

Requisitos legales en el Registro de viajeros

Los hoteles están obligados a registrar los datos de sus clientes conforme a la normativa de seguridad ciudadana, concretamente la Ley Orgánica 4/2015 y el Real Decreto 933/2021, que regulan las obligaciones documentales e informativas en actividades de hospedaje. Sin embargo, esta regulación no exige en ningún momento la aportación de una copia o fotografía del documento de identidad, sino sólo ciertos datos esenciales, como:

- Nombre y apellidos

- Número de identificación

- Tipo de documento (DNI, pasaporte, etc.)

- Nacionalidad

- Fecha de nacimiento

Solicitar cualquier otro dato que no esté expresamente previsto en la normativa puede considerarse una vulneración del RGPD, con el consiguiente riesgo de sanciones. En otras palabras, la normativa protege tanto al cliente como al propio establecimiento, evitando que se recojan informaciones innecesarias que puedan suponer una carga para la empresa en caso de fuga de datos o incidentes de seguridad.

Impacto para los hoteles y medidas preventivas

Las sanciones impuestas por la AEPD no solo representan un coste económico para los hoteles, sino que también pueden afectar su reputación y confianza entre los clientes. Y en un sector donde la satisfacción del viajero es clave, la confianza es un activo fundamental. Para evitar problemas legales y daños de imagen, es recomendable que los establecimientos hoteleros adopten las siguientes medidas:

- Revisar los procedimientos de registro: Asegurarse de que solo se soliciten los datos estrictamente necesarios para el cumplimiento de la normativa vigente.

- Eliminar la exigencia de fotocopias del DNI: La exhibición del documento en el check-in presencial es suficiente para cumplir con la obligación de identificación.

- Formar al personal: Capacitar a los empleados sobre los principios de protección de datos y las mejores prácticas en la gestión de información de los clientes.

- Garantizar la transparencia: Informar de manera clara y concisa a los clientes sobre qué datos se recopilan, con qué finalidad y cómo serán protegidos.

- Revisar los sistemas digitales de check-in: Asegurar que las aplicaciones utilizadas no requieran información innecesaria y cumplan con los principios del RGPD.

- Consultar con expertos legales: En caso de duda, contar con asesoramiento especializado en protección de datos para adaptar los procesos internos y evitar sanciones.

Conclusión

El cumplimiento de la normativa de protección de datos no es una opción, sino una necesidad imperativa para los hoteles. No se trata solo de evitar sanciones, sino de generar confianza, garantizar la seguridad de los datos y proteger la reputación del establecimiento. En un sector donde la atención al cliente es primordial, ofrecer garantías sobre el tratamiento responsable de los datos personales puede ser un valor diferencial.

El mensaje es claro: la protección de datos no es un obstáculo para el sector hotelero, sino una oportunidad para profesionalizar y modernizar la relación con el cliente. La normativa está aquí para quedarse, y adaptarse a ella es una inversión en el futuro del negocio.

Guillermo Caro

Abogado de MONLEX

gcaro@monlexabogados.es