¿Por qué no es legal solicitar una copia del DNI o pasaporte?
En las últimas semanas, la Agencia Española de Protección de Datos (AEPD) ha reiterado la prohibición expresa de solicitar copias del DNI o pasaporte por parte de los establecimientos de hospedaje, ya sean hoteles, apartamentos turísticos o alojamientos rurales. Esta práctica, comúnmente extendida, supone un incumplimiento flagrante de la legislación en materia de protección de datos, concretamente del Reglamento General de Protección de Datos (RGPD) y de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).
Cuando un establecimiento solicita y conserva copias digitales o físicas del DNI o del pasaporte, está vulnerando directamente el principio de minimización de datos, contemplado en el artículo 5 del RGPD, que establece claramente que los datos personales recopilados deben ser limitados estrictamente a lo necesario para cumplir con su finalidad. En otras palabras, obtener copias innecesarias de estos documentos va más allá del propósito legítimo de verificar la identidad del huésped.
Riesgos y consecuencias de almacenar copias del DNI y pasaporte
Al almacenar copias del DNI y del pasaporte, los establecimientos no solo se enfrentan a sanciones legales, sino también a graves riesgos relacionados con la seguridad informática. Los documentos identificativos contienen información altamente sensible que, de caer en manos equivocadas, podría dar lugar a fraudes de identidad, ciberataques o filtraciones de datos personales que comprometan gravemente a los huéspedes.
Según la normativa vigente y las recientes aclaraciones de la AEPD, basta con realizar una verificación visual del DNI y pasaporte durante el proceso de registro del cliente, registrando únicamente los datos imprescindibles que exige la legislación nacional en materia de seguridad ciudadana y control turístico, sin necesidad de guardar copias digitales ni físicas.
En este contexto, cabe destacar que la confusión acerca de la caducidad del pasaporte es habitual. Un pasaporte caducado recientemente mantiene su validez como documento identificativo básico dentro del ámbito turístico y hotelero. Es decir, para fines estrictamente identificativos y administrativos en el alojamiento, no es necesario que el pasaporte esté vigente, siempre que permita identificar inequívocamente a su titular. No obstante, sí es necesario prestar atención a la vigencia para cuestiones de movilidad internacional.
Las consecuencias legales para aquellos establecimientos que incumplan estas disposiciones pueden ser muy graves. Las sanciones previstas por el RGPD alcanzan cifras que podrían poner en riesgo la estabilidad económica del establecimiento: hasta 20 millones de euros o hasta un 4% de la facturación anual global de la empresa infractora, aplicándose la cuantía que resulte más elevada.
¿Qué datos personales se pueden recoger durante el registro de huéspedes?
Es importante aclarar qué datos personales sí pueden solicitarse y conservarse durante el registro de los huéspedes en alojamientos turísticos. Según el Real Decreto 933/2021, que regula las obligaciones de registro documental en establecimientos turísticos, es obligatorio registrar datos como nombre y apellidos, número de documento (DNI, NIE o pasaporte), nacionalidad, fecha de nacimiento, dirección del domicilio habitual, fechas de entrada y salida del alojamiento, y otros datos administrativos que garanticen la seguridad ciudadana y el control turístico.
Sin embargo, esta recopilación debe realizarse siempre respetando estrictamente el principio de minimización de datos, evitando cualquier información adicional innecesaria. Por ejemplo, no estaría justificada la recogida de datos biométricos, fotografías completas del documento o información personal adicional no obligatoria.
Cómo gestionar correctamente los datos personales en alojamientos turísticos
Desde Protection Report aconsejamos a todos los establecimientos hoteleros y turísticos que realicen una auditoría interna inmediata para asegurar que cumplen con las últimas indicaciones de la AEPD. Nuestro equipo multidisciplinar de expertos en protección de datos ofrece asesoramiento integral, combinando conocimiento jurídico, técnico e informático, para garantizar que los procedimientos internos se ajusten perfectamente a la normativa vigente.
Nuestra experiencia nos permite implementar soluciones prácticas que facilitan el cumplimiento del RGPD sin interferir negativamente en la operativa diaria del negocio. Proporcionamos asesoría personalizada, formación específica y auditorías internas detalladas para prevenir cualquier incumplimiento del principio de minimización de datos, asegurando así la protección total de los datos personales de los clientes y evitando riesgos innecesarios.
Es clave establecer protocolos claros que documenten los procesos internos, limitando estrictamente el acceso a los datos personales a aquellos empleados que realmente necesiten manejarlos y asegurando que todo el personal está debidamente formado en materia de protección de datos personales.
Si ya se han almacenado copias del DNI o del pasaporte en tu establecimiento, es imprescindible proceder a su eliminación inmediata mediante métodos seguros de destrucción de documentos. Este procedimiento forma parte esencial de la adecuación al RGPD y la LOPDGDD.
Evita riesgos legales y garantiza el cumplimiento
No pongas en peligro la reputación de tu negocio ni la privacidad de tus clientes por una incorrecta gestión de sus documentos personales. En Protection Report estamos listos para ayudarte de forma integral, adaptando soluciones a las necesidades específicas de tu alojamiento turístico.
¡Contacta hoy mismo con nosotros!
