La Agencia Española de Protección de Datos prohíbe a los hospedajes exigir una copia del DNI o del pasaporte a los clientes

La Agencia Española de Protección de Datos (AEPD) ha emitido una nota aclaratoria en relación con la solicitud de copias de documentos de identidad en establecimientos de hospedaje conforme al Real Decreto 933/2021, de 26 de octubre. Dicha norma establece las obligaciones de registro documental e información para las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor.

La AEPD subraya que solicitar una copia del DNI o del pasaporte de los huéspedes vulnera el principio de minimización de datos consagrado en el art. 5.1.c) del Reglamento general europeo de Protección de Datos (RGPD), ya que dichos documentos contienen más información de la necesaria, como la fotografía, la fecha de caducidad, el CAN o el nombre de los padres. Además, la entrega de una copia de la documentación personal implica un riesgo innecesario de suplantación de identidad.

El Real Decreto 933/2021, de 26 de octubre, tiene como finalidad la protección de personas y bienes y el mantenimiento de la tranquilidad ciudadana, especialmente ante la relevancia de la logística del alojamiento en el modus operandi de los delincuentes. Sin embargo, la AEPD señala que el envío de una copia del documento no permite verificar con certeza la identidad de la persona y, por tanto, no cumple con la finalidad de la norma.

Para cumplir con las obligaciones de recogida de datos establecidas en el Real Decreto, la AEPD considera suficiente que los huéspedes completen un formulario con los datos exigidos en los apartados A.3 y B.3 del anexo I del real decreto. El documento puede ser cumplimentado en línea o presencialmente en el establecimiento de hospedaje.

En cuanto a la autenticación de los datos facilitados, la AEPD sugiere que, en los casos de recogida presencial, podría bastar con comprobar visualmente la correspondencia entre los datos facilitados y el documento de identidad exhibido. Para la recogida de datos en línea, se pueden utilizar mecanismos como certificados digitales, verificación de datos asociados al medio de pago utilizado, o el envío de códigos de seguridad a los números de teléfono o direcciones de correo electrónico de los huéspedes.

La AEPD no descarta que puedan existir otros procedimientos válidos para cumplir con estas obligaciones, pero cualquier procedimiento distinto al aquí expresado deberá ser objeto de una evaluación por parte del responsable del tratamiento de los datos personales de los huéspedes, y en todo momento habrá de garantizarse la plena compatibilidad con la normativa de protección de datos europea y nacional.

Las empresas del sector deberán a adaptar sus procesos internos y formar a su personal en las nuevas pautas de actuación conforme a la legislación de protección de datos. La recogida lícita y limitada de datos pasa a ser uno de los pilares fundamentales para garantizar tanto la seguridad de los propios clientes como la de los establecimientos, evitando así posibles situaciones de fraude, robo de identidad o filtraciones de datos sensibles.