Check-in en hoteles y protección de datos: ¿Es legal que fotocopien o escaneen tu DNI?

Se acerca la temporada de vacaciones y con ella, las reservas en hoteles y alojamientos turísticos. Una escena se repite en las recepciones de toda España: al realizar el check-in, se nos solicita el Documento Nacional de Identidad (DNI) o pasaporte para cumplir con las obligaciones legales que tiene el establecimiento de identificar a los huéspedes. Sin embargo, una práctica muy extendida, pero ilegal, es que como parte de este proceso de identificación  el establecimiento fotocopie o escanee el documento completo.

Si bien los hoteles tienen la obligación legal de registrar a sus huéspedes, la forma en que recaban estos datos es crucial. La Agencia Española de Protección de Datos (AEPD) ha sido contundente al respecto: solicitar o realizar una copia completa del documento de identidad vulnera la normativa de protección de datos y puede acarrear importantes sanciones económicas.

La obligación de registro vs. el principio de minimización

La normativa que obliga a los establecimientos de hospedaje a llevar un registro documental es el Real Decreto 933/2021 y la finalidad esencial de este registro es garantizar la seguridad ciudadana, ya que la logística de alojamiento puede ser relevante en la actividad delictiva. Para ello, la ley exige que los hoteles recojan una serie de datos concretos de sus clientes durante el proceso de check-in

Pero para cumplir con esta obligación, muchos hoteles optan por el camino aparentemente más rápido: fotocopiar o escanear el DNI o pasaporte completos. Sin embargo, esta acción choca frontalmente con el principio de minimización de datos, consagrado en el artículo 5.1.c) del Reglamento General de Protección de Datos (RGPD).

Este principio establece que solo se deben tratar los datos personales que sean estrictamente necesarios para la finalidad para la que se recogen. La AEPD señala que fotocopiar el DNI supone un tratamiento excesivo de datos, por dos motivos principales:

1. Contiene más datos de los necesarios: Un DNI o pasaporte incluye información que no es requerida por el Real Decreto 933/2021, como la fotografía, los nombres de los padres, la fecha de caducidad del documento, etc..
2. No contiene todos los datos necesarios: Paradójicamente, el DNI por sí solo no es suficiente para cumplir con la norma, ya que no incluye toda la información que el hotel está obligado a registrar.

El riesgo de la suplantación de identidad

Más allá de la vulneración del principio de minimización, que el establecimiento mantenga una copia completa de un documento de identidad genera un riesgo innecesario de suplantación de identidad. En caso de una brecha de seguridad o una fuga de datos en el hotel, la información personal de los huéspedes, incluyendo una imagen de su DNI, quedaría expuesta, facilitando que terceros puedan usarla de forma fraudulenta.

¿Cuál es la forma correcta de proceder según la AEPD?

La Agencia Española de Protección de Datos no solo ha señalado la ilegalidad de la práctica, sino que también ha propuesto alternativas que son respetuosas con la ley y cumplen con la obligación de registro.

La solución recomendada es el uso de un formulario que recoja exclusivamente los datos exigidos por el Anexo I del Real Decreto. Este formulario puede ser completado por el huésped de forma presencial en el hotel o previamente en línea.

Para la verificación de la identidad, la AEPD establece diferentes métodos según la situación:

• Check-in presencial: Es suficiente con la exhibición del documento de identidad. El personal de recepción puede comprobar visualmente que los datos aportados en el formulario se corresponden con los del documento, sin necesidad de realizar una copia¹⁵.
• Check-in online: Cuando no hay una verificación presencial, se pueden utilizar mecanismos como certificados digitales, la comprobación de que los datos coinciden con los del medio de pago utilizado, o el envío de códigos de seguridad al teléfono o correo electrónico del cliente como factor de autenticación.

Las sanciones de la AEPD: un aviso para el sector

La AEPD ha dejado claro que no se trata de una simple recomendación. Recientemente ha sancionado a varios establecimientos por no cumplir con la normativa.

• Una posada en Cantabria fue multada con 1.500 euros por exigir una fotocopia del DNI y cancelar la reserva de un cliente que se negó a proporcionarla.
• Un hotel en Mallorca recibió una sanción de 30.000 euros (reducida posteriormente a 15.000 euros por la Audiencia Nacional) por almacenar digitalmente copias completas de los pasaportes de sus clientes.

En conclusión, tanto los huéspedes como los responsables de los alojamientos deben ser conscientes de la normativa. Los clientes tienen derecho a que su privacidad sea respetada, y los hoteles tienen la obligación de implementar procedimientos de registro que sean seguros y legales, evitando prácticas abusivas como la fotocopia indiscriminada del DNI para no enfrentarse a duras sanciones.