La Agencia Española de Protección de Datos informa que no está permitido solicitar una copia del DNI o pasaporte en los hospedajes
Debido al revuelo causado por los requisitos establecidos para el titular de la actividad de hospedaje mediante el Real Decreto 933/2021, que ha entrado en vigor el 2 de diciembre de 2024, y que obligan al titular de hospedaje a recoger datos personales de quienes hagan uso de sus servicios (pasando de 9 datos personales a recoger a un total de 17 por cada huésped para el check-in, incluidos todos los mayores de 14 años), es que la AEPD se pronunciado respecto de la pertinencia de requerir documentos como el DNI, que incluyen información adicional a la necesaria para cumplir con la regulación (como la fotografía, nombres de los padres, fecha de caducidad etc.).
A través de Nota Informativa de fecha 17 de junio https://www.aepd.es/guias/nota-aepd-registro-hospedajes.pdf , la Agencia ha indicado que no se debe solicitar una copia del documento de identidad o del Pasaporte, ya que se vulnera el Principio de Minimización de Datos del artículo 5.1.c) del RGPD, por suponer un tratamiento excesivo de datos. Esto se explica ya que el DNI contiene más datos personales que los obligados a portar en virtud de la citada normativa, implicando un riesgo innecesario de suplantación de identidad, que “debe ser evitado o, por lo menos, mitigado de manera efectiva”, además de que este documento no contiene la totalidad de la información requerida por la norma, lo que lo hace un medio menos adecuado aún para cumplir con este fin.
Como expone la AEPD, la finalidad del Real Decreto 933/2021 es “la protección de personas y bienes y el mantenimiento de la tranquilidad ciudadana” y ante la especial relevancia de la logística del alojamiento y los nuevos modus operandi de los delincuentes, es que el envío de una copia del documento no permite verificar con certeza la identidad de la persona y además presenta un riesgo que no justifica su uso para este fin.
Así, la AEPD considera que podría ser suficiente con que las personas faciliten o completen un formulario que recoja exclusivamente los datos exigidos en el Real Decreto y que podría ser cumplimentado en línea o presencialmente en el hospedaje. La nota se refiere a la autenticación de los datos que han sido recogidos de manera presencial, en que bastaría la verificación de lo indicado en el formulario, con la correspondencia visual entre los datos facilitados y el documento de identidad exhibido. Y en el caso de los datos recogidos en línea, se sugiere la verificación mediante mecanismos como el certificado digital y la concordancia de la información proporcionada, asociada a los medios de pago utilizados en la operación. También se recomiendan como medidas el envío de códigos de seguridad a los números de teléfono o direcciones de correo electrónico de los huéspedes obligados a la identificación, como factores de autenticación, por tratarse de datos que si se recogen en el formulario requerido por el Real Decreto 933/2021.
Cabe señalar que las medidas de autenticación sugeridas por la AEPD no son las únicas que se consideran, ya que podrían existir otros procedimientos válidos para cumplir con las obligaciones, cuya compatibilidad con el RGPD debe ser evaluada por el responsable del tratamiento.
Si quieres más información acerca de resoluciones y consultas que siguen esta misma línea decisoria de la AEPD, te recomendamos leer los siguientes documentos:
Procedimiento sancionatorio: Expediente N.º 00331-2023: https://www.aepd.es/documento/ps-00331-2023.pdf
Procedimiento sancionatorio: Expediente N.º 02620-2023 : https://www.aepd.es/documento/ps-00253-2023.pdf
Gabinete Jurídico: Consulta 0048-2023 : https://www.aepd.es/documento/2023-0048.pdf
