Verificar los datos, sí; guardarse una copia, no. La Agencia Española de Protección de Datos (AEPD) ha emitido este martes una nota informativa dirigida a hoteles y alojamientos turísticos en la que expone que quedarse con una fotografía o fotocopia del DNI de los clientes viola la normativa de privacidad. Sin una debida justificación, llevar a cabo esta práctica para el registro de los huéspedes podría ser susceptible de sanción, avisa el organismo.

Llegan las multas a hoteles por las estafas a usuarios de Booking

La Agencia ha emitido esta nota en relación con el Real Decreto 933/2021, una norma que provocó las quejas del sector hotelero así como de especialistas en privacidad por la exigencia a estos establecimientos para que recopilaran una gran cantidad de datos los clientes. La regulación, que entró en vigor en diciembre de 2024, obliga a hoteleros, propietarios de viviendas turísticas, agencias de viajes y empresas de alquiler de vehículos a recopilar hasta 28 categorías de datos de los viajeros.

Entre ellos están datos personales no oficiales como dirección, teléfono o móvil; así como otros relativos a las transacciones, como la identificación del medio de pago, el IBAN de la cuenta bancaria o la fecha de caducidad de la tarjeta. Además, en el caso de que alguno de los viajeros sea menor de edad, también se deberá reflejar la relación de parentesco entre los huéspedes. Esos datos deberán volcarse en una plataforma —llamada SES.HOSPEDAJES— que ha puesto en marcha Interior y deberán conservarse durante tres años.

Ahora la AEPD señala a los hosteleros que hacer una copia del DNI o pasaporte no es suficiente para cumplir la normativa, puesto que el documento no incluye todos los datos necesarios. En cambio, sí implica la recolección de información que el real decreto no solicita. Por ello, entiende que “solicitar una copia del Documento Nacional de Identidad o del Pasaporte vulnera el principio de minimización de datos”, ya que “supone un tratamiento excesivo de datos”.

“Esto se debe a que el DNI completo contiene más datos que los obligados a aportar en virtud de la normativa aplicable, como la fotografía, la fecha de caducidad del documento, el CAN [Código de Acceso de Nivel, un número de seis cifras que se usa como medida de seguridad adicional] o el nombre de los padres”, recuerda. Enviar el documento a través de una fotografía tampoco permite comprobar que el huésped es realmente la persona que refleja el documento, continúa la Agencia.

Además, esta práctica expone a los clientes a brechas de seguridad en casos de ciberataque. “El entregar una copia de la documentación personal implica, entre otros, un riesgo innecesario de suplantación de la identidad”, expone el regulador de privacidad. Un vector de ataque en auge con las repetidas brechas sufridas por los alojamientos, que luego sirven de trampolín a los ciberdelincuentes para lanzar timos contra los huéspedes a través de plataformas como Booking.

Interior defiende que el nuevo registro de viajeros ha permitido localizar a 18.584 personas que estaban en busca y captura

En vez de hacer copias del DNI o pasaporte, el regulador recomienda a los alojamientos que preparen un formulario con los datos necesarios para cumplir con los requisitos del Ministerio del Interior, y luego verificarlos en persona con ayuda del documento oficial. En caso de recogida de datos en línea sin atención presencial, esta verificación puede realizarse mediante mecanismos como certificados digitales, ha asegurado en la nota. “También es posible la verificación de que los datos y la información proporcionada concuerda con los datos asociados al medio de pago utilizado”, según la agencia.