Blog de noticias

Noticias de actualidad

Escritora del artículo sobre si un alojamiento puede pedir el DNI de los huéspedes, abogados en Valencia
Featured

¿Puede un alojamiento pedir el DNI de los huéspedes?

Blog Visto: 376

Maika González López, del Departamento Jurídico de Sebastiá Abogados y Economistas, analiza en este artículo las obligaciones de los alojamientos en la identificación de huéspedes y los límites legales en la solicitud de documentos.

Es habitual que surjan dudas en el sector del hospedaje sobre qué datos pueden recabarse conforme al Real Decreto 933/2021 y si es válido pedir o conservar una copia del DNI o pasaporte de los clientes. Estas prácticas, cada vez más extendidas en procesos de check‑in presencial y online, pueden vulnerar principios esenciales del RGPD y generar riesgos relevantes para la privacidad de los usuarios.

¿A qué obliga el Real Decreto 933/2021 a los alojamientos?

El 17 de junio de 2025, la Agencia Española de Protección de Datos publicó una nota informativa relevante para los profesionales del sector turístico y para cualquier entidad que preste servicios de hospedaje.

En ella se analiza el alcance del Real Decreto 933/2021, de 26 de octubre, que impone a las personas físicas o jurídicas que ejercen actividades de hospedaje la obligación de registrar ciertos datos personales de sus clientes antes de iniciar la prestación del servicio.

AEPD: el registro de viajeros NO ampara pedir o guardar copia del DNI/pasaporte

La Agencia ha considerado necesario aclarar que dicha obligación no ampara la solicitud ni conservación de una copia DNI o pasaporte de los usuarios.

¿Por qué una copia del DNI vulnera el principio de minimización?

Solicitar una copia de estos documentos supone una infracción del principio de minimización de datos recogido en el artículo 5.1.c) del Reglamento General de Protección de Datos, ya que implicaría tratar información no necesaria para la finalidad prevista por la norma, como la fotografía, la fecha de caducidad del documento, el número CAN o los nombres de los padres. Además, el DNI, por sí solo, no contiene toda la información exigida por el Anexo I del Real Decreto, lo que lo convierte en un medio insuficiente para cumplir con la norma.

Servicios de compliance y protección de datos para empresas – Servicios

Caso AEPD (EXP202311801): imágenes del DNI y reconocimiento facial en el check-in online

Un reciente caso resuelto por la Agencia Española de Protección de Datos, recogido en la Resolución EXP202311801, confirma que exigir imágenes del DNI y reconocimiento facial para realizar el check-in online en alojamientos turísticos es una práctica contraria a la normativa de protección de datos.

En este procedimiento, la Agencia sancionó a la empresa responsable por obligar a los huéspedes a subir fotografías de ambas caras del documento de identidad junto con una selfie, con el fin de verificar su identidad mediante tecnología biométrica. Concluyó que esta actuación vulneraba el principio de minimización de datos y suponía un tratamiento ilegítimo de datos biométricos, cuyo uso solo está permitido cuando existe una base legal clara o el consentimiento explícito del afectado, requisitos que no se cumplían en este caso.

Además, recordó que la normativa vigente únicamente obliga a recoger determinados datos identificativos, sin exigir en ningún caso el envío de imágenes del DNI ni el uso de sistemas de reconocimiento facial, motivo por el cual impuso una multa a la entidad y le ordenó modificar su sistema de check-in para ajustarlo a la legalidad.

Riesgos de seguridad: suplantación de identidad y custodia de copias

El tratamiento de una copia del documento también incrementa el riesgo de suplantación de identidad, lo cual debe evitarse o, al menos, mitigarse. La Agencia recuerda que, para cumplir con la obligación legal de recogida de datos, basta con que el cliente proporcione la información requerida —nombre completo, documento identificativo, fecha de nacimiento, nacionalidad, etc.— mediante un formulario, ya sea de forma presencial o en línea, respetando los límites establecidos en el Real Decreto.

Otros casos relacionados – Sebastia A&E - Fraudes bancarios y ciberestafas: ¿hasta dónde llega la responsabilidad de los bancos?

Cómo cumplir y verificar la identidad sin copiar documentos

Para autenticar los datos recogidos de forma presencial, es suficiente con una verificación visual del documento de identidad. En el caso de recogida en línea, pueden utilizarse medios como certificados digitales, comprobaciones con los datos del método de pago utilizado o sistemas de autenticación basados en el envío de códigos de seguridad al correo electrónico o teléfono del cliente, los cuales ya forman parte de los datos que deben recabarse conforme al Real Decreto 933/2021.

La Agencia también aclara que pueden existir otros procedimientos válidos para garantizar la autenticidad de los datos, pero en todo caso será el responsable del tratamiento quien deba asegurarse de que dichos métodos sean compatibles con la normativa de protección de datos.

Recomendaciones prácticas para alojamientos

  • Recoge únicamente los datos exigidos por el RD 933/2021 mediante formulario (presencial u online).
  • Evita solicitar o almacenar fotos del DNI/pasaporte salvo base jurídica clara y tratamiento proporcionado.
  • Define y documenta el método de verificación (visual presencial; autenticación por email/SMS; contraste con método de pago, etc.).
  • Aplica medidas de seguridad y políticas de conservación coherentes con minimización y limitación del plazo.

Este documento, que se ha remitido previamente al Ministerio del Interior y a las principales asociaciones empresariales del sector del hospedaje, tiene como objetivo reducir los riesgos para la privacidad de los usuarios y garantizar un cumplimiento adecuado y proporcionado de la normativa vigente. Desde nuestro despacho recordamos la importancia de aplicar correctamente la legislación sobre protección de datos, especialmente en sectores donde se manejan de forma habitual datos sensibles de carácter identificativo.

También recordamos que la protección de datos es una obligación legal, pero también una cuestión de confianza con los clientes. Si eres titular de una actividad de hospedaje o tienes dudas sobre cómo aplicar correctamente esta normativa, nuestro equipo de abogados está a tu disposición para ayudarte a garantizar un cumplimiento eficaz y seguro.

👉 Puedes consultar la nota completa de la AEPD en el siguiente enlace:

https://www.aepd.es/guias/nota-aepd-registro-hospedajes.pdf

¿Hablamos?

https://www.sebastia-abogados.com/contacto

 

Maika González López

Departamento Jurídico

Image
Expertos en el ámbito legal y económico.

Nosotros

Enlaces

Boletín de noticias


Suscríbase a nuestro boletín de noticias y manténgase informado de toda la actualidad.