La Agencia Española de Protección de Datos ha publicado una nota aclaratoria sobre el cumplimiento del Real Decreto 933/2021 en establecimientos de hospedaje. La principal conclusión es que solicitar copias del DNI o pasaporte constituye una práctica prohibida por vulnerar la normativa de protección de datos.
Prohibición expresa de solicitar copias
La AEPD establece de manera categórica que solicitar una copia del Documento Nacional de Identidad o del pasaporte vulnera el principio de minimización de datos establecido en el artículo 5.1.c) del RGPD y supone un tratamiento excesivo de datos personales.
Esta prohibición se fundamenta en que el DNI completo contiene información adicional no requerida por la normativa aplicable, como la fotografía, fecha de caducidad del documento, CAN o nombre de los progenitores. Además, la entrega de copias de documentación personal implica un riesgo innecesario de suplantación de identidad que debe evitarse.
La AEPD subraya que el envío de una copia del documento no permite verificar con certeza la identidad de la persona y, por tanto, carece de idoneidad suficiente para cumplir con la finalidad de la norma, que es la protección de personas y bienes y el mantenimiento de la tranquilidad ciudadana.
Procedimientos alternativos recomendados
Para la recogida de datos exigida por el Real Decreto 933/2021, la AEPD considera suficiente que las personas faciliten o completen un formulario que recoja exclusivamente los datos exigidos en los apartados correspondientes del Anexo I. Este formulario puede cumplimentarse tanto en línea como presencialmente en el establecimiento.
Verificación presencial
En los casos de recogida presencial de datos, la autenticación puede realizarse mediante la comprobación visual de la correspondencia entre los datos facilitados y el documento de identidad exhibido, sin necesidad de realizar copias ni retener el documento.
Verificación online
Para la recogida de datos en línea sin atención presencial, la verificación puede realizarse mediante diversos mecanismos como certificados digitales, verificación de concordancia con los datos asociados al medio de pago utilizado, o el envío de códigos de seguridad a los números de teléfono o direcciones de correo electrónico de los huéspedes.
Implicaciones para el sector
Esta clarificación oficial de la AEPD obliga a los establecimientos de hospedaje a revisar y modificar sus procedimientos actuales de registro de huéspedes. Los establecimientos que actualmente soliciten copias de documentos de identidad deberán adaptar sus sistemas para cumplir con esta interpretación oficial de la normativa.
La nota, publicada el 17 de junio de 2025, no descarta que puedan existir otros procedimientos válidos para dar cumplimiento a estas obligaciones, cuya compatibilidad con el RGPD deberá ser evaluada en todo caso por el responsable del tratamiento.
