BCN +34 93 321 10 53 - 

MAD +34 91 781 09 49


Warning: Trying to access array offset on value of type bool in /srv/vhost/avqlegal.com/home/html/wp-content/themes/avq/single.php on line 6
Actualitat

¿Puedo solicitar el DNI a los huéspedes de mi establecimiento de hospedaje?

13 març 2025

Tayana Torres Vidal

Sí, está permitido solicitar el DNI en un hotel. De hecho, no es que puedas pedirlo, sino que debes hacerlo.

Esta obligación legal está establecida en la siguiente normativa:

  • Ley Orgánica 4/2015, de Protección de la Seguridad Ciudadana.
  • Real Decreto 933/2021, que regula el registro documental e información de personas en actividades de hospedaje y alquiler de vehículos a motor.

Si bien el Real Decreto entró en vigor el 2 de enero de 2023, tras un periodo de adaptación de dos años, desde el pasado 2 de diciembre de 2024 todos los establecimientos de hospedaje (hoteles, apartamentos, Airbnb, campings, etc.) deben cumplir estrictamente con la obligación de registro documental de sus huéspedes, bajo riesgo de sanción.

El Anexo I del Real Decreto establece que los establecimientos deben registrar 17 datos identificativos de sus clientes, entre ellos, el número de documento de identidad (DNI, pasaporte o TIE) y el número de soporte de dicho documento.

Ahora bien, esto no significa que un establecimiento de hospedaje, bajo el argumento de cumplir con las normas mencionadas, pueda escanear o fotocopiar el documento de identidad de un cliente en su totalidad, ni archivarlo, ni solicitar una foto del mismo a través de su web en caso de registro o check-in online.

Protección de Datos y Principio de Minimización

El DNI se considera un dato de carácter personal, en la medida en que dicho documento tiene suficiente valor, por sí solo, para acreditar la identidad y los datos personales de su titular que en él se consignen, así como la nacionalidad de éste. Partiendo de esta base, todo tratamiento de datos personales debe llevarse a cabo con una base legitimadora. En el presente caso, la recogida de datos del DNI se basa en el cumplimiento de una obligación legal.

No obstante, frente al cumplimiento de una obligación legal, se encuentra uno de los principios básicos consagrados en el Reglamento General de Protección de Datos (“RGPD”), este es, el principio de minimización de datos.

El RGPD establece que el tratamiento de datos personales debe ser adecuado, pertinente y limitado a lo estrictamente necesario en relación con la finalidad para la que se recogen. Esto implica que no se deben recopilar ni tratar datos que no sean esenciales para el propósito previsto.

En este sentido, el escaneo completo del DNI supone una vulneración del RGPD, ya que recoge información que no es necesaria para la finalidad específica del tratamiento (es decir, el registro documental impuesto por el Real Decreto). Por ejemplo, la fotografía del titular, la firma o los nombres de los progenitores no son datos que deban documentarse en virtud del Anexo I del Real Decreto.

La Agencia Española de Protección de Datos (“AEPD”) ya ha sancionado a hoteles por escanear documentos sin justificación legal. La resolución PS/00078/2021 es el caso más destacado, en la cual se le impuso una multa de 30.000 € a un hotel por escanear el pasaporte de un cliente y utilizarlo no solo para el registro documental, sino también para gestionar y facturar sus consumos durante su estancia, alegando como base legitimadora, además del cumplimiento de una obligación legal, el interés legítimo del hotel.

Casos más recientes son la resolución PS/00138/2024, en la cual se ha impuesto una multa de 2.000 € a un apartamento turístico que solicitaba la imagen del DNI de los usuarios, entre otros una menor, mediante la aplicación WhatsApp sin mediar información sobre el tratamiento de datos personales; o la resolución PS/00036/2024, en la cual se sanciona con una multa de 1.500 € a un establecimiento hotelero tras denegar el alojamiento a un huésped que se negó a aportar una fotografía de su DNI durante el proceso de check-in online y, al llegar al hotel, tampoco permitió que escaneasen su documento de identidad.

Pero, ¿puedo alegar que existe un interés legítimo?

La AEPD ha resuelto que, para que un establecimiento pueda basar el tratamiento de datos en el interés legítimo, es necesario realizar una ponderación entre dicho interés y los derechos del interesado. Según el Tribunal de Justicia de la Unión Europea, en su sentencia de 4 de mayo de 2017 (C-13/16, Rigas Satskime), esta evaluación debe considerar tres criterios clave:

  • Existencia de un interés legítimo por parte del responsable del tratamiento o de terceros.
  • Necesidad del tratamiento para la consecución de ese interés legítimo.
  • Que no prevalezcan los derechos y libertades del interesado, es decir, que el impacto en su privacidad no sea excesivo.

A estos tres requisitos se le añade que el tratamiento debe ser estrictamente necesario, evitando la recopilación de datos que no sean imprescindibles.

Hasta la fecha, la AEPD considera el escaneo de la fotografía del cliente por parte de un hotel, y, por ende, el archivo o almacenamiento de la misma en sus sistemas, como un tratamiento de datos excesivo, ya que hay alternativas menos intrusivas para alcanzar el mismo objetivo. Por lo tanto, el interés legítimo del establecimiento no justifica, de momento, la recopilación de esta información, en línea con el principio de minimización de datos del RGPD.

Buenas prácticas para establecimientos de hospedaje

En este contexto, es crucial que, como establecimiento de hospedaje, adoptes buenas prácticas para evitar cualquier tipo de sanción, tales como:

  • Solicitar el DNI sin escanearlo ni fotocopiarlo, y rellenar los datos a mano.
  • Implementar herramientas que solo extraigan los datos imprescindibles.
  • Pedir el consentimiento informado del cliente cuando los datos del documento se recojan para cualquier otra finalidad que no sea el registro documental.

Si pretendes escanear o almacenar información adicional del documento de identidad de un huésped para cualquier otro fin que no sea el cumplimiento del Real Decreto, es imprescindible informar de manera clara y transparente al cliente, explicando la finalidad y obteniendo su consentimiento explícito. Cabe recalcar que, en ningún caso, puede considerarse un consentimiento válido si se obtiene bajo presión o si no se ofrece al cliente otra alternativa razonable.

Conclusión

El registro o check-in en establecimientos de hospedaje debe mantener el equilibrio entre seguridad pública y protección de datos personales. Si bien los establecimientos tienen la obligación de identificar a sus clientes, esto no les otorga carta blanca para almacenar y tratar datos de manera excesiva o indiscriminada. La normativa vigente es clara al respecto y debe cumplirse para evitar sanciones y garantizar el derecho a la privacidad de los usuarios. Si solicitas datos innecesarios o haces un uso inadecuado de ellos, los clientes tienen el derecho de presentar una reclamación ante la AEPD.

Para evitar este tipo de situaciones, como establecimiento de hospedaje debes asegurarte de que el tratamiento de los datos de los clientes se realice conforme a la legislación vigente. La protección de datos es un aspecto clave en la gestión hotelera y, si te surgen dudas sobre el tratamiento de ciertos datos, siempre será recomendable consultarlo con expertos para asegurar el cumplimiento de la normativa aplicable.