El pasado 17 de junio de 2025, la Agencia Española de Protección de Datos (AEPD) ha publicado una nota informativa de gran relevancia para el sector hotelero y turístico, en la que recuerda que no está permitido solicitar ni conservar una copia del documento de identidad (DNI) o pasaporte de los clientes, en aplicación del Real Decreto 933/2021.
Este recordatorio surge ante el aumento de prácticas incorrectas detectadas en establecimientos que, de forma sistemática, fotocopian o escanean documentos de identidad como parte del proceso de check‑in. Esta actuación no solo es innecesaria, sino que vulnera principios esenciales del Reglamento General de Protección de Datos (RGPD), en particular el principio de minimización de datos recogido en el artículo 5 del RGPD, que establece que solo pueden tratarse los datos adecuados, pertinentes y limitados a los fines para los que se recaban.
¿Por qué está prohibido conservar una copia del DNI o pasaporte?
El motivo principal es que los documentos de identidad contienen una gran cantidad de información personal sensible que no es necesaria para cumplir con la obligación legal de registrar a los huéspedes. Por ejemplo, la fotografía, el número CAN, la fecha de caducidad del documento o incluso firmas digitalizadas no son datos requeridos por la normativa vigente. Al conservar esta información se exponen innecesariamente a los clientes a riesgos como el uso fraudulento de su identidad o la pérdida o filtración de datos, lo que puede acarrear graves consecuencias legales y reputacionales para el establecimiento.
De hecho, la AEPD ha sancionado recientemente a un hotel en Cantabria con una multa de 1.200 € por incumplir esta obligación, evidenciando que estas prácticas pueden tener consecuencias económicas inmediatas.
¿Qué datos pueden y deben recogerse?
Conforme al Real Decreto 933/2021, los establecimientos hoteleros deben recabar únicamente los siguientes datos personales del cliente:
- Nombre y apellidos
- Sexo
- Nacionalidad
- Tipo y número del documento identificativo
- Fecha de nacimiento
- Fechas de entrada y salida
- Número de teléfono móvil
Estos datos pueden recogerse mediante formularios en papel o sistemas digitales diseñados para registrar exclusivamente la información imprescindible. El diseño del sistema debe evitar, por defecto, la recolección excesiva de datos. El uso de tecnologías automatizadas no justifica la recopilación de más información de la necesaria.
¿Cómo se puede verificar la identidad sin conservar copia del documento?
La verificación de identidad no exige guardar el documento. Es suficiente con una verificación visual presencial del DNI o pasaporte al realizar el check‑in. En el caso de reservas realizadas online, la verificación puede realizarse mediante medios alternativos como:
- Certificados digitales
- Códigos de un solo uso (OTP) enviados por SMS
- Confirmación de identidad a través de datos asociados al pago (tarjetas, plataformas de reserva)
Estas alternativas son legalmente válidas, tecnológicamente viables y respetuosas con los principios del RGPD.
Un mensaje claro para DPOs y responsables de tratamiento
Este posicionamiento de la AEPD no es solo un aviso, sino una llamada a la responsabilidad de quienes gestionan datos personales en el sector turístico. Automatizar procesos como el check-in no implica capturar datos sin control. Al contrario, la innovación tecnológica debe estar siempre alineada con los principios del cumplimiento normativo.
Un tratamiento de datos responsable:
- Reduce riesgos legales y de seguridad
- Mejora la experiencia del cliente
- Refuerza la reputación y la confianza del establecimiento
Este caso es una advertencia clara: el cumplimiento normativo en materia de protección de datos no es una carga, sino una ventaja estratégica. Adaptar los protocolos de registro y check-in no solo previene sanciones, sino que transmite una imagen de seriedad y respeto hacia la privacidad de los clientes.
Desde Legitec y a través de nuestros servicios de consultoría especializada en cumplimiento del RGPD y la LOPDGDD, te animo a aprovechar esta advertencia como una oportunidad para auditar y mejorar vuestros procedimientos de recogida de datos, tanto en entornos presenciales como digitales.
Estamos a tu disposición para ayudarte a:
- Revisar los formularios y flujos de check-in
- Eliminar prácticas innecesarias o riesgosas
- Implantar soluciones tecnológicas que cumplan con la normativa
- Capacitar al personal en buenas prácticas de protección de datos