Cuando te alojas en un hotel, hostal o apartamento turístico en España, es habitual que te soliciten tu documento de identidad o pasaporte al hacer el check-in. En muchos casos, los establecimientos no solo toman nota de los datos, sino que también escanean o fotocopian el documento. Pero, ¿es esto legal desde el punto de vista de la protección de datos?
La respuesta no es tan sencilla y depende de varios factores. Veamos qué dice la normativa.
¿Por qué los alojamientos turísticos piden el DNI? El registro de huéspedes en establecimientos de hospedaje es una obligación legal establecida en la Ley Orgánica 4/2015, de 30 de marzo, de Protección de la Seguridad Ciudadana, así como en la Orden INT/1922/2003, de 3 de julio. Estas normas obligan a los alojamientos turísticos a recopilar ciertos datos de los viajeros y remitirlos a las Fuerzas y Cuerpos de Seguridad del Estado en un plazo de 24 horas.
Los datos que deben recogerse incluyen:
- Nombre y apellidos.
- Número y tipo de documento de identidad.
- Nacionalidad.
- Fecha de nacimiento.
- Fecha de entrada en el establecimiento.
Sin embargo, la normativa no exige que los alojamientos conserven una copia del documento de identidad, sino que simplemente recopilen y comuniquen los datos.
¿Es legal escanear o fotocopiar el DNI? Riesgos y Regulación
Según la Agencia Española de Protección de Datos (AEPD), escanear o fotocopiar el documento completo sin justificación es una práctica excesiva y contraria al principio de minimización de datos. Este principio, recogido en el Reglamento General de Protección de Datos (RGPD), establece que solo deben tratarse los datos estrictamente necesarios para la finalidad perseguida, evitando la recopilación excesiva de información personal.
El problema de conservar una copia del DNI o pasaporte sin una base legal clara no solo es un incumplimiento normativo, sino que también incrementa el riesgo de suplantación de identidad y fraude.
¿Por qué supone un riesgo?
Almacenar copias de documentos de identidad sin un sistema de protección adecuado puede exponer a los clientes a robos de identidad. Un acceso indebido a estas copias podría permitir que terceros:
- Usen el documento para abrir cuentas bancarias fraudulentas.
- Soliciten créditos o financiamientos a nombre del titular.
- Accedan a servicios en su nombre sin su autorización.
- Cometan fraudes en el comercio electrónico o incluso delitos más graves.
El secuestro de datos en ciberataques también es un peligro real. Si un alojamiento turístico sufre una brecha de seguridad y no ha protegido adecuadamente la información de sus clientes, los datos podrían acabar en el mercado negro. Existen múltiples casos en los que bases de datos con copias de pasaportes y DNIs han sido filtradas y vendidas en la dark web para cometer fraudes.
¿Cuándo es legítimo el escaneo o fotocopiado? El alojamiento solo podrá escanear o fotocopiar el documento en los siguientes casos:
- Cumplimiento de una obligación legal: Como hemos mencionado, la ley obliga a los alojamientos a recopilar ciertos datos para la seguridad ciudadana. Sin embargo, esto no implica la necesidad de conservar una copia del documento completo.
- Interés legítimo del establecimiento: Algunos hoteles argumentan que escanean el documento para evitar fraudes en la facturación o verificar la identidad en consumos internos. Sin embargo, la AEPD ha señalado que este tratamiento puede no superar el juicio de proporcionalidad si existen alternativas menos intrusivas, como la verificación visual del documento.
- Consentimiento expreso del cliente: Si el alojamiento quiere conservar una copia del documento para otros fines (por ejemplo, para evitar suplantaciones en pagos), deberá recabar el consentimiento expreso del huésped, informándole claramente de la finalidad del tratamiento y permitiéndole negarse sin consecuencias.
Casos sancionados por la AEPD Un ejemplo claro es la resolución PS/00078/2021, en la que un hotel fue denunciado por escanear y almacenar la fotografía del pasaporte de un cliente sin justificación suficiente. La AEPD concluyó que el tratamiento de la imagen del pasaporte no era necesario ni proporcionado, y que existían medidas menos intrusivas para verificar la identidad del huésped.
¿Qué pueden hacer los clientes si no quieren que escaneen su DNI? Si te encuentras en esta situación, puedes:
- Preguntar al alojamiento cuál es la base legal para el escaneo.
- Solicitar que solo se anoten los datos sin guardar copia del documento.
- En caso de que insistan sin justificación, presentar una reclamación ante la AEPD.
¿Qué deben hacer los alojamientos para cumplir la normativa? Los establecimientos turísticos deben asegurarse de que el tratamiento de datos personales de sus clientes cumple con la normativa, lo que implica:
- Limitar la recopilación de datos a lo exigido por la normativa de seguridad ciudadana.
- No conservar copias del documento si no es imprescindible.
- Informar de manera clara y transparente a los clientes sobre cómo se usan sus datos.
- Implementar medidas de seguridad adecuadas para proteger la información recopilada.
En conclusión, aunque los alojamientos tienen la obligación de recopilar datos de los huéspedes, no pueden escanear o fotocopiar el DNI sin una justificación válida. La protección de datos personales es un derecho, y tanto los clientes como los establecimientos deben conocer sus obligaciones y derechos para evitar problemas legales.