Mes Advocats
← Anterior

20 de juny del 2025 · Lucas Charnet

El teu DNI no es fotocopia: els hotels s’han d’adaptar a la nova interpretació de l’AEPD

El teu DNI no es fotocopia: els hotels s’han d’adaptar a la nova interpretació de l’AEPD

20 June, 2025

Protecció de dades

Lucas Charnet

![](https://www.mesadvocats.com/blog/wp-content/uploads/pexels-helenalopes-2017802-scaled.jpg)

Arribes a l’hotel després d’un llarg viatge. Entregues el teu document d’identitat per fer el check-in i, sense pensar-t’ho dues vegades, el/la recepcionista el digitalitza o en fa una fotocòpia. És un gest automàtic, habitual. Però a partir d’ara, aquesta pràctica pot sortir cara a l’establiment. Literalment.

L’Agència Espanyola de Protecció de Dades (AEPD) ha estat clara: demanar una fotocòpia del DNI als clients d’allotjaments és il·legal. Així ho ha fet constar en una nota informativa emesa el passat 17 de juny de 2025, en relació amb les obligacions del Reial decret 933/2021. I el canvi no és menor: marca un abans i un després en la manera com hotels, hostals, apartaments turístics i altres allotjaments han de gestionar les dades personals dels seus hostes.

Què ha canviat exactament?

Res en la norma, però sí en la seva interpretació. El Reial decret 933/2021, en vigor des del desembre del 2024, obliga els titulars d’activitats d’allotjament a recollir certes dades identificatives dels seus clients, que han de remetre’s a través d’una nova plataforma (SES.HOSPEDAJES) al Ministeri de l’Interior. Tot i això, l’AEPD ha aclarit que aquesta obligació no justifica ni empara la fotocòpia del document d’identitat.

Per què? Perquè escanejar o conservar una còpia del DNI suposa tractar moltes més dades de les necessàries: fotografia, signatura, data de caducitat, número CAN, nom dels progenitors… dades que no formen part del llistat exigit per la norma. I això infringeix el principi de minimització de dades recollit a l’article 5.1.c) del Reglament General de Protecció de Dades (RGPD).

Dit d’una altra manera: si no és necessari per a la finalitat, no es pot demanar ni conservar.

I llavors, com es fa el check-in legal?

Aquí ve el punt clau: el Reial decret 933/2021 no exigeix una còpia del DNI, sinó un conjunt de dades que el client pot facilitar mitjançant un formulari –presencial o en línia–, i la veracitat del qual pot verificar-se visualitzant el document original, però sense escanejar-lo ni conservar-lo.

Si el check-in és presencial, n’hi ha prou amb contrastar les dades aportades per l’hoste amb el document d’identitat. I si és en línia, es poden implementar altres mecanismes com:

  • certificats digitals;
  • comprovació de les dades amb el mitjà de pagament;
  • enviament d’un codi al telèfon mòbil o correu electrònic del client.

    • Així ho estableix l’AEPD, deixant clar que els hotels no només han de complir la normativa de seguretat ciutadana, sinó fer-ho respectant els principis del RGPD.

    Quins riscos corre un hotel si continua demanant fotocòpies?

    No parlem d’una recomanació. L’AEPD ha estat contundent: aquesta pràctica pot ser sancionada. I ja n’hi ha precedents. L’ús excessiu de dades, la conservació innecessària de documents o la manca de mesures de seguretat en l’emmagatzematge són infraccions greus que poden comportar multes de fins a 20 milions d’euros o el 4% del volum de negoci anual.

    A més del risc econòmic, hi ha el risc reputacional. Guardar còpies del DNI multiplica l’exposició davant ciberatacs. En els últims anys, diverses cadenes hoteleres han patit filtracions de dades que després han estat utilitzades per a estafes o suplantacions d’identitat en plataformes com Booking o Airbnb.

    La fotocòpia del DNI no només no serveix per complir la llei, sinó que és una bomba de rellotgeria legal i tecnològica.

    I què diu el Ministeri de l’Interior?

    El Ministeri de l’Interior ha defensat que el nou sistema ha permès localitzar més de 18.000 persones en recerca i captura gràcies a la interconnexió de dades. Però això no contradiu la posició de l’AEPD: les dades es poden i s’han de recollir… sense vulnerar el RGPD.

    El repte és trobar l’equilibri entre la seguretat ciutadana i la protecció de la privacitat. I en aquest equilibri, l’AEPD ha deixat clar que l’ús indiscriminat del DNI no hi té cabuda.

    Què han de fer ara els hotels?

    1. Revisar els protocols de check-in i eliminar qualsevol procediment que impliqui la presa, emmagatzematge o fotocòpia del DNI o passaport.
    2. Actualitzar els formularis de recollida de dades, assegurant-se que només es demanin les dades incloses als apartats A.3, A.4, B.3 i B.4 de l’Annex I del Reial decret 933/2021.
    3. Formar el personal sobre com verificar les dades sense infringir la normativa.
    4. Reforçar la seguretat dels sistemes d’informació, especialment si es recullen dades en línia.
    5. Valorar l’assessorament legal o tècnic per implementar mesures alternatives d’autenticació compatibles amb el RGPD.

    Reflexió final: entre la privacitat i el turisme

    Espanya és una potència turística, però això no justifica dreceres legals. La protecció de dades no és un obstacle, sinó una garantia. Per al client, que vol confiar que la seva informació no serà utilitzada indegudament. I per a l’hotel, que ha de protegir el seu negoci davant sancions i reclamacions.

    Des de MES Advocats, assessorem empreses del sector turístic en la implementació de polítiques de privacitat, adaptació al RGPD i compliment de les seves obligacions legals. Sabem que el turisme evoluciona, i la llei també. Per això, la nostra feina és ajudar-te a navegar entre ambdues amb seguretat i visió de futur. Pots contactar amb nosaltres a través d’aquest enllaç.

    Si el teu establiment encara fa fotocòpies del DNI, ha arribat el moment d’actualitzar-se.

    ###

    ![Dia Mundial de la Protecció de Dades: Com Millorar la Privacitat de la Teva Empresa](https://www.mesadvocats.com/blog/proteccion-datos-empresa-rgpd-medidas-practicas/ "Dia Mundial de la Protecció de Dades: Com Millorar la Privacitat de la Teva Empresa")
    ![Puc mantenir actiu el correu d’un exempleat?](https://www.mesadvocats.com/blog/puc-mantenir-actiu-el-correu-dun-exempleat/ "Puc mantenir actiu el correu d’un exempleat?")
    ![Regulació de la Intel·ligència Artificial a Europa i Espanya: Marc Normatiu i Nivells de Risc](https://www.mesadvocats.com/blog/ai-regulation-europe-spain-compliance-obligations/ "Regulació de la Intel·ligència Artificial a Europa i Espanya: Marc Normatiu i Nivells de Risc")

    Check-in legalDNI y privacidadReial decret 933/2021RGPD

    ---