Tu DNI no se fotocopia: los hoteles deben adaptarse a la nueva interpretación de la AEPD

20 junio, 2025
–
Protección de datos
–
Lucas Charnet


Llegas al hotel después de un largo viaje. Entregas tu documento de identidad para hacer el check-in y, sin pensarlo dos veces, el recepcionista lo escanea o le hace una fotocopia. Es un gesto automático, habitual. Pero a partir de ahora, esta práctica puede costarle cara al establecimiento. Literalmente.

La Agencia Española de Protección de Datos (AEPD) ha sido tajante: pedir una fotocopia del DNI a los clientes de hospedaje es ilegal. Así lo ha hecho constar en una nota informativa emitida el pasado 17 de junio de 2025, en relación con las obligaciones del Real Decreto 933/2021. Y el cambio no es menor: marca un antes y un después en la forma en que hoteles, hostales, apartamentos turísticos y alojamientos de todo tipo deben gestionar los datos personales de sus huéspedes.

¿Qué ha cambiado exactamente?

Nada en la norma, pero sí en su interpretación. El Real Decreto 933/2021, en vigor desde diciembre de 2024, obliga a los titulares de actividades de hospedaje a recoger ciertos datos identificativos de sus clientes, que deben remitirse a través de una nueva plataforma (SES.HOSPEDAJES) al Ministerio del Interior. Sin embargo, la AEPD ha aclarado que esta obligación no justifica ni ampara la fotocopia del documento de identidad.

¿Por qué? Porque escanear o guardar una copia del DNI supone tratar muchos más datos de los necesarios: fotografía, firma, fecha de caducidad, número CAN, nombre de los progenitores… datos que no forman parte del listado exigido por la norma. Y eso infringe el principio de minimización de datos recogido en el artículo 5.1.c) del Reglamento General de Protección de Datos (RGPD).

En otras palabras: si no es necesario para la finalidad, no puedes pedirlo, ni conservarlo.

¿Y entonces cómo se hace el check-in legal?

Aquí llega el punto clave: el Real Decreto 933/2021 no exige una copia del DNI, sino un conjunto de datos que el cliente puede facilitar mediante un formulario –presencial o en línea–, y cuya veracidad puede verificarse visualizando el documento original, pero sin escanearlo ni guardarlo.

Si el check-in es presencial, basta con contrastar los datos que el huésped ha aportado con su documento de identidad. Y si es online, se pueden implementar otros mecanismos como:

certificados digitales;

comprobación de los datos con el medio de pago;

envío de un código al móvil o correo electrónico del usuario.

Así lo establece la AEPD, dejando claro que los hoteles no solo deben cumplir la normativa de seguridad ciudadana, sino hacerlo respetando los principios del RGPD.

¿Qué riesgos corre un hotel si sigue pidiendo fotocopias?

No hablamos de una simple recomendación. La AEPD ha sido clara: esta práctica puede ser sancionada. Y ya hay precedentes. El uso excesivo de datos, la conservación innecesaria de documentos o la falta de medidas de seguridad en su almacenamiento son infracciones graves que pueden acarrear multas de hasta 20 millones de euros o el 4% del volumen de negocio anual.

Además del riesgo económico, está el riesgo reputacional. Guardar copias del DNI multiplica la exposición ante ciberataques. En los últimos años, hemos visto cómo varias cadenas hoteleras han sufrido filtraciones de datos que luego han sido usados para estafas o suplantaciones de identidad en plataformas como Booking o Airbnb.

La fotocopia del DNI no solo no sirve para cumplir con la ley. Es una bomba de relojería legal y tecnológica.

¿Y qué dice el Ministerio del Interior?

El Ministerio del Interior ha defendido que el nuevo sistema ha permitido localizar a más de 18.000 personas en búsqueda y captura gracias al cruce de datos. Pero eso no contradice la postura de la AEPD: los datos pueden y deben recogerse… sin vulnerar el RGPD.

El reto está en encontrar el equilibrio entre la seguridad ciudadana y la protección de la privacidad. Y en ese equilibrio, la AEPD ha dejado claro que el uso indiscriminado del DNI no tiene cabida.

¿Qué deben hacer los hoteles ahora?

1. Revisar sus protocolos de check-in y eliminar cualquier procedimiento que implique la toma, almacenamiento o fotocopia del DNI o pasaporte.
2. Actualizar los formularios de recogida de datos, asegurándose de que solo se solicitan los datos incluidos en los apartados A.3, A.4, B.3 y B.4 del Anexo I del Real Decreto 933/2021.
3. Formar al personal sobre cómo verificar los datos sin vulnerar la normativa.
4. Reforzar la seguridad de los sistemas de información, en especial si se opta por recogida online.
5. Valorar el asesoramiento legal o técnico para implementar medidas alternativas de autenticación compatibles con el RGPD.

Reflexión final: entre la privacidad y el turismo

España es una potencia turística, pero eso no debe justificar atajos legales. La protección de datos no es un obstáculo, sino una garantía. Para el cliente, que quiere confiar en que su información no será utilizada indebidamente. Y para el hotel, que debe proteger su negocio frente a sanciones y reclamaciones.

Desde MES Advocats, asesoramos a empresas del sector turístico en la implementación de políticas de privacidad, adaptación al RGPD y cumplimiento de sus obligaciones legales. Sabemos que el turismo evoluciona, y la ley también. Por eso, nuestro trabajo es ayudarte a navegar entre ambas con seguridad y visión de futuro. Puedes contactarnos a través de este enlace.

Si tu establecimiento todavía hace fotocopias del DNI, ha llegado el momento de actualizarse.

###


Check-in legalDNI y privacidadReial decret 933/2021RGPD

---