En pleno verano, con el turismo en su punto más alto, muchos hoteles y alojamientos turísticos cometen un error que podría costarles caro: escanear o fotocopiar el DNI de los huéspedes como parte del registro de entrada. Aunque pueda parecer una práctica rutinaria para agilizar el check-in o “cumplir con la policía”, esta acción es ilegal en la mayoría de los casos y puede acarrear sanciones significativas.
La Agencia Española de Protección de Datos (AEPD) lo ha dejado claro en una reciente resolución: esta práctica vulnera el principio de minimización de datos del artículo 5.1.c) del Reglamento General de Protección de Datos (RGPD) y supone un tratamiento excesivo de información personal. La sanción: 9.000 euros para un hotel de cuatro estrellas.
El caso: un huésped que dijo “no”: El origen de esta sanción fue la reclamación de un huésped que, al llegar a un hotel, se negó a permitir que su DNI fuera escaneado. La respuesta del establecimiento fue copiar igualmente los datos desde el ordenador para cumplir con lo que, según ellos, “exigía la normativa”.
Sin embargo, la AEPD comprobó que el argumento del hotel estaba basado en una interpretación errónea del Real Decreto 933/2021 y de la Ley Orgánica 4/2015 de Seguridad Ciudadana.
Lo que dice la ley… y lo que no dice
El RD 933/2021 obliga a los alojamientos a registrar una serie de datos de los huéspedes para fines de seguridad ciudadana. Estos datos están listados en el Anexo I.A, e incluyen:
- Nombre
- Primer apellido
- Segundo apellido
- Sexo
- Número de documento de identidad
- Número de soporte del documento
- Tipo de documento (DNI, pasaporte, TIE)
- Nacionalidad
- Fecha de nacimiento
- Dirección completa y país
- Teléfonos de contacto
- Correo electrónico
- Número de viajeros
- Relación de parentesco (en caso de menores)
En ningún momento la norma exige fotocopiar, escanear o almacenar la imagen completa del documento.
Principio de minimización (Art. 5.1.c RGPD):
Solo se deben recopilar los datos personales adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
El problema del escaneo: más datos de los necesarios
Escanear o fotocopiar el DNI significa almacenar datos que la ley no obliga a registrar, como:
- Fotografía del rostro
- Firma
- Fecha de caducidad del documento
- Nombre de los progenitores
- Número de equipo de expedición
- Código CAN
Esta información, innecesaria para el check-in, aumenta el riesgo de suplantación de identidad en caso de filtración o acceso no autorizado.
Ejemplo de riesgo: Con una copia de tu DNI y datos básicos, un delincuente puede abrir cuentas, contratar líneas telefónicas o realizar compras a tu nombre.
Por qué el argumento “la policía me lo exige” no se sostiene
Muchos alojamientos interpretan que, para cumplir con la obligación de enviar los datos a las Fuerzas y Cuerpos de Seguridad, deben enviar una copia del documento. Esto es falso.
La AEPD recuerda que:
- El registro puede hacerse introduciendo los datos manualmente en un formulario seguro.
- La verificación de exactitud no requiere conservar la copia.
- El DNI, por sí solo, no contiene toda la información exigida en el Anexo I, por lo que no es un recurso válido para cumplir la norma.
Alternativas legales y seguras
La AEPD propone soluciones prácticas que permiten cumplir la ley sin vulnerar el RGPD:
- Formularios de check-in que solo recojan los campos exigidos por el RD 933/2021.
- Lectores de OCR que capturen solo los datos requeridos, sin almacenar la imagen completa.
- Plataformas seguras conectadas con la policía que gestionen los envíos de forma automática y anonimizada.
Comparativa: escaneo vs. captura selectiva de datos
| Aspecto | Escaneo completo del DNI | Captura selectiva de datos |
| Cumplimiento RGPD | ❌ | ✅ |
| Riesgo de suplantación | Alto | Bajo |
| Datos almacenados | Excesivos | Solo los exigidos por ley |
| Idoneidad legal | No | Sí |
Impacto para el sector turístico
Esta sanción no es un caso aislado. Pisos turísticos, hostales, resorts y cadenas hoteleras están bajo la lupa de la AEPD, especialmente en temporadas de alta ocupación.
El riesgo no es solo económico:
- Daño reputacional: un expediente sancionador puede generar desconfianza en los clientes.
- Costes de adecuación: implementar sistemas legales y seguros tras una sanción es más caro que prevenir.
- Obligación de notificar brechas: si los datos escaneados se filtran, hay que notificar a la AEPD y a los afectados.
Recomendaciones para hoteles y gestores de alojamiento
- Revisar protocolos de check-in y eliminar el escaneo sistemático de documentos.
- Formar al personal sobre el principio de minimización de datos.
- Actualizar sistemas informáticos para evitar el almacenamiento de imágenes completas de documentos.
- Auditar el cumplimiento de forma periódica.
- Informar a los huéspedes de sus derechos y del tratamiento de sus datos.
Paralelismo con la cadena de custodia digital
En el mundo de la informática forense, existe una máxima: cuanta menos manipulación de la prueba, mejor. Lo mismo aplica aquí: si recogemos más datos de los necesarios, no solo incumplimos la norma, sino que también creamos un riesgo innecesario.
Así como un perito digital registra únicamente los elementos relevantes para el caso, un hotel debe limitarse estrictamente a los datos exigidos por ley.
El futuro: identidad digital segura
La solución a largo plazo podría pasar por:
- Identidad digital descentralizada: el viajero comparte solo los datos necesarios y con control total sobre quién los ve.
- Certificados temporales que verifican la identidad sin exponer datos adicionales.
- Integración con plataformas gubernamentales para el check-in sin copia física del documento.
La resolución de la AEPD deja un mensaje claro para todo el sector:
- Escanear o fotocopiar el DNI es una infracción grave si no está expresamente justificado.
- El cumplimiento del RD 933/2021 no requiere copia del documento, solo los datos obligatorios.
- La protección de datos no es un obstáculo, sino una garantía para clientes y empresas.
En una era en la que la ciberseguridad y la privacidad son activos estratégicos, el respeto por el principio de minimización no es solo una obligación legal, es también una oportunidad para diferenciarse como un establecimiento responsable y seguro.
