En el sector hotelero existe cierta incertidumbre sobre si se puede o se debe guardar una fotocopia del DNI o del pasaporte durante el proceso de ‘check-in’ para acreditar el cumplimiento de las obligaciones establecidas en el Real Decreto 933/2021 de registro de viajeros. En este texto analizamos en detalle qué dice la normativa y qué orientaciones ha dado la AEPD al respecto.
Dentro del sector hotelero viene siendo una práctica habitual escanear o solicitar una fotocopia del DNI o del pasaporte en el momento en el que se produce el registro de los huéspedes. El argumento esgrimido por diferentes hoteles es que necesitan la fotocopia del DNI o pasaporte para cumplir con las obligaciones establecidas en el Real Decreto 933/2021 por el que se regula el registro de viajeros y que se agiliza considerablemente el proceso de registro. No obstante, dicha normativa no exige expresamente en ningún punto de su articulado que sea obligatorio o conveniente recabar una fotocopia del DNI o del pasaporte.
Desde el punto de vista de la normativa de protección de datos personales, debe tenerse en cuenta que pedir una copia de un documento oficial de identidad como el DNI o el pasaporte constituye un riesgo elevado para los derechos de los interesados. El motivo de esa consideración como riesgo alto está relacionado con el hecho de que, si esa copia cae en manos de terceros, la información contenida en ese documento permitiría prácticas potencialmente muy dañinas, como la suplantación de identidad, con las consecuencias que ello puede tener para una persona física.
Por este motivo, en los últimos años, la Agencia Española de Protección de Datos (AEPD) está especialmente activa en todo lo concerniente a la solicitud de fotocopias del DNI o pasaporte. Muestra de ello es que esta autoridad ha impuesto diferentes sanciones por este hecho en diversos negocios, incluyendo hoteles.
En otros sectores también se han impuesto multas por prácticas como solicitar una fotocopia del DNI de forma general para ejercitar derechos en materia de protección de datos personales (por ejemplo, el derecho de acceso) o exigirla para recoger un paquete en una empresa de mensajería. La AEPD suele considerar especialmente graves los ciberataques que afectan a datos de DNIs o pasaportes, imponiendo, en consecuencia, multas más cuantiosas. En cuanto al sector hotelero, existen dos pronunciamientos en los que la AEPD ha sancionado a alojamientos por solicitar fotocopia del DNI durante el proceso de check-in.
En línea con lo anterior y con la intención de aclarar las posibles dudas interpretativas sobre el cumplimiento de las obligaciones del Real Decreto 933/2021 y de la normativa de privacidad, en el mes de junio de 2025 la AEPD ha emitido una nota informativa en la que expresamente indica que solicitar copia del DNI o del pasaporte para cumplir con las obligaciones de identificación previstas en el Real Decreto 933/2021 incumple el principio de minimización establecido por el Reglamento General de Protección de Datos de la Unión Europea (RGPD).
El principio de minimización de datos personales es uno de los principios rectores de la normativa de privacidad. Podría resumirse en que no se pueden solicitar más datos de los necesarios para cumplir con la finalidad del tratamiento. En el caso del cumplimiento de la obligación de identificación de los huéspedes, la AEPD considera que este principio se incumple al solicitar una fotocopia del DNI o pasaporte porque este documento contiene más datos personales de los exigidos por el Real Decreto 933/2021 (por ejemplo, figuraría la imagen o los datos de los progenitores, que no son necesarios para el cumplimiento de las obligaciones establecidas en el Real Decreto 933/2021).
En la citada nota, la AEPD considera como alternativa menos invasiva pero que permitiría cumplir igualmente con la obligación de identificación que el propio usuario cumplimente la información en un formulario, diferenciando entre el canal presencial y el online para esta recogida de datos:
- Recogida de datos presencial: exhibición física del DNI o pasaporte, sin que se almacene copia del mismo.
- Recogida de datos online: recomienda recurrir a certificados digitales o verificación de datos con la información asociada a los medios de pago, envío de códigos de seguridad a direcciones de correo electrónico, etc., sin descartar que se pueda recurrir a otras tecnologías que permitan cumplir el mismo resultado sin solicitar una copia del DNI o pasaporte.
En resumen, por si existían dudas (a pesar de las sanciones que ya existían) la AEPD ha aclarado de forma tajante que no se puede solicitar fotocopia del DNI o pasaporte para cumplir con las obligaciones establecidas por el Real Decreto 933/2021.
A la luz de lo anterior, ¿qué pasos deberían seguir los sujetos obligados por el Real Decreto 933/2021 para cumplir con las previsiones de la citada normativa y no incurrir en incumplimientos de la normativa de privacidad? Proponemos a continuación algunas medidas recomendables:
- Cesar en la práctica de solicitud de la fotocopia o escaneo del DNI o pasaporte.
- Revisar los formularios y sistemas de registro para garantizar que solo se solicitan los datos mínimos imprescindibles para cumplir con la normativa.
- Revisar los protocolos de registro para enfatizar la verificación visual en el caso de registro presencial y estudiar posibles alternativas de verificación en el entorno digital. Quizás sea un buen momento para profundizar en los beneficios que podría tener el reglamento europeo EIDAS 2, que establece el marco europeo de identidad digital, para el sector hotelero en su conjunto.
- Formar al personal sobre la importancia de recabar los datos correctamente y de no solicitar una fotocopia del DNI o pasaporte, reforzando que esta información no se puede solicitar ni de manera informal con la disculpa de que permitiría agilizar el proceso de registro.
