Sinergia SRB centro de negocios

La Agencia Española de Protección de Datos (AEPD) prohíbe solicitar copias del DNI en hospedajes

La AEPD ha aclarado en una nota que los hospedajes no pueden pedir copias del DNI o pasaporte para cumplir con el Real Decreto 933/2021: solo deben recoger los datos expresamente previstos. Los alojamientos deberán adaptar sus formularios y sistemas de registro: las copias de documentos de identidad suponen un tratamiento excesivo de datos y elevan el riesgo de suplantación.

El pasado 17 de junio de 2025, la Agencia Española de Protección de Datos (AEPD) publicó una nota informativa dirigida a los titulares de actividades de hospedaje, aclarando cómo deben cumplirse las obligaciones del Real Decreto 933/2021, que regula el registro documental de viajeros.

En concreto, se establece que no está permitido pedir copias del DNI o pasaporte a clientes de alojamientos. Hacerlo vulnera el principio de minimización de datos (art. 5.1.c RGPD) y constituye un tratamiento excesivo, al incluir datos sensibles no requeridos (fotografía, fecha de caducidad, CAN, nombres de los padres).

1. Por qué no sirven las copias de documentos

  • Contienen más información de la que exige la norma (datos biométricos, filiación).
  • No permiten comprobar con certeza la identidad del huésped, ya que un archivo o foto puede falsificarse.
  • No cubren todos los datos que sí exige el Anexo I del Real Decreto 933/2021 (A.3, A.4, B.3, B.4).
  • Aumentan el riesgo de suplantación si se almacenan o circulan sin garantías.

Atención. Conservar fotocopias o escaneos del DNI puede derivar en sanciones por incumplimiento del RGPD, con multas significativas.

2. Qué datos deben recogerse

La norma obliga a recopilar únicamente los datos previstos en el Anexo I del RD 933/2021. Estos pueden recogerse mediante un formulario presencial u online, que incluya los campos exigidos y nada más.

Atención. Cualquier dato adicional no contemplado en la norma supone un exceso y puede ser sancionado.

3. Cómo verificar la autenticidad

  • Presencial: basta con una verificación visual del documento de identidad mostrado en recepción.
  • Online: se recomienda utilizar:
    • Certificados digitales.
    • Comprobación de datos asociados al pago.
    • Códigos enviados al teléfono o email del cliente como doble factor de autenticación.

La AEPD admite que pueden aplicarse otros mecanismos, siempre que sean evaluados por el responsable del tratamiento y cumplan con el RGPD.

Atención. No hay «barra libre»: cualquier método adicional debe ser evaluado y documentado como parte del análisis de riesgos en materia de protección de datos.

4. Recomendaciones prácticas para empresas de hospedaje

  1. Revisar los formularios actuales y eliminar cualquier referencia a la «copia» del DNI/pasaporte.
  2. Formar al personal de recepción: el documento se muestra, pero no se fotocopia ni se archiva.
  3. Implantar verificaciones online seguras si se aceptan reservas sin contacto presencial.
  4. Actualizar las políticas de privacidad para explicar de forma clara qué datos se recogen y con qué finalidad.
  5. Conservar solo los datos exigidos y aplicar plazos de borrado adecuados.

En definitiva, la AEPD recuerda que la finalidad del RD 933/2021 es proteger personas y bienes, pero esto debe hacerse con respeto al RGPD. En los hospedajes, la clave está en recoger únicamente los datos necesarios y verificarlos de forma proporcional, sin recurrir a copias de documentos que añaden riesgos innecesarios y carecen de validez.

Pueden ponerse en contacto con este despacho profesional para cualquier duda o aclaración que puedan tener al respecto.

Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles. Política de cookies.