Protección de Datos prohíbe copiar el DNI en hoteles y pisos turísticos

La Agencia Española de Protección de Datos (AEPD) ha advertido que los establecimientos turísticos y empresas de alquiler de vehículos no pueden realizar copias del DNI o pasaporte de los clientes al hacer el registro. Según una reciente nota informativa del organismo, esta práctica infringe el principio de minimización de datos y supone un tratamiento excesivo de información personal, ya que los documentos contienen datos no necesarios para el check-in, como la fotografía, el número de acceso a la tarjeta (CAN), la fecha de caducidad o incluso los nombres de los padres del titular.

Las copias del documento no garantizan la identidad y aumentan el riesgo
Protección de Datos argumenta que pedir una copia del documento no solo es innecesario, sino que tampoco garantiza por sí sola la identidad del viajero. Además, considera que supone un “riesgo innecesario de suplantación de identidad” si la copia cae en manos inadecuadas, por lo que insta a los establecimientos a eliminar esta práctica y sustituirla por otros medios más seguros y ajustados a la normativa.

Qué datos sí están permitidos y exigidos por ley
Los alojamientos deben recabar ciertos datos para cumplir con el Real Decreto de octubre de 2021, como el nombre y apellidos, número de documento de identidad, nacionalidad, sexo, lugar de residencia, teléfono, correo electrónico, fechas de entrada y salida, número de viajeros, y detalles sobre el pago. Sin embargo, muchos de estos datos no están incluidos en el DNI o el pasaporte, y otros que sí lo están no son necesarios legalmente, por lo que la copia del documento no es útil ni adecuada para cumplir con la ley.

Propuesta: formularios físicos u online como alternativa válida
La AEPD sugiere a hoteles y empresas de alquiler que recopilen los datos necesarios mediante un formulario que el cliente puede rellenar de forma presencial u online. En el caso presencial, los datos pueden contrastarse con el documento original en ese momento, y si es telemático, mediante certificados digitales o códigos de verificación enviados por correo electrónico o SMS. También deja abierta la puerta a otros métodos que respeten la normativa sin comprometer la seguridad de los datos personales.