La Agencia Española de Protección de Datos (AEPD) ha puesto freno a una práctica habitual en el sector de la hostelería y la actividad turística en general: la solicitud de copias del DNI o pasaporte como requisito para efectuar una reserva. La medida se ha dado a conocer a través de una nota informativa publicada el pasado 17 de junio del presente año, donde el organismo ha reconocido finalmente que esta actuación vulnera la normativa vigente (una evidente contradicción a nivel legislativo), al suponer un tratamiento excesivo de datos personales que no está amparado por el Real Decreto 933/2021.
El organismo subraya que la recopilación de información debe limitarse estrictamente a los datos exigidos por el Ministerio del Interior y nunca justificar la obtención o conservación de documentación oficial completa, que es lo que venía ocurriendo, que muchos hoteles se quedaban con copias de los documentos de identidad. Lejos de ser una recomendación aislada, esta advertencia adquiere especial relevancia en un momento en el que aumentan los riesgos de suplantación de identidad y las brechas de seguridad digital.
La Agencia no solo recalca que el DNI incluye datos sensibles no requeridos, como la fotografía o el código CAN, sino que además considera que esta práctica expone innecesariamente a los usuarios. En su lugar, insta a los establecimientos a verificar los datos de manera presencial o, en el caso de reservas online, mediante sistemas de autenticación alternativos que garanticen la protección de la privacidad sin poner en riesgo la seguridad de los viajeros.
Fin a una práctica extendida: la AEPD prohíbe copiar documentos de identidad en el sector hotelero
La AEPD ha zanjado una polémica práctica habitual en hoteles, apartamentos turísticos y otros alojamientos, la solicitud y conservación de copias del DNI o pasaporte de los huéspedes. Mediante una nota informativa publicada el 17 de junio de 2025, el organismo recuerda que esta práctica no solo no es necesaria para cumplir con el Real Decreto 933/2021, sino que además vulnera el principio de minimización de datos que impone la normativa de protección de datos.
Según el organismo, pedir y sobre todo “archivar” fotocopias del documento de identidad supone un tratamiento excesivo, ya que incorpora datos no exigidos legalmente (como la fotografía, el CAN, o el nombre de los progenitores) y no garantiza la autenticación del titular. Esta directriz busca frenar una costumbre extendida que, sin aportar valor legal o práctico, expone innecesariamente a los usuarios a riesgos de seguridad y suplantación de identidad.
Verificación sí, exceso no: cómo cumplir la normativa sin vulnerar la privacidad del huésped
El marco normativo vigente obliga a los alojamientos a recoger determinados datos de los viajeros, pero no autoriza la retención de documentos, y muchos se preguntan si no es igual de comprometedor mantener en una base de datos información sensible y personal de los huéspedes. La AEPD aclara que basta con que el huésped facilite los datos requeridos por el Real Decreto mediante un formulario, bien presencial o digital. Para validar la información en una estancia presencial, el responsable puede realizar una comprobación visual del documento, sin necesidad de almacenarlo.
En los casos de reserva online, la Agencia recomienda métodos alternativos de autenticación como el uso de certificados digitales, validación del método de pago o el envío de códigos de verificación al correo electrónico o teléfono del cliente, pero y ¿qué pasa cuando los huéspedes son extranjeros?. De este modo, se puede cumplir con los requisitos del Ministerio del Interior sin incurrir en prácticas abusivas ni comprometer datos personales sensibles.
Riesgos digitales y derechos fundamentales: el nuevo marco para el registro de viajeros
El tratamiento indebido de documentos personales no solo infringe la normativa, sino que también genera un gran riesgo en entornos digitales cada vez más vulnerables, muchos de estos establecimientos donde se solicita y almacena esta información no cuentan con sistemas de seguridad tan “eficientes” por lo que la información se encuentra más expuesta a los ciberataques.
La AEPD alerta de que conservar copias del DNI puede facilitar suplantaciones de identidad en caso de filtración o ciberataque. Las brechas de seguridad que han afectado a alojamientos en los últimos años han demostrado cómo este tipo de datos pueden terminar alimentando fraudes en plataformas como Booking.
Interior, por su parte, defiende el nuevo sistema de registro de viajeros por su eficacia en la localización de personas con órdenes de búsqueda, pero la AEPD insiste en que esta utilidad no justifica el exceso en la recogida de datos. La protección de la privacidad y el respeto a los derechos fundamentales deben guiar cualquier sistema de control, y los responsables del tratamiento están obligados a implementar medidas proporcionales, seguras y transparentes, pero ¿pueden estos establecimientos garantizar el cumplimiento de estos derechos fundamentales? ¿Qué pasa con la información que se ha almacenado hasta el momento?
