Protección de datos en hoteles: cómo garantizar la privacidad de los clientes

Jul 3, 2025

En el sector hotelero es vital garantizar la privacidad de los clientes. Conoce cómo proteger la información de los huéspedes

Redacción Lefebvre
Tribuna 
Proteccion de datos y hoteles

La protección de datos personales es una prioridad tanto para individuos como para empresas. Los hoteles, hostales, campings y otros alojamientos no son la excepción, ya que gestionan una gran cantidad de información personal de sus huéspedes. Esta información es esencial para ofrecer servicios, pero también conlleva riesgos significativos en caso de filtraciones, accesos no autorizados o usos indebidos. La protección de datos no solo es una obligación legal, sino que también es fundamental para mantener la confianza de los huéspedes y proteger la reputación del establecimiento.

Este artículo aborda las preguntas más comunes sobre los derechos de los huéspedes en relación con el tratamiento de sus datos y las sanciones que enfrentan los establecimientos en caso de incumplimiento.

¿Qué datos pueden solicitarse al cliente durante el proceso de check-in?

Los clientes pueden realizan el check-in, mediante la cumplimentación de un formulario on line o de forma presencial en el establecimiento, deben aportar sus datos de identificación personal, tales como nombre, apellidos, documento de identidad (DNI, pasaporte o TIE), nacionalidad, domicilio y, en su caso, datos de contacto (teléfono y/o correo electrónico), así como información relativa a la estancia (fechas de entrada y salida, número de personas, relación de parentesco entre los viajeros en caso de que alguno sea menor de edad, etc.).

Los establecimientos pueden solicitar otros datos como preferencias de habitación, datos de salud (por ejemplo, alergias alimentarias), datos biométricos para el control de accesos y, en algunos casos, información sobre religión o discapacidad si es relevante para la prestación de servicios personalizados.

En determinadas circunstancias, como la justificación de la estancia de extranjeros, puede requerirse la presentación de documentos que acrediten el motivo de la estancia o la existencia de hospedaje.

Asimismo, es práctica habitual solicitar una tarjeta de crédito/débito para garantizar la reserva, pero no pueden exigir el almacenamiento de los datos de la misma sin consentimiento explícito del titular.

Los partes de entrada para el uso de los servicios de hospedaje deben ser firmados por toda persona mayor de 14 años que haga uso de los mismos. En el caso de las personas menores de 14 años, sus datos deben ser proporcionados por la persona mayor de edad de la que vayan acompañados.

¿Puede el establecimiento solicitar una copia del DNI o pasaporte?

Solicitar una copia del DNI o del Pasaporte vulnera el principio de minimización de datos, establecido en el RGPD art.5.1.c, y supone un tratamiento excesivo de datos. Esto se debe a que el DNI completo contiene más datos que los obligados a aportar en virtud de la normativa aplicable, como la fotografía, la fecha de caducidad del documento, el CAN o el nombre de los padres. Asimismo, el entregar una copia de la documentación personal implica, entre otros, un riesgo innecesario de suplantación de la identidad, que debe ser evitado o, por lo menos, mitigado de manera efectiva.

¿Cómo puede el establecimiento verificar que los datos aportados son auténticos?

El establecimiento es responsable de la exactitud de los datos consignados, que deben coincidir con los documentos de identidad.

La comprobación de la exactitud de los datos puede realizarse:

  • Si el formulario en el que se recogen los datos se ha realizado de forma presencial, basta con la exhibición del documento de identidad.
  • Si la recogida de datos se ha realizado en línea, la verificación puede realizarse mediante mecanismos como certificados digitales. También es posible la verificación de que los datos y la información proporcionada concuerda con los datos asociados al medio de pago utilizado, o mediante el envío de códigos de seguridad enviados a los números de teléfono o direcciones de correo electrónico de los huéspedes obligados a identificar, como factores de autenticación.

Derechos de los clientes en lo relativo al tratamiento de sus datos

 Los derechos de los huéspedes comprenden:

a) Derecho de información: el alojamiento debe informar a los clientes, en el momento de la recogida de los datos, sobre la identidad del responsable del tratamiento, la finalidad del mismo, la base jurídica, los destinatarios, el plazo de conservación y los derechosque les asisten. Esta información debe facilitarse de forma clara, accesible y comprensible, preferentemente por escrito y, en su caso, por medios electrónicos.

b) Derecho de acceso: el cliente puede solicitar el acceso a sus datos personales que están siendo tratados por el establecimiento, permitiéndoles conocer qué información se tiene sobre ellos y verificar su exactitud.

c) Derecho de rectificación: si los datos son incorrectos o están incompletos, puede solicitarse su rectificación, que deberá realizarse sin demora injustificada.

d) Derecho de supresión (derecho al olvido): el cliente puede solicitar la eliminación de sus datos cuando ya no sean necesarios para los fines para los que se recopilaron.

e) Derecho a la limitación del tratamiento: los huéspedes pueden solicitar que se limite el tratamiento de sus datos.

f) Derecho de oposición: los clientes pueden oponerse al tratamiento de sus datos personales en cualquier momento, por motivos relacionados con su situación particular. Los establecimientos deben cesar el tratamiento de los datos a menos que demuestren motivos legítimos imperiosos para continuar con el tratamiento.

Cumplimiento de la normativa sobre protección de datos por parte de los establecimientos hoteleros

Las principales medidas para garantizar la protección de los datos de los huéspedes son las siguientes: 

1. Informar a sus clientes, de forma clara y accesible, sobre la identidad del responsable del tratamiento de los datos, la finalidad del tratamiento, la base jurídica, los derechos de los interesados y la forma de ejercerlos. Asimismo, es necesario obtener el consentimiento explícito antes de recopilar cualquier información personal.

Esta información debe estar disponible y ser fácilmente accesible para los huéspedes, tanto en los formularios de registro como en la cartelería informativa (por ejemplo, en zonas videovigiladas).

 2. Los establecimientos deben llevar un registro informático de los datos recogidos, que debe conservarse durante un plazo de 3 años desde la finalización del servicio. Los sujetos obligados que desarrollen actividades de hospedaje de manera no profesional están exceptuados de la obligación de registro documental y conservación, pero sí deben cumplir con las obligaciones de comunicación. Asimismo, los datos pueden ser requeridos por las autoridades para la prevención de riesgos sanitarios o de seguridad.

3. Realizar análisis de riegos y evaluaciones de impacto. La evaluación de impacto en protección de datos (EIPD) es obligatoria cuando el tratamiento puede entrañar un alto riesgo para los derechos y libertades de las personas, como ocurre con el uso de tecnologías biométricas o la videovigilancia a gran escala. La EIPD debe identificar los riesgos, valorar su gravedad y probabilidad, y definir medidas para mitigarlos. Es un proceso documentado y revisable.

4. Nombrar a un Delegado de Protección de Datos (DPD). El nombramiento de un Delegado de Protección de Datos (DPD) es obligatorio para entidades que traten datos a gran escala, datos sensibles o realicen un seguimiento sistemático de personas. En el sector hotelero, las grandes cadenas suelen estar obligadas a designar un DPD, mientras que los pequeños establecimientos deben analizar si cumplen los requisitos legales para ello.

5. El personal del establecimiento (interno o de subcontrata) debe firmar una cláusula o acuerdo de confidencialidad, donde se recoja su compromiso de cumplimiento de los protocolos de protección de datos.

6. Si el establecimiento necesita realizar la cesión de datos a terceros, debe recabar el consentimiento de los huéspedes y suscribir contratos de encargado de tratamiento, en los que se recojan la tipología de datos, las obligaciones y las finalidades del tratamiento.

Los establecimientos no pueden revelar la información personal de sus huéspedes, salvo que haya consentimiento de estos o sea solicitada por la policía o un juzgado duranta una investigación criminal, con la correspondiente orden judicial.

7. Notificación de brechas de seguridad. La notificación debe realizarse a la AEPDo a la autoridad autonómica competente, según corresponda. La notificación se realiza preferentemente por vía electrónica, utilizando el formulario habilitado en la sede electrónica de la AEPD, en el plazo máximo de 72 horas desde que el responsable del tratamiento haya tenido constancia de la misma. Si la notificación no puede realizarse en ese plazo, debe acompañarse de una explicación de los motivos de la dilación.

Aplicación de medidas reforzadas de seguridad

Deben aplicarse estas medidas reforzadas cuando se trate de datos especialmente protegidos. En estos casos, el cliente debe haber dado su consentimiento explícito, ya que, de lo contrario, el tratamiento de estos datos sería ilícito:

a) Si se utilizan tecnologías como cámaras de videovigilancia, sistemas biométricos (huella dactilar, reconocimiento facial) y aplicaciones móviles para la gestión de reservas o servicios, debe realizarse un tratamiento intensivo de datos personales. Estas tecnologías deben implementarse respetando los principios del RGPD, informando adecuadamente a los huéspedes y, en el caso de datos biométricos, aplicando medidas reforzadas de seguridad y, en muchos casos, realizando una evaluación de impacto previa.

b) En el sector hotelero, pueden recabarse datos de salud, religiosos o de discapacidad, como, por ejemplo, el caso de clientes con necesidades alimentarias especiales derivadas de alergias o motivos religiosos.

Consecuencias del incumplimiento

El incumplimiento de las obligaciones en materia de protección de datos por parte de los establecimientos hoteleros puede conllevar las siguientes consecuencias:

1. Los clientes pueden presentar reclamaciones ante la AEPD y reclamar indemnizaciones por daños y perjuicios.

2. Multas administrativas de hasta 20.000.000 euros o el 4% del volumen de negocio anual globalpara las más graves, yhasta 10.000.000 euros o el 2% del volumen de negocio anual global para las graves o menos graves, optándose siempre por la de mayor cuantía.

 

 Puede ampliar el contenido de estas cuestiones en el Memento Protección de Datos 2025-2026. 

Se informa a nuestros clientes que con motivo de la entrada en vigor del nuevo Reglamento Europeo de Protección de Datos, este Despacho a procedido a adaptar su Policia de Protección Privacidad a la nueva normativa, para lo que cualquier cliente que desee consultar, modificar o anular sus datos de carácter personal cedidos con anterioridad conforme a sus relaciones profesionales con este Despacho, puede remitir su solicitud al correo electrónico info@bermejoialegret.com

ACEPTAR
Aviso de cookies