En época estival cabe recordar, tanto a los viajeros como a las personas jurídicas y físicas que ejercer la actividad de hospedaje (ya sean hoteles o pisos turísticos), que solicitar una copia o imagen del DNI, o escanear el mismo, vulnera el principio de minimización de datos y supone un tratamiento excesivo de los datos personales de los huéspedes.

Pues, la imagen del rostro del viajero, el número de equipo de expedición o los nombres de los progenitores del viajero, supone la recogida de datos personales sobre los que no concurre una obligación legal de recogida, registro, y comunicación. “Todos ellos serían datos personales cuya recogida supone un tratamiento excesivo, que es contrario al principio de minimización de datos previsto en el artículo 5.1.c) del Reglamento General de Protección de Datos (RGPD)”, afirma la Agencia Española de Protección de Datos.

Un recordatorio que hace esta autoridad a través de una resolución que ella misma ha dictado (disponible en el botón ‘descargar resolución’) y en la que sanciona con 9.000 euros a un hotel de cuatro estrellas en España por haber solicitado a un huésped el DNI para escanearlo.

La Agencia Española de Protección de Datos (AEPD) inició un procedimiento sancionador contra el hotel después de que el viajero interpusiera una reclamación ante dicha autoridad informando de los hechos, los cuales tuvieron lugar en las instalaciones del alojamiento mientras realizaban el correspondiente registro de viajeros. El huésped indicaba que, ante la negativa de ceder a que su documento de identidad fuera escaneado por parte del hotel, este último procedió a copiar los datos usando el ordenador.

La normativa no exige que deba solicitarse una copia ni imagen del DNI

La AEPD notificó al alojamiento sobre tal reclamación, ante lo que éste defendió su forma de actuar alegando que, en cumplimiento del Real Decreto 933/2021, de 26 de octubre, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje, “las Autoridades de Seguridad del Estado le obligan a enviar telemáticamente la copia de un documento que acredite a las personas que se hospedan o soliciten hospedarse en el hotel. Es por ello por lo que escanea el documento acreditativo de la persona y lo envía a las Autoridades de seguridad del Estado”.

Sin embargo, ese argumento de defensa por parte del alojamiento no es del todo correcto desde un punto de vista legal.

Si bien es cierto que las personas físicas o jurídicas que ejercen actividades relevantes para la seguridad ciudadana, como las de hospedaje, están sujetas a las obligaciones de registro documental e información en los términos que establezcan las disposiciones aplicables —tal y como dispone el apartado primero del artículo 24 de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana (LO 4/2015)—, dichas obligaciones —desarrolladas en el Real Decreto 933/2021, de 26 de octubre, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor (RD 933/2021)— no disponen que deba solicitarse la entrega de una copia o imagen del DNI, “y mucho menos mediante el escaneo de este”, afirma la AEPD.

Es decir, los alojamientos tienen la obligación de registrar los datos de los huéspedes que acogen en una “Hoja-registro” que posteriormente la propia entidad responsable del establecimiento de hospedaje debe trasladar a las Fuerzas y Cuerpos de Seguridad del Estado. No obstante, los datos que deben incorporarse en dicha “Hoja-registro” vienen especificados en el apartado 3 del Anexo I.A del RD 933/2021 y son:

1. Nombre.
2. Primer apellido.
3. Segundo apellido.
4. Sexo.
5. Número de documento de identidad.
6. Número de soporte del documento.
7. Tipo de documento (DNI, pasaporte, TIE).
8. Nacionalidad
9. Fecha de nacimiento.
10. Lugar de residencia habitual. – Dirección completa. – Localidad. – País.
11. Teléfono fijo.
12. Teléfono móvil.
13. Correo electrónico.
14. Número de viajeros.
15. Relación de parentesco entre los viajeros (en el caso de que alguno sea menor de edad).

Por tanto, escanear, fotocopiar o hacer una imagen del DNI o del pasaporte del viajero supone un tratamiento de datos personales que excede de los exigido en el apartado 3 del Anexo I.A del RD 933/2021, tales como la imagen rostro del viajero, el número de equipo de expedición o los nombres de los progenitores del viajero, sobre los que no concurre una obligación legal de recogida, registro, y comunicación.

En este sentido, la Agencia Española de Protección de Datos señala en la resolución dictada que, “la obligación de comprobar la exactitud de los datos personales de los huéspedes, prevista en el artículo 4.3 del RD 933/2021, debe cumplirse sin necesidad de solicitar la entrega de copia o imagen del documento de identidad y mucho menos mediante el escaneo de este, pues existen otras alternativas igualmente válidas que permiten realizar esta comprobación de forma fiable”.

La AEPD considera que podría ser suficiente con que las personas faciliten o completen un formulario que recoja exclusivamente los datos exigidos en los apartados A.3 y B.3 del Anexo I del Real Decreto (“Datos a facilitar en el ejercicio de la actividad de hospedaje” apartados A.3, A.4, B.3 y B.4).

Entregar una copia del DNI implica, entre otros, un riesgo innecesario de suplantación de la identidad

Aplicando tales razonamientos al caso concreto, el hotel contra el que la AEPD acordó iniciar un procedimiento sancionador, afirmaba que en su proceso de registro de huéspedes escaneó el documento acreditativo de la parte reclamante (el viajero que interpuso la reclamación ante la AEPD) al objeto de enviarlo a las Autoridades de Seguridad del Estado. Sin embargo, no es obligatorio recoger, registrar ni comunicar a las autoridades competentes la imagen, fotocopia o imagen completa del documento de identidad del viajero, sino únicamente algunos de los datos contenidos en el mismo como son los especificados en el apartado 3 del Anexo I.A del RD 933/2021.

Como bien ya se ha mencionado, recoger el rostro del viajero, el nombre sus progenitores o el número de equipo de expedición del DNI supone realizar un tratamiento de datos personales que excede de los exigido y que es contrario al principio de minimización de datos previsto en el artículo 5.1.c) del Reglamento General de Protección de Datos (RGPD).

“Esto se debe a que el DNI completo contiene más datos que los obligados a aportar en virtud de la normativa aplicable, como la fotografía, la fecha de caducidad del documento, el CAN o el nombre de los padres”, señala la AEPD.

“Asimismo, el entregar una copia de la documentación personal implica, entre otros, un riesgo innecesario de suplantación de la identidad” —concretamente, un riesgo para la privacidad del interesado debido a que, por las características de los datos que contiene, de producirse un acceso por un tercero ajeno al conjunto de datos que se contiene en el DNI y a la propia imagen de este documento, puede dar lugar a su utilización para la realización de un fraude mediante la suplantación de identidad del interesado— “que debe ser evitado o, por lo menos, mitigado de manera efectiva. Adicionalmente, cabe recordar que el DNI no contiene la totalidad de la información solicitada en el Anexo I del Real Decreto 933/2021 por lo que, por sí solo, no es un recurso válido para poder cumplir con la citada norma”.

En este sentido, la Agencia continúa argumentando en la resolución que finalidad del RD 933/2021 es proteger a las personas y bienes y mantener la tranquilidad ciudadana ante la “especial relevancia” de la “logística del alojamiento” “en el modus operandi de los delincuentes”, por lo que el envío de una copia del DNI no permite verificar con certeza la identidad de la persona y, por tanto, carece de la idoneidad suficiente para cumplir con la finalidad de la norma.

Por todo lo expuesto, el hotel cuatro estrellas contra el que se inició un procedimiento sancionador ha sido multado con 9.000 euros por vulnerar lo establecido en el artículo 5.1.c) del RGPD.

Y aunque es cierto que los hechos se conocieron a raíz de una única reclamación presentada por un solo afectado, dicha vulneración afecta “a la totalidad de los clientes potenciales de la parte reclamada, en la medida en que la infracción se inserta en el marco del protocolo de registro de entrada (check-in)” instaurado por el hotel en su establecimiento.

• 
•