Los hospedajes, incluyendo hoteles y otros establecimientos (hostales, pensiones, casas de huéspedes, establecimientos de turismo rural o similares) que ofrecen el servicio de alojamiento, están obligados en España a cumplir con obligaciones de registro documental e información de las personas usuarias de habitación o espacio para la pernoctación. Tras varias sanciones y dadas las dudas suscitadas, la Agencia Española de Protección de Datos (AEPD) ha publicado una nota informativa sobre la solicitud de copias de documentos de identidad en hospedajes para dar cumplimiento al Real Decreto 933/2021.
El Real Decreto 933/2021, de 26 de octubre, establece la obligación de quienes ejerzan actividades de hospedaje de tener un registro documental de las personas que utilizan sus servicios. Para elaborar este registro deben tenerse en cuenta los datos personales que figuran en el anexo I del Real Decreto. Esta acción es un tratamiento de datos personales que llevan a cabo las personas físicas o jurídicas que ejerzan, profesionalmente o no, actividades de hospedaje, de manera que desde el punto de vista de protección de datos son responsables del tratamiento. Dicho tratamiento de datos personales tiene que cumplir con la normativa en la materia y dados los incumplimientos que se han detectado, la AEPD ha sancionado ya varios casos por fotocopiar o pedir una copia del DNI.
El objetivo de la nota informativa publicada por la AEPD es evitar riesgos para la privacidad de las personas y lo hace ofreciendo su criterio sobre las cuestiones a considerar para cumplir con el Real Decreto 933/2021 y con el Reglamento General de Protección de Datos (RGPD). Las cuestiones sobre las que se pronuncia la AEPD giran en torno al principio de minimización de datos personales y son las que se exponen a continuación.
En primer lugar, los hospedajes no deben solicitar ni hacer una copia del documento de identidad, ya sea el documento nacional de identidad (DNI), la tarjeta de identificación de extranjero (TIE) o el pasaporte. La copia del documento de identidad contiene más datos personales de los que son necesarios para cumplir con el Real Decreto 933/2021, por lo que su tratamiento es excesivo y, por tanto, infringe el RGPD.
Por ejemplo, en el DNI se incluyen datos personales tales como la fotografía, la fecha de caducidad, la firma, el lugar de nacimiento o el número de acceso a la tarjeta (en inglés, Card Access Number, CAN). Si un hotel u otro establecimiento de hospedaje escaena el DNI o pide una copia al viajero, está tratando datos personales que no son necesarios para cumplir con el Real Decreto 933/2021 y estaría infringiendo también otras disposiciones del RGPD,
ya que daría lugar a un tratamiento de datos personales para el que no se tiene un título habilitante ni responde tampoco a un fin determinado, siendo contrario en este último caso al principio de limitación de la finalidad (art. 5.1.b) del
RGPD).
En segundo lugar, también con la finalidad de asegurar el cumplimiento del Real Decreto 933/2021 y del RGPD, la AEPD recomienda que los datos personales que deben recogerse de los usuarios en virtud de lo previsto en el Real Decreto se soliciten a través de un formulario, que puede ser tanto en línea como en papel. El contenido de este formulario se limitará a los datos personales requeridos para cumplir con el registro documental, evitando así solicitar u obtener otros datos personales. Además, el hospedaje debe asegurarse de que los datos personales que se soliciten consten en la cláusula informativa o política de privacidad a través de la que se informe al viajero del tratamiento de sus datos personales y en el registro de actividades del tratamiento.
Y, en tercer lugar, la verificación de los datos personales proporcionados por los viajeros puede llevarse a cabo tanto en línea como de manera presencial a través de varios mecanismos (certificados digitales de firma electrónica, comprobación del documento de identidad físico, etc.) que no requieren, en ningún caso, un tratamiento adicional de datos personales.
Infracciones y multas
Los hospedajes están obligados a cumplir con el Real Decreto 933/2021. Carecer del registro documental de las personas usuarias supone la comisión de una infracción calificada como grave (art. 8.2.a) del Real Decreto 933/2021), que podría ser sancionada de la siguiente manera: el grado mínimo comprenderá la multa de 601 a 10.400 euros; el grado medio, de 10.401 a 20.200 euros, y el grado máximo, de 20.201 a 30.000 euros (art. 39.1.b) de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana). Y las irregularidades o deficiencias en la cumplimentación de dicho registro suponen la comisión de una infracción leve, que podrían ser sancionadas con una multa que se determinará atendiendo a las circunstancias y los criterios previstos en la citada Ley.
Con su nota informativa la AEPD no limita, sino que facilita el cumplimiento del citado Real Decreto 933/2021, pero advierte que debe hacerse con pleno respeto a la normativa sobre protección de datos. Desde esta perspectiva, incumplir con la normativa en la materia podría dar lugar a la imposición de importantes multas por parte de la AEPD, así como la posibilidad de que adopte medidas adicionales, tales como ordenar la supresión de datos personales y cumplir con el RGPD.
