La AEPD cuestiona el Real Decreto-ley de registro de viajeros: hacer una fotocopia del DNI del turista es invasivo y sancionable

La Agencia Española de Protección de Datos (AEPD) ha publicado una nota informativa en la que aborda diversos aspectos relacionados con la identificación de las personas que van a reservar o contratar un hospedaje. El objetivo del documento, que ha sido elaborado por la Agencia y se ha remitido de forma previa tanto al Ministerio del Interior como a la confederación que agrupa a las empresas que prestan servicios de hospedaje, es evitar riesgos para la privacidad de las personas.

El Real Decreto 933/2021 establece la obligación del titular de la actividad de hospedaje de recoger determinados datos de las personas que hagan uso de sus servicios. La Agencia establece en la nota que está recogida de información no autoriza a solicitar una copia del documento de identidad del cliente, ya que esto vulneraría el principio de minimización de datos y supondría un tratamiento excesivo.

Documentos como el DNI incluyen información adicional a la requerida por la norma (como la fotografía, la fecha de caducidad, el CAN o nombres de los padres), cuyo tratamiento incrementa el riesgo de suplantación de identidad. Por otro lado, el DNI no incluye la totalidad de la información solicitada en el Real Decreto 933/2021 por lo que, por sí solo, no es un recurso válido para poder cumplir con la norma. Además, el envío de una copia del documento no permite verificar con certeza la identidad de la persona que lo remite.

Para cumplir con la obligación legal, la Agencia considera que el huésped debe proporcionar los datos que se detallan en los apartados correspondientes del Real Decreto, y que estos pueden recogerse mediante un formulario presencial u online.

Para la autenticación de los datos facilitados, en el caso presencial, bastaría con una verificación visual del documento. Si esta se realiza online, se recomienda el uso de mecanismos como certificados digitales, comprobación con los datos asociados al método de pago o autenticación a través de códigos enviados al teléfono o correo electrónico del cliente.

Es una mala práctica

José Leandro Núñez, socio del despacho Audens, indica que la AEPD ha vuelto a recordar cuál es su postura sobre el uso abusivo del DNI en distintos sectores de la actividad diaria, como es en turismo o en el sector de la mensajería, en los que se fotocopia el documento de identidad sin venir mucho a cuento: “Lo más importante es saber si ese Ridley que regula el registro de viajeros es realmente útil y no es tan invasivo como pensamos los expertos. Esa es tarea de los tribunales, que tienen mucho que decir si se presenta una denuncia por este tipo de malas prácticas o parecidas”.

José Leandro Núñez subraya que el abuso de las copias de DNI puede incrementar la suplantación de identidad. (Imagen: Audens)

Para este jurista, la AEPD mantiene su criterio, ahora con esta hoja informativa y está bien que lo aclare porque a sectores como el de la industria turística realmente le ayuda a cumplir con sus obligaciones. Una cosa son las resoluciones de los jueces  y otros los informes que preparamos los abogados especializados, pero este es un papel sencillo de entender que cualquier profesional lo puede entender y aplicar. Con eso será más sencillo para muchas empresas, especialmente pymes cumplir con la normativa”.

Desde su punto de vista “es absurdo el uso que se hace del DNI, desde diferentes interlocutores. Se pide para demasiadas cosas. Lo que dice la AEPD en esta nota que acaba de publicarse es que “el mayor riesgo que ello conlleva es el de incrementar las suplantaciones de identidad. Se trata de reducir la cantidad de fotocopias que se reclaman, con lo cual estoy convencido que se reducirán esos riesgos a ser suplantado por un tercero al que haya llegado esa copia de nuestro DNI y mejorará nuestra protección”.

A nivel práctico este experto señala que “la AEPD señala que nos lo pueden pedir y revisar, para comprobar que los datos personales que hemos incorporado al formulario son correctos, pero no lo que pueden es quedarse con una fotocopia o copia escaneada. Si se fotocopia se le da a la empresa más información, esta de carácter personal, de lo que realmente se le pide en el RD de registro de viajeros de los hoteles. Incluye datos técnicos y otros familiares que no son necesarios”.

Hasta el momento, la multa más alta que se ha impuesto por considerar que esta práctica es ilegal, alcanza los 100.000 euros. Existen otros casos, como el del hotel Marins Playa, empresa a la que se ha multado con 30.000 euros por esta práctica; y el caso de Orange, que tuvo que pagar en marzo de 2023, 100.000 euros porque solicitaban una copia de ambas caras del DNI para entregar sus paquetes.

Tal y como confirma el despacho de abogados especializado en turismo, Tourism & Law, perteneciente al Grupo Atlantigo, ha confirmado que han comenzado a llegar los primeros procesos sancionadores a empresas que han incumplido, según el Ministerio del Interior, el Real Decreto 933/2021 de Registro de Viajeros, que atañe a los prestadores de servicios de alojamiento, alquiler de coches y agencias de viajes.

Aunque desde el despacho no pueden confirmar a qué tipo de empresas ni qué tipo de sanciones se han iniciado a procesar, confirman que las mismas están empezando a llegar a los interesados, al tiempo que el despacho estudia cómo proceder. “Se podría aprovechar estas sanciones para, en el recurso se interponga sobre esa cuestión pedir que se revise este RD-ley como acto administrativo por los jueces para saber si es abusivo como muchos expertos señalamos”, indica José Leandro Núñez.

Una medida abusiva

Para Paz Martín, abogada y socia directora de Legal Things Abogados, la no obligatoriedad de facilitar copia del DNI en hoteles y otros hospedajes no es una cuestión nueva.

La AEPD ha sancionado en el pasado a algún establecimiento hotelero precisamente por estos motivos. Ya en 2023 sancionó con 2.000 euros a un pequeño establecimiento hotelero por estos motivos. Pero no es la única resolución. El DNI contiene mucha información que ni la Ley de Seguridad Ciudadana (Ley Orgánica 4/2015 de protección de la seguridad ciudadana) ni el más reciente Real Decreto 933/2021 por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor, exigen. Es decir, no hay obligación legal de recabar copia del DNI para alojarse en un hotel.

Paz Martín recuerda que no hay norma que exija a los establecimientos hoteleros recopilar la copia del DNI, basta su exhibición y facilitar el número. (Imagen: Legal Things)

Esta experta señala que “además, en una lógica tendencia de los últimos años, la solicitud del DNI, por ejemplo, para solicitar los derechos de acceso, rectificación, supresión, etc., cuando no fue necesario para el alta o la recogida de datos. Existía una inercia de solicitar este dato que, una vez recabado, quedaba, probablemente almacenado de una forma no segura y susceptible de accesos indebidos”.

A su juicio, “en virtud del principio de minimización no deben solicitarse datos que no sean necesarios y menos información (el DNI en este caso) que puede suponer un riesgo añadido para las personas si sufre algún tipo de filtración. Solicitar (y hacer una copia) del DNI debería ser valorado caso a caso, más allá del caso que nos ocupa”.

Para Martín, “no hay norma que exija a los establecimientos hoteleros recopilar la copia del DNI, basta su exhibición y facilitar el número. Si se exigiera a través de medios digitales, existen mecanismos alternativos: certificados digitales, códigos de verificación u otros sistemas mucho menos invasivos y proporcionales”.

Desde su punto de vista, sin embargo, la cuestión real es que cuando un ciudadano llega a su hotel u hospedaje de otro tipo y le solicitan el DNI para su copia (o se lo exigen previamente cuando hace la reserva online), a veces las protestas sirven de poco: la persona de recepción dirá que si no lo facilita no le puede dar la llave, que son las normas del hotel etc. Y toca discutir y tirar de informes y resoluciones…. A veces los ciudadanos claudicamos “para no tener problemas y dormir en paz”.

A juicio de esta  abogada es importante tener en cuenta dos consideraciones, ahora que llegan las fechas de vacaciones. “En primer lugar,  no transijamos con esto y denunciemos a esos hoteles y alojamientos que siguen fotocopiando el DNI o exigiendo una copia, a pesar de nuestra insistencia y nuestros argumentos. A veces sólo a través de las sanciones, se consiguen resultados”.

“En el caso en el que nos veamos “ en la tesitura de o facilitamos el DNI o nos quedamos en la calle, sólo facilitar una copia con determinados datos ofuscados, datos innecesarios y muy útiles en caso de suplantación de identidad. A estos efectos, las Fuerzas y Cuerpos de Seguridad del Estado nos proporcionan sabios consejos al respecto cuando nos pidan el DNI:

Esos consejos pasan por “enviarlo en blanco y negro para que se sepa que es una fotocopia; pixelar la firma y los datos no necesarios (firma, nombre de los padres, equipo de expedición); o escribir un texto sobre la imagen del DNI que cuente por qué lo compartes”, indica Paz Martín. “No obstante, es posible que, gracias al informe de la AEPD, este verano tengamos que discutir menos y las asociaciones y agrupaciones sectoriales hagan su trabajo y difundan el mensaje. Por el bien y la seguridad de todos”.

Una mala praxis del pasado

Por su parte, Eduard Blasi, abogado digital, socio de Guardians, destaca que “la AEPD ya había reiterado desde hace años la desproporcionalidad de solicitar el DNI por defecto. Es una mala praxis que arrastramos del pasado. Durante mucho tiempo era habitual que se pidiera el DNI para todo tipo de gestiones, incluso cuando no era estrictamente necesario”.

Eduard Blasi considera que la Agencia Española de Protección de Datos deja claro que es desproporcionado pedir una copia del DNI  a terceros. (Imagen: cesión propia)

“Estas cautelas que apunta la AEPD no aparecen por casualidad. En los últimos años hemos visto un crecimiento exponencial de ataques y suplantaciones de identidad, muchos de los cuales se ven facilitados precisamente por la circulación o filtración de copias del DNI”, comenta Blasi.

Para este jurista “esta información del regulador, además de reforzar su criterio, pero además introduce algunos aspectos interesantes como la concreción de los datos que son directamente desproporcionados para el fin perseguido (la fotografía, la fecha de caducidad del documento, el CAN o el nombre de los padres.) y una concreción sobre los mecanismos que podrían utilizarse para recabar estos datos. Se plantean soluciones viables, como el uso de formularios (online o presenciales) que recojan exclusivamente los datos exigidos por la norma”.

Eduard Blasi cree que también se abre la puerta a otros métodos, siempre que sean evaluados adecuadamente. Aquí cobra especial importancia la evaluación de impacto, que vemos que cada vez adquiere más protagonismo. No se trata solo de implantar procedimientos que funcionen bien a nivel operativo, deben ser sostenibles también desde el punto de vista de la privacidad.

En definitiva, este experto en privacidad, subraya que “la tecnología nos permite agilizar procesos, sí, pero no todo vale. La evaluación de impacto nos obliga a parar, analizar, detectar riesgos y tomar decisiones informadas que permitan cumplir la norma sin comprometer los datos de los afectados”.