La AEPD informa sobre la prohibición de solicitar una copia del DNI o pasaporte en los hoteles

Imagen de Freepik

FORLOPDjunio 19, 2025/inProtecciónDatos

La Agencia Española de Protección de Datos (AEPD) ha aclarado recientemente uno de los temas que más dudas genera en el sector turístico: ¿pueden los alojamientos pedir una copia del DNI a los huéspedes? No es legal solicitar una copia del DNI en hospedajes salvo en casos muy concretos y justificados. Esta práctica vulnera principios esenciales de la legislación de protección de datos, especialmente cuando existen otras formas válidas y menos invasivas de verificar la identidad del viajero.

Registro de viajeros: qué exige la normativa

El Real Decreto 933/2021, en vigor desde enero de 2023, regula la obligación de los alojamientos turísticos y otras actividades similares (como alquileres vacacionales, campings o casas rurales) de identificar a los huéspedes. La norma exige que se recojan determinados datos personales y que estos se comuniquen a las Fuerzas y Cuerpos de Seguridad del Estado, en un plazo máximo de 24 horas desde la entrada del cliente.

¿Qué datos deben facilitar los viajeros?

Según el Real Decreto, los datos obligatorios que deben recopilar los responsables del hospedaje son los siguientes:

  • Nombre y apellidos
  • Número de documento de identidad (DNI, pasaporte u otro documento válido)
  • Tipo y número de documento
  • Nacionalidad
  • Fecha de nacimiento
  • Sexo
  • Fecha de entrada al alojamiento

Estos datos pueden recogerse en formato digital o en papel, y deben conservarse durante un periodo determinado en caso de requerimiento por parte de las autoridades. Sin embargo, la norma no exige en ningún caso conservar una copia del DNI, y hacerlo puede representar un exceso en el tratamiento de datos personales.

¿Por qué no se puede pedir una copia del DNI en hospedajes?

La AEPD ha subrayado que la copia del DNI no es necesaria para cumplir con el Real Decreto 933/2021, y su tratamiento supone una vulneración del principio de minimización de datos, recogido en el artículo 5.1.c del Reglamento General de Protección de Datos (RGPD). Este principio establece que solo deben tratarse los datos estrictamente necesarios para cumplir con una finalidad legítima.

El DNI contiene información sensible que no es necesaria para el registro de viajeros, como la fotografía, el número de soporte (CAN), la fecha de caducidad, la firma o incluso los datos de filiación. Al tratar y almacenar esta información adicional, se incrementa el riesgo de uso indebido o suplantación de identidad en caso de pérdida o filtración.

El RGPD y su aplicación en el registro de viajeros

El RGPD, de aplicación obligatoria en toda la Unión Europea, establece que todo tratamiento de datos personales debe basarse en una base jurídica legítima, ser proporcional y estar limitado a una finalidad concreta. En este caso, la finalidad es la identificación del viajero con fines de seguridad pública.

El RGPD también impone obligaciones adicionales al responsable del tratamiento (el titular del hospedaje), como:

  • Informar al huésped sobre el uso de sus datos mediante una política de privacidad clara.
  • Garantizar la seguridad de los datos personales recogidos.
  • No conservar los datos más tiempo del necesario.
  • Evitar tratamientos excesivos, como escanear o almacenar imágenes completas del DNI cuando no sean imprescindibles.

¿Cómo se debe verificar la identidad del huésped sin solicitar copia del DNI?

Existen alternativas plenamente válidas para verificar la identidad del cliente sin necesidad de guardar una copia del documento:

  • En check-in presencial, basta con una comprobación visual del DNI, pasaporte u otro documento oficial.
  • En reservas online, pueden emplearse métodos como:
    • Verificación mediante certificado digital.
    • Validación con datos de pago (tarjetas o cuentas asociadas al usuario).
    • Autenticación con doble factor (envío de un código por SMS o email).
    • Plataformas de gestión que permitan el check-in digital seguro conforme a la normativa.

El uso de tecnologías de reconocimiento facial o escaneo de documentos solo se permite si se garantiza su adecuación al RGPD y se han evaluado previamente mediante un análisis de impacto de protección de datos.

Otros detalles sobre alojamientos y protección de datos

Solicitar una copia del DNI en hospedajes no está permitido por la normativa de protección de datos, salvo que exista una razón legal específica. Los alojamientos deben limitarse a recoger los datos necesarios mediante métodos seguros y respetuosos con la privacidad.

Los viajeros, por su parte, tienen derecho a que sus datos sean tratados de forma responsable y pueden negarse a entregar una copia de su documento si no se les justifica legalmente.

En Forlopd ayudamos a empresas del sector hotelero a cumplir con las normativas sobre protección de datos, adaptando sus procesos para evitar posibles sanciones de la Agencia Española de Protección de Datos. Si gestionas un alojamiento o te dedicas profesionalmente al sector, puedes solicitar un análisis de cumplimiento gratuito aquí.

Entradas relacionadas:

indemnización por acosoUna empresa tendrá que indemnizar a dos trabajadoras que sufrieron acoso laboral poder divulgar sus nombres primeras multas y sanciones por la ley de registro de viajerosPrimeras multas por incumplir el registro de viajeros La AEPD sanciona el tratamiento de datos biométricos con IA en la VIULa AEPD sanciona el tratamiento de datos biométricos con IA en la Universidad Internacional Valenciana La AEPD publica la memoria anual donde indica que recibió 19.000 reclamaciones en 2024 La AEPD ordena el borrado de datos de autónomosLa Agencia Española de Protección de Datos ordena el borrado de los listados de autónomos de bases de datos empresariales aepd sistemas biométricosLa AEPD analizará tecnologías emergentes para actualizar su posición sobre sistemas biométricos llamadas spam¿Por qué no se tramitan las denuncias por Spam? Lista robinson¿Qué hacer si hay incumplimiento de la Lista Robinson y cómo Denunciar?