Es habitual que a la llegada a un hotel te soliciten el DNI o pasaporte para hacer el check-in. La finalidad de este procedimiento es tener un registro de todos los huéspedes, con el objeto de proceder a su registro y a la comunicación necesaria ante las autoridades para el cumplimiento de las obligaciones legales (RD 933/2021). Sin embargo, esta práctica tan común plantea conflictos con la privacidad y protección de datos de los usuarios, puesto que implica la recopilación y almacenamiento de datos más allá de lo necesario, si se solicita copia/fotocopia del DNI.

Así, la AEPD (Agencia Española de Protección de Datos) ha emitido una sanción económica de 2.000 euros a un apartahotel, tras la denuncia realizada por un grupo de jóvenes al que se les denegó el check-in, alegando que “ya había un registro previo con sus datos personales”.

Los jóvenes solicitaron la hoja de reclamación y desde la dirección del establecimiento se la denegaron. La Policía inició una investigación minuciosa del Libro de Registro de Clientes y comprobó que no cumplía con la protección de datos.

El libro de registro de clientes

La Policía constató que en el libro de registro no se realizaban anotaciones adecuadas, ya que se utilizaban hojas sueltas y se escaneaban los DNIs sin seguir los procedimientos requeridos. Además, se comprobó que el establecimiento no comunicaba estos registros a las fuerzas de seguridad, como lo exige la legislación vigente, ya que la norma establece que, en lo relativo al DNI, sólo es necesario recabar el número del documento de identidad y su fecha de expedición.  Este hallazgo indicó que el apartahotel estaba recopilando información en exceso sobre sus clientes, al apreciar indicios razonables de vulneración de lo establecido en el artículo 5.1.c) del RGPD, por un posible tratamiento de datos personales excesivos tras realizar el escaneo de los DNI de sus clientes. Además de la sanción económica, la AEPD también ha requerido al hotel para que implante las medidas correctoras necesarias para adecuar la gestión de los datos personales de los clientes.

El DNI está catalogado como información sensible

La Agencia Española de Protección de Datos (AEPD) ha advertido en numerosas ocasiones que el DNI es un dato especialmente sensible (considerando 75 del RGPD) y que puede ser utilizado para suplantar fácilmente la identidad de una persona. Por tanto, debemos tener mucho cuidado a la hora de facilitar el DNI y tratarlo, requisito que se aplica a cualquier tipo de entidad que trate datos personales.

En una reciente resolución, la AEPD considera que escanear/fotocopiar o fotografiar un DNI es excesivo al tratarse de datos sensibles y no debe hacerse. La Agencia entiende que la relación contractual justifica el acceso a los datos personales, siempre que resulten necesarios para el cumplimiento de las obligaciones que conlleva dicha prestación de servicios; pero no justifica el acceso a toda la información que contiene el documento de identidad del cliente y, menos aún, la recogida y conservación de una fotocopia de este documento sin que exista una base jurídica que así lo justifique.

La conclusión es que «si existen otras medidas menos gravosas que cumplen ese fin de identificación, lo recomendable es abstenerse de usarlo», puesto que el “uso indebido del DNI o sin las garantías suficientes puede tener múltiples efectos desfavorables para el titular de los datos».

«El método utilizado para la autenticación debe ser pertinente, adecuado, proporcionado y respetar el principio de minimización de datos», expone la AEPD.

Puedes acceder a la resolución aquí.