Pedir fotocopia del DNI en hoteles y alojamientos turísticos: un error legal que puede salir muy caro

Una reciente sanción de 75.000 euros impuesta por la Agencia Española de Protección de Datos (AEPD) a una pyme de Barcelona ha encendido las alarmas en el sector turístico. El motivo: exigir fotos del DNI y “selfies” a los viajeros que reservaban sus apartamentos a través de Airbnb, con el argumento de cumplir con la normativa del Registro de Viajeros.

Al respecto, la AEPD ha muy sido clara: ni la ley exige esas imágenes ni el RGPD lo permite. Por ello, todas las empresas que gestionan establecimientos turísticos deben tomar nota para no incurrir en sanciones y garantizar la seguridad de los datos de sus huéspedes.

¿Qué hechos comportan este tipo de sanción y por qué se considera grave?

La empresa sancionada exigía a sus clientes fotografías del DNI por ambas caras y una imagen facial (selfie) como condición para acceder al alojamiento. Alegaba que se trataba de un requisito legal vinculado al Registro de Viajeros, pero la AEPD desmontó ese argumento: ni la legislación obliga a recoger imágenes del DNI, ni está permitido recabar más datos personales de los estrictamente necesarios.

Además, la empresa no proporcionaba información clara sobre el tratamiento de esos datos: ni quién era el responsable, ni para qué se usaban, ni durante cuánto tiempo se conservarían, ni qué derechos asistían a los usuarios. El resultado: dos infracciones graves del Reglamento General de Protección de Datos (RGPD), con multas de 25.000€ y 50.000€ respectivamente.

¿Qué normativa regula el registro de datos de huéspedes en el sector turístico?

La normativa del nuevo Registro de Viajeros, aprobada en el Real Decreto 933/2021 y en vigor desde el 2 de diciembre de 2024, amplía las obligaciones ya previstas en la antigua Orden INT/1922/2003, que regulaba el registro de viajeros en alojamientos tradicionales. Con esta nueva norma, la obligación de registrar y comunicar los datos de los usuarios se extiende no solo a quienes prestan directamente servicios de hospedaje o alquiler de vehículos, sino también a plataformas digitales y operadores turísticos que actúan como intermediarios, como Airbnb, Booking o Expedia.

Este cambio responde a la evolución del sector turístico y del comercio electrónico. Ahora, muchas empresas conectan a viajeros con alojamientos sin ofrecer el servicio directamente. Por eso, el nuevo marco legal aclara que toda entidad que intermedie en una reserva y recoja datos personales podría estar sujeta a estas obligaciones.

Preguntas frecuentes: qué se puede (y no se puede) pedir al huésped

¿Es obligatorio pedir el DNI a los huéspedes en el check-in de un alojamiento turístico?

Sí, la ley obliga a los establecimientos de hospedaje (hoteles, resorts, hostales, campings, etc.) a identificar a todos sus huéspedes.

Desde finales de 2023, el Real Decreto 933/2021 establece la obligación de registrar a los viajeros que se alojan en establecimientos turísticos, como hoteles, apartamentos o casas rurales. Este registro debe remitirse a las Fuerzas y Cuerpos de Seguridad del Estado a través de una plataforma digital.

¿Qué datos deben recogerse?

Solo los siguientes datos identificativos:

• Nombre y apellidos
• Tipo y número de documento de identidad
• Fecha de nacimiento
• Nacionalidad
• Fecha de entrada (y salida, si procede)
• Código o número del alojamiento
• Medio de transporte utilizado (en algunos casos)

En ningún caso es obligatorio, ni recomendable, solicitar fotografías del DNI, selfies o cualquier otro dato biométrico.

¿Y si la empresa lo pide de todos modos?

Estaría vulnerando el principio de minimización de datos del RGPD (art. 5.1.c), que obliga a recoger solo los datos necesarios para la finalidad prevista. Además, estaría cometiendo una infracción si no informa adecuadamente a los usuarios sobre el tratamiento de esos datos.

¿Puedo usar herramientas de check-in automático?

Sí, siempre que respeten los principios del RGPD: proporcionalidad, seguridad, y transparencia. Las herramientas de check-in digital no pueden exigir más información de la necesaria, ni utilizar los datos para fines secundarios (como enviar publicidad) sin consentimiento explícito.

Compartir el DNI en Internet: cómo hacerlo de forma segura

Si alguna vez te ves obligado a enviar una copia digital de tu DNI, hazlo con precaución. La Policía Nacional desaconseja compartir imágenes completas y fieles del documento, ya que pueden usarse para fraudes o suplantaciones de identidad. Una práctica segura es pixelar los datos sensibles (como dirección, firma o código de soporte) y dejar solo los estrictamente necesarios. También puedes añadir un texto sobre la imagen indicando el motivo del envío y la fecha, lo que dificulta su reutilización indebida.

Recuerda que más del 53% de la población ha sufrido algún tipo de fraude online en el último año, según el CIS. Por eso, siempre que compartas tu DNI, hazlo a través de canales seguros y solo cuando sea imprescindible. Nunca aceptes enviarlo sin garantías ni justificación legal clara.

Cumplir con la ley también es cuidar al cliente

El cumplimiento normativo no es solo una obligación legal, sino también una herramienta clave para proteger la confianza y la reputación de tu negocio. Pedir datos innecesarios, o no informar adecuadamente sobre su tratamiento, puede acarrear multas elevadas y daños reputacionales difíciles de reparar.

En CINC Asesoría, contamos con un equipo especializado en Protección de Datos y cumplimiento normativo que puede ayudarte a adaptar tu actividad turística al RGPD y a la normativa del Registro de Viajeros. Si tienes dudas sobre cómo aplicar correctamente el Real Decreto 933/2021 o sobre qué datos puedes solicitar de forma legal, contáctanos y te asesoraremos sin compromiso.