L'agència espanyola de Protecció de dades, prohibeix als ostatges exigir una còpia del DNI o del passaport als clients.

12/12/2025
L'Agència Espanyola de Protecció de Dades (AEPD) ha emès una nota aclaridora en relació amb la sol·licitud de còpies de documents d’identitat en establiments d’allotjament conforme al Reial decret 933/2021, de 26 d’octubre. Aquesta norma estableix les obligacions de registre documental i informació per a les persones físiques o jurídiques que exerceixen activitats d’allotjament i lloguer de vehicles de motor.

L’AEPD subratlla que sol·licitar una còpia del DNI o del passaport dels hostes vulnera el principi de minimització de dades consagrat a l’article 5.1.c) del Reglament general europeu de Protecció de Dades (RGPD), ja que aquests documents contenen més informació de la necessària, com ara la fotografia, la data de caducitat, el CAN o el nom dels progenitors. A més, l’entrega d’una còpia de la documentació personal implica un risc innecessari de suplantació d’identitat.

El Reial decret 933/2021, de 26 d’octubre, té com a finalitat la protecció de persones i béns i el manteniment de la tranquil·litat ciutadana, especialment davant la rellevància de la logística de l’allotjament en el modus operandi dels delinqüents. No obstant això, l’AEPD assenyala que l’enviament d’una còpia del document no permet verificar amb certesa la identitat de la persona i, per tant, no compleix amb la finalitat de la norma.

Per complir amb les obligacions de recollida de dades establertes en el Reial decret, l’AEPD considera suficient que els hostes omplin un formulari amb les dades exigides als apartats A.3 i B.3 de l’annex I del Reial decret. Aquest document pot ser emplenat en línia o presencialment a l’establiment d’allotjament.

Quant a l’autenticació de les dades facilitades, l’AEPD suggereix que, en els casos de recollida presencial, podria ser suficient comprovar visualment la correspondència entre les dades facilitades i el document d’identitat exhibit. Per a la recollida de dades en línia, es poden utilitzar mecanismes com ara certificats digitals, verificació de dades associades al mitjà de pagament utilitzat o l’enviament de codis de seguretat als números de telèfon o adreces de correu electrònic dels hostes.

L’AEPD no descarta l’existència d’altres procediments vàlids per complir amb aquestes obligacions, però qualsevol procediment diferent del que aquí s’expressa haurà de ser objecte d’una avaluació per part del responsable del tractament de les dades personals dels hostes, i en tot moment s’haurà de garantir la plena compatibilitat amb la normativa de protecció de dades europea i nacional.

Les empreses del sector hauran d’adaptar els seus processos interns i formar el seu personal en les noves pautes d’actuació conforme a la legislació de protecció de dades. La recollida lícita i limitada de dades esdevé un dels pilars fonamentals per garantir tant la seguretat dels mateixos clients com la dels establiments, evitant així possibles situacions de frau, robatori d’identitat o filtracions de dades sensibles.