La agencia española de Protección de datos, prohíbe a los rehenes exigir una copia del DNI o del pasaporte a sus clientes.

La Agencia Española de Protección de Datos (AEPD) ha emitido una nota esclarecedora en relación con la solicitud de copias de documentos de identidad en establecimientos de alojamiento conforme al Real Decreto 933/2021, de 26 de octubre. Esta norma establece las obligaciones de registro documental e información para las personas físicas o jurídicas que realizan actividades de alojamiento y alquiler de vehículos a motor.
La AEPD subraya que solicitar una copia del DNI o del pasaporte de los huéspedes vulnera el principio de minimización de datos consagrado en el artículo 5.1.c) del Reglamento General Europeo de Protección de Datos (RGPD), ya que estos documentos contienen más información de la necesaria, tales como la fotografía, la fecha de caducidad, el CAN o el nombre de los progenitores. Además, la entrega de una copia de la documentación personal implica un riesgo innecesario de suplantación de identidad.

El Real decreto 933/2021, de 26 de octubre, tiene como finalidad la protección de personas y bienes y el mantenimiento de la tranquilidad ciudadana, especialmente ante la relevancia de la logística del alojamiento en el modus operandi de los delincuentes. Sin embargo, la AEPD señala que el envío de una copia del documento no permite verificar con certeza la identidad de la persona y, por tanto, no cumple con la finalidad de la norma.

Para cumplir con las obligaciones de recogida de datos establecidas en el Real Decreto, la AEPD considera suficiente que los huéspedes rellenen un formulario con los datos exigidos en los apartados A.3 y B.3 del Anexo I del Real Decreto. Este documento puede ser rellenado online o presencialmente en el establecimiento de alojamiento.

En cuanto a la autenticación de los datos facilitados, la AEPD sugiere que, en los casos de recogida presencial, podría ser suficiente comprobar visualmente la correspondencia entre los datos facilitados y el documento de identidad exhibido. Para la recogida de datos online, se pueden utilizar mecanismos como certificados digitales, verificación de datos asociados al medio de pago utilizado o el envío de códigos de seguridad a los números de teléfono o direcciones de correo electrónico de los huéspedes.

La AEPD no descarta la existencia de otros procedimientos válidos para cumplir con estas obligaciones, pero cualquier procedimiento distinto al que aquí se expresa deberá ser objeto de una evaluación por parte del responsable del tratamiento de los datos personales de los huéspedes, y en todo momento deberá garantizarse la plena compatibilidad con la normativa de protección de datos europea y nacional.

Las empresas del sector tendrán que adaptar sus procesos internos y formar a su personal en las nuevas pautas de actuación conforme a la legislación de protección de datos. La recogida lícita y limitada de datos se convierte en uno de los pilares fundamentales para garantizar tanto la seguridad de los propios clientes como la de los establecimientos, evitando así posibles situaciones de fraude, robo de identidad o filtraciones de datos sensibles.