Los hoteles y gestores de apartamentos turísticos tienen por costumbre escanear el DNI, NIE o pasaporte de los viajeros que se alojan en sus establecimientos, una práctica ilegal por la que pueden ser sancionados si se les denuncia ante la Agencia Española de Protección de Datos (AEPD).
Cuando una persona se aloja en un establecimiento hotelero o en un apartamento debe facilitar sus datos personales para garantizar la seguridad ciudadana. Así se desprende del artículo 25.1 de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana, y se desarrolla en el Real Decreto 933/2021, de 26 de octubre, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor, además de en la Orden INT/1922/2003, de 3 de julio, sobre libros-registro y partes de entrada de viajeros en establecimientos de hostelería y otros análogos.
El anexo del Real Decreto 933/2021, de 26 de octubre, establece el siguiente modelo de recogida de información:
ANEXO I
Datos a facilitar en el ejercicio de la actividad de hospedaje
A) Datos a facilitar en el supuesto de ejercicio profesional de la actividad
1. Datos de la empresa arrendadora
a) Nombre o razón social del titular.
b) CIF o NIF.
c) Municipio.
d) Provincia.
e) Teléfono fijo y/o móvil.
f) Dirección de correo electrónico.
g) Web de la empresa.
h) Url para identificar el anuncio.
2. Datos del establecimiento
a) Tipo de establecimiento.
b) Denominación.
c) Dirección completa.
d) Código postal.
e) Localidad y provincia.
3. Datos de los viajeros
a) Nombre.
b) Primer apellido.
c) Segundo apellido.
d) Sexo.
e) Numero de documento de identidad.
f) Número de soporte del documento.
g) Tipo de documento (DNI, pasaporte, TIE).
h) Nacionalidad.
i) Fecha de nacimiento.
j) Lugar de residencia habitual.
– Dirección completa.
– Localidad.
– País.
k) Teléfono fijo.
l) Teléfono móvil.
m) Correo electrónico.
n) Número de viajeros.
o) Relación de parentesco entre los viajeros (en el caso de que alguno sea menor de edad).
4. Datos de la transacción
a) Datos del contrato.
– Número de referencia.
– Fecha.
– Firmas.
b) Datos de la ejecución del contrato.
– Fecha y hora de entrada.
– Fecha y hora de salida.
c) Datos del inmueble.
– Dirección completa.
– Número de habitaciones.
– Conexión a Internet (si/no).
d) Datos del pago.
– Tipo (efectivo, tarjeta de crédito, plataforma de pago, transferencia…).
– Identificación del medio de pago: tipo de tarjeta y número, IBAN cuenta bancaria, solución de pago por móvil, otros.
– Titular del medio de pago
– Fecha de caducidad de la tarjeta.
– Fecha del pago.
B) Datos a facilitar en el supuesto de ejercicio no profesional
1. Datos del titular del inmueble
a) Nombre.
b) Primer apellido.
c) Segundo apellido.
d) Sexo.
e) Numero de documento de identidad.
f) Tipo de documento (DNI, pasaporte, TIE).
g) Nacionalidad.
h) Fecha de nacimiento.
i) Teléfono fijo y/o móvil.
j) Correo electrónico.
2. Datos del inmueble
a) Dirección completa y código postal.
b) Localidad.
c) País.
d) Número de habitaciones.
e) Conexión a Internet (si/no).
3. Datos de los viajeros
a) Nombre.
b) Primer apellido.
c) Segundo apellido.
d) Sexo.
e) Numero de documento de identidad.
f) Tipo de documento (DNI, pasaporte, TIE).
g) Nacionalidad.
h) Fecha de nacimiento.
i) Lugar de residencia habitual.
– Dirección completa.
– Localidad.
– País.
j) Teléfono fijo.
k) Teléfono móvil.
l) Correo electrónico.
m) Número de viajeros.
n) Relación de parentesco entre los viajeros (en el caso de que alguno sea menor de edad).
4. Datos de la transacción
a) Datos del contrato.
– Número de referencia.
– Fecha.
– Firmas.
b) Datos de la ejecución del contrato.
– Fecha de y hora de entrada.
– Fecha y hora de salida.
c) Datos del pago.
– Tipo (efectivo, tarjeta de crédito, plataforma de pago, transferencia…).
– Identificación del medio de pago: tipo de tarjeta y número, IBAN cuenta bancaria, solución de pago por móvil, otros.
– Titular del medio de pago.
– Fecha de caducidad de la tarjeta.
– Fecha del pago.
Por su parte, la Orden INT/1922/2003, de 3 de julio prevé en su anexo que la información a recabar es la siguiente:
ANEXO
Modelo de parte de entrada de viajeros
Hoja-registro
(Rellenar con mayúsculas)
Datos del establecimiento
Parte n.º:
Nombre del establecimiento:
NIF:
Municipio:
Provincia:
Sello del establecimiento
Datos del viajero:
Núm. de documento de identidad:
Tipo de documento:(1)
Fecha expedición del documento:
Primer apellido:
Segundo apellido:
Nombre:
Sexo:
Fecha de nacimiento:
País de nacionalidad:
Fecha de entrada:
……………………………….., de ………… de …………………….
Firma del viajero
Como es de suponer, y como determina la AEPD en el fundamento de derecho III de su Resolución EXP202301658:
La relación contractual que supone la estancia en un alojamiento justifica el acceso por la parte reclamada a los datos personales de las personas que los ocupan, siempre que resulten necesarios para el cumplimiento de las obligaciones que conlleva la dicha estancia; pero no justifica el acceso a toda la información que contiene el documento de identidad del cliente y, menos aún, la recogida y conservación de una fotocopia o copia en formato digital de este documento sin que exista una base jurídica que así lo justifique.
De acuerdo con dicha resolución, basada en los artículos 5.1.c) y 39 del Reglamento General de Protección de Datos: «Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios», de modo que pudiendo recabar la información necesaria rellenando un formulario conforme con los anexos transcritos, nada justifica que los titulares de establecimientos hosteleros o particulares que exploten viviendas turísticas escaneen un documento de identificación.
La protección de los datos personales es esencial para el legislador europeo y para el español, principalmente cuando han existido fallos de seguridad que han derivado en la sustracción de infinidad de datos sensibles, incluso en establecimientos hoteleros, situación de riesgo que per se justifica la necesidad de exigir un tratamiento escrupuloso de la información personal de los viajeros.
En sentido parecido, la AEPD en la resolución que ponía fin al Expediente PS/00078/2021 sancionando a a una entidad con 30.000,00 euros por recabar fotografías de los clientes para comprobar que quienes usaban una tarjeta magnética en el establecimiento eran los titulares, sanción que ha sido confirmada por la Sentencia de la Sala de lo Contencioso-administrativo de la Audiencia Nacional (Sección 1ª) de 18 de marzo de 2024 (ECLI:ES:AN:2024:1739).
Conforme a lo anterior, exija un tratamiento adecuado de sus datos personales, sea conservador con las autorizaciones que concede y, en caso de duda, consulte con un abogado especializado en la materia tanto para prevenir usos ilícitos como para exigir el cese de tal tratamiento o una indemnización por los daños y perjuicios padecidos.