Recientemente, la Agencia Española de Protección de Datos (AEPD) ha emitido una nota informativa crucial para el sector de hospedaje en relación con el Real Decreto 933/2021, de 26 de octubre, que establece las obligaciones de registro documental. Como abogado de protección de datos, considero fundamental destacar los siguientes puntos y su análisis:
Puntos Clave de la Nota de la AEPD:
Prohibición de Solicitar Copia del DNI/Pasaporte:
La AEPD es tajante: solicitar una copia completa del documento de identidad (DNI, Pasaporte) para el registro de huéspedes vulnera el principio de minimización de datos (artículo 5.1.c del RGPD).
Motivo: Estos documentos contienen datos excesivos (fotografía, fecha de caducidad, CAN, nombre de los padres) que no son requeridos por el Artículo 4, partes de entrada en establecimientos de hospedaje y hojas de servicios en actividades de alquiler de vehículos. ni el Artículo 5, obligaciones de registro documental del Real Decreto 933/2021.
Riesgos Adicionales: La entrega de una copia incrementa innecesariamente el riesgo de suplantación de identidad. Además, la copia por sí sola no contiene toda la información exigida por el Anexo I del RD 933/2021 y no permite verificar con certeza la identidad para cumplir la finalidad de seguridad ciudadana de la norma.
Alternativa Legal para la Recogida de Datos:
La AEPD sugiere que es suficiente con que los huéspedes faciliten o completen un formulario (online o presencial) que recoja exclusivamente los datos exigidos en los apartados A.3, A.4, B.3 y B.4 del Anexo I del Real Decreto 933/2021.
Métodos de Autenticación de Datos:
Presencial: Basta con la comprobación visual de la correspondencia entre los datos facilitados y el documento de identidad exhibido.
Online (sin atención presencial): Se pueden utilizar mecanismos como certificados digitales, verificación de concordancia con datos del medio de pago, o el envío de códigos de seguridad a números de teléfono o correos electrónicos de los huéspedes (datos que ya deben recogerse según el RD 933/2021).
Análisis y Perspectiva Legal:
Esta nota de la AEPD refuerza la importancia del principio de minimización de datos consagrado en el RGPD. Para los establecimientos de hospedaje, esto implica:
1. Revisión Urgente de Protocolos: Es imperativo que los negocios del sector revisen y adapten sus procedimientos de check-in para alinearlos con estas directrices. La mera comodidad operativa no justifica un tratamiento excesivo de datos.
2. Responsabilidad Proactiva: Los titulares de las actividades de hospedaje son responsables de garantizar que sus métodos de recogida y verificación de datos sean compatibles con el RGPD, evaluando los riesgos y aplicando las medidas adecuadas.
3. Base Legal vs. Principios del RGPD: Si bien el Real Decreto 933/2021 establece una obligación legal para el registro de datos Artículo 4. Partes de entrada en establecimientos de hospedaje y hojas de servicios en actividades de alquiler de vehículos, esta debe cumplirse respetando todos los principios del RGPD, incluyendo la minimización.
4. Riesgo de Sanciones: El incumplimiento de estos principios puede acarrear sanciones. De hecho, la AEPD ya ha sancionado a establecimientos por prácticas similares, como se evidencia en la resolución Expediente N.º: EXP202301658 RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR, donde se impuso una multa a un alojamiento por exigir copia del DNI, vulnerando el artículo 5.1.c) del RGPD.
Conclusión para el Sector:
La AEPD ha marcado una línea clara. Los establecimientos de hospedaje deben priorizar la protección de datos de sus clientes, adoptando métodos de registro que sean proporcionados y seguros. Es un buen momento para revisar las políticas internas y, si es necesario, buscar asesoramiento legal especializado para asegurar el pleno cumplimiento normativo y evitar contingencias.