La AEPD informa de que no está permitido solicitar una copia del DNI o pasaporte en los hospedajes

Fecha publicación: 6 de agosto de 2025

  • La Agencia Española de Protección de Datos (AEPD) ha publicado una nota informativa en la que aborda diversos aspectos relacionados con la identificación de las personas que van a reservar o contratar un hospedaje .
  • El objetivo del documento, que ha sido elaborado por la Agencia y se ha remitido de forma previa tanto al Ministerio del Interior como a la confederación que agrupa a las empresas que prestan servicios de hospedaje, es evitar riesgos para la privacidad de las personas.
  • El Real Decreto 933/2021 establece la obligación del titular de la actividad de hospedaje de recoger determinados datos de las personas que hagan uso de sus servicios. La Agencia establece en la nota que esta recogida de información no autoriza a solicitar una copia del documento de identidad del cliente, ya que esto vulneraría el principio de minimización de datos y supondría un tratamiento excesivo.
  • Documentos como el DNI incluyen información adicional a la requerida por la norma (como la fotografía, la fecha de caducidad, el CAN o nombres de los padres), cuyo tratamiento incrementa el riesgo de suplantación de identidad. Por otro lado, el DNI no incluye la totalidad de la información solicitada en el Real Decreto 933/2021 por lo que, por sí solo, no es un recurso válido para poder cumplir con la norma. Además, el envío de una copia del documento no permite verificar con certeza la identidad de la persona que lo remite.
  • Para cumplir con la obligación legal, la Agencia considera que el huésped debe proporcionar los datos que se detallan en los apartados correspondientes del Real Decreto, y que estos pueden recogerse mediante un formulario presencial u online. 
  • Para la autenticación de los datos facilitados, en el caso presencial, bastaría con una verificación visual del documento. Si esta se realiza online, se recomienda el uso de mecanismos como certificados digitales, comprobación con los datos asociados al método de pago o autenticación a través de códigos enviados al teléfono o correo electrónico del cliente.
  • En todo caso, cualquier otro procedimiento que se utilice deberá ser evaluado por el responsable del tratamiento de datos, garantizando siempre su compatibilidad con la normativa de protección de datos.

NOTA DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS CON RELACIÓN A LA SOLICITUD DE COPIAS DE DOCUMENTOS DE IDENTIDAD EN HOSPEDAJES PARA DAR CUMPLIMIENTO AL REAL DECRETO 933/2021

El Real Decreto 933/2021, de 26 de octubre, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor, establece, entre otros, la obligación del titular de la actividad de hospedaje de recoger determinados datos de las personas físicas que hagan uso de sus servicios, con carácter previo al inicio de aquella. Los datos están establecidos en el Anexo I (“Datos a facilitar en el ejercicio de la actividad de hospedaje”) en sus apartados A.3, A.4, B.3 y B.4.

A este respecto, la Agencia Española de Protección de Datos quiere dejar claros diversos aspectos que pueden ser de especial interés para los obligados, de cara al cumplimiento de la norma.

No se debe solicitar una copia del documento de identidad

Solicitar una copia del Documento Nacional de Identidad o del Pasaporte vulnera el principio de minimización de datos, establecido en el artículo 5.1.c) del RGPD, y supone un tratamiento excesivo de datos. Esto se debe a que el DNI completo contiene más datos que los obligados a aportar en virtud de la normativa aplicable, como la fotografía, la fecha de caducidad del documento, el CAN o el nombre de los padres. Asimismo, el entregar una copia de la documentación personal implica, entre otros, un riesgo innecesario de suplantación de la identidad, que debe ser evitado o, por lo menos, mitigado de manera efectiva. Adicionalmente, cabe recordar que el DNI no contiene la totalidad de la información solicitada en el Anexo I del Real Decreto 933/2021 por lo que, por sí solo, no es un recurso válido para poder cumplir con la citada norma.

A este respecto cabe señalar que la finalidad del Real Decreto 933/2021 es “la protección de personas y bienes y el mantenimiento de la tranquilidad ciudadana” ante la “especial relevancia” de la “logística del alojamiento” “en el modus operandi de los delincuentes”, según recoge la Exposición de Motivos de la norma. Así las cosas, el envío de una copia del documento no permite verificar con certeza la identidad de la persona y, por tanto, carece de la idoneidad suficiente para cumplir con la finalidad de la norma.

Forma de recogida de datos establecida en el Real Decreto 933/2021, Anexo I, apartados A.3, A.4, B.3 y B.4.

Respecto de la recogida de los datos que requiere el Real Decreto 933/2021, que recae sobre las personas físicas o jurídicas que ejercen actividades de hospedaje, la AEPD considera que podría ser suficiente con que las personas faciliten o completen un formulario que recoja exclusivamente los datos exigidos en los apartados A.3 y B.3 del Anexo I del Real Decreto (“Datos a facilitar en el ejercicio de la actividad de hospedaje”, apartados A.3, A.4, B.3 y B.4). Este formulario puede ser cumplimentado en línea o presencialmente en el hospedaje.

Autenticación de los datos facilitados presencialmente o en línea

Por cuanto a la autenticación de los datos que han sido recogidos por medio de formulario, en los casos de recogida presencial, podría bastar con comprobar visualmente la correspondencia entre los datos facilitados y el documento de identidad exhibido.

En caso de recogida de datos en línea sin atención presencial, esta verificación puede realizarse mediante mecanismos como certificados digitales. También es posible la verificación de que los datos y la información proporcionada concuerda con los datos asociados al medio de pago utilizado. Igualmente, entre las medidas posibles, se puede emplear el envío de códigos de seguridad enviados a los números de teléfono o direcciones de correo electrónico de los huéspedes obligados a identificar, como factores de autenticación. Estos últimos son datos que forman parte de la información que el titular de la actividad de hospedaje ha de recoger de las personas usuarias de los servicios de hospedaje de acuerdo con el Real Decreto 933/2021.

Sin perjuicio de lo anterior, la AEPD no descarta que puedan existir otros procedimientos válidos para poder dar cumplimiento a estas obligaciones, cuya compatibilidad con el RGPD deberá ser evaluada, en todo caso, por el responsable del tratamiento.

Afíliate a CPPM
blog-fidelis-abogados
GOPOL-CPPM
altafit gym club cppm
CPPM Suscripción Youtube
Testopositor prepara tu oposición online
Whatsapp CPPM
Plataforma Social de Policías Locales (PSPL)
TOP