La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha publicado una nota en la que aclara aspectos relevantes sobre el tratamiento de datos personales en el sector del hospedaje, en relación con el cumplimiento del Real Decreto 933/2021, de 26 de octubre.
El documento se centra en las obligaciones que el citado Real Decreto impone a los titulares de actividades de hospedaje respecto al registro de datos de los usuarios de sus servicios.
En particular, la AEPD destaca los siguientes puntos:
- Prohibición de solicitar copia del DNI o pasaporte: La AEPD considera que solicitar copia de estos documentos infringe el principio de minimización de datos (art. 5.1.c) RGPD), al contener información no requerida por el Real Decreto, como la fotografía, la fecha de caducidad o los datos filiales, aumentando además el riesgo de suplantación de identidad.
- La copia del documento no garantiza la finalidad de la norma: La finalidad del Real Decreto es contribuir a la seguridad ciudadana y prevenir delitos. Sin embargo, una copia del documento no permite verificar con certeza la identidad del huésped, por lo que no cumple adecuadamente dicha finalidad.
- Métodos adecuados de recogida y verificación de datos: La AEPD señala que puede ser suficiente la cumplimentación de un formulario (en línea o presencial) que recoja exclusivamente los datos exigidos en los apartados A.3, A.4, B.3 y B.4 del Anexo I del Real Decreto. En cuanto a la verificación, esta puede realizarse visualmente al mostrar el documento en persona, o mediante mecanismos alternativos en entornos digitales, como certificados electrónicos, comprobaciones con medios de pago o autenticación vía códigos enviados a correo electrónico o teléfono.
- Responsabilidad del cumplimiento: La AEPD recuerda que corresponde al responsable del tratamiento garantizar que los procedimientos adoptados sean compatibles con el RGPD, sin perjuicio de que puedan existir otros métodos igualmente válidos.
La nota, con fecha 17 de junio de 2025, busca orientar a los responsables del sector del hospedaje para equilibrar el cumplimiento normativo con el respeto a los principios de protección de datos personales.
