La AEPD, en junio de 2025, publicaba la «Nota de la AEPD sobre las copias de documentos de identidad en hospedajes». Analizaba la prohibición de fotocopiar o guardar imágenes escaneadas del DNI de los huéspedes. Aquella comunicación, dejaba abiertas varias cuestiones prácticas y se echaba en falta mayor claridad sobre los sistemas que podían utilizarse conforme a la normativa de protección de datos y, en ese sentido, publicamos un post haciendo referencia a ello. En particular, quedaba en el aire la posibilidad de que medios alternativos como el OCR (reconocimiento óptico de caracteres), bien diseñados, pudieran ser compatibles con el RGPD. Estos medios de extracción son de máxima utilización en el sector turístico.

Ahora, nos hacemos eco de una nueva resolución emitida por la AEPD que trata esta cuestión y que ofrece una evolución interpretativa. La resolución AI-00413-2024 aporta luz en un escenario real en el que esas dudas afloran. En este caso, un huésped presenta reclamación ante la AEPD indicando que en el momento del check-in se le solicita su documento de identidad para su “escaneo” en el proceso de registro de viajeros. A su juicio, ese tratamiento es injustificado, dado que bastaría con comprobar y anotar los datos contenidos en dicho documento y no utilizando un sistema de copia del documento de identidad. La entidad hotelera alega uso de un lector conectado a su sistema de gestión (PMS) para automatizar la captura de datos mediante lectura óptica para extraer únicamente los datos exigidos por la normativa de registro de viajeros.

La AEPD concluye que, De los datos obrantes en el expediente se determina que el sistema automatizado utilizado por la *EMPRESA* Está configurado de tal forma que, para realizar el registro en el establecimiento hotelero, una vez comprobado que el DNI es el del cliente, se recogen los datos que indica el Real Decreto 933/2021, de 26 de octubre, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor (en adelante, RD 933/2021); dicha norma no indica en qué forma debe hacerse. Nada impide que la captación de los datos se realice de modo mecanizado siempre que se respete el principio de minimización, lo que sucede en este caso, pues el sistema no conserva más datos de los necesarios. La captación de datos del lector ICAD conectado al software PMS realiza un escaneo para capturar y conservar los datos necesarios. El tratamiento mecánico que se realiza al escanear el documento no supone mayores riesgos pues se realiza en forma local, no es accesible desde internet, y no se almacenan los datos capturados del documento. Además, para garantizar que todo funcione la *EMPRESA* ha contratado una empresa de mantenimiento. Finalmente, la autoridad de control, tras analizar las alegaciones y la documentación aportada por el establecimiento hotelero, archiva las actuaciones.

De esta resolución y el extracto referido, se desprenden varias ideas poniendo el foco en dos ejes muy marcados, la finalidad y la minimización de datos personales:

• Existe una norma, Real Decreto 933/2021, de 26 de octubre, que establece las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor, que obliga a las entidades hoteleras a llevar un registro en el que deben constar los datos identificativos de los huéspedes indicados en esta norma. Por tanto, su incumplimiento podría conllevar sanciones.
• La forma en la que se recogen estos datos debe realizarse a través de un sistema que esté diseñado para extraer únicamente los campos obligatorios y no almacenar imágenes completas ni información innecesaria, respetando así el principio de minimización de datos y el principio de privacidad desde el diseño.
• No basta con indicar que no se fotocopia o escanea el DNI o documento identificativo equivalente, el responsable del tratamiento debe ser capaz de demostrar qué hace exactamente el sistema. Por ejemplo, en el sistema OCR, qué datos captura, durante cuánto tiempo, con qué finalidad y bajo qué garantías. Se cumple de esta forma con el principio de responsabilidad proactiva.
• El mecanismo de autenticación OCR agiliza la operativa de check in, sin embargo, la “comodidad operativa” en ningún caso puede sobreponerse a los derechos y libertades del interesado.
• La sensación, cada vez más extendida, de que entregar el DNI implica perder el control sobre una parte de información especialmente sensible, debe mitigarse con información clara y precisa a ofrecer al huésped. En el momento que se recogen los datos para el registro de viajeros, el huésped en muchas ocasiones entrega su documento de identidad al hotel que lo introduce en un lector y esta acción puede apreciarse exactamente igual que una fotocopia. Si el establecimiento no explica con precisión qué ocurre con esos datos, la percepción del huésped puede ser invasiva, por lo que ofrecer información clara resulta esencial.

En definitiva, esta resolución confirma la postura de la AEPD sobre la fotocopia sistemática e íntegra del DNI, está prohibida. Pero, no excluye el uso de soluciones técnicas similares para la extracción de datos. De este modo, podría permitirse el uso de los sistemas de reconocimiento óptico de caracteres (OCR), que permiten leer y realizar una extracción automática de los datos necesarios del documento de identidad que exige la norma, en el proceso de check in, siempre que estos sistemas no recojan otros datos innecesarios para completar el registro de huéspedes y se garantice por parte del hotel la transparencia y la proporcionalidad.

A efectos de que no genere rechazo por parte de los huéspedes, ya que parece que se esté efectuando una copia digitalizada íntegra del documento identificativo oficial, recomendamos que se informe por parte del hotel, con gran claridad al momento de la recogida de datos, que no se está realizando una copia escaneada o digitalizada del documento.

Eva María Simón de Lucas
Govertis, parte de Telefónica Tech