Por un lado, de conformidad con el Real Decreto 933/2021, de 26 de octubre, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor, el sector hotelero está obligado a llevar registro informático en el que consten los datos identificativos de los huéspedes, incluidos los datos de los menores de 14 años.

La aplicación de dicho Decreto, en diciembre de 2024, originó controversia, puesto que el sector hotelero entiende excesivo todos los datos personales a recabar de los huéspedes.  No obstante, no ahondaremos en este artículo en analizar pormenores del conflicto entre las necesidades de seguridad ciudadana y las exigencias en materia de protección de datos personales.

Por otro lado, también son conocidas las sanciones de la AEPD impuestas a establecimientos hoteleros por realizar fotocopias del DNI del viajero, por infringir el principio de minimización de datos [art. 5.1.c) RGPD].  Ejemplos: https://www.aepd.es/documento/ps-00036-2024.pdf, https://www.aepd.es/documento/ps-00331-2023.pdf.

Ahora, nos encontramos con un nuevo pronunciamiento de la AEPD con relación a la problemática que plantea la obtención de datos personales contenidos en el DNI/NIE o Pasaporte. Vid. publicación de una «Nota de la AEPD sobre las copias de documentos de identidad en hospedajes».

De acuerdo con la Nota, «No se debe solicitar una copia del documento de identidad», esto es, no se puede fotocopiar, escanear o guardar la imagen del DNI/pasaporte o NIE de los huéspedes.

La AEPD nos señala sendos medios de autenticación de los datos facilitados por el huésped, presencialmente o en línea:

• En los casos de recogida presencial, podría bastar con comprobar visualmente la correspondencia entre los datos facilitados y el documento de identidad exhibido.
• En caso de recogida de datos en línea sin atención presencial, esta verificación puede realizarse mediante mecanismos como certificados digitales. También es posible la verificación de que los datos y la información proporcionada concuerda con los datos asociados al medio de pago utilizado. Igualmente, entre las medidas posibles, se puede emplear el envío de códigos de seguridad enviados a los números de teléfono o direcciones de correo electrónico de los huéspedes obligados a identificar, como factores de autenticación.

Sin embargo, la AEPD no entra a considerar la validez de los sistemas de reconocimiento óptico de caracteres (OCR), que permiten leer y realizar una extracción automática de los datos necesarios del documento, en el proceso de check in, sin guardar otros datos innecesarios para completar el preceptivo registro identificativo de los huéspedes (como la fotografía, la fecha de caducidad, el Código CAN, o los nombres del padre y la madre, que figuran en el reverso).

Este medio de autenticación puede generar controversia, ya que al requerir al huésped que entregue el documento oficial identificativo, para que se haga el reconocimiento óptico de caracteres, parece que se esté efectuando una copia digitalizada íntegra del documento. Y, tal y como se ha extendido en la ciudadanía, que no tienen porqué fotocopiar o escanear el DNI/NIE o Pasaporte en el check in, obliga a tener que efectuar, a nivel presencial, la recogida de datos de manera manual, puesto que los huéspedes rechazarán este sistema.

Esto, en pleno periodo estival, en el que el trasiego de entrada y salida de huéspedes es altísimo, ralentiza, enormemente, la operativa de la recepción del hotel. Téngase en cuenta también que, no solo deben recabarse los datos personales que obran en el documento del DNI/NIE o Pasaporte, sino que, además, deben aportarse otros, según el mencionado Decreto [entre otros, lugar de residencia habitual (dirección completa, localidad, país) teléfono fijo o móvil; correo electrónico].

La AEPD se ha limitado a decir que «no descarta que puedan existir otros procedimientos válidos para poder dar cumplimiento a estas obligaciones, cuya compatibilidad con el RGPD deberá ser evaluada, en todo caso, por el responsable del tratamiento», pero, como decimos no se ha manifestado, explícitamente, acerca del mecanismo de autenticación OCR, el cual agiliza la operativa de check in.

Ante esto, el sector hotelero ha echado en falta el que la autoridad de control en protección de datos avalase dicho mecanismo de autenticación y evitar el rechazo o recelo de los huéspedes.

Aun así, podemos decir que no sería descartable el uso del reconocimiento óptico, siempre que se opere la extracción de los datos personales mínimos o imprescindibles del DNI/NIE o Pasaporte. Y, a los efectos de que no genere rechazo, se informe, con gran claridad al momento de la recogida de datos, que no se está realizando una copia escaneada o digitalizada del documento oficial de identidad. Más, por si acaso, el hotel deberá contar con un medio alternativo, ante la eventualidad de que el viajero se oponga a dicha extracción automática de datos. En estos casos, el huésped deberá exhibir su documento oficial de identidad, al objeto de rellenar de forma manual los datos, así como para verificar, de forma visual, la identidad del mismo.

Ismael García
Govertis, parte de Telefónica Tech