La Agencia de Protección de Datos avisa: los alojamientos no pueden pedir nunca copia de este documento a sus clientes

Ante las obligaciones impuestas por el Real Decreto 933/2021, de registro de viajeros, que exige a hoteles, hostales, pensiones, casas de huéspedes, casas rurales, campings y empresas de alquiler de vehículos recopilar y enviar al Ministerio del Interior los datos de todos sus clientes en un plazo máximo de 24 horas, la Agencia Española de Protección de Datos (AEPD) ha lanzado un importante aviso: no está permitido solicitar copias del DNI o pasaporte de los viajeros.

Según ha señalado el organismo, exigir una copia de estos documentos personales vulnera el Reglamento General de Protección de Datos (RGPD). En concreto, infringe el principio de minimización, que establece que solo pueden recopilarse los datos estrictamente necesarios, y supone un tratamiento excesivo de los datos. "Esto se debe a que el DNI completo contiene más datos que los obligados a aportar en virtud de la normativa aplicable, como la fotografía, la fecha de caducidad del documento, el CAN o el nombre de los padres”, advierte la AEPD.

Además, conservar una copia del documento aumenta el riesgo de suplantación de identidad, algo "que debe ser evitado o, por lo menos, mitigado de manera efectiva". La AEPD también recuerda que el DNI por sí solo no incluye todos los datos requeridos por el Real Decreto 933/2021 que regula el registro de viajeros, como el número de viajeros o la relación de parentesco con menores, por lo que tampoco sirve como única fuente de verificación. Asimismo, la Agencia insiste en que el envío de una copia del documento no permite verificar con certeza la identidad de la persona y, por tanto, carece de la idoneidad suficiente para cumplir con la finalidad de la norma.

Respecto a la recogida de los datos, la Agencia Española de Protección de Datos propone una alternativa segura y ajustada a la ley: un formulario que el propio cliente complete, bien en línea o en el establecimiento, con los datos que exige el Real Decreto (nombre, apellidos, documento de identidad, nacionalidad, datos de contacto, número de viajeros, relación de parentesco en caso de menores de edad, etc.).

Para verificar la identidad, basta con una comprobación visual del documento presentado (sin fotocopiarlo), si el proceso es presencial. En caso de recogida online, se sugieren métodos como el uso de certificados digitales, la coincidencia con los datos del medio de pago o la autenticación mediante códigos enviados al móvil o correo del usuario. Sin perjuicio de lo anterior, la AEPD no descarta que puedan existir otros procedimientos válidos para poder dar cumplimiento a estas obligaciones, pero estos deberán ser evaluados para comprobar si cumplen con el Reglamento General de Protección de Datos.

El Real Decreto 933/2021 tiene como objetivo prevenir delitos a través de un mayor control de la llamada “logística del alojamiento”, ya que muchos delincuentes se amparan en el anonimato de estos servicios. No obstante, la protección de la seguridad no puede justificarse a costa de vulnerar los derechos fundamentales de los consumidores.