(17 de junio de 2025). La Agencia Española de Protección de Datos (AEPD) ha publicado una nota informativa en la que aborda diversos aspectos relacionados con la identificación de las personas que van a reservar o contratar un hospedaje. El objetivo del documento, que ha sido elaborado por la Agencia y se ha remitido de forma previa tanto al Ministerio del Interior como a la confederación que agrupa a las empresas que prestan servicios de hospedaje, es evitar riesgos para la privacidad de las personas.
El Real Decreto 933/2021 establece la obligación del titular de la actividad de hospedaje de recoger determinados datos de las personas que hagan uso de sus servicios. La Agencia establece en la nota que esta recogida de información no autoriza a solicitar una copia del documento de identidad del cliente, ya que esto vulneraría el principio de minimización de datos y supondría un tratamiento excesivo.
Documentos como el DNI incluyen información adicional a la requerida por la norma (como la fotografía, la fecha de caducidad, el CAN o nombres de los padres), cuyo tratamiento incrementa el riesgo de suplantación de identidad. Por otro lado, el DNI no incluye la totalidad de la información solicitada en el Real Decreto 933/2021 por lo que, por sí solo, no es un recurso válido para poder cumplir con la norma. Además, el envío de una copia del documento no permite verificar con certeza la identidad de la persona que lo remite.
Para cumplir con la obligación legal, la Agencia considera que el huésped debe proporcionar los datos que se detallan en los apartados correspondientes del Real Decreto, y que estos pueden recogerse mediante un formulario presencial u online.
Para la autenticación de los datos facilitados, en el caso presencial, bastaría con una verificación visual del documento. Si esta se realiza online, se recomienda el uso de mecanismos como certificados digitales, comprobación con los datos asociados al método de pago o autenticación a través de códigos enviados al teléfono o correo electrónico del cliente.
En todo caso, cualquier otro procedimiento que se utilice deberá ser evaluado por el responsable del tratamiento de datos, garantizando siempre su compatibilidad con la normativa de protección de datos.
