Identificación en hospedajes: qué está permitido y qué vulnera la normativa de Protección de Datos

🔵¿Gestionas un hospedaje? Así te afecta la nota de la AEPD sobre el uso del DNI

La Agencia Española de Protección de Datos (AEPD), en la nota informativa de 17 de junio de 2025, ha venido a reiterar su criterio en relación a la ilicitud de pedir copia, fotocopiar o escanear el DNI de las personas usuarias de establecimientos de hospedaje (hoteles, campings, viviendas vacacionales, casas rurales, etc.) en España.
Esto tiene consecuencias directas para tu empresa: si gestionas un hospedaje, no puedes conservar, duplicar ni escanear el documento de identidad de tus clientes. Solo puedes recoger los datos exigidos por la ley, en las condiciones que establece la normativa.

Los argumentos que aporta la AEPD son:

• La vulneración del principio de minimización de datos, ya que un DNI contiene más datos de los legalmente exigidos por el Real Decreto 933/2021(1).
• La documentación exigida por Real Decreto 933/2021, en su anexo 1 es la única que debe de ser recogida, y puede hacerse mediante formularios presencialmente u online.
• Fotocopiar, escanear, o solicitar una copia del DNI es un tratamiento ulterior, sin finalidad concreta y sin base legal. El Real Decreto 933/2021 en su art.7, delimita el tratamiento que debe darse a los datos solicitados, dejando claro que por parte de hospedaje se debe circunscribir a la toma de datos y su posterior comunicación a Fuerzas y Cuerpos de Seguridad del Estado, quienes sí podrán realizar posterior tratamiento de estos datos, en el desempeño de sus respectivas competencias en el ámbito de prevención, detección e investigación del delito que tengan asignadas. Asimismo, en el ejercicio de sus respectivas competencias, tendrán acceso a ellos la autoridad judicial y el Ministerio Fiscal.
• Los hospedajes, deben limitarse a la verificación o autentificación de los datos, labor que podrán realizar, bien de modo presencial (comprobación visual del DNI), o de modo online (mediante el uso de certificados digitales, verificación de datos de medios de pago, envío de SMS o mail, con códigos de seguridad, etc.)

👉 Como establecimiento de hospedaje, este caso pone el foco en algo clave:

• Solo puedes recoger los datos que exige la normativa.
• No puedes copiar ni escanear el DNI sin base legal.
• Tu sistema de recogida de datos debe ser seguro, proporcional y conforme al RGPD.

🔵 ¿Qué sí puedes hacer como establecimiento?

Tienes varias opciones seguras y legales para cumplir con tu obligación de identificar a las personas alojadas:

• Verificación presencial: revisar visualmente el DNI sin copiarlo.
• Verificación online: con medios seguros como: acreditación electrónica mediante certificado digital, documento firmado digitalmente con datos mínimos, o check-in digital previo.

Además de verificar la identidad, debes recoger los datos que exige el parte de viajeros (Anexo I del RD 933/2021), ya sea de forma presencial o mediante un sistema de check-in digital. Para más detalles sobre esta obligación, puedes consultar nuestro artículo actualizado sobre los requisitos de recogida de datos según el Real Decreto 933/2021; Registro Documental e Información en el Sector Turístico

🔵 Y como huésped, ¿cómo me protege la normativa de Protección de Datos?

Como huésped, ten en cuenta tus derechos para la recogida de datos, y recuerda que para identificarte puedes;

• Mostrar el DNI sin entregarlo. Puedes mostrar el DNI para que anoten los datos necesarios, sin dejarlo en recepción ni permitir su copia. Es recomendable que indiques expresamente que no autorizas la copia del documento.
• Proponer verificación sin copia. Solicita que anoten los datos en el parte de viajeros, como permite la ley. Esto cumple con la obligación legal sin copia del documento.
• Pedir información por escrito. Si el alojamiento insiste en la copia del DNI, pide que te indiquen:
  • Base legal del tratamiento (art. 6 RGPD)
  • Finalidad
  • Tiempo de conservación
  • Destinatarios (por ejemplo, si comparten con la policía)

Esto puede disuadir prácticas excesivas o ilegales.

• Presentar reclamación. Si realizan copia sin tu consentimiento ni base legal: Puedes reclamar ante la AEPD, o ejercer tus derechos de acceso, oposición o supresión.
• Presentar una versión anonimizada del DNI . Puedes entregar una copia del DNI con datos sensibles ocultos, cumpliendo con la obligación legal de identificarte.
  Mantén visibles:
  – Nombre y apellidos
  – Número del documento
  – Fecha de nacimiento
  – Nacionalidad
  – Fecha de expedición y validez

🔵 ¿Cómo podemos anonimizar nuestra copia del DNI? 

Para asegurarnos de que nuestra copia quede únicamente con los datos necesarios, podemos utilizar los siguientes métodos;

• Manual: imprime una copia y tacha con rotulador negro los datos sensibles.
• Digital: usa editores como PDF24, Adobe Acrobat, GIMP o apps como CamScanner.
• Móvil: muchas apps permiten escanear y pixelar zonas concretas. Importante en este caso, evaluar la privacidad de estas aplicaciones.
• Web: en saferlayer.com, por ejemplo, podrás protege tus documentos (DNI, etc) con marcas de agua resistentes a la IA.
• Comparte un documento digital en formato pdf, que hayas creado previamente, donde se recojan los datos necesarios, y que esté firmado con tu certificado digital o DNI electrónico.

🔵 ¿Cómo podemos ayudarte desde Grupo Isonor?

🔐 En Grupo Isonor, desde nuestra División de Consultoría Legal y nuestra Área de Protección de Datos y Seguridad de la Información, te acompañamos para cumplir con la normativa de forma sencilla, segura y adaptada a tus necesidades concretas:

• Adaptamos tus procedimientos a lo exigido por el Real Decreto 933/2021 y el RGPD.
• Te asesoramos para evitar sanciones por tratamiento indebido de datos personales.
• Formamos a tu equipo para aplicar buenas prácticas en la gestión de la información.

👉 Contacta con nuestro equipo y descubre cómo podemos ayudarte a aplicar estas claves en tu organización, sea del sector turístico o cualquier otro.
Solicita ahora más información

(1)Real Decreto 933/2021, de 26 de octubre, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor.