Por Abogado Antonio Tejeda Encinas
Como abogado, he seguido de cerca la evolución del Real Decreto 933/2021, que impone a hoteles, apartamentos y otros alojamientos la obligación de recabar una gran cantidad de datos personales de sus huéspedes. La cuestión ha cobrado nueva relevancia tras una resolución sancionadora firme de la Agencia Española de Protección de Datos (AEPD), que impone 9.000 € de multa a un hotel de cuatro estrellas por escanear el DNI de un cliente. No estamos ante una recomendación general ni una nota orientativa: es una sanción administrativa con plena validez jurídica.
El caso es claro: el hotel solicitó el documento y procedió a escanearlo como parte de su protocolo de registro. Pero la AEPD concluye que esta práctica vulnera el principio de minimización de datos del Reglamento General de Protección de Datos (RGPD), ya que el escaneo incluye información no requerida legalmente (fotografía, número CAN, nombres de los padres…).
Y lo que muchos establecimientos desconocen es que, con el nuevo régimen jurídico, esta actuación no solo es ilegal, sino que conlleva sanciones efectivas. En este caso, la multa fue de 9.000 euros.
Entonces, ¿por qué escanean el DNI los hoteles?
Porque, de forma errónea (o por comodidad), algunos establecimientos automatizan el proceso mediante sistemas que escanean el DNI para extraer los datos, o lo hacen pensando que así “verifican” más eficazmente la identidad del huésped. Pero esto no es un mandato legal, sino una práctica que excede lo permitido por el RGPD.
¿Qué exige exactamente el RD 933/2021?
El Real Decreto obliga a recoger hasta 17 datos personales, entre ellos:
Nombre y apellidos
Tipo y número de documento
Nacionalidad
Fecha de nacimiento
Domicilio
Número de viajeros
Relación de parentesco si hay menores
Teléfono, correo electrónico
Y, de forma especialmente controvertida: el sexo del huésped
Crítica jurídica: ¿de verdad es todo esto proporcional?
Desde mi punto de vista, esta norma presenta serios problemas de proporcionalidad. Algunos de los datos exigidos por el Real Decreto no solo son prescindibles, sino que pueden ser considerados directamente inconstitucionales.
Pongo un ejemplo: ¿por qué es obligatorio registrar el sexo del huésped? ¿Qué valor aporta eso a efectos de verificación, seguridad o trazabilidad? Ninguno. De hecho, este dato puede implicar un tratamiento de carácter discriminatorio y no es funcional para la identificación. Lo mismo ocurre con la información de parentesco entre acompañantes, que implica intromisiones innecesarias en la vida privada.
Además, el decreto fue aprobado sin evaluación de impacto en protección de datos, lo que podría dar lugar a su impugnación jurídica por defectos de forma y fondo.
Urge una interpretación restrictiva o una reforma legislativa que limite los datos obligatorios a lo estrictamente necesario.
En conclusión
Este no es un problema menor ni un tecnicismo: hablamos de decenas de miles de alojamientos en España recabando y almacenando datos personales sin garantías, con el riesgo añadido de ser sancionados por prácticas automatizadas como escaneos o fotocopias.
Por otro lado el Real Decreto 933/2021 está mal diseñado, mal implementado y necesita ser corregido. Como juristas, debemos exigir que las obligaciones impuestas por el Estado respeten los principios constitucionales, los derechos fundamentales y la legislación europea en materia de protección de datos.
Y mientras no se reforme, lo mínimo es tener claro esto: escáner no, fotocopia no. Solo VERIFICACIÓN VISUAL. Lo demás, sancionable.