El Dr. D. Efrén Díaz Díaz, responsable de las Áreas de Tecnología y Derecho Espacial del Bufete Mas y Calvet explica como el sector del hospedaje en España, vital para la economía nacional y europea, se encuentra en una fase crucial de adaptación. El Real Decreto 933/2021, en vigor desde el 2 de enero de 2023, establece nuevas obligaciones de registro documental e información de los huéspedes. El período de adaptación concluyó el 2 de diciembre de 2024, fecha a partir de la cual se podrán imponer sanciones a los establecimientos que no cumplan con la normativa.
Esta regulación aplica a una amplia gama de alojamientos, incluyendo hoteles, apartamentos, hostales, pensiones, campings, así como operadores turísticos y plataformas digitales de intermediación. Más allá de la mera burocracia, esta ley busca generar confianza y seguridad jurídica para los pasajeros y huéspedes.
1. La AEPD lanza una aclaración contundente: prohibido solicitar copias del DNI o pasaporte
Un aspecto fundamental que ha sido objeto de una reciente y crucial aclaración por parte de la Agencia Española de Protección de Datos (AEPD) es la prohibición explícita de solicitar una copia del Documento Nacional de Identidad (DNI) o pasaporte a los huéspedes.
La AEPD ha publicado una nota informativa el 17 de junio de 2025 para dejar claros diversos aspectos relacionados con la identificación de personas en hospedajes, con el objetivo principal de evitar riesgos para la privacidad de las personas. La Agencia es categórica al señalar que esta práctica vulnera el principio de minimización de datos establecido en el artículo 5.1.c) del Reglamento General de Protección de Datos (RGPD). Solicitar una copia completa del DNI o pasaporte supone un tratamiento excesivo de datos.
Los documentos de identidad, como el DNI completo, contienen información adicional no requerida por la normativa, como la fotografía, la fecha de caducidad, el CAN o los nombres de los padres. El tratamiento de esta información extra incrementa significativamente el riesgo de suplantación de identidad, un riesgo que debe ser evitado o mitigado de manera efectiva.
Además, la AEPD argumenta que el DNI por sí solo no incluye la totalidad de la información solicitada en el Anexo I del Real Decreto 933/2021, lo que lo invalida como único recurso para cumplir con la norma. Tampoco el envío de una copia del documento permite verificar con certeza la identidad de la persona, lo cual contraviene la finalidad del RD 933/2021, que es la «protección de personas y bienes y el mantenimiento de la tranquilidad ciudadana».
2. ¿Cómo cumplir entonces con la recogida y autenticación de datos?
Para cumplir con la obligación legal, la AEPD considera que es suficiente con que el huésped proporcione o complete los datos que se detallan en el Real Decreto 933/2021. Estos datos pueden ser recogidos mediante un formulario, ya sea presencial u online.
Para la autenticación de los datos facilitados:
- En el caso de recogida presencial, bastaría con una verificación visual del documento de identidad exhibido por el huésped, comprobando la correspondencia con los datos facilitados.
- En el caso de recogida online sin atención presencial, se recomiendan mecanismos como certificados digitales, la comprobación con los datos asociados al método de pago utilizado, o la autenticación a través de códigos de seguridad enviados a los números de teléfono o direcciones de correo electrónico de los huéspedes. Estos últimos datos (teléfono y correo) forman parte de la información que el titular del hospedaje debe recoger según el propio Real Decreto 933/2021.
La AEPD señala que, si bien sugiere estos métodos, cualquier otro procedimiento que se utilice para la autenticación deberá ser evaluado por el responsable del tratamiento de datos, garantizando siempre su compatibilidad con la normativa de protección de datos.
3. Cambios clave en la recogida y comunicación de datos
En cuanto a la recogida de datos, se amplía el número de datos a solicitar por cada huésped, pasando de los 9 anteriores a 17 datos obligatorios durante el check-in.
Estos incluyen: nombre, primer apellido, segundo apellido, sexo, número de documento de identidad, número de soporte del documento, tipo de documento (DNI, pasaporte, TIE), nacionalidad, fecha de nacimiento, dirección completa (lugar de residencia habitual: dirección, localidad, país), teléfono fijo, teléfono móvil, correo electrónico, número de viajeros y relación de parentesco entre los viajeros (en caso de menores). Además, todos los huéspedes mayores de 14 años deberán firmar el parte de entrada. Se elimina la fecha de expedición del documento de identidad como dato a recoger.
Uno de los cambios más importantes es la nueva institución a la que comunicar los datos: ya no se realizará a la Guardia Civil (Hospederías) o a la Policía (WebPol), sino directamente al Ministerio del Interior a través de su nueva plataforma SES.HOSPEDAJES. La comunicación de estos partes de entrada debe realizarse en un plazo que no supere las 24 horas a partir de la realización de la reserva o la formalización del contrato, o el inicio de los servicios contratados.
Es importante señalar que, aunque el Real Decreto 933/2021 se aplica a todo el territorio español, existen excepciones en Cataluña y País Vasco, donde los establecimientos deberán seguir comunicando los partes de entrada a los Mossos d’Esquadra y a la Ertzaintza, respectivamente.
4. Oportunidad para la confianza, la seguridad y la eficiencia
La implementación de estas normativas, especialmente la clara directriz de la AEPD sobre el DNI, debe ser vista por el sector turístico como una oportunidad clave para fortalecer la confianza y la seguridad jurídica de sus clientes.
Al limitar la recogida de datos a lo estrictamente necesario y proteger la privacidad, se reducen los riesgos de posibles brechas de seguridad y de suplantación de identidad, haciendo que el huésped se sienta más seguro y valorado. Esta adaptación también profesionaliza el sector, alineándolo con los estándares europeos de protección de datos.
5. Recomendación clave: asesoramiento proactivo para evitar sanciones
La Ley Orgánica 4/2015, o Ley Orgánica de protección de la seguridad ciudadana, es la que regirá las sanciones por incumplimiento del RD 933/2021. Las infracciones leves, como irregularidades o comunicaciones fuera de plazo, pueden conllevar multas de entre 100 y 600 €. Las infracciones graves, como la carencia de registros documentales o la omisión de comunicaciones obligatorias, pueden acarrear multas de entre 601 y 30.000 €.
Dada la entrada en vigor de las sanciones a partir del 2 de diciembre de 2024, es altamente recomendable que los responsables del tratamiento de datos se asesoren previa y proactivamente. Este asesoramiento es crucial para:
- Evitar sanciones mediante la correcta implementación de los cambios.
- Asegurar la compatibilidad con la normativa de protección de datos de cualquier procedimiento de autenticación de datos.
- Optimizar los procesos mediante la digitalización del check-in y el uso de herramientas ya integradas con SES.HOSPEDAJES, que pueden automatizar el envío de datos, ahorrar tiempo y agilizar la operativa del establecimiento.
En definitiva, la adopción de estas normativas no es solo una obligación legal, sino una inversión en la reputación, la eficiencia y la seguridad de un sector turístico español cada vez más competitivo y consciente de la privacidad de sus clientes.
