La Agencia Española de Protección de Datos (AEPD) ha lanzado una nota informativa abordando diversos aspectos sobre la identificación de las personas en sitios de hospedaje. El objetivo de la AEPD es evitar riesgos para la privacidad de las personas, dicho documento ha sido elaborado por la AEPD y remitido de forma previa tanto al Ministerio del Interior como a la confederación que agrupa a las entidades que prestan dichos servicios de hospedaje.
El Real Decreto 933/2021, de 26 de octubre, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor, establece la obligación de la entidad de hospedaje de recoger determinados datos de los usuarios que hagan uso de sus servicios. Solicitar una copia del documento de identidad del usuario, vulnera el principio de minimización de datos (artículo 5.1 c) del RGPD), ya que supone un tratamiento excesivo porque dicho documento contiene más datos que los obligados a aportar en virtud de la normativa aplicable (fotografía, fecha de caducidad del documento, el nombre de los padres, etc.).
Por cuanto a la autentificación de los datos que han sido recogidos por medio de formulario, en caso de recogida presencial, bastaría con comprobar visualmente la correspondencia de los datos facilitados y el documento de identidad exhibido; en caso de recogida en línea sin atención presencial, dicha verificación puede realizarse mediante mecanismos como certificados digitales.
Sin perjuicio de lo anterior, la AEPD no descarta que puedan existir otros procedimientos válidos para poder dar cumplimiento a estas obligaciones, cuya compatibilidad con el RGPD deberá ser evaluada, en todo caso, por el responsable del tratamiento.
La AEPD recuerda que el fin del RD 933/2021 no es recabar datos contenidos en el documento, sino verificar la identidad y asegurar la trazabilidad para fines de seguridad pública.
Obligaciones de los responsables
Para cumplir con las obligaciones legales de la AEPD, el huésped debe proporcionar los datos que se detallen en los apartados correspondientes del Real Decreto 933/2021. Estos pueden recogerse mediante un formulario presencial u online.
¿Qué datos se pueden recoger? La forma de recogida de datos se establece en el propio RD, en sus anexos. En caso de las entidades de hospedaje, la AEPD considera que podría ser suficiente con que las personas faciliten o completen un formulario que recoja exclusivamente los datos exigidos en los apartados A.3 y B.3 del Anexo I del RD 933/2021 ("Datos a facilitar en el ejercicio de la actividad de hospedaje", apartados A.3, A.4, B.3 y B.4). Dicho formulario puede ser cumplimentado en línea o presencialmente en el hospedaje.
En cuanto a las recomendaciones para cumplir con la normativa y proteger los datos de los usuarios:
- No pedir ni almacenar copias del DNI o Pasaporte.
- Usar formularios digitales o en papel, que incluyan exclusivamente los campos recogidos en los anexos del RD 933/2021. El anexo I para datos en el ejercicio de la actividad de hospedaje; y el anexo II para datos en el ejercicio de la actividad de alquiler de vehículos.
- Verificar la identidad mediante lectura visual del documento, o vía certificados digitales, confirmaciones por SMS/correo vinculadas con el medio de pago.
- Comunicar los datos a la autoridad competente.
- Conservar los registros el tiempo vigente que se establezca por ley.
- Evaluar los riesgos según el RGPD.
La AEPD refuerza la legalidad del cumplimiento del RD 933/2021, pero distingue claramente lo exigido por la norma y las prácticas que vulneran la privacidad. Su orientación se basa en un equilibrio entre la trazabilidad y la proporcionalidad legal: la verificación de identidad debe ser responsable, limitada y segura.
