Protección de datos: está prohibido pedir copias del DNI en los hoteles
La Agencia Española de Protección de Datos considera que fotocopiar el carné de identidad es "excesivo"
Ahora que se avecinan las vacaciones de verano, la Agencia Española de Protección de Datos (AEPD) avisa: está prohibido pedir una copia del DNI para alojarse en un hotel. El organismo ha emitido una nota informativa recuerda que, pese a que el Real Decreto 933/2021 establece la obligación del titular del hostal u hotel de recoger determinados datos de las personas que hagan uso de sus servicios, esta petición de información no autoriza a solicitar una copia del documento de identidad del cliente, ya que ello "vulneraría el principio de minimización de datos y supondría un tratamiento exceso".
Según recuerda la agencia, documentos como el DNI incluyen información adicional a la requerida por la norma (como la fotografía, la fecha de caducidad, el CAN —el número de seis dígitos que hay en la esquina derecha del carné— y los nombres de los padres), cuyo tratamiento "incrementa el riesgo de suplantación de ident." Por otra parte, el DNI no incluye la totalidad de la información solicitada en la norma, por lo que, por sí solo, "no es un recurso válido para poder cumplir" con la ley. Además, enviar una copia del documento no permite verificar a ciencia cierta la identidad de la persona que lo remite, apunta la AEPD.
¿Qué habría que pedir?
Para cumplir con la obligación legal, la agencia considera que el huésped debe proporcionar los datos que se detallan en los apartados correspondientes del real decreto, y que éstos se pueden recoger mediante un formulario presencial o online.
Para la autenticación de los datos facilitados, en el caso presencial bastaría con una verificación visual del documento. Si esta verificación se realiza online, se recomienda el uso de mecanismos como los certificados digitales, la comprobación con los datos asociados al método de pago o la autenticación a través de códigos enviados al teléfono o correo electrónico del cliente. En cualquier caso, cualquier otro procedimiento que se utilice "tendrá que ser evaluado por el responsable del tratamiento de datos, que garantizará siempre su compatibilidad con la normativa de protección de datos", apunta el organismo.
