El 2 de diciembre de 2024 entró en vigor el Real Decreto 933/2021, por el que se establecen las obligaciones de registro documental e información de las compañías que ejercen actividades de hospedaje. Entre las obligaciones que dicha normativa impone, estas entidades de hospedaje deben recabar un número notablemente elevado de datos de sus huéspedes, así como de las reservas efectuadas, para llevar a cabo un registro informático (cuya información deberá conservarse durante un plazo de tres años) y para su comunicación a las autoridades competentes.
Como se indicó en nuestra newsletter, esta normativa provocó un notable descontento entre los hoteles y las agencias de viajes, ya que establecía una serie de obligaciones relacionadas con la recogida de datos que, en muchos casos, podían resultar de difícil cumplimiento.
Habida cuenta de lo anterior, la autoridad de control española ha publicado un documento en el que analiza esta normativa y aclara las distintas obligaciones que la misma recoge con la finalidad de evitar riesgos para la privacidad de las personas con ocasión de las actuaciones que las entidades que gestionan los hospedajes están llevando a cabo.
Una de estas actuaciones más habituales es la solicitud del Documento Nacional de Identidad a los huéspedes a efectos de recabar la información necesaria. No obstante, en relación con esta opción, la AEPD ha declarado que la misma no es correcta, por cuanto la obtención del DNI de los huéspedes con esta finalidad vulnera el principio de minimización de datos regulado en el RGPD. En este sentido, se afirma por la autoridad de control que dicho documento contiene más datos que los que la normativa obliga a aportar (y se aprecia la existencia de otra información que el Real Decreto 933/2021 exige y no consta en el DNI, por lo que “por sí solo, no es un recurso válido para poder cumplir con la citada norma”) como, por ejemplo, la fotografía, la fecha de caducidad del documento o el nombre de los padres.
Adicionalmente, supone un riesgo elevado de suplantación de identidad, sin que el documento permita verificar con certeza la identidad de la persona, por lo que no es suficiente para cumplir con la finalidad de la norma que es “la protección de personas y bienes y el mantenimiento de la tranquilidad ciudadana” ante la “especial relevancia” de la “logística del alojamiento” “en el modus operandi de los delincuentes”.
Así, como solución a lo anterior, la AEPD indica que, para dar cumplimiento a la normativa, sería suficiente con que la entidad facilitase un formulario (a cumplimentar en línea o presencialmente) en el que se recabase la información exigida en los Anexos del Real Decreto. Así, al recabarse presencialmente, se podría cotejar la información facilitada con la que contiene el DNI, siendo suficiente con que el huésped permitiera su visualización. Respecto a la información facilitada en línea, esta se podría verificar, por ejemplo, mediante certificados digitales (aunque se reconoce la existencia de otros posibles procedimientos cuya validez y adecuación deberán ser analizada por la entidad).
Puede acceder a la nota emitida por la autoridad de control aquí.
