Sancionada una empresa de hospedaje por pedir una imagen del DNI a los huéspedes

La solicitud y recogida de la imagen del documento de identidad por parte de un negocio dedicado al alojamiento turístico supone realizar un tratamiento “excesivo” de los datos personales de los huéspedes y, al mismo, contrario al principio de minimización de datos.

Así lo ha recordado la Agencia Española de Protección de Datos (AEPD) en una reciente resolución en la que ha sancionado con 2.000 euros a una empresa dedicada a actividades de hospedaje por haber solicitado una imagen de los DNI a unos huéspedes que habían realizado una reserva.

En la resolución sancionadora (disponible en el botón ‘descargar resolución’), la AEPD señala que si bien es cierto que los negocios dedicados a dicha actividad tienen la obligación de comprobar los datos personales de los huéspedes, dicha obligación debe cumplirse sin la necesidad de solicitar la entrega de una copia o imagen del documento de identidad, o escáner del mismo. Pues, “existen otras alternativas igualmente válidas que permiten realizar esta comprobación de forma fiable”.

El caso

La sanción de multa administrativa llega a raíz de que el pasado mes de febrero la presidencia de la AEPD acordase iniciar procedimiento sancionador contra una empresa dedicada a actividades de hospedaje después de que se interpusiera ante la propia Agencia una reclamación por una posible infracción cometida por dicha mercantil.

La parte reclamante manifestaba en la reclamación que contrató con dicha entidad el alojamiento en un apartamento turístico, aunque no formalizó contrato al respecto. A través de la aplicación de mensajería WhatsApp, la empresa le solicitó que le enviará una imagen de cada uno de los DNI de los huéspedes que se iban a alojar en dicho apartamento —entre los que se encontraba una menor de edad—.

En esa línea de hechos, la reclamante aseguraba a la AEPD que no había recibido información alguna por parte de la empresa de alojamientos sobre el tratamiento que iba a hacer de esos datos, e igualmente, la parte reclamante tampoco había firmado consentimiento alguno sobre el tratamiento de datos y que, en el apartamento, a la entrega de llaves, le hicieron firmar un documento del que no le ofrecieron copia.

(Imagen: archivo)

Un tratamiento de datos excesivo e injustificado

La Agencia Española de Protección de Datos explica que la empresa reclamada, al realizar actividades de hospedaje, realiza entre otros tratamientos, la recogida y comunicación de datos personales de personas físicas. Entre esos datos se encuentran el número de documento de identidad; tipo de documento; fecha expedición del documento; primer y segundo apellido; nombre; sexo; fecha de nacimiento; y domicilio; entre otros. Todos esos datos personales mencionados que recoge la mercantil se encuentran incluidos en la imagen del DNI. 

Al tratarse la actividad desarrollada por la empresa reclamada la de alquiler de apartamentos con fines turísticos, le es de aplicación el Real Decreto 933/2021 y su artículo 4.3, el cual impone a la mercantil la obligación de comprobar la exactitud de los datos personales de los huéspedes. 

Sin embargo, la AEPD explica que dicha obligación de comprobar los datos personales de los huéspedes —prevista en el artículo 4.3 del RD 933/2021— “debe cumplirse sin necesidad de solicitar la entrega de copia o imagen del documento de identidad o escaneo del mismo, pues existen otras alternativas igualmente válidas que permiten realizar esta comprobación de forma fiable”.

En ese sentido, la Agencia recuerda que “la recogida de la imagen o fotocopia del DNI (en sus dos caras), del pasaporte u otros documentos acreditativos de la identidad, supone un tratamiento de datos personales que exceden de los exigidos en el apartado 3 del Anexo I.A del RD 933/2021, tales como: la imagen del rostro del viajero, el número de equipo de expedición, o los nombres de los progenitores del viajero, sobre los que no concurre una obligación legal de recogida, registro, y comunicación”. 

Pues, la recogida de todos esos datos mencionados (imagen del rostro, número de equipo de expedición y nombres de los progenitores) supone un “tratamiento excesivo” de los datos personales y que es contrario al principio de minimización de datos, previsto en el artículo 5.1 del Reglamento General de Protección de Datos.

Además, que las entidades que desarrollan actividades de alojamiento turístico no tienen la obligación de recoger, registrar ni comunicar a las autoridades competentes la imagen, fotocopia o imagen completa del DNI de cada viajero, sino únicamente lo datos contenidos en el mismo, como son el nombre y apellidos; el número de identificación; el número de soporte; el tipo de documento (DNI; pasaporte…etc.); la nacionalidad; y la fecha de nacimiento.

(Imagen: Policía Nacional)

Por lo tanto, en el presente caso, teniendo en cuenta que la empresa reclamó una foto de los DNI de los huéspedes, las cuales le fueron enviadas por los viajeros, la AEPD ha razonado que se produjo una recogida de datos no justificada ni prevista en la normativa.

Esos hechos son constitutivos de una infracción imputable a la mercantil reclamada por vulneración del artículo 5.1. c) del Reglamento General de Protección de Datos. Motivo por el cual la Agencia ha sancionado a la entidad con una multa administrativa de 2.000 euros.