Índice de contenidos
La AEPD recuerda que no se le puede pedir la copia del DNI en un hotel a los huéspedes porque se estaría haciendo un tratamiento excesivo de datos personales e infringiendo el RGPD
Ni es legal que te escaneen el DNI en un hotel, ni una empresa puede sacarle una foto al DNI de un cliente. La Agencia Española de Protección de Datos (AEPD) ha reiterado por activa y por pasiva que los negocios españoles no pueden fotografiar, escanear o fotocopiar el DNI de sus clientes sin una causa que justifique que esta medida sea imprescindible.
Tras múltiples sanciones al respecto, y de cara a la campaña de verano, la AEPD nos recuerda que a un viajero no se le puede pedir la copia del DNI en un hotel.
¿Por qué? Este organismo encargado de velar por la seguridad de los datos de los ciudadanos y las empresas esgrime dos grandes motivos por los que no es posible pedir la copia del DNI en un hotel:
- Que los alojamientos turísticos almacenen copias de los DNI o pasaportes de miles de ciudadanos puede suponer un grave riesgo de seguridad. Ya que si algún delincuente tiene acceso a estos documentos podría llevar a cabo múltiples clases de ciberestafas contra los viajeros.
- Que pedir la copia del DNI en un hotel infringe el Reglamento General de Protección de Datos (RGPD).
Tanto si eres un ciudadano que se va a alojar este verano en un hotel o en un apartamento turístico, como si eres el director de un hotel o el dueño de un piso turístico, te interesa leer lo que te vamos a contar a continuación.
Pedir la copia del DNI en un hotel puede acabar facilitando la comisión de fraudes digitales
En los últimos años no han parado de crecer los fraudes en el sector turístico, realizados por ciberdelincuentes cada vez más preparados y motivados.
Los malos han puesto a los hoteles, hostales y apartamentos turísticos en su punto de mira porque:
- Por lo general, es un sector poco concienciado sobre los riesgos de los ciberataques y las estafas online.
- Los profesionales del sector no cuentan con formación específica en materia de ciberseguridad y no llevan a cabo prácticas de seguridad básicas.
- Las técnicas de ingeniería social más novedosas permiten a los delincuentes hacerse pasar por clientes, atacar a los profesionales de los hoteles, conseguir infectar sus equipos y hacerse con las credenciales para acceder a las plataformas de reservas de viajes como Booking.
- Al poder entrar en las cuentas corporativas de los negocios, pueden lanzar ataques contra sus clientes y tener acceso a información crítica como los datos bancarios de las reservas.
- Los ciberataques a los hoteles son fácilmente monetizables al lanzar estafas contra los viajeros suplantando la identidad de los alojamientos y solicitando pagos por depósitos de daños, reserva u ofertas para minorar el importe de las reservas.
Por todo ello, pedir la copia del DNI en un hotel a los viajeros puede ser una decisión que se vuelva en contra del alojamiento. Ya que si los delincuentes pueden robar copias de los DNI o pasaportes, su capacidad de lanzar ciberestafas exitosas será aún mayor.
Para completar el registro de viajeros no es necesario pedir la copia del DNI en un hotel
Muchos alojamientos amparan su decisión de fotocopiar o escanear un DNI o un pasaporte en que esta acción es imprescindible para completar el nuevo registro de viajeros, que lleva en vigor desde finales de 2024.
Sin embargo, la AEPD nos recuerda que pedir la copia del DNI en un hotel no es necesario a la hora de rellenar el registro, que no es una acción autorizada por la normativa que regula el registro y que, además, el DNI o el pasaporte:
- Contienen datos que no se solicitan en el registro de viajeros como la fotografía del huésped, la fecha de caducidad de su documento de identificación o el nombre de sus padres.
- No incluye varios datos que sí se deben incluir en el registro de viajeros como su email y su número de teléfono.
Por lo que argüir el nuevo registro de viajeros como coartada para pedir la copia del DNI en un hotel no es válido.
¿Cómo deben actuar los hoteles y demás alojamientos para cumplir la normativa de protección de datos?
En muchos casos, los hoteles y otros alojamientos turísticos escanean o fotografía el DNI de los viajeros para así cumplir con la identificación de los mismos.
Sin embargo, los alojamientos pueden identificar a los huéspedes a través de otras vías que no ponen en riesgo la protección de sus datos personales:
- Si la identificación es presencial, basta con que el huésped le enseñe el DNI o el pasaporte a la persona que está gestionando su check-in.
- Si la identificación es online porque no va a existir interacción entre un trabajador del alojamiento o su dueño y el huésped, la AEPD recomienda tres métodos:
- Emplear certificados digitales.
- Comprobar la identidad del huésped con los datos del método de pago seleccionado por este.
- Autenticar al huésped mediante códigos enviados a su teléfono o a su correo electrónico.
Más allá de estas prácticas para realizar una identificación segura de los huéspedes, la AEPD recomienda a los hoteles formar a sus trabajadores de manera continua sobre:
- Protección de datos.
- Ciberseguridad y, particularmente, ingeniería social.
Pedir la copia del DNI en un hotel puede salirle muy caro al alojamiento
Más allá de las consecuencias reputacionales de que un hotel sufra un ciberataque y sean robados cientos de DNI y pasaportes de sus clientes, los alojamientos deben tener en cuenta las consecuencias legales y económicas de vulnerar la normativa de protección de datos.
Así, la AEPD nos recuerda que pedir la copia del DNI en un hotel infringe el principio de minimización de datos (artículo 5.c del RGPD).
¿A cuánto pueden ascender las sanciones por no cumplir el principio de minimización de datos y hacer un tratamiento de datos excesivo? El RGPD establece que las multas administrativas pueden llegar a ser 20 millones de euros o el 4% del volumen de negocio anual del alojamiento.
Además, en caso de que se produjese una filtración de las copias de los DNI o los pasaportes, el hotel también podría ser sancionado por no haber implementado las suficientes medidas de seguridad para evitarlo.
No pedir la copia del DNI en un hotel es una decisión que puede evitar a los alojamientos muchos quebraderos de cabeza y tener que hacer frente a cuantiosas sanciones de la AEPD.
Cómo actuar si un hotel exige escanear, fotocopiar o fotografiar un DNI
Si eres un viajero y el alojamiento que has reservado te pide que le envíes una copia de tu DNI o te solicita escanearlo cuando haces el check-in, te recomendamos que te niegues a hacerlo y lo remitas a la normativa de protección de datos.
Si el alojamiento insiste, tienes miedo de quedarte sin tu reserva y, finalmente, acabas cediendo, debes saber que puedes presentar una reclamación ante la AEPD. Te recomendamos que:
- Guardes todas las pruebas que te permitan demostrar que el alojamiento fotocopió, escaneó o fotografió tu DNI o que te exigió una copia del mismo: emails, capturas de pantalla, fotografías, documento firmado por el hotel reconociendo que se te exigió una copia del documento, etc.
- Busques el asesoramiento de un abogado especializado en protección de datos para que se encargue de elaborar una reclamación sólida en la que se detalle todo lo acontecido, se haga referencia a dictámenes previos de la AEPD, se establezcan los preceptos del RGPD vulnerados y se aporten las pruebas necesarias.
En Lex Hoy trabajamos con abogados especializados en protección de datos que llevan una década asesorando a empresas y a ciudadanos sobre sus derechos y obligaciones en lo que respecta a la seguridad y privacidad de los datos.
