Demanar fotocòpia del DNI en hotels i allotjaments turístics: un error legal que pot sortir molt car

Una recent sanció de 75.000 euros imposada per l’Agència Espanyola de Protecció de Dades (AEPD) a una pime de Barcelona ha encès les alarmes en el sector turístic. El motiu: exigir fotos del DNI i “selfies” als viatgers que reservaven els seus apartaments a través d’Airbnb, amb l’argument de complir amb la normativa del Registre de Viatgers.
En aquest sentit, l’AEPD ha estat molt clara: ni la llei exigeix aquestes imatges ni el RGPD les permet. Per això, totes les empreses que gestionen establiments turístics han de prendre’n nota per tal de no incórrer en sancions i garantir la seguretat de les dades dels seus hostes.

Quins fets comporta aquest tipus de sanció i per què es considera greu?

En el cas que comentàvem, l’empresa sancionada exigia als seus clients fotografies del DNI per les dues cares i una imatge facial (selfie) com a condició per accedir a l’allotjament. Al·legava que es tractava d’un requisit legal vinculat al Registre de Viatgers, però l’AEPD va desmuntar aquest argument: ni la legislació obliga a recollir imatges del DNI ni està permès recaptar més dades personals de les estrictament necessàries.

A més, l’empresa no proporcionava informació clara sobre el tractament d’aquestes dades: ni qui n’era el responsable, ni amb quina finalitat s’utilitzaven, ni durant quant de temps es conservarien, ni quins drets assistien als usuaris. El resultat: dues infraccions greus del Reglament General de Protecció de Dades (RGPD), amb multes de 25.000€ i 50.000€ respectivament.

Quina normativa regula el registre de dades d’hostes en l’àmbit turístic?

La normativa del nou registre de viatgers, aprobada a través del Reial decret 933/2021 i en vigor des del 2 de desembre de 2024, amplia les obligacions ja previstes a l’antiga Ordre INT/1922/2003, que regulava el registre de viatgers en allotjaments tradicionals. Amb aquesta nova norma, l’obligació de registrar i comunicar les dades dels usuaris s’estén no només als qui presten directament serveis d’allotjament o lloguer de vehicles, sinó també a plataformes digitals i operadors turístics que actuen com a intermediaris, com Airbnb, Booking o Expedia.

Aquest canvi respon a l’evolució del sector turístic i del comerç electrònic. Ara, moltes empreses connecten viatgers amb allotjaments sense oferir directament el servei. Per això, el nou marc legal aclareix que qualsevol entitat que intermedii en una reserva i reculli dades personals podria estar subjecta a aquestes obligacions

Preguntes freqüents: què es pot (i què no es pot) demanar a l’hoste?

És obligatori demanar el DNI als hostes en el check-in d’un allotjament turístic?

Sí, la llei obliga els establiments d’allotjament (hotels, resorts, hostals, càmpings, etc.) a identificar tots els seus hostes.

Quina normativa regula el registre de dades d’hostes en el sector turístic?

Des de finals de 2023, el Reial decret 933/2021 estableix l’obligació de registrar els viatgers que s’allotgen en establiments turístics, com hotels, apartaments o cases rurals. Aquest registre s’ha de trametre a les Forces i Cossos de Seguretat de l’Estat a través d’una plataforma digital.

Quines dades s’han de recollir

Només les següents dades identificatives:

• Nom i cognoms
• Tipus i número de document d’identitat
• Data de naixement
• Nacionalitat
• Data d’entrada (i sortida, si escau)
• Codi o número de l’allotjament
• Mitjà de transport utilitzat (en alguns casos)

En cap cas és obligatori, ni recomanable, sol·licitar fotografies del DNI, selfies o altres dades biomètriques.

I si l’empresa ho demana igualment?

Estaria vulnerant el principi de minimització de dades del RGPD (art. 5.1.c), que obliga a recollir només les dades necessàries per a la finalitat prevista. A més, estaria cometent una infracció si no informa adequadament als usuaris sobre el tractament d’aquestes dades.

Puc utilitzar eines de check-in automàtic?

Sí, sempre que respectin els principis del RGPD: proporcionalitat, seguretat i transparència. Les eines de check-in digital no poden exigir més informació de la necessària, ni fer servir les dades per a finalitats secundàries (com enviar publicitat) sense consentiment explícit.

Compartir el DNI a Internet: com fer-ho de manera segura

Si mai et veus obligat a enviar una còpia digital del teu DNI, fes-ho amb precaució. La Policia Nacional desaconsella compartir imatges completes i fidels del document, ja que poden ser utilitzades per a fraus o suplantacions d’identitat. Una pràctica segura és pixelar les dades sensibles (com l’adreça, la signatura o el codi de suport) i deixar només les estrictament necessàries. També pots afegir un text sobre la imatge indicant el motiu de l’enviament i la data, per dificultar-ne l’ús indegut posterior.

Recorda que més del 53% de la població ha patit algun tipus de frau en línia durant l’últim any, segons el CIS. Per això, sempre que comparteixis el teu DNI, fes-ho a través de canals segurs i només quan sigui imprescindible. Mai l’enviïs sense garanties ni una justificació legal clara.

Complir amb la llei també és cuidar el client

El compliment normatiu no és només una obligació legal, sinó també una eina clau per protegir la confiança i la reputació del teu negoci. Demanar dades innecessàries, o no informar adequadament sobre el seu tractament, pot comportar multes elevades i danys reputacionals difícils de reparar.

A CINC Assessoria, comptem amb un equip especialitzat en Protecció de Dades i compliment normatiu que et pot ajudar a adaptar la teva activitat turística al RGPD i a la normativa del Registre de Viatgers. Si tens dubtes sobre com aplicar correctament el Reial decret 933/2021 o sobre quines dades pots sol·licitar de manera legal, contacta amb nosaltres i t’assessorarem sense compromís.