Lo primero que hacemos cuando llegamos a la recepción de un hotel es registrarnos, eso que llaman «check-in».
La Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana establece en el artículo 25, apartado 1, que las personas físicas o jurídicas que ejerzan actividades relevantes para la seguridad ciudadana, como las de hospedaje, están sujetas a las obligaciones de «registro documental e información en los términos que establezcan las disposiciones aplicables». Esta obligación se detalla en el artículo 4, apartado 1, del Real Decreto 933/2021, de 26 de octubre, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor. Con relación a dichas obligaciones elaboré un artículo que dejo enlazado aquí.
En la recepción del establecimiento, para identificarnos, nos pedirán que exhibamos un documento acreditativo de identidad, por ejemplo, el Documento Nacional de Identidad o el pasaporte. Hasta aquí, todo es normal. El problema surge cuando el establecimiento escanea o fotocopia el documento acreditativo de identidad del cliente. Veamos un caso sometido al criterio y juicio de la Agencia Española de Protección de Datos, cuya resolución dejo enlazada aquí.
A continuación, les dejo enlazada la Nota de la Agencia Española de Protección de Datos con relación a la solicitud de copias de documentos de identidad en hospedajes para dar cumplimiento al Real Decreto 933/2021.
Caso real
Un establecimiento hotelero, durante el «check-in», escaneó el documento acreditativo de identidad del cliente de nacionalidad holandesa, concretamente, su pasaporte. Al registrarse, el cliente recibió una tarjeta magnética que permitía acceder a la habitación y pagar consumos con cargo a su cuenta, liquidados al final de la estancia. Al realizar un consumo, el cliente entregaba la tarjeta al empleado, quien, al procesarla, visualizaba la fotografía del cliente en el sistema.
El cliente formuló una reclamación ante la autoridad de protección de datos de Países Bajos (Autoriteit Persoonsgegevens -AP), que la remitió a la AEPD. Inicialmente, la AEPD no apreció indicios de infracción y propuso archivar la reclamación en su Proyecto de Decisión, sometido a la autoridad neerlandesa. Esta se opuso, lo que llevó a la AEPD a revisar su posición y elaborar un Proyecto de Decisión Revisado, proponiendo un procedimiento sancionador. La autoridad neerlandesa no se opuso, iniciándose así el proceso.
Los argumentos del establecimiento hotelero fueron que de la imagen de los clientes no extraían plantillas biométricas ni se utilizaban para reconocimiento facial ni otros medios específicos. Por lo tanto, no estaban tratando datos personales correspondientes a categorías especiales de datos. También alegaron como base jurídica para justificar las operaciones de tratamiento un interés legítimo, advirtiendo que era necesario autenticar la identidad de la persona que realizaba los consumos con el fin de evitar cobros indebidos.
Veamos las razones que motivaron la sanción al establecimiento hotelero:
1ª.- La información proporcionada a los clientes no incluía detalles sobre la recogida y uso de la fotografía de su documento de identidad.
2ª.- El hotel disponía de un documento informativo que mencionaba el registro de la fotografía en su sistema, pero no se demostró su entrega al cliente ni se justificó cuándo se implementó.
3ª.- El tratamiento de la fotografía no figuraba en el Registro de Actividades de Tratamiento.
4ª.- Aunque alegaron interés legítimo, no lo justificaron suficientemente para realizar la prueba de ponderación entre sus intereses y los derechos de los interesados. Tampoco consta que hubieran realizado esta ponderación ni informado al reclamante sobre esta base legitimadora.
En su resolución, la AEPD recordó la sentencia del TJUE de 29 de julio de 2019 (asunto C–40/17) sobre el interés legítimo, que requiere la existencia de intereses reales, no especulativos. No basta con la existencia de ese interés legítimo, es preciso también que el tratamiento de datos personales sea necesario para satisfacer dicho interés y considerar la repercusión para el interesado, el nivel de intrusismo en su privacidad y los efectos que pueden repercutirle negativamente.
En resumen, además de que el interesado no fue informado sobre los fines o la base jurídica de la recogida de su imagen, la AEPD consideró que este tratamiento era excesivo, ya que existen métodos menos intrusivos para verificar la identidad (como exigir firma en un recibo o solicitar el número de identidad y habitación).
5ª.- No se aceptaron como bases legitimadoras la ejecución de un contrato ni el cumplimiento de una obligación legal, por lo que se requería otra base. La AEPD sugirió el consentimiento como opción preferente.
6ª.- No se establecieron garantías adicionales, como facilitar el derecho de oposición o mecanismos de exclusión voluntaria, que pudieran respaldar el interés legítimo.
Conclusiones
En principio, las razones del establecimiento hotelero para capturar la imagen de sus clientes no parecen descabelladas; de hecho, la AEPD no veía infracción en un primer momento.
No obstante, no hicieron las cosas bien: faltó la justificación del interés legítimo, lo que implicó desinformación al reclamante; la cláusula informativa no mencionaba la recogida de fotografías; el tratamiento no estaba registrado en el RAT. Además, no aportaron la información requerida en el procedimiento de instrucción: copia de la política de privacidad en todas sus versiones vigentes a partir de la entrada en vigor del RGPD, así como cualquier aviso de privacidad y canal habilitado por el responsable para dar a conocer esta información a los interesados. La suma de incumplimientos supuso una sanción de 30.000 €, además de la supresión de todas las fotografías de los clientes hasta ese momento. Cabe aclarar que la sanción impuesta por la AEPD de 30.000 € fue reducida a la mitad por la Audiencia Nacional en sentencia de 18 de marzo de 2024 (rec. 710/2002).
La Confederación Española de Hoteles y Alojamientos Turísticos (CEHAT) se mostró contraria a la resolución de la AEPD. La reacción de dicha autoridad no se hizo esperar, emitiendo el comunicado que dejo enlazado aquí.
Actualización
La AEPD ha endurecido su criterio con una nota emitida el 17 de junio de 2025, en la que prohíbe expresamente solicitar copias completas de documentos de identidad (fotocopias, escaneos o fotografías) en hospedajes para cumplir con el RD 933/2021, argumentando que vulnera el principio de minimización de datos del RGPD. Solo se permite la visualización y transcripción manual de los datos necesarios, sin almacenamiento de imágenes. Esta posición ha generado multas crecientes, hasta 70.000 € en algunos casos, y obliga a los establecimientos a adaptar sus procesos para evitar sanciones.
