Multa a un hotel por escanear el DNI: un precedente clave en materia de protección de datos

Recientemente, la Agencia Española de Protección de Datos (AEPD) sancionó al Hotel & Spa Beverly Park de Girona tras la denuncia presentada por un cliente. Este caso ha cobrado relevancia porque vuelve a situar el debate sobre los límites legales en la recogida y tratamiento de datos personales en el sector hotelero, especialmente en relación con la digitalización de documentos de identidad como el DNI.

¿Qué sucedió en este caso?

En el proceso de check-in, el establecimiento solicitó al huésped escanear su DNI. El cliente se negó, alegando que la práctica era desproporcionada y vulneraba su privacidad, aceptando únicamente que se anotaran de forma manual los datos estrictamente exigidos por ley. El personal acabó registrando los datos sin escanear el documento, pero el incidente motivó una reclamación formal ante la AEPD.

El marco jurídico aplicable

El Reglamento General de Protección de Datos (RGPD) y la LOPDGDD en España establecen que únicamente pueden tratarse los datos personales imprescindibles para la finalidad declarada. En el caso del sector hotelero, una Orden Ministerial obliga a recopilar determinados datos (nombre, apellidos, documento de identidad, fecha de nacimiento, etc.) para remitirlos a las autoridades competentes. Sin embargo, la norma no autoriza la copia, escaneo o almacenamiento íntegro del DNI.

La AEPD ha reiterado en diversas resoluciones que reproducir íntegramente un documento identificativo supone un tratamiento excesivo, ya que se incluyen datos innecesarios como la firma o la fotografía, lo que incrementa el riesgo de suplantación de identidad en caso de filtraciones o malas prácticas.

Razones de la sanción

La investigación de la AEPD concluyó que la conducta del hotel era contraria a la normativa, con base en los siguientes aspectos:

  • La comprobación visual del documento es suficiente para verificar los datos requeridos.
  • El escaneo o la copia representan un tratamiento desproporcionado y contrario al principio de minimización de datos.
  • El riesgo de uso indebido o filtración de un documento digitalizado es muy superior al de la verificación manual.
  • El establecimiento no obtuvo consentimiento libre y explícito para un tratamiento tan invasivo.

Por ello, se impuso una multa inicial de 9.000 euros, posteriormente reducida a 5.400 euros por pronto pago. El expediente enfatiza que la comodidad operativa no puede ser utilizada como argumento para justificar prácticas que vulneren la normativa de protección de datos.

Implicaciones para el sector hotelero

Este caso constituye un claro aviso a hoteles y alojamientos turísticos: no está permitido escanear, fotocopiar o almacenar de manera íntegra el DNI de los clientes. La normativa únicamente habilita:

  • La anotación manual de los datos que exige la normativa.
  • La comprobación presencial del documento en el momento del check-in.

El cumplimiento de la normativa de protección de datos es esencial para evitar sanciones económicas y preservar la confianza de los clientes en un sector tan sensible como el turístico.

Conclusiones

Este precedente refuerza la importancia del principio de minimización en la recogida de datos personales y otorga a los clientes la seguridad de poder negarse a tratamientos excesivos. Asimismo, demuestra que la AEPD actúa con firmeza frente a prácticas abusivas o desproporcionadas.

📅 Contacta con Iuris Justitia Creditor para revisar la legalidad de los procesos de tu empresa

Leave A Comment

18 + 3 =