La temporada alta trae reservas, entradas y salidas a contrarreloj… y también viejas dudas de recepción: ¿puede el hotel, apartamento turístico o casa rural fotocopiar el DNI o pedir una foto del pasaporte por WhatsApp “para el check-in”? La Agencia Española de Protección de Datos (AEPD) ha sido tajante. En una nota informativa publicada el 17 de junio de 2025, el regulador aclara que no está permitido solicitar ni conservar copias del documento de identidad para cumplir con el Real Decreto 933/2021 sobre el registro de viajeros. La razón no es caprichosa: copiar un documento completo vulnera el principio de minimización del RGPD y añade riesgos innecesarios de suplantación que nada aportan al objetivo de seguridad pública de la norma.
La aclaración llega en un momento clave, con el Real Decreto 933/2021 ya plenamente operativo y con todo el ecosistema turístico —desde hoteles y hostales hasta viviendas de uso turístico y campings— adaptando sistemas. La norma, en vigor desde finales de 2024, obliga a recoger y comunicar un conjunto específico de datos con fines de prevención e investigación del delito, pero no autoriza a “ampliar la recogida” copiando documentos completos.
Qué dice exactamente la AEPD
La Agencia recuerda que el DNI y el pasaporte contienen datos que no exige el Real Decreto, como la fotografía, la fecha de caducidad, el código CAN o los nombres de los progenitores. Integrar esa información en el flujo del registro supone un tratamiento excesivo y abulta el riesgo de exposición de datos en caso de brecha. Por eso, la fotocopia, escaneo o foto con el móvil del documento no son vías admisibles para cumplir la obligación legal. La solución es más simple: recoger solo los datos exigidos por los apartados del Anexo I que correspondan a la actividad de hospedaje y autenticar su veracidad con medios proporcionados. Entre esos medios, la AEPD cita la verificación visual del documento en el check-in presencial, o mecanismos online como certificados digitales, contraste con los datos del método de pago y códigos de verificación enviados al teléfono o al correo del huésped. Todo lo demás, insiste, debe evaluarse caso por caso por el responsable de tratamiento para garantizar la compatibilidad con el RGPD.
La Agencia también recuerda la finalidad del Real Decreto: “proteger a personas y bienes y mantener la tranquilidad ciudadana”, dado el papel de la “logística del alojamiento” en el modus operandi de ciertos delitos. Ese objetivo —seguridad— no se cumple mejor acumulando copias de documentos, porque una imagen o PDF del DNI no prueba quién la envía ni garantiza la identidad de la persona al otro lado de la pantalla.
Qué exige el Real Decreto 933/2021 (y qué no)
El 933/2021 articula tres obligaciones claras:
- Recoger datos de la actividad y de las personas usuarias en un registro informático (art. 5), con el detalle que marcan los anexos aplicables.
- Conservar ese registro durante 3 años desde la finalización del servicio.
- Comunicar a la autoridad competente parte de la información de forma inmediata (y, en todo caso, dentro de las 24 horas) en dos hitos: al hacer la reserva o formalizar el contrato (o su anulación) y al inicio del servicio (art. 6). La comunicación se realiza por procedimientos telemáticos establecidos por Interior.
Además, el decreto exonera del registro informático y de la conservación a quienes desarrollen actividades de hospedaje de manera no profesional, aunque sí les obliga a realizar las comunicaciones del art. 6. La norma también mantiene la exigencia de firmar los partes de entrada a toda persona mayor de 14 años (art. 4) y prevé un régimen sancionador con infracciones leves por irregularidades en el registro o comunicaciones fuera de plazo, y graves por carecer de registros o omitir comunicaciones (art. 8). (Véanse arts. 4, 5, 6, 7 y 8 del RD 933/2021; fuentes al final.)
¿Qué cambia en la práctica para hoteles y viviendas turísticas?
El cambio no es menor. Durante años, muchas recepciones han funcionado con un “procedimiento de comodidad”: fotocopia rápida del DNI, a la carpeta. Era ágil y parecía inocuo. Hoy, con el 933/2021 y el RGPD encima de la mesa, ese procedimiento queda fuera de juego. La obligación no es tener copias, sino recoger campos concretos y enviarlos en plazo de forma segura a la plataforma designada por Interior, manteniéndolos 3 años en un registro informático con medidas de seguridad.
Para el check-in presencial, el flujo recomendado es: formulario con datos exigidos + verificación visual del documento sin copiarlo + firma del parte de entrada. Para el check-in online, los alojamientos pueden apoyarse en:
— Autenticación reforzada (certificados o identidades digitales válidas).
— Contraste con el método de pago (p. ej., coincidencia de titularidad y datos).
— Códigos de un solo uso enviados al móvil o al correo del cliente.
Y, en todos los casos, registro informático estructurado y comunicación telemática en tiempo y forma.
Riesgo y proporcionalidad: por qué copiar el DNI resta, no suma
Desde la óptica de protección de datos, cuantos más datos se conservan, mayor es la superficie de ataque. Una copia del DNI (frontal y reverso, con foto y metadatos) es un tesoro para el fraude: facilita “rellenar” identidades, abrir cuentas o tramitar líneas a nombre de terceros. El RGPD no prohíbe tratar datos, pero sí obliga a justificar cada dato con una finalidad y a que el tratamiento sea adecuado, pertinente y limitado a lo necesario (art. 5.1.c). Si el RD 933/2021 no exige foto, CAN o fecha de caducidad para el registro, no corresponde almacenar esos datos. Lo contrario incrementa el riesgo y carece de base legal suficiente.
Cinco tareas de cumplimiento que conviene hacer “ya”
1) Revisar formularios (papel y online) para que solo recojan los campos del Anexo I que correspondan a la modalidad de hospedaje.
2) Eliminar la práctica de fotocopiar, escanear o fotografiar documentos. Si un proveedor externo automatiza el check-in, exigirle que desactive cualquier captura innecesaria.
3) Documentar el flujo de autenticación: presencial (verificación visual) y online (OTP al móvil, e-mail con enlace único, certificados digitales, etc.).
**4) Ajustar el registro informático y la retención a 3 años exactos desde la salida, con borrado seguro y controles de acceso.
**5) Actualizar los textos de privacidad, el registro de actividades de tratamiento, y revisar si procede hacer una EIPD (evaluación de impacto) cuando el volumen o el contexto lo aconsejen.
¿Y si el cliente “insiste” en enviar la foto del DNI?
Escenario frecuente: un huésped impaciente remite por iniciativa propia una imagen del documento. La recepción puede verificar visualmente la coherencia de los datos, pero no debe incorporar esa imagen al sistema ni conservarla. Si llega por correo o mensajería, lo prudente es suprimirla de inmediato tras la verificación —siempre que sea posible— y dejar trazabilidad de que se han recabado y validado solo los datos exigidos. La mejor práctica es evitar desde el principio ese canal: la autenticación con OTP o enlace seguro al formulario reduce fricciones y cierra la puerta a “fotos sueltas” que acaben en bandejas de entrada.
Qué pasa con anfitriones no profesionales
Quien no ejerce profesionalmente (por ejemplo, alquila su casa puntualmente) no está obligado al registro informático ni a conservar datos por 3 años. Ahora bien, el decreto sí les exige comunicar información de forma inmediata —y dentro de las 24 horas— al hacer la reserva/contrato y al inicio de la estancia. Es un matiz clave: menos carga organizativa, pero no cero obligaciones. Para este perfil, formularios sencillos y plataformas telemáticas adaptadas son la vía natural para cumplir.
Sanciones, plazos y quién accede a los datos
El 933/2021 encaja en el engranaje de la seguridad ciudadana: los datos personales generados se conservan en ficheros de la Secretaría de Estado de Seguridad y solo los tratan las Fuerzas y Cuerpos de Seguridad en el marco de la prevención, detección e investigación del delito. En cuanto a sanciones, el real decreto remite a la Ley Orgánica 4/2015. A grandes rasgos:
— Leves: irregularidades en el registro o comunicaciones fuera de plazo.
— Graves: carecer de los registros documentales o omitir las comunicaciones.
Más allá de la multa, el impacto reputacional de una brecha que incluya copias de DNIs sería notablemente mayor que el de un conjunto de campos acotados.
Checklist rápido para recepción (y para el gestor de apartamentos)
- Antes de la llegada: pedir al huésped solo los datos que exige el anexo correspondiente; habilitar OTP o enlace seguro al formulario; desactivar cualquier petición de subir foto del documento.
- En llegada presencial: verificación visual del documento y firma del parte para mayores de 14 años.
- Después: comunicar a la autoridad por vía telemática en los dos hitos y bajo el límite de 24 horas; guardar el registro informático 3 años; programar el borrado automático y conservar evidencias de cumplimiento.
Conclusión: cumplir mejor es tratar menos (y verificar mejor)
La AEPD no “pone palos en la rueda”. Al contrario: acota la recogida para que el sector cumpla mejor con el 933/2021. En el mundo real, copiar documentos en masa no aumenta la seguridad; aumenta la exposición. Un formulario bien diseñado, una autenticación proporcional y una comunicación telemática puntual logran el objetivo de seguridad pública sin inflar el riesgo para la privacidad de clientes y familias.
Preguntas frecuentes
¿Puede un alojamiento pedir una foto del DNI o del pasaporte por WhatsApp para el check-in?
No. Pedir o conservar copias (foto, escaneo o fotocopia) no está permitido para cumplir el registro de viajeros. La AEPD recomienda formularios con los datos exigidos y verificación visual (presencial) o métodos online como certificados digitales, contraste con el pago u OTP al móvil o e-mail.
¿Cómo verifica la recepción la identidad en un check-in online si no puede pedir copia del documento?
Mediante autenticación proporcionada: certificados o identidades digitales; contraste de titularidad con el método de pago; o códigos de verificación enviados al teléfono o al e-mail del cliente. Cualquier otro método debe evaluarse para asegurar su compatibilidad con el RGPD.
¿Durante cuánto tiempo deben conservarse los datos del registro de viajeros?
Durante 3 años desde la finalización del servicio o estancia, en un registro informático con medidas de seguridad y controles de acceso. (Art. 5 del RD 933/2021; fuente en “Fuentes”.)
¿Qué obligaciones tienen los anfitriones no profesionales (alquileres puntuales)?
Están exentos de llevar el registro informático y de la conservación por 3 años, pero sí deben comunicar los datos de forma inmediata y, como máximo, en 24 horas al reservar/contratar (o anular) y al inicio del servicio. (Art. 6 del RD 933/2021; fuente en “Fuentes”.)
vía: aepd
