El sector turístico es uno de los motores de la economía española. Con millones de visitantes cada año, los hoteles gestionan diariamente enormes cantidades de datos personales: desde nombres y apellidos hasta pasaportes, direcciones de correo electrónico y números de tarjeta de crédito. Sin embargo, la reciente sanción a un hotel en Girona por exigir a un cliente el escaneo de su DNI en el check-in ha encendido todas las alarmas: ¿están los hoteles preparados para cumplir de verdad con el RGPD y la LOPDGDD?
El caso que marcó la diferencia
El caso es sencillo pero ilustrativo: un cliente llega a un hotel y en el proceso de check-in se le solicita escanear íntegramente su DNI. El huésped se niega, alegando que no es necesario conservar copia digitalizada de su documento para alojarse. Posteriormente, presenta una reclamación ante la AEPD.
El resultado: una sanción de 5.400 € al establecimiento por incumplir el principio de minimización de datos recogido en el RGPD. https://www.aepd.es/documento/ps-00421-2024.pdf
¿Por qué? Porque la normativa obliga a recoger solo los datos estrictamente necesarios para la finalidad declarada. En este caso, lo necesario era registrar los datos en el parte de viajeros para remitirlos a la policía, no almacenar una copia completa del documento.
Principios vulnerados
El hotel vulneró varios principios clave del RGPD:
- Minimización: recogió más información de la estrictamente necesaria.
- Limitación de finalidad: el escaneo del DNI no estaba justificado por la obligación legal (solo basta con transcribir datos).
- Transparencia: el cliente no fue informado adecuadamente de por qué y para qué se pedía la copia.
Este caso deja claro que incluso acciones rutinarias pueden ser sancionables si no se ajustan al marco legal.
La falsa seguridad de “por si acaso”
Muchos hoteles mantienen la práctica de fotocopiar o escanear el DNI con la idea de “tener más seguridad” o “facilitar gestiones futuras”. El problema es que el RGPD no permite recoger datos por si acaso.
La norma es clara: si no existe una base legal (consentimiento válido, obligación legal, interés vital, etc.), la recogida es ilícita.
Otras prácticas de riesgo en el sector hotelero
El caso del DNI es solo la punta del iceberg. Otros hábitos frecuentes también generan riesgos legales:
- WiFi gratuito sin política clara de privacidad.
- Programas de fidelización que recogen datos excesivos (fecha de nacimiento, intereses, profesión).
- Encuestas de satisfacción que piden más información de la necesaria.
- Videovigilancia sin carteles informativos adecuados.
- Cesión de datos a terceros (plataformas de reservas, empresas de marketing) sin contrato de encargado de tratamiento.
Impacto reputacional y económico
La multa de 5.400 € puede parecer asumible para un hotel, pero el verdadero coste está en la reputación. Un cliente descontento que denuncia públicamente una mala práctica puede generar un daño de imagen difícil de reparar, sobre todo en un sector donde la confianza es esencial.
Buenas prácticas recomendadas
Para evitar sanciones, los hoteles deberían aplicar medidas simples pero efectivas:
- Formar al personal de recepción sobre protección de datos.
- No escanear ni fotocopiar documentos salvo obligación expresa.
- Redactar políticas de privacidad claras y accesibles.
- Revisar contratos con terceros proveedores (software de reservas, WiFi).
- Aplicar el principio de minimización en todas las interacciones.
- Realizar auditorías periódicas de cumplimiento.
Reflexión final
El check-in debería ser la primera experiencia positiva de un huésped en un hotel, no el inicio de un conflicto legal. La sanción al hotel de Girona es un recordatorio claro: cumplir el RGPD y la LOPDGDD no es opcional, es parte de la calidad del servicio.
En un sector donde la competencia es feroz, la privacidad bien gestionada puede ser la diferencia entre fidelizar clientes o perderlos.
