La Agencia Española de Protección de Datos (AEPD) ha publicado, este 17 de junio, una nota informativa en la que aborda diversos aspectos relacionados con la identificación de las personas que van a reservar o contratar un hospedaje. La advertencia coincide con el inicio de la temporada alta de turismo, momento en el que se incrementa el número de viajeros y, por ende, las solicitudes de datos personales por parte de los alojamientos
El documento ha sido remitido al Ministerio del Interior y a la confederación que agrupa a las empresas que prestan servicios de hospedaje, para evitar riesgos para la privacidad de las personas.
El Real Decreto 933/2021 establece la obligación del titular de la actividad de hospedaje de recoger determinados datos de las personas que hagan uso de sus servicios. Pero la Agencia se reitera y no autoriza a solicitar una copia del documento de identidad del cliente, ya que esto vulneraría el principio de minimización de datos y supondría un tratamiento excesivo.
Documentos como el DNI incluyen información adicional a la requerida por la norma (como la fotografía, la fecha de caducidad, el CAN o nombres de los padres), cuyo tratamiento incrementa el riesgo de suplantación de identidad. Por otro lado, el DNI no incluye la totalidad de la información solicitada en el Real Decreto 933/2021 por lo que, por sí solo, no es un recurso válido para poder cumplir con la norma. Además, el envío de una copia del documento no permite verificar con certeza la identidad de la persona que lo remite.
Para cumplir con la obligación legal, la Agencia considera que el huésped debe proporcionar los datos que se detallan en los apartados correspondientes del Real Decreto, y que estos pueden recogerse mediante un formulario presencial u online.
Para la autenticación de los datos facilitados, en el caso presencial, bastaría con una verificación visual del documento. Si esta se realiza online, se recomienda el uso de mecanismos como certificados digitales, comprobación con los datos asociados al método de pago o autenticación a través de códigos enviados al teléfono o correo electrónico del cliente.
En todo caso, cualquier otro procedimiento que se utilice deberá ser evaluado por el responsable del tratamiento de datos, garantizando siempre su compatibilidad con la normativa de protección de datos.
Seguiremos Informando…
