Protección de datos vuelve a multar este verano a los autónomos por escanear el DNI de sus clientes
Los autónomos con negocios turísticos, especialmente en el sector del hospedaje, siguen recibiendo multas por escanear el DNI de sus clientes, a pesar de que la ley actual les obliga a recopilar y remitir a las autoridades estos datos personales. Una reciente resolución de la Agencia Española de Protección de Datos (AEPD) ha sancionado con 9.000 euros a un hotel por esta práctica, muy extendida en alojamientos turísticos, pese a ser ilegal. La AEPD ha vuelto a recordar que copiar digitalmente documentos de identidad puede acarrear sanciones que, en algunos casos, superan los 100.000 euros.
Desde la entrada en vigor del Real Decreto 933/2021, los alojamientos están obligados a recopilar, almacenar y enviar a las autoridades determinados datos de los viajeros. Sin embargo, la Ley Orgánica 7/2021 prohíbe registrar más información de la debida. Muchos pequeños negocios se enfrentan así a un dilema: pueden ser sancionados si omiten datos exigidos por Interior, pero también si, para agilizar el trámite, escanean los DNI y vulneran la normativa de protección de datos.
Todo esto ocurre en un contexto de máxima actividad para el turismo. Según el Instituto Nacional de Estadística (INE), España recibió 9,5 millones de turistas internacionales en junio, un 1,9% más que en el mismo mes de 2024. En el primer semestre, las llegadas crecieron un 4,7% y, según el Ministerio de Industria y Turismo, los visitantes internacionales gastaron 23.500 millones de euros sólo en el primer trimestre, un 7,2% más que el año anterior.
La AEPD ha multado recientemente a un hotel con 9.000 euros por escanear el DNI de sus clientes
La AEPD ha impuesto este verano una sanción de 9.000 euros a Sunersis, una empresa dedicada al hospedaje, por escanear el DNI de sus clientes como parte de su protocolo habitual de registro. Según explicó Francisco Navas, abogado especializado en protección de datos y socio de Navas & Cusí abogados, esta es la primera resolución específica que sanciona esta práctica desde la entrada en vigor del Real Decreto 933/2021, y marca un precedente relevante para los pequeños negocios del sector turístico.
Según detalla la resolución, el establecimiento solicitó el DNI a una clienta con la intención de escanearlo. Ante su negativa, el personal copió igualmente los datos utilizando el ordenador del hotel. La AEPD considera que esta práctica vulnera el principio de minimización de datos establecido en el artículo 5.1.c) del Reglamento General de Protección de Datos (RGPD). Ya que el escaneo del documento implica acceder a información que no está legalmente exigida por la normativa; como la imagen del rostro, el CAN [número de acceso al chip del documento], la firma o los nombres de los progenitores.
A pesar de que el Real Decreto 933/2021 obliga a los alojamientos a remitir determinados datos de los huéspedes a las Fuerzas y Cuerpos de Seguridad del Estado, la AEPD aclara que no es necesario escanear ni fotocopiar el documento para cumplir con esta obligación. Basta con comprobar visualmente el documento en el momento del registro inicial o utilizar medios electrónicos seguros cuando el proceso sea online.
Suneris reconoció su responsabilidad y pagó voluntariamente la sanción con las reducciones previstas, quedando la multa en 5.400 euros. No obstante, la AEPD le impuso también medidas correctivas, como eliminar los DNI escaneados almacenados y modificar su sistema de registro para que deje de requerir una copia del documento como requisito para alojarse.
Para Francisco Navas, esta resolución “aclara un punto que venía generando mucha confusión entre los negocios turísticos”. Según explicó a este medio, los negocios deben recoger sólo los datos exigidos por la ley, tales como nombre, número de documento, nacionalidad o residencia, y adoptar procedimientos seguros para verificar la identidad sin necesidad de conservar una copia del documento.
La sanción a Suneris se suma a otras ya impuestas en 2024 y 2025 a autónomos y pequeños negocios del sector turístico, como apartamentos vacacionales o casas rurales, por prácticas similares. Como ya avanzó este diario, las multas pueden ser de hasta el 4% de la facturación para los negocios que fotocopien el DNI de sus clientes.
En algunos casos, las sanciones han alcanzado los 30.000 euros, y en otros apenas los 1.000, dependiendo de la gravedad de la infracción. En todos ellos, la AEPD ha sido clara: escanear o fotocopiar el DNI completo de los clientes no es legal.
Los autónomos del turismo están obligados a remitir más datos que antes sobre sus huéspedes
Desde hace unos meses, los autónomos y pequeños negocios dedicados al alojamiento turístico están obligados a remitir aún más información personal sobre sus huéspedes a las Fuerzas y Cuerpos de Seguridad del Estado. La entrada en vigor de las últimas disposiciones del Real Decreto 933/2021 ha ampliado los datos que deben recogerse, almacenarse y enviarse en cada parte de entrada.
A las obligaciones ya existentes, tales como nombre, apellidos, número y tipo de documento, nacionalidad o fecha de nacimiento, se han sumado otros datos como el correo electrónico, el número de teléfono, el método de pago utilizado o la relación de parentesco entre viajeros cuando alguno sea menor de edad.
Asimismo, los trabajadores por cuenta propia deben aportar también información detallada sobre el propio establecimiento, como su denominación comercial, dirección completa, tipo de alojamiento y URL del anuncio online en el caso de alquileres vacacionales.
Los autónomos no sólo han de cumplir con estas exigencias, sino que, además, estos datos deben ser enviados en un plazo máximo de 24 horas desde la entrada del huésped, lo que ha generado quejas por parte de asociaciones del sector, que consideran que el sistema electrónico habilitado por las autoridades es, en muchos casos, “inviable” para los pequeños negocios con menos medios técnicos.
A pesar de este endurecimiento normativo, la AEPD insiste en que las nuevas exigencias no justifican prácticas como escanear o fotocopiar el DNI completo del cliente, ya que muchos de los datos que deben comunicarse no están siquiera reflejados en ese documento. Los negocios deben, por tanto, buscar procedimientos adecuados y respetuosos con la normativa de protección de datos para cumplir con sus obligaciones sin incurrir en infracciones.
Fuente Original: Autónomos y Emprendedores