La escena es habitual en recepción: “¿Nos envía una foto del DNI por WhatsApp para adelantar el check-in?”. Desde este verano, la respuesta tiene que ser no. La Agencia Española de Protección de Datos (AEPD) ha aclarado que los alojamientos no pueden solicitar ni conservar copias del DNI o del pasaporte para cumplir con el registro de viajeros. La advertencia, hecha pública el 17 de junio de 2025, aterriza en plena temporada alta y afecta por igual a hoteles, hostales, apartamentos turísticos, campings y plataformas de gestión, así como a empresas de alquiler de vehículos a motor sin conductor, también incluidas en el mismo marco legal.
La aclaración no anula la obligación de identificar a los huéspedes. El Real Decreto 933/2021, en vigor desde diciembre de 2024, exige recoger y comunicar un conjunto concreto de datos a las autoridades, con fines de seguridad ciudadana. Lo que frena la AEPD es la mala práctica —muy extendida— de fotocopiar o almacenar imágenes completas de documentos, algo que vulnera el principio de minimización del RGPD y eleva el riesgo de suplantación de identidad. En otras palabras: hay que pedir solo los datos obligatorios, no el documento entero.
Qué cambia para el viajero
Para el cliente, el cambio se traduce en mayor control sobre sus datos. Durante años, se han normalizado peticiones de “mándeme una foto del DNI por correo o por WhatsApp”. Esa vía ya no es aceptable. El establecimiento sí puede verificar visualmente el documento si el check-in es presencial, pero no puede quedarse una copia. En un proceso online, puede autenticar la identidad con fórmulas menos intrusivas: un código de verificación enviado al móvil o al correo, el contraste con el método de pago o el uso de certificados/identidades digitales. El objetivo es el mismo —saber quién se aloja—, pero reduciendo la exposición de datos sensibles que no son imprescindibles para cumplir la ley.
Qué deben hacer los alojamientos (y qué no)
La pauta es nítida. Sí deben recabar los campos exactos que marca el decreto —los del Anexo I que correspondan a su actividad—, conservarlos durante 3 años en un registro informático y comunicarlos por vía telemática a Interior en dos hitos: cuando se formaliza o anula la reserva/contrato, y al inicio del servicio, como tarde dentro de las 24 horas. No deben pedir, almacenar ni archivar copias del documento (fotocopia, escaneo o foto con el móvil). Tampoco deben guardar datos que la norma no exige (por ejemplo, fotografía, código CAN, fecha de caducidad o nombres de los progenitores que figuran en algunos documentos).
Para profesionales del sector que trabajan con software de check-in, la adaptación pasa por desactivar cualquier función de “subida de documento” si genera copias innecesarias; limitar el formulario a los campos requeridos; y documentar un flujo de autenticación proporcionado, ya sea presencial (verificación visual) u online (OTP, verificación del método de pago o soluciones de identidad digital).
Por qué copiar el documento es un riesgo
Un documento completo concentra información sensible que no es necesaria para el registro de viajeros. Guardarlo “por si acaso” no añade seguridad: incrementa la superficie de ataque en caso de brecha y facilita el fraude de identidad. La lógica del RGPD es clara: solo lo necesario, durante el tiempo necesario, con una finalidad concreta y legítima. El registro de viajeros se cubre con datos acotados, no con fotos o PDFs del DNI. De hecho, una imagen enviada por mensajería ni siquiera prueba quién está al otro lado, motivo por el que la AEPD recomienda mecanismos alternativos de autenticación.
La ley, en tres ideas sencillas
Uno. El RD 933/2021 obliga a quienes realizan actividades de hospedaje (profesionalmente o no) y a quienes alquilan vehículos a motor sin conductor a llevar un registro informático con datos concretos del viajero y del servicio.
Dos. Hay que conservar esos datos durante 3 años y comunicarlos telemáticamente a Interior de forma inmediata (y en todo caso dentro de las 24 horas) al reservar/contratar o anular, y al inicio del servicio.
Tres. Los anfitriones no profesionales (por ejemplo, quien alquila su vivienda puntualmente) no están obligados al registro informático ni a esa conservación de 3 años, pero sí a realizar las comunicaciones en los dos hitos y plazos señalados.
¿Y si el cliente insiste en enviar la foto del DNI?
Puede ocurrir que un viajero, por comodidad, mande él mismo una foto del documento. El alojamiento puede usarla solo para verificar visualmente la coherencia de los datos ya aportados, pero no debe conservarla en ningún sistema. Lo recomendable es suprimirla tras la verificación y dejar constancia de que se han recogido solo los datos exigidos y se ha verificado la identidad por la vía permitida (visual/OTP/contraste). En paralelo, conviene anticipar la información en la reserva: “no solicitamos copias de DNI/pasaporte; recibirá un código de verificación”.
Un mensaje también para plataformas y pymes
El decreto no solo mira a grandes cadenas. Pequeños alojamientos y gestores de apartamentos deben actualizar sus procedimientos y políticas de privacidad. Y las plataformas digitales que intermedian —desde canales de reserva a soluciones de check-in o PMS— deben alinear sus productos con la prohibición de capturar/almacenar copias y con la obligación de enviar datos por vía telemática. Donde antes bastaba con un parte en papel y una carpeta física, ahora la exigencia pasa por sistemas informáticos y plazos precisos.
Sanciones y reputación: el coste de hacerlo mal
Más allá del cumplimiento formal, está el riesgo reputacional. Una brecha con fotos de DNIs es un problema mayor que un fichero con campos acotados. La práctica de exigir la fotocopia ya ha derivado en resoluciones sancionadoras. En un caso reciente, un hotel fue multado con 1.500 euros (reducidos a 1.200 por pronto pago) tras cancelar la reserva a un cliente que se negó a fotocopiar su documento. Este tipo de decisiones subraya que la verificación de identidad debe hacerse sin copiar el documento y que la negativa del cliente a ser fotocopiado no puede conllevar la pérdida del servicio. El mensaje para el sector es inequívoco: ajustar los procesos no es optativo.
Checklist útil para recepción
- Antes de la llegada. Solicitar solo los datos exigidos por la norma y remitir un formulario seguro; si el check-in es online, activar códigos de verificación o contraste con el pago.
- En el mostrador. Verificación visual del documento y, si procede, firma del parte de entrada para mayores de 14 años; sin fotocopias ni escaneos.
- Después. Comunicar los datos a Interior en los dos hitos y dentro de 24 horas; conservar el registro 3 años y programar borrado seguro; revisar textos de privacidad y el registro de actividades de tratamiento.
Qué gana el sector con este cambio
La exigencia de no copiar documentos puede parecer, a primera vista, una traba. En realidad, ordena un proceso que ya debía estar digitalizado y securizado, y reduce riesgos innecesarios. Para el negocio, supone menos exposición en caso de incidente; para el viajero, menos fricción y más control sobre su información personal. Y para la seguridad pública, datos más homogéneos y útiles en los plazos previstos, que es el fin del decreto.
Preguntas rápidas para el lector
¿Me pueden pedir el DNI en el hotel?
Sí, pueden verificarlo visualmente e anotar los datos obligatorios. Lo que no pueden es quedarse una copia (foto, escaneo o fotocopia) del documento.
¿Y si hago el check-in online?
El alojamiento no debe pedirte una foto del documento. Puede autenticarte con códigos enviados a tu móvil o e-mail, mediante identidad/certificado digital o contrastando los datos con el método de pago.
¿Quién guarda mis datos y durante cuánto tiempo?
El alojamiento mantiene un registro informático con los campos exigidos durante 3 años y comunica parte de esa información a Interior en 24 horas en los dos hitos (reserva/contrato y entrada).
Alquilo mi casa unos días al año, ¿también me afecta?
Si no eres profesional, no tienes que llevar el registro informático ni conservar datos 3 años, pero sí debes comunicar la información a Interior al reservar/contratar (o anular) y al inicio de la estancia, en plazo.
vía: Los alojamientos no pueden pedir copias del DNI ni del pasaporte para el registro de viajeros
