¿Está permitido escanear el DNI o pasaporte de los clientes de mi hotel?
¿Está permitido escanear el DNI o pasaporte de los clientes de mi hotel?
No. Los establecimientos turísticos deben recoger determinados datos para cumplir la normativa española en materia de registro de viajeros como el número del pasaporte o DNI (LO 4/2015 de 30 de marzo de protección de la seguridad ciudadana (LOPSC). Sin embargo, no está permitida una fotocopia o escaneo completo de dichos documentos.
El art. 24 LOPSC permite el registro de los siguientes datos:
- Número de documento de identidad.
- Tipo de documento y fecha de expedición
- Nombre y apellidos
- Sexo
- Fecha de Nacimiento
- Nacionalidad
- Fecha de entrada
- Firma del viajero.
Como indica la Agencia Española de Protección de Datos (AEPD) solo estos datos personales deben incorporarse a los ficheros que el establecimiento turístico comunicará las autoridades españolas competentes para cumplir la obligación legal de la LOPSC.
Si desea recoger las fotografías u otros datos para otras finalidades, debe “adaptar la información en materia de protección de datos que ofrece a los clientes, especialmente la relativa a la recogida y utilización de la fotografía y la base jurídica que fundamenta el tratamiento, estableciendo mecanismos que permitan acreditar que se le facilita dicha información a los clientes, y adecuar sus operaciones de tratamiento”.
La AEPD advierte que el DNI o el pasaporte es un dato especialmente sensible en la Consulta 0048/2023 que puede ser suplantado fácilmente. Cuando un viajero hace el check-in debe identificarse pero el registro de fotografías o de la firma que se incluye en los documentos de identidad o pasaporte es una medida desproporcionada e innecesaria.
Sobre el uso del DNI, la AEPD advierte en su Informe 0007/2023 que el criterio es que únicamente se ha de someter a tratamiento cuando la norma así lo establezca, resultando excesivo el mismo cuando se pretende únicamente identificar a las personas, ya que el número del DNI es una información especialmente sensible pues su uso indebido o sin las garantías suficientes puede tener múltiples efectos desfavorables para el titular de los datos (Informe 0007/2023).
La utilización de una copia de un documento de identidad como parte del proceso de autenticación crea un riesgo para la seguridad de los datos personales y puede dar lugar a un tratamiento no autorizado o ilícito, por lo que debe considerarse inadecuada, salvo que sea estrictamente necesario, adecuado y conforme con el Derecho nacional (70, Directrices 01/2022, sobre el ejercicio del derecho de acceso de los interesados).
Si el responsable del tratamiento tiene motivos razonables para dudar de la identidad de la persona solicitante, podrá solicitar información adicional o confirmar la identidad del interesado (70, Directrices 01/2022).
Además, como informa el Expediente Nº: PS/00078/2021 en un procedimiento sancionador contra un hotel de Mallorca que hacía un uso de las fotografías con una finalidad diferente. la AEPD requiere “corregir los efectos” de forma que debe procederse a la supresión de todas las fotografías recogidas de los clientes hasta el momento.
Legislación aplicable:
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
- Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana.
Artículos Relacionados
