El Real Decreto 933/2021, de 26 de octubre, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor, establece, entre otros, la obligación del titular de la actividad de hospedaje de recoger determinados datos de las personas físicas que hagan uso de sus servicios, con carácter previo al inicio de aquella. Los datos están establecidos en el Anexo I “Datos a facilitar en el ejercicio de la actividad de hospedaje” en sus apartados A.3, A.4, B.3 y B.4.
A este respecto, la Agencia Española de Protección de Datos (AEPD) quiere dejar claros diversos aspectos que pueden ser de especial interés para los obligados, de cara al cumplimiento de la norma.
– No se debe solicitar una copia del documento de identidad
Solicitar una copia del Documento Nacional de Identidad o del Pasaporte vulnera el principio de minimización de datos, establecido en el artículo 5.1.c) del RGPD, y supone un tratamiento excesivo de datos. Esto se debe a que el DNI completo contiene más datos que los obligados a aportar en virtud de la normativa aplicable, como la fotografía, la fecha de caducidad del documento, el CAN o el nombre de los padres. Asimismo, el entregar una copia de la documentación personal implica, entre otros, un riesgo innecesario de suplantación de la identidad, que debe ser evitado o, por lo menos, mitigado de manera efectiva. Adicionalmente, cabe recordar que el DNI no contiene la totalidad de la información solicitada en el Anexo I del Real Decreto 933/2021 por lo que, por sí solo, no es un recurso válido para poder cumplir con la citada norma.
A este respecto cabe señalar que la finalidad del Real Decreto 933/2021 es la protección de personas y bienes y el mantenimiento de la tranquilidad ciudadana ante la especial relevancia de la logística del alojamiento en el modus operandi de los delincuentes, según recoge la Exposición de Motivos de la norma. Así las cosas, el envío de una copia del documento no permite verificar con certeza la identidad de la persona y, por tanto, carece de la idoneidad suficiente para cumplir con la finalidad de la norma.
– Forma de recogida de datos establecida en el Real Decreto 933/2021, Anexo I, apartados A.3, A.4, B.3 y B.4.
Respecto de la recogida de los datos que requiere el Real Decreto 933/2021, que recae sobre las personas físicas o jurídicas que ejercen actividades de hospedaje, la AEPD considera que podría ser suficiente con que las personas faciliten o completen un formulario que recoja exclusivamente los datos exigidos en los apartados A.3 y B.3 del Anexo I del Real Decreto “Datos a facilitar en el ejercicio de la actividad de hospedaje”, apartados A.3, A.4, B.3 y B.4. Este formulario puede ser cumplimentado en línea o presencialmente en el hospedaje.
– Autenticación de los datos facilitados presencialmente o en línea
Por cuanto a la autenticación de los datos que han sido recogidos por medio de formulario, en los casos de recogida presencial, podría bastar con comprobar visualmente la correspondencia entre los datos facilitados y el documento de identidad exhibido.
En caso de recogida de datos en línea sin atención presencial, esta verificación puede realizarse mediante mecanismos como certificados digitales. También es posible la verificación de que los datos y la información proporcionada concuerda con los datos asociados al medio de pago utilizado. Igualmente, entre las medidas posibles, se puede emplear el envío de códigos de seguridad enviados a los números de teléfono o direcciones de correo electrónico de los huéspedes obligados a identificar, como factores de autenticación. Estos últimos son datos que forman parte de la información que el titular de la actividad de hospedaje ha de recoger de las personas usuarias de los servicios de hospedaje de acuerdo con el Real Decreto 933/2021.
Sin perjuicio de lo anterior, la AEPD no descarta que puedan existir otros procedimientos válidos para poder dar cumplimiento a estas obligaciones, cuya compatibilidad con el RGPD deberá ser evaluada, en todo caso, por el responsable del tratamiento.
Fuente: Agencia Española de Protección de Datos
Documentos relacionados
Legislación
Real Decreto 933/2021, de 26 de octubre, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor (Ley 40/2015, de 1 de octubre)
