El passat 17 de juny de 2025, l’Agència Espanyola de Protecció de Dades (AEPD) va publicar una nota informativa dirigida als titulars d’activitats d’hostalatge, aclarint com cal complir les obligacions del Reial decret 933/2021, que regula el registre documental de viatgers.

En concret, s’estableix que no està permès demanar còpies del DNI o passaport a clients d’allotjaments. Fer-ho vulnera el principi de minimització de dades (art. 5.1.c RGPD) i constitueix un tractament excessiu, en incloure dades confidencials no requerides (fotografia, data de caducitat, CAN, noms dels pares).

1. Per què no serveixen les còpies de documents

• Contenen més informació de la que exigeix la norma (dades biomètriques, filiació).
• No permeten comprovar amb certesa la identitat de l’hoste, ja que un arxiu o foto pot falsificar-se.
• No cobreixen totes les dades que sí que exigeix l’Annex I del Reial decret 933/2021 (A.3, A.4, B.3, B.4).
• Augmenten el risc de suplantació si s’emmagatzemen o circulen sense garanties.

Atenció. Conservar fotocòpies o escanejos del DNI pot derivar en sancions per incompliment del RGPD, amb multes significatives.

2. Quines dades s’han de recollir

La norma obliga a recopilar únicament les dades previstes en l’Annex I del RD 933/2021. Aquests poden recollir-se mitjançant un formulari presencial o en línia, que inclogui els camps exigits i res més.

Atenció. Qualsevol dada addicional no contemplada en la norma suposa un excés i pot haver-hi sanció.

3. Com verificar-ne l’autenticitat

• Presencial: n’hi ha prou amb una verificació visual del document d’identitat mostrat en recepció.
• En línia: es recomana usar:
  • Certificats digitals
  • Comprovació de dades associades al pagament.
  • Codis enviats al telèfon o email del client com a doble factor d’autenticació.

L’AEPD admet que poden aplicar-se altres mecanismes, sempre que siguin avaluats pel responsable del tractament i compleixin amb el RGPD.

Atenció. No hi ha “barra lliure”: qualsevol mètode addicional ha de ser avaluat i documentat com a part de l’anàlisi de riscos en matèria de protecció de dades.

4. Recomanacions pràctiques per a empreses d’hostalatge

1. Revisi els formularis actuals i elimini qualsevol referència a la “còpia” del DNI/passaport.
2. Formi el personal de recepció: el document es mostra, però no es fotocopia ni s’arxiva.
3. Implanti verificacions en línia segures si s’accepten reserves sense contacte presencial.
4. Actualitzi les polítiques de privacitat per explicar de manera clara quines dades es recullen i amb quina finalitat.
5. Conservi només les dades exigides i apliqui terminis d’esborrament adequats.

En definitiva, l’AEPD recorda que la finalitat del RD 933/2021 és protegir persones i béns, però això ha de fer-se respecte al RGPD. En els hostalatges, la clau està a recollir únicament les dades necessàries i verificar-les de manera proporcional, sense recórrer a còpies de documents que afegeixen riscos innecessaris i que no tenen validesa.