Se multiplican las multas a empresas y autónomos por escanear los datos del DNI

Los autónomos y pequeños negocios del hospedaje se enfrentan a un laberinto normativo que amenaza con desbordarles. La obligación de verificar la identidad de los huéspedes y remitir sus datos a Interior choca frontalmente con los criterios de la Agencia Española de Protección de Datos (AEPD), que prohíbe digitalizar documentos de identidad completos.

La Ley Orgánica 4/2015 y el Real Decreto 933/2021 son claros: todos los establecimientos de hospedaje, desde grandes hoteles a viviendas turísticas, deben recopilar datos básicos de los viajeros (nombre, número de documento, nacionalidad, fecha de nacimiento) y comunicarlos a las Fuerzas y Cuerpos de Seguridad.

El problema surge en la forma de obtener esos datos. Muchos negocios han recurrido a sistemas de escaneo del DNI o pasaporte para agilizar el registro, especialmente en entornos sin recepción física o con check-in remoto. Sin embargo, la AEPD entiende que esa práctica vulnera el Reglamento General de Protección de Datos (RGPD).

El organismo se apoya en el principio de minimización, que obliga a tratar solo la información estrictamente necesaria. Según su criterio, escanear o fotocopiar un documento entero supone un exceso, incluso aunque el establecimiento únicamente utilice los campos obligatorios y no conserve imágenes completas. Para la Agencia, basta con la comprobación visual en un registro presencial o con el uso de medios electrónicos que no conserven copias del documento.

La tensión entre obligaciones legales y protección de datos se materializó recientemente en una sanción que ha sacudido al sector. Una empresa de hospedaje fue multada con 70.000 euros —reducidos a 42.000 por pago voluntario— por escanear el DNI de sus clientes.

Lo llamativo del caso es que la compañía alegó que no almacenaba ninguna imagen del documento, sino que su sistema realizaba una lectura automática de los datos. La AEPD, sin embargo, consideró que la práctica infringía igualmente el principio de minimización.

La cuantía marca un salto respecto a las sanciones previas, habitualmente de entre 1.000 y 30.000 euros. La resolución supone, por tanto, un aviso claro: el organismo estatal está dispuesto a endurecer su actuación, incluso en supuestos en los que no se produce almacenamiento indebido de información.

La resolución no es un hecho aislado. En los últimos meses, las multas de la AEPD contra alojamientos turísticos se han multiplicado. El motivo está en la extensión de soluciones digitales que automatizan el proceso de identificación, como la lectura MRZ de documentos. Estas herramientas, diseñadas para facilitar el cumplimiento de la normativa de Interior, acaban generando conflictos con el RGPD.

La Agencia justifica su severidad por los riesgos de la era digital. Una filtración de datos en un sistema de escaneo puede exponer centenares de documentos de identidad a fraudes y suplantaciones. Con ese argumento, ha decidido aplicar con firmeza el principio de minimización, incluso en entornos en los que la información no se guarda de manera permanente.

El panorama para autónomos y pequeñas empresas es, por tanto, de máxima incertidumbre. Cumplir con Interior sin infringir las directrices de la AEPD se ha convertido en una tarea difícil de encajar. Mientras tanto, el riesgo económico de las sanciones amenaza con poner contra las cuerdas a un sector clave para el turismo español, que asiste con preocupación a un escenario que combina inseguridad jurídica, freno a la innovación y una presión normativa cada vez mayor.