La Agencia Española de Protección de Datos (AEPD) ha atendido la queja de unos ciudadanos navarros y ha sancionado a un operador turístico por vulnerar el principio de minimización de datos del Reglamento General de Protección de Datos (RGPD). La empresa, que gestiona un alojamiento turístico, exigía a sus clientes escanear el DNI por ambas caras y aportar una fotografía del rostro a través de una aplicación móvil para poder realizar el check-in o registro.

La reclamación fue presentada ante la AEPD en marzo de 2024 por un huésped que, tras reservar el alojamiento a través de una plataforma de alquiler vacacional, junto con dos ciudadanos procedentes de Navarra, recibió instrucciones de Sociedad Andaluza de Charters Atlánticos SL para descargarse la aplicación y remitir las imágenes de los documentos de identidad de todos los ocupantes, incluida una foto tipo selfie, sin haber sido informado de este requisito antes de efectuar la reserva.

La empresa reclamada defendió en todo momento que su sistema de registro de viajeros cumplía con la normativa de seguridad ciudadana y argumentó que el escaneo completo del DNI era necesario para garantizar la exactitud de los datos y que las imágenes eran eliminadas una vez verificada la identidad del huésped.

Normativa de hospedaje

Sin embargo, la AEPD rechaza estos argumentos y señala que la normativa de hospedaje únicamente obliga a recoger datos concretos del viajero –nombre, apellidos, número de documento, nacionalidad, fecha de nacimiento y otros similares–, sin que en ningún caso ampare la obtención de una copia completa del DNI ni de una fotografía del rostro. El DNI completo contiene información que excede lo legalmente exigible, como la imagen del titular, la fecha de caducidad o el nombre de los progenitores.

La AEPD subraya además que, con independencia del filtrado posterior de datos que el sistema pudiera realizar, la propia recogida inicial de las imágenes –escaneo del anverso y reverso del DNI, selfie del usuario, cotejo y verificación– constituye por sí misma un tratamiento de datos personales no amparado por la normativa de seguridad ciudadana invocada por la empresa. La AEPD destaca que la propia web del proveedor tecnológico utilizado confirmaba que el sistema extrae "toda la información textual" del documento antes de filtrar los datos necesarios.

Además de una multa de 500 euros, la AEPD ordena a la empresa que en el plazo de tres meses modifique su sistema de registro para no solicitar copia del documento de identidad ni fotografía del huésped, y que acredite haber eliminado de sus sistemas las imágenes de clientes y documentos ya almacenados.