RGPD para hoteles: cómo tratar los datos del huésped en el check-in sin meterte en líos

Cada vez que un huésped te entrega su DNI, te conviertes en responsable de un dato que no es tuyo. Y la ley te trata como tal. El check-in es el momento en que más datos personales recoge un alojamiento, y también donde más fácil es equivocarse.

La buena noticia: el RGPD no te prohíbe pedir el documento. Te obliga a pedirlo bien.

Tienes base legal, pero solo para lo que toca

Aquí hay dos tratamientos distintos y conviene no mezclarlos.

El primero es el registro de viajeros. Comunicar los datos del huésped a SES.HOSPEDAJES no necesita su consentimiento: es una obligación legal (artículo 6.1.c del RGPD), impuesta por el Real Decreto 933/2021. El huésped no puede negarse y tú no puedes no hacerlo.

El segundo es todo lo demás: mandarle ofertas, apuntarle a tu newsletter, guardarle la tarjeta para futuras reservas. Eso ya no entra en la obligación legal. Necesitas otra base —normalmente su consentimiento— y no puedes camuflarla dentro del formulario de check-in. Mezclar las dos cosas es uno de los fallos que la AEPD sanciona con más frecuencia.

Pide lo justo, ni un campo más

El principio de minimización (artículo 5.1.c) dice algo simple: solo los datos necesarios para la finalidad. El parte de viajeros define qué necesitas —nombre, documento, fecha de nacimiento, nacionalidad y poco más—. Si tu formulario pide la profesión del huésped “por si acaso”, sobra.

Una foto del documento es legítima para verificar la identidad. Guardarla indefinidamente “para tener constancia” no lo es.

Tres años. Ni uno más

El RD 933/2021 fija la conservación de los datos del registro en tres años desde el fin del servicio. Pasado ese plazo, hay que borrarlos. No es opcional ni es “mejor guardarlo por si lo piden”: conservar datos más allá de lo necesario viola el principio de limitación del plazo (artículo 5.1.e).

El error típico no es retener tres años. Es no borrar nunca. Una base de datos con copias de pasaportes de 2019 es un pasivo, no un activo: si te entran, expones a antiguos huéspedes que ya no tendrían por qué estar ahí.

Seguridad: el dato sensible viaja por internet

Recoger documentos online significa que números de pasaporte y caras circulan por la red. El artículo 32 te pide medidas “apropiadas”: cifrado en tránsito y en reposo, control de quién accede, y un proveedor que no use esos documentos para entrenar nada ni los reenvíe a terceros sin contrato.

Si la verificación incluye un selfie biométrico, sube un escalón: los datos biométricos usados para identificar a una persona son categoría especial (artículo 9). Solo deberían tratarse para confirmar la identidad en ese momento y desaparecer después, no quedarse archivados.

Lo que deberías revisar esta semana

• ¿Tu formulario de check-in separa lo obligatorio (registro) de lo opcional (marketing)?
• ¿Tienes un texto de información clara —quién eres, para qué tratas los datos, cuánto los guardas— enlazado en el momento de recogerlos? Mira cómo lo planteamos en nuestra política de privacidad.
• ¿Borras de verdad a los tres años, o solo lo dices?
• ¿Tu herramienta cifra los documentos y limita el acceso?

El registro de viajeros y el RGPD no se llevan mal. Lo que choca con la ley es recoger de más, guardar de más y no contarlo. Si automatizas el parte de viajeros con una herramienta que aplica estos límites por defecto, cumplir deja de depender de que alguien se acuerde.