Suneris S.A., propietaria del Hotel & Spa Beverly Park, ha sido sancionada por la Agencia Española de Protección de Datos (AEPD) con 5.400 euros tras obligar a un cliente a digitalizar íntegramente su documento de identidad durante el registro de entrada.
El caso enfrenta el derecho de los establecimientos a inscribir a sus viajeros con la obligación de proteger los datos personales. El organismo regulador concluye que la práctica del hotel excede las exigencias normativas y vulnera el Reglamento General de Protección de Datos (RGPD).
El hotel de cuatro estrellas exigió el escaneo completo del DNI del viajero
El conflicto se inició el 28 de junio de 2024, cuando un huésped se negó a que el personal copiara su DNI con un escáner. Ante la negativa, la recepción volcó manualmente los datos en el ordenador, recogiendo información que incluía número y tipo de documento, fecha de expedición, nombre, apellidos, sexo, fecha de nacimiento y domicilio.
Esta captura detallada, aunque amparada en parte por el Real Decreto 933/2021, que regula la comunicación de huéspedes a las Fuerzas y Cuerpos de Seguridad, incorpora campos que la norma no exige. La AEPD considera que la actuación constituye una recogida “indiscriminada” de datos personales.
La AEPD concluye que la práctica vulnera el RGPD y excede el RD 933/2021
En su resolución, la Agencia subraya que «el escaneo del DNI supone un tratamiento de datos personales que excede de los exigidos en el RD 933/2021». Señala que el hotel tuvo acceso a datos innecesarios como la fotografía del viajero, el número de equipo de expedición o los nombres de los progenitores, contraviniendo el principio de minimización recogido en el artículo 5.1 del RGPD.
El organismo sancionador fijó inicialmente la multa en 9.000 euros al apreciar una infracción por exceso de datos. Posteriormente, y atendiendo a la colaboración de la empresa, aplicó rebajas sucesivas.
Reducción de la multa tras la admisión de Suneris S.A. y el pronto pago realizado
La compañía reconoció la infracción y aceptó la responsabilidad, lo que supuso un primer descuento del 20 %, rebajando la cuantía a 7.200 euros. Finalmente, el pronto pago efectuado por Suneris S.A. permitió una segunda reducción del 20 %, dejando la sanción definitiva en 5.400 euros.
La AEPD recuerda además que el hotel ha de adecuar sus protocolos para cumplir con el principio de minimización: solo pueden recabarse los datos imprescindibles para identificar al viajero y transmitirlos a las autoridades.
Impacto de la resolución para la gestión de datos personales en establecimientos hoteleros españoles
La decisión refuerza la línea interpretativa del regulador: los hoteles no deben escanear documentos de identidad completos salvo causa justificada. De lo contrario, se exponen a sanciones económicas considerables y a la reputación negativa asociada al uso indebido de información sensible.
La resolución, por tanto, servirá de aviso a todo el sector turístico. Mantener políticas de privacidad alineadas con el RGPD no es solo una exigencia legal, sino también una garantía de confianza hacia los clientes, que cada vez son más conscientes de sus derechos en materia de protección de datos.