Protecció de dades: està prohibit demanar còpies del DNI als hotels
L'Agència Espanyola de Protecció de Dades considera que fotocopiar el carnet d'identitat és "excessiu"
Ara que s'acosten les vacances d'estiu, l'Agència Espanyola de Protecció de Dades (AEPD) avisa: està prohibit demanar una còpia del DNI per allotjar-se en un hotel. L'organisme ha emès una nota informativa en què recorda que, malgrat que el reial decret 933/2021 estableix l'obligació del titular de l'hostal o hotel de recollir determinades dades de les persones que facin ús dels seus serveis, aquesta petició d'informació no autoritza a sol·licitar una còpia del document d'identitat del client, ja que això "vulneraria el principi de minimització de dades i suposaria un tractament excessiu".
Segons recorda l'agència, documents com el DNI inclouen informació addicional a la requerida per la norma (com la fotografia, la data de caducitat, el CAN —el número de sis dígits que hi ha a la cantonada dreta del carnet— i els noms dels pares), el tractament de la qual "incrementa el risc de suplantació d'identitat", diu la nota. D'altra banda, el DNI no inclou la totalitat de la informació sol·licitada a la norma, per la qual cosa, per si sol, "no és un recurs vàlid per poder complir" amb la llei. A més, enviar una còpia del document no permet verificar amb certesa la identitat de la persona que el remet, apunta l'AEPD.
Què caldria demanar?
Per complir amb l'obligació legal, l'agència considera que l'hoste ha de proporcionar les dades que es detallen als apartats corresponents del reial decret, i que aquestes es poden recollir mitjançant un formulari presencial o en línia.
Per a l'autenticació de les dades facilitades, en el cas presencial n'hi hauria prou amb una verificació visual del document. Si aquesta verificació es realitza en línia, es recomana l'ús de mecanismes com els certificats digitals, la comprovació amb les dades associades al mètode de pagament o l'autenticació a través de codis enviats al telèfon o el correu electrònic del client. En tot cas, qualsevol altre procediment que s'utilitzi "haurà de ser avaluat pel responsable del tractament de dades, que en garantirà sempre la compatibilitat amb la normativa de protecció de dades", apunta l'organisme.
