En un sector basado en la confianza y la experiencia del cliente, la protección de datos en hoteles se ha convertido en un pilar fundamental. Desde el check-in hasta las comunicaciones post-estancia, los hoteles gestionan un volumen masivo de información personal que, si no se trata correctamente, puede acarrear graves consecuencias. Los riesgos van desde filtraciones de datos que dañan irreparablemente la reputación del establecimiento hasta sanciones millonarias impuestas por la Agencia Española de Protección de Datos (AEPD).
Además, el entorno legal es cada vez más complejo. La sentencia del TJUE C-311/18 (Schrems II) ha puesto el foco en las transferencias internacionales de datos, afectando a hoteles que utilizan software de reservas o marketing alojado fuera de la UE. Ignorar estas obligaciones no es una opción; es una amenaza directa para la viabilidad del negocio.
Índice de contenidos
- ¿Qué datos pueden solicitar los hoteles a los huéspedes?
- ¿Es legal pedir una copia del DNI o pasaporte?
- Derechos de los huéspedes en protección de datos
- Obligaciones de los hoteles bajo el RGPD
- Sanciones por incumplimiento: Multas que pueden cerrar tu negocio
- Medidas de seguridad recomendadas
- FAQ: Preguntas Frecuentes sobre Protección de Datos
¿Qué datos pueden solicitar los hoteles a los huéspedes?
La primera regla en la protección de datos en hoteles es la legitimidad. No se puede solicitar cualquier dato, solo aquellos que sean estrictamente necesarios. La base legal para este tratamiento se encuentra en el Artículo 6 del RGPD y la Ley Orgánica 3/2018 de Protección de Datos Personales (LOPDGDD).
- Datos Obligatorios (Base Legal: Cumplimiento de una obligación legal):
- Nombre y apellidos.
- Número de documento de identidad (DNI/Pasaporte).
- Fecha de expedición del documento.
- Fecha de nacimiento.
- Sexo.
- Nacionalidad.
- Fecha de entrada.
- Datos Opcionales (Base Legal: Consentimiento explícito):
- Preferencias de habitación (ej. almohada, piso alto).
- Alergias o necesidades alimentarias (considerado dato de salud).
- Correo electrónico o teléfono para fines de marketing.
- Datos para programas de fidelización.
Advertencia clave: Un hotel nunca debe almacenar el número completo de la tarjeta de crédito del huésped tras procesar un pago. Se deben utilizar sistemas con tokenización que cumplan con el estándar PCI DSS, minimizando así el riesgo en caso de brecha de seguridad.
¿Es legal pedir una copia del DNI o pasaporte?
Esta es una de las prácticas más extendidas y, a la vez, más peligrosas. El principio de minimización de datos (Art. 5.1.c RGPD) exige tratar únicamente los datos indispensables. Fotocopiar o escanear un DNI implica recoger datos innecesarios y de alto riesgo (fotografía, firma, nombres de los padres).
- Alternativas Legales:
- Verificación visual: El recepcionista comprueba el documento y anota solo los datos obligatorios en el parte de viajeros.
- Sistemas de check-in digital: Utilizar aplicaciones que verifican la identidad mediante autenticación multifactor sin necesidad de almacenar la imagen del documento.
El riesgo de no cumplir es muy real. En 2023, la AEPD impuso una multa de 50.000€ a un hotel precisamente por escanear y almacenar sistemáticamente las copias de los DNI de sus huéspedes sin una justificación legal válida, considerándolo un tratamiento excesivo de datos.
Derechos de los huéspedes en protección de datos
Todo huésped es titular de sus datos y puede ejercer una serie de derechos. El hotel está obligado a facilitar su ejercicio y a responder a las solicitudes en el plazo máximo de 30 días (Art. 12 RGPD).
- Acceso: El huésped puede preguntar qué datos tiene el hotel sobre él y para qué los usa.
- Rectificación: Solicitar la corrección de datos incorrectos (ej. un apellido mal escrito).
- Supresión («Derecho al Olvido»): Pedir que se eliminen sus datos una vez finalizada la relación contractual y los plazos legales de conservación.
- Oposición: Oponerse a que sus datos se usen para fines de marketing o publicidad.
- Limitación del Tratamiento: Solicitar que se marquen sus datos para restringir su tratamiento en el futuro.
- Portabilidad: Pedir sus datos en un formato estructurado para entregárselos a otro proveedor.
Obligaciones de los hoteles bajo el RGPD
Cumplir con el RGPD en hoteles va más allá de pedir consentimiento. Implica una gestión proactiva y documentada de la privacidad.
- Registro de Actividades de Tratamiento (RAT): Según el Art. 30 del RGPD, todo hotel debe tener un documento interno que detalle qué datos recoge, con qué finalidad, quién tiene acceso a ellos y por cuánto tiempo se conservan.
- Evaluación de Impacto (EIPD): Es obligatoria si el hotel realiza tratamientos de alto riesgo, como el uso masivo de cámaras de videovigilancia o la implementación de sistemas de reconocimiento facial o biométrico para el acceso.
- Delegado de Protección de Datos (DPD): Las cadenas hoteleras o los establecimientos que tratan datos a gran escala tienen la obligación de designar un DPD, un experto que supervise el cumplimiento normativo.
- Contratos con Encargados de Tratamiento: Si utilizas servicios de terceros que acceden a datos de huéspedes (ej. plataformas de reservas como Booking.com, software de gestión hotelera en la nube, agencias de marketing), debes firmar un contrato que regule sus obligaciones de protección de datos.
Sanciones por incumplimiento: Multas que pueden cerrar tu negocio
Las multas por incumplimiento del RGPD en hostelería son de las más elevadas. Se dividen en dos categorías principales, demostrando que la prevención es siempre la mejor inversión.
| Infracción | Sanción Máxima (RGPD) |
| No obtener un consentimiento para tratamiento de datos válido o violar los principios básicos. | Hasta 20 millones de euros o el 4% de la facturación anual global. |
| Sufrir una filtración de datos y no notificarla a la AEPD en 72 horas o no tener un registro de actividades. | Hasta 10 millones de euros o el 2% de la facturación anual global. |
Un caso real que encendió todas las alarmas en el sector fue la multa de 800.000€ impuesta a un conocido grupo hotelero en 2022 tras sufrir una brecha de seguridad que expuso los datos de miles de clientes. La AEPD sancionó no solo la brecha en sí, sino la falta de medidas de seguridad adecuadas para prevenirla.
Medidas de seguridad recomendadas
Proteger los datos es una obligación técnica y organizativa. Aquí tienes algunas medidas clave:
- Para datos sensibles (salud, religión, etc.):
- Cifrado de bases de datos: Asegura que, si alguien accede a los archivos, no pueda leer la información.
- Acceso restringido por roles: Solo el personal autorizado (ej. cocina para alergias) debe poder ver esta información.
- Para videovigilancia:
- Señalización visible: Colocar carteles informativos que cumplan con lo exigido en el Art. 22 de la LOPDGDD.
- Supresión de grabaciones: Las imágenes deben eliminarse en un plazo máximo de 30 días, salvo que sean requeridas por una autoridad judicial.
FAQ: Preguntas Frecuentes sobre Protección de Datos
- ¿Puede un hotel guardar una copia de mi DNI si lo pide la policía?
No sin una orden judicial específica. La policía puede solicitar los datos del parte de viajeros, pero no exigir al hotel que almacene copias de documentos. La comunicación de datos a las fuerzas y cuerpos de seguridad debe estar amparada por la ley (ej. Art. 13 LECrim).
- ¿Cuánto tiempo puede un hotel conservar mis datos?
Depende de la finalidad. Los datos del parte de viajeros deben conservarse durante los plazos que marca la normativa de seguridad ciudadana. Los datos de facturación, 6 años por el Código de Comercio. Y ciertos datos pueden requerirse hasta 10 años por la Ley 10/2010 de prevención del blanqueo de capitales (modificada en 2023). Tras estos plazos, deben ser eliminados de forma segura.
- ¿Qué hago si un hotel usa mis datos para publicidad sin mi permiso?
Primero, ejerce tu derecho de oposición. Si el hotel persiste, puedes presentar una reclamación ante la AEPD o incluso interponer una demanda por daños y perjuicios.
- ¿Necesitan mi consentimiento explícito para enviarme publicidad?
Sí. El consentimiento debe ser libre, informado, específico e inequívoco. Debes haber marcado activamente una casilla para recibir comunicaciones comerciales, y el hotel debe ofrecerte una forma sencilla de revocar dicho consentimiento en cada email (Art. 21 RGPD).
- ¿Puedo negarme a dar mis datos biométricos (ej. huella dactilar)?
Sí, como regla general. El tratamiento de datos biométricos se considera de alto riesgo. Un hotel solo podría exigirlo si es una medida de seguridad estrictamente necesaria y proporcionada para un fin concreto (ej. acceso a una zona de alta seguridad), y aun así debería ofrecer alternativas.
¿Tu hotel cumple con el RGPD? Evita las sanciones.
La protección de datos en hoteles es un laberinto legal complejo y en constante cambio. Un solo error puede costar muy caro. En Abogados Dagesa, te asesoramos para auditar tus procedimientos, adaptar tus contratos y formar a tu personal, garantizando el cumplimiento normativo y protegiendo lo más valioso: la confianza de tus clientes.
Contacta con nuestro equipo especializado en protección de datos y derecho digital para una primera consulta gratuita y blinda tu negocio frente a los riesgos.