Los hoteles llevan años pidiéndote la foto del DNI por WhatsApp. Ahora les puede costar muy caro

Enviar una foto del DNI por WhatsApp al anfitrión de un Airbnb, dar el carnet a la recepción de un hostal para que lo escaneen, mandar una fotocopia por mail al casero... Casi todos hemos hecho esto alguna vez para tramitar reservas de alojamientos. Quizás por desconocimiento, quizás por pereza, no nos hemos preguntado si lo que estábamos haciendo representaba un riesgo para nuestra privacidad. La realidad es que sí. Supone una práctica ilegal sancionada por la Agencia Española de Protección de Datos y cada vez más dueños de apartamentos turísticos están enfrentándose a cuantiosas multas por ello.

Cuando a Sofía (nombre ficticio) le pidieron su documentación al intentar reservar una habitación en la Posada de Llerena, en Badajoz, ella sí se lo pensó dos veces. Y en una denuncia ante la Guardia Civil relató cómo, tras aportar sus datos para hacer la reserva y ser confirmada por correo electrónico, recibió un mensaje del propietario del apartamento requiriéndole una fotografía del DNI de los huéspedes a través de WhatsApp, como condición necesaria. Lo hacían a pesar de que la confirmación sólo indicaba que debería mostrarse un DNI válido.

Al negarse y personarse en el establecimiento para realizar el registro in situ mostrando su DNI, la empresa insistió en que enviara la documentación por el chat para hacer el check-in. Eso, lo que para muchos hubiera pasado desapercibido, les ha costado un procedimiento sancionador de la AEPD, que considera que se ha violado el Reglamento General de Protección de Datos (RGPD) y una multa de 2.000 euros.

TE PUEDE INTERESAR

Pedirte la huella para entrar a un estadio o al 'gym' es una pésima idea. Ahora te puedes negar

Albert Sanchis

En su resolución, la agencia se basa en el principio de "minimización de datos", recogido en el artículo 5 del reglamento y que hace referencia a que los datos deben ser "adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados". Vamos, que pedir el DNI por WhatsApp es algo excesivo “al no ser necesario para la finalidad para la que se recaba”. Por su parte, la empresa sancionada, una sociedad que gestiona seis alojamientos rurales turísticos en la localidad, alegan en su defensa que no tienen recepción física o encargados para esas funciones y que verifican los datos de los clientes por la vía telemática. Eso, claro está, no les ha librado de tener que apoquinar.

La protección de nuestra información personal, de nuestros datos, se ha convertido en una prioridad en un mundo cada vez más digital. Sobre todo en un momento en el que son la llave para cientos de delitos de suplantación, fraude y robo de dinero. Y precisamente el DNI es el documento supremo que recopila nuestra información más importante. Hablamos de datos necesarios para realizar procesos tan serios como abrir una cuenta bancaria, transferir capital, o cualquier trámite administrativo.

No obstante, durante años, parece haberse instalado y generalizado una práctica en muchas empresas, sobre todo de hospedaje, de pedir fotocopias del DNI a diestro y siniestro, escanear la documentación o pedirla a través de mensajería instantánea, para poder identificar a las personas. Si bien es cierto que, según la ley, sí que tienen que recoger ciertos datos que aparecen en nuestro DNI (el famoso libro de registro de viajeros que deben mostrar a las autoridades si se les exige), no necesitan toda la información que aparece en este documento.

Según Samuel Parra, abogado especialista en protección de datos, “para cubrir esa obligación legal, la pregunta que se tienen que hacer los alojamientos es si hace falta realmente quedarse con una foto del DNI del huésped. Y la respuesta es que no. Solo tienen que coger el DNI, apuntar esos datos y comunicarlos a la Policía. O bien escanearlos a través de una app que envíe los datos estrictamente necesarios. Lo que no se puede hacer es escanearlo o pedir fotocopias y guardarlas para siempre”, explica a este diario. Además, que si el objetivo es identificar a la persona, bastaría con solo enseñarlo. O eso es lo que dice la AEPD, que indica que si se hace una copia se genera un importante riesgo para la seguridad del ciudadano.

Sanciones de hasta 100.000 euros

Después de numerosas resoluciones e informes, la agencia advierte de que se trata de una práctica ilegal, sobre todo si existen otras medidas que cumplen con el fin de la identificación. “Si te obligan a enviar un DNI por WhatsApp habiendo otros medios, como enseñarlo físicamente, se está cometiendo una ilegalidad”, señala el abogado. Y ya ha multado en numerosas ocasiones a empresas e instituciones. La más alta alcanza los 100.000 euros y se le impuso a Orange por solicitar una copia de ambas caras del DNI para entregar sus paquetes.

Otra sanción, de 75.000 euros, recayó sobre los hombros de la empresa Marketing Accommodation Solutions FZ, propietaria de pisos que se anuncian en Airbnb, por incumplir también dos artículos del RGPD. En esta ocasión, siete personas solicitaron reservar un apartamento en Barcelona a través de Airbnb y la entidad habilitó un formulario para hacer el registro online de manera obligatoria para formalizar la entrega de llaves. Les extrañó que, además de pedirles los correos, números de teléfono y direcciones, tenían que adjuntar fotos de su DNI por las dos caras e incluso selfies de cada uno de ellos. ¡Selfies!

La mayoría de estas sanciones tienen lugar, además de por existir un tratamiento “innecesario y desproporcionado”, por no informar correctamente sobre la recogida y la utilización de dichas fotos y datos. Aunque el registro se puede llevar a cabo de forma manual o de forma telemática, la ley indica que “el viajero deberá firmar un parte de entrada de manera inexcusable”. Los datos recogidos deben plasmarse en el libro mencionado y el dueño del establecimiento hotelero debe conservarlo durante tres años.

TE PUEDE INTERESAR

No te fíes de tu jefe si te envía un audio por WhatsApp. Puede costarle millones a tu empresa

Albert Sanchis

Esa misma fue la razón de sanción a otro establecimiento hotelero que tuvo que pagar 30.000€ por guardar una copia del documento identificativo de un cliente y usarlo, además de para el registro, para verificar su identidad en servicios del hotel como los restaurantes. En un comunicado de marzo de 2022, la AEPD explica que la entidad sancionada "no incluía ningún detalle sobre la recogida y utilización de la fotografía", por lo que los clientes desconocían que esa imagen iba a ser utilizada para el control de acceso y la facturación de sus consumos durante la estancia.

“En cualquier caso, es una situación incómoda, eso está claro. Llego a un hotel, me piden el DNI y les digo que no. Entonces ellos me dicen que no me puedo alojar. ¿Qué hago, me quedo en la calle? Tendré que llamar a la Policía y lo más seguro es que se solucione”, comenta Parra. Eso sí, el mal trago no te lo quita nadie.

En los últimos meses, la recogida indiscriminada de datos (y de forma cuestionable) en España está llevando de cráneo a la AEPD. No han sido pocos los casos en los que la institución ha sacado músculo recientemente: la prohibición a WorldCoin de escanear el iris por dinero, las multas a algunos gimnasios que piden la huella para acceder a las instalaciones y las sanciones a empresas que las usan para fichar las jornadas de sus trabajadores. El último azote de la Agencia cayó sobre el mundo del fútbol, sobre algunos equipos españoles que pedían de manera obligatoria datos biométricos a los aficionados para acceder a las gradas de sus estadios. Y la cruzada está lejos de terminar.