Clúster

• Preguntas frecuentes sobre el tratamiento de datos personales en el marco del Real Decreto 933/2021, del 26 de octubre, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje.

El pasado jueves 12 de junio, el Clúster de Turismo de Galicia organizó un webinar informativo sobre las implicaciones del Real Decreto 933/2021, que regula las obligaciones de registro documental y comunicación de datos en actividades de hospedaje. La sesión, dirigida a alojamientos y agencias de viajes, abordó dudas frecuentes del sector sobre el uso de la plataforma SES.HOSPEDAJES, la gestión de datos personales o las nuevas exigencias legales que deben cumplir los establecimientos turísticos desde la entrada en vigor de la norma.

A continuación, recogemos algunas de las preguntas y respuestas más relevantes para los profesionales:

1. ¿Cuándo un establecimiento de alojamiento o una agencia de viajes recaba datos de un viajero para cumplir con la obligación establecida en el Real Decreto 933/2021, de 26 de octubre, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor (en adelante RD 933/2021) debe facilitar información sobre protección de datos personales a esos viajeros?

En efecto, el Reglamento General de Protección de Datos de la Unión Europea (Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos – RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) recogen la obligación de informar en los artículos 13 y 14 RGPD, así como en el art. 11 LOPDGDD. Esta información se debe realizar por capas, de tal modo que, en un primer momento, cuando realiza el check-in, se facilite una información básica al viajero y luego, en la política de privacidad del establecimiento, se debe completar dicha información.

Para ellos hemos preparado un modelo que puede utilizar en su establecimiento para informar a los viajeros sobre el tratamiento de sus datos y que puede descargar aquí. Los campos en resaltado amarillo debe cubrirlos con los datos de su establecimiento. Recuerde que esta información tiene que ser visible por el viajero al realizar el check-in, ya sea presencial u online. Esta información estará a disposición del viajero en formato papel o digital, y se deberá entregar si así lo solicita.

2. ¿Puedo pedir una copia del DNI, NIE o PASAPORTE a un viajero/huésped para verificar su identidad?

No. Exigir una copia o realizar un escaneo del DNI, NIE o PASAPORTE supone un tratamiento de datos excesivo que incumple el principio de minimización de datos establecido en el art. 5 RGPD.

El establecimiento de alojamiento o agencia podrá verificar la identidad exigiendo que se muestre el documento, pero nunca podrá realizar copia del mismo, ya que este documento contiene muchos más datos personales de los exigidos por la normativa. Además, es un documento “sensible” que puede utilizarse posteriormente para suplantar la identidad de una persona.

El 17 de junio de 2025 la Agencia Española de Protección de Datos (AEPD) ha publicado una nota informativa en la que informa que no está permitido solicitar una copia del DNI o pasaporte en los hospedajes.

Tampoco se debería solicitar un “selfi” del huésped para validar su identidad con el DNI, ya que la imagen no es un dato exigido por el RD 933/2021 y por tanto estaríamos incumpliendo el principio de minimización de datos personales.

Incluso si tenemos el consentimiento del viajero para almacenar copia de su DNI, a pesar de que tendríamos una base legal, podríamos estar ante un tratamiento de datos innecesario igualmente. Además, el consentimiento podría no ser completamente libre, ya que el huésped puede verse constreñido a facilitar copia de su DNI bajo la posibilidad de quedarse sin alojamiento. En todo caso, el consentimiento para que sea libre, debería permitir que el viajero no lo otorgase el consentimiento, ya que en otro caso el consentimiento no sería libre.

3. ¿Puede almacenar los DNI mediante ocultación de los campos no necesarios?

En principio, si solo se almacenase el DNI con los campos no necesarios ofuscados, parece que no se incumpliría el principio de minimización. Lo mismo pasaría si se escanease con un lector OCR que solo extrajera los datos requeridos en el RD 933/2021.

En todo caso sería aconsejable exigir a la empresa que presta este servicio y carga los datos en el PMS (Sistema de Gestión de Propiedades, del inglés Property Management System), que nos certifique que cumple con la normativa vigente en protección de datos personales.

El problema es que la gente está muy sensibilizada actualmente con entregar su DNI, lo que puede generar problemas.

En todo caso, habrá que estar a lo que disponga la AEPD en sus resoluciones y guías de buenas prácticas sobre la materia.

4. ¿Puedo establecer un sistema de check-in online para evitar colas en el establecimiento?

En efecto, el RD 933/2021 y su normativa de desarrollo (incluido el borrador de la futura Orden de desarrollo) establecen la posibilidad de recabar estos datos de forma on-line con carácter previo. A estos efectos, la normativa exige, en estos casos, que se establezcan sistemas para la verificación a distancia de la exactitud de los datos.

La AEDP recomienda, a título de ejemplo, el uso de mecanismos como:

• Certificados digitales.
• Comprobación con los datos asociados al método de pago utilizado.
• La autenticación a través de códigos de seguridad enviados al teléfono o correo electrónico del cliente/huésped.
• Otros que el establecimiento considere siempre que cumplan con el RGPD.

5. ¿A qué sanciones me enfrento por incumplir las obligaciones de registro documental y comunicación establecidas en el RD 933/2021?

Las sanciones por incumplimiento de esta normativa son las siguientes:

• Graves: Multa de 601 hasta 30.000 euros por las siguientes infracciones:
  • La carencia de los registros documentales.
  • La omisión de las comunicaciones obligatorias de datos.

• Leves: Multa desde 100 a 600 euros por las siguientes infracciones:
  • Las irregularidades o deficiencias en la cumplimentación de los registros previsto.
  • La alegación de datos o circunstancias falsos, siempre que no constituya infracción penal.
  • La omisión de comunicaciones obligatorias dentro de los plazos establecidos, siempre que no constituya infracción penal.

6. ¿Se están aplicando ya las sanciones?

En efecto, sí. Aunque la nueva Orden que desarrollará el RD 933/2021 aún no se ha aprobado, ya se han impuesto las primeras sanciones por incumplimiento de la normativa, por lo que se debe estar al cumplimiento estricto del RD 933/2021 y la Orden INT/1922/2003, de 3 de julio, en su redacción dada por la Orden INT/321/2021, de 31 de marzo, sobre libros-registro y partes de entrada de viajeros en establecimientos de hostelería y otros análogos hasta que se publique la nueva Orden que suavizará los requisitos y aclarará la forma de realizarlo.

7. ¿Si cumplo con el RD 933/2021 me pueden sancionar también por incumplimiento de la normativa en materia de protección de datos?

En efecto, sí. Ambas normativas son independientes y ambas normativas han de cumplirse. Por ejemplo, si solicitamos una copia del DNI a un huésped podemos estar cumpliendo la obligación de verificar la corrección de los datos del RD 933/2021, pero estaríamos incumpliendo la normativa en materia de protección de datos.

8. ¿Cuáles son las sanciones por incumplir las obligaciones en materia de protección de datos?

La LOPDGDD establece tres tipologías de sanciones:

• Sanción de hasta 40.000 euros para infracciones leves (art. 74).
• Sanción de 40.001 hasta 300.000 euros para infracciones graves (art. 73).
• Sanción de 300.001 hasta 20 millones de euros o el 4% de la facturación anual para infracciones muy graves (art. 72).

9. ¿Durante cuánto tiempo debo conservar los datos del Libro-Registro de Viajeros?

La normativa actual establece que deben conservarse un plazo de 3 años desde la fecha desde la grabación digital de la información.

10. ¿Es necesario almacenar los datos del Libro-Registro de Viajeros en la nube (Cloud)?

No, no es necesario. Lo que sí es necesario es conservarlos garantizando la confidencialidad, integridad y disponibilidad de estos datos. Deben de articularse en consecuencia sistemas de información robustos para almacenar estos datos o subcontratar esta actividad en un tercero que reúna todas las garantías.

11. ¿Es posible que una agencia de viajes colabore con un establecimiento de alojamiento para realizar un check-in previo del huésped o viajero?

Sí, en efecto. Una agencia de viajes podría colaborar con un establecimiento de alojamiento realizando por cuenta de aquel la toma de datos que se exigen por el RD 933/2021 para después remitírselo al establecimiento. En todo caso, para realizar este tratamiento de datos personales, se deberá firmar un contrato de encargo de tratamiento de datos, de conformidad con el artículo 28 del RGPD, entre el responsable del tratamiento, que será siempre el establecimiento de alojamiento, y la agencia de viajes, que actuará como encargada del tratamiento de datos. Además, se deberá informar a los viajeros de este flujo de datos.

De todos modos, debe tenerse en cuenta que por la diversa casuística de agencias (mayoristas, minoristas, mixtas; de receptivo o emisor…) se deberá analizar caso por caso ya que incluso, dada la complejidad de la cadena de la intermediación, es posible que ni siquiera la agencia pueda estar en disposición de dichos datos.

12. ¿Qué datos debe solicitar el establecimiento de alojamiento (actividad de hospedaje) en el check-in?

Actualmente, debemos registrar y comunicar los datos del viajero que se recogen en el Anexo I.3 y los datos de la transacción que se recogen en el Anexo I.4 del RD 933/2021. En todo caso, la plataforma SES.HOSPEDAJES solo exige (de conformidad con el proyecto de Orden aun no aprobada) los siguientes datos:

13. ¿Qué datos debe solicitar el establecimiento de alojamiento (actividad de hospedaje) en la reserva?

Los siguientes cuatro datos sobre el viajero, salvo que el resto sean conocidos, y el resto de datos sobre la transacción:

14. ¿Qué datos deben solicitar las agencias de viaje (actividad de hospedaje)?

Los mismos que se comentaron en el punto anterior para las reservas.

15. ¿A qué datos se refiere el anexo I con las denominadas “plataforma de pagos”?

Las plataformas de pago, también conocidas como pasarelas de pago, son sistemas que facilitan las transacciones financieras en línea, conectando a los comercios con los bancos y procesando los pagos de forma segura. Estas plataformas permiten a los negocios aceptar diversas formas de pago, como tarjetas de crédito, débito, transferencias bancarias y billeteras digitales, y son cruciales para el comercio electrónico. Ejemplos: PayPal, Stripe, Redsys, Amazon Pay, Shopify Payments o Bizum entre otros.

16. ¿Cuándo tengo que comunicar los datos a las Fuerzas y Cuerpos de Seguridad del Estado?

Se debe hacer de manera inmediata, y en todo, a más tardar en un plazo no superior a 24 horas. Este plazo se cuenta desde que se realiza la reserva o desde la anulación (también debe comunicarse) o desde el inicio de los servicios contratados, es decir, desde el check-in.

Si se realiza por ejemplo en la hora 25, sería sancionable por infracción leve.

17. ¿Qué pasa si se produce una caída de la plataforma SES.HOSPEDAJES o se producen errores en la comunicación?

La obligación de comunicar persiste, por lo que se recomienda reintentar durante el plazo de 24 horas del que disponemos. En todo caso, se deberían recoger evidencias del error que se produce mediante capturas de pantalla y cualquier otra forma que permita probar que la plataforma generaba errores. Además, se recomienda comunicar los datos de que se dispongan, aunque sean incompletos, ya que es mejor que no comunicar nada.

Por otro lado, se recomienda ponerse en contacto de forma inmediata con el soporte de SES.HOSPEDAJES en: hospedajes@interior.es

18. ¿Si los datos que remito a SES.HOSPEDAJES son incorrectos, quien es el responsable?

En principio es el establecimiento responsable de recabar y comunicar los datos de forma exacta. La normativa nos obliga a que los datos transmitidos coincidan con los documentos o sistemas que acrediten la identidad de las personas, por lo que podemos solicitar al viajero que nos exhiba dichos documentos, pero no hacer copias.

19. ¿Qué sucede si me exhiben un DNI o Pasaporte en formato digital?

La comprobación de la exactitud de los datos se puede realizar exactamente igual siempre que sea la aplicación oficial del DNI, por ejemplo, que está disponible para iOS y Android.

Tiene la misma validez que el DNI físico, sin embargo, no sirve para:

• Acreditar la identidad a través de internet.
• Acreditar la identidad de manera presencial sin conexión de datos.
• Presentarlo como documento de viaje electrónico para paso de fronteras.
• Acreditar la identidad en otros países.
• Hacer gestiones telemáticas de autenticación y/o firma electrónica.

20. ¿Qué datos de medio de pago debo consignar?

Se debe consignar el medio de pago que se conozca del viajero. En todo caso, en el supuesto de agencias de viajes, en muchas ocasiones se desconoce este dato ya que solo se conoce el medio de pago de la agencia que a su vez contrata los servicios de otra. En estos casos se debería consignar el dato que se conozca.

Cuando participan en la relación comercial varias entidades intermediarias, el sujeto obligado a comunicar los datos es aquel que mantiene una relación contractual directa y final con el cliente, según las preguntas frecuentes del Ministerio del Interior.

Este tipo de cuestiones, sin embargo, aún no han sido resueltas por la normativa.

21. ¿Es obligatorio traducir los datos de viajeros que están en otros idiomas?

La plataforma SES.HOSPEDAJES requiere que los datos introducidos estén en lengua castellana. Estamos ante un procedimiento administrativo que se realiza con las Fuerzas y Cuerpos de Seguridad del Ministerio del Interior y rige el art. 15 de la Ley 39/2015 de Procedimiento Administrativo Común.

• “Artículo 15. Lengua de los procedimientos.

1. La lengua de los procedimientos tramitados por la Administración General del Estado será el castellano. No obstante lo anterior, los interesados que se dirijan a los órganos de la Administración General del Estado con sede en el territorio de una Comunidad Autónoma podrán utilizar también la lengua que sea cooficial en ella. En este caso, el procedimiento se tramitará en la lengua elegida por el interesado. Si concurrieran varios interesados en el procedimiento, y existiera discrepancia en cuanto a la lengua, el procedimiento se tramitará en castellano, si bien los documentos o testimonios que requieran los interesados se expedirán en la lengua elegida por los mismos.

2. En los procedimientos tramitados por las Administraciones de las Comunidades Autónomas y de las Entidades Locales, el uso de la lengua se ajustará a lo previsto en la legislación autonómica correspondiente.

3. La Administración Pública instructora deberá traducir al castellano los documentos, expedientes o partes de los mismos que deban surtir efecto fuera del territorio de la Comunidad Autónoma y los documentos dirigidos a los interesados que así lo soliciten expresamente. Si debieran surtir efectos en el territorio de una Comunidad Autónoma donde sea cooficial esa misma lengua distinta del castellano, no será precisa su traducción.”

22. ¿Debemos eliminar la información de un cliente habitual al cabo de 3 años que es el límite de conservación de los datos del Registro de Viajeros?

No, el plazo de tres años se refiere al registro de viajeros, pero el dato de un cliente habitual puede conservarse mientras dure o se mantenga la relación contractual con el mismo.

Una cosa es el registro de viajeros, y otra es la base de datos de clientes que mantengamos.

23. ¿Es posible recabar los datos del padre, madre, fecha de nacimiento, etc… cuando acude un menor?

La normativa nos indica que debemos recabar, además de los datos de viajero de ese menor, la relación de parentesco entre los viajeros en el caso de que alguno sea menor de edad. Esto implica que, si viajan menores, el adulto responsable debe indicar el vínculo familiar que existe entre ellos. Esto significa que, por ejemplo, si un padre viaja con su hijo, el padre deberá indicar que es su “padre” o si es un abuelo, deberá indicar que es el “abuelo” del menor, o incluso un monitor deportivo. La finalidad de este requisito es facilitar la identificación y seguimiento de los menores en caso de ser necesario, y asegurar la correcta aplicación de las normas de protección infantil.

Además, si es menor de 14 años, esos datos serán proporcionados por la persona mayor de edad de la que vayan acompañados.

La normativa no exige recabar otros datos a mayores, por lo que debemos ceñirnos a lo que nos exija el anexo I del RD 933/2021, ya comentados anteriormente.

24. ¿Cómo se deben compartir los documentos sensibles como DNI o Pasaporte?

Los documentos como el DNI, Pasaporte o cualquier otro que contenga información personal o sensible de una persona nunca se debe compartir por medios que no ofrezcan las garantías suficientes, tales como un correo electrónico sin cifrar.

Se debe realizar un análisis de riesgos y en función del mismo establecer una serie de medidas de seguridad adecuadas. En todo caso, el art. 32 del RGPD nos señala que estas medidas se adoptaran teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.

En todo caso una medida idónea es cifrar el contenido de los correos electrónico con un cifrado (mediante contraseñas robustas en el documento, sistema de firma electrónica, etc..).

También el uso de plataformas seguras para el intercambio de datos, en las que se requieran credenciales de acceso suele ser un medio idóneo para el intercambio de datos como puede ser OneDrive, etc…En todo caso se recomienda analizar las políticas de privacidad de estas soluciones, ya que en ocasiones los servicios gratuitos no ofrecen garantías suficientes.

25. ¿Si Booking ya realiza un envío de datos, el alojamiento también debe remitir los datos?

Si las obligaciones de registro y comunicación de datos son independientes y afectan a diversos actores.

26. ¿Si una OTA no tiene domicilio fiscal en España se le aplica esta normativa?

Sí. Esta normativa se aplica a las plataformas digitales dedicadas, a título oneroso o gratuito, a la intermediación en actividades alojamiento (y demás del RD 933/2021) a través de internet, presten o no el servicio subyacente objeto de mediación, siempre que ofrezcan servicios en España. Es irrelevante que presten el servicio, y tampoco es relevante que tengan domicilio en España, sino simplemente que ofrezcan aquí sus servicios.

27. ¿Si soy agencia intermediadora que se relaciona únicamente con el mayorista, debo remitir también la información?

En principio, el art. 2 del RD 933/2021, solo establece la sujeción de los operadores turísticos que presten servicios de intermediación entre las empresas dedicadas a la hospedería y los consumidores, es decir, las minoristas. En este sentido, las mayoristas en principio no estarían en el ámbito. Sin embargo, esto hay que ponerlo en concordancia con los arts. 150 y ss del Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, que regula los viajes combinados, ya que se considera “Organizador” cualquier empresario que combina y vende u oferta viajes combinados directamente, a través de o junto con otro empresario, no estando estos organizadores eximidos de las obligaciones establecidas, como tampoco lo están los minoristas, ni los empresarios que facilitan servicios de viaje vinculados, aunque declaren que actúan exclusivamente como prestadores de un servicio de viaje, como intermediarios o en cualquier otra calidad, o que los servicios que prestan no constituyen un viaje combinado o servicios de viaje vinculados.

De todos modos, también están sujetas según el RD 933/2021 las plataformas digitales dedicadas a la intermediación en estas actividades a través de internet, presten o no el servicio subyacente objeto de mediación.

En todo caso, se recomienda evacuar la consulta directamente al Ministerio del Interior porque ha habido información contradictoria en el pasado.

28. ¿Una agencia debe comunicar los datos del titular de la reserva o bien debe comunicar todos los datos de los alojamientos?

La agencia está obligada a comunicarlos todos, no solo al titular de la reserva. Se hace una comunicación por expediente, pero donde la va la relación total de viajeros y alojamientos.

29. ¿Dónde se puede obtener más información sobre estas cuestiones?

El Ministerio del Interior ha puesto a disposición de los establecimientos obligados un portal con información relevante que puede consultarse en:

• https://www.interior.gob.es/opencms/es/servicios-al-ciudadano/hospedajes-y-alquiler-de-vehiculos/
• https://hospedajes.ses.mir.es/hospedajes-sede/#/

30. ¿Qué normativa se aplica?

La normativa que rige el registro de viajeros está compuesta por la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana, el Real Decreto 933/2021, de 26 de octubre, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor y la Orden INT/1922/2003, de 3 de julio, en su redacción dada por la Orden INT/321/2021, de 31 de marzo, sobre libros-registro y partes de entrada de viajeros en establecimientos de hostelería y otros análogos, en cuanto a las obligaciones de registro documental en cuanto no se oponga al RD 933/2021.