Protección de Datos

Sanciones AEPD en hostelería y turismo: casos

Sanciones AEPD en hostelería y turismo: escaneo del DNI en check-in, registro de viajeros, cámaras en zonas de personal, wifi de huéspedes y no-shows.

En una frase. Las sanciones de la AEPD en hostelería y turismo se concentran en cinco prácticas: escanear o fotocopiar el DNI íntegro en el check-in, reutilizar el registro de viajeros para marketing, instalar cámaras en zonas de descanso del personal, gestionar mal el wifi de huéspedes y publicar reservas o no-shows con datos identificables.

Puntos clave

  • Escanear el DNI completo en el check-in suele ser un exceso de datos frente a la anotación de los campos necesarios.
  • Los datos del registro de viajeros (RD 933/2021) se recogen por seguridad ciudadana y no pueden reutilizarse para marketing.
  • Las cámaras en zonas de descanso del personal vulneran su intimidad y están prohibidas.
  • El wifi de cortesía exige información y base jurídica claras para el tratamiento asociado.
  • Publicar reservas o no-shows con nombre o datos identificables es un tratamiento sin base.

1. El check-in: el exceso de datos más habitual

La práctica de escanear o fotocopiar el DNI o el pasaporte íntegro de cada huésped es uno de los focos recurrentes de sanción. El establecimiento debe cumplir la obligación de registro de viajeros, pero eso no autoriza a conservar una imagen completa del documento indefinidamente. El criterio de minimización (art. 5.1.c RGPD) exige recoger los campos necesarios para el parte, no una copia total que incluye datos irrelevantes como la fotografía o el número de soporte. El detalle operativo del check-in y el parte de viajeros está en la guía de RGPD para hoteles y turismo en España.

2. El registro de viajeros no es una base de marketing

El Real Decreto 933/2021 obliga a comunicar los datos de los viajeros al Ministerio del Interior a través de SES.Hospedajes. Esos datos se recogen por una obligación legal con finalidad de seguridad ciudadana y no pueden reutilizarse para enviar promociones ni alimentar programas de fidelización. Mezclar ambas finalidades —usar el dato recabado por obligación legal para marketing— es una de las infracciones más claras que detecta la AEPD, porque el marketing exige una base propia (el consentimiento) que el parte de viajeros no proporciona.

3. Cámaras: dónde sí y dónde no

La videovigilancia en hoteles y restaurantes es legítima en zonas comunes y de acceso, con cartel informativo y conservación máxima de un mes (art. 22 LOPDGDD). Es ilícita en zonas de descanso, vestuarios y comedores del personal, donde prevalece la intimidad de los trabajadores. La captación de la vía pública más allá de lo imprescindible también se sanciona. El régimen completo está en la guía de videovigilancia y RGPD en España y los casos concretos en las sanciones AEPD por videovigilancia.

4. Wifi, reservas y no-shows

El wifi de cortesía que exige registrarse con datos personales genera un tratamiento que debe informarse y ampararse en una base; usar esos datos para perfilar o enviar publicidad sin consentimiento es sancionable. Publicar en tablones internos o redes las reservas, listas de espera o no-shows con nombre y apellidos expone datos sin base y ha motivado reclamaciones. La regla es tratar cada finalidad por separado y documentarla en el registro de actividades del tratamiento.

5. Tabla de riesgo por supuesto

Supuesto Infracción típica Cómo evitarlo
Escaneo íntegro del DNI Exceso de datos (art. 5.1.c) Anotar solo campos del parte
Registro de viajeros para marketing Uso incompatible (art. 5.1.b) Base propia y separada
Cámara en zona de personal Intromisión (art. 88 LOPDGDD) Retirar la cámara
Wifi sin información Falta de información (art. 13) Aviso y base jurídica
No-shows publicados Tratamiento sin base (art. 6) No publicar datos identificables

6. Programas de fidelización y reservas online

Los programas de fidelización son un foco propio. Recoger el correo, el teléfono y el historial de estancias para enviar promociones exige consentimiento informado y específico, separado del contrato de alojamiento. No basta una casilla en el formulario de reserva ni el consentimiento en bloque para “recibir información”: la finalidad publicitaria debe presentarse de forma diferenciada y ser revocable en cualquier momento, con un mecanismo de baja tan sencillo como el alta.

Las reservas a través de OTAs (Booking, Expedia, Airbnb) añaden una capa de complejidad: según la función concreta, la plataforma puede actuar como responsable independiente o como corresponsable con el establecimiento, lo que obliga a definir por escrito quién informa al cliente y quién atiende sus derechos. Un hotel que asume que la OTA se ocupa de todo, sin contrato ni reparto de funciones, se expone a responder por incumplimientos que creía ajenos. El tratamiento de los datos que llegan por estos canales debe integrarse en el mismo registro de actividades que los del check-in directo, con sus bases y plazos diferenciados.

7. Lecciones para el sector

La conclusión práctica es que casi todas las sanciones del sector nacen de confundir finalidades: usar para marketing lo que se recogió por obligación legal, o conservar de más lo que solo se necesitaba para el trámite. Separar las finalidades, minimizar en el check-in y respetar la intimidad del personal elimina la mayor parte del riesgo. A ello se añade una regla de sentido común que la AEPD premia: informar de todo con claridad. Un establecimiento que explica en un cartel y en su web qué datos recoge, para qué y con qué base, y que atiende con diligencia las solicitudes de los clientes, rara vez llega a un expediente, porque la mayoría de reclamaciones nacen de la opacidad y de la sensación del cliente de que sus datos se usan sin su conocimiento. La guía de RGPD para hostelería y restauración cubre bares y restaurantes, y el procedimiento de la Agencia está en la guía de la AEPD como autoridad de control.

Mantener el registro de tratamientos y las cláusulas informativas al día es más sencillo con una plataforma que centralice la documentación; Legiscope es una de las opciones europeas orientadas a ese objetivo. Las resoluciones originales se consultan en la sede de la AEPD, y el régimen general de importes en la guía de sanciones del RGPD.

FAQ

¿Puede el hotel escanear mi DNI en el check-in?

Debe registrar los datos exigidos por el parte de viajeros, pero conservar una copia íntegra del documento suele ser un exceso frente al principio de minimización. La práctica recomendable es anotar los campos necesarios para el registro, no fotocopiar o escanear el documento completo y guardarlo indefinidamente.

¿Puede un hotel usar mis datos del check-in para enviarme promociones?

No sin tu consentimiento. Los datos del registro de viajeros se recogen por obligación legal con finalidad de seguridad, y reutilizarlos para marketing es un uso incompatible. Para enviarte comunicaciones comerciales el hotel necesita una base propia, normalmente tu consentimiento expreso.

Sí en zonas comunes y de acceso, con cartel informativo y conservación máxima de un mes. Es ilícito instalarlas en zonas de descanso, vestuarios o comedores del personal, donde prevalece su intimidad, y captar la vía pública más allá de lo imprescindible.

¿Se puede publicar la lista de no-shows o reservas?

No con datos identificables. Publicar en tablones o redes los nombres de quienes no se presentaron o de las reservas es un tratamiento sin base jurídica. La gestión interna de no-shows debe hacerse sin exponer datos personales de los clientes.


Contexto histórico y comparación anual en el tracker de sanciones AEPD 2026.

Referencias oficiales: AEPD, Reglamento General de Protección de Datos (EUR-Lex), LOPDGDD (BOE).

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →