SES Hospedajes: qué está permitido y qué vulnera la Protección de Datos

El Real Decreto 933/2021, en vigor desde el 2 de enero de 2023, establece nuevas obligaciones de registro documental e información de los huéspedes. El período de adaptación concluyó el 2 de diciembre de 2024, fecha a partir de la cual se podrán imponer sanciones a los establecimientos que no cumplan con la normativa. SES Hospedajes es la plataforma del Ministerio del Interior a través de la que cumplir con la ley.

Esta regulación aplica a una amplia gama de alojamientos, incluyendo hoteles, apartamentos, hostales, pensiones, campings, así como operadores turísticos y plataformas digitales de intermediación. Más allá de la mera burocracia, esta ley busca generar confianza y seguridad jurídica para los pasajeros y huéspedes.

La Agencia Española de Protección de Datos (AEPD) ha publicado una nota informativa en la que aborda diversos aspectos relacionados con la identificación de las personas que van a reservar o contratar un hospedaje.

El objetivo del documento, que ha sido elaborado por la Agencia y se ha remitido de forma previa tanto al Ministerio del Interior como a la confederación que agrupa a las empresas que prestan servicios de hospedaje, es evitar riesgos para la privacidad de las personas.

El Real Decreto 933/2021 establece la obligación del titular de la actividad de hospedaje de recoger determinados datos de las personas que hagan uso de sus servicios.

La Agencia establece en la nota que esta recogida de información no autoriza a solicitar una copia del documento de identidad del cliente, ya que esto vulneraría el principio de minimización de datos y supondría un tratamiento excesivo.

Documentos como el DNI incluyen información adicional a la requerida por la norma (como la fotografía, la fecha de caducidad, el CAN o nombres de los padres), cuyo tratamiento incrementa el riesgo de suplantación de identidad. Por otro lado, el DNI no incluye la totalidad de la información solicitada en el Real Decreto 933/2021 por lo que, por sí solo, no es un recurso válido para poder cumplir con la norma. Además, el envío de una copia del documento no permite verificar con certeza la identidad de la persona que lo remite.

Para cumplir con la obligación legal, la Agencia considera que el huésped debe proporcionar los datos que se detallan en los apartados correspondientes del Real Decreto, y que estos pueden recogerse mediante un formulario presencial u online.

Para la autenticación de los datos facilitados, en el caso presencial, bastaría con una verificación visual del documento. Si esta se realiza online, se recomienda el uso de mecanismos como certificados digitales, comprobación con los datos asociados al método de pago o autenticación a través de códigos enviados al teléfono o correo electrónico del cliente.

En todo caso, cualquier otro procedimiento que se utilice deberá ser evaluado por el responsable del tratamiento de datos, garantizando siempre su compatibilidad con la normativa de protección de datos.

Por lo tanto, la AEPD lanza una aclaración contundente: prohibición solicitar copias del DNI o pasaporte. La Agencia es categórica al señalar que esta práctica vulnera el principio de minimización de datos establecido en el artículo 5.1 c) del Reglamento General de Protección de Datos y supone un tratamiento excesivo de datos.

Además, la AEPD argumenta que el DNI por sí solo no incluye la totalidad de la información solicitada en el Anexo I del Real Decreto 933/2021, lo que lo invalida como único recurso para cumplir con la norma. Tampoco el envío de una copia del documento permite verificar con certeza la identidad de la persona, lo cual contraviene la finalidad del RD 933/2021, que es la «protección de personas y bienes y el mantenimiento de la tranquilidad ciudadana».

¿Cómo recoger y verificar los datos con SES Hospedajes?

Para dar cumplimiento a la obligación legal, la AEPD entiende que basta con que el huésped facilite o complete la información exigida en el Real Decreto 933/2021. Esta recopilación puede hacerse mediante un formulario, tanto de forma presencial como a través de medios digitales.

En cuanto a la verificación de los datos aportados:

Recogida presencial: es suficiente realizar una comprobación visual del documento de identidad que muestre el huésped, contrastando que coincida con la información proporcionada.

Recogida online sin interacción presencial: se aconseja emplear sistemas como certificados digitales, la verificación de los datos vinculados al método de pago utilizado o la autenticación mediante códigos de seguridad enviados al teléfono o al correo electrónico del huésped. Estos datos de contacto forman parte de la información que el establecimiento está obligado a recabar conforme al propio Real Decreto 933/2021.

La AEPD precisa que, aunque propone estos sistemas, cualquier otro método de autenticación que se adopte debe ser previamente analizado por el responsable del tratamiento, garantizando en todo momento su adecuación a la normativa de protección de datos.

Cambios clave en la recogida y comunicación de datos

Ampliación de los datos obligatorios: Durante el check-in, el número de datos que deben solicitarse a cada huésped pasa de 9 a 17 obligatorios. Entre ellos se incluyen:

Nombre, primer y segundo apellido
Sexo
Tipo y número del documento de identidad, y número de soporte
Nacionalidad
Fecha de nacimiento
Dirección completa de residencia (dirección, localidad y país)
Teléfono fijo, teléfono móvil y correo electrónico
Número total de viajeros
Relación de parentesco entre los viajeros (cuando se trate de menores)

Como novedad, todos los huéspedes mayores de 14 años deberán firmar el parte de entrada, y deja de ser obligatorio recoger la fecha de expedición del documento de identidad.

Nuevo sistema de comunicación de datos: Los datos ya no se enviarán a la Guardia Civil (Hospederías) ni a la Policía Nacional (WebPol).

A partir de ahora, la comunicación se realizará directamente al Ministerio del Interior mediante la nueva plataforma SES.HOSPEDAJES.

Los partes de entrada deben remitirse en un plazo máximo de 24 horas desde la reserva, la formalización del contrato o el inicio de los servicios contratados.

Excepciones territoriales
Aunque el Real Decreto 933/2021 es aplicable en toda España, existen excepciones:

En Cataluña, los establecimientos deberán seguir comunicando la información a los Mossos d’Esquadra.
En País Vasco, la comunicación se realizará a la Ertzaintza.

Oportunidad para la confianza, la seguridad y la eficiencia

La implementación de estas normativas, especialmente la clara directriz de la AEPD sobre el DNI, debe ser vista por el sector turístico como una oportunidad clave para fortalecer la confianza y la seguridad jurídica de sus clientes.

Al limitar la recogida de datos a lo estrictamente necesario y proteger la privacidad, se reducen los riesgos de posibles brechas de seguridad y de suplantación de identidad, haciendo que el huésped se sienta más seguro y valorado.

Esta adaptación también profesionaliza el sector, alineándolo con los estándares europeos de protección de datos.

Asesoramiento proactivo para evitar sanciones en Protección de Datos

Las sanciones por incumplir el RD 933/2021 se rigen por la Ley Orgánica 4/2015 de protección de la seguridad ciudadana.

Infracciones leves: incluyen errores, irregularidades o comunicaciones fuera de plazo, y pueden suponer multas de 100 a 600 €.
Infracciones graves: como la falta de registros o la no realización de las comunicaciones obligatorias, pueden implicar sanciones de 601 a 30.000€.

Dado que el régimen sancionador comenzó a aplicarse el 2 de diciembre de 2024, es muy recomendable que los responsables del tratamiento se asesoren con antelación. Este asesoramiento resulta fundamental para:

Evitar sanciones aplicando correctamente los nuevos requisitos.
Garantizar que cualquier método de autenticación de datos cumple la normativa de protección de datos.
Mejorar la operativa del establecimiento mediante la digitalización del check-in y el uso de herramientas conectadas con SES HOSPEDAJES, que permiten automatizar el envío de información y ahorrar tiempo.

En resumen, adaptarse a estas obligaciones no solo es un requisito legal, sino también una oportunidad para reforzar la reputación, la eficiencia y la seguridad en un sector turístico español cada vez más competitivo y consciente de la importancia de la privacidad.

Preguntas y respuestas más relevantes para los profesionales

1. ¿Debe un establecimiento de alojamiento o una agencia de viajes informar al viajero sobre la protección de datos personales cuando recoge su información para cumplir con el Real Decreto 933/2021?

En efecto, tanto el RGPD 2016/679 como la LOPGDD 3/2018 establecen la obligación de proporcionar información al interesado, tal y como recogen los artículos 13 y 14 del RGPD y del artículo 11 de la LOPDGDD. Esta información debe ofrecerse por capas; en una primera fase, durante el proceso de Check-in, se facilita al viajero una información esencial, que posteriormente se amplía y completa en la política de privacidad del propio establecimiento.

2. ¿Puedo pedir una copia del DNI, NIE o PASAPORTE a un viajero/huésped para verificar su identidad?

No. Exigir una copia o realizar un escaneo del DNI, NIE o PASAPORTE supone un tratamiento de datos excesivo que incumple el principio de minimización de datos establecido en el art. 5 RGPD.

El establecimiento de alojamiento o agencia podrá verificar la identidad exigiendo que se muestre el documento, pero nunca podrá realizar copia del mismo, ya que este documento contiene muchos más datos personales de los exigidos por la normativa. Además, es un documento “sensible” que puede utilizarse posteriormente para suplantar la identidad de una persona.

Incluso si tenemos el consentimiento del viajero para almacenar copia de su DNI, a pesar de que tendríamos una base legal, podríamos estar ante un tratamiento de datos innecesario igualmente. Además, el consentimiento podría no ser completamente libre, ya que el huésped puede verse constreñido a facilitar copia de su DNI bajo la posibilidad de quedarse sin alojamiento. En todo caso, el consentimiento para que sea libre, debería permitir que el viajero no lo otorgase el consentimiento, ya que en otro caso el consentimiento no sería libre.

3. ¿Puede almacenar los DNI mediante ocultación de los campos no necesarios?

En principio, si solo se almacenase el DNI con los campos no necesarios ocultados, parece que no se incumpliría el principio de minimización. Lo mismo pasaría si se escanease con un lector OCR que solo extrajera los datos requeridos en el RD 933/2021.

4. ¿Puedo establecer un sistema de check-in online para evitar colas en el establecimiento?

En efecto, el RD 933/2021 establecen la posibilidad de recabar estos datos de forma online con carácter previo. A estos efectos, la normativa exige, en estos casos, que se establezcan sistemas para la verificación a distancia de la exactitud de los datos.

La AEDP recomienda, a título de ejemplo, el uso de mecanismos como:

- - Certificados digitales.
  - Comprobación con los datos asociados al método de pago utilizado.
  - La autenticación a través de códigos de seguridad enviados al teléfono o correo electrónico del cliente/huésped.
  - Otros que el establecimiento considere siempre que cumplan con el RGPD.

5. ¿A qué sanciones me enfrento por incumplir las obligaciones de registro documental y comunicación establecidas en el RD 933/2021?

Las sanciones por incumplimiento de esta normativa son las siguientes:

- Graves: Multa de 601 hasta 30.000 euros por las siguientes infracciones:

- - La carencia de los registros documentales.
  - La omisión de las comunicaciones obligatorias de datos.

- Leves: Multa desde 100 a 600 euros por las siguientes infracciones:

- - Las irregularidades o deficiencias en la cumplimentación de los registros previsto.
  - La alegación de datos o circunstancias falsos, siempre que no constituya infracción penal.
  - La omisión de comunicaciones obligatorias dentro de los plazos establecidos, siempre que no constituya infracción penal.

6. ¿Si cumplo con el RD 933/2021 me pueden sancionar también por incumplimiento de la normativa en materia de protección de datos?

En efecto, sí. Ambas normativas son independientes y ambas normativas han de cumplirse. Por ejemplo, si solicitamos una copia del DNI a un huésped podemos estar cumpliendo la obligación de verificar la corrección de los datos del RD 933/2021, pero estaríamos incumpliendo la normativa en materia de protección de datos.

7. ¿Cuáles son las sanciones por incumplir las obligaciones en materia de protección de datos?

La LOPDGDD establece tres tipologías de sanciones:

- Sanción de hasta 40.000 euros para infracciones leves (art. 74).
- Sanción de 40.001 hasta 300.000 euros para infracciones graves (art. 73).
- Sanción de 300.001 hasta 20 millones de euros o el 4% de la facturación anual para infracciones muy graves (art. 72).

8. ¿Resulta obligatorio conservar en la nube la información contenida en el Libro-Registro de Viajeros?

La normativa actual establece que los datos del Libro-Registro de Viajeros deben conservarse un plazo de 3 años desde la fecha desde la grabación digital de la información.

No existe una obligación legal de almacenar en la nube los datos del Libro-Registro de Viajeros. La normativa únicamente exige que dicha información esté debidamente conservada, disponible para las autoridades competentes y protegida conforme a las medidas de seguridad establecidas por la legislación de protección de datos.

Por tanto, el alojamiento puede realizarse en sistemas locales del propio establecimiento o en servicios en la nube, siempre que estos garanticen la confidencialidad, integridad y disponibilidad de los datos, y que cumplan con las exigencias del RGPD y la LOPDGDD, especialmente en lo relativo a la seguridad del tratamiento y, en caso de utilizar proveedores externos, a la formalización de un contrato de encargado del tratamiento.

9 ¿Puede una agencia de viajes asistir a un establecimiento de alojamiento realizando un pre-check-in del huésped o viajero?

Sí. Una agencia de viajes puede colaborar con un establecimiento de alojamiento recabando, en nombre de este, los datos exigidos por el RD 933/2021 y remitiéndoselos posteriormente. No obstante, para que dicha gestión de datos personales sea válida, deberá formalizarse un contrato de encargo de tratamiento conforme al artículo 28 del RGPD, en el que el establecimiento de alojamiento figure como responsable del tratamiento y la agencia actúe como encargada. Asimismo, los viajeros deberán ser informados de esta comunicación de datos.

En cualquier caso, es importante considerar la variedad de tipos de agencias de viajes (mayoristas, minoristas, mixtas, receptivas o emisoras), por lo que la situación deberá evaluarse individualmente. De hecho, en algunos supuestos, debido a la complejidad propia de la cadena de intermediación, puede ocurrir que la agencia ni siquiera tenga acceso a los datos necesarios.

10. ¿Cuándo tengo que comunicar los datos a las Fuerzas y Cuerpos de Seguridad del Estado?

Con la entrada en vigor del RD 933/2021 se ha creado una nueva plataforma estatal, SES Hospedajes — gestionada por Ministerio del Interior — para la comunicación de los datos de los viajeros registrados en alojamientos turísticos.

Ello implica que ya no es obligatorio remitir los datos directamente a Guardia Civil (anterior sistema “Hospederías”) ni a Policía Nacional (antiguo sistema “WebPol / e-Hotel”), excepto en determinadas comunidades con sus propios cuerpos de seguridad (como el País Vasco o Cataluña).

Por tanto: la obligación actual — en la mayor parte de España — es comunicar los datos de los huéspedes mediante SES Hospedajes, no realizar envíos separados a Guardia Civil o Policía Nacional.

11. ¿Debemos eliminar la información de un cliente habitual al cabo de 3 años que es el límite de conservación de los datos del Registro de Viajeros?

No, el plazo de tres años se refiere al registro de viajeros, pero el dato de un cliente habitual puede conservarse mientras dure o se mantenga la relación contractual con el mismo.

Una cosa es el registro de viajeros, y otra es la base de datos de clientes que mantengamos.

12. ¿Cómo se deben compartir los documentos sensibles como DNI o Pasaporte?

Los documentos como el DNI, Pasaporte o cualquier otro que contenga información personal o sensible de una persona nunca se debe compartir por medios que no ofrezcan las garantías suficientes, tales como un correo electrónico sin cifrar.

Se debe realizar un análisis de riesgos y en función del mismo establecer una serie de medidas de seguridad adecuadas. En todo caso, el art. 32 del RGPD nos señala que estas medidas se adoptaran teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.

En todo caso una medida idónea es cifrar el contenido de los correos electrónico con un cifrado (mediante contraseñas robustas en el documento, sistema de firma electrónica, etc..).

¿Qué datos se pueden solicitar y cuáles no?

La legislación obliga a ciertos establecimientos a recoger información concreta de sus clientes, pero no pueden excederse en sus exigencias ni almacenar datos innecesarios.

Datos que SÍ
pueden pedirte

Nombre y apellidos.
Documento de identidad (DNI, pasaporte o NIE).
Fecha de nacimiento.
Nacionalidad.
Fecha de entrada y salida del establecimiento.

El cumplimiento de las obligaciones en materia de registro de viajeros y protección de datos en el sector del hospedaje requiere una correcta interpretación del RD 933/2021, así como una adecuada aplicación del RGPD y la LOPDGDD. La gestión segura de la información, la implantación de procedimientos internos, la adaptación al nuevo sistema SES.Hospedajes y la creación de políticas de privacidad claras son hoy elementos esenciales para garantizar tanto la legalidad como la confianza de los clientes.

Datos que NO pueden exigirte
ni almacenar sin justificación

Fotocopia del DNI o pasaporte: Mostrarlo para verificar la identidad es suficiente. Hacer una copia y guardarla no está justificado en la mayoría de los casos.
Número de tarjeta de crédito/débito si no se realiza un pago con ella: Pueden pedirla para garantizar una reserva, pero no pueden exigir su almacenamiento sin consentimiento explícito.
Dirección personal o laboral: No es un dato obligatorio para hospedarse en un hotel.
Teléfono o correo electrónico si no se justifica su necesidad: Solo deberían pedírtelo si hay una razón clara, como enviarte la confirmación de la reserva.

Cumplir SES Hospedajes y la LOPD no solo evita sanciones administrativas de hasta decenas de miles de euros; también protege la reputación de tu empresa frente a clientes y terceros.
Un análisis integral realizado por consultores en protección de datos suele reducir el riesgo de incumplimiento hasta en un 90%.