El RGPD en turismo es el marco legal europeo que obliga a hoteles, apartamentos vacacionales y cualquier alojamiento turístico a tratar los datos personales de sus huéspedes con base jurídica válida, minimización y seguridad demostrable. En España, esta obligación se concreta además en el Real Decreto 933/2021 y en el envío de datos a la plataforma SES Hospedajes. La Agencia Española de Protección de Datos (AEPD) supervisa el cumplimiento, y las sanciones por infracciones graves pueden alcanzar cifras millonarias, como demostró la multa de 14,4 millones de euros impuesta a Amadeus en 2026 por tratar datos sin base legal. Si gestionas un alojamiento en España, este artículo te explica exactamente qué debes hacer, qué está prohibido y cómo organizar tus procesos para cumplir sin errores.
¿Cuál es la base legal del RGPD en turismo para recoger datos de huéspedes?
La base jurídica que habilita el tratamiento de datos en alojamientos turísticos no es el consentimiento del huésped, sino el cumplimiento de obligación legal recogido en el artículo 6.1.c del RGPD. Esta distinción tiene consecuencias prácticas inmediatas: no necesitas pedir permiso para registrar los datos exigidos por ley, pero tampoco puedes usarlos para fines distintos como marketing sin una base jurídica separada.
El Real Decreto 933/2021 establece qué datos debes recoger obligatoriamente de cada viajero y enviar a través de SES Hospedajes. Si el huésped se niega a facilitar esos datos, el alojamiento no puede prestar el servicio de forma legal. Esto resuelve una duda frecuente: no estás vulnerando el RGPD al exigir el DNI o pasaporte en el check-in, porque la obligación viene impuesta por ley.
Sin embargo, la clave del cumplimiento no es solo tener un aviso legal en el mostrador. La AEPD exige que documentes la base jurídica para cada categoría de datos que tratas: datos de operación, datos de marketing y datos de analítica tienen bases jurídicas distintas y no son intercambiables. Confundirlas es el error más común que origina sanciones.
- Datos de registro obligatorio: base jurídica de cumplimiento legal (art. 6.1.c RGPD + RD 933/2021).
- Datos de marketing y comunicaciones comerciales: requieren consentimiento explícito del huésped (art. 6.1.a RGPD).
- Datos de analítica y mejora del servicio: pueden ampararse en interés legítimo, pero debes documentar el análisis de ponderación.
- Datos de facturación: base jurídica de ejecución contractual (art. 6.1.b RGPD) y obligación fiscal.
Consejo profesional: Crea un registro de actividades de tratamiento (RAT) con una fila por cada categoría de datos. Anota la base jurídica, el plazo de conservación y quién tiene acceso. Un documento de hoja de cálculo sencillo cumple esta obligación para alojamientos pequeños, según Hotel Tech Insight.
¿Qué datos puedes recoger en el check-in y qué está prohibido?
El principio de minimización de datos es la regla que más incumplimientos genera en el sector turístico. Solo puedes recoger los datos estrictamente necesarios para cumplir la finalidad declarada. En el check-in, eso significa los campos exigidos por el RD 933/2021, y nada más.
La AEPD ha establecido con claridad que conservar copias del DNI o pasaporte de los huéspedes no es admisible para cumplir el registro de viajeros. Muchos alojamientos siguen haciéndolo por costumbre o por comodidad, pero esta práctica expone al establecimiento a sanciones directas. El riesgo de suplantación de identidad que genera almacenar documentos completos tampoco es menor.
“Solicitar o conservar copia del DNI no es lícito aunque el huésped lo entregue voluntariamente. El principio de minimización y el riesgo de suplantación lo prohíben expresamente.” — AEPD vía Letslaw
El uso de tecnología OCR para capturar datos del documento de identidad puede ser compatible con el RGPD, pero con condiciones estrictas. El sistema OCR debe ser demostrable en cuanto a exactitud, finalidad y ausencia de almacenamiento de datos innecesarios. Esto significa que el sistema debe capturar solo los campos obligatorios, no guardar la imagen del documento y registrar un log de la operación para demostrar trazabilidad ante la AEPD.
- Permitido: capturar nombre, apellidos, número de documento, fecha de nacimiento, nacionalidad y fecha de expedición mediante OCR, sin almacenar la imagen.
- Prohibido: guardar fotografía o fotocopia del DNI o pasaporte, aunque sea en formato digital.
- Prohibido: recoger datos biométricos, historial de viajes previos o preferencias personales sin base jurídica específica y consentimiento.
- Recomendado: usar formularios digitales de check-in que extraigan solo los campos requeridos y los envíen directamente a SES Hospedajes.
Consejo profesional: El mayor foco de riesgo en protección de datos en hoteles no son los datos básicos de reserva, sino el manejo del documento identificativo. Digitalizar el proceso con formularios estructurados reduce el perímetro de datos a proteger y facilita la auditoría, según Letslaw.
¿Cuáles son las obligaciones operativas durante y después del hospedaje?
Cumplir el RGPD no termina cuando el huésped hace el check-out. Los alojamientos turísticos tienen obligaciones operativas continuas que afectan a cómo gestionas incidentes, respondes a solicitudes y conservas los datos. Estas son las más críticas, ordenadas por urgencia:
- Notificación de brechas de seguridad en 72 horas. Si detectas un acceso no autorizado a datos de huéspedes, tienes un plazo máximo de 72 horas para notificar a la AEPD. Incumplir este plazo se clasifica como infracción gravísima. Para cumplirlo, necesitas un procedimiento interno que detecte la brecha, evalúe el riesgo y genere la notificación antes de que expire el plazo.
- Respuesta a derechos de los interesados en un mes. Los huéspedes pueden ejercer sus derechos de acceso, rectificación, supresión y portabilidad. El alojamiento debe responder en un plazo de un mes desde la recepción de la solicitud. Este plazo es operativo y exige tener localizados los datos del huésped en todos los sistemas donde estén almacenados.
- Conservación de datos según RD 933/2021 durante tres años. La AEPD ha resuelto el aparente conflicto entre minimización y conservación: la base jurídica de obligación legal obliga a conservar los datos tres años, aunque el huésped solicite la supresión antes. Pasado ese plazo, la supresión es obligatoria salvo que exista otra base jurídica vigente, como una obligación fiscal.
- Separación de datos no eliminables. Cuando un huésped solicita la supresión pero los datos deben conservarse por obligación legal o fiscal, debes bloquear esos datos. El bloqueo significa que no se usan para ningún otro fin, pero se conservan disponibles para requerimientos de autoridades.
- Documentación del cumplimiento. La responsabilidad proactiva exige que puedas demostrar ante una inspección que tienes procesos definidos para detectar brechas y responder a derechos. Una política de privacidad publicada en la web no es suficiente sin los procedimientos internos que la respalden.
¿Cómo afecta el Data Act a la gestión de datos en alojamientos turísticos?
El Data Act de la Unión Europea complementa el RGPD con reglas específicas para el acceso, uso y compartición de datos, tanto personales como no personales. Para los alojamientos turísticos, esto añade una nueva capa de obligaciones que afecta especialmente a los establecimientos con dispositivos conectados o integraciones con plataformas externas.
| Aspecto | RGPD | Data Act |
|---|---|---|
| Tipo de datos | Solo datos personales | Datos personales y no personales |
| Objetivo principal | Proteger la privacidad del individuo | Regular el acceso y uso de datos generados por dispositivos y servicios |
| Obligación clave | Base jurídica, minimización, derechos | Separar datos, adaptar contratos, facilitar acceso a datos |
| Aplicación en turismo | Registro de huéspedes, marketing, analítica | IoT en habitaciones, sensores, plataformas de gestión |
| Riesgo principal | Sanciones por tratamiento ilícito | Infracciones por compartición indebida o reidentificación |
El Data Act genera una nueva capa de gobernanza que exige mapear qué datos son personales y cuáles no en cada sistema que uses. Un termostato inteligente en la habitación genera datos de uso que pueden no ser personales por sí solos, pero combinados con el registro del huésped pueden permitir la reidentificación. Esa combinación ya entra en el ámbito del RGPD.
Para adaptarte al Data Act, revisa los contratos con tus proveedores tecnológicos. Deben incluir cláusulas sobre quién puede acceder a los datos generados en tu alojamiento, en qué condiciones y con qué finalidad. El choque entre RGPD y Data Act surge precisamente al compartir datos entre sistemas IoT y plataformas externas sin haber separado previamente los datos personales de los no personales.
Puntos clave
El cumplimiento del RGPD en turismo exige base jurídica documentada, minimización estricta de datos, procedimientos operativos para brechas y derechos, y adaptación al Data Act para entornos tecnológicos conectados.
| Punto | Detalles |
|---|---|
| Base jurídica correcta | El registro de viajeros se ampara en obligación legal, no en consentimiento del huésped. |
| Prohibición de copias de DNI | La AEPD prohíbe guardar fotografías o fotocopias del documento de identidad. |
| Plazo de notificación de brechas | Debes notificar a la AEPD en un máximo de 72 horas tras detectar una brecha con riesgo. |
| Conservación tres años | Los datos del RD 933/2021 deben conservarse tres años aunque el huésped solicite supresión. |
| Data Act y separación de datos | Mapea y separa datos personales y no personales en todos tus sistemas para evitar infracciones. |
Lo que he aprendido gestionando el cumplimiento normativo en alojamientos
Después de trabajar con decenas de propietarios y gestores de alojamientos turísticos en España, el patrón que más se repite es el mismo: el establecimiento tiene una política de privacidad publicada en la web y cree que eso es suficiente. No lo es. La AEPD no sanciona por no tener el texto correcto en la web. Sanciona porque no puedes demostrar qué hiciste cuando llegó una solicitud de supresión, o porque tardaste cinco días en detectar una brecha que llevaba activa desde el lunes.
Lo que realmente marca la diferencia es tener procesos escritos y probados antes de que ocurra el problema. Un procedimiento de respuesta a brechas que nadie ha leído no sirve de nada a las 11 de la noche cuando el sistema de reservas falla. Lo que sirve es haberlo practicado, saber quién llama a quién y tener la plantilla de notificación a la AEPD ya preparada.
Mi consejo más directo para propietarios de alojamientos pequeños: no intentes gestionar el cumplimiento con herramientas genéricas. Usa plataformas diseñadas específicamente para el sector turístico español, que ya integren el envío a SES Hospedajes, los plazos de conservación correctos y los registros de actividad que necesitas para demostrar cumplimiento. El coste de una herramienta especializada es marginal comparado con el de una inspección de la AEPD. Y si quieres ver cómo funciona en la práctica, revisa el caso real de un hotel que resolvió exactamente estos problemas con un proceso digitalizado.
— Eiminas
Cómo Eurocheckin te ayuda a cumplir el RGPD sin complicaciones
Eurocheckin es la plataforma diseñada específicamente para que los alojamientos turísticos en España cumplan el RGPD y el Real Decreto 933/2021 sin procesos manuales ni riesgos de error. La plataforma automatiza el envío de datos a SES Hospedajes, gestiona el check-in online multilingüe y almacena los datos de huéspedes en servidores dentro de la Unión Europea con los plazos de conservación correctos ya configurados.
Con Eurocheckin, tienes trazabilidad completa de cada tratamiento de datos, lo que te permite responder a solicitudes de derechos en el plazo de un mes y documentar el cumplimiento ante la AEPD. Si buscas digitalizar el registro de huéspedes con todas las garantías legales, o necesitas un flujo de gestión de huéspedes que integre cumplimiento normativo desde el primer contacto, Eurocheckin tiene la solución lista para tu alojamiento.
FAQ
¿Qué es el RGPD en turismo y a quién aplica?
El RGPD en turismo es el Reglamento General de Protección de Datos aplicado a hoteles, apartamentos vacacionales y cualquier alojamiento que trate datos personales de huéspedes. Aplica a todos los establecimientos turísticos en España, independientemente de su tamaño.
¿Puedo sacar fotocopia del DNI del huésped en el check-in?
No. La AEPD ha establecido que conservar copias o fotografías del DNI o pasaporte no es admisible para cumplir el registro de viajeros. Solo debes recoger los datos específicos exigidos por el Real Decreto 933/2021.
¿Cuánto tiempo debo conservar los datos de los huéspedes?
Los datos recogidos conforme al RD 933/2021 deben conservarse durante tres años. Pasado ese plazo, debes suprimirlos salvo que exista una obligación fiscal u otra base jurídica que justifique su conservación adicional.
¿Qué hago si sufro una brecha de seguridad en los datos de huéspedes?
Debes notificar a la AEPD en un plazo máximo de 72 horas desde que detectas la brecha, si esta supone un riesgo para los derechos de los interesados. Incumplir este plazo se clasifica como infracción gravísima bajo el RGPD.
¿El Data Act sustituye al RGPD en los alojamientos turísticos?
No. El Data Act complementa el RGPD regulando el acceso y uso de datos no personales generados por dispositivos y servicios. Ambas normativas coexisten y los alojamientos deben cumplir las dos, especialmente si usan tecnología IoT o plataformas de gestión conectadas.
