Ir al contenido

El verano multiplica los listados en papel con datos de huéspedes y propietarios; y también el riesgo

Cada verano, los complejos turísticos y las comunidades de propietarios en zonas vacacionales multiplican el volumen de personas que necesitan identificarse para acceder a sus instalaciones. Esa gestión suele apoyarse en un instrumento tan sencillo como sensible: el listado impreso que el personal de seguridad consulta en la entrada, con nombre, número de apartamento, DNI o pasaporte. 

La siguiente resolución de la Agencia Española de Protección de Datos (AEPD), PS-00077-2024, recuerda que ese papel, aparentemente inofensivo, puede convertirse en el origen de una infracción grave del Reglamento General de Protección de Datos (RGPD).

La AEPD sancionó a una cadena hotelera, en su condición de administradora de una comunidad de propietarios, por dejar a la vista de terceros dos listados con datos de decenas de propietarios y huéspedes: apartamento, nombre y apellidos, país, número de pasaporte y DNI, entre otra información. El personal de seguridad, que fue subcontratado por una empresa externa que actuaba como encargada del tratamiento, había dejado la documentación sobre una mesa de trabajo visible y varias personas llegaron, incluso, a fotografiarla. 

La entidad alegó que el protocolo habitual consistía en custodiar la lista en una carpeta cerrada, guardada en una garita con acceso restringido, y que había valorado el incidente como de riesgo bajo, motivo por el cual no lo comunicó a la autoridad. 

La AEPD consideró, sin embargo, que no quedó acreditada la existencia de medidas técnicas y organizativas apropiadas para evitar la exposición, y calificó los hechos como una vulneración del artículo 5.1.f) del RGPD, el principio de integridad y confidencialidad, imponiendo una multa de 40.000 euros, reducida a 32.000 euros por pago voluntario.

El caso ilustra tres ideas que resultan especialmente relevantes en el sector turístico durante la temporada estival.


La primera, es que contratar a un encargado del tratamiento no traslada la responsabilidad sobre la seguridad de los datos. 

El artículo 28 del RGPD exige al responsable (en este caso, la administradora de la comunidad), elegir un encargado que ofrezca garantías suficientes y supervisar que esas garantías se cumplen en la práctica, no solo en el papel del contrato. La resolución señala expresamente que ninguno de los documentos aportados detallaba medidas concretas de custodia de los listados, más allá de fórmulas genéricas como que el encargado “garantizará la adopción de las medidas técnicas y organizativas necesarias”. 


Una cláusula contractual bien redactada, no sustituye a un control efectivo sobre cómo se manejan los datos día a día y menos aún, cuando el volumen de personas gestionadas se dispara en los meses de mayor ocupación.


La segunda idea, tiene que ver con la naturaleza del dato afectado. 

La AEPD subraya que el número de DNI, junto con su carácter de verificación, y el número de pasaporte, identifican a una persona de forma indubitada, por lo que su exposición sin las cautelas adecuadas, facilita la suplantación de identidad con consecuencias que van más allá de la mera incomodidad: riesgos patrimoniales, para el honor y para la privacidad de quien resulta afectado. Esta circunstancia se valoró como agravante a la hora de graduar la sanción. 

Conviene recordar que, en muchos protocolos de control de acceso, no es imprescindible mostrar o imprimir el número completo del documento identificativo. Existen alternativas como:

  • El enmascaramiento parcial.
  • Los sistemas de verificación mediante código. 
  • O la consulta puntual en un dispositivo con acceso restringido.

Los cuales, cumplen la misma finalidad de seguridad sin generar un documento en papel que pueda perderse, fotografiarse o quedar olvidado sobre una mesa.


La tercera idea es que la seguridad de la información no se agota en los sistemas digitales.

La brecha analizada no tuvo su origen en un ciberataque ni en un fallo informático, sino en una decisión organizativa: imprimir y transportar diariamente un listado con datos identificativos completos, sin que constara ningún mecanismo adicional de protección más allá de una carpeta y una llave. 

Cuando la temporada alta multiplica el número de personas que deben identificarse, también se multiplican las oportunidades de que un documento en papel quede expuesto por un descuido momentáneo. La formación del personal, aunque necesaria, no basta por sí sola si el propio diseño del procedimiento sigue exigiendo imprimir y transportar datos que podrían minimizarse o protegerse de otra manera.


La resolución deja una enseñanza que conecta directamente con el procedimiento habitual de hoteles, resorts y comunidades de propietarios en temporada alta: los listados en papel con datos identificativos completos siguen siendo un punto de exposición relevante, y su gestión exige medidas técnicas y organizativas verificables, no solo protocolos descritos sobre el papel

Antes de que llegue el pico de ocupación, puede resultar útil revisar:

  1. Qué información resulta estrictamente necesaria para el control de accesos, 
  2. Si existen alternativas que eviten imprimir documentos identificativos completos, 
  3. Y si los contratos con empresas de seguridad externas, incluyen medidas concretas de custodia, y no solo cláusulas genéricas de cumplimiento. 

La responsabilidad proactiva no se demuestra con un contrato de encargado bien firmado, sino con la capacidad de acreditar, si llega el momento, que las medidas pactadas se aplicaron realmente.


Redactado por Carlota, a fecha 01 de julio de 2026.





 

Preparación por las organizaciones ante la IA ofensiva