"Het is een onnodig risico": de AEPD zegt dat het verboden is om om een ​​kopie van een identiteitsbewijs te vragen voor verblijf in een logement.

Het Spaanse Agentschap voor gegevensbescherming (AEPD) heeft gemeld dat accommodaties geen kopie van de identiteitskaart of het paspoort van een gast mogen opvragen, overeenkomstig Koninklijk Besluit 933/2021 of het nieuwe reizigersregister, dat de eigenaar van de accommodatie-activiteit verplicht om bepaalde gegevens te verzamelen van de mensen die gebruikmaken van hun diensten.

In een verklaring rechtvaardigde het agentschap deze praktijk door te stellen dat dit in strijd is met het beginsel van minimale gegevensverwerking en dat het om een ​​"overmatige" verwerking gaat, aangezien de volledige identiteitskaart meer gegevens bevat dan vereist is volgens de toepasselijke regelgeving , zoals de foto, de vervaldatum van het document, het nationale identiteitsdocument (CAN) of de namen van de ouders.

De AEPD heeft eveneens gesteld dat het verstrekken van een kopie van persoonlijke documentatie onder andere een "onnodig" risico op identiteitsdiefstal met zich meebrengt , dat "vermeden of op zijn minst effectief beperkt moet worden."

Bovendien merkte hij op dat de DNI niet alle informatie bevat die wordt gevraagd in Bijlage I van Koninklijk Besluit 933/2021 en dat het op zichzelf dus geen geldig middel is om aan de bovengenoemde verordening te voldoen.

Wat betreft de gegevensverzameling zoals vereist door Koninklijk Besluit 933/2021, is de AEPD van mening dat het voldoende kan zijn dat personen een formulier invullen of verstrekken dat alleen de gegevens bevat die vereist zijn in de punten A.3 en B.3 van Bijlage I van het Koninklijk Besluit. Dit omvat reizigersgegevens zoals naam, achternaam, geslacht, ID-nummer, geboortedatum en mobiel telefoonnummer.

Wat betreft de authenticiteit van gegevens die via een formulier zijn verzameld, hoeft de AEPD bij persoonlijke inzameling mogelijk alleen visueel te verifiëren of de verstrekte gegevens overeenkomen met het gepresenteerde identificatiedocument .

In het geval van online gegevensverzameling zonder persoonlijke assistentie kan deze verificatie worden uitgevoerd met behulp van mechanismen zoals digitale certificaten , aldus het agentschap in het persbericht. "Het is ook mogelijk om te controleren of de verstrekte gegevens en informatie overeenkomen met de gegevens die gekoppeld zijn aan de gebruikte betaalmethode", aldus het agentschap.

Een andere mogelijke maatregel is het versturen van beveiligingscodes naar de telefoonnummers of e-mailadressen van gasten die zichzelf moeten identificeren als authenticatiefactor.