I. Introducción
El tratamiento de documentos de identidad en hoteles de Turquía exige revisar las prácticas de check-in y conservación de datos. Mediante su Decisión de Principio sobre el “Registro de fotocopias de los documentos de identidad turcos de personas que reciben servicios de alojamiento en el sector turístico y hotelero”, publicada en el Boletín Oficial de 9 de diciembre de 2025 y número 33102, la Autoridad turca de Protección de Datos Personales (“Autoridad”) examinó la práctica de larga data consistente en obtener fotocopias del documento de identidad durante estancias hoteleras en Turquía, solicitadas a los huéspedes durante el check-in y aplicada de forma casi uniforme por los responsables del tratamiento en el sector turístico y hotelero. En esta Decisión de Principio, la Autoridad concluyó que no existe base legal para registrar fotocopias de documentos de identidad y, por tanto, decidió que obtener dichas fotocopias es contrario a la ley.
El hecho de que esta práctica, que muchas instalaciones de alojamiento consideran un procedimiento rutinario y casi “obligatorio”, haya sido reevaluada por la Autoridad a la luz de la Ley de Protección de Datos Personales núm. 6698 (“Ley” o “KVKK”), tiene implicaciones significativas para todos los responsables del tratamiento del sector. De conformidad con esta Decisión de Principio, los responsables del tratamiento que operan hoteles y otros establecimientos turísticos deben ahora revisar la conformidad de sus procesos de registro de huéspedes y bases de datos con la Ley e iniciar nuevas medidas de cumplimiento.
II. Contenido y razonamiento de la Decisión de Principio sobre fotocopias de documentos de identidad en estancias hoteleras en Turquía
2.1. Operaciones prohibidas y la prohibición de fotocopias de documentos de identidad en estancias hoteleras en Turquía
En la Decisión de Principio se establece expresamente que los responsables del tratamiento que operan en el sector turístico y hotelero deben poner fin a la práctica de obtener fotocopias de documentos de identidad turcos de los huéspedes alojados en sus instalaciones y de almacenar dichas fotocopias. En consecuencia, tomar una fotocopia física del documento de identidad del huésped, escanearlo en formato digital o guardar de cualquier modo su imagen visual en sistemas se considera una actividad de tratamiento de datos personales contraria a la KVKK.
Con esta Decisión de Principio, la Autoridad no solo introduce una prohibición respecto de futuras actividades de tratamiento, sino que también exige que las fotocopias de documentos de identidad obtenidas antes de la fecha de publicación de la Decisión de Principio sean destruidas conforme a la legislación aplicable. En este contexto, los hoteles y otros establecimientos de alojamiento deben identificar todas las fotocopias de documentos de identidad conservadas tanto en archivos físicos como en sistemas digitales y llevar a cabo procedimientos de supresión y destrucción conforme a las políticas de conservación y destrucción de datos personales de la empresa.
2.2. Fundamentos jurídicos y razonamiento de la prohibición de fotocopias de documentos de identidad en estancias hoteleras en Turquía
El razonamiento jurídico de la Decisión de Principio se basa esencialmente en una interpretación conjunta de las disposiciones de la KVKK y de la Ley de Notificación de Identidad núm. 1774 y su Reglamento de aplicación. El artículo 5 de la KVKK establece las condiciones para el tratamiento de datos personales de forma numerus clausus y dispone que el tratamiento solo es lícito cuando se apoya en determinados fundamentos legales, como estar expresamente previsto por la ley, ser necesario para la ejecución de un contrato o ser obligatorio para el cumplimiento de una obligación legal. El artículo 6, por su parte, somete el tratamiento de categorías especiales de datos personales a condiciones más estrictas.
Con arreglo a la Ley de Notificación de Identidad y al Reglamento correspondiente, los establecimientos de alojamiento están obligados a registrar la información de identidad de los huéspedes y sus fechas de entrada y salida en el registro de alojamiento o en sistemas electrónicos, y a mantener esta información disponible para inspección por las autoridades competentes. Sin embargo, no existe disposición alguna en dicha legislación que permita obtener fotocopias de documentos de identidad o almacenar tales fotocopias. Sobre esta base, la Autoridad concluye que obtener fotocopias de documentos de identidad no puede interpretarse como “un requisito de una obligación legal expresamente prevista por la ley”.
Además, obtener una fotocopia de un documento de identidad implica tratar un alcance de datos más amplio de lo necesario para cumplir la obligación de verificación y registro de identidad. En particular, en los documentos de identidad de formato antiguo se incluye información como la religión y otras categorías especiales de datos personales; por tanto, obtener una fotocopia del documento de identidad crea riesgos adicionales en virtud del artículo 6 de la KVKK. Por estas razones, la Autoridad considera que la práctica de obtener fotocopias de documentos de identidad es una actividad de tratamiento de datos sin base legal e incompatible con los principios de minimización de datos y de tratamiento de datos pertinentes, limitados y proporcionados a los fines para los que se tratan.
2.3. Alcance de la obligación de verificación de identidad tras la Decisión de Principio
Aunque la Decisión de Principio prohíbe registrar fotocopias de documentos de identidad, no elimina la obligación de verificación de identidad de los establecimientos de alojamiento derivada de la Ley de Notificación de Identidad. En otras palabras, los hoteles y otras empresas turísticas seguirán solicitando que los huéspedes presenten sus documentos de identidad y seguirán obligados a registrar la información obligatoria contenida en dichos documentos en el registro de alojamiento o en sistemas electrónicos.
En este marco, tras la Decisión de Principio, las siguientes prácticas siguen siendo lícitas y obligatorias:
- Solicitar que los huéspedes presenten sus documentos de identidad y comprobar la información contenida en ellos,
- Registrar en el registro de alojamiento la información de identidad exigida por la legislación aplicable (por ejemplo, nombre, apellidos, número de identidad turco y fechas de llegada y salida),
- Mantener dichos registros disponibles para inspección por las autoridades competentes.
III. Obligaciones de cumplimiento para instalaciones turísticas y de alojamiento
3.1. Actualización de los procedimientos de check-in de huéspedes
Tras la Decisión de Principio, el primer paso consiste en revisar los procedimientos de check-in de huéspedes y suspender de inmediato todas las prácticas que impliquen obtener fotocopias de documentos de identidad. Los procedimientos de recepción, formularios de check-in, tarjetas de registro de huéspedes y el software hotelero utilizado (PMS, etc.) deben revisarse en consecuencia, y deben eliminarse todos los campos o instrucciones que soliciten fotocopias de documentos de identidad.
Es esencial informar al personal de recepción y a otros empleados que intervienen en el proceso de registro de huéspedes de que la obligación de verificación de identidad se limita a la presentación del documento de identidad y al registro de la información de identidad necesaria, y de que bajo ninguna circunstancia pueden solicitarse fotocopias de documentos de identidad. Además, los avisos de privacidad y las comunicaciones sobre tratamiento de datos personales deben actualizarse teniendo en cuenta que ya no se tratan fotocopias de documentos de identidad.
3.2. Identificación y destrucción de fotocopias de documentos de identidad existentes
La Decisión de Principio no introduce únicamente una prohibición hacia el futuro; también hace obligatoria la destrucción de las fotocopias de documentos de identidad obtenidas previamente conforme a la legislación. Por tanto, como primer paso, los establecimientos de alojamiento deben inventariar las fotocopias de documentos de identidad conservadas tanto en archivos físicos como en entornos digitales. Carpetas de expedientes, salas de archivo, archivos de documentos escaneados, imágenes cargadas en sistemas PMS y adjuntos de correo electrónico deben incluirse en esta revisión.
Las fotocopias de documentos de identidad identificadas en este proceso deben suprimirse, destruirse o anonimizarse de conformidad con la política de conservación y destrucción de datos personales de la empresa, y la fecha y alcance de estas operaciones deben documentarse.
3.3. Revisión de la documentación interna y de las relaciones contractuales
Para que el proceso de cumplimiento sea completo, no solo deben revisarse las prácticas reales, sino también la documentación interna y las relaciones contractuales con encargados del tratamiento. El inventario de datos personales, las políticas de conservación y destrucción, los procedimientos de cumplimiento KVKK y las instrucciones a empleados deben actualizarse teniendo en cuenta que ya no se tratan fotocopias de documentos de identidad.
Además, los contratos celebrados con encargados del tratamiento, como proveedores de software hotelero, empresas externas de archivo o prestadores de servicios similares, deben examinarse para identificar cualquier disposición que haga referencia a fotocopias de documentos de identidad, y dichas disposiciones deben modificarse cuando sea necesario. De este modo, tanto el responsable del tratamiento (el establecimiento de alojamiento) como los encargados del tratamiento quedarán alineados con la Decisión de Principio, reduciendo así los posibles riesgos legales y administrativos.
IV. Conclusión
La Decisión de Principio de la Autoridad de Protección de Datos Personales de 9 de diciembre de 2025 caracteriza expresamente una práctica de larga data en el sector turístico y hotelero -obtener y almacenar fotocopias de los documentos de identidad turcos de los huéspedes- como una actividad ilícita de tratamiento de datos personales en virtud de la KVKK.
Tras esta Decisión de Principio, los operadores de hoteles y establecimientos de alojamiento deben revisar sin demora sus procedimientos de check-in de huéspedes, bases de datos, documentación interna y relaciones con encargados del tratamiento, y completar sus esfuerzos de cumplimiento. Poner fin a todos los procedimientos basados en la obtención de fotocopias de documentos de identidad, destruir las fotocopias almacenadas en el pasado y documentar adecuadamente estos pasos es de importancia crítica para reducir posibles riesgos de sanciones administrativas.
Nota: Esta traducción se ofrece únicamente como cortesía y puede presentar pequeñas diferencias respecto del texto original.
