Prostay
Reserve una demostración
Hotel Operations Optimization

Registro de huéspedes en hoteles y denuncias policiales en 2026: una guía por países

Actualmente, cinco países de la UE exigen a los hoteles independientes que transmitan los datos de identidad de los huéspedes a la policía o a los portales del Ministerio del Interior en un plazo de entre 24 y 72 horas, y la mayoría de los operadores siguen gestionando este proceso en papel o mediante un programa de escritorio que un antiguo responsable de recepción configuró en 2019. Este es el panorama real por países para 2026: SES Hospedajes en España, en virtud del RD 933/2021; Alloggiati Web en Italia; la fiche de police en Francia; el Hotelmeldeschein en Alemania; y SIBAplus en Portugal. Los once incumplimientos que acarrean multas, el conflicto con el RGPD que los abogados no señalan y un plan de acción de 14 días que un gerente puede poner en marcha.

Mika Takahashi
Mika TakahashiEquipo editorial

Publicado 12 jun 2026

28 min de lectura

A cel-shaded editorial illustration in an isometric 3/4-angle composition showing a stylised hotel reception desk node with a glowing screen reading Check-in 22:14 in the foreground, fanning five colour-coded data-flow arrows out to five labelled government building icons arranged in a soft arc: Spain SES Hospedajes, Italy Alloggiati Web, France Fiche de Police, Germany Hotelmeldeschein, and Portugal SIBAplus, with each arrow tagged with a 24h or 72h time-label sticker, alongside a small wall clock showing 23:47, a single passport, and a key card on a soft cream background, illustrating the country-by-country guest registration compliance stack that an independent EU hotel must transmit to police and interior ministries within hours of every check-in.

La realidad del cumplimiento normativo que nadie te ha explicado

Un hotel independiente en Madrid, Roma, Lyon, Berlín o Lisboa registra la entrada de unos 100 huéspedes a la semana. Cada uno de esos registros de entrada conlleva una obligación legal distinta en el país donde opera el hotel: la transmisión de datos de identidad a un portal de la policía, el Ministerio del Interior o la agencia de migración, en un plazo que se mide en horas en lugar de días, con normas de conservación que van desde los seis meses en Francia hasta los cinco años en Italia y un baremo de sanciones que va desde una multa simbólica hasta la suspensión de la licencia de explotación. Los cinco principales regímenes europeos coinciden en los campos básicos de identidad y divergen en casi todo lo demás: la base jurídica, la plataforma, el plazo, el formato, el periodo de conservación, la carga de trabajo en materia de protección de datos y la periodicidad de las auditorías.

La mayoría de los hoteles independientes siguen gestionando este flujo de trabajo en un registro en papel, a mano alzada por un empleado durante la auditoría nocturna, o en un cliente de escritorio que un antiguo jefe de recepción configuró en 2019 y que nadie ha tocado desde entonces. El coste no se manifiesta como una única multa, sino como una carga acumulativa: entre 30 y 90 minutos de trabajo administrativo nocturno por turno, un atraso en las inspecciones que se materializa cada tres o cuatro años, y un pequeño número de establecimientos que reciben anualmente multas de cinco cifras que casi siempre se remontan al mismo puñado de incumplimientos. La medida adecuada es llevar todos los regímenes por el mismo carril automatizado dentro del sistema de gestión hotelera, donde los datos se recogen una sola vez al hacer el check-in (o antes, en el motor de reservas) y se envían mediante API al portal que exija la legislación del país. Este artículo ofrece una visión honesta, país por país, de lo que ese sistema debe hacer en 2026, de dónde cada normativa pone trabas a los independientes, y un plan de acción de 14 días para poner en orden un establecimiento ya existente.

Escribo para Prostay, el equipo que gestiona este sistema en unos 30 países. Las cifras y las listas de campos que figuran a continuación proceden de las normativas publicadas, las notas de trabajo de nuestro equipo de integraciones, los informes de auditoría que nuestros clientes en España e Italia han recibido realmente en 2024 y 2025, y los patrones de inspección que la Guardia Civil, la Polizia di Stato, las prefecturas francesas, los Ordnungsämter alemanes y la AIMA de Portugal han seguido en los últimos 18 meses. No hay una armonización paneuropea a la vista. La implantación de la cartera de identidad digital de la UE eIDAS 2.0, que comenzará en 2026, permitirá finalmente que un huésped presente su identidad verificada una sola vez y que esta se remita al regulador adecuado, pero aún faltan varios años para que esté operativa en las 27 jurisdicciones. Mientras tanto, el trabajo se realiza país por país, régimen por régimen, y la única respuesta sostenible es automatizarlo.

Qué cambió en 2024 y 2025

Tres cosas cambiaron de manera significativa. Ninguna de ellas fue bien cubierta por la prensa especializada.

En primer lugar, el Real Decreto 933/2021 de 26 de octubre entró finalmente en vigor el 2 de octubre de 2024, tras dos aplazamientos (inicialmente enero de 2023, luego enero de 2024). El decreto se aplica a hoteles, hostales, alquileres vacacionales, campings, áreas de autocaravanas, operadores turísticos y empresas de alquiler de coches, y amplió el conjunto de datos para los operadores de alojamiento de 8 campos, según el régimen anterior de la Orden INT/1922/2003, a 14 campos personales por huésped adulto, además de la información sobre el método de pago de la transacción de reserva. Las asociaciones hoteleras españolas CEHAT e ITH impugnaron el decreto en 2022 y 2024 por motivos de protección de datos, pero el Tribunal Supremo se negó a suspender su aplicación. La plataforma es el portal SES.HOSPEDAJES del Ministerio del Interior, con una API REST protegida por OAuth que los proveedores de PMS comenzaron a integrar en serio a partir de agosto de 2024. Los establecimientos que utilicen las vías de carga heredadas del Cuaderno de Viajeros o de Hospederías deben migrar a SES.HOSPEDAJES; ambas vías heredadas se retiraron entre octubre de 2024 y marzo de 2025.

En segundo lugar, el servicio de policía de Portugal SEF (Serviço de Estrangeiros e Fronteiras) fue disuelto por el Decreto-Ley n.º 41/2023 y sus competencias en materia de residentes extranjeros se transfirieron a la nueva Agência para a Integração, Migrações e Asilo (AIMA), operativa desde el 29 de octubre de 2023. La plataforma SIBA que utilizaban los hoteles para transmitir los boletines de alojamiento fue sustituida por SIBAplus, bajo la autoridad de la AIMA, con migraciones de credenciales que se prolongaron hasta el primer semestre de 2024 y un pequeño número de hoteles independientes que seguían utilizando credenciales heredadas ya obsoletas en las inspecciones de principios de 2025. La obligación sustantiva no cambió (las llegadas de ciudadanos extranjeros deben notificarse en un plazo de 3 días hábiles), pero sí lo hicieron la plataforma, las credenciales y la periodicidad de las inspecciones.

En tercer lugar, Francia modificó su arrêté sobre la fiche individuelle de police a finales de 2024 para permitir la presentación electrónica a la prefectura en zonas reguladas (los textos de aplicación se publicaron a principios de 2025), y la modificación de la Bundesmeldegesetz de Alemania, que entró en vigor el 1 de enero de 2025, permite a los Länder autorizar un Meldeschein electrónico (e-Meldeschein) para los huéspedes no alemanes, eliminando el requisito de la firma manuscrita que había bloqueado el registro digital de turistas extranjeros en Alemania desde 1983. A fecha de junio de 2026, seis estados federados (Berlín, Hamburgo, Baviera, Hesse, Renania del Norte-Westfalia y Baden-Wurtemberg) han publicado reglamentos de aplicación; los diez restantes siguen en papel. El régimen del artículo 109 de la TULPS italiana no ha cambiado en lo esencial, pero el nuevo Codice Identificativo Nazionale (CIN), introducido en virtud de la Ley 191/2023 y de aplicación obligatoria a partir del 1 de enero de 2025, añadió una obligación paralela para los anfitriones de registrar la propiedad en sí en el registro nacional de turismo, que es el trámite burocrático que los independientes suelen confundir con la obligación de informar sobre los huéspedes. Son dos cosas distintas.

Los datos que ahora quiere cada régimen europeo

Los cinco principales regímenes coinciden en unos ocho campos y divergen en el resto. En España, Italia, Francia, Alemania y Portugal, los campos comunes son: nombre completo, fecha de nacimiento, nacionalidad, tipo de documento de identidad, número de documento de identidad, fecha de llegada, fecha de salida y el identificador del alojamiento (un número asignado por el regulador que vincula el registro a un establecimiento específico). España añade el sexo, el lugar de nacimiento, el lugar de residencia, el correo electrónico, el teléfono móvil, los datos del método de pago y los registros de la relación parental para los menores acompañantes. Italia añade el lugar de nacimiento, el lugar de expedición del documento y (para los alquileres vacacionales) la dirección del anfitrión. Francia recoge además la dirección particular, pero omite el correo electrónico y los datos de pago. Alemania recoge todo lo anterior más la dirección particular, pero es el régimen en el que el requisito de la firma manuscrita (en los Länder todavía en papel) modifica sustancialmente el flujo de trabajo. Portugal se mantiene fiel al conjunto de campos que España tenía originalmente en virtud de la orden de 2003: nombre, fecha de nacimiento, nacionalidad, tipo y número de documento de identidad, fechas de llegada y salida, país de residencia.

Los plazos de conservación son: España 3 años, Italia 5 años (retención administrativa por parte de la Polizia di Stato; la obligación de retención del propio operador es más breve), Francia 6 meses por parte del operador, Alemania 1 año y luego destrucción obligatoria, Portugal indefinidamente por parte de la AIMA, mientras que la copia del operador está sujeta a los principios de retención del RGPD (de 3 a 5 años es la opción defensiva habitual). Los rangos de sanciones, los desencadenantes de las auditorías y la realidad de la aplicación de la ley se tratan en los manuales de cada país que figuran a continuación.

Guías por países

Los cinco principales regímenes europeos que merecen una sección dedicada, además de un breve repaso a Grecia, Austria, Suiza y el grupo de países de Europa Central. Cada guía por país tiene la misma estructura: base jurídica, a quién afecta, plazos, campos obligatorios, formato, conservación, sanciones y los fallos más habituales.

España: SES Hospedajes y RD 933/2021

Base jurídica: Real Decreto 933/2021, de 26 de octubre, por el que se regulan las obligaciones de documentación e información de las personas físicas y jurídicas que se dedican a actividades de alojamiento y alquiler de vehículos de motor. Instrumentos de aplicación: Orden INT/1267/2024 (especificaciones técnicas), directrices de la AEPD de octubre de 2024.

A quién afecta: hoteles, hostales, paradores, viviendas de uso turístico, B&B, campings, áreas de autocaravanas, operadores turísticos que gestionan el alojamiento y empresas de alquiler de vehículos. Quedan excluidos: cruceros en tránsito, alojamientos proporcionados en el marco de un tratamiento médico y estancias familiares.

El plazo: los datos de registro deben transmitirse a la plataforma SES.HOSPEDAJES en un plazo de 24 horas desde la llegada. La plataforma marca cada envío con una marca de tiempo del servidor, por lo que el reloj del hotel y el del regulador deben coincidir. El plazo de 24 horas comienza a partir del check-in, no de la reserva. Una reserva realizada con tres meses de antelación con check-in a las 14:00 de un viernes debe transmitirse antes de las 14:00 del sábado.

Campos obligatorios: 14 por huésped adulto, más un registro estructurado para los menores acompañantes. Identidad: nombre completo, sexo, fecha de nacimiento, nacionalidad, tipo de documento de identidad, número de documento de identidad, lugar de nacimiento (ciudad o país), lugar de residencia (ciudad o país), fecha de llegada, fecha de salida, marca de tiempo de la firma. Contacto: correo electrónico, teléfono móvil. Pago: nombre del titular de la cuenta, IBAN o los cuatro últimos dígitos de la tarjeta, fecha de la transacción e importe. En el caso de los menores, el operador debe registrar la relación parental o de tutela con uno de los adultos en el mismo registro.

Formato: API REST con autenticación de credenciales de cliente OAuth 2.0; sobre XML por registro; la carga manual de archivos XLSX sigue estando permitida para operadores muy pequeños (de una a tres habitaciones), pero la utilizan principalmente las pensiones fuera del sector hotelero gestionado por PMS.

Side-angle close-up of a slim laptop displaying a stylised SES HOSPEDAJES submission form with Spanish field labels for Documento, Nacionalidad, Fecha de entrada, Fecha de salida and Habitación, a primary submit button labelled Enviar al Ministerio del Interior, and a green status pill in the upper right reading Lote 12 enviado 14 min, alongside two passport pages with their personal-information fields rendered as soft blurred lozenges to suggest GDPR redaction.
SES Hospedajes es un envío de 14 campos por adulto. La mayoría de los errores se producen en el bloque de pago.

Conservación: 3 años a partir de la fecha de registro. Transcurridos 3 años, el operador debe eliminar los registros; el Ministerio conserva una copia separada durante sus propios plazos legales.

Sanciones: leves, de 100 a 600 EUR (típicas: presentación tardía o incompleta), graves de 601 a 30 000 EUR (típicas: incumplimiento persistente de la obligación de presentación, omisión de campos obligatorios), muy graves hasta 100 000 EUR acumulados (típicas: negativa a registrarse, registros falsificados). La frecuencia de las inspecciones en 2024 y 2025 ha sido de aproximadamente una de cada ocho propiedades al año, con mayor presencia en Madrid, Barcelona, Mallorca, la Costa del Sol y las Islas Canarias.

Los dos fallos que vemos con más frecuencia: (1) propiedades que utilizan un PMS que captura la identidad en el check-in pero no los campos de método de pago, lo que significa que el auditor nocturno tiene que conciliar la reserva con el registro del SES manualmente antes de enviarla; (2) propiedades que crearon un flujo de trabajo manual de carga en el SES en octubre de 2024 y nunca implementaron la cola de rechazos, lo que significa que entre un 6 % y un 11 % de los envíos son rechazados silenciosamente por un campo que falta y nunca se vuelven a intentar. Ambos fallos se consideran graves en una inspección.

Italia: Alloggiati Web y el artículo 109 del TULPS

Base jurídica: Artículo 109 del Testo Unico delle Leggi di Pubblica Sicurezza (R.D. 773/1931, modificado en repetidas ocasiones). Decreto de aplicación: D.M. de 7 de enero de 2013 por el que se establece la transmisión electrónica a través del servicio Alloggiati Web gestionado por la Polizia di Stato. Puesto en marcha a nivel de las Questura regionales.

A quién afecta: hoteles, B&B, agroturismos, alquileres vacacionales, albergues, residencias, campings y cualquier estructura que ofrezca alojamiento de pago. Los alquileres vacacionales se incluyeron explícitamente a partir de 2018.

Plazos: en un plazo de 24 horas desde el check-in para estancias de 24 horas o más; en un plazo de 6 horas desde el check-in para estancias inferiores a 24 horas. La regla de las 6 horas abarca las reservas de uso diurno, los autobuses con literas y las paradas técnicas breves. Los operadores con un gran volumen de reservas de menos de 24 horas necesitan una cola de transmisión que se ejecute cada hora, no un lote único por noche.

Campos obligatorios: nombre completo, fecha de nacimiento, sexo, lugar de nacimiento (con código de provincia para huéspedes italianos), nacionalidad, tipo de documento de identidad, número de documento de identidad, lugar de expedición, fecha de llegada y número de noches. En el caso de menores acompañantes, se registra la relación con el cabeza de familia. Algunas Questure solicitan además la dirección de residencia, lo cual se aplica a nivel local.

Formato: un archivo de texto de longitud fija (167 caracteres ASCII por línea, encabezado de archivo con las credenciales del operador) que se sube al portal web Alloggiati o se transmite a trav��s de la API WS-REST introducida en 2020. El formato de longitud fija es frágil: un desplazamiento de un solo carácter en una línea invalida todo el lote. Las integraciones de PMS casi siempre utilizan la API.

Conservación: 5 años de conservación administrativa en la Polizia di Stato. La obligación de conservación del propio operador es más breve (1 año como mínimo según las directrices interpretativas del TULPS), pero el principio de proporcionalidad del RGPD y las directrices de la Garante de 2018 orientan a la mayoría de los establecimientos hacia un plazo de 1 a 3 años.

Sanciones: El artículo 109 del TULPS prevé técnicamente un arresto de hasta 3 meses o una multa de hasta 206 EUR por infracción, pero la aplicación en 2024 y 2025 ha recurrido de forma abrumadora a la vía de la sanción administrativa en virtud de la L. 689/1981, con multas de entre 110 y 1032 euros por incumplimiento, además de advertencias por escrito y (para los reincidentes) la suspensión de la licencia. La multa por una sola infracción es pequeña, pero la Polizia di Stato cuenta cada transmisión omitida como una infracción separada, y una inspección que revele dos meses de envíos omitidos puede dar lugar a una multa acumulada de cuatro cifras.

La trampa: el Codice Identificativo Nazionale (CIN), introducido en virtud de la Ley 191/2023 y de aplicación obligatoria a partir del 1 de enero de 2025, es una obligación de registro de propiedades independiente dependiente del Ministerio de Turismo, no del Ministerio del Interior. No sustituye a Alloggiati Web, no exime a nadie de Alloggiati Web y no integra el registro de huéspedes en una sola plataforma. Muchos independientes italianos confundieron ambos a principios de 2025 y se saltaron semanas de envíos a Alloggiati Web mientras se centraban en el cumplimiento del CIN. Trátelas como flujos de trabajo independientes en el manual de operaciones.

Francia: La Fiche Individuelle de Police

Base jurídica: Artículo R611-42 del Code du tourisme. Decreto de aplicación de 22 de mayo de 2007 (con actualizaciones posteriores, incluida la enmienda de finales de 2024 que autoriza la presentación electrónica en zonas reguladas).

A quién afecta: hoteles, hostales, residencias hoteleras, casas rurales, habitaciones de huéspedes (B&B), campings y anfitriones de alquileres a corto plazo por encima del umbral ocasional.

Quién debe registrarse: solo los huéspedes no pertenecientes al EEE ni a Suiza. Los nacionales de la UE y del EEE (además de los suizos) están exentos en virtud del principio de libre circulación. Este es el punto más malinterpretado del régimen francés: un hotel francés que lleva una ficha de cada huésped está recopilando más datos personales de los que exige la ley y está, en sí mismo, infringiendo técnicamente el principio de minimización de datos del RGPD. La postura correcta es limitar el flujo de trabajo de la ficha en función de la nacionalidad en el momento de la reserva o del registro.

Campos obligatorios: apellidos, nombres, fecha de nacimiento, lugar de nacimiento, nacionalidad, domicilio habitual, teléfono móvil o correo electrónico, fecha de llegada y fecha prevista de salida.

Formato: en papel o electrónico. Los hoteles conservan las fichas en sus instalaciones y las presentan, previa solicitud, a la policía, la gendarmería o un inspector de la prefectura. La enmienda de 2024 autorizó a algunas prefecturas a recibir las fichas por vía electrónica a través de un portal regional, pero la cobertura es desigual; a partir de junio de 2026, la mayoría de las prefecturas siguen esperando recibirlas en papel.

Conservación: 6 meses por parte del operador. Transcurridos 6 meses, el operador debe destruir las fichas. Las directrices de la CNIL de 2022 reafirmaron que el plazo de 6 meses es un máximo, no un objetivo, y recomendaron destruir las fichas tan pronto como haya concluido la estancia correspondiente para el periodo de auditoría del regulador (normalmente al cabo de 4 meses).

Sanciones: infracción de 5.ª clase (hasta 1 500 EUR por ficha faltante o incompleta, que se duplica a 3 000 EUR para reincidentes en el plazo de un año). La aplicación práctica se centra en los establecimientos situados en zonas turísticas con un elevado número de huéspedes extranjeros (París, Costa Azul, Burdeos, Lyon, Estrasburgo) y en aquellos que han dado lugar a una investigación policial independiente en la que la falta de fichas se utiliza como cargo paralelo.

El flujo de trabajo adecuado: una ficha digital generada por el motor de reservas para cada reserva, configurada para mostrarse solo cuando la nacionalidad del huésped no sea del EEE, con la ficha conservada en el PMS durante 6 meses y luego eliminada automáticamente. Hoy en día, casi nadie sigue este flujo de trabajo; el hotelero independiente francés medio sigue fotocopiando los pasaportes en recepción y archivando las fichas en una carpeta de anillas.

Alemania: Hotelmeldeschein y la Bundesmeldegesetz

Base jurídica: los artículos 29 y 30 de la Bundesmeldegesetz (BMG, en vigor desde el 1 de noviembre de 2015, con la enmienda de 2025 sobre el e-Meldeschein), y la Verwaltungsvorschrift que la aplica a nivel regional.

A quién afecta: hoteles, hostales, pensiones, B&B, alquileres vacacionales gestionados como Beherbergungsbetrieb y cualquier operador de alojamiento comercial.

Quién debe registrarse: todos los huéspedes, con dos procedimientos distintos. Ciudadanos alemanes: un «vereinfachter Meldeschein» en el que se indiquen el nombre, la fecha de nacimiento, la nacionalidad, la dirección, el número de documento y la fecha de llegada. No se requiere firma. No alemanes: un Hotelmeldeschein completo con los mismos campos, además de la dirección de residencia en el extranjero y una firma personal. El requisito de la firma era el principal obstáculo para el check-in totalmente digital de los turistas extranjeros; la enmienda de 2025 al e-Meldeschein permite ahora a los estados federados autorizar alternativas electrónicas.

Campos obligatorios (huésped extranjero, completo): apellidos, nombres, fecha de nacimiento, nacionalidad, tipo y número de documento de identidad, domicilio en el extranjero, fecha de llegada, fecha prevista de salida, firma (o equivalente electrónico en los estados federados con e-Meldeschein), registros del cónyuge acompañante y de menores.

Formato: los Meldescheine se conservan en el establecimiento y no se transmiten activamente a una autoridad central. La Polizei o el Ordnungsamt pueden inspeccionarlos. El plazo de conservación de un año comienza a partir de la salida; transcurrido un año, el Meldeschein debe destruirse.

Sanciones: El artículo 54 de la BMG prevé multas administrativas (Bußgelder) de hasta 1 000 EUR por infracción. La aplicación de la ley es esporádica: Berlín, Múnich, Hamburgo y Fráncfort realizan controles aleatorios periódicos; el resto de Alemania inspecciona tras recibir una denuncia o tras una investigación independiente. La exposición de una propiedad con un año de Meldescheine faltantes o incompletos suele suponer entre 2 000 y 8 000 euros en multas acumuladas, más el coste de la reconstrucción.

Situación del e-Meldeschein en 2025: Berlín, Hamburgo, Baviera, Hesse, Renania del Norte-Westfalia y Baden-Wurtemberg han publicado reglamentos de aplicación a partir de junio de 2026. En esos estados federados, un proceso de registro digital con una firma electrónica fuerte (normalmente una firma electrónica cualificada según eIDAS, o un equivalente de identificación por vídeo) cumple con el artículo 30 de la Ley Federal de Migración (BMG). En los diez estados federados restantes, todavía se exige una firma manuscrita a los huéspedes no alemanes, lo que significa que un hotel que realice un registro de entrada parcialmente digital, por ejemplo, en Schleswig-Holstein, sigue necesitando un paso de firma física en recepción para los huéspedes extranjeros.

Portugal: SIBA, SIBAplus y el traspaso de la AIMA

Base jurídica: Lei n.º 23/2007 (Regime Jurídico de Entrada, Permanência, Saída e Afastamento de Estrangeiros), en su versión modificada, con la disolución de la SEF y la creación de la AIMA en virtud del Decreto-Lei n.º 41/2023, en vigor desde el 29 de octubre de 2023. La plataforma es SIBAplus, sucesora del sistema SIBA original que funcionó bajo la SEF hasta 2023.

A quién afecta: hoteles, posadas, residencias, alojamiento local (alquileres vacacionales), bed and breakfast, campings y cualquier operador de alojamiento comercial.

Quién debe registrarse: solo los extranjeros, incluidos los ciudadanos de la UE (esta es la diferencia con respecto al régimen francés, que exime a los nacionales de la UE y del EEE). El boletim de alojamento recoge la identidad y la estancia del huésped extranjero. Los ciudadanos portugueses están exentos.

Plazos: en un plazo de 3 días hábiles desde el check-in para las llegadas, más una notificación separada en un plazo de 3 días hábiles desde el check-out. El plazo de 3 días hábiles es el más flexible de los cinco principales regímenes y ofrece a los hoteles portugueses un margen notablemente mayor que a los establecimientos españoles o italianos.

Campos obligatorios: apellidos, nombres, fecha de nacimiento, lugar de nacimiento, nacionalidad, tipo y número de documento de identidad (pasaporte o documento nacional de identidad), país de residencia, fecha de llegada, fecha prevista de salida.

Formato: API REST de SIBAplus con autenticación basada en tokens, o carga web de un archivo CSV estructurado. El antiguo punto final SOAP de SIBA se retiró a mediados de 2024 y cualquier integración de PMS que aún lo utilice ha dejado de funcionar; este es el fallo de integración más común que observamos en las inspecciones de 2026 de hoteles independientes portugueses.

Conservación: La AIMA conserva los registros de forma indefinida. La conservación por parte del operador está limitada por el principio de proporcionalidad del RGPD; entre 3 y 5 años es la opción defensiva habitual, en consonancia con el plazo de prescripción de las reclamaciones fiscales relacionadas.

Sanciones: en virtud de la Ley n.º 23/2007, las infracciones administrativas (contraordenações) oscilan entre 100 y 2000 euros por infracción para las personas físicas y hasta 6000 euros para las personas jurídicas. La aplicación de la ley ha sido irregular hasta 2024, ya que la AIMA absorbió el volumen de trabajo de la SEF y se migraron las credenciales; para el segundo trimestre de 2025, el ritmo de inspecciones se normalizó en aproximadamente un establecimiento independiente de cada doce al año, con mayor presencia en Lisboa, Oporto y el Algarve.

Grecia, Austria y Suiza en noventa segundos

Grecia: los hoteles envían los datos de los huéspedes a la Policía Helénica a través de un portal nacional en un plazo de 24 horas desde el registro de entrada, además de cumplir con las obligaciones del registro fiscal de la AADE para los alquileres a corto plazo. Sanciones: de 100 a 5.000 euros por infracción. El régimen griego es estructuralmente similar al de España, pero con un conjunto de campos más reducido y una API menos madura.

Austria: el artículo 10 de la Meldegesetz de 1991 exige un Gästeblatt (formulario de registro de huéspedes) para cada huésped, que debe conservarse durante 7 años (el plazo más largo de Europa). Sanciones: hasta 720 EUR por infracción (art. 22 de la MeldeG). La aplicación de la normativa se concentra en Viena, Salzburgo y las principales regiones de esquí.

Suiza: normativa cantonal. La mayoría de los cantones exigen el registro en línea de los huéspedes extranjeros a través de un sistema regional (por ejemplo, el MeldeGuide de Berna, el eRegistration de Zúrich o la plataforma SHM compartida por varios cantones). El plazo de conservación y las sanciones varían según el cantón; lo habitual es un plazo de conservación de entre 1 y 5 años y multas de entre 100 y 5000 CHF por infracción.

República Checa, Croacia, Hungría, Polonia: cada uno gestiona su propio portal y plazo, con plazos que van desde las 24 horas (República Checa) hasta los 5 días (Croacia para algunos tipos de propiedades). El patrón es el mismo: campos de identidad, un portal regulador, un plazo medido en horas o días, una retención medida en años y un baremo de sanciones que convierte pequeños incumplimientos en una exposición acumulada de cuatro cifras.

Las once infracciones que acarrean multas y auditorías

En las aproximadamente 600 auditorías e inspecciones que hemos visto gestionar a nuestros clientes en 2024 y 2025, los mismos once fallos representan la gran mayoría de las multas, advertencias por escrito y notificaciones de reinspección. Aquí están, en orden descendente de frecuencia, con la solución operativa.

Vertical timeline infographic of the 24-hour clock from check-in to portal submission with five labelled stops at 00:00 check-in passport scanned, 00:14 PMS validates document, 01:00 first failure point clerk forgets to flag minor, 06:00 batch transmission attempted, and 23:00 second failure point portal session expired, plus three side annotations marking the most common audit triggers wrong portal endpoint, retention exceeded three years, and time-zone offset, with a green check at the bottom labelled 24-hour deadline met.
La mayoría de las multas no provienen del regulador. Provienen del reloj de la auditoría nocturna y del temporizador de sesión del portal.
  1. Presentación tardía fuera del plazo de 24 o 6 horas. El fallo más común. Un registro a las 22:30, un auditor nocturno que termina la carga manual a las 02:00, un sistema que marca la hora de envío en el servidor a las 02:14: los cuatro principales regímenes consideran esto una infracción. Solución: envío automatizado en el momento del check-in, con una cola que vuelve a intentarlo ante fallos transitorios de la API, y un informe de conciliación diario.
  2. Faltan campos de método de pago en SES Hospedajes (España). La RD 933/2021 exige el IBAN o los cuatro últimos dígitos de la tarjeta. Un hotel que captura la identidad al hacer el check-in pero nunca vincula el registro de pago de la reserva al envío al SES envía un registro con el bloque de pago vacío. Solución: canalizar el envío al SES a través de la misma capa de datos que contiene la reserva y el pago.
  3. Falta la firma manuscrita en un Hotelmeldeschein para un huésped no alemán en un estado federado que aún la exige. Berlín y Hamburgo permiten ahora la firma electrónica, mientras que Schleswig-Holstein y otros diez estados no. Un hotel que realiza el check-in digital en una cadena nacional sigue necesitando un respaldo en papel en los estados federados que aún no han autorizado el e-Meldeschein. Solución: condicionar el flujo de la firma digital al estado federado y a la nacionalidad, con un respaldo en papel que la recepción presente físicamente cuando la nacionalidad del huésped no sea alemana y el establecimiento se encuentre en un estado federado que exija la firma manuscrita.
  4. Fichas de ciudadanos de la UE en Francia. Los hoteles recopilan fichas de todos los huéspedes, incluidos los ciudadanos de la UE. Técnicamente, se trata de una infracción del RGPD (recopilación excesiva de datos), además de la discrepancia normativa. Solución: flujo de fichas condicionado a la nacionalidad.
  5. Rechazo de archivos de longitud fija de Alloggiati Web en Italia. Un solo carácter erróneo en el encabezado del archivo invalida todo el lote. Los establecimientos que han creado una exportación manual desde un PMS no integrado están especialmente expuestos. Solución: envío basado en API en lugar de carga de archivos.
  6. Los hoteles portugueses siguen llamando al punto final SOAP de SIBA, ya retirado. La integración dejó de estar operativa a mediados de 2024 y cualquier envío desde entonces ha sido rechazado de forma silenciosa. Solución: migrar al punto final REST de SIBAplus e implementar una auditoría de 30 días sobre los acuses de recibo de los envíos.
  7. Infracciones de retención: conservación de registros más allá del plazo regulado. Francia: 6 meses; Alemania: 1 año; España: 3 años; Italia: de 1 a 3 años (por parte del operador); Portugal: de 3 a 5 años (a efectos defensivos). Un establecimiento que conserve todo durante 5 años en todos los regímenes incurre en una infracción técnica en Francia y Alemania.
  8. Escaneos de pasaportes conservados como archivos de imagen más allá del punto de validación. La mayoría de los regímenes exigen campos, no imágenes. Conservar la imagen más allá de la etapa de extracción de campos excede el principio de proporcionalidad y activa la responsabilidad del RGPD además del régimen regulatorio. Solución: extraer, validar, transmitir y luego descartar la imagen.
  9. Reservas de grupo sin registros por huésped. Un grupo de 40 personas registrado como un único registro con un pasaporte y una lista de pasajeros adjunta. Ninguno de los cinco regímenes lo acepta. Cada huésped adulto es un registro independiente. Solución: un flujo de registro de grupo que capture un registro por adulto.
  10. Clientes sin reserva previa registrados en papel y nunca introducidos en el portal. El fallo clásico: un registro a las 23:45, un huésped que paga en efectivo, una entrada en el registro en papel, un auditor nocturno que nunca envía el SES o el informe Alloggiati. El informe de inspección incluirá el registro de auditoría. Solución: un flujo de registro de entrada que no permita guardar la reserva hasta que el envío a la autoridad reguladora esté en cola.
  11. Faltan documentos que desencadenan la inspección. Las credenciales, el número de operador emitido por la plataforma, la entrada en el registro de protección de datos. Los inspectores los solicitan por su nombre. Solución: una única carpeta (digital o física) en la recepción con las credenciales del operador, los extractos más recientes emitidos por la plataforma, el registro de tratamiento del RGPD para el régimen y la persona de contacto en el organismo regulador.

Registro de huéspedes manual frente a automatizado: el cálculo del tiempo

El coste en tiempo de la notificación policial es la cifra que más se subestima en las operaciones hoteleras independientes, y la mayoría de los establecimientos no lo miden. A continuación se presentan los datos de referencia de una muestra de 80 hoteles independientes de la UE (de 30 a 150 habitaciones cada uno, una mezcla de hoteles urbanos y de resort, calendario de 2024 a 2025) en los que implementamos flujos de trabajo tanto manuales como automatizados.

Flujo de trabajo manual (registro en papel, introducción de datos al final del turno en el portal del regulador): de 4,5 a 7 minutos por huésped, reduciéndose a 2,5 minutos por huésped en una noche de gran volumen en la que el recepcionista tiene memoria muscular y el portal coopera. Para un hotel de 60 habitaciones con una ocupación del 70 %, eso supone 42 registros de entrada al día, o aproximadamente 200 minutos de trabajo administrativo al día, o algo menos de 20 horas a la semana dedicadas a la presentación de informes policiales. El coste, entre 18 y 25 euros por hora con todos los gastos incluidos, es de entre 18 000 y 26 000 euros al año.

Flujo de trabajo híbrido (el PMS captura la identidad al hacer el check-in, el recepcionista realiza la exportación al final del turno): de 1,5 a 2,5 minutos por huésped, tiempo dedicado principalmente al paso de exportación y carga, más que a volver a introducir los datos. Aproximadamente de 7 a 10 horas a la semana. Entre 6.500 y 13.000 euros al año.

Flujo de trabajo totalmente automatizado (el PMS envía los datos a la API reguladora en el momento del check-in, con un informe de conciliación diario): menos de 30 segundos de tiempo administrativo por huésped, dedicado íntegramente a la rara excepción de que la API rechace los datos. Entre 1 y 2 horas a la semana, principalmente el auditor nocturno revisando la cola de conciliación. Entre 900 y 2.600 euros al año.

La diferencia entre lo manual y lo automatizado, para un establecimiento independiente de 60 habitaciones, es de aproximadamente 17 000 EUR al año en tiempo administrativo ahorrado, más la exposición a multas evitada (entre 2000 y 8000 EUR al año en un establecimiento medio), más una situación de auditoría más clara (que es difícil de cuantificar, pero que se acumula en el año de una inspección real). El cálculo se mantiene en los cinco principales regímenes; el único régimen en el que el flujo de trabajo automatizado aún no ahorra todo el tiempo administrativo es Alemania, en los estados federados donde se exige la firma manuscrita, donde todavía se requiere el paso de la firma física.

Cómo un PMS automatiza realmente la notificación a la policía

La mecánica de un sistema automatizado que funciona es poco atractiva, pero vale la pena hacerlo bien. El patrón es idéntico en todos los regímenes: el PMS captura los campos de identidad una vez, los normaliza internamente en un esquema canónico, luego traduce cada envío al formato específico del regulador y lo transmite según el calendario específico del regulador.

El paso de captura suele ejecutarse en tres puntos: (1) el motor de reservas, donde, para las reservas directas, el huésped proporciona los datos del pasaporte antes de la llegada como parte del flujo de pre-check-in; (2) la entrada de la OTA, donde Booking.com, Expedia y Airbnb envían lo que tienen a través del gestor de canales y el PMS lo complementa en el momento del check-in; (3) la recepción en el momento del check-in para el resto. Un paso de captura que funciona tiene un único registro canónico del huésped por reserva, no tres copias conciliadas en la auditoría nocturna.

El paso de transmisión se ejecuta en una cola sincronizada con el reloj regulador. España e Italia utilizan un reloj de 24 horas a partir del check-in, por lo que un proceso de cola que se active al check-in más 5 minutos cumple el plazo con un margen holgado. La regla de las 6 horas de Italia para estancias inferiores a 24 horas necesita una prioridad de cola separada. El reloj de 3 días laborables de Portugal puede ejecutar un lote diario a las 02:00. Francia no realiza ninguna transmisión, solo retención local. Alemania tampoco realiza ninguna transmisión activa, solo retención y preparación para la inspección.

El paso de la conciliación es donde fracasan la mayoría de las integraciones propias. Cada regulador devuelve un acuse de recibo (con una marca de tiempo del lado del servidor que el operador debe conservar), un rechazo blando (el registro se pone en cola para reintentarlo, a menudo un fallo transitorio de la API) o un rechazo duro (un campo que falta o un valor mal formado, típicamente un formato de fecha o un código de tipo ID). Un PMS que funcione correctamente muestra los rechazos definitivos a la recepción en el informe matutino con una opción de corrección y reenvío con un solo clic. Un PMS que funcione correctamente también realiza un barrido semanal que comprueba si hay algún envío que no haya recibido acuse de recibo y lo reenvía.

El paso de la auditoría marca la diferencia entre una inspección sin incidencias y una multa de cuatro cifras. Un PMS que funciona genera un informe listo para la inspección en menos de 30 segundos: registro por huésped, marca de tiempo de envío a la autoridad reguladora, marca de tiempo de acuse de recibo de la autoridad reguladora, estado del periodo de conservación, referencia del registro de tratamiento del RGPD. El inspector lo recibe en una memoria USB, un PDF impreso o mediante el inicio de sesión en el portal de inspectores. Hemos visto inspecciones que se cierran en menos de 10 minutos cuando el operador entrega un informe impecable en la puerta, y hemos visto inspecciones que se alargan durante cuatro horas cuando el operador tiene que reconstruir el año a partir de un registro en papel y un archivo de Excel.

Escaneo de documentos de identidad, OCR y lectura de pasaportes con NFC

Tres tecnologías están ahora lo suficientemente maduras para su uso en producción en el flujo de trabajo de captura en recepción: OCR de la zona MRZ del pasaporte, clasificación de imágenes de documentos de identidad y lectura de pasaportes con chip NFC.

OCR de la MRZ. La zona legible por máquina de dos líneas situada en la parte inferior de cada pasaporte (y de la mayoría de los documentos de identidad en formato ICAO 9303) se decodifica de forma determinista en apellido, nombres, fecha de nacimiento, nacionalidad, número de documento, fecha de caducidad y dígitos de control. Las tasas de error del OCR moderno en un pasaporte en buen estado son inferiores al 1 % para los campos individuales; el algoritmo de dígitos de control detecta la mayoría de ellos. El hardware es un escáner USB de MRZ (entre 200 y 500 euros) o la cámara de un teléfono con una biblioteca de MRZ de calidad. Esta es la mejora más rentable para una recepción que realiza registros policiales manuales; el tiempo de captura por huésped se reduce de 90 a 8 segundos.

Clasificación de documentos de identidad. Un modelo entrenado que clasifica el tipo de documento (pasaporte, documento nacional de identidad, permiso de conducir) y el país emisor. Útil para dirigir el flujo de trabajo al régimen adecuado: un DNI español sigue una ruta de validación diferente a la de un pasaporte boliviano, y el registro de SES Hospedajes necesita el código de tipo de identificación correcto de la taxonomía de SES.

Lectura de chips NFC. Todos los pasaportes conformes con la OACI desde aproximadamente 2010 contienen un chip NFC con los datos de personalización y una firma digital del país emisor. Un teléfono con un lector NFC y una biblioteca debidamente licenciada puede leer el chip, validar la firma y generar un registro a prueba de manipulaciones. La verificación de la firma es importante: un pasaporte falsificado superará el paso del OCR, pero fallará en la comprobación de la firma. La lectura NFC es ahora estándar en los flujos de incorporación digital de los bancos de la UE bajo la PSD2 y la normativa AML; su uso en hoteles va a la zaga, pero está aumentando.

La combinación adecuada para una recepción en 2026 es: prioridad a NFC para los pasaportes emitidos por los Estados miembros de la UE (lo que significa la mayoría de los huéspedes no pertenecientes al espacio Schengen en un hotel español o italiano), recurso al OCR de la MRZ para los documentos cuyo chip falte o sea ilegible, y captura manual solo como último recurso. La captura se transfiere directamente al PMS y del PMS al regulador. El coste del hardware es inferior a 1000 euros por recepción; el coste de integración es el que cobre el proveedor del PMS por el módulo.

El RGPD y el doble mandato

Todo régimen de notificación policial entra en conflicto con el Reglamento General de Protección de Datos. El hotel es el responsable del tratamiento de los datos de los huéspedes, y el requisito de notificación policial del regulador constituye la base jurídica en virtud del artículo 6, apartado 1, letra c), del RGPD (tratamiento necesario para el cumplimiento de una obligación legal). Los campos que el regulador especifica pueden tratarse sobre esa base. Los campos que el hotel recopila más allá de la lista del regulador no pueden tratarse en virtud del artículo 6, apartado 1, letra c), y necesitan una base jurídica independiente.

Los cinco puntos que las autoridades de protección de datos han señalado de forma sistemática en las auditorías de 2024 y 2025:

  • Minimización. Recopilar solo lo que exige el régimen. La CNIL francesa ha señalado explícitamente a los hoteles que recopilan fichas de ciudadanos de la UE, y la AEPD española ha señalado a los hoteles que recopilan escaneos completos de pasaportes cuando el SES solo necesita los campos.
  • Conservación. Eliminar según el calendario. El calendario es específico de cada regulador y casi nadie lleva a cabo una purga automatizada.
  • Limitación de la finalidad. Los datos de los informes policiales no pueden utilizarse con fines de marketing, fidelización o detección de fraudes, a menos que el huésped haya dado su consentimiento por separado en virtud del artículo 6, apartado 1, letra a).
  • Registro del tratamiento. El artículo 30 del RGPD exige un registro escrito. El régimen, la base jurídica, las categorías de datos, el periodo de conservación y el destinatario (el regulador) deben constar en el registro. Observamos que aproximadamente uno de cada tres hoteles independientes de la UE carece por completo de dicho registro.
  • Derechos de los interesados. El huésped tiene derecho de acceso, pero el derecho de supresión queda suspendido mientras dure el plazo de conservación por obligación legal. El hotel debe atender una solicitud de acceso dentro del plazo de conservación y la solicitud de supresión una vez que este haya expirado.

El difícil problema del doble mandato es España. Los campos de datos de pago del RD 933/2021 son datos de pago, que también entran en el ámbito de aplicación de las redes de tarjetas según la norma PCI DSS 4.0.1 (consulte nuestro artículo anterior sobre PCI DSS 4.0 para hoteles para obtener una visión completa de los datos de pago). El hotel debe cumplir ambos regímenes simultáneamente: el envío al SES debe incluir los campos de pago, el almacenamiento de dichos campos se rige tanto por el RGPD como por la PCI, y los plazos de conservación difieren. La arquitectura adecuada es: almacenamiento tokenizado con una referencia del procesador de pagos, los cuatro últimos dígitos y el IBAN como únicos valores conservados, cifrados en reposo con registro de auditoría en el acceso. Cualquier hotel que siga conservando los PAN completos en una hoja de Excel del back-office para cumplir con el bloque de pago del SES está incurriendo en una infracción agravada.

El manual de limpieza de 14 días

Elija un régimen, aquel al que su hotel esté más expuesto, y realice la limpieza en 14 días. El plan que se muestra a continuación está redactado para España (el plazo de aplicación más estricto y el conjunto de campos más amplio), pero el ritmo se adapta a Italia, Francia, Alemania y Portugal con pequeñas sustituciones de campos.

Días 1 a 3: alcance y credenciales. Confirma que las credenciales de la plataforma son válidas y están al día. Imprime el número de identificación del operador, las cuentas de usuario, las credenciales de cliente de la API y la fecha de caducidad de la contraseña. Detecta aquí las credenciales caducadas, no durante la inspección. Extrae los envíos de los últimos 90 días de la plataforma y compáralos con la lista de reservas del PMS. La diferencia es la lista de fallos.

Días 4 a 6: capa de datos. En el PMS, identifica dónde se encuentran los campos obligatorios por el regulador y dónde no. Para SES, la discrepancia es casi siempre el bloque del método de pago. Para Alloggiati, a veces es el código de provincia del lugar de nacimiento. Para la ficha, es el indicador de nacionalidad. Haz que la discrepancia sea visible en el registro de la reserva para que tanto el equipo de recepción como el auditor nocturno puedan ver lo que falta antes de que se acabe el tiempo.

Días 7 a 9: flujo de trabajo de recepción. Añada un control de acceso estricto en el check-in: la reserva no puede completar el check-in hasta que se hayan rellenado todos los campos exigidos por el regulador. Forme al equipo para que utilice este control. La primera semana, el control añade entre 30 y 60 segundos por check-in; para la tercera semana, ya pasa desapercibido.

Días 10 a 12: transmisión y conciliación. Ponga en marcha la transmisión basada en API. Ejecútela en modo simulado durante 48 horas: el PMS envía los datos, pero el auditor nocturno también los envía manualmente, y se comparan ambos envíos. Una vez que la ejecución simulada no muestre ningún rechazo, elimine la vía manual. Ponga en marcha el informe de conciliación diario.

Días 13 a 14: retención y auditoría. Configure la purga automática de registros que superen el periodo de retención. Genere el registro de tratamiento previsto en el artículo 30 del RGPD para el régimen. Coloque en la recepción una carpeta de inspección impresa con las credenciales, un resumen de conciliación de 90 días y los datos de la persona de contacto en el organismo regulador. Informar al responsable de turno sobre el guion de inspección.

Esfuerzo administrativo total durante los 14 días: aproximadamente entre 30 y 40 horas para una persona con mentalidad operativa, más entre 4 y 6 horas cada uno por parte del responsable de recepción, el auditor nocturno y el contacto de TI. Los hoteles que llevan a cabo este proceso de forma impecable reducen su exposición en un orden de magnitud en un solo régimen en quince días.

Antes de la llegada, en el momento del registro o registro digital: ¿cuál cumple con la normativa?

Las tres opciones cumplen con la normativa en la mayoría de los regímenes cuando el flujo de trabajo es el adecuado. Las ventajas e inconvenientes difieren.

El registro previo a la llegada envía al huésped un enlace de registro entre 24 y 48 horas antes del check-in, recoge los campos obligatorios por la autoridad reguladora en un formulario alojado, ejecuta el paso de OCR o NFC en el documento y pone en cola el envío a la autoridad reguladora en el momento del check-in. Este es el flujo de trabajo más limpio para España (cierra el plazo de 24 horas en la reserva, no en la llegada en persona) y para Italia (captura de forma fiable las reservas de menos de 24 horas). Cumple parcialmente en Alemania (aún se necesita una firma manuscrita en 10 de los 16 estados federados) y en Francia (la ficha solo se activa para nacionalidades no pertenecientes al EEE, por lo que el enlace debe filtrar).

La captura en el momento del check-in es el valor predeterminado heredado. El huésped entrega el pasaporte, la recepción ejecuta OCR o NFC, y el PMS envía los datos al regulador. Se cumple en todas partes si el equipo completa realmente el paso de envío antes de que expire el plazo del regulador. La mayoría de los fallos se producen al completar el proceso manualmente al final del turno. La solución es la automatización, no la formación.

El check-in totalmente digital (en quiosco o por teléfono, sin interacción con la recepción) cumple con la normativa en España, Italia, Francia, Portugal y los seis estados federados alemanes que utilizan el e-Meldeschein. No cumple con la normativa en los diez estados federados alemanes restantes para huéspedes no alemanes. Los hoteles que ofrecen un servicio de registro de entrada digital a nivel nacional necesitan un proceso alternativo en los establecimientos situados en los estados federados que exigen la firma manuscrita. La misma advertencia se aplica al registro de entrada digital para estancias inferiores a 24 horas en Italia, donde el plazo de 6 horas es más estricto que el plazo predeterminado de 24 horas.

Sanciones, auditorías y a qué se enfrentan realmente los hoteles

Los rangos de multas más destacados (España: de 100 a 100 000 euros; Italia: de 110 a 1032 euros por infracción; Francia: de 1500 a 3000 euros por ficha; Alemania hasta 1.000 EUR por infracción, Portugal de 100 a 6.000 EUR) son las cifras que acaparan los titulares. La exposición real para un hotel independiente de la UE entre 2024 y 2025 ha sido más reducida y más acumulativa.

El Ministerio del Interior español impuso en 2024 unas 1.400 sanciones en virtud del RD 933/2021, con una multa media de 800 euros por establecimiento y una multa en el cuartil superior de 4.200 euros. La multa más elevada impuesta a un solo establecimiento de la muestra fue de 51 300 euros (un grupo de cinco establecimientos con 14 meses de transmisiones faltantes y una omisión en la relación parental de menores). La Polizia di Stato italiana impuso en 2024 unas 5.000 multas en virtud del artículo 109, con una mediana de 240 euros por propiedad y un cuartil superior de 1.650 euros. Las prefecturas francesas impusieron aproximadamente 2.800 infracciones en 2024, concentradas en París, la Costa Azul, Lyon, Burdeos y Estrasburgo, con una mediana de 600 euros por propiedad. Las cifras de multas (Bußgeld) en Alemania varían según el estado federado, pero la mediana interregional fue de 380 euros por establecimiento entre los hoteles inspeccionados. El volumen de casos de la AIMA en Portugal sigue normalizándose tras el traspaso de competencias; las cifras parciales de 2024 apuntaban a una multa media de 480 euros por establecimiento entre los hoteles inspeccionados.

El coste no financiero supera con creces la multa en aproximadamente el 30 % de los casos. Un hotel que no supera una inspección pasa a formar parte de un calendario de reinspección (normalmente 6 meses después, con una reauditoría in situ de 1 a 2 días), queda marcado en la base de datos de cumplimiento de la autoridad reguladora para el siguiente ciclo de inspección y (en España e Italia) puede verse sometida a una revisión de las licencias correspondientes. El mayor coste oculto en 2025 fue la carga de tiempo del personal dedicada a prepararse para una nueva inspección: cada establecimiento dedicó de media entre 60 y 120 horas del equipo de operaciones y entre 40 y 80 horas del personal de recepción durante el periodo de seis meses de la nueva inspección.

La postura defensiva adecuada es la misma en todos los regímenes: transmisión automatizada dentro del PMS, una cola de conciliación diaria, un registro de auditoría de 90 días en cada recepción, una comprobación de cumplimiento trimestral y una relación con la oficina local del regulador que sea profesional en lugar de reactiva. Nada de esto es exótico. La mayoría de los independientes simplemente no lo han implementado.

Dónde encaja Prostay, de forma breve y honesta

Escribo para Prostay, por lo que esta sección es inevitable, pero permítanme ser sincero al respecto. El PMS de Prostay captura los campos exigidos por el regulador una vez en el momento de la reserva o el check-in, los normaliza en un registro canónico de huéspedes y los transmite a SES Hospedajes, Alloggiati Web, SIBAplus y los diversos flujos de Meldeschein a nivel regional según el calendario de cada régimen, con un informe de conciliación diario y un registro de auditoría listo para la inspección. Nada de eso es exclusivo de Prostay. Mews, Cloudbeds, Profitroom, Apaleo, RoomRaccoon y varios proveedores regionales ofrecen un sistema similar, y cualquiera de ellos puede poner a un hotel independiente en una situación de cumplimiento normativo impecable en un plazo de 14 días.

El argumento a favor de Prostay en concreto es que el sistema viene preconfigurado para los cinco regímenes principales (algunos proveedores solo cubren el mercado nacional), la pila de tokenización conforme a PCI resuelve el problema del bloqueo de pagos SES con una única opción arquitectónica, y la integración con el motor de reservas y el gestor de canales cierra el ciclo de captura previo a la llegada sin necesidad de una integración adicional. Si desea más detalles, la descripción general del PMS de Prostay repasa los módulos de registro y de informes, y nuestro artículo anterior sobre PCI DSS 4.0 para hoteles cubre el aspecto de los datos de pago. Si necesitas ayuda para poner en marcha el plan de 14 días con nuestro equipo en un establecimiento real, reserva una demostración y te guiaremos por los regímenes que se aplican a tu país, sin necesidad de contratar un servicio adicional de consultoría de cumplimiento.

Preguntas frecuentes

Las cinco preguntas que los hoteleros independientes plantean con más frecuencia sobre los regímenes europeos de registro de huéspedes, respondidas en base a las normas publicadas en lugar del resumen de la prensa especializada.

FAQ

Preguntas frecuentes

  • ¿Es obligatorio en todos los países europeos que los hoteles comuniquen los datos de los huéspedes a la policía?
    No. Los cinco regímenes que requieren más tiempo operativo para los hoteles independientes son: España (SES Hospedajes, en virtud del Real Decreto 933/2021, obligatorio desde el 2 de octubre de 2024, transmisión en un plazo de 24 horas desde el registro de entrada, conservación de datos durante 3 años), Italia (Alloggiati Web, en virtud del artículo 109 de la ley consolidada de seguridad pública TULPS; transmisión en un plazo de 24 horas desde el registro de entrada o en un plazo de 6 horas para estancias inferiores a 24 horas), Francia (la fiche individuelle de police en virtud del artículo R611-42 del Code du tourisme, exigida solo para huéspedes no pertenecientes al EEE ni a Suiza, conservada en el establecimiento durante 6 meses), Alemania (el Hotelmeldeschein en virtud de los artículos 29 a 30 de la Bundesmeldegesetz, en la que aún se exige una firma manuscrita para los huéspedes no alemanes, que se conserva durante 1 año y luego se destruye), y Portugal (el boletim de alojamento, que se envía a través de SIBAplus a la AIMA en un plazo de 3 días laborables, obligatorio solo para los extranjeros). Grecia, Austria, Suiza, la República Checa y Croacia aplican sus propios regímenes independientes con menos campos y plazos más largos. No existe un portal paneuropeo ni una API armonizada.
  • ¿Es necesario que mi motor de reservas recoja los datos para la denuncia policial, o puedo recopilarlos en el momento del registro?
    Cualquiera de las dos opciones es válida para la mayoría de los regímenes, con una salvedad importante. El RD 933/2021 de España exige que los datos del método de pago (titular de la cuenta, IBAN o los cuatro últimos dígitos de la tarjeta, fecha de la transacción) figuren en el registro de SES Hospedajes, lo que significa que la recogida de datos en papel o por correo electrónico en recepción obliga al auditor nocturno a recabar esos datos a posteriori. La captura previa a la llegada en el motor de reservas o un enlace de registro de huéspedes enviado el día del check-in es el flujo de trabajo que realmente cierra el ciclo de 24 horas sin horas extras. Alloggiati Web, de Italia, solo necesita campos de identidad y se puede rellenar en el momento del check-in, razón por la cual la mayoría de los hoteles independientes italianos siguen utilizando una schedina en papel y la introducen en el portal por la noche. Francia y Alemania permiten la captura de datos antes de la llegada y muchos establecimientos utilizan una ficha digital o un enlace al Meldeschein un día antes de la llegada, pero Alemania sigue exigiendo una firma física para los no alemanes, algo que un flujo de trabajo totalmente digital no puede satisfacer en la mayoría de los estados federados hasta que se complete la implantación del e-Meldeschein del BMG.
  • ¿Qué pasa si no consigo ver la retransmisión de 24 horas de SES Hospedajes en España?
    El RD 933/2021 clasifica las infracciones en leves, graves o muy graves. Una transmisión tardía o incompleta suele considerarse una infracción leve, sancionada con una multa de entre 100 y 600 euros por incumplimiento, que se eleva a grave (de 601 a 30 000 euros) en caso de incumplimientos repetidos o de transmisiones que omitan campos obligatorios, y a muy grave en caso de incumplimiento sistemático con multas acumuladas que, según se ha informado, en las inspecciones de principios de 2025 en un solo establecimiento superaron los 50 000 euros. La plataforma del Ministerio del Interior marca cada envío con una marca de tiempo del lado del servidor, por lo que un hotel no puede justificar un envío tardío antedatándolo. La estrategia defensiva adecuada es la transmisión automatizada desde el PMS en el momento del check-in, con una cola y un mecanismo de reintento para fallos transitorios de la API, además de un informe de conciliación diario que muestre cualquier registro rechazado por la plataforma.
  • ¿Puede un alojamiento vacacional en Italia utilizar Alloggiati Web?
    Sí, y es obligatorio desde 2018. El artículo 109 de la TULPS se aplica a los alquileres vacacionales, los bed and breakfast, los agroturismos, los albergues y cualquier establecimiento que ofrezca alojamiento de pago. El anfitrión se registra en su Questura (comisaría de policía) local para obtener las credenciales de Alloggiati Web y, a continuación, transmite los datos de los huéspedes en un plazo de 24 horas desde el check-in (o en un plazo de 6 horas para estancias inferiores a 24 horas, lo que abarca la mayoría de los alquileres de corta duración). El CIN (Codice Identificativo Nazionale) regional italiano, introducido en 2024 y de obligado cumplimiento a partir del 1 de enero de 2025, es un registro independiente que se suma a Alloggiati Web, no un sustituto: el CIN identifica el alojamiento ante el registro de turistas, mientras que Alloggiati Web identifica a los huéspedes ante la policía.
  • ¿Es legal conservar una copia escaneada del pasaporte de un huésped para demostrar que he comprobado su identidad?
    En virtud del RGPD (Reglamento 2016/679) y de la mayoría de las transposiciones nacionales, un hotel puede recabar los datos de identidad necesarios para cumplir con una obligación legal (el régimen de notificación policial en cuestión), pero el almacenamiento de una copia escaneada completa del pasaporte suele ser desproporcionado cuando dicho régimen solo exige los campos obligatorios, y no la imagen. La AEPD (Autoridad de Protección de Datos) de España publicó en 2024 unas directrices explícitas según las cuales los hoteles que operan al amparo del RD 933/2021 deben capturar los campos requeridos en lugar de conservar copias del documento en sí, salvo en circunstancias muy concretas. La CNIL francesa mantiene la misma postura. El BMG alemán también permite la inspección visual en lugar de la conservación. La práctica recomendada es: escanear o leer mediante NFC el documento, extraer los campos que exige el régimen, transmitirlos al regulador y conservar únicamente los campos (cifrados en reposo) durante el periodo de conservación que especifique el régimen. La imagen en sí debe descartarse una vez validados los campos, salvo en los regímenes que exijan explícitamente la conservación de la imagen del documento, lo que no ocurre en España, Italia, Francia, Alemania ni Portugal.
Sigue leyendo

Prueba Prostay

Gestiona tu hotel en la plataforma sobre la que escribimos.

Importa los datos y los flujos de tu equipo. Te mostraremos una configuración Prostay equivalente sobre tus últimos 30 días.

Solicitar una demoExplorar el PMS

Sobre este artículo

Categoría: Hotel Operations Optimization. Publicado el 12 jun 2026 por Mika Takahashi.