RGPD para Anfitriones de alquiler corto: lo que de verdad tienes que hacer

La primera vez que leí el texto del RGPD llevaba dos meses anfitrionando en Airbnb. Cerré la pestaña a la página veinte y volví a pedir escaneos de pasaporte a Huéspedes UE en una carpeta de Telegram. Tres años después esa carpeta es la parte de mi setup de la que más vergüenza siento.

Esta es una guía práctica para Anfitriones que no son abogados ni quieren serlo. Cinco acciones concretas esta semana, más qué significa cada una.

¿Se me aplica el RGPD?

Si tu Alojamiento está en la UE y lo alquilas: sí.

Si está fuera de la UE pero aceptas Huéspedes de países UE: también, por el alcance extraterritorial del RGPD. El artículo 3.2 extiende el reglamento a cualquier responsable que «trate datos personales de interesados en la Unión» al ofrecerles bienes o servicios. Un anuncio de Airbnb en Tashkent que recibe una reserva de un Huésped de Berlín está, sobre el papel, tratando datos de un sujeto UE y por tanto cubierto. La visión general de la Comisión Europea sobre a quién aplica es clara; el Comité Europeo de Protección de Datos publica directrices dirigidas a responsables fuera de la UE.

En la práctica, casi ningún Anfitrión de Tashkent ha sido multado por una autoridad de protección de datos UE. El riesgo no es la sanción contra un operador pequeño fuera del bloque. El riesgo es que tu plataforma escale porque un Huésped puso queja, tu cuenta acumule un aviso de contenido y tus reservas futuras bajen. Ese es el modelo de amenaza realista. Trata el RGPD como higiene de plataforma más que como exposición legal.

Hay una excepción: Anfitriones dentro de la UE con SL o autónomo registrado. Para ti la exposición legal es real y la multa puede aterrizar. Lee con esa intensidad.

El aviso de privacidad (una frase, luego una página)

La mayoría se lo salta o copia una plantilla con palabras como «interesado» y «responsable» que es ilegible.

El patrón mínimo conforme tiene dos capas:

1. Una frase resumen en el momento de la recogida. Cuando pides foto de pasaporte, manda un mensaje corto: «Lo guardo hasta 30 días después de tu estancia y luego lo borro. Detalles completos: enlace.» Mándalo antes de que suba.
2. Una página completa en /privacy. Lista las categorías de datos, el propósito, la base legal, el periodo de retención y el contacto para borrado. Sin jerga legal. El lenguaje claro gana porque las autoridades de control ahora lo prefieren explícitamente.

Nuestra página /privacy es el ejemplo que creo que los Anfitriones pequeños pueden copiar casi literalmente. Tiene unas 600 palabras. Las secciones clave:

• Qué datos: escaneo de pasaporte, fechas de reserva, historial de comunicación.
• Por qué: registro legal de Huéspedes, resolución de disputas, logística.
• Cuánto tiempo: un número específico de días, no «lo necesario».
• Quién más: las plataformas (Airbnb, Booking) y cualquier herramienta que uses (RentTools, si la usas).
• Cómo borrar: un email que de verdad miras.

Quítate los párrafos disclaimer. Quítate el «tu privacidad es importante para nosotros». Las autoridades llaman a eso performativo. Expón los hechos.

Error común: reusar una plantilla diseñada para tienda online. Esas plantillas asumen cookies, analítica de márketing, trackers de terceros. La mayoría de Anfitriones pequeños no tiene ninguno. Cuanto más simple la página de privacidad, más creíble suena.

Figura 1: el patrón de notificación de dos capas. Mensaje corto en el momento de la recogida; página /privacy completa debajo. Captura pendiente; vivirá en /blog/gdpr-for-vacation-rental-hosts/figure-1.png.

Base legal: contrato, obligación legal, casi nunca consentimiento

El artículo 6 del RGPD lista seis bases legales. Para Anfitriones de alquiler corto, exactamente dos cubren casi cualquier caso.

1. Ejecución de contrato. Cuando un Huésped reserva tu Alojamiento, tratar su nombre, fechas y contacto es necesario para ejecutar el contrato. No necesitas consentimiento adicional. Cubre los datos del momento de la reserva.
2. Obligación legal. Cuando la ley local exige registro de Huéspedes (parte de viajero en España, alloggiati web en Italia, fiche d'hôtel en Francia, formulario FMS en Rusia, OVIR en Uzbekistán), la recogida de pasaporte se sienta sobre «obligación legal». Tampoco necesitas consentimiento.

¿Y el consentimiento? El consentimiento es la base correcta para email de márketing, fotos para uso en redes, programas de fidelización voluntarios. Casi nada en el anfitrionaje rutinario es por consentimiento, y tratarlo como si lo fuera crea un problema: bajo RGPD, el consentimiento debe darse libremente. Eso significa que el Huésped puede retirarlo. Si marcas la recogida de pasaporte como por consentimiento, el Huésped puede negarse y no le puedes alquilar legalmente, lo que significa que nunca fue libre. Es un anti-patrón conocido y las directrices del CEPD sobre consentimiento lo señalan.

Regla práctica: si un Huésped no puede decir no sin perder el alquiler, la base es contrato u obligación legal, no consentimiento. Elige la correcta en tu aviso y evitas todo el lío.

Periodo de retención: pon un número

La mayoría de avisos dice «el tiempo necesario». Es técnicamente válido bajo el artículo 5(1)(e) y prácticamente inútil. Una autoridad de control preguntará: necesario para qué y durante cuánto. Necesitas un número.

Tres números que he asentado, y el porqué:

1. Comunicaciones de reserva: 90 días tras el check-out. Suficiente para una disputa demorada, corto para no acaparar logs de chat eternamente.
2. Escaneos de pasaporte: 30 días tras el check-out, salvo que la ley local fuerce más. En países con retención multianual (Rusia, varios miembros UE), sigue el requisito legal. Pasado ese periodo, borra. El escaneo de pasaporte es el dato más sensible que tienes; menos retención, menor impacto si te roban el móvil.
3. Histórico agregado de reservas: indefinido. Nombres, fechas, ingresos totales. Lo necesitas para impuestos, y Hacienda puede volver cinco años después. No guardes contacto dentro de ese archivo. Quita el email y el teléfono antes de archivar.

Las reglas de retención específicas por país para datos de pasaporte de Huéspedes están dispersas e inconsistentes. Estoy escribiendo un post separado con la tabla por país incluyendo España, Portugal, Italia, Francia, Grecia, Croacia, Rusia y Uzbekistán. Hasta que aterrice, por defecto «el periodo más corto que la ley local permita» y contrasta con la oficina de turismo de tu municipio.

El error RGPD más grande que veo es la carpeta de WhatsApp con escaneos de pasaporte que se remonta cuatro años porque nadie hace scroll para borrar lo viejo. La carpeta es la brecha. El móvil es robado, el documento del Huésped acaba en manos de un mal actor, y el Anfitrión no tenía por qué guardarlo tanto.

Encargados: quién más ve los datos

Un encargado es cualquiera además de ti que maneje datos de Huésped porque te ayuda a hacer el trabajo. Ejemplos:

• Las plataformas de reserva (Airbnb, Booking, Vrbo). Son corresponsables, no encargados. Sus políticas cubren su lado.
• Tu PMS o herramienta de sincronización. Si usas Hostaway, Lodgify, Smoobu o RentTools, eso es encargado. Lístalo.
• Tu hosting cloud. Si autoalojas en un droplet, el proveedor cloud es técnicamente encargado. Lístalo.
• Tu proveedor de email. La bandeja a la que los Huéspedes mandan escaneos. Gmail, Outlook, Fastmail. Lístalo.
• Una pasarela de pago. Stripe, Wise, el portal merchant de tu banco. Lístalo.

No necesitas un Acuerdo de Encargado del Tratamiento firmado para la mayoría de escenarios pequeños porque las grandes plataformas publican términos estándar que se te aplican automáticamente. Sí necesitas listarlas en tu /privacy para que el Huésped sepa por dónde fluyen sus datos.

Mal patrón: el aviso dice «podemos compartir tus datos con socios de confianza». Esa frase no pasa inspección. Lista los socios reales por nombre. Si no puedes nombrarlos, no entiendes tu propio flujo de datos lo bastante como para operar.

Punto adyacente pequeño: el módulo de limpieza en una propiedad pequeña suele meter otro encargado (la app del limpiador, si la usas). Los limpiadores ven nombres de Huésped y horas de check-in, lo que cuenta como dato personal. Menciónalos también.

El flujo de petición de borrado

El artículo 17 del RGPD da a cualquier persona derecho a pedir borrado de sus datos. Como Anfitrión pequeño recibirás una de estas quizá una vez al año. Necesitas un flujo.

El flujo no tiene que ser una herramienta. Tiene que hacer tres cosas:

1. Recibir la petición. Un email (host@tudominio o lo que publiques en /privacy). No un formulario que va a spam.
2. Verificar la petición. Cruza el email con la reserva. Si un desconocido pide borrar «los datos de John Smith» sin más, pregunta qué reserva y desde qué email. La verificación es obligatoria por RGPD; no puedes borrar datos por cuenta de un suplantador.
3. Borrar de verdad. Limpieza de carpeta de email, borrado de escaneo, redacción de entrada de calendario. Pasa por cada encargado y confirma. Si el dato vive en una herramienta que no controlas (sistemas internos de Airbnb), apunta al solicitante allí. No puedes borrar lo que no es tuyo; solo tu copia.

Tienes 30 días para responder bajo el artículo 12.3, ampliable a 90 para peticiones complejas. Una de Anfitrión pequeño nunca es compleja; responde en una semana y vas bien.

Lleva un log pequeño: fecha recibida, solicitante, qué borraste, fecha completada. Una fila por petición. Si una autoridad pregunta, el log es tu evidencia de que el flujo existe.

Una opinión sin filtros

La acción RGPD más útil que un Anfitrión pequeño puede tomar esta semana es escribir el periodo de retención y cumplirlo. No el aviso de privacidad (puedes copiar el nuestro). No la base legal (casi siempre contrato u obligación legal). El periodo de retención.

La mayoría de Anfitriones pequeños que conozco van bien en cualquier otro eje y se hunden en retención porque nunca eligieron un número. Elige uno. Escríbelo en /privacy. Pon recordatorio en el calendario para barrido de borrado el día 1 de cada mes. Borra lo que pasó retención. El resto del RGPD se desprende de ese hábito.