Real Decreto 933/2021 y SES Hospedajes: la guía sin rodeos para anfitriones (2026)

Esta guía es informativa, no un dictamen jurídico. La normativa cambia y los criterios de la AEPD también; antes de tomar decisiones de cumplimiento, contrasta con un asesor especializado en alquiler turístico.

Vamos al grano. Si llevas un alquiler turístico en España, el Real Decreto 933/2021 no tiene mucha vuelta de hoja: pillas los datos del huésped, los subes a SES Hospedajes antes de 24 horas y los guardas tres años. Punto. Lo difícil no es entenderlo —se entiende en cinco minutos—, lo difícil es no fallar ni un día en toda la temporada. Y ahí es donde a la mayoría se le hace bola, porque hay matices que ninguna circular del Ministerio te explica con claridad.

En esta guía vas a encontrar lo justo para cumplir sin sustos: qué hay que hacer, qué te conviene automatizar y dónde están las zonas grises —que las hay, y bastantes— en las que el Decreto y el RGPD se acaban peleando entre ellos. La idea es que termines de leer y sepas qué hacer mañana, sin tener que aprenderte el BOE de memoria.

Lo que necesitas saber en treinta segundos

El RD 933/2021 te obliga a mandar al Ministerio del Interior los datos de cada huésped antes de 24 horas desde el check-in.

Aplica a hoteles, hostales, pensiones, campings, VUT, VFT, viviendas vacacionales, casas rurales, albergues y empresas de rent-a-car.

El canal único es SES Hospedajes (sede.mir.gob.es). Obligatorio desde el 2 de diciembre de 2024 — adiós al parte de viajeros y a los sistemas autonómicos.

Hay que recoger 18 datos del huésped principal y unos cuantos más sobre la reserva. La AEPD ha matizado lo del número de tarjeta: los cuatro últimos dígitos suelen valer.

Multas de 100 € (leve) a 600 000 € (muy grave), bajo el régimen de la Ley Orgánica 4/2015 de Seguridad Ciudadana.

Los datos se conservan tres años desde el envío. No es opcional.

A mano se te van 15-20 minutos por huésped. Con un PMS bien integrado o una herramienta de check-in profesional, bajas a menos de un minuto.

1. ¿Esta guía me toca a mí?

Si te ves reflejado en alguno de estos perfiles, sigue:

Anfitrión particular con una o varias VUT en Airbnb, Booking, Vrbo o cualquier otra plataforma.

Property manager o agencia que gestiona alquileres turísticos en nombre de terceros.

Hotelero, hostelero, dueño de un camping o albergue.

Casa rural, masía, agroturismo en cualquier comunidad.

Inmobiliaria que intermedia en alquileres turísticos o de temporada.

Si todavía no has registrado a un solo huésped en SES Hospedajes, lo que viene te lleva del cero al primer envío. Y si ya estás dentro pero te preocupan los plazos o la conservación de datos, lo que viene después también te interesa.

2. La historia rápida del Decreto (porque importa el contexto)

El Real Decreto 933/2021, de 26 de octubre, está en el BOE desde finales de 2021 (BOE-A-2021-17511). Pero el sector se pasó tres años de prórroga en prórroga: la fecha de aplicación se fue moviendo hasta que, vía Real Decreto 1059/2023, quedó fijada definitivamente el 2 de diciembre de 2024. Antes de esa fecha mucho anfitrión seguía a su aire con el sistema autonómico previo y no pasaba nada. Ahora ya no cuela: SES Hospedajes es lo único que vale.

El Decreto desarrolla los artículos 3 y 18.1 de la Ley Orgánica 4/2015 de Seguridad Ciudadana, que ya obligaban a hospederos y empresas de alquiler de vehículos a llevar registro de huéspedes como medida de prevención. Lo que aporta el Decreto es centralización: antes había un puzle (Hospederías en unas comunidades, partes en papel en otras, sistemas policiales regionales por su cuenta), y la coordinación entre Fuerzas y Cuerpos de Seguridad era complicada.

¿Por qué tanta presión sobre un sector que ya tributa con DAC7 y Modelo 179? La respuesta oficial es seguridad ciudadana. La que se oye en los gremios es que el cruce con Hacienda también pesa lo suyo. Sea como sea, la norma está vigente y se está aplicando.

3. ¿A quién aplica? (Y los matices que la gente no tiene claros)

El Decreto cubre dos grandes patas:

Hospedaje:

Hoteles, hostales, pensiones, paradores.

Albergues juveniles y hostels.

Campings y áreas de pernocta.

Apartamentos turísticos en cualquier modalidad autonómica: VUT, VFT, VV, AT.

Casas y viviendas rurales (incluidas las que se alquilan por habitaciones).

Time-share y multipropiedad cuando hay alojamiento puntual.

Alquiler de vehículos a motor:

Empresas de rent-a-car, con o sin conductor. La mayoría de anfitriones no se ve afectada por esta pata. Pero si tu negocio incluye servicio integrado de alojamiento más coche, ojo: la obligación se duplica.

Tres situaciones que la gente no tiene claras

Plataformas como Airbnb o Booking.

Las plataformas no son sujeto obligado del Decreto. La obligación es tuya, como anfitrión, o de tu gestor. Lo que sí hacen las plataformas es declarar tus ingresos a Hacienda vía DAC7 y Modelo 179 —un carril paralelo—, y es justamente el cruce entre ese carril fiscal y el registro de SES el que dispara muchas inspecciones.

Co-anfitriones.

Si compartes la gestión con alguien (hermano, pareja, vecino, agencia que te cobra una mensualidad), la responsabilidad del registro depende de cómo lo hayáis dejado por escrito. Si no hay nada firmado, lo más probable es que el sujeto obligado siga siendo el propietario titular de la VUT. Si hay contrato de gestión, conviene que el property manager asuma la obligación expresamente. No lo dejes en el aire: cuando llega la inspección, alguien tiene que firmar.

Habitación de tu casa habitual.

Aplica igual. El Decreto no distingue entre alojamiento profesional y home sharing: si la actividad es retribuida, hay que registrar al huésped. Mucha gente que alquila una habitación todavía cree que está fuera. No lo está.

4. Los 18 datos del huésped (y por qué la lista es más rara de lo que parece)

El Anexo I del Decreto detalla todos los campos. La parte fea no es la lista —es larga, pero no imposible—, sino que algunos campos no parecen pintar nada en una norma de seguridad ciudadana, y otros se pegan de bruces con el RGPD. Vamos a verlo entero, porque conviene saber a qué te apuntas.

Datos del viajero (cada huésped, incluidos menores):

Datos de la reserva y del alojamiento:

El número de tarjeta: la zona gris que casi nadie te explica

Aquí está la fricción que provoca dolores de cabeza de manual. La letra del Decreto pide número completo de tarjeta, fecha de caducidad y titular. Pero almacenar el PAN entero —los 16 dígitos— te mete de cabeza en el ámbito PCI-DSS, y encima el RGPD exige minimización: solo recoges lo estrictamente necesario para la finalidad. Dos normas, dos exigencias casi incompatibles, y tú en medio.

La AEPD ha publicado orientaciones que matizan este punto. La interpretación que se está aplicando en la práctica, y que la mayoría de asesores y plataformas profesionales suscriben, es esta: registrar los cuatro últimos dígitos del número, la modalidad de pago y la entidad emisora. Eso cumple la finalidad de trazabilidad sin exponer datos sensibles.

Antes de hacerlo así, díselo a tu asesor: la AEPD puede actualizar criterios y conviene tener por escrito el por qué de tu decisión. Lo que no debes hacer ni de lejos es guardar el PAN en una hoja de Excel sin cifrar — eso ya no es zona gris, es infracción del RGPD del estilo grave.

5. SES Hospedajes paso a paso (lo que sí encuentras al meterte por dentro)

SES Hospedajes vive en la Sede Electrónica del Ministerio del Interior. Acceso: sede.mir.gob.es → Trámites destacados → SES Hospedajes. La interfaz es funcional, no precisamente bonita, y la primera vez tarda más de lo que parece.

Paso 1: Date de alta como sujeto obligado

Vas a necesitar certificado digital o Cl@ve PIN del titular del alojamiento. Si no los tienes, ese es tu primer atasco: el certificado digital tarda entre 7 y 14 días, y la Cl@ve PIN exige verificación presencial si nunca te has identificado en una oficina pública. Empieza por aquí antes que nada — sin esto, no haces nada.

Una vez dentro vas a rellenar:

NIF o CIF del titular (tú o tu empresa).

Datos del establecimiento: dirección completa, categoría (VUT, VFT, hotel…), comunidad autónoma de alta.

Número de licencia turística autonómica si la tienes (HUT en Cataluña, VFT en Andalucía, VV en Canarias, etc.).

Capacidad máxima de plazas.

Datos de contacto del responsable del envío, que puede ser distinto del titular.

Paso 2: Elige cómo vas a enviar los datos

SES Hospedajes admite tres modalidades. Eliges según volumen:

Formulario web. Metes los datos uno a uno tras cada check-in. Se aguanta si tienes uno o dos alojamientos y pocos huéspedes al mes.

Carga masiva por archivo (XML/CSV). Subes todos los check-ins del día en un mismo fichero. Razonable hasta unos 30 alojamientos si tienes el tiempo.

Integración API. Tu PMS o tu herramienta de check-in envía los datos automáticamente. A partir de cierto volumen, es la única vía que escala. Sinceramente.

PMS y herramientas con integración SES Hospedajes nativa que se ven habitualmente en el mercado español: Avaibook, Lodgify, Hostfully, Smoobu, Octorate, Hosthub. Verifica con tu proveedor antes de contratar — algunos lo cobran como módulo extra y eso se suma a la factura mensual.

Paso 3: Recoge los datos antes del check-in

Tres opciones, en orden de profesionalidad creciente:

Plantilla manual: el huésped te manda el DNI por WhatsApp y tú lo metes en SES. Es la opción menos recomendable — WhatsApp no cumple los estándares profesionales para datos personales.

Formulario online previo a la llegada: le mandas un enlace al huésped 24-48 horas antes para que rellene los datos en una página tuya con HTTPS y política de privacidad enlazada.

App de check-in con OCR del documento: el huésped sube foto del DNI o pasaporte, el sistema saca los datos automáticamente. La forma más rápida y, desde el punto de vista RGPD, también la más segura.

Paso 4: Envía en menos de 24 horas

Las 24 horas se cuentan desde el check-in del huésped, no desde la reserva. Si el huésped llega a las 22:00 del viernes, tienes hasta las 22:00 del sábado para tener los datos en el sistema. Si tu rutina de envío es a las 9:00 del día siguiente, sigues estando dentro de plazo siempre que el check-in haya sido posterior a las 9:00 del día anterior.

Paso 5: Guarda el acuse de recibo

Cada envío genera un acuse electrónico. Descárgatelo (es un PDF) y archívalo. El acuse es tu prueba ante una inspección de que el envío se hizo en plazo. Sin acuse, las palabras valen poco.

6. Lo que cambió el 2 de diciembre de 2024

Antes de diciembre de 2024 cada comunidad iba por su lado: Cataluña con su sistema autonómico, Canarias con su versión de Hospederías, casos de partes en papel todavía vivos en zonas rurales. Desde el 2 de diciembre de 2024, ese mosaico se acabó. SES Hospedajes es el único canal válido a nivel nacional.

Si tu PMS no se actualizó a tiempo, conviene que lo verifiques. Conocemos casos de anfitriones que siguieron enviando al sistema autonómico durante meses pensando que cumplían — y al cruzarse los datos con la inspección, se encontraron con que SES Hospedajes no había recibido absolutamente nada. Susto y multa.

7. El plazo de 24 horas en la práctica (qué se sanciona y qué no)

El Decreto fija dos plazos clave:

Comunicación al sistema: 24 horas desde el check-in del huésped.

Conservación del registro: 3 años desde la fecha del envío.

La pregunta práctica de siempre: ¿qué pasa si me retraso? La respuesta corta es "depende". Un envío a las 27 horas por una caída de tu PMS, documentada con captura del proveedor, no suele generar sanción. Un patrón continuado de envíos a las 36-48 horas, sí. Lo que la inspección busca es intencionalidad o negligencia repetida, no incidencias puntuales.

Lo que sí se sanciona casi siempre:

No registrar a un huésped en absoluto.

Falsear los datos (nombres ficticios para esquivar el cruce con Hacienda, por ejemplo).

No conservar la información durante los tres años legales.

Patrón continuado de envíos fuera de plazo: a partir de 5-10 incidencias seguidas, la inspección lo lee como falta de control.

8. RGPD vs RD 933/2021: la fricción y cómo se resuelve

Aquí está el conflicto técnico más interesante del Decreto. RD 933/2021 te obliga a guardar los datos durante tres años. El RGPD, por otro lado, exige minimización: solo conservar datos personales el tiempo estrictamente necesario para la finalidad. ¿Cómo conviven dos normas que parecen decir cosas distintas?

La AEPD lo resolvió con buen criterio: la base jurídica del tratamiento no es el consentimiento del huésped, es el cumplimiento de una obligación legal (artículo 6.1.c del RGPD). Eso significa que el huésped no puede negarse a ceder los datos si quiere alojarse — y tú no puedes alojarle si se niega. La conservación de tres años deja de ser discrecional y pasa a ser ley.

Lo que tienes que comunicar al huésped (sí o sí)

En tu política de privacidad, en el formulario de check-in y en el momento de la recogida:

Que los datos se ceden al Ministerio del Interior conforme al RD 933/2021.

El plazo de conservación: tres años desde el envío.

Los derechos del titular (acceso, rectificación, oposición — limitados por la base legal).

Quién es el responsable del tratamiento (tú o tu empresa).

Quién es el encargado, si lo hay (tu PMS o tu herramienta de check-in).

Si tienes una brecha de seguridad

Si pierdes datos —ataque, robo de equipo, filtración accidental— tienes 72 horas para notificarlo a la AEPD. Las multas RGPD por brechas no notificadas suelen ser superiores a las del propio Decreto. No te confíes con esto: una brecha mal gestionada es lo que convierte una inspección rutinaria en una sanción gorda.

9. Sanciones reales: del aviso de 100 € a la multa de 600 000 €

El régimen sancionador del Decreto se apoya en la Ley Orgánica 4/2015 de Seguridad Ciudadana. Tres tramos:

Lo que dispara una inspección, en orden de probabilidad:

Cruce con la Agencia Tributaria. Tus ingresos declarados por las plataformas (DAC7, Modelo 179) no cuadran con el número de check-ins comunicados a SES.

Denuncia vecinal o de un huésped. Vecino que se queja por ruido, huésped que se queja por algo del alojamiento — y de paso menciona que no le pidieron documento.

Inspección aleatoria en zonas calientes: Barcelona, Madrid centro, Mallorca, Ibiza, Canarias, Marbella.

Si tienes empleados de limpieza no declarados y aparece la inspección de Trabajo, la auditoría se amplía.

La cuantía concreta depende de varios factores: número de huéspedes afectados, reincidencia, cooperación con la inspección, capacidad económica del sancionado. Anfitriones particulares con un solo alojamiento se suelen quedar en el tramo bajo de las leves y graves. Property managers con varios alojamientos saltan más fácilmente al tramo alto cuando se identifica un patrón.

10. Los errores que vemos repetirse

Estos son los fallos que aparecen una y otra vez cuando hablamos con anfitriones que han tenido una inspección o que han rectificado a tiempo. Si te ves reflejado en alguno, hoy es buen día para regularizar.

Error 1 — Solo registrar al huésped que reservó.

El Decreto exige los datos de todos los viajeros, no solo del que aparece en la reserva. Si la reserva es de cuatro personas, hay que comunicar los datos de las cuatro. Y los menores también, con el campo "parentesco" rellenado.

Error 2 — Pensar que las plataformas "ya lo hacen".

Airbnb pide documento al huésped en algunos casos, sí. Pero ese registro va al sistema de Airbnb, no a SES Hospedajes. La obligación de comunicar a SES sigue siendo tuya. Mucha gente se entera tarde, justo cuando la inspección llama al timbre.

Error 3 — Guardar copias del DNI en Google Drive sin cifrar.

Es una infracción del RGPD, no del Decreto, pero termina apareciendo en la misma inspección si la AEPD se involucra. Cifra los archivos, usa una herramienta profesional o, mejor todavía, no los guardes tú directamente — que los gestione tu PMS.

Error 4 — No comunicar las estancias largas.

Aplica igual. La estancia larga puede caer en alquiler de temporada o LAU según contrato, pero si el alojamiento está dado de alta como turístico, hay que comunicar a SES. Y aunque el huésped lleve viviendo allí dos meses, la comunicación se hace una vez (en el check-in inicial).

Error 5 — Olvidarse de los acuses.

Un envío sin acuse archivado es como un IRPF presentado sin justificante: funciona hasta que alguien lo pide. Tenlos guardados, ordenados y a mano.

11. Cuánto tiempo te cuesta hacerlo a mano (y cómo recuperarlo automatizando)

Vamos a hacer cuentas. Cumplir manualmente con RD 933/2021 implica:

Pedir el documento al huésped: 5 minutos, contando WhatsApp y reenvíos.

Comprobar que la foto se lee bien: 2-3 minutos.

Meter los 18 campos en SES Hospedajes uno a uno: 10-12 minutos.

Descargar y archivar el acuse: 1-2 minutos.

Total: entre 18 y 22 minutos por check-in si lo haces bien. Multiplicado por los 100-150 check-ins anuales que tiene un VUT promedio en zona turística, hablamos de 30 a 55 horas al año dedicadas exclusivamente a esta tarea. Casi una semana entera de trabajo. Y eso siendo rápido.

La automatización profesional reduce esto a:

Recogida pre check-in: el huésped sube el documento desde su móvil, antes de llegar al alojamiento. Lo hace él en dos minutos; tú, en cero.

Validación automática: OCR del documento, verificación de coherencia de campos y comprobación contra patrones de fraude. 30 segundos.

Envío directo a SES Hospedajes vía API integrada, en menos de 60 segundos del check-in. Sin intervención manual.

Archivo y backup automáticos durante los 3 años legales, en infraestructura RGPD-compliant.

Cómo lo resuelve Layla:

El sistema de check-in de Layla incluye integración nativa con SES Hospedajes, validación automática del documento (OCR para DNI, NIE y pasaporte) y backup conforme al RGPD. Para anfitriones con varios alojamientos o property managers, la integración API permite procesar cientos de check-ins automáticamente, sin tocar el portal del Ministerio. Más información en layla.eco/pricing.

12. Tu checklist de cumplimiento (para imprimir y tachar)

Antes del primer huésped:

• Certificado digital o Cl@ve PIN del titular del alojamiento. Tarda una semana o más, no lo dejes para el último día.
• Alta como sujeto obligado en SES Hospedajes con todos los datos del establecimiento.
• Método de envío configurado: web manual, CSV o API según volumen.
• Política de privacidad actualizada con referencia explícita al RD 933/2021 y al plazo de tres años.
• Plantilla o formulario de recogida de datos del huésped.

Por cada check-in:

• Recoger los 18 campos del huésped principal antes de la entrega de llaves.
• Recoger los datos de TODOS los acompañantes, incluidos menores con el campo "parentesco".
• Documentar el método de pago (criterio AEPD: los 4 últimos dígitos suelen valer).
• Subir a SES Hospedajes en menos de 24 horas desde el check-in.
• Descargar y archivar el acuse de recibo electrónico.

Por cada huésped (post check-in):

• Conservar los datos durante 3 años exactos desde la fecha del envío.
• Tener mecanismo para responder a derechos RGPD (acceso, rectificación) en plazo.
• Plan de respuesta a brechas: notificación a la AEPD en menos de 72 horas.

13. Preguntas frecuentes

¿Tengo que registrar a los menores acompañantes?

Sí. El Decreto exige los datos de todos los viajeros, incluidos los menores. Para los menores de edad debes incluir el campo "parentesco con el viajero principal".

¿Y si el huésped se niega a darme sus datos?

La obligación es legal, no contractual. Si se niega, tienes que negarte a hospedarle. Lo más habitual es que ceda al ver que no puede alojarse sin facilitar los datos. Si insiste, archiva la negativa por escrito y cancela la reserva.

¿Tengo que registrar las reservas que se cancelan antes del check-in?

No. Solo los huéspedes que efectivamente se hospedan.

¿Puedo enviar los datos en lote al final del día en vez de uno a uno?

Sí, mediante carga CSV o XML. Lo importante es que cada check-in se comunique en menos de 24 horas. Si el huésped llega a las 22:00, no puedes esperar al envío de las 9:00 de dos días después — ya son más de 24 horas.

Tengo una caída del PMS y no puedo enviar a tiempo. ¿Me sancionan?

Si la incidencia está documentada (captura del proveedor, ticket de soporte) y el envío se hace en cuanto vuelve el servicio, raramente. Lo que sí se sanciona es no documentar la incidencia o reincidir.

¿Es legal pedir copia del DNI por WhatsApp?

Legal sí, pero no recomendable. WhatsApp no es un canal cifrado para datos personales según los estándares profesionales. Usa una herramienta de check-in con cifrado en tránsito y en reposo, o un formulario en una página HTTPS con política de privacidad enlazada.

¿Cuánto cuesta cumplir profesionalmente?

La integración por API a SES Hospedajes vía un PMS o herramienta de check-in cuesta habitualmente entre 5 € y 30 € por alojamiento al mes. Compara antes de contratar — algunos proveedores lo cobran como módulo extra.

¿SES Hospedajes sustituye a mi sistema autonómico?

Sí. Desde el 2 de octubre de 2024, SES Hospedajes es el único canal nacional. Aunque sigas dado de alta en un sistema autonómico, los datos tienen que llegar al sistema centralizado.

Vendo mi VUT. ¿Quién es responsable de los datos antiguos?

Tú, durante los tres años desde el último envío. La obligación de conservación no se transfiere automáticamente al nuevo propietario salvo acuerdo expreso conforme al RGPD.

¿Aplica si solo alquilo una habitación de mi piso habitual?

Sí. El Decreto no distingue entre actividad principal y home sharing — toda actividad de hospedaje retribuida está cubierta.

¿Tengo que avisar al huésped de que comunico sus datos al Ministerio?

Sí. La política de privacidad de tu alojamiento debe incluir la mención expresa al RD 933/2021, al destino de los datos (Ministerio del Interior) y al plazo de tres años. Es uno de los puntos que la AEPD revisa con más detalle.

Soy un anfitrión particular con un único piso. ¿También todo esto?

Sí. El Decreto no establece umbral mínimo. Un solo huésped al año basta para que la obligación se active.

14. Próximos pasos

Si has llegado hasta aquí, ya tienes una idea bastante completa de lo que te toca con RD 933/2021. El siguiente paso depende de tu volumen y de cuánto te valga tu tiempo.

Si tienes 1-2 alojamientos y pocos check-ins:

Date de alta tú mismo en SES Hospedajes, monta un formulario online de check-in con tu política de privacidad bien explicada y resérvate los 15-20 minutos por huésped en tu calendario. Es viable, aunque tedioso a la larga.

Si tienes tres o más alojamientos, o varios check-ins por semana:

Automatízalo. La diferencia entre 30 horas al año y 30 minutos al año la pagas en menos de un trimestre. Layla cubre el flujo completo —recogida, validación, envío a SES, archivo— en layla.eco/pricing.