Consulte el PDF
Recientemente, se han publicado diversas noticias que aseguran que la Agencia Española de Protección de Datos (AEPD) ha impuesto una cuantiosa multa a un hotel por escanear el pasaporte de un turista holandés.
Una vez analizada la resolución, podemos asegurar que la AEPD no impone una sanción por escanear la fotografía del pasaporte del cliente pues, en virtud del artículo 24 de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana y la Orden INT/1922/2003, de 3 de julio, existe la obligación por parte de las personas físicas o jurídicas que ejerzan actividades de hospedaje de llevar un registro documental de los clientes. Este tratamiento de datos se encuentra igualmente legitimado por el artículo 6.1.c) del Reglamento General de Protección de Datos (RGPD).
En este caso, la sanción viene impuesta por el tratamiento de datos personales que realiza el hotel mediante el uso de una tarjeta magnética que entrega a los huéspedes y que permite, además de acceder a la habitación, el pago de las consumiciones (y, en general, hacer uso de los servicios del hotel).
Este dispositivo tiene incorporada información relativa a los clientes, incluyendo el número de habitación y reserva, número de personas y fecha de salida, nombre y apellidos de la persona, régimen, tipo de VIP y número de visitas, además de la fotografía del cliente, que se comprueba para verificar la identidad del cliente cuando realiza consumos en las instalaciones.
Si bien el hotel consideraba que podía utilizar la fotografía de los clientes en estas tarjetas con motivo de verificar la identidad de los mismos en los consumos que realizan, evitando así un uso fraudulento de terceros distintos al usuario del servicio, la AEPD considera que no existe la legitimación del artículo 6.1.f) RGPD (interés legítimo) y, por ende, la recogida y utilización de las fotografías de los clientes no quedan amparadas por las bases jurídicas de “ejecución del contrato” y “cumplimiento de una obligación legal”.
Ello motiva que la AEPD entienda que el uso de estos datos por parte del hotel podría utilizarse para el fraude de identidad por parte de los empleados del hotel que tienen acceso a los mismos, de modo que no se considera proporcionado su uso para evitar posibles fraudes en el pago de los servicios del hotel.
Por consiguiente, el tratamiento de todos estos datos sería contrario al principio de minimización de datos (artículo 5.1.c RGPD), pues se considera que el tratamiento solo de un nombre y número de habitación sería suficiente para reducir el fraude.
A todo lo anterior, cabe añadir que la información en materia de protección de datos personales que el hotel facilitaba a los clientes no incluía ningún detalle sobre la recogida y utilización de la fotografía, por lo que los clientes no tenían ningún tipo de información de que se recababan estos datos. De hecho, en el Registro de Actividades de Tratamiento del hotel, no figuraba ni siquiera el tratamiento de datos de la fotografía, lo cual es imprescindible para dar cumplimiento a la normativa de protección de datos personales.
Por todo ello, se impone la mencionada sanción, así como la obligación de subsanar esta mala praxis.
A continuación, se adjunta el enlace de la resolución tratada para una mayor información: Consultar resolución
© La presente información es propiedad de Escura, abogados y economistas, quedando prohibida su reproducción sin permiso expreso.
