Facua Consumidores en Acción informa de que la Agencia Española de Protección de Datos (AEPD) ha determinado que los hoteles no pueden guardar copia de los documentos de sus clientes cuando se les requiere a la hora de poder identificarlos previamente a su alojamiento.
Así, el organismo ha sancionado con 30.000 euros a un establecimiento hotelero, Marins Playa, por hacer una fotocopia del pasaporte de un cliente, ya que la fotografía que aparece en él no es un dato que pueda ser tratado a efectos de identificar a un usuario para comunicarlo a la Policía en cumplimiento de la normativa de seguridad ciudadana.
El artículo 25 de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana, señala que los establecimientos hoteleros están obligados al «registro documental e información en los términos que establezcan las disposiciones aplicables». Esta norma, señala la AEPD en un comunicado, legitima a recoger los siguientes datos personales: número de documento de identidad, tipo de documento y fecha de expedición, nombre y apellidos, sexo, fecha de nacimiento y país de nacionalidad, fecha de entrada y firma del viajero.
Sin embargo, la recogida y utilización de la fotografía «supone un tratamiento de datos personales innecesario y desproporcionado».
Evitar un uso fraudulento
El procedimiento se inició a raíz de la reclamación del propio cliente, ciudadano holandés, quien denunció que el establecimiento hizo una copia digital de su pasaporte pese a su oposición. Él se negó al escaneo de su documento alegando que no todos los datos que incluye son necesarios a la hora del registro e identificación de clientes que prevé la norma.
En su resolución, la AEPD afirma que «se considera excesiva la recogida del dato personal relativo a la fotografía del cliente y la utilización posterior que se realiza de la misma», pero, a su vez, califica como atenuantes a la hora de imponer la sanción «la finalidad pretendida por la entidad reclamada de evitar fraudes en los consumos de servicios» y que «no se ha acreditado otro uso distinto de este dato personal».
La empresa había alegado que hacía una copia de la documentación de los clientes, en la que se incluye su fotografía, para verificar la identidad del mismo y evitar así un uso fraudulento de la tarjeta magnética que les permite acceder a su habitación y, además, hacer el pago de los consumos con cargo a su cuenta, que abonaría al finalizar la estancia.
Sin embargo, la resolución señala que «existen otras formas menos intrusivas para verificar si el titular de la tarjeta magnética es el legítimo titular de la tarjeta en el momento del pago y, así, evitar que dichas tarjetas se utilicen de forma fraudulenta», por lo que «la eficacia adicional que proporciona el uso de los datos personales del pasaporte para prevenir fraudes no supera la invasión de la protección de datos».
«En definitiva, continúa, el interés legítimo invocado por Marins Playa no prevalece frente los derechos y libertades fundamentales de los interesados en la protección de sus datos personales, por lo que no cabe considerar que el tratamiento de datos personales que lleva a cabo esté amparado por el interés legítimo que prevé» el Reglamento de Protección de Datos Personales (RGPD).
Consentimiento válido
Por otro lado, la Agencia también indica que no existen «evidencias» de que los clientes den un «consentimiento válido» que ampare el tratamiento de datos personales que lleva a cabo Marins Playa con su fotografía. «Esta entidad ni siquiera informa sobre esta utilización de la fotografía, ni ha establecido ningún mecanismo para que los clientes puedan consentir esta utilización mediante un acto afirmativo separado para estas concretas operaciones de tratamiento», prosigue.
Así, la AEPD razona que «el procedimiento de recogida de datos personales implantado por Marins Playa supone, desde el punto de vista de los interesados titulares de los datos recabados, la pérdida de la disposición y control sobre sus datos, por cuanto ni siquiera conocen que esa recogida de datos incluye la fotografía que aparece en el documento identificativo facilitado por el cliente a su llegada al hotel».
Además de la sanción de 30.000 euros, el organismo también ha requerido al establecimiento que cese «en la recogida y tratamiento de las fotografías de sus clientes» o, por el contrario, deberá «adecuar la información en materia de protección de datos que ofrece a los clientes, especialmente la relativa a la recogida y utilización de la fotografía y la base jurídica que fundamenta el tratamiento».
De igual forma, la AEPD insta a Marins Playa a «corregir los efectos de la infracción cometida, lo que conlleva la supresión de todas las fotografías recabadas de los clientes en las circunstancias que han determinado la declaración de la infracción que se sanciona en este acto».
