A principios de este mes varios medios se han hecho eco de una resolución que puede traer cola en el sector hotelero, y es que, la AEPD ha sancionado a un hotel por escanear el pasaporte de uno de sus clientes con una multa de 30.000 euros al entender que el tratamiento de los datos personales contenidos en dicho documento identificativo es excesivo y carece de base de legitimación conforme a la normativa aplicable en materia de protección de datos personales.
Esta resolución trae causa en una reclamación realizada por un ciudadano holandés ante la autoridad de control de su país, la Autoriteit Persoonsgegevens, la cual es trasladada a la Agencia Española de Protección de Datos (en adelante, AEDP) a través del sistema IMI con el que se busca favorecer la cooperación administrativa transfronteriza, la asistencia mutua entre los Estados miembros y el intercambio de información, en tanto en cuanto la sede social de la entidad sancionada se encuentra en España.
En ella, el reclamante manifiesta que en el proceso de registro del hotel le solicitaron el pasaporte, y que el mismo fue escaneado digitalmente a pesar de su oposición, alegando que algunos de los datos contenidos en el pasaporte no son necesarios y que asegura haber visto a los empleados del hotel con su foto del pasaporte en sus tablets.
Por su parte, el hotel declara que mediante el proceso de escaneo del pasaporte recopilan diferentes tipos de datos personales con el objetivo de remitírselo a las Fuerzas y Cuerpos de Seguridad del Estado en cumplimiento de la normativa de seguridad ciudadana y para la gestión hotelera, indicando que la imagen de los clientes se utiliza para facilitar al personal del hotel la identificación del cliente que está haciendo uso de la tarjeta de crédito o de la habitación (en el momento de realizar un consumo, el cliente facilita esa tarjeta al empleado, quien, al pasarla para realizar el cargo, puede comprobar la fotografía), así como para controlar el acceso al establecimiento.
Si bien la AEPD declara la licitud del tratamiento de datos personales de los clientes que resultan necesarios para la ejecución del contrato y para el cumplimiento de las obligaciones legales que operan en este sector, dichas bases de legitimación no amparan la recogida del dato de la imagen del cliente al escanear el pasaporte por parte del hotel.
En este sentido, la entidad reclamada señala que con el tratamiento de la imagen del cliente se pretende verificar la identidad de este con el objetivo de impedir uso fraudulento de la tarjeta por parte de terceros y, en definitiva, evitar un grave perjuicio económico para el cliente, considerando que este tratamiento está amparado por lo establecido en el art. 6.1.f) del RGPD (interés legítimo).
A colación de lo anterior, la AEPD se pronuncia manifestando que no consta que el hotel haya llevado a cabo la correspondiente prueba de ponderación del interés legítimo, ni ha informado sobre la aplicación de esta base legitimadora, impidiendo que el cliente pueda oponerse a dicho tratamiento. Por ello, declara el tratamiento de la fotografía del cliente es excesivo y que el interés legítimo no puede ser la base que legitime este tratamiento en la medida que hay otras formas menos intrusivas de conseguir el fin pretendido con el mismo, sin que se pueda desprender que el interés invocado por el hotel prevalezca sobre los derechos y libertades de los clientes.
Expuesto lo anterior, la AEPD, ante el entendimiento de que el hotel ha actuado negligentemente escaneando el pasaporte del cliente, decide imponerle una multa de 30.000 euros por la infracción del art. 6 del RGPD, calificada como muy grave, y, además, le requiere para que, en el plazo de un mes, adopte las medidas necesarias para cumplir con la normativa de protección de datos personales, en concreto:
- Cese en la recogida y tratamiento de la imagen de sus clientes.
- Adaptar la información que ofrece a sus clientes sobre protección de datos de manera que esta incluya la referencia a la recogida y uso de la fotografía, así como la base que legitima dicho tratamiento.
- Implantar mecanismos a través de los cuales se pueda verificar que esta información es puesta en conocimiento de los interesados (clientes).
- Adecuar sus operaciones de tratamiento a las exigencias del art. 6.1 del RGPD.
- Eliminación de todas las fotografías de clientes con las cuenten en base a los hechos esgrimidos en la resolución y por los que se declara la infracción.
En conclusión, esta resolución supone un antes y un después para el sector hotelero en cuanto al tratamiento de datos personales de sus clientes, debiendo extremar la precaución en relación con el cumplimiento de la normativa de protección de datos personales, especialmente en lo que se refiere a contar con una base de legitimación adecuada, así como informarles debidamente sobre el tratamiento de sus datos personales.
Nuestros expertos en protección de datos pueden asesorarle en cualquier proceso relacionado con la privacidad y el cumplimiento de la normativa vigente. Contacte con ellos aquí.
Abogado en el Área de Protección de datos y derecho digital
Añadir nuevo comentario