AGENCIA DE PROTECCION DE DATOS MULTA CON 30.000 € A UN HOTEL

Gonzalo Marco

Gonzalo Marco

06/06/2022

AGENCIA DE PROTECCION DE DATOS MULTA CON 30.000 € A UN HOTEL

AGENCIA DE PROTECCION DE DATOS MULTA CON 30.000 € A UN HOTEL.

¿ Se puede utilizar la fotografía del cliente ?

Un cliente holandés de un establecimiento hotelero formuló reclamación contra éste ante la Agencia Española de Protección de Datos (AEPD) por realizar, durante el proceso de registro en el hotel, un escaneo digital de su pasaporte, de todo el documento, a pesar de la oposición manifestada por el mismo; así como por la utilización de los datos personales contenidos en el citado documento, incluida la fotografía, para el control y facturación de los consumos del cliente durante su estancia.

El reclamante indicó que en el proceso de registro del hotel le solicitaron el pasaporte, que fue escaneado digitalmente, a pesar de su oposición.

El cliente se opuso a que dicho documento fuese escaneado completamente alegando que no todos los datos incluidos en el mismo eran necesarios, a lo que el empleado del hotel le respondió que dicho escaneo se realizaba siguiendo instrucciones de la policía.

Por otro lado, el reclamante asegura haber visto a los empleados del hotel con la foto del pasaporte en sus tablets.

¿ Los alojamientos turísticos tienen obligación de registrar los datos de los documentos de identificación de sus clientes ?

Sí. Los alojamientos turísticos deben registrar los datos de los documentos de identificación de sus clientes para cumplir las normas españolas sobre registros de viajeros y tienen obligación de comunicarlos a las Fuerzas y Cuerpos de Seguridad del Estado en cumplimiento de la normativa de seguridad ciudadana.

¿ Que datos personales se pueden registrar ?

El establecimiento hotelero está legitimado para la recogida de los siguientes datos personales: número de documento de identidad, tipo de documento y fecha de expedición, nombre y apellidos, sexo, fecha de nacimiento, país de nacionalidad, fecha de entrada y firma del viajero.

Estos datos deben incorporarse a la información que la entidad responsable del hotel deberá trasladar a las Fuerzas y Cuerpos de Seguridad del Estado.

(Artículo 25.1 de la Ley Orgánica 4/2015, de 30 de marzo, de Protección de la Seguridad Ciudadana,

¿ Que procedimiento de registro realizó el establecimiento hotelero sancionado ?

Fue el siguiente: solicitó la documentación identificativa y la sometió a un proceso de “escaneo” que posibilita la digitalización de textos.

Este proceso convierte la imagen en texto e incorpora los datos al programa de gestión hotelera, cumplimentando la "ficha del cliente" o "parte de entrada de viajeros", con campos relativos a número, tipo y fecha de expedición del documento de identidad presentado, nombre y apellidos, sexo, fecha y país de nacimiento.

Este proceso también incorpora a su base de datos la fotografía del cliente.

En ese momento se facilitó al cliente una “tarjeta magnética” que puede utilizar tanto para el acceso a la habitación como para hacer uso de los servicios del hotel.

¿ Que tratamiento de los datos del cliente se hizo con posterioridad por el establecimiento hotelero sancionado?

Los datos del cliente fueron tratados por el personal de administración y de servicios (bar y comedor); y fueron remitidos a las Fuerzas y Cuerpos de Seguridad del Estado, en cumplimiento de la citada normativa de seguridad ciudadana.

El personal de servicios utilizó un “dispositivo" que tiene incorporada la información relativa a los clientes: en el apartado "Datos de la reserva" se incluye el número de habitación, número de la reserva, número de personas y fecha de salida; en el apartado "Componentes de la reserva" se indica el nombre y apellidos de la persona, régimen, tipo de VIP y número de visitas, además de la fotografía del cliente.

¿ Por qué utiliza la fotografía del cliente ?

El establecimiento sancionado alegó que la imagen con la foto del cliente se utiliza para facilitar al personal del hotel la identificación del cliente que está haciendo uso de la tarjeta del crédito o habitación (en el momento de realizar un consumo, el cliente facilita esa tarjeta al empleado, quien, al pasarla para realizar el cargo, puede comprobar la fotografía), así como para controlar el acceso al establecimiento.

¿ Se informó al cliente sobre la utilización de su fotografía ?

No. En la información en materia de protección de datos personales que la entidad facilitaba a los clientes no se incluía ningún detalle sobre la “recogida y utilización de la fotografía”, por lo que los clientes la desconocían.

Tampoco se recogía este tratamiento en su “Registro de Actividades de Tratamiento”.

¿ Que alegó el establecimiento hotelero sobre la utilización de la fotografía ?

El establecimiento hotelero alegó la existencia de un “interés legítimo“ de la entidad responsable y del propio cliente como base jurídica que presta cobertura al tratamiento de la fotografía de los clientes.

Según sus alegaciones, se pretende verificar la identidad del cliente a fin de evitar el uso fraudulento de la tarjeta por parte de terceros e impedir causar un grave perjuicio económico al cliente; que no se abonen gastos con una tarjeta extraviada que no corresponda al usuario del servicio, evitar que se carguen en las cuentas de unos clientes los consumos efectuados por terceros.

Para el establecimiento hotelero este tratamiento está amparado en la normativa vigente.

¿ Cual es el criterio interpretativo de la AEPD ?

Información y prestación de consentimiento.

La AEPD entiende que el establecimiento hotelero no ha justificado este “interés legítimo” de forma suficiente y no informó debidamente al reclamante, siendo difícil aceptar que un tratamiento se base en el interés legítimo del responsable cuando ese tratamiento se lleva a cabo de forma oculta.

Entiende que el interesado ha de prestar su consentimiento y de forma libre.

El establecimiento hotelero no informó sobre esta utilización de la fotografía, ni ha establecido ningún mecanismo para que los clientes puedan consentir esta utilización mediante un “acto afirmativo separado” para estas concretas operaciones de tratamiento, las cuales tampoco constan recogidas en el Registro de Actividades de Tratamiento,

El interesado ha de tener un verdadero control sobre sus datos personales y el destino de estos, de lo contrario la actividad del tratamiento es ilegal.

Se vulnera con ello dispuesto en el artículo 6.1.a) del RGPD, que exige que el interesado preste su consentimiento para el tratamiento de sus datos personales.

Tratamiento de datos personales excesivo. Minimización de daños.

Para la AEPD la “recogida y utilización de la fotografía” de los clientes que el hotel realizó supone un tratamiento de datos personales excesivo.

Para la AEPD han de preferirse siempre los medios menos invasivos, pues cuanto más "negativo" o "incierto" pueda ser el impacto del tratamiento, más improbable es que el tratamiento en su conjunto pueda considerarse legítimo.

(Principio de minimización de daños, artículo 5.1.c) Reglamento General de Protección Datos).

¿ A que conclusiones llegó la AEPD ?

Para la AEPD resulta irrelevante si el reclamante se opuso o no a la entrega de su pasaporte en el momento del registro en el hotel y que la fotografía de los clientes únicamente se visualizara por el personal de servicios.

Para la AEPD lo “relevante” es el tratamiento que se realiza, que conlleva el registro de la fotografía en los sistemas de información del hotel, y las circunstancias en que dicho registro se lleva a cabo.

La AEPD, además, comprobó que no era cierta la alegación del hotel sobre la conservación de la fotografía únicamente durante la estancia del cliente en el hotel y su eliminación con posterioridad, puesto que la propia ficha del reclamante, que fue requerida por el instructor, probó que en la actualidad su fotografía seguía conservándose en el sistema de información de la reclamada.

¿ Qué requerimiento realizó la AEPD al establecimiento hotelero ?

La AEPD requirió al establecimiento para que cesase en la recogida y tratamiento de la fotografía de sus clientes o, en caso contrario, adecúase la información en materia de protección de datos que ofrece a los clientes, especialmente la relativa a la “recogida y utilización de la fotografía” y la “base jurídica” que fundamenta el tratamiento, estableciendo mecanismos que permitan acreditar que se le facilita dicha información a los clientes, y adecuar sus operaciones de tratamiento.

Asimismo, deberá proceder a la supresión de todas las fotografías recogidas de los clientes hasta el momento.

La AEPD entiende que no existen evidencias sobre la prestación de un consentimiento válido por parte de los clientes que ampare los tratamientos de datos personales llevados a cabo con su fotografía.

¿ Que sanción se impuso al establecimiento hotelero ?

La AEPD impuso una multa de 30.000 euros y requirió al hotel para que, en el plazo de un mes, adoptase las medidas necesarias para adecuar su actuación a la normativa de protección de datos personales.

(Infracción del Artículo 6 del RGPD, tipificada en el Artículo 83.5.a) del RGPD y calificada como muy grave a efectos de prescripción en el artículo 72.1.b) de la LOPDGDD).