Recientemente, la Agencia Española de Protección de Datos, ha sancionado con una multa de 30.000 € a un hotel de Mallorca por haber utilizado el escaneo del pasaporte de un ciudadano holandés para su identificación y registro en el referido establecimiento, así como para otros servicios. Es interesante comentar sucintamente que este procedimiento se inició por la reclamación de carácter transfronterizo interpuesta por el ciudadano holandés ante la autoridad de protección de datos de Países Bajos, la cual, a su vez, la remitió a la AEPD. Por lo que, si esto nos sucediera en el extranjero, podríamos hacer lo mismo, tramitar la reclamación en España ante la AEPD para que esta autoridad la remita a la correspondiente.
En este caso, la sanción produjo, que los establecimientos hoteleros y diversas asociaciones del sector, entre otras, la CEHAT, Confederación Española de Hoteles y Alojamientos Turísticos, protestaran ante la supuesta indefensión que se le producía, al entender que existían normas contradictorias, en referencia a la obligación legal de estos establecimientos de mantener un registro de usuarios, y por la normativa de protección de datos, ser sancionados por ello, es decir, entienden por este motivo, que es incoherente sancionar a un establecimiento hotelero por un acto supuestamente contrario al RGPD y a su vez exigible por el Ministerio del Interior. Tal ha sido la polémica surgida, que la propia AEPD ha emitido un comunicado sobre el registro de datos de ciudadanos por parte de alojamientos turísticos, aclarando la situación.
En concreto, los hechos sucedidos que han motivado la sanción origen de esta controversia, son que, en el referido hotel, cuando el cliente se registraba, se le ofrecía una tarjeta magnética que le permitía acceder a la habitación y pagar las consumiciones en el restaurante. En el momento de realizar un consumo, el cliente le facilitaba esa tarjeta al trabajador del hotel y, al pasarla por su dispositivo, éste tenía acceso a la fotografía. La AEPD ha recordado que la recogida y utilización de esas fotografías no están amparadas por las bases jurídicas de ejecución del contrato (el firmado para el servicio de alojamiento) o cumplimiento de una obligación legal (la obligación de identificar y registrar a los usuarios).
Por tanto, ha explicado que los datos recabados por el establecimiento resultan necesarios para la ejecución del contrato, pero no el uso de la fotografía, “lo que supone un tratamiento de datos personales innecesario y desproporcionado”, infringiendo el principio de minimización de datos, regulado en el art. 5.1.c) RGPD.
La obligación legal de registro documental e información los establecimientos de hospedaje, recogida en el art. 25 de la Ley Orgánica 4/2015 de Protección de la Seguridad Ciudadana, únicamente opera como causa legitimadora del tratamiento de datos para la finalidad exclusiva de la identificación, no para el resto de servicios.
En tercer lugar, la AEPD aclara que los incumplimientos del hotel consistieron no incluir información en su política de protección de datos sobre la recogida y utilización de la fotografía. Tampoco se recogía este tratamiento en su Registro de Actividades de Tratamiento.
En resumen, el problema surge cuando se utiliza una información que se ha recogido lícitamente en cumplimiento de una obligación legal (artículo 6.1. c) del RGPD), para otra finalidad, sin haber informado de ello, ni haber obtenido el consentimiento expreso (art. 6.1.a RGPD).
Para más información contacte con nosotros, le informamos sin compromiso en el teléfono 988 609 224 y en [email protected]
Síganos en Facebook y vea nuestro blog de protección de datos, para mantenerse informado de todas las novedades.
Arias Avogados
