La AEPD impone una multa de 30.000€ a un hotel por incumplir el RGPD

La Agencia Española de Protección de datos impone una multa de 30.000€ a un establecimiento hotelero por lo que consideran una infracción del artículo 6 del RGPD, tipificada en el artículo 83.5.a) del RGPD y calificada como muy grave a efectos de prescripción en el artículo 72.1.b) de la LOPD. Pueden acceder a la Resolución en este enlace

La sanción viene motivada por una reclamación de carácter transfronterizo interpuesta ante la “Autoreit Persoonsgegevens”, la autoridad de protección de datos de Países Bajos, contra el establecimiento hotelero por escanear el pasaporte de un cliente (incluida la fotografía) y utilizar dicha información personal para evitar un uso fraudulento de la tarjeta de consumo interno del hotel, comprobando y verificando la identidad del cliente al realizar cargos en la cuenta de su habitación con el objetivo de no causar un perjuicio económico a los clientes.

El hotel recogía y escaneaba los pasaporte de los clientes con la finalidad de cumplir con la normativa relativa al registro de entrada de viajeros en establecimientos de hostelería así como la obligación de comunicar la información contenida en las hojas-registro a las dependencias policiales, Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana, y la Orden INT/1922/2003, de 3 de julio,.

El problema surge cuando utilizan esa misma información que han recogido lícitamente en cumplimiento de una obligación legal (artículo 6.1. c) del RGPD), para una finalidad distinta sin el consentimiento del cliente.

Reacciones a la Resolución

Entre otros, la CEHAT o Confederación Española de Hoteles y Alojamientos Turísticos se han mostrado contrarios a esta resolución, ya que consideran que el escaneado del pasaporte de los turistas que pretenden alojarse en un hotel es un procedimiento habitual utilizado por los establecimientos o alojamientos turísticos para cumplir con las obligaciones legales de deber de información de registro de viajeros.

Entienden por este motivo, que es incoherente sancionar a un establecimiento hotelero por un acto supuestamente contrario al RGPD y a su vez exigible por el Ministerio del Interior.

Del mismo modo, les preocupa las exigencias contenidas en el Real Decreto 933/2021, de 26 de octubre, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor, solicitando que se retrase su entrada en vigor (próximo 28 de abril) ya que aún no existe un documento de desarrollo específico para los establecimientos hoteleros que se ajuste a los sistemas que utilizan.

Por otro lado, manifiestan la imposibilidad de recoger los datos solicitados en este Real Decreto ya que los establecimientos hoteleros no tienen acceso a los mismos o porque están prohibidos por normativa interna y comunitaria.

Esta normativa contempla al igual que el RGPD, importantes sanciones. Así mismo, exige a los hoteleros datos de las transacciones económicas a los que no tienen acceso por razones de seguridad, ya que son tratados por los proveedores de servicios de pago y plataformas que utilizan técnicas de encriptación siguiendo los protocolos aprobados por el Banco de España.

Aclaraciones de la Agencia Española de Protección de Datos

En este sentido, la Agencia Española de Protección de datos se ha pronunciado rápidamente al respecto dadas las reacciones, entre otras, de la Confederación Española de Hoteles y Alojamientos Turísticos (CEHAT), publicando ayer mismo un comunicado acerca del contenido de la resolución y la sanción impuesta al Hotel en relación al registro de datos de ciudadanos por parte de alojamientos turísticos: 

Las aclaraciones que realiza la AEPD se resumen en:

–       Los alojamientos turísticos deben registrar datos de los documentos de identificación de sus clientes para cumplir las normas españolas sobre registros de viajeros y comunicarlos a las Fuerzas y Cuerpos de Seguridad del Estado en cumplimiento de la normativa de seguridad ciudadana.

–       El establecimiento hotelero sancionado también recogía y utilizaba las fotografías de los clientes para el control de acceso y la facturación de sus consumos durante su estancia. No se incluía ningún detalle sobre la recogida y utilización de la fotografía, por lo que los clientes las desconocían. Tampoco se recogía este tratamiento en su Registro de Actividades de Tratamiento.

–       La recogida y utilización de esas fotografías no están amparadas por las bases jurídicas de ejecución del contrato o cumplimiento de una obligación legal.

–       La recogida y utilización de la fotografía supone un tratamiento de datos personales innecesario y desproporcionado para la finalidad establecida.

–       Se ha requerido al establecimiento que cese en la recogida y tratamiento de la fotografía de sus clientes o, en caso contrario, adecúe la información en materia de protección de datos que ofrece a los clientes. Deben suprimir todas las fotografías recogidas de los clientes hasta el momento.

Conclusiones

Sea de nuestro agrado o no, la exigencia del cumplimiento del RGPD a las empresas se ha visto y se verá incrementada notablemente a medida que pase el tiempo.

Por ello, no debe extrañarnos que se produzcan de manera más frecuente este tipo de sanciones, por lo que se encuentra en mano de las empresas reforzar su protección en materia de seguridad de la información y cumplir con la norma de protección de datos personales.

Cumplimiento obligación legal. (art. 6.1.c RGPD) Deber de informar a las Fuerzas y Cuerpos de Seguridad del Estado en cumplimiento de la normativa de seguridad ciudadana

Es cierto que los establecimientos hoteleros deben cumplir con el deber de información sobre los datos de los viajeros para cumplir con la normativa de seguridad ciudadana y para ello recoger los datos identificativos del pasaporte, pero… 

¿Realmente se necesita la fotografía del cliente para cumplir con el registro de viajeros?

Teóricamente, el proceso de escaneo al que se debería someter el pasaporte o documento identificativo de los clientes al realizar el check in, no consiste en obtener la imagen digital de todo el documento (escaneado común que todos conocemos), sino que se realiza utilizando un programa informático de reconocimiento óptico de caracteres (OCR) que identifica automáticamente los caracteres de un determinado alfabeto y los almacena en forma de datos, convirtiendo la imagen en texto.

De esta manera el establecimiento hotelero recaba los datos identificativos de sus clientes que posteriormente son remitidos a las Fuerzas y Cuerpos de Seguridad del Estado en cumplimiento de la normativa de seguridad ciudadana.

Uso de los datos personales del cliente para finalidad distinta. Falta de consentimiento (art. 6.1.a RGPD)

El problema en este caso radica en que se han utilizado los datos personales del cliente para otra finalidad distinta de la que había sido informada y de la que no se había obtenido su consentimiento. No es lícito recoger datos para finalidades distintas a las recogidas en el consentimiento del interesado o de las legalmente establecidas.

Para empezar, no se le informa al cliente en ningún momento de que se le va a recoger la fotografía del pasaporte para esa finalidad.

Por otro lado, tampoco consta en el registro de actividades del hotel, donde deben aparecer todos los procesos de tratamiento de datos personales, por lo que hasta el momento no hay ninguna base legal para utilizar ese dato como es la fotografía.

No se cumple con la minimización de datos (art. 5.1.c RGPD)

Por otro lado, parte de esa información personal que se había recogido, en este caso la fotografía, no era necesaria para la finalidad expuesta, por lo que tampoco se tiene en cuenta el principio de minimización de los datos. (artículo 5.1.c) RGPD). El objetivo de la minimización de datos es la de no excederse en la recogida de información, es decir, recopilar los datos mínimamente necesarios para la finalidad que se pretende.

Por otro lado, justifican la recogida de la fotografía, como veremos en el punto siguiente, en un interés legítimo que incumple de nuevo con la minimización de datos, ya que….

¿Realmente se necesita la fotografía del cliente para comprobar su identidad cuando se le hacen cargos a la tarjeta de consumo interno del hotel?

Hay muchísimas otras formas menos invasivas o intrusivas de comprobar si el titular de la tarjeta de consumo interno del hotel se corresponde realmente con el cliente, sin necesidad de conservar la fotografía del pasaporte.

Interés legítimo no justificado (art. 6.1.f RGPD)

En un primer momento, podemos pensar que estos hechos están justificados por el interés legítimo del artículo 6.1.f) del RGPD, como así hace constar el hotel entendiendo que existe un interés legítimo en cobrar al verdadero usuario del servicio evitando la utilización de las tarjetas de forma fraudulenta y que se carguen en las cuentas de los clientes, posibles consumos efectuados por terceros, es decir, que el fin justifica los medios.

Sin embargo, el mismo apartado del artículo dispone que “siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales…” que parece no haberse tenido en cuenta en este caso, ni haberse justificado, más aún, si cabe, cuando el propio interesado se negó a facilitar esa información.

En definitiva, consideramos que se pueden evitar estas sanciones y que se necesita mayor concienciación a nivel interno en las organizaciones para evitar este tipo de situaciones.

Por ello:

1-    Solicita siempre el consentimiento del interesado para tratar sus datos personales e infórmale sobre la finalidad del tratamiento de sus datos.

2-    Actualiza frecuentemente tu registro de actividades del tratamiento de datos personales y contempla en él todos los procesos.

 

Guillermo Caro

Abogado de Nuevas Tecnologías

gcaro@monlexabogados.es

Compartir este artículo
Palabras relacionadas

¿Todavía tiene preguntas?

Reciba asesoramiento personalizado de nuestros expertos en MONLEX.