A propósito de la resolución PS/00078/2021 de la AEPD que ha impuesto una sanción de 30.000 euros a una empresa hotelera, la Agencia Española de Protección de Datos, ha publicado un comunicado, aclarando las circunstancias de la sanción: https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/comunicado-sobre-el-registro-de-datos-de-ciudadanos-por-parte.
La citada resolución ha impuesto una sanción de 30.000 euros a una empresa hotelera por escanear por completo la página del pasaporte donde consta la información del titular.
En este sentido, la AEPD ha considerado que se trata de un tratamiento excesivo de los datos del cliente, no existiendo una base jurídica que ampare su solicitud.
La AEPD señala que, si bien la Ley de Protección de la Seguridad Ciudadana impone obligaciones respecto de la información que debe recabarse sobre el registro de huéspedes, considera que no todos los datos del pasaporte son necesarios para ello.
En concreto, la imagen del pasaporte no guardaría relación con esta obligación legal. La empresa sancionada informaba debidamente al huésped sobre la recogida y comunicación de sus datos a las autoridades en cumplimiento de la normativa aplicable. Sin embargo, no informaba sobre el uso que se hacía internamente de su imagen (escaneada como parte del pasaporte).
La empresa empleaba la imagen como método de seguridad para evitar usos fraudulentos de las tarjetas magnética de acceso a la habitación. La empresa justificó el uso de la imagen en la seguridad del cliente ya que, mediante la tarjeta del hotel, el cliente podía cargar gastos a su cuenta. De este modo, al poder cotejar la imagen del sistema con la persona que solicita el consumo, se evitaba que terceros distintos al huésped hiciesen cargos a su cuenta. Es decir, la imagen no constaba impresa en la tarjeta, si no solo en los sistemas internos del hotel y accesible únicamente por el personal a la hora de leer/cobrar con la tarjeta.
Sin embargo, la AEPD no entiende suficiente dicha justificación y basa su sanción en los siguientes motivos:
1. El escaneo y uso de la imagen del pasaporte para estos fines resulta desproporcionado y excesivo, ya que aun pudiendo existir un interés legítimo que respalde su tratamiento, existen medios menos invasivos para garantizar que el titular de la tarjeta es la persona que realiza el pago.
2. Pese a entender la sancionada la existencia de un interés legítimo, no ha podido acreditar haber realizado la ponderación previa que exige el RGPD para basar el tratamiento de datos en esta base jurídica.
3. No se informa al huésped sobre los usos y fines de tratar su imagen, no dándole por tanto la opción de oponerse a su tratamiento.
4. Se plantea la posibilidad de recabar el consentimiento del huésped para el tratamiento de su fotografía. No obstante, basar el tratamiento en el consentimiento del huésped tampoco tendría cabida, ya que no había evidencias de informar sobre el uso de la imagen, ni haber habilitado una forma de consentir separadamente los distintos fines previstos. Por ello, no podría entenderse que el consentimiento otorgado en su caso fuese válido.
Es decir, la AEPD sanciona al entender que no existe base jurídica suficiente para amparar el tratamiento de la imagen de los huéspedes, no quedando respaldada por la ley de Seguridad Ciudadana ni por el Interés legítimo con fines de seguridad.
No obstante, la resolución proporciona algunos medios alternativos y menos invasivos que los hoteles pueden adoptar para garantizar, igualmente, la seguridad en el uso de las tarjetas de acceso a las habitaciones. Estos medios son:
1. Exigir al personal del hotel verificar la información del cliente y del titular que hace uso de la tarjeta antes de proceder al cobro u otro trámite. Para ello bastará con la información que obra legalmente en los registros, tales como su nombre, apellidos o número de habitación.
2. Emitir una factura de los consumos y exigir la firma del cliente.
3. En caso de notificar el extravío de la tarjeta por el huésped, bloquear automáticamente la misma para evitar que terceros hagan uso de ella.
Por todo ello, desde G|R|A CONSULTORES, les ofrecemos nuestros servicios para que su empresa u organización cumpla con todas las obligaciones en la normativa de Protección de Datos Personales, evitando además importantes sanciones económicas.