La AEPD ha sancionado con 30.000 Euros de multa a un establecimiento hotelero, por infracción, calificada como muy grave, del Artículo 6 del RGPD, en relación a la licitud del tratamiento de datos personales a la hora de hacer el registro de entrada.
El reclamante, un ciudadano de Paises Bajos, inició el proceso de reclamación ante la autoridad de control de su país, dando esta traslado de la reclamación a la autoridad competente, la AEPD, al encontrarse el establecimiento hotelero en España.
En su reclamación el reclamante indica que en el proceso de entrada y registro en el hotel le fue solicitado el pasaporte, siendo este escaneado digitalmente y en su totalidad pese a su oposición, alegando que no todos los datos incluidos en el mismo son necesarios. El personal del hotel le respondió señalando que ellos simplemente seguían las instrucciones de la policía en relación al registro de clientes.
En relación con la cuestión suscitada por el reclamante, la autoridad remitente preguntó si realmente la ley española obliga a escanear el pasaporte completamente o sólo son necesarios algunos datos para cumplir el proceso de registro.
¿Cuál ha sido el motivo de sanción?
El hotel, en el proceso de registro de entrada del cliente, escaneaba mediante un programa de reconocimiento óptico de caracteres el documento identificativo del cliente, incorporándose los datos que constan en el mismo de manera automatizada a un fichero interno de registro, datos como número, tipo y fecha de expedición del documento de identidad presentado, nombre y apellidos, sexo, la fecha y país de nacimiento, así como la fotografía.
Dichos datos, en cumplimiento de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana, y la Orden INT/1922/2003, de 3 de julio, sobre libros-registro y partes de entrada de viajeros en establecimientos de hostelería y otros análogos fueron remitidos a las Fuerzas y Cuerpos de Seguridad del Estado, así como utilizados para la “gestión hotelera».
Dentro de ese proceso de gestión hotelera dichos datos eran transferidos a los departamentos de administración y servicios de comida y bebida, de tal forma que al cliente se le dotaba de una tarjeta para que pudiese cargar de manera automatizada sus consumos en el hotel, contando el personal de servicios del hotel con dispositivos electrónicos, tablets, donde podían comprobar, al constar en los mismos fotografía del cliente, que no se daba uso fraudulento a dicha tarjeta de consumo interno.
Pues bien, la información en materia de protección de datos personales que la entidad reclamada facilitaba a los clientes no incluía ningún detalle sobre la recogida y utilización de la fotografía, por lo que erandesconocidas por los interesados. De hecho, ni siquiera el tratamiento de datos a que es sometida la fotografía figura en el Registro de Actividades de Tratamiento.
Por otro lado, en la fase de pruebas del procedimiento, el instructor requirió expresamente a la entidad reclamada copia de su política de privacidad, en todas sus versiones vigentes a partir del 25/05/2018 y de cualquier aviso de privacidad o informaciones adicionales, además de un detalle sobre los canales habilitados para dar a conocer esta información, y dicha entidad no aportó el documento informativo que ahora aporta con sus alegaciones a la propuesta de resolución.
Para finalizar, siendo este el motivo principal de la cuantiosa sanción, la AEPD considera que no existe un tratamiento de datos lícito, al no existir un interés legitimo, no existiendo base jurídica que lo sustente.
Si bien el hotel alega que, para evitar el uso fraudulento de la tarjeta, sus empleados contaban con la fotografía del cliente de cara a comprobar su identidad, la agencia indica la necesidad de llevar a cabo una meticulosa ponderación de derechos de cara a valorar si los intereses y derechos fundamentales del titular de los datos personales podrían prevalecer frente a los intereses legítimos del responsable cuando el tratamiento de los datos se efectúe en circunstancias tales en las que el interesado “no espere razonablemente” que se lleve a cabo un tratamiento ulterior de sus datos personales.
Según la autoridad de control, el reclamado no ha justificado este interés legítimo de forma suficiente para permitir la prueba de ponderación entre el interés del responsable y los derechos del interesado, necesaria para determinar la licitud de los tratamientos llevados a cabo. En este caso, además, no consta que la citada entidad haya realizado esa prueba de ponderación y haya informado debidamente al reclamante sobre esta base legitimadora.
Al faltar la información relativa a la prueba de ponderación, el interesado se ve privado de su derecho a conocer la base jurídica del tratamiento alegada por el responsable, y en concreto, al referirse al interés legítimo, se ve privado de su derecho a conocer cuáles son dichos intereses legítimos alegados por el responsable o de un tercero que justificarían el tratamiento sin tener en cuenta su consentimiento.
En el supuesto denunciado no existen evidencias sobre la prestación de un consentimiento válido por parte de los clientes que ampare los tratamientos de datos personales que el reclamado lleva a cabo con la fotografía de dichos clientes. Esta entidad ni siquiera informa sobre esta utilización de la fotografía, ni ha establecido ningún mecanismo para que los clientes puedan consentir esta utilización mediante un acto afirmativo separado para estas concretas operaciones de tratamiento, las cuales tampoco constan recogidas en el Registro de Actividades de Tratamiento.
Como se puede ver, la protección de datos es un complejo proceso que requiere de personal altamente especializado para poder cumplir con todas las obligaciones que supone, déjate asesorar por expertos!!
PROTECCIÓN DE DATOS HOTELES | EQUAL |
