Consideracions sobre la multa de 30.000€ que l’AEPD ha interposat a un hotel de Balears

Aquest mes de març, un hotel d’illes Balears ha estat sancionat per l’Agència Espanyola de Protecció de Dades amb una multa de 30.000 €uros

L’hotel Balear va allotjar en el seu moment a un ciutadà de nacionalitat holandesa i, a fi de complir amb les obligacions imposades als allotjaments turístics establertes tano en la Llei orgànica 4/2015, de 30 de març, de protecció de la seguretat ciutadana com en l’Orde INT/1922/2003 de 3 de juliol, sobre llibres-registro i parts d’entrada de viatgers en establiments d’hostaleria, se li va sol·licitar el passaport per al seu escaneig, inclosa la seva fotografia, fet al qual presumptament es va oposar l’hoste.

Al seu torn, l’establiment facilitava als seus clients una targeta magnètica que, a més de permetre accedir a l’habitació, disposava de banda magnètica per al pagament dels consums amb càrrec al seu compte. En passar la targeta apareixia la fotografia de l’hoste, permetent la seva identificació al personal de l’hotel que cobrava els consums, evitant amb això el possible frau.

Tots dos fets van ser denunciats pel ciutadà holandès davant l’Agència de Protecció de Dades de Països Baixos, qui va traslladar la denúncia a l’AEPD, autoritat competent per tractar-se d’un establiment en territori espanyol.

De la resolució de l’AEPD podem extreure el següent:

  1. La dada personal de la fotografia no és necessari per a donar compliment a les obligacions establertes als establiments turístics en la Llei de protecció de la seguretat ciutadana, ni en l’Orde INT/1922/2003, ja que únicament requereixen facilitar als Cossos i Forces de Seguretat de l’Estat determinats dades identificatives dels hostes.
  2. El fet de recollir la fotografia sota aquest pretext es considera un tractament innecessari i desproporcionat.
  3. Per a poder fer ús de la fotografia dels hostes, i que pugui considerar-se un tractament lícit d’aquesta, és necessari comptar prèviament amb el consentiment exprés de l’interessat. En el present caso no ha quedat provat per l’establiment que els hostes consentissin l’ús de la seva fotografia amb la finalitat d’evitar el frau en els consums, per la qual cosa es considera que està realitzant un tractament il·lícit de les fotografies dels seus clients.
  4. L’hotel va al·legar interès legítim per a poder fer ús de la fotografia dels seus hostes en llaures a confirmar la seva identitat i carregar-li els consums realitzats, evitant amb això un possible frau. Tanmateix, en el cas que ens ocupa i per a aquesta finalitat, no s’acredita que prevalgui l’interès legítim de l’establiment sobre els drets i llibertats fonamentals del/de els interessat/s, no havent-se realitzat la corresponent avaluació d’impacte per a ponderar els interessos, i en opinió de l’AEPD, es considera un tractament excessiu, ja que pot evitar-se el frau mitjançant altres accions menys intrusives per als hostes.
  5. D’altra banda, l’AEPD estableix com a factors agreujants els següents:
    1. El tractament de la fotografia de manera il·lícita s’ha realitzat des de 2018, per la qual cosa el caràcter continuat de la infracció agreuja la sanció perquè, des d’aquesta data, no ha pres cap mesura dirigida a esmenar la seva actuació;
    2. L’elevat nombre d’afectats, que són tots els clients de l’hotel i el gran volum d’activitat;
  6. Com a factor atenuant, s’ha tingut en compte la finalitat pretesa per l’establiment d’evitar fraus en els consums de serveis i no haver-se acreditat un altre ús distint de la fotografia.
  7. L’establiment no té implantats procediments adequats per a la recollida i tractament de les dades personals de manera que la infracció és conseqüència d’un defecte en el sistema de gestió de les dades.
  8. L’AEPD ha requerit a l’establiment perquè cessi en la recollida i tractament de la fotografia dels seus hostes o, en un altre cas, adeqüi la informació en matèria de protecció de dades.

Per tant, i amb l’objectiu d’aportar tranquil·litat als nostres clients del sector hoteler i d’allotjaments turístics, volem informar-los del següent:

  • És lícit el tractament de les dades identificatives dels hostes a fi de donar compliment amb la legislació de protecció de seguretat ciutadana.
  • Al no ser un requisit exigit per la normativa de protecció de seguretat ciutadana facilitar-los la fotografia del document d’identitat, es recomana no fer-lo.
  • Per a poder utilitzar la fotografia amb altres finalitats, el tractament de la mateixa haurà d’estar inclòs en el Registre d’Activitats de Tractament del Responsable del Tractament que, en aquest cas és l’hotel (article 30 del RGPD). Registre que Digital Lex els facilita quan s’adequa l’establiment a la normativa de protecció de dades personals.
  • Per a poder utilitzar la fotografia amb altres finalitats, s’ha d’oferir informació als hostes sobre el seu ús, complint així amb l’article 13 de RGPD, i haver obtingut prèviament el seu consentiment exprés i prova del seu atorgament (article 7 del RGPD).

INTERESSAT EN ELS NOSTRES SERVEIS?

POSA'T EN CONTACTE!

dades de contacte:

Localització: Ronda General Mitre, 126, 6è 08021 Barcelona

Horari: De DL a DJ, de 9h. a 14h. i de 15h. a 18h – DV de 9h a 15h

Telèfon: +34 93 122 19 19

Mail: hola@www.digital-lex.com

Web: digital-lex.com