Este mes de marzo, un hotel de Islas Baleares ha sido sancionado por la Agencia Española de Protección de Datos con una multa de 30.000 €uros

El hotel Balear alojó en su día a un ciudadano de nacionalidad holandesa y, en aras de cumplir con las obligaciones impuestas a los alojamientos turísticos establecidas tano en la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana como en la Orden INT/1922/2003 de 3 de julio, sobre libros-registro y partes de entrada de viajeros en establecimientos de hostelería, se le solicitó el pasaporte para su escaneo, incluida su fotografía, hecho al que presuntamente se opuso el huésped.

A su vez, el establecimiento facilitaba a sus clientes una tarjeta magnética que, además de permitir acceder a la habitación, disponía de banda magnética para el pago de los consumos con cargo a su cuenta. Al pasar la tarjeta aparecía la fotografía del huésped, permitiendo su identificación al personal del hotel que cobraba los consumos, evitando con ello el posible fraude.

Ambos hechos fueron denunciados por el ciudadano holandés ante la Agencia de Protección de Datos de Países Bajos, quien trasladó la denuncia a la AEPD, autoridad competente por tratarse de un establecimiento en territorio español.

De la resolución de la AEPD podemos extraer lo siguiente:

1. El dato personal de la fotografía no es necesario para dar cumplimiento a las obligaciones establecidas a los establecimientos turísticos en la Ley de protección de la seguridad ciudadana, ni en la Orden INT/1922/2003, puesto que únicamente requieren facilitar a los Cuerpos y Fuerzas de Seguridad del Estado determinados datos identificativos de los huéspedes.
2. El hecho de recoger la fotografía bajo este pretexto se considera un tratamiento innecesario y desproporcionado.
3. Para poder hacer uso de la fotografía de los huéspedes, y que pueda considerarse un tratamiento lícito de la misma, es necesario contar previamente con el consentimiento expreso del interesado. En el presente caso no ha quedado probado por el establecimiento que los huéspedes consintieran el uso de su fotografía con la finalidad de evitar el fraude en los consumos, por lo que se considera que está realizando un tratamiento ilícito de las fotografías de sus clientes.
4. El hotel alegó interés legítimo para poder hacer uso de la fotografía de sus huéspedes en aras a confirmar su identidad y cargarle los consumos realizados, evitando con ello un posible fraude. Sin embargo, en el caso que nos ocupa y para dicha finalidad, no se acredita que prevalezca el interés legítimo del establecimiento sobre los derechos y libertades fundamentales del/de los interesado/s, no habiéndose realizado la correspondiente evaluación de impacto para ponderar los intereses, y en opinión de la AEPD, se considera un tratamiento excesivo, ya que puede evitarse el fraude mediante otras acciones menos intrusivas para los huéspedes.
5. Por otro lado, la AEPD establece como factores agravantes los siguientes:
   1. El tratamiento de la fotografía de manera ilícita se ha realizado desde 2018, por lo que el carácter continuado de la infracción agrava la sanción puesto que, desde esa fecha, no ha tomado ninguna medida dirigida a subsanar su actuación;
   2. El elevado número de afectados, que son todos los clientes del hotel y el gran volumen de actividad;
6. Como factor atenuante, se ha tenido en cuenta la finalidad pretendida por el establecimiento de evitar fraudes en los consumos de servicios y no haberse acreditado otro uso distinto de la fotografía.
7. El establecimiento no tiene implantados procedimientos adecuados para la recogida y tratamiento de los datos personales de modo que la infracción es consecuencia de un defecto en el sistema de gestión de los datos.
8. La AEPD ha requerido al establecimiento para que cese en la recogida y tratamiento de la fotografía de sus huéspedes o, en otro caso, adecúe la información en materia de protección de datos.

Por lo tanto, y con el objetivo de aportar tranquilidad a nuestros clientes del sector hotelero y de alojamientos turísticos, queremos informarles de lo siguiente:

• Es lícito el tratamiento de los datos identificativos de los huéspedes en aras de dar cumplimiento con la legislación de protección de seguridad ciudadana.
• Al no ser un requisito exigido por la normativa de protección de seguridad ciudadana facilitarles la fotografía del documento de identidad, se recomienda no hacerlo.
• Para poder utilizar la fotografía con otras finalidades, el tratamiento de la misma deberá estar incluido en el Registro de Actividades de Tratamiento del Responsable del Tratamiento que, en este caso es el hotel (artículo 30 del RGPD). Registro que Digital Lex les facilita cuando se adecua el establecimiento a la normativa de protección de datos personales.
• Para poder utilizar la fotografía con otras finalidades, se debe ofrecer información a los huéspedes sobre su uso, cumpliendo así con el artículo 13 de RGPD, y haber obtenido previamente su consentimiento expreso y prueba de su otorgamiento (artículo 7 del RGPD).

¿Necesita su hotel ayuda con el cumplimiento de la normativa de protección de datos?

Llámenos al 931221919