Comienza el contenido principal
Sanción de la AEPD a un hotel por escanear el pasaporte de sus clientes
| Publicaciones | Privacy, IT & Digital Business
Esta semana, la AEPD, en su resolución PS/00078/2021, ha impuesto una sanción de 30.000 euros a una empresa hotelera por escanear por completo la página del pasaporte donde consta la información del titular. En este sentido, la AEPD ha considerado que se trata de un tratamiento excesivo de los datos del cliente, no existiendo una base jurídica que ampare su solicitud.
La AEPD señala que, si bien la Ley de Protección de la Seguridad Ciudadana impone obligaciones respecto de la información que debe recabarse sobre el registro de huéspedes, considera que no todos los datos del pasaporte son necesarios para ello.
En concreto, la imagen del pasaporte no guardaría relación con esta obligación legal. La empresa sancionada informaba debidamente al huésped sobre la recogida y comunicación de sus datos a las autoridades en cumplimiento de la normativa aplicable. Sin embargo, no informaba sobre el uso que se hacía internamente de su imagen (escaneada como parte del pasaporte).
La empresa empleaba la imagen como método de seguridad para evitar usos fraudulentos de las tarjetas magnética de acceso a la habitación. La empresa justificó el uso de la imagen en la seguridad del cliente ya que, mediante la tarjeta del hotel, el cliente podía cargar gastos a su cuenta. De este modo, al poder cotejar la imagen del sistema con la persona que solicita el consumo, se evitaba que terceros distintos al huésped hiciesen cargos a su cuenta. Es decir, la imagen no constaba impresa en la tarjeta, si no solo en los sistemas internos del hotel y accesible únicamente por el personal a la hora de leer/cobrar con la tarjeta.
Sin embargo, la AEPD no entiende suficiente dicha justificación y basa su sanción en los siguientes motivos:
1. El escaneo y uso de la imagen del pasaporte para estos fines resulta desproporcionado y excesivo, ya que aun pudiendo existir un interés legítimo que respalde su tratamiento, existen medios menos invasivos para garantizar que el titular de la tarjeta es la persona que realiza el pago.
2. Pese a entender la sancionada la existencia de un interés legítimo, no ha podido acreditar haber realizado la ponderación previa que exige el RGPD para basar el tratamiento de datos en esta base jurídica.
3. No se informa al huésped sobre los usos y fines de tratar su imagen, no dándole por tanto la opción de oponerse a su tratamiento.
4. Se plantea la posibilidad de recabar el consentimiento del huésped para el tratamiento de su fotografía. No obstante, basar el tratamiento en el consentimiento del huésped tampoco tendría cabida, ya que no había evidencias de informar sobre el uso de la imagen, ni haber habilitado una forma de consentir separadamente los distintos fines previstos. Por ello, no podría entenderse que el consentimiento otorgado en su caso fuese válido.
Es decir, la AEPD sanciona al entender que no existe base jurídica suficiente para amparar el tratamiento de la imagen de los huéspedes, no quedando respaldada por la ley de Seguridad Ciudadana ni por el Interés legítimo con fines de seguridad.
No obstante, la resolución proporciona algunos medios alternativos y menos invasivos que los hoteles pueden adoptar para garantizar, igualmente, la seguridad en el uso de las tarjetas de acceso a las habitaciones. Estos medios son:
1. Exigir al personal del hotel verificar la información del cliente y del titular que hace uso de la tarjeta antes de proceder al cobro u otro trámite. Para ello bastará con la información que obra legalmente en los registros, tales como su nombre, apellidos o número de habitación.
2. Emitir una factura de los consumos y exigir la firma del cliente.
3. En caso de notificar el extravío de la tarjeta por el huésped, bloquear automáticamente la misma para evitar que terceros hagan uso de ella.
A la luz de esta sanción, se desprende nuevamente la importancia de velar por el cumplimiento de protección de datos durante la actividad diaria de las empresas, debiendo informar y, en todo caso, contar con la suficiente legitimación para tratar cada dato solicitado.
A raíz de la sanción impuesta como consecuencia del escaneo del pasaporte en un establecimiento hotelero, la AEPD decidió emitir el pasado 23 de marzo un comunicado (Comunicado completo AEPD), con algunas aclaraciones al respecto.
La AEPD confirma su posición y los motivos expuestos previamente en su Resolución, sin haber sido discutida o negada en ningún momento la obligación legal de los alojamientos turísticos de registrar a sus huéspedes. Ahora bien, recuerda que esta obligación debe estar alineada con la normativa de protección de datos, aspecto que la empresa sancionada no respetó.
En este sentido, la AEPD aclara los hechos que motivaron su decisión, siendo estos el uso y recogida de la fotografía del pasaporte sin informar previamente al huésped, no contar con la legitimación necesaria para ello, y resultar innecesario y desproporcionado para el fin perseguido. Por todo ello, la AEPD ratifica su sanción y recuerda la necesidad de respeta el RGPD en el cumplimiento de otras obligaciones de los responsables.
Puede descargar el documento completo desde aquí.
Para más información, puede contactar con:
Isabel Martínez Moriel | Socio Privacy, IT & Digital Business
isabel.martinez@es.Andersen.
Fin del contenido principal