Hace dos semanas publicamos un ARTÍCULO en este blog en el que informábamos de una resolución de la Agencia Española de Protección de Datos por la que se sancionaba con 30.000 € a un hotel por escanear un pasaporte de un cliente extranjero. El motivo principal de la sanción por parte de la autoridad de control fue escanear el pasaporte de un turista holandés y utilizarlo no sólo para el registro del hotel, sino para otras finalidades encaminadas a verificar la identidad del turista en las compras y comidas dentro del hotel (cada vez que hacía una compra o comía el empleado le salía en la tablet del hotel, el pasaporte del ciudadano holandés, para así verificar su identidad).
Esto provocó la reacción inminente del sector hotelero que puso las manos en la cabeza ante la disyuntiva entre dar cumplimiento a la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana o a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (artículo publicado en La Razón). Los hoteleros cargaron contra la “inseguridad jurídica” y la “persecución” que sufren por las incoherencias entre lo solicitado por Interior y las normas de protección de datos personales.
Pues bien, en la tarde de ayer, la Agencia Española de Protección de Datos lanzó un comunicado para aclarar lo que la autoridad de control estableció en la resolución de sanción. En dicho comunicado se establece lo siguiente:
- Los alojamientos turísticos deben registrar datos de los documentos de identificación de sus clientes para cumplir las normas españolas sobre registros de viajeros y comunicarlos a las Fuerzas y Cuerpos de Seguridad del Estado en cumplimiento de la normativa de seguridad ciudadana. El artículo 24 de la Ley Orgánica 4/2015 dispone en su apartado primero lo siguiente: “Las personas físicas o jurídicas que ejerzan actividades relevantes para la seguridad ciudadana, como las de hospedaje… quedarán sujetas a las obligaciones de registro documental e información en los términos que establezcan las disposiciones aplicables”. Esta norma legitima la recogida de los datos personales relativos a número de documento de identidad, tipo de documento y fecha de expedición, nombre y apellidos, sexo, fecha de nacimiento y país de nacionalidad, fecha de entrada y firma del viajero; los cuales deben incorporarse a la información que la entidad responsable del hotel debe trasladar a las Fuerzas y Cuerpos de Seguridad del Estado.
- La resolución de AEPD recoge que el establecimiento hotelero sancionado también recogía y utilizaba las fotografías de los clientes para el control de acceso y la facturación de sus consumos durante su estancia. La información en materia de protección de datos personales que la entidad facilitaba a los clientes no incluía ningún detalle sobre la recogida y utilización de la fotografía, por lo que los clientes las desconocían. Tampoco se recogía este tratamiento en su Registro de Actividades de Tratamiento.
- El procedimiento que seguía el establecimiento era el siguiente: cuando el cliente se registraba, se le proporciona una tarjeta magnética que le permitía, además del acceso a la habitación, el pago de los consumos con cargo a su cuenta. En el momento de realizar un consumo, el cliente facilitaba esa tarjeta al empleado, quien, al pasarla por su dispositivo, tenía acceso a la fotografía. La recogida y utilización de esas fotografías no están amparadas por las bases jurídicas de ejecución del contrato o cumplimiento de una obligación legal.
- Los datos recabados por el establecimiento resultan necesarios para la ejecución del contrato en el que el interesado es parte y para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. No ocurre así en el caso de la recogida y utilización de la fotografía, lo que supone un tratamiento de datos personales innecesario y desproporcionado.
- La AEPD ha requerido al establecimiento que cese en la recogida y tratamiento de la fotografía de sus clientes o, en caso contrario, adecúe la información en materia de protección de datos que ofrece a los clientes, especialmente la relativa a la recogida y utilización de la fotografía y la base jurídica que fundamenta el tratamiento, estableciendo mecanismos que permitan acreditar que se le facilita dicha información a los clientes, y adecuar sus operaciones de tratamiento. Asimismo, deberá corregir los efectos de la infracción cometida, lo que conlleva la supresión de todas las fotografías recogidas de los clientes hasta el momento.
OZONIA CONSULTORES SL
GONZALO OLIVER MARTÍN