La Agencia Española de Protección de Datos (AEPD) ha sancionado recientemente a un Hotel de Islas Baleares con 30.000 € por escanear un pasaporte de un turista holandés y utilizarlo no solo para el registro del hotel, si no para otras finalidades encaminadas a verificar la identidad del turista en las compras y comidas dentro del hotel (cada vez que hacía una compra o comía el empleado le salía en la tablet del hotel, el pasaporte del ciudadano holandés, para así verificar su identidad). El ciudadano holandés presentó denuncia ante la Autoridad de Control de Holanda (Autoriteit Persoonsgegevens -AP) que a su vez, dio traslado a la AEPD.
El reclamante holandés indico que en el proceso de registro del hotel le solicitaron el pasaporte, que fue escaneado digitalmente, a pesar de su oposición. El cliente se opuso a que dicho documento fuese escaneado completamente alegando que no todos los datos incluidos en el mismo eran necesarios, a lo que el empleado del hotel le respondió que dicho escaneo se realizaba siguiendo instrucciones de la policía. Por otro lado, aseguró haber visto a los empleados del hotel con la foto del pasaporte en sus tablets. La cuestión está realmente si la ley española obliga a escanear el pasaporte completamente o sólo son necesarios algunos datos para cumplir el proceso de registro. La normativa aplicable para la identificación de los clientes en el proceso de registro o alta en el hotel es la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana y Orden INT/1922/2003 de 3 de julio.
La Autoridad de Control de Holanda admite que el tratamiento de los datos personales recogidos en el pasaporte (número, tipo y fecha de emisión del documento de identidad presentado, nombre y apellidos, sexo y la fecha y país de nacimiento, así como la fotografía) sea necesario para el cumplimiento de la legislación nacional y, por tanto, lícito de conformidad con el artículo 6.1.c) del RGPD, pero cuestiona el tratamiento de dichos datos personales en virtud de lo establecido en el artículo 6.1.f) del mismo RGPD, por la existencia de un interés legítimo del hotel responsable en evitar el uso fraudulento de la tarjeta que proporciona a los clientes, la cual sirve para realizar consumos en las instalaciones y también como llave de la habitación; y también del cliente, ya que impide que las tarjetas se utilicen de forma fraudulenta y se le cobren consumos realizados por otros.
La Autoridad de Control de Holanda indica que existen otros medios menos restrictivos de los derechos y libertades fundamentales de los interesados, en particular los derechos al respeto de la vida privada y a la protección de los datos personales garantizados por los artículos 7 y 8 de la Carta para utilizar los datos del pasaporte para evitar uso fraudulento de la tarjeta que se le proporciona a los clientes. Existen otras formas menos intrusivas para verificar si el titular de la tarjeta magnética es el legítimo titular de la tarjeta en el momento del pago y, así, evitar que dichas tarjetas se utilicen de forma fraudulenta. Como ejemplo de estas acciones menos intrusivas, indica la posibilidad de que el empleado del hotel, cuando se produce algún consumo, consulte algunos datos de control al cliente, como el apellido o el número de habitación, para verificar si coincide con el titular legítimo de la tarjeta; o exigir la firma de un recibo por el consumo, que también actúa como barrera para terceros. En caso de pérdida de la tarjeta, ésta puede ser bloqueada para impedir su uso fraudulento.
Finalmente, la Agencia Española de Protección de Datos sanciona al hotel con 30.000 €
Gonzalo Oliver Martín
OZONIA CONSULTORES SL