La AEPD se pronuncia sobre el registro de datos personales en alojamientos turísticos

El 23 de marzo, la Agencia Española de Protección de Datos (AEPD) se ha pronunciado en un comunicado sobre los motivos de una sanción que había impuesto el pasado 25 de febrero a un establecimiento hotelero, con sede social en España, en relación con el registro de los datos de identificación de un ciudadano holandés.

En este comunicado, la AEPD destaca la obligación legal que recae sobre los alojamientos turísticos de llevar a cabo el registro de datos personales de identificación de sus clientes, con el objetivo de cumplir con las obligaciones de registro y comunicación establecidas en la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana. En particular, su artículo 25 obliga a “(l)as personas físicas o jurídicas que ejerzan actividades relevantes para la seguridad ciudadana, como las de hospedaje…” al “registro documental e información en los términos que establezcan las disposiciones aplicables”.

De esta forma, los establecimientos hoteleros y alojamientos turísticos de cualquier tipo estarían legitimados para la recogida de los datos personales relativos al número de documento de identidad, tipo de documento y fecha de expedición, nombre y apellidos, sexo, fecha de nacimiento y país de nacionalidad, fecha de entrada y firma del viajero, para su comunicación a las Fuerzas y Cuerpos de Seguridad del Estado.

En la resolución objeto de debate (Resolución PS/00078/2021), el procedimiento de registro del establecimiento (check-in) consistía no solo en la solicitud de la documentación identificativa del cliente, sino también en su posterior escaneo en el momento de su llegada al hotel. El proceso de escaneo convertía la imagen en texto e incorporaba los datos al programa de gestión hotelera, cumplimentando la “ficha del cliente” o “parte de entrada de viajeros”, con diversos campos (como por ejemplo, tipo y fecha de expedición del documento de identidad presentado, nombre y apellidos, etc.). Y lo que resulta más relevante para este caso, el proceso también incorporaba la fotografía del cliente a su base de datos.

Según la AEPD, una vez los datos habían sido incorporados, el cliente recibía una tarjeta magnética que le permitía acceder a la habitación y realizar pagos de los servicios del hotel con cargo a su cuenta. Tanto para acceder a su estancia como para realizar los pagos se facilitaba esa tarjeta al empleado, quien, al pasarla por su dispositivo, tenía acceso a la fotografía del cliente en su programa. Además, la información facilitada a los clientes en materia de protección de datos personales no incluía ningún detalle sobre la recogida y utilización de la fotografía y, por lo tanto, los clientes desconocían este tratamiento. Tampoco se mencionaba en el Registro de Actividades de Tratamiento del establecimiento.

Ante los anteriores hechos, la AEPD concluye que, si bien la recogida de los datos identificativos resulta necesaria para la ejecución del contrato en el que el interesado es parte, y se ampara en el cumplimiento de la obligación legal mencionada, no sucede lo mismo en relación con la fotografía.

En relación con la fotografía, la AEPD señala que la recogida y utilización de las fotografías de los clientes supone un tratamiento de datos personales innecesario y desproporcionado. En su posicionamiento, la AEPD, aduce las siguientes razones:

• La falta de información al interesado sobre la recogida y utilización de la fotografía, y su falta de reflejo en el Registro de Actividades de Tratamiento.

• La imposibilidad de amparar el tratamiento en la ejecución del contrato y en el cumplimiento de una obligación legal, así como en la inexistencia de un consentimiento válido. El tratamiento de las fotografías no es necesario ni para ejecutar el contrato ni para cumplir con esa obligación legal, por lo que sería necesaria la existencia de otra base jurídica (como p. ej., el consentimiento expreso del cliente), que en este caso no existe. 

• La imposibilidad de aplicar el interés legítimo, consistente en evitar el uso fraudulento de la tarjeta entregada a sus clientes, como base jurídica del tratamiento, ya que:
  

a.    No se justifica suficientemente, ni tampoco consta la realización de la prueba de ponderación entre el interés del establecimiento y los derechos de los interesados. Esto es, se realiza un tratamiento de manera oculta.

b.   Existen formas menos intrusivas para verificar si el titular de la tarjeta magnética es su legítimo titular en el momento del pago (p. ej. la posibilidad de que el empleado del hotel consulte algunos datos de control al cliente, como el apellido o el número de habitación; o exigir la firma de un recibo por el consumo).

c.    No se prevén garantías adicionales. 

Como consecuencia de lo anterior, la AEPD impone una sanción, que alcanza los 30.000€, con motivo de la infracción del artículo 6 del Reglamento General de Protección de Datos, que exige una base jurídica que ampare el tratamiento. Asimismo, la AEPD requiere al establecimiento el cese en la recogida y tratamiento de la fotografía de sus clientes, o bien la adecuación de la información ofrecida a sus clientes, especialmente la relativa a la recogida y utilización de la fotografía y la base jurídica que fundamenta tal tratamiento, estableciendo mecanismos que permitan acreditar la entrega de esa información a los clientes. Y, por último, la resolución impone la supresión de todas las fotografías recogidas de los clientes hasta el momento.