Lo primero que hacemos cuando llegamos a la recepción de un hotel es registrarnos, eso que llaman «check-in».
La Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana establece en el artículo 25 apartado 1 que las personas físicas o jurídicas que ejerzan actividades relevantes para la seguridad ciudadana, como las de hospedaje, están sujetas a las obligaciones de «registro documental e información en los términos que establezcan las disposiciones aplicables». Dicha obligación también se establece en el artículo 4 apartado 1 del Real Decreto 933/2021, de 26 de octubre, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor. Con relación a dichas obligaciones hice un amplio artículo que dejo enlazado aquí.
En la recepción del establecimiento para identificarnos nos pedirán que exhibamos un documento acreditativo de identidad, por ejemplo, el Documento Nacional de Identidad o el pasaporte. Hasta el carnet de conducir se suele admitir, toda vez que es un documento oficial y contiene una fotografía de su titular. Hasta aquí, todo normal. El problema viene cuando el establecimiento escanea o fotocopia el documento acreditativo de identidad del cliente. Veamos un caso sometido al criterio y juicio de la Agencia Española de Protección de Datos, cuya resolución dejo enlazada aquí.
Cabe decir que la sanción impuesta por la AEPD por la cuantía de 30.000 € fue reducida a la mitad por la Audiencia Nacional en sentencia de 18 de marzo de 2024 (rec. 710/2002). Dejo enlazada aquí la sentencia.
Caso real
Un establecimiento hotelero durante el «check-in» escanea el documento acreditativo de identidad del cliente de nacionalidad holandesa, concretamente, su pasaporte. Cuando el cliente se registra, se le proporciona una tarjeta magnética que le permite, además del acceso a la habitación, el pago de los consumos con cargo a su cuenta, que abonará al finalizar su estancia. En el momento de realizar un consumo, el cliente facilita esa tarjeta al empleado, quien, al pasarla por su dispositivo para realizar el cargo, ve la fotografía del cliente.
El cliente formuló una reclamación ante la autoridad de protección de datos de Países Bajos (Autoriteit Persoonsgegevens -AP) y esta remitió la reclamación a la AEPD.
Inicialmente, la AEPD entendió que no existían indicios de infracción, por lo que dictó su Proyecto de Decisión, mediante el cual sometía a la consideración de la autoridad de control interesada el archivo de la reclamación. La autoridad de protección de datos de Países Bajos se opuso al archivo. A la vista de sus alegaciones, la AEPD procedió a la elaboración de un Proyecto de Decisión Revisado, en el que contemplaba la apertura de un procedimiento sancionador. Dicho proyecto fue sometido al criterio de la autoridad de protección de datos de Países Bajos que no se opuso, iniciándose el procedimiento sancionador.
Los argumentos del establecimiento hotelero fueron que de la imagen de los clientes no extraían plantillas biométricas ni se utilizaban para reconocimiento facial ni otros medios específicos. Por lo tanto, no estaban tratando datos personales correspondientes a categorías especiales de datos. También alegaron como base jurídica para justificar las operaciones de tratamiento un interés legítimo, advirtiendo que era necesario autenticar la identidad de la persona que realizaba los consumos con el fin de evitar cobros indebidos.
Veamos las razones que motivaron la sanción al establecimiento hotelero:
1ª.- La información que el establecimiento facilitaba a los clientes no incluía ningún detalle sobre la recogida y utilización de la fotografía de su documento acreditativo de identidad.
2ª.- El establecimiento disponía de un documento informativo que sí hacía referencia al registro de la fotografía en su sistema informático, pero no se acreditó la entrega de dicho documento al cliente y tampoco se justificó cuándo se implantó su utilización.
3º.- El tratamiento a que era sometida la fotografía no figuraba en el Registro de las Actividades de Tratamiento.
4º.- El establecimiento alegó interés legítimo como base jurídica para justificar el tratamiento de la imagen de sus clientes, pero no justificó dicho interés de forma suficiente para permitir la prueba de ponderación entre el interés del responsable y los derechos de los interesados, necesaria para determinar la licitud de los tratamientos llevados a cabo. Tampoco consta que el establecimiento hubiese realizado la prueba de ponderación e informado debidamente al reclamante sobre dicha base legitimadora.
En su resolución, la AEPD nos recuerda el caso de la sentencia TJUE de 29/07/2019, C–40/17 para justificar el interés legítimo como base jurídica. Esta base legitimadora requiere la existencia de intereses reales, no especulativos. No basta con la existencia de ese interés legítimo, es preciso también que el tratamiento de datos personales sea necesario para satisfacer dicho interés y considerar la repercusión para el interesado, el nivel de intrusismo en su privacidad y los efectos que pueden repercutirle negativamente.
En definitiva, dejando aparte el hecho de que el interesado no conoció para qué fines o con qué base jurídica se había recogido su imagen, la AEPD entiende que la recogida y utilización de la fotografía de los clientes supone un tratamiento de datos personales excesivo, considerando que existen formas menos intrusivas para verificar si el titular de la tarjeta magnética es el legítimo titular de la misma en el momento del pago (por ejemplo, exigir la firma de un recibo por el consumo o solicitar el número de identidad y el número de habitación).
5ª.- No se admiten como bases legitimadoras la ejecución de un contrato en el que el interesado es parte ni el cumplimiento de una obligación legal, por lo que sería necesaria la existencia de otra base jurídica. La AEPD advierte que el consentimiento del interesado es la mejor opción frente a otras bases legitimadoras.
6ª.- No consta que el hotel hubiera establecido garantías adicionales que pudieran favorecer la aceptación del interés legítimo como base jurídica para justificar el tratamiento de la imagen de sus clientes, como facilitar el derecho de oposición o mecanismos de exclusión voluntaria.
Conclusiones
En principio, las razones del establecimiento hotelero para capturar la imagen de sus clientes no parecen descabelladas, de hecho, la AEPD no veía infracción en un primer momento.
No obstante, no hicieron las cosas bien: falta la justificación de los intereses legítimos, que conlleva la desinformación del reclamante sobre la base legitimadora del tratamiento de sus datos personales, la cláusula informativa en materia de protección de datos facilitada a los clientes no incluía explicación alguna sobre la recogida y utilización de sus fotografías, ni figuraba dicho tratamiento en el Registro de las Actividades de Tratamiento. A mayores, no aportaron la información requerida en el procedimiento de instrucción: copia de la política de privacidad en todas sus versiones vigentes a partir de la entrada en vigor del RGPD, así como cualquier aviso de privacidad y canal habilitado por el responsable para dar a conocer esta información a los interesados. La suma de incumplimientos supuso una sanción de 30.000 €, además de la supresión de todas las fotografías de los clientes hasta ese momento.
La Confederación Española de Hoteles y Alojamientos Turísticos (CEHAT) se ha mostrado contraria a la resolución de la AEPD. La reacción de dicha autoridad no se hizo esperar, emitiendo el comunicado que enlazo aquí.
Más información
Para el caso de caso de alquiler de pisos turisticos a través de plataformas digitales deben consultar el Real Decreto 933/2021, de 26 de octubre, regula las obligaciones de registro documental e información previstas en la normativa de protección de la seguridad ciudadana para las personas físicas o jurídicas que ejerzan, profesionalmente o no, actividades de hospedaje o alquiler de vehículos a motor sin conductor, incluidos los operadores turísticos y las plataformas digitales.
—
Actualización
La AEPD multa con 2.000 € al establecimiento hotelero UNIQUE HOTEL APARTMENT, tras constatar que, en el Libro de Registro de Clientes, no existía anotación numérica de los registros, tratándose de hojas sueltas, con los DNI escaneados. Junto con el escrito se acompaña una hoja suelta de un formulario de registro/checkin con el logotipo del apartahotel y los documentos del DNI escaneados (PS 000331/2023).