Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Check-in en establecimientos de hospedaje

Estamos en temporada estival y lo primero que hacemos cuando llegamos a la recepción de un hotel es registrarnos, eso que algunos llaman check-in.

La Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana dispone en artículo 25 apartado 1 que las personas físicas o jurídicas que ejerzan actividades relevantes para la seguridad ciudadana, como las de hospedaje, están sujetas a las obligaciones de «registro documental e información en los términos que establezcan las disposiciones aplicables». Dicha obligación también se establece en el artículo 4 apartado 1 del Real Decreto 933/2021, de 26 de octubre, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor

En la recepción del establecimiento para identificarnos nos pedirán que exhibamos un documento acreditativo de identidad, por ejemplo, el Documento Nacional de Identidad (D.N.I.) o el pasaporte. Hasta el carnet de conducir se suele admitir, toda vez que es un documento oficial y contiene una fotografía de su titular. Hasta aquí, todo normal. El problema viene cuando el establecimiento escanea o fotocopia el documento acreditativo de identidad del cliente. Veamos un caso sometido al criterio y juicio de la Agencia Española de Protección de Datos (AEPD).

Un establecimiento hotelero durante el check-in escanea el documento acreditativo de identidad del cliente de nacionalidad holandesa, concretamente, su pasaporte. Cuando el cliente se registra, se le proporciona una tarjeta magnética que le permite, además del acceso a la habitación, el pago de los consumos con cargo a su cuenta, que abonará al finalizar su estancia. En el momento de realizar un consumo, el cliente facilita esa tarjeta al empleado, quien, al pasarla por su dispositivo para realizar el cargo, ve la fotografía del cliente.

El cliente formuló una reclamación ante la autoridad de protección de datos de Países Bajos (Autoriteit Persoonsgegevens -AP) y esta remitió la reclamación a la AEPD.

Inicialmente, la AEPD entendió que no existían indicios de infracción, por lo que dictó su Proyecto de Decisión, mediante el cual sometía a la consideración de la autoridad de control interesada el archivo de la reclamación. La autoridad de protección de datos de Países Bajos se opuso al archivo. A la vista de sus alegaciones, la AEPD procedió a la elaboración de un Proyecto de Decisión Revisado, en el que contemplaba la apertura de un procedimiento sancionador. Dicho proyecto fue sometido al criterio de la autoridad de protección de datos de Países Bajos que no se opuso, iniciándose el procedimiento sancionador.

Los argumentos del establecimiento hotelero fueron que de la imagen de los clientes no extraían plantillas biométricas ni se utilizaban para reconocimiento facial ni otros medios específicos. Por tanto, no estaban tratando datos personales correspondientes a categorías especiales de datos. También alegaron como base jurídica para justificar las operaciones de tratamiento un interés legítimo, advirtiendo que era necesario autenticar la identidad de la persona que realizaba los consumos con el fin de evitar cobros indebidos. 

Veamos las razones que motivaron la sanción impuesta al establecimiento hotelero:

1ª) La información que el establecimiento facilitaba a los clientes no incluía ningún detalle sobre la recogida y utilización de la fotografía de su documento acreditativo de identidad.

2ª) El establecimiento disponía de un documento informativo que sí hacía referencia al registro de la fotografía en su sistema informático, pero no se acreditó la entrega de dicho documento al cliente y tampoco se justificó cuándo se implantó su utilización.

3º) El tratamiento a que era sometida la fotografía no figuraba en el Registro de Actividades de Tratamiento. 

4º) El establecimiento alegó interés legítimo como base jurídica para justificar el tratamiento de la imagen de sus clientes, pero no justificó dicho interés de forma suficiente para permitir la prueba de ponderación entre el interés del responsable y los derechos de los interesados, necesaria para determinar la licitud de los tratamientos llevados a cabo. Tampoco consta que el establecimiento hubiese realizado la prueba de ponderación e informado debidamente al reclamante sobre dicha base legitimadora. 

En su resolución, la AEPD nos recuerda el caso de la sentencia TJUE de 29/07/2019, C–40/17 para justificar el interés legitimo como base jurídica. Esta base legitimadora requiere la existencia de intereses reales, no especulativos y que, además, sean legítimos. No basta con la existencia de ese interés legítimo, es preciso también que el tratamiento de datos personales sea necesario para satisfacer dicho interés y considerar la repercusión para el interesado, el nivel de intrusismo en su privacidad y los efectos que pueden repercutirle negativamente. 

En definitiva, dejando aparte el hecho de que el interesado no conoció para qué fines o con qué base jurídica se había recogido su imagen, la AEPD entiende que la recogida y utilización de la fotografía de los clientes supone un tratamiento de datos personales excesivo, considerando que existen formas menos intrusivas para verificar si el titular de la tarjeta magnética es el legítimo titular de la misma en el momento del pago (por ejemplo, exigir la firma de un recibo por el consumo o solicitar el número de identidad y el número de habitación). 

5ª) No se admiten como bases legitimadoras la ejecución de un contrato en el que el interesado es parte ni el cumplimiento de una obligación legal, por lo que sería necesaria la existencia de otra base jurídica. La AEPD advierte que el consentimiento del interesado es la mejor opción frente a otras bases legitimadoras. 

6ª) No consta que el hotel hubiera establecido garantías adicionales que pudieran favorecer la aceptación del interés legítimo como base jurídica para justificar el tratamiento de la imagen de sus clientes, como facilitar el derecho de oposición o mecanismos de exclusión voluntaria.

Las razones del establecimiento hotelero para capturar la imagen de sus clientes no parecen descabelladas, de hecho, en un principio, la AEPD no veía infracción. Sin embargo, no hicieron las cosas bien, pues tenían que haber informado debidamente de la actividad del tratamiento a sus clientes, solicitar su consentimiento e incluir dicha actividad en el Registro de Actividades de Tratamiento. Hacer las cosas mal les supuso una sanción de 30.000 €, además de la supresión de todas las fotografías recogidas de los clientes hasta ese momento.

La Confederación Española de Hoteles y Alojamientos Turísticos (CEHAT) se ha mostrado contraria a la resolución de la AEPD, que pueden consultar haciendo clic aquí. La reacción de dicha autoridad no se hizo esperar, emitiendo el comunicado que enlazo aquí.

Identificación de clientes que alquilan pisos o vehículos a través de operadores turísticos y plataformas digitales (fuente: diariolaley)

PortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).