Sancionado un hotel con 1.500 euros por pretender fotocopiar el DNI de un cliente

La Agencia Española de Protección de Datos (AEPD) ha sancionado con 1.500 euros a un establecimiento hotelero, la Posada El Azufral, de Cantabria, por pretender fotocopiar el DNI de un cliente, algo a lo que se negó el viajero y entonces le fue cancelada su reserva.

La AEPD recuerda en su resolución que «la fotografía o fotocopia del DNI del viajero (en sus dos caras), del pasaporte u otros documentos acreditativos de la identidad contiene datos personales que exceden de los exigidos en esta normativa, tales como: la imagen o cara del viajero, el número de equipo, o los nombres de los progenitores del viajero, sobre los que no concurre una obligación legal de recogida, registro, y comunicación, de acuerdo con la mencionada normativa».

Multas de hasta 20 millones de euros

Todos ellos serían «datos personales cuyo tratamiento no puede ampararse en la base de licitud del artículo 6.1.c) del Reglamento General de Protección de Datos (RGPD), suponiendo un tratamiento excesivo que es contrario al principio de minimización de datos previsto en el artículo 5.1.c) del RGPD».

En el caso analizado, el establecimiento dispone de un previo proceso de check in online de carácter voluntario, pero dispone de recepción presencial en la que se exige al viajero entregar una fotografía o imagen de su documento de identidad como condición para poder alojarse en el mismo, por lo que «requerir al viajero la imagen o fotografía de estos documentos supone un tratamiento excesivo de datos personales, puesto que contienen datos personales que son inadecuados, no pertinentes y no necesarios para el fin específico del tratamiento de que se trata (cumplimiento de las obligaciones legales vigentes en materia de registro de entrada y salida de viajeros)», concluye la AEPD.

(Imagen: Archivo)

En consecuencia, se ha producido una infracción del artículo 5.1.c) del RGPD, prevista en el artículo 83. 5º, que se sanciona con multas administrativas de 20 millones de euros como máximo al ser la responsable una persona física y si se trata de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior».

La resolución ha dado a conocer hoy, en redes sociales, el abogado Ramón Arnó Torrades, especialista en aspectos jurídicos de la sociedad de la información y transformación digital y CEO de La Familia Digital. Está disponible en el botón ‘Descargar resolución’.

El caso, al detalle

Según los hechos probados, el viajero realizó una reserva de una habitación a través de booking.com para los días 25 y 26 de agosto de 2023. El establecimiento le remitió un correo electrónico para realizar voluntariamente el registro de huésped anticipado —“pre-registro” o pre-check in online—, el cual adjuntaba un link que dirigía a la web de una aplicación denominada «Partee» que le solicitaba cumplimentar ciertos datos y adjuntar fotografía de las dos caras de su DNI.

El cliente aportó sus datos para realizar el registro a través de dicha aplicación, pero no la imagen de su DNI al considerar esa petición excesiva, circunstancia que comunicó al establecimiento e indicó que se acogería a la posibilidad que constaba en el correo electrónico recibido de exhibir su DNI en el check in presencial.

(Imagen: E&J)

Al acudir a alojarse en la posada «se le exigió, como condición para facilitarle la habitación, la entrega de su DNI para realizar una fotografía al objeto de cumplimentar el check in online o una fotocopia para hacer el check in manual», según expuso en su denuncia ante la AEPD.

Se le indicó que tenía que entregarlo para escanearlo y cumplimentar los datos en la aplicación Partee, señalando que era un requisito necesario para formalizar el registro.

Como alternativa, el viajero propuso la anotación de sus datos y la comprobación de su veracidad mediante la exhibición de su DNI al personal, para que completasen el check in, lo que le fue también denegado por el alojamiento, que finalmente procedió a cancelar la reserva.

Ante esta situación, el afectado solicitó la hoja de reclamaciones, presentó una reclamación ante la Consejería competente en materia de turismo del Gobierno de Cantabria y otra ante la AEPD.

Lo que alegaba el hotel

El establecimiento admite los hechos, pero niega que existiera vulneración de la normativa de protección de datos personales. Considera que es necesario exigir la fotografía o copia del documento de identidad del viajero «para comprobar la exactitud de los datos que se deben cumplimentar en los partes de entrada y salida del viajero y las hojas registro que se establecen en la normativa del Ministerio de Interior, para los establecimientos hoteleros».

(Imagen: Technohotels)

Sin embargo, el tratamiento de los datos personales de las personas que reservan alojamiento en los establecimientos hoteleros «debe estar presidido por los principios que relaciona el artículo 5 del RGPD», subraya el organismo público encargado de velar por el cumplimiento de la Ley de Protección de Datos Personales.

La AEPD Precisa que «la normativa que regula los libros-registros y partes de entrada de viajeros en establecimientos de hostelería, así como la obligación de comunicar la información contenida en las hojas-registro a las Fuerzas y Cuerpos de Seguridad del Estado, no exige en ningún momento que se aporte una copia/fotografía del documento de identidad, ni que se informe de todos los datos que contiene dicho documento», sino «únicamente de algunos datos contenidos en el mismo como: nombre y apellidos, el número de identificación, el número de soporte, el tipo de documento (DNI; pasaporte…etc.), la nacionalidad, y la fecha de nacimiento».

Esta normativa está constituida por la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana , y el Real Decreto 933/2021, de 26 de octubre, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor.

(Imagen: E&J)

Hizo el pago voluntario y la sanción quedó en 1.200

De conformidad con lo establecido en el artículo 85.2 de la Ley del Procedimiento Administrativo Común de las Administraciones Públicas, el establecimiento podía llevar a cabo el pago voluntario de la sanción propuesta, lo que supone una reducción de un 20% del importe –1.200 euros–, y así lo ha hecho.

Además de la multa, la AEPD dio al establecimiento dos meses de plazo para que acreditara que ha establecido medidas para evitar que sea necesaria la aportación de una fotografía o copia del documento de identidad del viajero en la aplicación Partee o cualquier otro sistema que se utilice para formalizar el check in online y presencial.

También le ordenó que acreditase que ha impartido las instrucciones necesarias a su personal para que no exijan la aportación/escaneo de copias o fotografías de los documentos de identidad, así como que ha procedido al borrado y eliminación de las fotografías de documentos de identidad que dice conservar durante tres años para su aportación a las autoridades.