La Agencia Española de Protección de Datos (AEPD) ha multado con 75.000 euros a la empresa Marketing Accommodation Solutions FZ -propietaria de pisos que se anuncian en Airbnb- por incumplir dos artículos del Reglamento General de Protección de Datos (RGPD). En concreto, el 5.1.c) y el 13.
Todo comenzó cuando un grupo de siete personas decidió a través de la plataforma Airbnb contactar con Marketing Accommodation Solutions para contratar un apartamento de su propiedad situado en Barcelona con el propósito de alojarse en él unos días.
Dicha entidad habilitó una página web para hacer el check-in online, un trámite obligatorio para formalizar la entrega de llaves del apartamento. Sin embargo, sus alarmas se despertaron cuando los siete huéspedes tuvieron que cumplimentar un formulario con correos, números de teléfono y direcciones. También tenían que enviar fotos de su DNI por las dos caras y selfies de cada uno de ellos.
Tras la estancia, los huéspedes se pusieron en contacto con el responsable del tratamiento para indicar que los datos que se solicitaban para realizar la reserva eran excesivos porque, además, no se daba la opción de denegar el consentimiento para el envío de ofertas y productos.
Además, según explicaron en la reclamación presentada ante la AEPD, también les preguntaron qué datos suyos tenían, cuáles habían obtenido siguiendo la autorización, cuáles habían cedido y a quién.
La empresa dijo que esos datos eran necesarios para cumplir con la norma autonómica
La respuesta que le dieron fue, según el reclamante, muy genérica. Le explicaron que tenían su DNI, nombre, apellidos, correo y teléfono y que el propósito del check-in es cumplir con la norma autonómica que obliga a comunicar tales datos al Registro de Viajeros que mantiene con los Mossos d’ Esquadra.
Asimismo le indicaron que sus datos no habían sido cedidos nunca y que podía quedarse tranquilo porque no enviaban publicidad ni hacían campañas.
La AEPD solicitó información detallada a Marketing Accommodation Solutions FZ. Pidió, por ejemplo, justificación de la base de legitimación supuestamente escogida para recoger y tratar las imágenes “selfies” de los usuarios, así como una copia de los documentos de identificación.
La Agencia resaltó que la Orden IRP/418/2010, de 5 de agosto, sobre la obligación de registro y comunicación a la Dirección General de la Policía de las personas que se alojan en los establecimientos de hospedaje ubicados en Cataluña no incluye dicha información entre los datos a proporcionar a los Mossos.
Esta Orden pide el número del documento de identidad, tipo de documento, fecha de expedición del mismo (si consta), apellidos, nombre, sexo, nacionalidad, fecha de entrada, domicilio, número de teléfono y días previstos de estancia.
En el presente caso, la parte reclamada no presentó alegaciones ni pruebas que negasen los hechos denunciados en el plazo dado para ello.
La AEPD consideró que se trataban datos excesivos
Por lo que de conformidad con las evidencias de las que se dispone y que no han sido desvirtuadas durante el procedimiento sancionador, se consideró que la empresa trató datos que eran excesivos al no ser necesarios.
Ante esta situación, la AEPD le ha sancionado por infringir dos artículos, el 13 y el 5.1.c.
Por el 13 tendrá que pagar 50.000 euros por no enviarles toda la información necesaria referida a sus datos. Por ejemplo, los datos de contacto del responsable y del delegado de protección de datos o el plazo durante el cual se conservarán los datos, entre otros.
Y por el 5.1 c), tendrá que pagar 25.000 euros al considerar que no todos los datos que exigía la empresa eran necesarios ni para prestar el servicio de alquiler de departamentos vacacionales ni para dar cumplimiento a la obligación de registrar a las personas que se alojan en los establecimientos de hospedaje de Cataluña que exige el artículo 2 de la Orden IRP/418/2010, de 5 de agosto. Por ejemplo, pedir una fotografía del DNI por ambas caras.
