Cada vez es más frecuente encontrar hoteles donde te piden todo tipo de datos antes de poder acceder a la habitación de un hotel. Especialmente, el DNI, nombre, apellidos, número de teléfono, o número de huéspedes. Y muchas veces fotocopian esa documentación.
Hace dos años, en enero de 2022, la Agencia Española de Protección de Datos (AEPD) multó al hotel de Mallorca Marins Playa con 30.000 euros por guardar digitalmente las copias de unos pasaportes a la hora de hacer el check-in tras haberlos escaneado.
El hombre protestó y le ofreció al recepcionista la opción de hacer una copia a través de una aplicación en la que determinados datos no eran perceptibles, pero el trabajador se negó y le exigió la copia completa. El director del hotel le dijo que tenían que escanear los pasaportes porque así lo exigía la policía.
Pero el huésped se dio cuenta que su foto del pasaporte se utilizaba para verificar su identidad cada vez que iba a solicitar un servicio para comprobar que era él. Fueron a pedir unas bebidas y vio su foto en la tablet del camarero, descubriendo así que todo el personal tenía acceso a sus datos. Algo de lo que no le habían informado.
Una reclamación que los turistas presentaron ante la Agencia de Protección de Datos de País Bajos, la cual trasladó el asunto a la AEPD. La sanción se basó en la infracción del artículo 6 del Reglamento (UE) 2016/679 del Parlamento Europeo.
La denuncia comprendía dos hechos: el escaneo de la página del pasaporte y la fotografía.
El hotel recurrió la multa ante la Audiencia Nacional
El alojamiento decidió recurrir ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional para solicitar la nulidad de la sanción o que, de forma subsidiaria, se redujese al considerar que no concurrían las agravantes apreciadas en la resolución, cuenta la sentencia dada a conocer por Francisco Javier Sempere, experto en la materia.
Los magistrados Eduardo Menéndez Rexach (ponente), Lourdes Sanz Calvo y Fernando de Mateo Menéndez han considerado en la sentencia de 18 de marzo que la sanción debe de ser de 15.000 euros.
En sus alegatos, el hotel relató que, en un primer momento, la AEPD consideró que el tratamiento de los datos estaba amparado por el artículo 6.1 del Reglamento General de Protección de Datos (RGPD). Y sólo abrieron expediente sancionador cuando la autoridad holandesa manifestó sus objeciones.
Detallaron que no habían infringido el artículo 6.1 porque dicho escaneo se llevaban a cabo para prevenir el fraude y evitar posibles suplantaciones de cargos a las habitaciones. También comentaron que el plazo de conservación del dato se prolongaba sólo durante la estancia del huésped en el hotel y luego se cancelaba.
Para la Audiencia Nacional, no se le informó debidamente de la finalidad del tratamiento de la fotografía. Y ello no se encuentra recogido en el artículo 6.1 del RGPD. Al fin y al cabo, se pueden usar métodos menos intrusivos.
Agravantes
El documento «Directrices 05/2020 sobre el consentimiento con arreglo al Reglamento 2016/679 del Comité Europeo de Protección de datos» explica que el responsable del tratamiento que busque el consentimiento para varios fines distintos debe facilitar la oportunidad de optar por cada fin.
De manera que los usuarios puedan dar consentimiento específico para fines específicos. En este caso, sólo se facilitó información, a petición del cliente, respecto de la finalidad del escaneo de la página de su pasaporte que contenía los datos personales y la fotografía.
Sin embargo, los magistrados rebajaron la sanción al considerar que no debían haberse impuesto los agravantes. En concreto, la Sala manifestó que no era posible apreciar una circunstancia basada en el número de personas afectadas sin tener una idea aproximada de cuántas podían ser.
Tampoco afirmaciones genéricas como la condición de mediana empresa o su volumen de negocio, «sin mayores explicaciones» integran los elementos para considerarla como agravante. Por lo que la multa ha quedado en 15.000 euros.
