La Agencia Española de Protección de Datos (AEPD) ha sancionado a la empresa Suneris S.A. con 5.400 euros por exigir escanear el DNI de un cliente durante su «check-in». Una cifra que supone una reducción del 40% respecto a la sanción inicial, después de que la empresa hotelera reconociera su responsabilidad y realizara el pronto pago.
En España, los establecimientos hoteleros tienen obligado realizar un proceso de registro de huéspedes. Una recopilación de datos que busca la protección ciudadana. Pero que, sin embargo, está limitada por la protección de datos, evitando así que se produzca una recopilación indiscriminada de datos personales.
Algo que, ahora, ha provocado que la AEPD sancione a un hotel con más de 5.000 euros.
Así lo reclamaba un cliente del Hotel & Spa Beverly Park, propiedad de Suneris S.A., en fecha 28 de junio de 2024, ante la Agencia.
«La parte reclamante manifiesta que la parte reclamada, al realizar el correspondiente registro de viajeros en sus instalaciones, le solicitó el DNI para su escaneo«, explica el escrito de sanción de la AEPD.
Un escaneo del documento completo al que el viajero se negó. Y que llevó a la empresa a «copiar sus datos, utilizando el ordenador del hotel». Recogida de datos en la que el hotel obtiene información como «el número de documento de identidad, tipo de documento, fecha de expedición, apellidos, nombre, sexo, fecha de nacimiento y domicilio, entre oros».
Datos que son esenciales para el cumplimiento del RD 933/2021, para su traslado a las Fuerzas y Cuerpos de Seguridad del Estado. Pero que, recogidos en exceso, suponen una vulneración del RGPD.
5.000 euros por un DNI
«El escaneo del DNI supone un tratamiento de datos personales que excede de los exigidos en el RD 933/2021«, destaca la AEPD en su documento sancionador al hotel. Y es que, en este documento, aparecen datos personales innecesarios, como «el rostro del viajero, el número de equipo de expedición, o los nombres de los progenitores del viajero».
Una situación que llevaba a la AEPD a sancionar al hotel reclamado con un total de 9.000 euros. Ello, confirmando que el establecimiento habría cometido una infracción a la hora de tratar los datos personales. En concreto, siendo las prácticas del hotel contrarias «al principio de minimización de datos» del art. 5.1 del RGPD.
«Se deduce que no puede justificarse la recogida de datos, como el escaneo del DNI, realizada por Suneris S.A., accediendo a datos personales cuya recogida no es preceptiva ni pertinente», expone la Agencia en su escrito de sanción.
Multa de 9.000 euros que, sin embargo, quedaba reducida hasta los 5.400 euros. Ello, debido a las reducciones establecidas en estas sanciones.
En concreto, un 20% de reducción, debido a que Suneris S.A. reconocía la responsabilidad de esta vulneración de datos. Un reconocimiento que recudía la sanción hasta los 7.200 euros. Del mismo modo, ante el pago voluntario de la sanción, se establece una reducción del 20%. Algo que reducía la sanción hasta los 5.400 euros.
