Protección de Datos impone una multa de 9.000 euros a un hotel de cuatro estrellas por escanear el DNI de un cliente
Advierte de que esta práctica durante el registro en los establecimientos de hospedaje es un «tratamiento de datos personales excesivo»
La obligación de un hotel o de cualquier establecimiento de hospedaje de recoger determinados datos del cliente y así cumplir con el nuevo registro de ... viajeros, recogido en el Real Decreto 933/2021 (regula la comunicación de datos a las Fuerzas y Cuerpos de Seguridad del Estado), no da carta blanca para recabar más información de la necesaria. Y en este sentido, la Agencia Española de Protección de Datos (AEPD) ha advertido de la prohibición de solicitar una copia del DNI o pasaporte del cliente durante la reserva, así como escanear su documento de identidad cuando llega al hotel y realiza el 'check in'.
Desde hace meses son innumerables las reclamaciones que llegan hasta este organismo y muchas de ellas han acabado con la imposición de importantes sanciones. La última ha recaído en Suneris S. A., empresa titular del Hotel & Spa Beverly Park (con categoría de cuatro estrellas y situado en el municipio gerundense de Blanes) después de que un cliente presentara una queja formal ante la AEPD. ¿Motivo? Según recoge la resolución consultada por este periódico, al realizar el correspondiente registro de viajeros en sus instalaciones, el personal del hotel le solicitó el DNI para su escaneo. Ante su negativa, el personal de recepción copió sus datos utilizando el ordenador del hotel. Asimismo, declaró en su reclamación que, durante su estancia, el personal del hotel olvidó en su habitación una tarjeta maestra que permitía el acceso a todas las habitaciones.
En sus alegaciones, la mercantil explicó que en su proceso de registro de huéspedes, escaneó el documento acreditativo al objeto de enviarlo a las autoridades de Seguridad del Estado. Sin embargo, desde Protección de Datos aclaran que de acuerdo a la normativa vigente «se comprueba que no es obligatorio recoger, registrar ni comunicar a las autoridades competentes la imagen, fotocopia o imagen completa del documento de identidad del viajero, sino únicamente algunos de los datos contenidos en el mismo como, por ejemplo, el nombre y apellidos, el número de identificación, el número de soporte, el tipo de documento (DNI, pasaporte, etc.), la nacionalidad o la fecha de nacimiento».
En consecuencia y de acuerdo al principio de minimización de datos, «no puede justificarse la recogida de datos, como el escaneo del DNI, realizada por Suneris S. A., accediendo a datos personales cuya recogida no es preceptiva, ni es pertinente con el tratamiento en cuestión, debiendo ser limitada a lo necesario para cumplir con lo previsto en la normativa citada».
En este sentido, subraya que solicitar una copia del Documento Nacional de Identidad o del Pasaporte vulnera el principio de minimización de datos, establecido en el artículo 5.1.c) del RGPD, y supone un tratamiento excesivo de datos. «Esto se debe a que el DNI completo contiene más datos que los obligados a aportar en virtud de la normativa aplicable, como la fotografía, la fecha de caducidad del documento, el CAN o el nombre de los padres. Asimismo, entregar una copia de la documentación personal implica, entre otros, un riesgo innecesario de suplantación de la identidad, que debe ser evitado o, por lo menos, mitigado de manera efectiva», recoge la resolución.
Por ello, la AEPD le ha impuesto una sanción de multa administrativa de 9.000 euros, aunque tras reconocer los hechos y acogerse al pronto pago, la multa tendrá una reducción y abonará finalmente 5.400 euros.
¿Tienes una suscripción? Inicia sesión
