Protección de Datos, inflexible con los hoteles que piden copia del DNI a los clientes: la última sanción se eleva a 70.000 euros

Y es que la obligación de cualquier establecimiento de hospedaje de recoger determinados datos del cliente y así cumplir con el nuevo registro de viajeros, recogido en el Real Decreto 933/2021 (regula la comunicación de datos a las Fuerzas y Cuerpos de Seguridad del Estado), no da carta blanca para recabar más información de la necesaria. Y en este sentido, la Agencia Española de Protección de Datos (AEPD) ha advertido de la prohibición de solicitar una copia del DNI o pasaporte del cliente durante la reserva, así como escanear su documento de identidad cuando llega al hotel y realiza el 'check in'.

La última sanción que ha impuesto ha sido a World 2 Meet, S. L., la división de viajes del Grupo Iberostar, tal y como recoge en su web oficial. Después de iniciar un procedimiento sancionador el pasado 18 de julio, la AEPD ha resuelto multarla con 70.000 euros. Según la resolución consultada por este periódico, el incidente se produjo cuando el afectado realizó la reserva de una villa de World 2 Meet junto con terceros. En este momento, la plataforma solicitó a quienes iban a alojarse una copia de su documento de identidad para realizar el registro de viajeros, lo que consideraron como una petición de datos «excesiva».

El cliente denunció que habían facilitado los datos de sus respectivos documentos de identidad, pero que World 2 Meet insistía en solicitarles una copia completa del DNI de cada uno de los huéspedes, alegando que era necesario para gestionar el registro y realizar las comunicaciones oportunas a la Guardia Civil. Pese a todo, el reclamante reiteró que bastaba con la remisión de la información contenida en dichos documentos de identidad, sin que fuera necesaria la remisión de la copia.

Tras ser advertida por Protección de Datos, World 2 Meet confirmó en su escrito de contestación que, efectivamente, se efectuó dicho requerimiento con la finalidad de realizar el check-in online: «Para verificar la veracidad de la información proporcionada por los huéspedes y validar su identidad, se les solicita una imagen de su documento de identidad durante el proceso de check-in online. (...) El tratamiento de la imagen del documento de identidad de los huéspedes tiene como finalidad validar su identidad y asegurar la veracidad de los datos consignados en el parte de entrada, en cumplimiento de la obligación prevista por el art. 4.3 del Real Decreto 933/2021».

En su alegación explicó que la verificación de la identidad del huésped se realiza «mediante el escaneo del código MRZ ('Machine Readable Zone') que todos los documentos de identidad incluyen». La MRZ es una sección de los documentos de identidad que contiene información codificada en un formato estándar, legible por máquinas y software especializados. «Los datos obtenidos a partir de la MRZ se trasladan automáticamente al parte de entrada, permitiendo al huésped continuar con su cumplimentación y proceder a su firma (…), aclaró la empresa».

Sin embargo, Protección de Datos expuso que solicitar una copia del DNI o del Pasaporte vulnera el principio de minimización de datos, establecido en el artículo 5.1.c) del RGPD, y supone un tratamiento excesivo de datos. «Esto se debe a que el DNI completo contiene más datos que los obligados a aportar en virtud de la normativa aplicable, como la fotografía, la fecha de caducidad del documento, el CAN o el nombre de los padres. Asimismo, entregar una copia de la documentación personal implica, entre otros, un riesgo innecesario de suplantación de la identidad, que debe ser evitado o, por lo menos, mitigado de manera efectiva».

Asimismo, advierte que el DNI no contiene la totalidad de la información solicitada en el Anexo I del Real Decreto 933/2021 por lo que, por sí solo, no es un recurso válido para poder cumplir con la citada norma. A este respecto cabe señalar que la finalidad del Real Decreto 933/2021 es «la protección de personas y bienes y el mantenimiento de la tranquilidad ciudadana» ante la «especial relevancia» de la logística del alojamiento «en el modus operandi de los delincuentes», según recoge la Exposición de Motivos de la norma. Así las cosas, el envío de una copia del documento no permite verificar con certeza la identidad de la persona y, por tanto, carece de la idoneidad suficiente para cumplir con la finalidad de la norma.

En su resolución, la AEPD justifica su elevada sanción en:

-La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido (artículo 83.2, letra a), del RGPD): World 2 Meet pidió la copia de ambas caras del documento de identidad, con el riesgo que ello conlleva para el reclamante como cliente de dicho alojamiento.

-Intencionalidad/ Negligencia en la infracción (artículo 83.2, letra b), del RGPD): No se atendió la solicitud del reclamante de obtener otra alternativa para poder identificarse.En este caso, la especial intencionalidad se desprende de la negativa de World 2 Meet, cuando el cliente se ofrece a proporcionar los datos estrictamente necesarios para realizar el check-in: «Por favor, contesten a este mail especificando qué datos requieren de los respectivos DNI's para poder cumplimentar el check in estrictamente legal». La mercantil respondió que «los datos estrictamente necesarios como ya le indiqué para hacer el check in OBLIGATORIAMENTE son o bien el DNI o bien el PASAPORTE de cada uno de los OCUPANTES que es la única manera que tenemos de identificación para pasar a las fuerzas de seguridad«. Por tanto, expresa la empresa, «a pesar de que el reclamante propuso un método alternativo poniendo objeciones a dicho tratamiento y dudas respecto a su cumplimiento con la normativa vigente, la empresa insistió en recopilar una copia completa del DNI, lo que implica una presunta intencionalidad en seguir una práctica que podría no estar en línea con los requisitos legales».

- Las categorías de los datos de carácter personal afectados por la infracción (artículo 83.2, letra g), del RGPD): El identificador numérico del DNI junto con el carácter de verificación correspondiente al número de identificación fiscal identifica a una persona física de «modo indubitado». Esta cualidad lo convierte, subraya la AEPD, en un dato particularmente sensible pues, en la medida en que su tratamiento no vaya acompañado de las medidas técnicas y organizativas necesarias para garantizar que quien se identifica con él es realmente su titular, un tercero puede suplantar la identidad de una persona física con total facilidad, o, con otras palabras, puede provocar un fraude de identidad, con los riesgos que ello comporta para la privacidad, el honor y el patrimonio del suplantado.

Finalmente y aunque la multa se elevaba a 70.000 euros, la empresa procedió el pasado 5 de agosto al pago de la sanción en la cuantía de 42.000 euros haciendo uso de las dos reducciones previstas en el acuerdo, «lo que implica el reconocimiento de la responsabilidad», según la resolución de la AEPD.