Protección de datos afirma en su resolución que el tratamiento de la imagen de los huéspedes resulta desproporcionada y excesiva.
La Agencia Española de Protección de Datos (AEPD) acaba de imponer una sanción de 30.000 euros a una empresa hotelera por escanear por completo la página del pasaporte en la que constaba la información del titular. El organismo ha impuesto esta multa al considerar que se trata de un tratamiento excesivo de la información personal del cliente y que no existe ningún tipo de base jurídica que ampare este tipo de acción.
El asunto se basa en la reclamación que realizó un holandés en la que indicaba que en el proceso de registro del hotel le solicitaron el pasaporte, que fue escaneado, a pesar de su oposición. El cliente alegó que no todos los datos incluidos en el mismo eran necesarios para realizar el check-in, a lo que el empleado del hotel le respondió que dicho escaneo se hacía siguiendo instrucciones de la policía. Además, el reclamante aseguró haber visto a los empleados del hotel con la foto del pasaporte en sus tablets.
Pues bien, la AEPD explica en su resolución que los datos recabados, salvo la fotografía, resultaban necesarios para la ejecución del contrato en el que el interesado es parte. Respecto a la imagen, el hotel indica que la usaba como método de seguridad, para evitar usos fraudulentos de las tarjetas magnéticas, soporte en el que el cliente podía cargar gastos. Así, al poder cotejar la imagen del sistema con quien solicitaba el consumo, se evitaba que terceros hiciesen cargos a su cuenta.
El organismo de protección de datos apunta que, aunque la Ley de Protección de la Seguridad Ciudadana impone obligaciones respecto de la información que debe recabarse sobre el registro de huéspedes, la imagen del pasaporte no guardaría relación con esta obligación.
La AEPD indica que el hotel informaba debidamente a los huéspedes sobre la recogida y comunicación de sus datos, pero no lo hacía sobre el uso que realizaba de la imagen y no cree que el intento de proteger al cliente sea una justificación suficiente.
La autoridad española entiende que el escaneo y uso de la imagen del pasaporte para estos fines resulta desproporcionado y excesivo y más cuando existen medios menos invasivos para garantizar que el titular de la tarjeta es la persona que realiza el pago. Además, pese a que el hotel afirma tener un interés legítimo, la compañía no acreditó ante la Agencia Española de Protección de Datos haber realizado la ponderación previa que exige el RGPD para basar el tratamiento de datos en esta base jurídica.
En este sentido, María Zarzalejos, asociada del área de privacidad, IT y negocios digitales de Andersen, afirma que «parece razonable que en este supuesto ni recabar el consentimiento expreso del cliente tenga cabida para el tratamiento del dato correspondiente a la fotografía. Podría considerarse que no ha sido otorgado de forma libre si esto supusiera una restricción de sus derechos como cliente o la imposibilidad de alojarse en el hotel».
Por último, señala el organismo, no se informaba al huésped sobre los usos y fines de tratar su imagen, impidiéndole la opción de oponerse a dicho tratamiento.
Otros métodos posibles
Algo de gran interés de la resolución, señala María Zarzalejos, asociada de Andersen, es que «la AEPD proponga medidas alternativas, menos invasivas, para garantizar la seguridad y evitar el fraude en el uso de tarjetas de acceso a las habitaciones». Entre sus propuestas, apunta a la posibilidad de exigir al personal del hotel verificar la información del cliente y del titular que hace uso de la tarjeta antes de proceder al cobro, emitir una factura del consumo y exigir la firma del cliente, y, en caso de que el cliente pierda la tarjeta, bloquear automáticamente la misma para evitar que terceros hagan uso de ella.
(Noticia extraída de Expansión)