Alojamientos turísticos: registro de datos de ciudadanos

El pasado 23 de marzo, la Agencia Española de Protección de Datos (en adelante, AEPD) se pronunció sobre el registro de ciudadanos por parte de alojamientos turísticos, cuestión que ya había sido objeto de debate a raíz de la sanción económica impuesta a una empresa hotelera que solicitaba y escaneaba digitalmente, en el proceso de registro, los pasaportes de sus clientes, inclusive las fotografías de estos.

El supuesto de hecho descrito constituye un tratamiento de datos personales que requiere obligatoriamente, en virtud del principio de licitud que establece la normativa europea vigente (artículo 5.1 a del RGPD), de una base jurídica que lo legitime, no pudiendo el responsable del tratamiento (en este caso, el Hotel), realizar ninguna actividad de tratamiento sin estar habilitado a ello.

Entonces, ¿contaba la empresa reclamada con una base legitimadora que amparase la recogida de todos los datos personales que aparecen en el pasaporte del interesado? Pues bien, según las alegaciones planteadas, el Hotel defendía la licitud del tratamiento en el cumplimiento de lo dispuesto en la Ley de Protección de la Seguridad Ciudadana (LO 4/2015) que establece la obligación de contar con un registro documental en los establecimientos hoteleros, así como la comunicación de estos registros a las dependencias policiales – Fuerzas y Cuerpos de Seguridad del Estado (artículo 6.1 c del RGPD)-.

Si bien la obligación legal como base jurídica que legitima la recogida de los datos no parece plantear problema alguno, no parece ser así con el registro de las fotografías de los clientes. ¿Es el registro de estas imágenes estrictamente necesario para la correcta gestión hotelera y el cumplimiento de la obligación legal aplicable al responsable? Parece cuestionable.

En este punto, la empresa amparó el registro de dichas fotografías en la existencia de un interés legítimo para verificar la identidad de sus clientes en los consumos realizados durante su estancia, evitando así un uso fraudulento de la tarjeta por parte de terceros (artículo 6.1 f).

Recordemos que, en virtud de lo establecido en la normativa europea, solo cabrá valorar la aplicabilidad esta base de licitud del tratamiento cuando este se considere necesario para la satisfacción de intereses legítimos perseguidos por el responsable o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales.

Así, para invocar el interés legítimo como fundamento jurídico para el tratamiento de los datos personales, se necesitará realizar previamente, un triple juicio de ponderación que estudie la idoneidad, necesidad y proporcionalidad, en sentido estricto, del tratamiento analizado, así como interpretarlo de conformidad con el principio de minimización de los datos (artículo 5.1 c del RGPD). Dicho Juicio o prueba de ponderación entre el interés del responsable y los derechos del interesado no se llegó a justificar nunca por la empresa reclamada.

Sumado a esta falta de justificación de los intereses legítimos, que conlleva la desinformación del reclamante sobre la base legitimadora del tratamiento de sus datos, se constata que la cláusula informativa en materia de protección de datos facilitada a los clientes no incluía detalle alguno sobre la recogida y utilización de sus fotografías, ni figuraba dicho tratamiento en el Registro de Actividades de Tratamiento de la Entidad. Y, así mismo, no se llegó a aportar por parte de la empresa sancionada la información requerida en el procedimiento de instrucción: copia de la política de privacidad en todas sus versiones vigentes a partir de la entrada en vigor del Reglamento, así como cualquier aviso de privacidad y canal habilitado por la compañía para dar a conocer esta información a los interesados.

Por todo ello, y existiendo además medios menos invasivos para la consecución del fin alegado (verificar la identidad del usuario para evitar pagos fraudulentos) como, por ejemplo, solicitar al cliente su número de habitación, la recogida y utilización de la fotografía de los clientes por parte de la Entidad supone un tratamiento de datos personales excesivo que impide invocar el interés legítimo como base jurídica que lo legitime y que requiere, en consecuencia, de otra base legitimadora como es el consentimiento válido del interesado.

En definitiva, como futuros clientes de un alojamiento turístico, el Hotel solo podrá tratar aquella información personal contenida en su pasaporte amparándose en el cumplimiento de la obligación legal que le es aplicable, a excepción de su fotografía que no podrá ser registrada en los sistemas de información de la Entidad salvo que disponga de su consentimiento expreso.

Lucía Simón Marcos

Equipo Govertis