La AEPD ha multado con 30.000 euros a un hotel por utilizar la foto del pasaporte de un cliente para elaborar una ficha digital con sus datos personales sin su permiso. Según la resolución, el objetivo de este documento era verificar la identidad del huésped si perdía la tarjeta de acceso a la habitación o si quería utilizar algún servicio del hotel.
La reclamación fue presentada por un ciudadano holandés ante la Autoridad de Protección de Datos de Países Bajos, la cual trasladó posteriormente el asunto a la Agencia Española de Protección de Datos (AEPD).
Escaneo de la fotografía para verificar identidad durante la estancia
El huésped señaló que el hotel Marins Playa había escaneado su pasaporte a la hora de hacer el registro de entrada (check-in) y que la fotografía del documento fue puesta a disposición de los empleados a través de tablets para que pudiesen verificar su identidad durante su estancia en el centro sin que él tuviese conocimiento de ello.
El hotel explicó a Protección de Datos que este método se utilizaba para evitar el uso fraudulento de la tarjeta de la habitación, la cual sirve también para consumir en el bar y en la cafetería y abonar la cuenta al final de la estancia. De esta forma, según explicó el establecimiento, se aseguran de que la persona que está entregando la tarjeta es la propietaria.
En cuanto al escaneo del pasaporte, el cliente preguntó si era necesario hacerlo en todas las páginas y el recepcionista que le atendió le explicó que el procedimiento era necesario porque estaban siguiendo las instrucciones de la policía. En relación con la cuestión suscitada por el reclamante, la autoridad remitente preguntó si realmente la ley española obliga a escanear el pasaporte completamente o sólo son necesarios algunos datos.
En un primer momento, la AEPD consideró lícito el tratamiento de los datos conforme a la Ley de protección de la seguridad ciudadana y manifestó que no se había cometido ninguna infracción. Pero la Autoridad de Protección de Países Bajos (AP) consideró que no se habían valorado bien todas las pruebas. Por ello, procedió a elaborar un Proyecto de Decisión Revisado que contemplase la apertura de un procedimiento sancionador contra Marins Playa.
La AP admitió que el tratamiento de los datos personales recogidos en el pasaporte son necesarios para registrar al cliente pero que, en cuanto a utilizar su imagen, se pueden llevar a cabo otros métodos menos intrusivos para verificar al titular de la tarjeta magnética, como, por ejemplo, el apellido, número de habitación o firma del huésped.
Pero el hotel Marins Playa apuntó que ese método es insuficiente porque no impide que otra persona pueda escuchar estos datos y utilizarlos. Por este motivo, decidieron incluir la fotografía en los sistemas digitales, la cual se borra automáticamente una vez finaliza su estancia.
En la “Política de Privacidad” de la web no se informa
En cambio, en la sección de “Política de Privacidad” de su página web, la información no hace referencia a la utilización de la fotografía del cliente para el control de los consumos y para evitar el uso fraudulento de las instalaciones, por lo que, según la AP, a la hora del registro de entrada no se le informó del tratamiento de la imagen y tampoco firmó ningún documento.
Tras analizar los argumentos de la AP, la AEPD consideró que hubo una infracción del artículo 6 del Reglamento General de Protección de Datos (RGPD), por lo que ha multado con 30.000 euros al hotel y le ha solicitado que, o deje de utilizar la imagen de sus clientes o que informe a los huéspedes del uso de la fotografía.
Fuente: El Confidencial Digital