La autoridad de control ha impuesto a un establecimiento hotelero una sanción de 9.000 euros por la infracción del artículo 5.1.c) del RGPD (principio de minimización de datos que establece que los datos deberán ser adecuados y limitados a lo necesario en relación con los fines para los que son tratados). No obstante, dicha sanción se ha reducido a 5.400 euros por cuanto se ha hecho uso de las dos reducciones previstas, reconociendo, en consecuencia, su responsabilidad
En la reclamación presentada se ponía de manifiesto que, al realizar el registro de viajeros en el establecimiento, este le solicitó copia de su Documento Nacional de Identidad con la finalidad de escanearlo. Si bien se negó a facilitar este documento, el responsable del hotel procedió a copiar la información en el ordenador de recepción.
Una vez notificada la reclamación a la entidad, esta presentó escrito de respuesta en el que alegaba, entre otras cuestiones, que, habida cuenta de lo dispuesto en el Real Decreto 933/2021 por el que se establecen las obligaciones de registro documental e información de las personas jurídicas que ejercen actividades de hospedaje, tenía la obligación de remitir copia del “documento que acredite a las personas que se hospedan o soliciten hospedarse en el Hotel” a la administración competente, motivo por el que escanean el mismo. En este sentido, se afirmaba que trataba los datos de buena fe, facilitando la información necesaria y firmando, los huéspedes, un consentimiento para el tratamiento de sus datos.
La AEPD ha recordado que el artículo 4.3 del citado Real Decreto establece que los establecimientos hoteleros “serán responsables de la exactitud de los datos que se hagan constar en ellos [registros de viajeros], de modo que coincidan con los documentos o sistemas que acrediten la identidad de las personas, que habrán de ser exhibidos o facilitados por los usuarios de estos servicios”. De este modo, declara la autoridad de control que la obligación de verificar la exactitud de los datos debe llevarse a cabo sin necesidad de recabar una copia del DNI, ni de escanearlo, al existir otras alternativas válidas que permiten realizar esta comprobación. En relación con esta cuestión, se indica que “podría ser suficiente con que las personas faciliten o completen un formulario que recoja exclusivamente los datos exigidos” en el Real Decreto a través de un formulario presencial (pudiendo comprobar visualmente la correspondencia entre la información aportada y la que consta en el DNI) o electrónico.
A la vista de lo anterior, escanear el DNI supone un tratamiento excesivo de datos, por cuanto se tiene acceso a información que no se exige en la normativa indicada (como, por ejemplo, la imagen del huésped o el nombre de sus padres). En este sentido, se indica por la autoridad de control que “no es obligatorio recoger, registrar ni comunicar a las autoridades competentes la imagen, fotocopia o imagen completa del documento de identidad del viajero, sino únicamente algunos de los datos contenidos en el mismo”. De este modo, entregar una copia del DNI supone un riesgo innecesario, sin que esta actuación permita dar cumplimiento a la normativa indicada, puesto que el documento contiene datos personales que no son necesarios y, ni siquiera, contiene toda la información exigida en el Real Decreto, por lo que no es un recurso válido para cumplir con la normativa.
Adicionalmente a la sanción impuesta previamente indicada, se ha requerido a la entidad para que modifique el sistema que tiene implementado de modo que no se solicite la copia del DNI ni se escanee el mismo, así como para que elimine todos los documentos que conserva en dicho sistema.
Puede acceder a la resolución sancionadora de la autoridad de control aquí.
