La autoridad de control ha impuesto a un establecimiento hotelero una sanción de 2.000 euros por infringir el artículo 13 del RGPD (información que deberá facilitarse cuando los datos personales se obtengan del interesado). En este caso, según alegó el reclamante, al realizar su check in en el hotel (que había reservado su habitación a través de la página web), la empleada fotografió su Documento Nacional de Identidad, sin haberle informado previamente y sin haber recabado su consentimiento. Adicionalmente, se ponía de manifiesto en la reclamación que en la página web de la entidad, se hacía referencia a la derogada (hace más de seis años) Ley Orgánica 15/1999 y no se indicaba quién era el responsable del tratamiento o ante quién se podían ejercer sus derechos.
La entidad reclamada presentó respuesta al requerimiento de información emitido por la AEPD indicando, entre otras cuestiones, que en ningún momento se procede a fotocopiar los documentos de identidad de sus clientes, sino que el DNI se muestra al trabajador, tratándose únicamente los datos necesarios para llevar a cabo la comunicación a las Fuerzas y Cuerpos de Seguridad del Estado, siendo la base que legitima el mismo el cumplimiento de una obligación legal (Real Decreto 933/2021) o que, en caso de hacer el check in on line, la información se recaba mediante una plataforma externa.
Con ocasión de actuaciones de investigación realizadas por la AEPD, se tuvo constancia de que se había actualizado la página web de la entidad, modificando la normativa aplicable e identificando al responsable del tratamiento. No obstante, no se hace referencia alguna a los destinatarios a los que se pueden ceder los datos personales, ni a la información relativa a la obligación de facilitar los datos a las FyCSE en cumplimiento de la obligación legal establecida en el Real Decreto 933/2021.
De este modo, en su resolución, la autoridad de control ha declarado que, incluso tras la modificación de la página web, no se ha incluido información sobre los posibles destinatarios de los datos, por lo que la política de privacidad no cumple los requisitos del artículo 13 del RGPD, por lo que se infringe el citado artículo.
Adicionalmente, se indica por la AEPD que la compañía debe acreditar que ha actualizado adecuadamente su página web, incluyendo toda la información que exige el RGPD. Esta resolución permite demostrar la importancia de que los responsables del tratamiento mantengan la política de protección de datos incluida en la página web debidamente actualizada y con el contenido que exige el artículo 13 de la normativa indicada, puesto que, en caso contrario, existe un riesgo de sanción por parte de la autoridad de control.
A pesar de lo recogido en resoluciones anteriores, sorprende que la AEPD no se haya pronunciado sobre la supuesta realización de fotocopias del DNI de los huéspedes que alega el reclamante. Esta omisión resulta llamativa por cuanto la propia Agencia ha cuestionado en reiteradas ocasiones esta práctica.
Puede acceder a la resolución sancionadora aquí.
