La autoridad de control ha impuesto a una posada una sanción de 1.500 euros por la infracción del artículo 5.1.c) (principio de minimización de datos) del RGPD. No obstante, dicha sanción se ha reducido a 1.200 euros por cuanto la entidad ha hecho uso de la reducción prevista.
En julio de 2023 el afectado reservó una habitación del establecimiento hotelero a través de la página web booking. El día de su reserva, la entidad le envió un correo electrónico para realizar el check in online de manera anticipada, aportando un enlace que le redirigía a la página web de un tercero (Partee), en la que se le solicitaba cumplimentar determinados datos personales, así como aportar la fotografía de ambas caras del DNI.
Si bien el afectado aportó sus datos, este no facilitó la copia de su documento por considerarlo excesivo. En este sentido, comunicó al establecimiento que no iba a facilitar esta fotocopia y que se “acogería a la posibilidad que constaba en el correo electrónico recibido de exhibir su DNI en el proceso de check presencial”.
Posteriormente, al acceder al establecimiento, en la recepción de la posada se le solicitó, como condición necesaria para entregar la llave de la habitación reservada, que entregaras su DNI para realizar una fotocopia con la finalidad de finalizar el proceso de registro. Debido a que el titular se negó a facilitar este documento (afirmó de nuevo que únicamente debía exhibirlo, no siendo obligatorio facilitar una copia), el establecimiento le denegó el alojamiento, motivo por el que presentó reclamación ante la AEPD, por cuanto afirmaba que se vulneraba el principio de minimización de datos al imponerle el requisito de aportar una copia de su DNI con esta finalidad.
Una vez notificada a la entidad la reclamación, esta envió escrito de respuesta en el que alegaba, entre otras cuestiones, que no se había infringido la normativa de protección de datos, puesto que era necesario exigir al cliente la fotocopia del documento nacional de identidad con la finalidad de comprobar la veracidad y exactitud de los datos facilitados, así como para cumplimentar los “partes de entrada y salida del viajero y las hojas registro que se establecen en la normativa del Ministerio de Interior”.
Asimismo, se puso de manifiesto que la entidad obtiene los datos, de manera automática, a través de la página web del encargado del tratamiento (parte). En relación con la fotocopia, se indica que se obtiene para evitar que el cliente tenga que incluir los datos manualmente, sin que se almacene en sus servidores, utilizándose de manera puntual (no obstante, posteriormente se indicó por la entidad que las fotografías se conservan durante 3 años). En este sentido, si el afectado decide cumplimentar el formulario de manera manual, es necesario comprobar la veracidad de dicha información, por lo que la persona que atiende en la recepción debe comprobar la exactitud de los datos, por lo que se le solicita el DNI.
En su resolución, la autoridad de control declara que en la política de privacidad de Partee (encargado del tratamiento en cuya página web se efectúa la facturación online) se indica que su aplicación permite “finalizar el proceso de registro sin necesidad de entregar la copia o escanear la fotografía de su documento de identidad”. Así, del contenido de esta política, la AEPD llega a la conclusión de que la aplicación de la tercera entidad no exige que, para realizar el check in online, los huéspedes tengan que facilitar una copia del DNI, sino que es el propio establecimiento hotelero quien puede elegir esa opción.
De este modo, afirma la AEPD que “es la reclamada […] la que pide que se configure la aplicación para exigir la fotografía, y la que voluntariamente decide exigir la copia del documento, y no aceptar la posibilidad ofrecida por PARTEE y el viajero de que éste exhiba su documento en el momento del check in presencial”. En este sentido, esta pudo configurar el sistema de modo que no fuera necesario entregar la copia, sino únicamente exhibir el documento en su recepción (por cuanto disponía de ella) para comprobar los datos del afectado, decidiendo voluntariamente recabar información que resulta excesiva.
Adicionalmente, la autoridad de control declara que la normativa aducida por la entidad reclamada (aquella que regula los libros registros y partes de entrada) no exige en ningún momento que se aporte copia o fotocopia del DNI de los huéspedes. Así, no es obligatorio recabar o comunicar a las autoridades la imagen completa de dicho documento, sobre todo si tenemos en consideración que en la copia constan datos personales que exceden de los que se pueden exigir, como la imagen del huésped o el nombre de sus padres.
Puede acceder a la resolución sancionadora de la autoridad española aquí.
