Un ciudadano holandés interpuso una reclamación ante la AEPD debido a que, durante su registro en el hotel, el establecimiento escaneó su pasaporte a efectos de recoger sus datos personales (entre los que se encontraba la fotografía) para, entre otras cuestiones, con ocasión de los consumos efectuados con la tarjeta facilitada por el hotel, verificar su identidad y evitar un uso fraudulento de esta por terceros.
Si bien en un primer momento la AEPD consideró que el tratamiento de la fotografía con esta finalidad se podía amparar en el interés legítimo del hotel en cobrar al verdadero usuario y del cliente de evitar el uso de la tarjeta de forma fraudulenta, al formularse diversas objeciones por la autoridad de control holandesa, modificó su criterio y declaró que no se había justificado el interés legítimo de forma suficiente, así como que dicho tratamiento no era necesario y proporcional (existiendo formas menos intrusivas para llevar a cabo la verificación de la identidad del titular), imponiéndose una sanción de 30.000 euros. Esta resolución fue analizada en la newsletter de marzo de 2022 (puede acceder a ella aquí).
Contra dicha resolución, se ha interpuesto recurso contencioso-administrativo ante la Audiencia Nacional, solicitando que se declare la nulidad de la misma o, subsidiariamente, la reducción del importe de la sanción. El establecimiento hotelero ha alegado, entre otras cuestiones, que la única finalidad del tratamiento de la imagen es verificar la identidad del cliente y evitar el uso fraudulento de la tarjeta (es el único método que permite garantizar este fin, por lo que es idóneo y proporcional, ya que las alternativas propuestas no permiten satisfacer esta necesidad), siendo el impacto en los intereses del demandante limitados (tras haber realizar una ponderación de dichos intereses). En este sentido, se puso de manifiesto que esta medida beneficia al propio huésped “al garantizar la correcta imputación de los cargos a su habitación y evitar posibles suplantaciones”, siendo el acceso a esta información restringido al personal y estando conservada únicamente durante su estancia. Adicionalmente, se pone de manifiesto que se garantiza el derecho de oposición a este tratamiento, así como que se han aplicado las medidas adecuadas.
Así, se puso de manifiesto que las formas menos intrusivas propuestas no logran la finalidad perseguida. En este sentido, respecto a sustituir el tratamiento de la fotografía por otros datos, se indica que estos “son insuficientes para confirmar que el poseedor de la tarjeta ostenta el derecho a utilizarla”, así como que “son fácilmente susceptibles de intercepción por parte de los interesados en llevar a cabo cualquier acción fraudulenta”. En relación con la firma de un recibo, se indica que ello no previene el fraude, sino que únicamente “genera una eventual prueba”. Por último, en cuanto al bloqueo de la tarjeta, esta medida tampoco es apta para la prevención, sino que podría ser utilizado como un recurso adicional para “intentar evitar que el daño, que ya se ha producido continúe en aumento”.
La autoridad de control, al oponerse al recurso, ha afirmado que este tratamiento de la imagen no puede ampararse en el interés legítimo, al no haberse justificado el mismo (“no consta que la citada entidad haya realizado esa prueba de ponderación y haya informado debidamente”).
En su sentencia, la Audiencia Nacional declara, en idéntico sentido, que el juicio de ponderación que debe llevarse a cabo para poder fundamentar este tratamiento en el interés legítimo del responsable no ha sido efectuado adecuadamente, sin que se informase al titular, ya que la política aportada en la que se informaba de esta cuestión no estaba fechada. Así, se expone que al no haberse realizado “el juicio de ponderación entre el interés legítimo alegado por el establecimiento para controlar los consumos y evitar el fraude y los derechos del denunciante”, no se ha podido analizar si las medidas aplicadas eran correctas o si las alternativas menos intrusivas permitían lograr la misma finalidad. De este modo, al no estar amparado el tratamiento por el artículo 6.1.f) del RGPD, el mismo no puede considerarse lícito.
Respecto a la graduación de la sanción, debido a que no concurren algunas de las agravantes apreciadas por la AEPD (como, por ejemplo, la supuesta negligencia en la actuación o el número potencial de afectados), la Audiencia Nacional ha moderado el importe de la multa, fijándolo en 15.000 euros.
Puede acceder a la sentencia de la AN aquí.