Si has acudido en alguna ocasión a un hotel, es bastante común que te soliciten tu DNI o pasaporte para poder escanearlo y almacenarlo en sus sistemas. De esta manera consiguen tener la información de todos los viajeros para poder comunicarla a la propia policía. Pero esto es algo que puede vulnerar nuestra intimidad, al recopilar más información de la necesaria.
Este es el caso que ha resuelto recientemente la Agencia de Protección de Datos en España tras la denuncia a un Apartahotel por parte de unos jóvenes a los que se les rechazó el check-in porque "había un registro antes que ellos con sus datos personales". Ante este hecho, la Policía Nacional hizo un análisis exhaustivo del Libro de Registro de Cliente, comprobando que no cumplía con la legislación en protección de datos y remitiendo un informe a la AEPD.
Un gesto muy común que no termina de convencer a la AEPD
Según se recoge en la resolución, la policía comprobó en el libro que "no existía anotación de los registros tratándose de hojas sueltas y con los DNI escaneados. También se constató que el establecimiento no realizaba la comunicación de tales registros a las fuerzas de seguridad, tal y como mandaba la legislación vigente". De esta manera se pudo ver que el apartahotel estaba recopilando una información excesiva de sus clientes, y sobre todo si no comunicaba su presencia a las FSE. Todo esto incumpliendo el artículo 5.1 c) del RGPD.
Y es que este artículo nos marca una regla fundamental en el tratamiento de datos personales: se deben recopilar únicamente los necesarios para los fines para los que son tratados, minimizando la cantidad de información que se recopila. Esto hace que para comunicar de la presencia de los clientes no hace falta recopilar por ejemplos los códigos de control que tenemos en el DNI físico.
La AEPD hace referencia a que si no comunican los datos a la FSE, no tienen por qué recopilar una gran cantidad de información personal. Pero además, la Orden INT/1922/2003 del 3 de julio sobre libro-registro y partes de entrada recoge la información que se debe recopilar por parte de los establecimientos hoteleros. Aquí detalla únicamente que se debe recoger el "número de DNI, tipo, fecha de expedición, nombre y apellidos, sexo, fecha de nacimiento, nacionalidad y fecha de entrada".
Esto hace que al recopilar el DNI en su conjunto con un escaneo, al que ya nos hemos acostumbrado sin tener que preguntar, se esté infringiendo la normativa en protección de datos al tratar en exceso datos personales que no son necesarios para la finalidad a la que se deben destinar. En concreto, este apartahotel va a tener que abonar una multa de 2.000 euros y también a tener que aplicar medidas correctoras para adecuar la gestión de datos personales de los clientes.
Imágenes | Marten Bjork
En Genbeta | Sigue estos consejos de la AEPD para proteger tus datos y prevenir delitos en Internet
