LA IMPORTANCIA DE SOLICITAR EL CONSENTIMIENTO

La Agencia Española de Protección de Datos (AEPD) ha sancionado a un hotel español con 30.000 euros de multa por utilizar la imagen de un ciudadano holandés para su identificación y registro.

Explicamos varias cuestiones:

Cuando un cliente se registra en un hotel, este tiene una obligación legal de registro documental e información del art. 25 de la Ley Orgánica 4/2015 de Protección ciudadana.

Esta norma hace referencia a la recogida de los datos relativos al DNI, tipo de documento, expedición, nombre, apellidos, sexo, fecha de nacimiento y nacionalidad

Por lo que opera como causa legitimadora del tratamiento de datos para la finalidad exclusiva de identificación y posterior envío a las Fuerzas y Cuerpos de Seguridad del Estado.

La multa se impuso porque al registrarse el usuario, el hotel le proporcionaba una tarjeta magnética que le permitía acceder a la habitación y pagar las consumiciones del restaurante.

En el momento en que el cliente proporcionaba la tarjeta al trabajador del hotel, este al pasarla accedía a la fotografía del DNI escaneado en su registro inicial.

Este hecho lo desconocía el cliente y el hotel no incluía en su política de protección de datos personales nada sobre utilizar las imágenes.

La AEPD recuerda en la resolución que la recogida y utilización de la fotografía del DNI no están amparadas por las bases jurídicas de ejecución de contrato para el servicio de alojamiento o el cumplimiento de una obligación legal de identificar y registrar al cliente.

Por tanto, los datos recabados son necesarios para la ejecución del contrato, pero no el uso de la fotografía, lo que supone un tratamiento de datos personales innecesario y desproporcionado, infringiendo el principio de minimización de datos (art. 5.1.c) del RGPD)

Por eso es un problema utilizar información recogida lícitamente en cumplimiento de una obligación legal (art.6.1.c) del RGPD) para otra finalidad, sin haber informado de ello, ni haber recogido el consentimiento expreso (art. 6.1.a) RGPD)

Es interesante comentar otra cuestión: este procedimiento se inició por la reclamación de carácter transfronterizo interpuesta por el cliente holandés ante la autoridad de protección de datos de los Países Bajos, la cual, a su vez, la remitió a la AEPD.

Por lo que, si esto nos sucediera en el extranjero, podríamos hacer lo mismo, tramitar la reclamación en España ante la AEPD para que esta autoridad la remita a la correspondiente.