El pasado mes de marzo en el sector hotelero español se encendieron todas las alarmas, la AEPD (Agencia Española de Protección de Datos) sancionaba a un hotel con 30.000 euros por la captación del documento de identidad (DNI) de sus clientes en su base de datos.
Vamos a explicar lo sucedido y que no cunda el pánico, sólo es necesario disponer de un buen asesor en protección de datos.
La operativa que realizan la mayoría de hoteles y cadenas hoteleras al recibir a un cliente es el escaneado o fotocopiado de su DNI, en cumplimiento de la legislación española sobre registros de viajeros y que se comunican a las Fuerzas y Cuerpos de Seguridad del Estado, en base a la normativa de seguridad ciudadana (Ley Orgánica 4/2015)
Para la utilización de datos personales, cualquier empresa debe disponer de una base de legitimación para el uso de datos personales en su actividad. En el caso de los hoteles, este tratamiento se basa habitualmente en una obligación legal y/o en la obligación contractual que emana de la contratación del alojamiento.
El problema reside, primero, en que los hoteles no estén adaptados a la nueva Ley de Protección de Datos LOPDGDD 03/2018, y digo nueva, aunque es del 2018, porque todavía me encuentro empresas adaptadas a la anterior normativa LOPD 15/99.
Segundo, que no dispongan de un documento denominado Registro de Actividades de Tratamiento (RAT), obligación de la LOPDGDD, en el que inventariamos todos los tratamientos de datos que se realizan, sus finalidades, bases de legitimación, etc.
El tercer problema es que la AEPD entiende que disponer de la fotografía por obligación legal es una medida desproporcionada, ya que la captación del documento DNI, fotografía incluida, no podemos basarla en una obligación legal porque la normativa del registro de viajeros no dice que tengamos que almacenar el DNI para pasárselo a las Fuerzas de Seguridad, sino que debemos de informar de una serie de datos que aparecen en ese DNI, lo que es sensiblemente diferente, y la fotografía no está entre esos datos de los que hay que informar.
Por otro lado, es evidente que no es una obligación contractual, a menos que así lo indiquemos en el contrato y en el RAT.
Por ello, la única manera de disponer del DNI con fotografía para la finalidad que era utilizada por el hotel sancionado era solicitar el consentimiento del cliente, cumpliendo con el principio de información. Al mismo tiempo que incluimos ese tratamiento dentro del RAT, que era lo que no había realizado el sancionado.
Y el cuarto problema es que muy pocos hoteles que realizan este tratamiento lo cumplen.