Con la campaña de Semana Santa en marcha en muchos hoteles y alojamientos ha surgido en las últimas semanas una polémica por la fórmula elegida por un hotel, que escaneaba el pasaporte de los huéspedes. Se le impuso una multa de 30.000 euros por utilizar sus datos personales sin su permiso. Por eso vamos a intentar aclarar cómo se recoger y tratar la información de un cliente que se aloja en un hotel o casa de alquiler y cumplir con la LOPDGDD.
La polémica suscitada ha obligado incluso a la AEPD a sacar una nota aclaratoria, dado que estos establecimientos están obligados a recoger una serie de datos de los huéspedes que se alojan en dicho establecimiento. ¿Entonces si se puede recoger los datos del pasaporte, por qué la multa?
Según el artículo 24 de la Ley Orgánica 4/2015 dispone en su apartado primero lo siguiente:
Las personas físicas o jurídicas que ejerzan actividades relevantes para la seguridad ciudadana, como las de hospedaje… quedarán sujetas a las obligaciones de registro documental e información en los términos que establezcan las disposiciones aplicables
Esta norma legitima la recogida de los datos personales relativos a número de documento de identidad, tipo de documento y fecha de expedición, nombre y apellidos, sexo, fecha de nacimiento y país de nacionalidad, fecha de entrada y firma del viajero; los cuales deben incorporarse a la información que la entidad responsable del hotel debe trasladar a las Fuerzas y Cuerpos de Seguridad del Estado.
El tratamiento informado y legítimo de los datos
La cuestión es que este hotel escaneaba el pasaporte, como una fórmula rápida para recoger todos los datos que le exige la ley, registraba al huésped y le entregaba una tarjeta magnética con la que podría acceder a la habitación pero también pagar los consumos que realizara en los locales de restauración del establecimiento.
El problema es que al realizar el pago, el cliente entregaba la tarjeta magnética, se validaba en el punto de venta y el empleado tenía acceso a la fotografía del cliente. Y este es el punto clave. La recogida de la imagen, no está amparada por la ley ni debe realizarse para registrar el alojamiento de cualquier persona.
¿Significa esto que no podemos escanear la imagen del pasaporte? No necesariamente, la multa de impone por dos motivos. El primero es que la recogida de este dato, la fotografía, es innecesario para cumplir con los requisitos legales del registro de alojamiento. Y por otro, no se informa a los clientes adecuadamente del tratamiento que se va a realizar de dichos datos.
Existe un interés legítimo en el tratamiento, que tiene que ver con la verificación de que quien aporta la tarjeta magnética es realmente el huésped alojado, pero no se informa de ello al cliente, y además se pueden establecer otras fórmulas que verifiquen su identidad sin necesidad de utilizar dicha imagen el pasaporte.
Además dichos datos solo deben ser accesibles por el personal que necesita acceso a ellos, es decir, el camarero que va a cobrar la consumición o el contable que tiene que realizar la factura por la estancia. No así por otro tipo de personal del hotel. Es una cuestión delicada donde hay que ser escrupulosos con la ley y ceñirnos a lo que nos indiquen nuestros consultores expertos en protección de datos.