La AEPD es la máxima garante de la protección de datos en España. Cualquier ciudadano que sienta vulnerados sus derechos en torno a este tema puede interponer una denuncia para que la entidad investigue y determine si ha habido infracción. Eso es precisamente lo que ha hecho la AEPD con la denuncia de un ciudadano holandés frente a un hotel español. El resultado ha sido que el establecimiento deberá abonar una multa de 30 000 euros por haber usado la fotografía del afectado sin su consentimiento. ¡Ojo con publicar vídeos con caras visibles!
Una ficha digital suscitó el problema
Hace algún tiempo el ciudadano holandés se hospedó en el hotel Marins Playa. Al hacer el registro de entrada, el establecimiento escaneó su pasaporte completo. En consecuencia, su ficha personal incluía sus datos y también su fotografía. La imagen fue puesta a disposición de los empleados del hotel para que estos pudieran verificar la identidad del huésped a lo largo de su estancia. Sin embargo, el afectado no fue consciente de esta situación hasta más tarde.
El cliente, preocupado por su seguridad, consultó con el hotel si realmente era necesario escanear todas las hojas de su pasaporte. En recepción le informaron de que sí lo era. Que, de hecho, esto se llevaba a cabo siguiendo las indicaciones de la Policía.
Denuncia en los Países Bajos
De vuelta a Holanda, el ciudadano afectado presentó una denuncia ante la autoridad de protección de datos de su país, la cual remitió a la AEPD. Deseaba saber sí, realmente, la ley española impone la obligación de escanear el pasaporte de los extranjeros de forma completa o sí, por el contrario, basta con registrar solo algunos datos.
En un primer momento, la Agencia Española de Protección de Datos consideró que la actuación del hotel español había sido legal. No obstante, la autoridad de Países Bajos entendió que no se habían valorado bien todas las pruebas, y pidió la apertura de un procedimiento sancionador contra Marins Playa.
Resolución de la AEPD
Al analizar en detalle el asunto, la AEPD determino qué, si bien es legal registrar los datos del pasaporte de un ciudadano extranjero, no lo es guardar una copia de su fotografía.
El hotel se defendió alegando que la imagen de los clientes se adjunta a la ficha para evitar un uso fraudulento de la llave tarjeta de la habitación, puesto que esta también sirve para registrar todas las consumiciones hechas en el establecimiento y cobrarlas en el momento de finalizar la estancia. De igual forma, señaló que la fotografía se borra automáticamente cuando el cliente deja la habitación.
Frente a estos argumentos, la Agencia Española de Protección de Datos determinó que hay mecanismos menos intrusivos. Bastaría con su firma o su número de habitación.
Por otro lado, también advirtió que, en la ‘Política de Privacidad’ de la página web del hotel, no se hace referencia en ningún caso a que se vaya a emplear la fotografía del cliente para hacer un control del uso de la tarjeta magnética. Tampoco se informó de esta situación al denunciante en el momento de su registro. Así que no puede entenderse en ningún caso que este diera su consentimiento para ese tratamiento de sus datos personales.
Todo esto lleva a la AEPD ha considerar que el hotel denunciado ha infringido el artículo 6 del RGPD, lo que implica la imposición de una multa que asciende a 30 000 euros. El establecimiento no solo debe abonar la sanción, sino que, además, tiene que dejar de utilizar la imagen de sus clientes o, en su defecto, informarles de ese tratamiento de datos.
Este es un nuevo ejemplo de que la protección de la información de carácter personal tiene un peso cada vez mayor en nuestro ordenamiento jurídico. Cualquier incumplimiento se castiga duramente.