La AEPD sanciona a un establecimiento hotelero por el uso indebido de la imagen de un usuario

El reclamante, un ciudadano holandés, fue quien denunció que, en el momento de su llegada al hotel se escaneó digitalmente su pasaporte completo, y que entre los datos que se tomaban del documento la fotografía se incluía en el sistema interno y se utilizaba para que el personal de hotel pudiese comprobar la identidad del cliente.

El usuario se dirigió a la Autoridad de Protección de Datos de Países Bajos (“AP”), que remitió la solicitud a la AEPD por ser la competente para resolver esta cuestión. En un primer momento, la AEPD no apreció indicios de infracción en materia de protección de datos, no obstante, tras analizar los argumentos de la AP, apreció una infracción considerada muy grave en esta materia, resolviendo con una sanción de 30.000 euros.

El hotel, en el momento de la llegada del cliente (check-in) registraba sus datos a través del escaneo de sus documentos de identidad y se le daba una tarjeta magnética con la que podía acceder al hotel y a su habitación, pero también adquirir consumos ofertados por el hotel que posteriormente serían abonados. Con el fin de que la tarjeta magnética no fuese utilizada por personas que no fuesen el cliente, en el momento de pedir un consumo, el huésped le daba al personal su tarjeta magnética y automáticamente en el dispositivo le aparecía su fotografía para verificar la identidad del huésped, cuestión que los clientes desconocían.

El hotel argumentó que el tratamiento de la fotografía de sus clientes se amparaba en su interés de evitar fraudes cuando los huéspedes contrataban consumos propios del hotel, por ejemplo, en la cafetería, y que al entregar su tarjeta magnética al personal le aparecía su fotografía del documento de identidad, con ello, el empleado comprobaba su identidad y de esta forma, se prevenían posibles perjuicios económicos que pudiesen generar a cargo de los clientes.

De acuerdo con la normativa de protección de datos, es necesario que se utilicen los mínimos datos necesarios para cumplir con los servicios que se van a prestar y por ello, en todo momento debe buscarse la manera menos lesiva para llevar a cabo del tratamiento de los datos y no menoscabar la privacidad de sus titulares. La AP considera que hay medidas menos intrusivas para comprobar la identidad de los huéspedes, tales como solicitar la firma manuscrita o su número de habitación a la hora de contratar servicios del hotel.

A este respecto, la reclamada estima que estas medidas no son suficientes para garantizar la identidad del cliente y por ello, incluyeron la confirmación a través de la fotografía. Sin embargo, la AEPD entiende que utilizar la fotografía no puede ampararse en la ejecución del contrato ni en el ejercicio de una obligación legal. Los datos que recaba el hotel son necesarios para ejecutar el contrato en el que el huésped es parte y para el cumplimiento de una obligación legal de cara a la responsabilidad del hotel, no obstante, el uso de la fotografía es considerado como un tratamiento innecesario y desproporcionado.

En adición, en el documento de protección de datos que se facilita al cliente no incluía la recogida y el tratamiento de la imagen por lo que los interesados desconocían esta práctica.
Por lo tanto, la AEPD ha requerido al hotel para que retire, en el plazo de un mes, el sistema de tratamiento de la imagen, o en caso contrario, que adecue dicho tratamiento a la normativa de protección de datos, así como la imposición de una sanción de 30.000 euros por incumplimiento del artículo 6 del RGPD.

Ante el revuelo que ha supuesto la resolución de la AEPD, la misma ha publicado con fecha 23 de marzo de 2022 un comunicado sobre el registro de datos de ciudadanos por parte de alojamientos turísticos, con el fin de aclarar las pretensiones de su decisión.