La Agencia Española de Protección de Datos (AEPD) ha defendido a través de un comunicado que los establecimientos hoteleros están obligados a recoger una serie de datos y comunicarlos a las fuerzas de seguridad, pero no pueden recoger las fotografías de los huéspedes sin informarles previamente.
Así lo ha manifestado tras el comunicado emitido por la Confederación Española de Hoteles y Alojamientos Turísticos (Cehat), que veía “incoherencia” entre la protección de datos y los requisitos de seguridad ante la multa de 30.000 euros recibida por un hotel tras escanear un pasaporte.
La AEPD reconoce que los alojamientos turísticos deben registrar datos de los documentos de identificación de sus clientes para cumplir las normas españolas sobre registros de viajeros y comunicarlos a las Fuerzas y Cuerpos de Seguridad del Estado en cumplimiento de la normativa de seguridad ciudadana.
En concreto, la ley recoge que las personas físicas o jurídicas que ejerzan actividades relevantes para la seguridad ciudadana, como las de hospedaje, “quedarán sujetas a las obligaciones de registro documental e información en los términos que establezcan las disposiciones aplicables”.
Esta norma legitima la recogida de los datos personales relativos a número de documento de identidad, tipo de documento y fecha de expedición, nombre y apellidos, sexo, fecha de nacimiento y país de nacionalidad, fecha de entrada y firma del viajero; los cuales deben incorporarse a la información que la entidad responsable del hotel debe trasladar a las Fuerzas y Cuerpos de Seguridad del Estado.
Sanción a un establecimiento
Sin embargo, el establecimiento hotelero sancionado también recogía y utilizaba las fotografías de los clientes para el control de acceso y la facturación de sus consumos durante su estancia y la AEPD resalta que la información en materia de protección de datos personales que la entidad facilitaba a los clientes no incluía ningún detalle sobre la recogida y utilización de la fotografía, por lo que los clientes las desconocían. Además, tampoco se recogía este tratamiento en su Registro de Actividades de Tratamiento.
El establecimiento proporciona una tarjeta magnética al cliente que le permitía, además del acceso a la habitación, el pago de los consumos con cargo a su cuenta. En el momento de realizar un consumo, el cliente facilitaba esa tarjeta al empleado, quien, al pasarla por su dispositivo, tenía acceso a la fotografía. La AEPD señala que la recogida y utilización de esas fotografías no están amparadas por las bases jurídicas de ejecución del contrato o cumplimiento de una obligación legal.
Por ello, la AEPD ha requerido al establecimiento que cese en la recogida y tratamiento de la fotografía de sus clientes o, en caso contrario, adecúe la información en materia de protección de datos que ofrece, especialmente la relativa a la recogida y utilización de la fotografía y la base jurídica que fundamenta el tratamiento, estableciendo mecanismos que permitan acreditar que se le facilita dicha información a los clientes, y adecuar sus operaciones de tratamiento.
Asimismo, el hotel deberá corregir los efectos de la infracción cometida, lo que conlleva la supresión de todas las fotografías recogidas de los clientes hasta el momento.
Cehat defiende que este escaneado es el procedimiento habitual usado por los hoteles para cumplir con el deber de información de los establecimientos hoteleros de registro de viajeros.
Además, critica que esta decisión de la AEPD se suma a las “permanentes quejas” que se han producido por la “inseguridad jurídica” y la “sensación de persecución” a los hoteleros en materia de protección de datos, ya que las normativas exigen elaborar y facilitar a las empresas turísticas información necesaria para el Ministerio del Interior.