Multado un hotel de las Islas Baleares con 30.000 euros por incumplir el RGPD
La Agencia Española de Protección de Datos (AEPD) ha multado con 30.000 euros a un hotel de las Islas Baleares por haber infringido el Reglamento General de Protección de datos (RGPD). El establecimiento hotelero, según asegura la AEPD, había escaneado y fotografiado el pasaporte de un huésped procedente de Países Bajos, sin consentimiento previo, para “evitar el uso fraudulento de la tarjeta y no ocasionar ningún perjuicio económico al resto de clientes”.
¿Qué paso?
El huésped afectado puso una reclamación de carácter transfronterizo ante la Autoreit Persoonsgegevens, autoridad de protección de datos de los Países Bajos, y ahora la AEPD ha interpuesto una sanción económica de 30.000 euros al establecimiento hotelero tras haber cometido una infracción “muy grave” prevista en el artículo 6, tipificada en el artículo 83.5. a) del RGPD. Del mismo modo, la Ley Orgánica de Protección de Datos (LOPD) también lo califica como “muy grave” según el artículo 72.1. b).
Por su parte, la Confederación Española de Hoteles y Alojamientos Turísticos (CEHAT) ha asegurado que esta es una práctica habitual realizada por este tipo de establecimientos para verificar la identificación de los huéspedes para el uso de las instalaciones del recinto y en caso de pérdida de la tarjeta de su correspondiente habitación. La patronal se ha mostrado sorprendida, ya que la información requerida según la normativa de la Agencia de Protección de Datos (AEPD) y la de las Fuerzas y Cuerpos de Seguridad del Estado para el registro de viajeros no es compatible.
¿Cómo actuó la AEPD?
Sin embargo, la Agencia de Protección de Datos (AEPD) ha explicado que el problema surge una vez que se recoge esta información para una finalidad distinta sin consentimiento previo. La CEHAT, quien se ha mostrado en disconformidad con la resolución dictada por la AEPD, ha solicitado a las administraciones turísticas la creación de una norma para evitar que vuelva a ocurrir este tipo de situaciones que podría derivar en grandes pérdidas económicas para los hoteles.
La sanción interpuesta por la Agencia Española de Protección de Datos (AEPD) al hotel Marins Playa (Islas Baleares) ha ascendido a los 30.000 euros. Sin embargo, este tipo de sanciones “muy graves” podrían ascender hasta los 20 millones de euros o al 4% de la facturación del establecimiento hotelero, en función de la situación económica del hotel en cuestión.
¿Qué ha dicho la Agencia Española de Protección de Datos (AEPD)?
Ante la reacción de la Confederación Española de Hoteles y Alojamientos Turísticos (CEHAT), la AEPD se ha visto obligada a emitir un comunicado donde aclara la resolución y la sanción interpuesta al citado establecimiento hotelero. La AEPD realizada las siguientes aclaraciones:
● Los alojamientos turísticos españoles están en su derecho de registrar los datos de los documentos de identificación (número de documento de identidad, tipo de documento y fecha de expedición, nombre y apellidos, sexo, fecha de nacimiento, país de nacionalidad, fecha de entrada en el establecimiento hotelero y firma del viajero) “para cumplir las normas españolas sobre registros de viajeros, y comunicarlos a las Fuerzas y Cuerpos de Seguridad del Estado en cumplimiento de la normativa de seguridad ciudadana”.
Sin embargo, la Agencia de Protección de Datos (AEPD) también señala que:
● El hotel sancionado también recogía y utilizaba las fotografías de los clientes para el control de acceso a las instalaciones y la facturación de los consumos realizados durante su estancia. Si bien, “la información en materia de protección de datos personales que la entidad facilitaba a los clientes no incluía ningún detalle sobre la recogida y utilización de la fotografía, por lo que los clientes las desconocía” y, además, tampoco estaba recogido este tratamiento en el Registro de Actividades de Tratamiento.
● La recogida y utilización de fotografías no están amparadas por las bases jurídicas de ejecución del contrato o cumplimiento de una obligación legal. Cuando el viajero se registraba, este hotel de las Islas Baleares le proporcionaba una tarjeta magnética con la que, cuando el cliente realizaba cualquier tipo de consumo en el hotel, el empleado tenía acceso a la fotografía al pasarla por el dispositivo.
● Los datos de identificación son necesarios para la ejecución del contrato “y para el cumplimiento de una obligación legal aplicable al responsable del tratamiento”. Sin embargo, la AEPD insiste que la recogida, así como la utilización de la fotografía, no están recogidas y suponen “un tratamiento de datos personales innecesarios y desproporcionado”.
● Ante esta situación, la AEPD ha solicitado al hotel ubicado en las Islas Baleares que cese la recogida y tratamiento de la fotografía de sus clientes o bien “adecúe la información en materia de protección de datos que ofrece a los clientes”. Además, el establecimiento está obligado a eliminar todas las fotografías recogidas de los clientes hasta el momento.
¿Cómo afecta esta norma a los empresarios hoteleros?
La Confederación Española de Hoteles y Alojamientos Turísticos (CEHAT) ha mostrado su disconformidad con la sentencia dictada por la AEPD, ya que asegura que en los últimos meses han recogido diversas quejas de otros empresarios del sector debido a la “inseguridad jurídica”.
La patronal recuerda que la normativa exige facilitar la información necesaria para cumplir con la normativa requerida por la Agencia de Protección de Datos (AEPD), incompatible a su vez con la de las Fuerzas y Cuerpos de Seguridad del Estado y las normas de protección de datos personales.
La entrada en vigor el pasado 27 de abril de 2022 del Real Decreto 933/2021 ha aumentado la preocupación de los profesionales del sector, puesto que no tienen acceso a los datos solicitados en esta normativa o bien están prohibidos por la normativa española y europea.
Este Real Decreto exige a los empresarios la recogida de datos de la transacción económica que son encriptados y por tanto, el hotel no tiene acceso, y el parte de entrada al establecimiento.
Además, el secretario general de la CEHAT, Ramón Estalella, señala que en pleno siglo XXI, “no es aceptable obligar a un establecimiento a proporcionar datos a manos, ya que mucha de la información solicitada en estas normativas excede los datos que aparecen en el documento digital de identidad el viajero”.
¿Cómo evitar este tipo de sanciones por incumplimiento de la Ley de protección de datos?
La protección de datos es esencial, no intentes escabullirte de ella o puede que la Agencia Española de Protección de Datos esté llamando pronto a tu puerta con una multa en la mano.
Para evitar este tipo de sanciones de la AEPD debes contar con una empresa especialista en la gestión de la protección de datos. Con Pdatos tienes la oportunidad de adaptarte a RGPD y LOPD a un precio inigualable. ¿A qué esperas? Ponte en contacto ahora mismo y comprueba si cumples con la normativa de protección de datos. Nuestros profesionales cuentan con más de 13 años de experiencia en el sector .