El proceso de digitalización y el impacto del desarrollo tecnológico en el que nos encontramos inmersos en esta nueva era supone una gran evolución para el tejido empresarial, colocando a las empresas en un escenario de constante cambio en el que la trasformación digital se convierte en una clave fundamental para el éxito, y las empresas tienden a buscar las mejores soluciones y tecnologías.
Pero lo cierto es que no todo vale, y menos si se trata de tecnología aplicada al tratamiento de datos personales o con impacto en la privacidad de las personas.
En relación con este asunto, se pronunciaba hace unas semanas la Agencia Española de Protección de datos (AEPD), mediante Resolución N.º: PS/00078/2021 (ver aquí), respecto de una reclamación formulada por un ciudadano holandés, ante la autoridad de protección de datos de Países Bajos (Autoriteit Persoonsgegevens -AP) en la que indicaba que, en el momento de realizar el check in a la llegada de un hotel ubicado en España, le solicitaron el pasaporte y lo escanearon, a pesar de que el cliente se opusiese a que dicho documento se escaneara completamente, alegando que no todos los datos incluidos en el mismo eran necesarios, a lo que el empleado del hotel le respondió que dicho escaneo se realizaba siguiendo instrucciones de la Policía. El interesado asegura haber visto a los empleados del hotel con la foto del pasaporte en sus correspondientes tablets.
Por otra parte, en relación con la cuestión suscitada por el reclamante, la autoridad remitente preguntaba si realmente la normativa española obliga a escanear el pasaporte completamente o sólo son necesarios algunos datos para cumplir el proceso de registro.
El hotel, por su parte, ha confirmado que al realizar el registro de entrada de los clientes se escanea el pasaporte con el objetivo de pasar a texto la imagen para la incorporación de los campos correspondientes al programa de gestión hotelera, y lo que se escanea es la página en la que se encuentran los datos identificativos del cliente: número, tipo y fecha de expedición del documento de identidad presentado, nombre y apellidos, sexo, la fecha y país de nacimiento, así como la fotografía.
Al registrar a los clientes, se les proporciona una tarjeta que permite, el acceso a la habitación y el pago de los consumos con cargo a cuenta de cada cliente.
A la hora de consumir, los clientes facilitan la tarjeta al empleado que cobra, quien, comprueba la fotografía del pasaporte, para verificar la identidad y así evitar el uso fraudulento de la tarjeta por parte de terceros e impedir causar un grave perjuicio, económico. En este caso, sólo puede ver la fotografía el empleado que cobra, en la tablet.
Asimismo, esos mismos datos se utilizan también para generar las correspondientes facturas, en cuyo caso accede sólo el personal administrativo de contabilidad.
El hotel indica que no hay instrucciones específicas de las Fuerzas y Cuerpos de Seguridad del Estado sobre el copiado del citado documento, salvo las relativas al envío telemático de la información, y que la normativa aplicable para la identificación de los clientes en el proceso de registro o alta en el hotel es la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana y Orden INT/1922/2003 de 3 de julio.
- COOPERACIÓN ENTRE AUTORIDADES
Partimos de la base de que el caso examinado está motivado por una reclamación de carácter transfronterizo formulada ante la autoridad de protección de datos de Países Bajos (Autoreit Persoonsgegevens -AP), contra el establecimiento hotelero, cuya sede está en España. Dicha sede es el establecimiento principal de la entidad, en el sentido de la definición del artículo 4.16 del Reglamento General Europeo de Protección de Datos (RGPD); por lo que, conforme a lo dispuesto en el artículo 56.1 del RGPD, la AEPD es la competente para actuar como autoridad de control principal y, actúa en calidad de “autoridad interesada”, la autoridad de protección de datos personales de Países Bajos.
- Artículo 56.1 “Sin perjuicio de lo dispuesto en el artículo 55, la autoridad de control del establecimiento principal o del único establecimiento del responsable o del encargado del tratamiento será competente para actuar como autoridad de control principal para el tratamiento transfronterizo realizado por parte de dicho responsable o encargado con arreglo al procedimiento establecido en el artículo 60”.
- Artículo 60.1 La autoridad de control principal cooperará con las demás autoridades de control interesadas de acuerdo con el presente artículo, esforzándose por llegar a un consenso. La autoridad de control principal y las autoridades de control interesadas se intercambiarán toda información pertinente.
- Artículo 60.3 “La autoridad de control principal transmitirá sin dilación un proyecto de decisión a las demás autoridades de control interesadas para obtener su dictamen al respecto y tendrá debidamente en cuenta sus puntos de vista.”
Por consiguiente, la AEPD es la competente para adoptar las decisiones concebidas para producir efectos jurídicos, ya sea la imposición de medidas que garanticen el cumplimiento de las normas o la imposición de multas administrativas. No obstante, está igualmente obligada a implicar y coordinar a las autoridades de control interesadas en el proceso de toma de decisiones y tener en cuenta su opinión.
En concreto, las autoridades de control interesadas disponen de un plazo de cuatro semanas para formular objeciones motivadas acerca del proyecto de decisión, entendiéndose que existe acuerdo si ninguna autoridad presenta objeciones.
En el presente caso, la AEPD estimó inicialmente que no existían indicios de infracción, y, una vez analizadas las objeciones planteadas por la autoridad de control interesada, se pusieron de manifiesto algunas circunstancias que no habían sido suficientemente valoradas en el Proyecto de archivo de actuaciones, por lo que, se dictó un Proyecto de Decisión, mediante el que se sometía a la consideración del resto de autoridades de control interesadas (Draft decision).
La autoridad de protección de datos de Países Bajos formuló objeciones al citado Proyecto y, esforzándose por llegar a un consenso, se siguió el procedimiento previsto en artículo 60.5 RGPD, en lugar de acudir al mecanismo de coherencia contemplado en el artículo 63 del RGPD.
La adopción de este Proyecto de acuerdo de inicio de procedimiento sancionador está prevista también en el artículo 64.2 y 64.3 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), estableciéndose la obligación de dar conocimiento formal al interesado.
En consecuencia, la AEPD acordó iniciar el presente procedimiento sancionador, de acuerdo con los argumentos y las imputaciones contenidas en el Proyecto de Decisión Revisado.
2. LICITUD DEL TRATAMIENTO DE LOS DATOS
Para resolver esta cuestión, la AEPD ha tenido en cuenta lo expresado en los Considerandos 40 a 45 y 47 del RGPD en relación con lo establecido en los artículos 6 y 7 del RGPD.
Según las actuaciones realizadas y los hechos probados, se constató por parte de la AEPD que:
- El proceso de escaneo al que se somete el documento identificativo de los clientes al realizar el check in, no tiene por objeto obtener la imagen digital de todo el documento, sino que se realiza utilizando un programa informático de reconocimiento óptico de caracteres (OCR) que identifica automáticamente los caracteres de un determinado alfabeto y los almacena en forma de datos, convirtiendo la imagen en texto.
- Consta acreditado que, mediante este proceso, la entidad recaba los datos identificativos de sus clientes y que son remitidos a las Fuerzas y Cuerpos de Seguridad del Estado en cumplimiento de la normativa de seguridad ciudadana y utilizados para la gestión hotelera.
- Los datos recabados, salvo la fotografía, resultan necesarios para la ejecución del contrato en el que el interesado es parte y para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. Por tanto, el tratamiento de estos datos queda amparado por lo establecido en el artículo 6.1 b) y c), del RGPD.
En concreto, tal y como indicaba el propio hotel, la normativa que regula los libros-registros y partes de entrada de viajeros en establecimientos de hostelería, así como la obligación de comunicar la información contenida en las hojas-registro a las dependencias policiales, está constituida, básicamente, por la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana, y la Orden INT/1922/2003, de 3 de julio, sobre libros-registro y partes de entrada de viajeros en establecimientos de hostelería y otros análogos (ver normativa aplicable aquí).
Cabe centrarse entonces, en la recogida y utilización de las fotografías de los clientes.
Sobre esta cuestión, lo primero a destacar es que la información facilitada a los clientes no incluía detalle sobre la recogida y utilización de la fotografía. De hecho, ni siquiera este tratamiento de datos figura en el Registro de Actividades de Tratamiento.
- La recogida y utilización de las fotografías de los clientes no quedan amparadas por las bases jurídicas anteriormente indicadas (ejecución del contrato y cumplimiento de una obligación legal).
¿Existe alguna otra base legitimadora en la que podamos amparar el tratamiento de la fotografía?
- ¿Interés legítimo?
La entidad reclamada, considera que este tratamiento está amparado por lo dispuesto en el artículo 6.1.f) del RGPD, ya que existe un interés legítimo en cobrar al verdadero usuario del servicio, evitando la utilización de las tarjetas de forma fraudulenta y que se carguen en las cuentas de los clientes, posibles consumos efectuados por terceros.
Al respecto, el Considerando 47 del RGPD precisa el contenido y alcance del interés legítimo como base legitimadora del tratamiento que:
- el interés legítimo prevalezca sobre los intereses o derechos y libertades fundamentales del titular de los datos, a la vista de las expectativas razonables que éste tenga, fundadas en la relación que mantiene con el responsable.
- se efectúe una evaluación meticulosa de los derechos e interés en juego, también en aquellos supuestos en los que el interesado pueda prever en el momento y en el contexto de la recogida de datos, que pueda producirse el tratamiento con tal fin.
- los intereses y derechos fundamentales del interesado podrían prevalecer frente a los intereses legítimos del responsable cuando el tratamiento de los datos se efectúe en circunstancias tales en las que el interesado no espere razonablemente que se lleve a cabo un tratamiento ulterior de sus datos personales.
La AEPD considera que la entidad, no ha justificado este interés legítimo, no consta ni tan siquiera que se haya realizado esa prueba de ponderación y haya informado debidamente al reclamante sobre esta base legitimadora. De hecho, recalca que cualquier sopesamiento que realice el responsable sin tener en cuenta las circunstancias que pudiera alegar el interesado, estaría viciado, por ser un acto contrario a una norma imperativa.
Además, esto hay que interpretarlo de conformidad con lo establecido en el artículo 5.1.c) RGPD, en relación con el principio de minimización de datos, entendiendo que los datos serán “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”. Por lo que, deberán preferirse siempre medios menos invasivos para servir a un mismo fin.
En este caso, existen otras formas menos intrusivas para verificar si el titular de la tarjeta es el legítimo titular de esta en el momento del pago y, así, evitar que dichas tarjetas se utilicen de forma fraudulenta.
- ¿Consentimiento?
Tampoco existen evidencias sobre la prestación de un consentimiento válido por parte de los clientes del hotel que ampare los tratamientos de datos personales que el responsable del tratamiento lleva a cabo con la fotografía de dichos clientes.
La entidad ni ha informado sobre esta utilización de la fotografía, ni ha establecido ningún mecanismo para que los clientes puedan consentir esta utilización mediante un acto afirmativo separado para estas concretas operaciones de tratamiento, las cuales tampoco constan recogidas en el Registro de Actividades de Tratamiento.
En consecuencia, los citados hechos suponen una vulneración de lo dispuesto en el artículo 6 del RGPD, y para este caso resulta irrelevante tanto si el reclamante se opuso o no a la entrega de su pasaporte en el momento del registro, como quien visualizara la fotografía. Lo relevante es que el tratamiento que se realiza conlleva el registro de la fotografía en los sistemas, y las circunstancias en que dicho registro se lleva a cabo.
En definitiva, se entiende que la recogida y utilización de la fotografía de los clientes supone un tratamiento de datos personales excesivo y se incumple lo establecido en el artículo 6 del RGPD. En este sentido, cabe advertir que siempre se ha de atender al caso concreto del tratamiento que se está llevando a cabo. Por poner un ejemplo, no hace mucho analizamos cómo la AEPD avalaba que la policía fotografiara el DNI en pandemia para identificar a las personas. (ver aquí)
3. SANCIÓN
A fin de determinar la multa administrativa a imponer, la AEPD ha observado las siguientes circunstancias agravantes y atenuantes:
- AGRAVANTES:
En base al artículo 83.2.a) del RGPD, se tendrá en cuenta “la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido”.
- Duración: la recogida de datos personales se ha venido produciendo, al menos, desde la fecha de entrada en el hotel del reclamante, y se mantiene en la actualidad.
- Número de interesados: la infracción afecta a todos los clientes.
- Naturaleza: los perjuicios causados a las personas interesadas, que han visto incrementado el riesgo en su privacidad.
En base al artículo 83.2.b) del RGPD: “la intencionalidad o negligencia en la infracción». El procedimiento de recogida supone, la pérdida de la disposición y control sobre los datos, ya que ni siquiera conocen que esa recogida incluye la fotografía; máxime, en este caso que, se trata de una entidad que realiza tratamientos de datos personales de sus clientes de manera sistemática y continua, y que, en consecuencia, debería extremar el cuidado en el cumplimiento de sus obligaciones en materia de protección de datos.
Por otra parte, si bien no se han visto afectadas “categorías especiales de datos”, no significa que los datos sustraídos no fueran de naturaleza sensible, ya que el dato personal afectado (la fotografía) tiene una naturaleza especialmente sensible, al permitir la pronta identificación de los interesados y aumenta los riesgos sobre su privacidad, especialmente cuando se registra asociado a todos los datos que constan en el documento de identidad del titular, como ocurre en este caso.
- ATENUANTES
En base al artículo 83.2.k) del RGPD, se tendrá también en cuenta “cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción”.
Aunque como hemos dicho, la AEPD considera excesiva la recogida del dato personal relativo a la fotografía del cliente y la utilización posterior que se realiza de la misma, ha tenido a su vez en cuenta la finalidad pretendida de evitar fraudes en los consumos de servicios, y que no se ha acreditado otro uso distinto.
Por todo lo expuesto, la AEPD ha decidido sancionar a la entidad con 30.000 euros de multa y, emplaza al hotel para que, por un lado, cese en la recogida y tratamiento de la fotografía de los clientes, y por otro, proceda a la supresión de todas las fotografías recabadas.
Para finalizar, cabe hacer una breve referencia al nuevo el Real Decreto 933/2021, de 26 de octubre, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor, por la analogía que existe en relación a la normativa a la que nos hemos venido refiriendo a lo largo del artículo.
Las cuestiones más relevantes que trae consigo este RD son las siguientes:
- Las personas titulares de las actividades de hospedaje y de alquiler de vehículos incluidos en el ámbito de aplicación de esta norma recogerán los datos de las personas usuarias de las mismas con el objeto de proceder a su registro y a la comunicación necesarias para el cumplimiento de las obligaciones legales.
- Los sujetos obligados habrán de llevar un registro informático en el que consten los datos, en función de la actividad que desarrollen, incluidos, los datos de las personas menores de catorce años.
- Los sujetos obligados deberán registrar y conservar aquellos datos de sus usuarios, que recaben en el ejercicio de su actividad, en los términos que se determinen.
- Los datos del registro informático deberán conservarse durante un plazo de tres años a contar desde la finalización del servicio o prestación contratada.
- Con carácter previo al inicio de la actividad y conforme al procedimiento que se establezca, los sujetos obligados deberán comunicar a las autoridades competentes los datos, según la actividad de que se trate.