Recoger la imagen del documento para verificar la identidad del cliente, con el fin de evitar el uso fraudulento de la tarjeta del hotel, es considerado por la Agencia Española de Protección de Datos (AEPD), una sanción muy grave.
Los establecimientos hoteleros conforme al art. 25 de la Ley de protección de seguridad ciudadana, tienen la legitimidad de obtener del cliente los datos personales necesarios para la ejecución de un contrato.
En la resolución de la AEPD podemos leer como la empresa, Responsable del tratamiento, recoge el dato personal de la “imagen” del documento aportado por el cliente, sin consentimiento y conocimiento del interesado, basado en su interés legítimo. Dicha base de legitimadora es válida, pero, sin embargo, la Agencia entiende que en este supuesto no se cumplen los principios de licitud e interés concreto y real. Ya que considera que el tratamiento de la imagen del documento del usuario no cumple el principio de minimización de datos, señalado en el art. 5.1.c) del RGPD, por no ser “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”.
En conclusión, y dejando claro que siempre es más fácil cumplir en material de privacidad una vez estudiadas las resoluciones de la Agencia, entendemos, que en esta ocasión para que el tratamiento pudiese haberse considerarse adecuado, la empresa en el proceso del check-in, debería haber obtenido el consentimiento del cliente para el tratamiento de la imagen y, en caso contrario, informarle de que en cada uso de la tarjeta del hotel se le requerirá su identificación a través de su documento de identidad.
Aquí dejamos un ejemplo del consentimiento que el Responsable debería obtener del cliente, así como la regulación que afecta.
- El consentimiento del interesado (artículo 6.1.a del GDPR), para la obtención de la imagen del documento de identidad, con la finalidad de mostrar la imagen en el TPV de pago para identificar al cliente como usuario de la pulsera y en caso de negativa del interesado requerir la identificación a través de un documento identificativo.
- Siendo el plazo de la conservación, exclusivamente el tiempo en que el usuario permanezca alojado en el hotel, siendo la misma posteriormente destruida. Y que salvo, obligación legal, no se comunicará el dato a terceros.
- Por último, en el documento de consentimiento se le avisaría de cuales son los derechos que le asisten como interesado y el contacto del Responsable, para poder ejercerlos.
Normativa aplicable: Reglamento (UE) 2016/679 (GDPR), la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD) y la Ley 1/1982 de protección civil, derecho al honor, intimidad personal y familiar y a la propia imagen.
Te dejamos el enlace de resolución:
https://www.aepd.es/es/documento/ps-00078-2021.pdf
Contacto: info[arroba] tecnogados.com