El hotel de cuatro estrellas Hotel & Spa Beverly Park ha sido multado con 5.400 euros por escanear el DNI de un cliente. La Agencia Española de Protección de Datos (AEPD) ha justificado su decisión argumentando que el escaneo del DNI "supone un tratamiento de datos personales que excede de los exigidos en el RD 933/2021?

La agencia ha detallado que, al digitalizar el documento completo, el establecimiento accede a información innecesaria, como "el rostro del viajero, el número de equipo de expedición o los nombres de los progenitores del viajero", lo que vulnera el principio de minimización de datos recogido en el artículo 5.1 del Reglamento General de Protección de Datos (RGPD), de aplicación obligatoria en toda la Unión Europea.

Según una información del medio ElConfilegal, el cliente denunciante no permitió al establecimiento la digitalización de su documento completo, por lo que el establecimiento optó por copiar manualmente los datos utilizando el ordenador del hotel. En este proceso, se recogió información como el número y tipo de documento, fecha de expedición, apellidos, nombre, sexo, fecha de nacimiento y domicilio, entre otros.

Expertos aplauden la ley de protección digital del menor, pero advierten: "No sirve de nada un control parental si ellos mismos están todo el día pendientes del móvil"

Según la resolución, la sanción inicial ascendía a 9.000 euros, pero se han aplicado dos reducciones del 20% cada una: la primera, por el reconocimiento de responsabilidad por parte de la empresa, y la segunda, por el pago voluntario de la sanción. Así, la cantidad final ha quedado en los 5.400 euros.

Los datos estrictamente necesarios

En España, los hoteles están obligados a registrar a sus huéspedes y trasladar determinados datos a las Fuerzas y Cuerpos de Seguridad del Estado, conforme al Real Decreto 933/2021. Sin embargo, la normativa limita la cantidad de información que puede recabarse, con el objetivo de proteger la privacidad de los ciudadanos y evitar la recopilación indiscriminada de datos personales.

La AEPD considera que el escaneo íntegro del DNI implica acceder a datos que no son necesarios para cumplir con la obligación legal. Al almacenar esta información, los alojamientos estarían incrementando el riesgo de uso indebido o suplantación de identidad en caso de pérdida o filtración, lo que constituye una infracción del RGPD.

La AEPD insiste en que solicitar una copia del documento solo estaría justificado en situaciones excepcionales y debidamente fundamentadas en una obligación legal concreta. Con esto, el expediente sancionador concluyó que la actuación de Suneris S.A., propietaria del establecimiento, no puede justificarse, ya que la recogida de datos mediante el escaneo permite acceder a información personal cuya obtención no resulta ni preceptiva ni pertinente para el registro de viajeros. Por este motivo, la Agencia califica la conducta como contraria al principio de minimización de datos y confirma la infracción.

Fuente: Infobae