Unos breves comentarios sobre la resolución PS/00150/2021 de la Agencia, que se puede consultar aquí.
El reclamante realiza una reserva de un apartamento y hace el check-in la noche del 6 de junio de 2020.
Tras haber abandonado el establecimiento, el día 17 tiene conocimiento de que su DNI y sus datos personales están siendo utilizados en una web de contenido adulto, y procede a interponer denuncia ante la Policía y reclamación ante la AEPD contra el titular del establecimiento hotelero.
El aparthotel está situado en un bloque de apartamentos y explotado por una cadena hotelera, que a su vez tiene subcontratados algunos servicios con la comunidad de propietarios, y esta a su vez con sus propios proveedores.
El titular del establecimiento indica que el check-in se hizo en horario de noche, que la recepción en ese momento estaba cerrada y que le atendió la recepción de la comunidad de vecinos , que a su vez tiene subcontratado el servicio de conserjería con una tercera empresa. Que el establecimiento hotelero no tiene conocimiento de nada.
Una respuesta vaga e imprecisa, creo. No da detalles sobre como es el proceso, cómo se tratan los DNIs escaneados, que acuerdos de encargo de tratamiento tiene con terceros, etc.
Se dirige requerimiento informativo con esta tercera empresa, que de la mano de su DPD, saca toda la artillería:
- Contrato de encargado de tratamiento con su cliente (y responsable de tratamiento): la comunidad de propietarios.
- Actuaciones con los empleados: clausulas de confidencialidad y secreto profesional
- Política de privacidad y protocolo de actuación
- DPD externo y revisiones anuales de su protocolo de privacidad durante los últimos 4 años.
Asimismo, aporta información complementaria acreditando razonablemente que ellos nunca escanean los DNIs de los propietarios, limitándose a dar las llaves.
La AEPD a continuación solicita información complementaria a la reclamante (datos de las actuaciones judiciales, cuando se escaneó su DNI, etc.) sin respuesta, procediendo al archivo de las actuaciones.
En resumen, tenemos la diferencia entre el establecimiento hotelero (que no parece tener nada implantado en condiciones y se ha librado de un procedimiento sancionador sólo porque la reclamante no contestó al requerimiento de la AEPD) y el proveedor de servicios de conserjería, con todos sus contratos actualizados, protocolos, revisiones, etc.
¿La diferencia? Contaban con un DPD y consultor externo.