Privacidad en la práctica hotelera

/ AEPD, General, Hoteles / Por
 

En los últimos días ha causado un considerable revuelo en prensa generalista y medios especializados hoteleros una información que alude, a la luz de una resolución sancionadora de la AEPD, a la posible incompatibilidad entre la información exigida por el Ministerio del Interior y la normativa sobre protección de datos personales.

Así, por ejemplo, podíamos leer aquí lo siguiente:

Guerra hotelera contra la agencia de protección de datos tras la multa de 30.000 euros a un hotel por escanear un DNI. Los hoteleros cargan contra la “inseguridad jurídica” y la “persecución” que sufren por las incoherencias entre lo solicitado por Interior y las normas de protección de datos personales.

Por otro lado, se cita el nuevo Real Decreto 933/2021, que entrará en vigor el 26 de abril y que endurece los requerimientos y obligaciones del sector respecto de la información a facilitar a las FCSE acerca de su clientela.

Vamos a detallar en este artículo por qué estas informaciones son incorrectas, qué ha resuelto realmente la Agencia, qué implica el nuevo Real Decreto y sobre todo qué medidas deberían tomar los establecimientos hoteleros para garantizar el pleno cumplimiento del RGPD y resto de normativa sobre Protección de Datos.


¿Qué ha resuelto realmente la Agencia?

La agencia ha dictado resolución en el procedimiento sancionador 78/2021, que puede consultarse aquí .

De forma muy resumida, un cliente denuncia al hotel como consecuencia de haber escaneado su pasaporte para cumplir con los procedimientos de seguridad ciudadana, así como para verificar su identidad y evitar fraudes en el cobro de servicios complementarios en las instalaciones del hotel.

La resolución de la Agencia admite expresamente la licitud del primer caso (captura de datos para el Ministerio del Interior) pero rechaza la validez del tratamiento de datos en el segundo (uso de la imagen para evitar fraude en el pago de servicios) y, en consecuencia, multa al hotel con 30.000 €.


¿Por qué son incorrectas esas afirmaciones?

Esencialmente por los siguientes motivos:

La resolución autoriza expresamente a solicitar los datos para el Ministerio del Interior.
  • El artículo 24 de la Ley Orgánica 4/2015 dispone: “Las personas físicas o jurídicas que ejerzan actividades relevantes para la seguridad ciudadana, como las de hospedaje (…) quedarán sujetas a las obligaciones de registro documental e información en los términos que establezcan las disposiciones aplicables”.
  • En consecuencia, al tratarse de una obligación legal en los términos del art. 6.1.c del RGPD está expresamente legitimada la recogida de datos personales relativos al documento de identidad, tipo de documento, fecha, nombre, sexo, dirección, fecha de nacimiento, etc. Así lo declara expresamente la AEPD. Ni la Agencia ni ningún otro regulador europeo ha negado jamás esta legitimación a ningún operador turístico. En ningún caso un hotel ha sido sancionado por este motivo ni existe ningún riesgo de sanción presente o futura (siempre y cuando, claro está, se cumplan el resto de principios y prescripciones del RGPD y la LOPDGDD).
Lo que realmente se sanciona es reaprovechar los datos para uso propio del hotel sin informar al cliente.
  • En el caso sancionado por la AEPD existía un segundo tratamiento: en el mismo acto de captura de datos para el Ministerio del Interior, el establecimiento hotelero escaneaba las fotografías de sus clientes con el fin de gestionar el control de acceso y el cobro de consumos durante la estancia.
  • Sin embargo, en la información de datos personales que el hotel facilitaba a sus clientes no se recogía en ningún momento este segundo tratamiento (que tampoco constaba en el RAT) por lo que los clientes lo desconocían, y únicamente eran conscientes cuando al hacer algún consumo y entregar su tarjeta magnética  veían que el camarero tenía acceso a su imagen personal.
  • En consecuencia, el hotel no cumplía con los requisitos mínimos para efectuar este segundo tratamiento con pleno respeto al RGPD. No se informaba al cliente, no existía consentimiento, tampoco existía ninguna de las otras causas de legitimación del artículo 6 del RGPD.
 Cuidado con el «agujero» del interés legítimo 
  • El hotel se defiende alegando interés legítimo en evitar el fraude por parte de clientes. Este extremo puede ser defendible, pero la Agencia entiende que es innecesario y desproporcionado, y que pueden existir otros mecanismos menos invasivos de la privacidad que pueden llevar al mismo resultado, como la firma de un ticket.
  • En cualquier caso, apoyarse en el interés legítimo no exime al hotel de informar a sus clientes de que se van a tratar sus datos con ese objetivo, de instruirles en sus derechos y de incluir esta información en el RAT.
  • En cualquier caso, apoyarse en el interés legítimo no exime al hotel de informar a sus clientes de que se van a tratar sus datos con ese objetivo, de instruirles en sus derechos y de incluir esta información en el RAT.

 

¿Qué implica el nuevo Real Decreto?

En contra de lo que se afirma, el Real Decreto (accesible aquí) no supone ningún cambio sustancial en lo relativo al cumplimiento normativo sobre Protección de Datos.

En el anexo 1 se regula la información que los titulares de establecimientos hoteleros y asimilados deben enviar al Ministerio de Interior. De esta forma, el hotel dispone de causa de legitimación expresa para tratar los datos personales de sus huéspedes. Respecto al resto de tratamientos, sigue en vigor lo que ya hemos indicado. No hay ningún cambio.  

Sí que se debe prestar atención a que el Real Decreto no solo se aplica a los titulares de establecimientos hoteleros profesionales, sino también aquellas personas no profesionales que puntualmente alquilen inmuebles de su propiedad. Por lo tanto, estas personas se convierten automáticamente en responsables de tratamiento respecto de los datos tratados propiedad de sus huéspedes, con todas las obligaciones legales recogidas tanto en el RGPD como en la LOPDGDD.

Por último, destacar que en el Decreto existen ciertos aspectos (no relacionados con la Privacidad) oscuros, pendientes de desarrollo o bien de difícil cumplimiento. Así, por ejemplo, se indica que se remitirá información del medio de pago utilizado por el huésped, pero en la mayoría de las ocasiones el establecimiento hotelero no dispondrá de esta información de medio de pago, porque el proveedor de servicios de pago la trata de forma confidencial.


Y sobre todo … ¿qué hacer?

El nuevo Real Decreto no supone un cambio sustancial en cuanto a las obligaciones de privacidad de los establecimientos hoteleros, aunque en ciertos casos pueda implicar la necesidad de tratar datos adicionales.

No obstante, es una estupenda ocasión para que los establecimientos afectados revisen en detalle sus procedimientos y se aseguren de estar cumpliendo los aspectos principales relacionados con la reglamentación sobre privacidad, de forma que puedan dar respuesta a aspectos como estos:

  • ¿Están todos mis tratamientos de datos reflejados correctamente en mi registro de actividades de tratamiento (RAT)?
  • ¿Aplico correctamente los principios reflejados en el RGPD (responsabilidad proactiva, minimización, privacidad por defecto y por diseño, etc.) en la implantación de herramientas y diseño de procesos relacionados con el tratamiento de datos personales?
  • ¿Cuento con al menos una causa de legitimación de las reflejadas en el art 6 RGPD para todos y cada 1 de mis tratamientos de datos personales?
  • ¿Solicito siempre que sea preciso el consentimiento a los titulares de los datos personales? ¿Puedo demostrar que lo he solicitado mediante las oportunas evidencias?
  • ¿En los casos en que la causa de legitimación no es el consentimiento, informo debidamente a los titulares de datos personales de los tratamientos que voy a efectuar?
  • ¿Tengo especial cuidado con el tratamiento de datos de menores de 14 años?
  • ¿Dispongo de las medidas de seguridad adecuadas en función de la tipología de datos tratados? ¿Las reviso regularmente?
  • ¿Tengo suscritos acuerdos de encargo de tratamiento con todos aquellos proveedores que me prestan servicios – tanto tecnológicos como subcontratados – y que pueden tener acceso, aunque sea puntual, a datos personales?
  • ¿Cumple mi web todas las exigencias tanto de la LSSI como del RGPD?
  • En el caso de realizar transferencias internacionales de datos, algo muy frecuente en cadenas trasnacionales  ¿cumplo todas las disposiciones legales al respecto, informó correctamente a los titulares de los datos y tengo la capacidad legal para hacerlo?
  • ¿Imparto periódicamente formación a todos mis empleados sobre privacidad y Protección de Datos personales?
 En todos ellos, en Acudata podemos ayudar a garantizar el pleno cumplimiento. Será un placer recibir vuestras consultas.