La Agencia Española de Protección de Datos (AEPD) impone una sanción de 30.000 euros a un hotel por haber escaneado el pasaporte íntegro de un cliente, tratando en consecuencia su imagen, sin contar con una base de legitimación para dicho tratamiento.
Ante la reclamación, el hotel justifica el tratamiento de los datos en base a un interés legítimo: la identificación correcta del cliente al que se le realiza el cobro por los servicios, reduciendo la posibilidad de actividades fraudulentas.
La AEPD, en cambio, rechaza el interés legítimo del hotel como base de legitimación adecuada al caso concreto, así como tampoco para así comunicar la información contenida en las hojas-registro a las dependencias policiales. Y no solo eso, sino que pone énfasis en el hecho de que, aunque se considerara el interés legítimo aplicable en este caso, el tratamiento hubiera sido igualmente ilícito por no haber llevado a cabo el hotel de forma previa un análisis sobre la proporcionalidad del interés en relación con los riesgos generados, así como por no haber proporcionado al interesado la información mínima establecida en el RGPD.
La autoridad de control española va más allá del caso concreto y aprovecha la resolución para examinar cómo debería ser aplicado el interés legítimo como base de legitimación para que el tratamiento fuera lícito: necesidad de un interés real, proporcionalidad del tratamiento y coherencia para la satisfacción del fin, consideración de los riesgos derivados del tratamiento para los interesados, examen de alternativas menos intrusivas y garantías para asegurar la posibilidad de oposición por parte del interesado.