Hace unas semanas veíamos la noticia de la sanción de 30.000 euros por parte de la Agencia Española de Protección de Datos (AEPD) contra un hotel por considerar la comisión de una infracción al Reglamento General de Protección de Datos (RGPD) al escanear el documento de identidad de los clientes.
En relación a dicha resolución y en respuesta a la inquietud que ha originado, la AEPD ha emitido un comunicado en el que analiza la situación y hace pública su opinión sobre la legalidad del caso.
El escaneado del documento de identidad implica el tratamiento de los datos identificativos de los clientes, así como su imagen.
Las finalidades para las cuales se llevaba a cabo este procedimiento eran, por un lado, para llevar a cabo el registro de viajeros (obligación impuesta a los establecimiento hoteleros por la Ley Orgánica de alojamientos turísticos) y, por otro, para controlar el consumo de los clientes en el hotel a través de la entrega de una tarjeta magnética a través de la cual podían cargar productos y servicios a su cuenta.
Si bien el tratamiento de los datos identificativos de los usuarios está justificado en base ser necesario para el cumplimiento de la relación contractual de los clientes, no ocurre lo mismo para el tratamiento de su imagen que, según la AEPD, resulta innecesario y desproporcionado en relación con la finalidad perseguida, y carece de base de legitimación en base a lo establecido en el RGPD.
Además de lo anterior, la autoridad de control española resalta el hecho de que, en el momento de la recogida de datos, no se informaba de ninguna forma a los clientes sobre el tratamiento de sus datos, ni tampoco constaba la información relativa al tratamiento de la imagen en el Registro de Actividades de Tratamiento del establecimiento.