La AEPD sanciona a un hotel por escanear el pasaporte de un cliente, incluyendo su foto, sin contar con una base de legitimación para ello

Comparte

La Agencia Española de Protección de Datos (AEPD) impone una sanción de 30.000 euros a un hotel por haber escaneado el pasaporte íntegro de un cliente, tratando en consecuencia su imagen, sin contar con una base de legitimación para dicho tratamiento.

Ante la reclamación, el hotel justifica el tratamiento de los datos en base a un interés legítimo: la identificación correcta del cliente al que se le realiza el cobro por los servicios, reduciendo la posibilidad de actividades fraudulentas. 

La AEPD, en cambio, rechaza el interés legítimo del hotel como base de legitimación adecuada al caso concreto, así como tampoco para así comunicar la información contenida en las hojas-registro a las dependencias policiales. Y no solo eso, sino que pone énfasis en el hecho de que, aunque se considerara el interés legítimo aplicable en este caso, el tratamiento hubiera sido igualmente ilícito por no haber llevado a cabo el hotel de forma previa un análisis sobre la proporcionalidad del interés en relación con los riesgos generados, así como por no haber proporcionado al interesado la información mínima establecida en el RGPD.

La autoridad de control española va más allá del caso concreto y aprovecha la resolución para examinar cómo debería ser aplicado el interés legítimo como base de legitimación para que el tratamiento fuera lícito: necesidad de un interés real, proporcionalidad del tratamiento y coherencia para la satisfacción del fin, consideración de los riesgos derivados del tratamiento para los interesados, examen de alternativas menos intrusivas y garantías para asegurar la posibilidad de oposición por parte del interesado.

Leer más

Posts relacionados que podrían interesarte

2, noviembre 2022

La INTERPOL anuncia su propio metaverso

27, mayo 2021

El Gobierno aprueba el Plan de Choque de Ciberseguridad

13, febrero 2025

La autoridad de protección de datos neerlandesa publica unas guías para la alfabetización en materia de IA

7, noviembre 2024

Posible incorporación de Temu al grupo europeo anti-falsificación

22, mayo 2019

El registro de jornada laboral y la protección de datos personales.

20, marzo 2025

El euro digital (CBDC)