Comunicado sobre el registro de datos de ciudadanos por parte de alojamientos turísticos
(23 de marzo de 2022). En relación con las informaciones hechas públicas sobre la sanción impuesta a un establecimiento hotelero por registrar los datos de la identificación de un ciudadano, la Agencia Española de Protección de Datos (AEPD) quiere realizar las siguientes aclaraciones:
- Los alojamientos turísticos deben registrar datos de los documentos de identificación de sus clientes para cumplir las normas españolas sobre registros de viajeros y comunicarlos a las Fuerzas y Cuerpos de Seguridad del Estado en cumplimiento de la normativa de seguridad ciudadana. El artículo 24 de la Ley Orgánica 4/2015 dispone en su apartado primero lo siguiente: “Las personas físicas o jurídicas que ejerzan actividades relevantes para la seguridad ciudadana, como las de hospedaje… quedarán sujetas a las obligaciones de registro documental e información en los términos que establezcan las disposiciones aplicables”. Esta norma legitima la recogida de los datos personales relativos a número de documento de identidad, tipo de documento y fecha de expedición, nombre y apellidos, sexo, fecha de nacimiento y país de nacionalidad, fecha de entrada y firma del viajero; los cuales deben incorporarse a la información que la entidad responsable del hotel debe trasladar a las Fuerzas y Cuerpos de Seguridad del Estado.
No obstante, tal y como resulta de los hechos probados y consideraciones de la resolución administrativa:
- La resolución de AEPD recoge que el establecimiento hotelero sancionado también recogía y utilizaba las fotografías de los clientes para el control de acceso y la facturación de sus consumos durante su estancia. La información en materia de protección de datos personales que la entidad facilitaba a los clientes no incluía ningún detalle sobre la recogida y utilización de la fotografía, por lo que los clientes las desconocían. Tampoco se recogía este tratamiento en su Registro de Actividades de Tratamiento.
- El procedimiento que seguía el establecimiento era el siguiente: cuando el cliente se registraba, se le proporciona una tarjeta magnética que le permitía, además del acceso a la habitación, el pago de los consumos con cargo a su cuenta. En el momento de realizar un consumo, el cliente facilitaba esa tarjeta al empleado, quien, al pasarla por su dispositivo, tenía acceso a la fotografía. La recogida y utilización de esas fotografías no están amparadas por las bases jurídicas de ejecución del contrato o cumplimiento de una obligación legal.
- Los datos recabados por el establecimiento resultan necesarios para la ejecución del contrato en el que el interesado es parte y para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. No ocurre así en el caso de la recogida y utilización de la fotografía, lo que supone un tratamiento de datos personales innecesario y desproporcionado.
- La AEPD ha requerido al establecimiento que cese en la recogida y tratamiento de la fotografía de sus clientes o, en caso contrario, adecúe la información en materia de protección de datos que ofrece a los clientes, especialmente la relativa a la recogida y utilización de la fotografía y la base jurídica que fundamenta el tratamiento, estableciendo mecanismos que permitan acreditar que se le facilita dicha información a los clientes, y adecuar sus operaciones de tratamiento. Asimismo, deberá corregir los efectos de la infracción cometida, lo que conlleva la supresión de todas las fotografías recogidas de los clientes hasta el momento.