Por Luis Ferrer Abogado – www.luisferrer.abogado
Introducción
Un reciente caso ha puesto de manifiesto los límites entre la obligación legal de identificación de huéspedes y la protección de los datos personales. Un hotel de cuatro estrellas ha sido sancionado con más de 5.000 euros por la Agencia Española de Protección de Datos (AEPD) por exigir a un cliente el escaneo de su Documento Nacional de Identidad (DNI) como condición para alojarse. Esta resolución reafirma que las obligaciones legales de los establecimientos no pueden justificar tratamientos de datos que vulneren la normativa de protección.
Los Hechos
El incidente se produjo cuando un cliente, al realizar el registro de entrada en el hotel, fue informado de que era obligatorio permitir el escaneo de su DNI. Al negarse, el hotel le comunicó que no podría alojarse. Ante esta exigencia, el afectado presentó una denuncia ante la AEPD.
La investigación reveló que el hotel no ofrecía alternativas al escaneo ni solicitaba el consentimiento expreso del cliente, alegando que necesitaba almacenar digitalmente una copia del documento para cumplir con las obligaciones impuestas por la normativa de seguridad ciudadana.
Resolución de la AEPD
La Agencia concluyó que el tratamiento de los datos mediante el escaneo del DNI era excesivo e innecesario para el fin perseguido. La normativa en materia de seguridad obliga a los hoteles a identificar a sus huéspedes y remitir los datos a las Fuerzas y Cuerpos de Seguridad del Estado, pero no exige conservar una copia escaneada del documento.
Por tanto, el escaneo sin consentimiento expreso, y sin base legal suficiente, supuso una infracción del artículo 5.1.c) del Reglamento General de Protección de Datos (RGPD), que consagra el principio de minimización de datos: solo pueden tratarse los datos estrictamente necesarios para la finalidad perseguida.
Importancia del Consentimiento y del Cumplimiento Proporcional
La resolución refuerza la idea de que incluso en contextos donde existe una obligación legal de tratamiento de datos (como el registro de huéspedes), las empresas deben limitar dicho tratamiento a lo estrictamente necesario. La recopilación de información adicional o de manera automatizada (como el escaneo o almacenamiento digital de documentos) requiere una base jurídica sólida o el consentimiento del interesado.
Exigir el escaneo como única vía de registro vulnera los derechos de los clientes y puede conllevar sanciones importantes.
Conclusión
Este caso es una llamada de atención para el sector hotelero y otras empresas que manejan datos personales. Cumplir con la normativa de seguridad no exime del respeto a los principios del RGPD. Desde Luis Ferrer Abogado recomendamos revisar los protocolos internos de recogida de datos en establecimientos turísticos y aplicar siempre el criterio de proporcionalidad y legalidad en el tratamiento de datos personales.
📍 Si tienes dudas sobre la legalidad de las prácticas de tu empresa en materia de protección de datos o has sido objeto de un tratamiento indebido de tus datos personales, contacta con nosotros en www.luisferrer.abogado.