Un hotel español de la empresa Suneris S.A. ha sido sancionado con una multa de más de 5.000 euros por la Agencia Española de Protección de Datos (AEPD) tras la reclamación de un cliente. Según consta en el expediente, al llegar al hotel se reclamó al cliente el DNI para escanarlo , algo que este rechazó y desde el alojamiento se copiaron sus datos utilizando el ordenador del hotel. «Asimismo, señala que, durante su estancia el personal del hotel olvidó en su habitación una tarjeta maestra que permitía el acceso a todas las habitaciones», se expone en la reclamación. La Agencia de Protección de Datos constató que la empresa realiza un tratamiento de datos personales como la recogida y la comunicación de datos personales de personas físicas como, por ejemplo, el número del DNI y todos los datos asociados a este documento. «La fotocopia de su DNI (en sus dos caras), supone un tratamiento de datos personales de personas físicas», determina la AEPD, que insiste en que cualquier información referida a personas físicas tiene consideración de dato personal y su tratamiento está condicionado a la normativa de protección de datos. Los datos de los huéspedes deben ser incorporados en la 'hoja-registro' para trasladarla a los Cuerpos y Fuerzas de Seguridad del Estado. Sin embargo, recogerlos de forma excesiva supone un incumplimiento de la norma . Así, la AEPD subraya, tras estudiar esta demanda que «la obligación de comprobar la exactitud de los datos personales de los huéspedes, prevista en el artículo 4.3 del RD 933/2021, debe cumplirse sin necesidad de solicitar la entrega de copia o imagen del documento de identidad y mucho menos mediante el escaneo de este, pues existen otras alternativas». De esta manera, esta práctica supone el tratamiento de datos personales que excede lo exigido por la norma ya que incluye cuestiones como la foto del viajero o el número del equipo de expedición del DNI. Suneris S.A. alegó que el documento se escanea para enviarlo a los autoridades del Estado, pero la AEPD estima que no es necesario registrar ni comunicar todos los datos que aparecen en el documento. Simplemente basta con trasladar el nombre y apellidos, número de identificación, número de soporte, tipo de documento, nacionalidad o fecha de nacimiento . Por ello, considera que el escaneo del DNI para este fin no se justifica. De hecho, afirma que para comprobar la autenticación de los datos «podría bastar con comprobar visualmente la correspondencia entre los datos facilitados y el documento de identidad exhibido» o por mecanismos de certificados digitales o viendo que la información concuerda con los datos asociados al medio de pago. Por ello, la AEPD impuso una multa de 9.000 euros pero con el pronto pago, algo que cumplió la empresa, y con el reconocimiento de vulneración de datos la sanción quedó finalmente en 5.400 euros . El pasado mes de junio, la AEPD remitió una nota informativa tanto a Interior como a las empresas que prestan servicios de hospedaje recordando que la recogida de determinados datos de los huéspedes es obligatoria, pero no autoriza a solicitar una copia del DNI del cliente porque este documento incluye más información de la necesaria . «El DNI no incluye la totalidad de la información solicitada en el Real Decreto 933/2021 por lo que, por sí solo, no es un recurso válido para poder cumplir con la norma. Además, el envío de una copia del documento no permite verificar con certeza la identidad de la persona que lo remite», destaca la agencia en su nota informativa.
