La Agencia Española de Protección de Datos ha sancionado a un hotel, tras la puesta en conocimiento de los hechos por parte de la Policía Local del Ayuntamiento del municipio en el que radica el establecimiento, tras la denuncia de unos viajeros que tuvieron una serie de problemas para alojarse, y a los que el establecimiento no les facilitó hojas de reclamaciones por lo que llamaron a la policía. Tras ese acontecimiento, sos se llevó a cabo una inspección por parte de los Agentes que pudieron comprobar que, a la hora de hacer el “check-in” escaneaban los DNI de los huéspedes, y, además, no cumplían con la normativa vigente en relación a la obligación que tienen, como hotel, de comunicar los datos de las personas que se alojan en el establecimiento hotelero a las fuerzas y cuerpos de seguridad del Estado, en virtud del art. 25.1 de la LO 4/2015:
“Las personas físicas o jurídicas que ejerzan actividades relevantes para la seguridad ciudadana, como las de hospedaje, transporte de personas, acceso comercial a servicios telefónicos o telemáticos de uso público mediante establecimientos abiertos al público, comercio o reparación de objetos usados, alquiler o desguace de vehículos de motor, compraventa de joyas y metales, ya sean preciosos o no, objetos u obras de arte, cerrajería de seguridad, centros gestores de residuos metálicos, establecimientos de comercio al por mayor de chatarra o productos de desecho, o de venta de productos químicos peligrosos a particulares, quedarán sujetas a las obligaciones de registro documental e información en los términos que establezcan las disposiciones aplicables.”
Por otro lado, la Orden INT/1922/2003, de 3 de julio, sobre libros-registro y partes de entrada de viajeros en establecimientos de hostelería y otros análogos incluye un Anexo llamado “Modelo de parte de entrada de viajeros”, y entre los datos de los huéspedes que se deben recoger, figuran:
“núm. de documento de identidad, tipo de documento, fecha expedición del documento, primer apellido, segundo apellido, nombre, sexo, fecha de nacimiento, país de nacionalidad, fecha de entrada”
Por todo ello, la Agencia ha concluido que escanear el DNI y conservar la copia del documento de identificación no es un tratamiento necesario para realizar el registro en un hotel, por lo que se incumple la Ley Orgánica 4/2015, al vulnerar el artículo 5.1.c) RGPD, ya que no se trata de datos necesarios para el tratamiento que se realiza, es excesivo dado que no son necesarios para la finalidad a la que se destina.
Esta infracción podría acarrear cualquiera de las sanciones del art. 83.5 RGPD:
“Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20000000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: “a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los arts. 5, 6, 7 9”
Si bien, dadas las circunstancias del caso, la AEPD ha sancionado al hotel con dos mil euros (2.000,00 euros), y le ha impuesto una medida correctora, para que, en el plazo de un mes, establezca las medidas oportunas para adecuar la gestión del registro de clientes en el establecimiento hotelero a lo estipulado en el artículo 5.1.c) del RGPD, y una vez llevado a cabo, informe a la Agencia Española de Protección de Datos.
En definitiva, para hacer el "ckeck-in" en un hotel, hostal, apartotel no es necesario escanear ni fotocopiar el DNI, basta con recopilar los datos que prevé la Orden INT/1922/2003, de 3 de julio.
Puede leer la resolución del expediente N.º: EXP202309109 (PS/00331/2023) aquí.