Sancionada con 75.000 euros una empresa de alquiler turístico que pidió innecesariamente una imagen del DNI

La Agencia Española de Protección de Datos ha impuesto una sanción de 75.000 euros a una empresa de gestión de alquileres turísticos por excederse en el uso de datos personales, reclamando algunos innecesarios, y por carecer de una política de privacidad que se adapte a lo establecido en el Reglamento General de Protección de Datos (RGPD).

La reclamante reservó un apartamento a través de internet para pasar unos días en Barcelona con su familia. Para que les fueran entregadas las llaves, se les obligaba a hacer el “check in” online. Allí les pedían rellenar un extenso formulario, la dirección postal, el teléfono, un correo electrónico, el DNI fotografiado por ambas caras y según la familia, les exigieron selfies, imágenes de sus caras, aunque este último dato no se pudo dar por probado finalmente. La empresa aseguraba en la comunicación en la que reclamaba los datos que estos no se transferirían a terceros, excepto en los casos en los que se realizase una reserva o tuviesen que cumplir con una obligación legal. Instaban al usuario que se registraba a enviar un correo en caso de que no desease recibir ofertas publicitarias, no dando opción para denegar directamente el envío de las ofertas. 

Cuando la ahora reclamante se puso en contacto con la empresa para preguntar qué datos se conservaban de su familia y quejarse porque consideraba que se pedían excesivos datos y no se informaba de su tratamiento con una mínima precisión; la intermediaria respondió que solo disponía de los datos que la mujer había proporcionado a Airbnb, la plataforma a través de la que habían contactado. El resto de datos, según la empresa habían sido recopilados porque, en Cataluña, resulta obligatorio hacer llegar a la policía los datos de los viajeros. Indicaba la empresa, Marketing Accomodation Solutions que el check in se había hecho online para evitar que los datos pasaran por mano y pudieran extraviarse. Aseguraban igualmente que, una vez transferidos los datos a la policía, ellos los hacían desaparecer. “Nosotros no hemos cedido sus datos porque no los hemos tenido nunca ni los queremos. No enviamos ningún tipo de publicidad a los clientes ni hacemos campañas”, le respondieron.

La clienta interpuso una reclamación porque consideraba que los datos que había tenido que proporcionar eran excesivos, no le daban opción de no recibir publicidad y la respuesta que se había dado era muy genérica. La AEPD lo notificó a la parte reclamada, pero esta no presentó alegaciones ni pruebas en su defensa.

Aunque, en este caso, la empresa no está establecida en la Unión Europea, la oferta de bienes o servicios sí se dirige hacia consumidores y sobre servicios que se prestan en territorio de la UE, por lo que la AEPD es competente. El artículo 5 del RGPD señala que los datos personales que se requieran deben ser los mínimos necesarios. En este caso, no todos ellos eran necesarios para prestar el servicio de alquiler de apartamentos vacacionales ni para dar cumplimiento a la obligación de registrar a las personas que se alojan que se alojan en los establecimientos de hospedaje que exige el artículo 2 de la Orden autonómica de 2010. «De la documentación obrante en el expediente hay evidencias de que la parte reclamada ha vulnerado el artículo 5.1.c) del RGPD, al haber exigido la imagen del D.N.I. por los dos lados, a efectos de poder obtener éstas las llaves del alojamiento», se puede leer en la resolución.

En este caso, se aprecia intencionalidad o negligencia puesto que la parte reclamada era plenamente consciente del procedimiento implantado y debía contar con un grado de diligencia mínimo teniendo en cuenta su actividad.

Además, la AEPD aprecia una infracción del artículo 13 del RGPD porque Marketing Accomodation Solutions no envío a los interesados la identidad y los datos del responsable del tratamiento, los datos de contacto del delegado de protección de datos, los destinatarios de los mismos, el plazo durante el que se conservarán los datos o el derecho a presentar una reclamación ante una autoridad de control. Tampoco indicó si el interesado está obligado a facilitar los datos personales y está informado de las consecuencias que tiene no facilitar tales datos. Además, en la política de privacidad de Marketing Accomodation Solutions se puede leer que la empresa no puede asumir ninguna responsabilidad derivada del uso incorrecto de los datos.

La reclamada no ha presentado alegaciones ni pruebas que contradigan los hechos denunciados en el plazo dado para ello. Así, el organismo encargado de la protección de datos impone una sanción de 25.000 euros por la infracción del artículo 5 RGPD (podía haber sido del doble de esa cantidad si se hubiese demostrado que se había exigido la fotografía de la cara de los viajeros) y de 50.000 por vulnerar el artículo 13 del mismo reglamento.