Sancionado con 2.000 euros por escanear el DNI de los clientes

La Agencia Española de Protección de Datos ha sancionado con 2.000 euros a Unique hotel apartment por escanear el documento nacional de identidad de sus clientes durante el registro. Esto supone un tratamiento de datos personales excesivo e innecesario que deberán corregir en el plazo de un mes.

Este procedimiento se desarrolla tras los hechos puestos en conocimiento por la policía local de Torrevieja (Alicante), que acudieron a inspeccionar el apartahotel tras una denuncia de dos jóvenes a los que el establecimiento negó las hojas de reclamaciones. Los dos clientes habían llegado al hotel, que les había impedido hacer el registro asegurando que otras dos personas lo habían hecho ya con los mismos datos personales.

Al acudir al apartahotel, la policía constató que no existía un registro numérico de clientes, sino que el control se hacía a través de unos folios sueltos que no remitían a las fuerzas y cuerpos de seguridad, como obliga la normativa, y en las que escaneaban los DNI de los clientes.

El artículo 5 del Reglamento General de Protección de Datos regula los principios relativos al tratamiento y establece que el tratamiento será el mínimo necesario y será proporcional al fin perseguido. El considerando 39 del Reglamento se refiere a datos “adecuados, necesarios y limitados”. “Las categorías de datos seleccionados para su tratamiento deben ser los estrictamente necesarios para lograr el objetivo declarado y el responsable del tratamiento debe limitar estrictamente la recogida de datos a aquella información que esté directamente relacionada con el fin específico que se intenta alcanzar”, se puede leer en la resolución hecha pública hoy. La Ley 4/2015 obliga a registrar documentalmente determinados datos.

La Orden INT/1922/2003 sobre libros-registro y partes de entrada de viajeros en establecimientos de hostelería recoge que se pedirán y registrarán el número de documento de identidad, la fecha de expedición, nombre y apellidos, sexo, fecha de nacimiento y fecha de entrada.

Así, se puede concluir que la copia del documento de identificación “no es un tratamiento necesario para realizar el registro y dar cumplimiento a la Ley Orgánica 4/2015, constituyendo dicha actuación una vulneración del artículo 5.1 c) del Reglamento General de Protección de Datos, (…) considerando que se ha tratado datos excesivos que no son necesarios para la finalidad para la que se deben destinar”, concluye la AEPD.

La infracción, considerada muy grave, comporta la sanción de 2.000 euros y  la orden de establecer las medidas oportunas para adecuar la gestión del registro de clientes en el establecimiento a lo establecido en el artículo 5 del RGPD. Esta resolución puede ser recurrida ante la Audiencia Nacional.