En los últimos días se ha vuelto muy conocido el caso de un hotel de 4 estrellas que ha sido sancionado con 5.400 euros, y todo ello por exigir a un cliente escanear su DNI completo durante el check-in, algo que, aunque pueda ser visto como un gesto típico, no se encuentra respaldado por la ley. En concreto, esta situación ha ocurrido en el Hotel & Spa Beverly Park, gestionado por Suneris S.A., después de que un huésped se negara a facilitar una imagen completa de su documento de identidad, el cual hizo una reclamación a la Agencia Española de Protección de Datos (AEPD) que derivó en una multa que en un principio iba a ser de 9.000 euros, aunque esta se redujo por reconocimiento de responsabilidad y pago voluntario.
Todo este problemón surge porque, tal y como se establece en nuestra ley, los hoteles deben registrar a sus huéspedes y comunicar ciertos datos a las Fuerzas y Cuerpos de Seguridad del Estado según el Real Decreto 933/2021, pero el escanear de forma completa un DNI va mucho más de lo exigido por esta normativa. Y es que se estaría “capturando” información innecesaria, tales como el rostro del titular del DNI o los nombres de los progenitores del mismo, datos muy sensibles por los que el hotel fue sancionado debido a que esto vulneraba el principio de minimización del RGPD, en el cual se dice que solo se deben recoger los datos imprescindibles.
Qué puede pedir un hotel y qué no según la ley
Tal y como ya te hemos adelantado al inicio de este artículo, es bien cierto que los hoteles deben registrar ciertos datos de sus huéspedes y remitirlos a las autoridades pertinentes, entre los que se incluyen el número y tipo de documento, fecha de expedición, nombre y apellidos, sexo, fecha de nacimiento y domicilio, los cuales son más que suficientes para cumplir con la normativa española y garantizar la seguridad en el alojamiento.
El problema surge cuando un hotel solicita datos adicionales mediante el escaneo completo del DNI, ya que al digitalizarlo, se obtiene información que no es necesaria para el registro, como la fotografía, los números de equipo de expedición o nombres de los progenitores. Este tipo de tratamiento excede lo legalmente permitido y constituye un riesgo de protección de datos para los huéspedes y, aunque en este caso el Hotel & Spa Beverly Park anotó los campos obligatorios, al intentar capturar la imagen completa, incumplió la normativa y se expuso a la sanción de la AEPD.
Cómo se calculó la multa y su reducción
La sanción inicial impuesta por la AEPD fue de 9.000 euros, pero se aplicaron reducciones por dos motivos, los cuales son el reconocimiento de responsabilidad y el pronto pago voluntario. Así, primero se aplicó un 20% de descuento al admitir la infracción, quedando en 7.200 euros, y luego otro 20% por realizar el pago voluntario, hasta llegar a 5.400 euros; lo cual no quiere decir que se les exima del delito que se ha cometido, sino que se acogieron a una serie de disminuciones que son bastante habituales en estos casos.
Además de la multa, el procedimiento sirve como advertencia a otros establecimientos, como queriendo avisar a terceros de que un hotel debe limitarse a recolectar los datos estrictamente necesarios para el registro de viajeros y no retener información adicional que pueda vulnerar el RGPD. Anotar lo imprescindible, sin digitalizar el documento completo, es la única manera de cumplir la normativa y evitar sanciones similares.