La Agencia Española de Protección de Datos (AEPD) está advirtiendo sobre la legalidad de la práctica común de pedir fotocopias del Documento Nacional de Identidad (DNI) u otro tipo de documentación acreditativa en empresas y administraciones públicas. La AEPD se basa en el principio de minimización, que establece que los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. La obtención de una fotocopia del DNI en la mayoría de casos vulnera este principio y puede poner en riesgo nuestra identidad. La AEPD ya ha impuesto multas de hasta 300.000 euros por esta mala práctica.
Esto es una práctica muy habitual en los hoteles, y debes saber que no está permitido. La Agencia Española de Protección de Datos ha multado con 2.000 euros a un apartotel por escanear el DNI de unos clientes durante su registro, considerando que es un «tratamiento de datos personales excesivo». La sanción se originó a raíz de una denuncia recibida por la Policía Local de Torrevieja, que comprobó que el establecimiento no realizaba la comunicación de tales registros a las fuerzas de seguridad, tal y como mandata la legislación vigente. El artículo 5.1.c) del RGPD regula los principios relativos al tratamiento y pone de manifiesto que los datos personales deben ser adecuados, pertinentes y limitados a la necesidad para la que fueron recabados. Además, la Orden INT/1922/2003 recoge los datos que se deben recoger de los viajeros en establecimientos hoteleros.
No es el único caso, hay precedentes con multas mayores como la multa de 75.000 euros a una empresa que se publicitaba en Airbnb por solicitar imágenes del DNI para el proceso de registro.
La empresa Marketing Accommodation Solutions FZ, dueña de pisos anunciados en Airbnb, ha sido sancionada con una multa de 75.000 euros por la Agencia Española de Protección de Datos (AEPD) por no cumplir dos artículos del Reglamento General de Protección de Datos (RGPD), específicamente el 5.1.c) y el 13.
El incidente tuvo lugar cuando un equipo de siete individuos optó por comunicarse con Marketing Accommodation Solutions a través de Airbnb, con la intención de alquilar un apartamento que la compañía poseía en Barcelona para su estancia por unos días.
La organización creó un sitio web para que los huéspedes hicieran el check-in en línea, un requisito necesario para entregar las llaves del apartamento. Sin embargo, se preocuparon cuando los siete huéspedes tuvieron que completar un formulario con sus correos, números de teléfono y direcciones. Además, tenían que enviar fotos de sus DNI por ambos lados y selfies de cada uno de ellos.
Después de su estancia, los visitantes se comunicaron con el encargado del tratamiento para expresar que la información requerida para hacer la reserva era demasiada y que no tenían la opción de rechazar el consentimiento para recibir ofertas y productos.
Además, según lo explicado en la denuncia presentada ante la AEPD, también les consultaron sobre qué información suya tenían, cuál habían obtenido con autorización, cuál habían compartido y con quién.
La compañía afirmó que dicha información era crucial para cumplir con la normativa autonómica.
Según el reclamante, la respuesta que le dieron fue muy vaga. Le informaron que tenían su DNI, nombre, apellidos, correo y teléfono y que el objetivo del check-in era cumplir con la normativa autonómica que requería comunicar esos datos al Registro de Viajeros que mantenían en conjunto con los Mossos d’Esquadra.
También le informaron que su información nunca se había compartido y que podía estar tranquilo porque no enviaban publicidad ni llevaban a cabo campañas.
La AEPD requirió información detallada a Marketing Accommodation Solutions FZ. Solicitó, por ejemplo, la justificación de la base legal elegida para recopilar y tratar las imágenes «selfies» de los usuarios, así como una copia de los documentos de identificación.
La Agencia señaló que la instrucción IRP/418/2010, del 5 de agosto, que establece la obligación de registrar y comunicar a la Dirección General de la Policía las personas alojadas en establecimientos de hospedaje en Cataluña, no menciona esta información como parte de los datos a proporcionar a los Mossos.
La solicitud requiere la información del documento de identificación, tipo de documento, fecha de emisión (si está disponible), apellidos, nombre, género, nacionalidad, fecha de llegada, dirección, número de teléfono y duración estimada de la estadía.
En este caso, la parte demandada no presentó argumentos o evidencia que refutara los hechos denunciados dentro del plazo establecido para hacerlo.
La Agencia Española de Protección de Datos consideró que se estaban recopilando demasiados datos.
De acuerdo con las pruebas disponibles y no refutadas durante el proceso de sanción, se determinó que la compañía manejó datos excesivos que no eran necesarios.
Frente a este escenario, la AEPD ha multado al individuo por violar dos artículos, el 13 y el 5.1.c.
En la fecha 13, deberá abonar 50,000 euros por no proporcionarles toda la información requerida sobre sus datos. Por ejemplo, la información de contacto del responsable y del delegado de protección de datos, así como el periodo de retención de los datos, entre otros detalles.
En el apartado 5.1 c), se le solicita el pago de 25.000 euros, ya que considera que no todos los datos requeridos por la empresa eran necesarios ni para el servicio de alquiler de apartamentos vacacionales ni para cumplir con la obligación de registrar a los huéspedes en los establecimientos de hospedaje en Cataluña, como lo exige el artículo 2 de la Orden IRP/418/2010, de 5 de agosto. Por ejemplo, el requerimiento de una fotografía del DNI por ambos lados.
