Cumplimiento del RGPD en el sector turístico: Caso con sanción al Hotel Cala Millor

En marzo de 2022 redactamos un post sobre la sanción económica de 30.000€ interpuesta por la Agencia Española de Protección de Datos a un hotel de Cala Millor (Palma de Mallorca). Os dejo el enlace por si queréis consultarlo: https://www.hosteltur.com/comunidad/005012_la-aepd-impone-una-multa-de-30000-a-un-hotel-por-incumplir-el-rgpd.html

Como comentamos en ese mismo post la Agencia Española de Protección de Datos (AEPD) impuso una sanción bastante significativa a un establecimiento hotelero en Cala Millor, Mallorca, por infracciones o incumplimiento del Reglamento General de Protección de Datos (RGPD). Este caso destaca la importancia de gestionar adecuadamente los datos personales de los clientes y de cumplir con las normativas de protección de datos.

Antecedentes del caso

Inicialmente, la AEPD impuso una multa de 30.000 euros al hotel por infracción del artículo 6 del RGPD, que regula la licitud del tratamiento de datos personales. La sanción se basó en una reclamación presentada ante la autoridad de protección de datos de Países Bajos (Autoriteit Persoonsgegevens) y transferida a la AEPD. La reclamación alegaba que el hotel había escaneado los pasaportes de dos turistas holandeses, incluyendo sus fotografías, y había utilizado esta información para controlar los cargos realizados durante su estancia sin el consentimiento explícito de los clientes.

El hotel justificó la recolección de los datos como una medida para cumplir con la normativa española relativa al registro de entrada de viajeros en establecimientos de hostelería, conforme a la Ley Orgánica 4/2015 y la Orden INT/1922/2003. Sin embargo, la AEPD determinó que el uso de las fotografías para una finalidad distinta —la verificación de identidad en consumos internos— no estaba amparado por ninguna base jurídica válida, violando así los principios de minimización de datos y consentimiento explícito establecidos en el RGPD.

Revisión de la sanción por la Audiencia Nacional

Posteriormente, la Audiencia Nacional revisó la sanción y decidió reducir la multa de 30.000 a 15.000 euros. La sentencia reconoció que el tratamiento de datos personales realizado por el hotel no podía considerarse legítimo bajo la normativa de protección de datos. El hotel había incorporado las imágenes y datos de los pasaportes a dispositivos utilizados por el personal para verificar la identidad de los clientes al realizar consumos, sin el consentimiento de estos.

El Tribunal, aunque reafirmó la existencia de la infracción, consideró que la cuantía de la multa inicial era excesiva y decidió reducirla, argumentando que la evaluación de agravantes y atenuantes realizada por la AEPD no era completamente adecuada.

Análisis jurídico

Este caso ilustra varias infracciones específicas del RGPD:

1. Licitud del Tratamiento (Artículo 6 del RGPD): La base jurídica invocada por el hotel no justificaba el uso de las fotografías para la verificación de identidad en consumos internos. El artículo 6 establece que el tratamiento de datos personales solo es lícito si se basa en el consentimiento del interesado o en otra base jurídica válida, como el cumplimiento de una obligación legal.

2. Minimización de Datos (Artículo 5.1.c del RGPD): El principio de minimización de datos exige que solo se recojan los datos personales estrictamente necesarios para la finalidad específica del tratamiento. La recolección y uso de fotografías para fines distintos al registro de entrada y comunicación a las autoridades no cumplían con este principio.

3. Transparencia e Información (Artículo 12 del RGPD): Los interesados deben ser informados de manera clara y transparente sobre los fines y las bases jurídicas del tratamiento de sus datos. En este caso, los clientes no fueron informados adecuadamente sobre el uso adicional de sus fotografías.

4. Consentimiento Explícito (Artículo 7 del RGPD): El tratamiento de datos personales para fines distintos a los inicialmente consentidos requiere un nuevo consentimiento explícito del interesado. La falta de obtención de este consentimiento constituye una violación del RGPD.

Conclusiones y recomendaciones

Este caso subraya la necesidad de que los establecimientos hoteleros gestionen los datos personales de sus clientes con estricta adherencia a las normativas del RGPD. Las lecciones clave incluyen:

1. Obtención de consentimiento: Es fundamental obtener el consentimiento explícito de los clientes para cualquier uso de sus datos personales que exceda el cumplimiento de obligaciones legales.

2. Adherencia a principios de minimización de Datos: Recoger solo los datos mínimos necesarios para la finalidad específica del tratamiento.

3. Transparencia y comunicación clara: Informar adecuadamente a los clientes sobre el tratamiento de sus datos personales y mantener actualizado el registro de actividades de tratamiento.

4. Revisión y ajuste de medias prácticas: Implementar tecnologías adecuadas y capacitar continuamente al personal en materia de protección de datos.

En conclusión, el cumplimiento del RGPD no solo es una obligación legal sino también una práctica esencial para mantener la confianza de los clientes y evitar sanciones que pueden impactar significativamente en la reputación y en la economía de los establecimientos hoteleros. Este caso debe servir como un recordatorio en cuanto a la importancia de gestionar y tratar los datos personales de acuerdo con los principios del RGPD.

Guillermo Caro

Abogado de MONLEX

gcaro@monlexabogados.es