Multan con 30.000 € a un hotel por escanear el pasaporte de un huésped

CEHAT relata que el hotel escaneó el pasaporte en el que constaba una fotografía del huésped, manteniéndolo en su sistema informático interno. Esto le servía, al mismo tiempo, para evitar un uso fraudulento de la tarjeta del hotel, al comprobar por seguridad que, cuando se utilizara para los consumos internos, el titular de la tarjeta era el mismo que solicitaba los servicios gracias a la fotografía.

Guardar el pasaporte en su sistema informático con una foto ha sido considerada una infracción muy grave por parte de la Agencia Española de Protección de Datos al ir en contra de lo que se califica como "minimización de datos" y calificada de muy grave .

La "minimización de datos" obliga a aplicar medidas técnicas y organizativas para garantizar que sean objeto de tratamiento los datos que únicamente sean precisos para cada uno de los fines específicos del tratamiento reduciendo, la extensión del tratamiento, limitando a lo necesario el plazo de conservación y su accesibilidad.

Por este motivo, el hotel ha sido sancionado con la cuantía de 30.000 euros, que es la mínima para un hecho muy grave. Estas sanciones pueden ascender hasta los 20 millones de euros o a un 4% de la facturación total del establecimiento, la mayor de estas dos cantidades.

Inseguridad jurídica

CEHAT denuncia que esta decisión de la AEPD se suma a las permanentes quejas que a lo largo del tiempo se han producido por la inseguridad jurídica y la sensación de persecución a los hoteleros en materias de protección de datos, ya que las normativas exigen elaborar y facilitar a las empresas turísticas información necesaria para el Ministerio del Interior, algo que el sector hotelero se ha brindado a facilitar permanentemente. Gracias a la tecnología, el mecanismo habitual y eficiente era el escaneo del documento para que los datos fueran fidedignos.

Sin embargo, la Confederación apunta que esta oferta de colaboración entraña unos importantes riesgos por la falta de coherencia e inseguridad jurídica de interpretación entre lo solicitado por las Fuerzas y Cuerpos de Seguridad del Estado y las normas de protección de datos personales.

La patronal advierte que esta “preocupación y desconcierto” aumentan porque el próximo 28 de abril entrará en vigor el Real Decreto 933/2021, que menciona las obligaciones de recogida y comunicación de datos, y aún no existe un documento de desarrollo específico para hoteles que se ajuste a la tecnología de los sistemas informáticos habituales utilizados.

CEHAT exige al Estado una mayor coherencia entre la normativa de protección de datos y las exigencias sobre el registro de los viajeros.

La Confederación Española de Hoteles ha manifestado tanto al Ministerio de Turismo como al de Interior la imposibilidad de recoger los datos solicitados en este Real Decreto bien sea porque los hoteles no tienen acceso a los mismos o porque están prohibidos por normativa española y europea.

La citada normativa, que contempla importantes sanciones, exige a los hoteleros datos de la transacción económica que son tratados por los proveedores de servicios de pago y plataformas, sin que los establecimientos tengan acceso a ellos por razones de seguridad. Los proveedores de medios de pago, por razones de seguridad y siguiendo protocolos aprobados por el Banco de España, los encriptan de manera que el hotel no tiene acceso a ellos.

Parte de entrada

Paralelamente a estas exigencias, permanece vigente la obligación de rellenar y firmar el parte de entrada, algo que ha quedado en desuso en muchas tipologías de alojamiento, como son las viviendas de uso turístico, ya que incluso el ‘check in’ ha cambiado gracias a los adelantos tecnológicos.

Sobre este punto, la Confederación señala que ya es un hecho que un 40% de los viajeros no se aloja en hoteles y que las demás tipologías de establecimiento de alojamiento no disponen de servicios de recepción donde se pueda cumplimentar esta obligación.

Por ello, ante la tesitura de tener que elegir entre ser sancionados por incumplir o bien las normas de Registro de Viajeros o bien las de Protección de Datos, los hoteleros españoles solicitan urgentemente a las administraciones turísticas que se creen otras normas que impidan el actual desconcierto, o se posponga la entrada en vigor del Real Decreto hasta que haya una norma de desarrollo con posibilidades de cumplimiento.

En caso contrario, CEHAT alerta de que se podrán producir negativas de información para la seguridad del Estado. Para ello, es necesario que se creen las herramientas tecnológicas oportunas a tal efecto y que se provea de ellas a los alojamientos hoteleros, con la certeza de que el simple escaneado de un documento cumpla todos los requisitos legales.

"No es aceptable obligar a un establecimiento a proporcionar datos a mano en el año 2022, ya que mucha de la información solicitada en estas normativas excede los datos que aparecen en el documento digital de identidad del viajero", señala Ramón Estalella, secretario general de CEHAT.