31/10/2023
La Agencia Española de Protección de Datos ha resuelto que la copia del documento nacional de identidad para realizar el registro en un hotel, es un supuesto de tratamiento de datos excesivos, puesto que dicho tratamiento no es necesario para conseguir la finalidad perseguida.
𝗣𝗼𝘀𝗶𝗯𝗹𝗲𝘀 𝗽𝗿𝗲𝗰𝗲𝗽𝘁𝗼𝘀 𝗶𝗻𝗳𝗿𝗶𝗻𝗴𝗶𝗱𝗼𝘀
El acuerdo de inicio del procedimiento sancionador tenía como fundamento la posible infracción del artículo 5.1.c) RGPD, sobre los principios relativos al tratamiento, por un posible tratamiento de datos personales excesivos al realizar el escaneo de los DNI de los clientes:
1. 𝘓𝘰𝘴 𝘥𝘢𝘵𝘰𝘴 𝘱𝘦𝘳𝘴𝘰𝘯𝘢𝘭𝘦𝘴 𝘴𝘦𝘳á𝘯: (...) 𝘤) 𝘢𝘥𝘦𝘤𝘶𝘢𝘥𝘰𝘴, 𝘱𝘦𝘳𝘵𝘪𝘯𝘦𝘯𝘵𝘦𝘴 𝘺 𝘭𝘪𝘮𝘪𝘵𝘢𝘥𝘰𝘴 𝘢 𝘭𝘰 𝘯𝘦𝘤𝘦𝘴𝘢𝘳𝘪𝘰 𝘦𝘯 𝘳𝘦𝘭𝘢𝘤𝘪ó𝘯 𝘤𝘰𝘯 𝘭𝘰𝘴 𝘧𝘪𝘯𝘦𝘴 𝘱𝘢𝘳𝘢 𝘭𝘰𝘴 𝘲𝘶𝘦 𝘴𝘰𝘯 𝘵𝘳𝘢𝘵𝘢𝘥𝘰𝘴 («𝘮𝘪𝘯𝘪𝘮𝘪𝘻𝘢𝘤𝘪ó𝘯 𝘥𝘦 𝘥𝘢𝘵𝘰𝘴»);»
Asimismo, debe tenerse en cuenta que el artículo 25.1 de la Ley Orgánica 4/2015, de protección de la seguridad ciudadana, establece:
𝘓𝘢𝘴 𝘱𝘦𝘳𝘴𝘰𝘯𝘢𝘴 𝘧í𝘴𝘪𝘤𝘢𝘴 𝘰 𝘫𝘶𝘳í𝘥𝘪𝘤𝘢𝘴 𝘲𝘶𝘦 𝘦𝘫𝘦𝘳𝘻𝘢𝘯 𝘢𝘤𝘵𝘪𝘷𝘪𝘥𝘢𝘥𝘦𝘴 𝘳𝘦𝘭𝘦𝘷𝘢𝘯𝘵𝘦𝘴 𝘱𝘢𝘳𝘢 𝘭𝘢 𝘴𝘦𝘨𝘶𝘳𝘪𝘥𝘢𝘥 𝘤𝘪𝘶𝘥𝘢𝘥𝘢𝘯𝘢, 𝘤𝘰𝘮𝘰 𝘭𝘢𝘴 𝘥𝘦 𝘩𝘰𝘴𝘱𝘦𝘥𝘢𝘫𝘦, 𝘵𝘳𝘢𝘯𝘴𝘱𝘰𝘳𝘵𝘦 𝘥𝘦 𝘱𝘦𝘳𝘴𝘰𝘯𝘢𝘴, 𝘢𝘤𝘤𝘦𝘴𝘰 𝘤𝘰𝘮𝘦𝘳𝘤𝘪𝘢𝘭 𝘢 𝘴𝘦𝘳𝘷𝘪𝘤𝘪𝘰𝘴 𝘵𝘦𝘭𝘦𝘧ó𝘯𝘪𝘤𝘰𝘴 𝘰 𝘵𝘦𝘭𝘦𝘮á𝘵𝘪𝘤𝘰𝘴 𝘥𝘦 𝘶𝘴𝘰 𝘱ú𝘣𝘭𝘪𝘤𝘰 𝘮𝘦𝘥𝘪𝘢𝘯𝘵𝘦 𝘦𝘴𝘵𝘢𝘣𝘭𝘦𝘤𝘪𝘮𝘪𝘦𝘯𝘵𝘰𝘴 𝘢𝘣𝘪𝘦𝘳𝘵𝘰𝘴 𝘢𝘭 𝘱ú𝘣𝘭𝘪𝘤𝘰, 𝘤𝘰𝘮𝘦𝘳𝘤𝘪𝘰 𝘰 𝘳𝘦𝘱𝘢𝘳𝘢𝘤𝘪ó𝘯 𝘥𝘦 𝘰𝘣𝘫𝘦𝘵𝘰𝘴 𝘶𝘴𝘢𝘥𝘰𝘴, 𝘢𝘭𝘲𝘶𝘪𝘭𝘦𝘳 𝘰 𝘥𝘦𝘴𝘨𝘶𝘢𝘤𝘦 𝘥𝘦 𝘷𝘦𝘩í𝘤𝘶𝘭𝘰𝘴 𝘥𝘦 𝘮𝘰𝘵𝘰𝘳, 𝘤𝘰𝘮𝘱𝘳𝘢𝘷𝘦𝘯𝘵𝘢 𝘥𝘦 𝘫𝘰𝘺𝘢𝘴 𝘺 𝘮𝘦𝘵𝘢𝘭𝘦𝘴, 𝘺𝘢 𝘴𝘦𝘢𝘯 𝘱𝘳𝘦𝘤𝘪𝘰𝘴𝘰𝘴 𝘰 𝘯𝘰, 𝘰𝘣𝘫𝘦𝘵𝘰𝘴 𝘶 𝘰𝘣𝘳𝘢𝘴 𝘥𝘦 𝘢𝘳𝘵𝘦, 𝘤𝘦𝘳𝘳𝘢𝘫𝘦𝘳í𝘢 𝘥𝘦 𝘴𝘦𝘨𝘶𝘳𝘪𝘥𝘢𝘥, 𝘤𝘦𝘯𝘵𝘳𝘰𝘴 𝘨𝘦𝘴𝘵𝘰𝘳𝘦𝘴 𝘥𝘦 𝘳𝘦𝘴𝘪𝘥𝘶𝘰𝘴 𝘮𝘦𝘵á𝘭𝘪𝘤𝘰𝘴, 𝘦𝘴𝘵𝘢𝘣𝘭𝘦𝘤𝘪𝘮𝘪𝘦𝘯𝘵𝘰𝘴 𝘥𝘦 𝘤𝘰𝘮𝘦𝘳𝘤𝘪𝘰 𝘢𝘭 𝘱𝘰𝘳 𝘮𝘢𝘺𝘰𝘳 𝘥𝘦 𝘤𝘩𝘢𝘵𝘢𝘳𝘳𝘢 𝘰 𝘱𝘳𝘰𝘥𝘶𝘤𝘵𝘰𝘴 𝘥𝘦 𝘥𝘦𝘴𝘦𝘤𝘩𝘰, 𝘰 𝘥𝘦 𝘷𝘦𝘯𝘵𝘢 𝘥𝘦 𝘱𝘳𝘰𝘥𝘶𝘤𝘵𝘰𝘴 𝘲𝘶í𝘮𝘪𝘤𝘰𝘴 𝘱𝘦𝘭𝘪𝘨𝘳𝘰𝘴𝘰𝘴 𝘢 𝘱𝘢𝘳𝘵𝘪𝘤𝘶𝘭𝘢𝘳𝘦𝘴, 𝘲𝘶𝘦𝘥𝘢𝘳á𝘯 𝘴𝘶𝘫𝘦𝘵𝘢𝘴 𝘢 𝘭𝘢𝘴 𝘰𝘣𝘭𝘪𝘨𝘢𝘤𝘪𝘰𝘯𝘦𝘴 𝘥𝘦 𝘳𝘦𝘨𝘪𝘴𝘵𝘳𝘰 𝘥𝘰𝘤𝘶𝘮𝘦𝘯𝘵𝘢𝘭 𝘦 𝘪𝘯𝘧𝘰𝘳𝘮𝘢𝘤𝘪ó𝘯 𝘦𝘯 𝘭𝘰𝘴 𝘵é𝘳𝘮𝘪𝘯𝘰𝘴 𝘲𝘶𝘦 𝘦𝘴𝘵𝘢𝘣𝘭𝘦𝘻𝘤𝘢𝘯 𝘭𝘢𝘴 𝘥𝘪𝘴𝘱𝘰𝘴𝘪𝘤𝘪𝘰𝘯𝘦𝘴 𝘢𝘱𝘭𝘪𝘤𝘢𝘣𝘭𝘦𝘴.
Finalmente, la Orden INT/1922/2003, de 3 de julio, sobre libros-registro y partes de entrada de viajeros en establecimientos de hostelería y otros análogos recoge, en su Anexo el “Modelo de parte de entrada de viajeros”, y de los datos de los viajeros indica que se recogerán de los viajeros los siguientes datos:
𝘕ú𝘮. 𝘥𝘦 𝘥𝘰𝘤𝘶𝘮𝘦𝘯𝘵𝘰 𝘥𝘦 𝘪𝘥𝘦𝘯𝘵𝘪𝘥𝘢𝘥, 𝘵𝘪𝘱𝘰 𝘥𝘦 𝘥𝘰𝘤𝘶𝘮𝘦𝘯𝘵𝘰, 𝘧𝘦𝘤𝘩𝘢 𝘦𝘹𝘱𝘦𝘥𝘪𝘤𝘪ó𝘯 𝘥𝘦𝘭 𝘥𝘰𝘤𝘶𝘮𝘦𝘯𝘵𝘰, 𝘱𝘳𝘪𝘮𝘦𝘳 𝘢𝘱𝘦𝘭𝘭𝘪𝘥𝘰, 𝘴𝘦𝘨𝘶𝘯𝘥𝘰 𝘢𝘱𝘦𝘭𝘭𝘪𝘥𝘰, 𝘯𝘰𝘮𝘣𝘳𝘦, 𝘴𝘦𝘹𝘰, 𝘧𝘦𝘤𝘩𝘢 𝘥𝘦 𝘯𝘢𝘤𝘪𝘮𝘪𝘦𝘯𝘵𝘰, 𝘱𝘢í𝘴 𝘥𝘦 𝘯𝘢𝘤𝘪𝘰𝘯𝘢𝘭𝘪𝘥𝘢𝘥, 𝘧𝘦𝘤𝘩𝘢 𝘥𝘦 𝘦𝘯𝘵𝘳𝘢𝘥𝘢
𝗖𝘂𝗲𝘀𝘁𝗶𝗼𝗻𝗲𝘀 𝗿𝗲𝗹𝗲𝘃𝗮𝗻𝘁𝗲𝘀 𝗲𝗻 𝗹𝗮 𝘁𝗿𝗮𝗺𝗶𝘁𝗮𝗰𝗶ó𝗻 𝗱𝗲𝗹 𝗽𝗿𝗼𝗰𝗲𝗱𝗶𝗺𝗶𝗲𝗻𝘁𝗼
La Agencia Española de Protección de Datos conoció del asunto derivado del escrito de la Policía Municipal del Ayuntamiento de Torrevieja referente a unos acontecimientos ocurridos en un establecimiento hotelero. En el Libro de Registro de Clientes se comprobó que no existía anotación numérica de los registros, tratándose de hojas sueltas y con los DNI escaneados, constatándose, igualmente, que el establecimiento no realizaba comunicación a las fuerzas de seguridad de tales registros.
La Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador, pero tras la notificación del acuerdo, y transcurrido el plazo otorgado para la formulación de alegaciones, no se recibieron alegaciones por parte del establecimiento hotelero.
El artículo 64.2 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, establece que «en caso de no efectuar alegaciones en el plazo previsto sobre el contenido del acuerdo de iniciación, éste podrá ser considerado propuesta de resolución cuando contenga un pronunciamiento preciso acerca de la responsabilidad imputada». Por esto mismo, como el acuerdo de inicio del expediente sancionador determinaba los hechos en los que se concretaba la imputación, la infracción del RGPD atribuida a la reclamada y la sanción que podría imponerse, el citado acuerdo se consideró propuesta de resolución.
𝗧𝗿𝗮𝘁𝗮𝗺𝗶𝗲𝗻𝘁𝗼 𝗲𝘅𝗰𝗲𝘀𝗶𝘃𝗼 𝗱𝗲 𝗱𝗮𝘁𝗼𝘀 𝗽𝗲𝗿𝘀𝗼𝗻𝗮𝗹𝗲𝘀
El documento nacional de identidad, recoge «información sobre una persona física identificada o identificable», y la actuación de la entidad hotelera, relativa al escaneo de estos datos, supone la recogida y conservación de datos personales de los clientes, por lo que, a efectos de lo establecido en los artículos 4.1 y 4.2 RGPD, estamos ante un tratamiento de datos personales.
El artículo 5.1.c) RGPD establece «que los datos personales serán “adecuados, pertinentes y limitados a la necesidad” para la que fueron recabados, de tal manera que, si el objetivo perseguido puede alcanzarse sin realizar un tratamiento excesivo de datos, así es como debe realizarse». En el mismo sentido, el considerando 39 del RGPD indica que «los datos personales sólo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios». La conclusión de todo ello es que debe valorarse si los datos tratados son adecuados, pertinentes y no excesivos en relación con el fin para el que se obtienen o tratan.
La Agencia Española de Protección de Datos (EXP202309109), teniendo en cuenta la obligación de comunicación de los datos tratados a las fuerzas y cuerpos de seguridad del Estado que se recoge en el artículo 25.1 de la Ley Orgánica 4/2015, de protección de la seguridad ciudadana, y de que la copia del documento de identificación no es un tratamiento recogido en la Orden INT/1922/2003, de 3 de julio, sobre libros-registro y partes de entrada de viajeros en establecimientos de hostelería y otros análogos, se concluye que dicha actuación supone una vulneración del artículo 5.1.c) RGPD, considerando que estamos ante un tratamiento de datos excesivos que no son necesarios para la finalidad para la que deben destinar.
