Multa de la Agencia de Protección de Datos a un hostal: los alojamientos deben cumplir ciertos requisitos

Todos los establecimientos de alojamientos turísticos están obligados a tener un registro con los datos de sus clientes. La forma en la que se conserven los datos personales de los viajeros deberá cumplir con los requisitos pautados en la normativa de protección de datos. La Agencia Española de Protección de Datos (AEPD) vela por que los negocios sigan las directrices y ya ha impuesto varias multas a los autónomos por no guardar correctamente los datos de los viajeros o por solicitar más información de la que deberían.

La entrada del verano ha dado comienzo a una de las épocas más importantes para el sector turístico, especialmente tras los dos últimos años de pandemia. Los establecimientos de alojamientos turísticos esperan recuperarse este verano de 2022 y alcanzar cifras de ocupación parecidas a las de 2019. Para gestionar correctamente la actividad deberán, entre otros aspectos, preocuparse por la protección de los datos de sus clientes, si no quieren verse sancionados con multas de miles de euros.

Este tipo de actividades están obligadas por ley a llevar un registro de los datos personales de sus clientes. La Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana, establece en su artículo 25 que “las personas físicas o jurídicas que ejerzan actividades relevantes para la seguridad ciudadana, como las de hospedaje, transporte de personas, acceso comercial a servicios telefónicos [...], quedarán sujetas a las obligaciones de registro documental e información en los términos que establezcan las disposiciones aplicables”.

Una multa de 30.000 euros a un hostal por escanear un pasaporte

La obligación de tener que cumplir con el Reglamento General de Protección de Datos (RGPD) no es nueva para los autónomos, pero sí fue hace unos meses motivo de revuelo en el sector hotelero. La Agencia de Protección de Datos (AEPD) impuso una multa de 30.000 euros al dueño de un hostal por escanear el pasaporte de un viajero holandés para cumplir con esta obligación de registro.

Según explicaron desde el bufete Cuatrecasas, que analiza el caso en su página web, el establecimiento solicitó el pasaporte de su cliente con el fin de cumplir con la obligación de registro documental, anteriormente comentada. “En la resolución objeto de debate (Resolución PS/00078/2021), el procedimiento de registro del establecimiento (check-in) consistía no solo en la solicitud de la documentación identificativa del cliente, sino también en su posterior escaneo en el momento de su llegada al hotel. El proceso de escaneo convertía la imagen en texto e incorporaba los datos al programa de gestión hotelera, cumplimentando la “ficha del cliente” o 'parte de entrada de viajeros', con diversos campos (como, por ejemplo, tipo y fecha de expedición del documento de identidad presentado, nombre y apellidos, etc.). Y lo que resulta más relevante para este caso, el proceso también incorporaba la fotografía del cliente a su base de datos”.

Sería precisamente la inclusión de esta fotografía lo que penalizó la AEPD por considerarlo “innecesario” y “desproporcionado”. La página web de Cuatrecasas recoge también las principales razones por las que la AEPD multó al hotelero, entre las que sobresalen: no comunicar al cliente la recogida y utilización de la fotografía; y su falta de reflejo en el Registro de Actividades de Tratamiento. Además de que el tratamiento de las fotografías no es necesario para cumplir con la obligación legal, ni para ejecutar el contrato del servicio.

"Asimismo, la AEPD requiere al establecimiento el cese en la recogida y tratamiento de la fotografía de sus clientes, o bien la adecuación de la información ofrecida a sus clientes, especialmente la relativa a la recogida y utilización de la fotografía y la base jurídica que fundamenta tal tratamiento, estableciendo mecanismos que permitan acreditar la entrega de esa información a los clientes. Y, por último, la resolución impone la supresión de todas las fotografías recogidas de los clientes hasta el momento" finalizan los expertos.

Cada vez son más los clientes quiénes denuncian por protección de datos

Mientras que las empresas se despreocupan del cumplimiento de la normativa en protección de datos y descuidan los procesos, los clientes hacen cada vez más acopio de los mecanismos de protección incluye la legislación en vigor. Así lo cree la abogada del área Mercantil y especialista en temas de Protección de Datos del despacho AGM Abogados, Vanesa Herrero Sanz. Esta experta explicaba anteriormente a este diario que la mayor parte de las sanciones que está imponiendo en estos momentos la AEPD suelen partir de una denuncia, principalmente de clientes del negocio que hizo un mal uso de su información personal.

“Los medios con los que cuenta la Agencia son limitados y no les permiten inspeccionar de forma general a un gran volumen de empresas, ni hacer campañas por sectores. No son Hacienda” apuntó Herrero. Según esta abogada hay dos formas para que la AEPD te imponga una sanción en materia de protección de datos: o bien porque alguien lo haya denunciado ante el organismo; o bien porque hay una sospecha fundada, clara y pública de que se está cometiendo una infracción en protección de datos.

¿Cómo cumplir con la obligación de registro documental?

Para que a los hoteleros por cuenta propia no incurran en una infracción de la protección de datos cuando lleven a cabo la obligación del registro documental, la página web especializada en información para profesionales del turismo, Hosteltur, recoge una guía sobre cómo cumplir con este requisito. 

Según publican, los establecimientos de hospedaje turístico están obligados a llevar, por un lado, un libro-registro del establecimiento. "Es obligatorio para los establecimientos de hospedaje cumplimentar los partes de entrada de los viajeros y la llevanza de un Libro de Registro, impresos o digitales. El viajero deberá firmar dicho parte de manera inexcusable, pudiendo recogerse la firma en papel o en un soporte digital". Y, por otro lado, también deberán comunicar a las fuerzas de seguridad del Estado (Policía Nacional, Guardia Civil, etc.) el parte de entrada de viajeros, en el plazo de 24 horas desde que se produce la entrada del huésped y tener el libro-registro a disposición de los miembros de las Fuerzas y Cuerpos de Seguridad. 

Los datos que debe pedir un alojamiento turístico para el registro de clientes 

Los datos a facilitar en el ejercicio de la actividad de hospedaje y que deberán quedar guardados en el registro documental son los siguientes, tal y como recoge Hosteltur,:

1. Datos de la empresa arrendadora

• Nombre o razón social del titular.
• CIF o NIF.
• Municipio.
• Provincia.
• Teléfono fijo y/o móvil.
• Dirección de correo electrónico.
• Web de la empresa.
• Url para identificar el anuncio

2. Datos del establecimiento

• Tipo de establecimiento.
• Denominación.
• Dirección completa.
• Código postal.
• Localidad y provincia.

3. Datos de los viajeros

• Nombre.
• Primer apellido.
• Segundo apellido.
• Sexo.
• Número de documento de identidad.
• Número de soporte del documento.
• Tipo de documento (DNI, pasaporte, TIE).
• Nacionalidad.
• Fecha de nacimiento.
• Lugar de residencia habitual.
• Dirección completa.
• Teléfono fijo.
• Teléfono móvil.
• Correo electrónico.
• Número de viajeros.
• Relación de parentesco entre los viajeros (en el caso de que alguno sea menor de edad).

4. Datos de la transacción

a) Datos del contrato.

• Número de referencia.
• Fecha.
• Firmas.

b) Datos de la ejecución del contrato.

• Fecha y hora de entrada.
• Fecha y hora de salida.

c) Datos del inmueble.

• Dirección completa.
• Número de habitaciones.
• Conexión a Internet (si/no).

d) Datos del pago.

• Tipo (efectivo, tarjeta de crédito, plataforma de pago, transferencia...).
• Identificación del medio de pago: tipo de tarjeta y número, IBAN cuenta bancaria, solución de pago por móvil, otros.
• Titular del medio de pago.
• Fecha de caducidad de la tarjeta.
• Fecha del pago.