La razón por la que un hotel de 4 estrellas acaba pagando una multa de más de 5.000 euros

La Agencia Española de Protección de Datos sanciona al Hotel & Spa Beverly Park por recopilar datos personales de forma indebida

El hotel Senator Banús Delight Collection

El hotel Senator Banús Delight Collection. Foto: Logitravel

Por
Comentarios Comentarios
Comentarios

Un hotel de cuatro estrellas ha sido multado con 5.400 euros por excederse en el tratamiento de los datos personales de un huésped durante el proceso de check-in. La Agencia Española de Protección de Datos (AEPD) ha considerado que la práctica de escanear el DNI completo del cliente vulnera el Reglamento General de Protección de Datos (RGPD).

La sanción se impuso a la empresa Suneris S.A., titular del Hotel & Spa Beverly Park, ubicado en España, después de que un cliente presentara una reclamación formal el pasado 28 de junio de 2024. La AEPD ha determinado que el hotel recogió más información de la necesaria, infringiendo así el principio de minimización de datos que establece la legislación europea.

Los hoteles están legalmente obligados a identificar a los huéspedes que se alojan en sus instalaciones, conforme al Real Decreto 933/2021, que regula la comunicación de datos a las Fuerzas y Cuerpos de Seguridad del Estado. No obstante, esta obligación no autoriza la recopilación indiscriminada de datos personales ni la conservación de información irrelevante.

En este caso, el establecimiento exigió al cliente el escaneo íntegro de su DNI, una acción a la que el viajero se negó por motivos de privacidad. En lugar de limitarse a recopilar los datos estrictamente necesarios —como el nombre, apellidos, número de documento o nacionalidad—, el hotel procedió a copiar manualmente toda la información visible del documento utilizando un ordenador, incluyendo datos que no resultan obligatorios para la identificación policial.

Datos personales innecesarios: el error que costó miles de euros

El escaneo del DNI implica la captura de datos personales que van más allá de lo permitido legalmente. Según la AEPD, al escanear el documento se accede a información como la imagen facial del titular, el número de equipo de expedición e incluso los nombres de los padres del viajero.

Estos datos no son requeridos ni por la normativa de seguridad ni por el reglamento de alojamiento, lo que convierte esta práctica en una infracción clara del RGPD. El artículo 5.1 del reglamento europeo establece que solo se pueden tratar los datos adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se recogen.

El incumplimiento de este principio por parte del hotel ha sido clave para la imposición de la multa. La Agencia dejó claro en su resolución que “no puede justificarse la recogida de información adicional, como el escaneo completo del documento de identidad, cuando no es pertinente ni proporcional”.

Una multa inicial de 9.000 euros reducida por colaboración

La sanción económica inicial fijada por la AEPD ascendía a 9.000 euros, como consecuencia de la infracción cometida en el tratamiento de datos. Sin embargo, la empresa sancionada optó por reconocer su responsabilidad y abonar la multa de forma voluntaria, lo que permitió aplicar dos reducciones del 20% cada una, tal como contempla la ley.

Gracias a estos atenuantes, la cuantía final se redujo a 5.400 euros. Esta rebaja no elimina la infracción, pero sí reconoce la buena disposición de la empresa para corregir la situación, evitando un procedimiento sancionador más largo y costoso.

El caso sienta un precedente importante para el sector hotelero, donde las prácticas de identificación de clientes han generado numerosas dudas jurídicas. Muchos establecimientos optan por escanear documentos para agilizar el proceso de entrada y contar con un respaldo documental completo. Sin embargo, esta comodidad no puede anteponerse a los derechos fundamentales de protección de datos de los ciudadanos.

Las empresas deben limitarse a solicitar la información estrictamente necesaria para cumplir con las normativas de seguridad y no más. Cualquier exceso, como escanear la totalidad de un documento de identidad, puede derivar en una sanción administrativa y un perjuicio reputacional para el negocio.

Derechos del cliente: lo que debes saber al registrarte en un hotel

Este caso también sirve para recordar a los consumidores que tienen derecho a conocer cómo se tratan sus datos y a negarse a prácticas que consideren desproporcionadas. Ningún establecimiento puede obligar al cliente a permitir el escaneo total de su DNI si este no lo autoriza expresamente.

En caso de duda o conflicto, el consumidor puede presentar una reclamación ante la AEPD, que tiene competencia para investigar posibles vulneraciones y sancionar a las empresas infractoras. Este organismo actúa de forma independiente y garantiza que el uso de la información personal se realice dentro de los límites establecidos por la ley.

La tecnología ha facilitado muchos procesos en el sector turístico, pero también ha generado nuevos riesgos. La facilidad con la que ahora se puede escanear, almacenar y compartir documentos personales exige una mayor responsabilidad por parte de las empresas que manejan esta información.

Los hoteles deben revisar sus protocolos y asegurarse de que están en línea con el RGPD, ya que las infracciones pueden suponer no solo sanciones económicas, sino también la pérdida de confianza por parte de los clientes.

Comenta el artículo
Alba Carbajal

Periodista, fotógrafa y amante de la música. Con un Máster en Periodismo Multimedia Profesional de la Universidad Complutense de Madrid en el bolsillo y ahora metida de lleno en el mundo de la investigación con un Doctorado en Lingüística, Literatura y Comunicación en la Universidad de Valladolid. ¡Siempre en busca de la próxima gran historia que contar!

Historias como esta, en su bandeja de entrada cada mañana.

O apúntese a nuestro  canal de Whatsapp

Más en

Deja una respuesta

Ahora en portada