L’Agència Espanyola de Protecció de Dades (AEPD) ha sancionat recentment a un establiment hoteler amb una multa de 30.000,00 euros per haver escanejat el passaport d’un client estranger i utilitzar-lo, a banda del tràmit obligatori de registre de viatgers, per verificar la seva identitat mitjançant la seva fotografia en alguns serveis de l’establiment com el bar, el restaurant o l’spa. Els empleats de cada servei podien visualitzar la imatge del portador de la targeta mitjançant els sistemes informàtics.
La denúncia va ser interposada pel turista a l’agència del seu país, pel fet d’haver capturat la fotografia en contra de la seva voluntat.
L’AEPD va indicar inicialment que el tractament de les dades personals inclòs al passaport és necessari per a registral el client, però amb posterioritat va afegir que la verificació de la identitat del titular de la targeta magnètica d’accés es pot i s’ha de dur a terme mitjançant mètodes menys intrusius, com per exemple pel cognom, número d’habitació o signatura del client. D’altra banda, l’establiment tampoc va informar sobre la utilització de la imatge ni va establir cap mecanisme per obtenir el consentiment dels clients per la seva utilització en operacions de tractament addicional (serveis hotel).
Amb aquesta resolució s’entén que obtenir i utilitzar la fotografia dels clients suposa un tractament de dades personals excessiu, i que és constitutiu d’infracció de l’article 6 del Reglament General de Protecció de Dades, relatiu a la licitud del tractament.
L’establiment en qüestió ha estat requerit perquè deixi d’utilitzar la imatge dels seus clients o bé que informi i sol·liciti consentiment exprés per a la utilització de la fotografia en l’accés als serveis addicionals esmentats.