La Agencia Española de Protección de Datos (AEPD) ha sancionado recientemente a un establecimiento hotelero con una multa de 30.000,00 euros por haber escaneado el pasaporte de un cliente extranjero y utilizarlo, aparte del trámite obligatorio de registro de viajeros, para verificar su identidad mediante su fotografía en algunos servicios del establecimiento como el bar, el restaurante o el acceso al spa. Los empleados de cada servicio podían visualizar la imagen del portador de la tarjeta mediante los sistemas informáticos.
La denuncia fue interpuesta por el turista a la agencia de su país, por haber capturado la fotografía en contra de su voluntad.
La AEPD indicó inicialmente que el tratamiento de los datos personales incluidos en el pasaporte es necesario para registrar al cliente, pero con posterioridad añadió que la verificación de la identidad del titular de la tarjeta magnética de acceso puede y debe de llevarse a cabo mediante métodos menos intrusivos, como por ejemplo por el apellido, número de habitación o firma del cliente. Por otro lado, el establecimiento tampoco informó sobre la utilización de la imagen ni estableció ningún mecanismo para obtener el consentimiento de los clientes para su utilización en operaciones de tratamiento adicional (servicios hotel).
Con esta resolución se entiende que obtener y utilizar la fotografía de los clientes supone un tratamiento de datos personales excesivo, y que es constitutivo de infracción del artículo 6 del Reglamento General de Protección de Datos, relativo a la licitud del tratamiento.
El establecimiento en cuestión ha sido requerido para que deje de utilizar la imagen de sus clientes o bien que informe y solicite consentimiento expreso para la utilización de la fotografía en el acceso a los servicios adicionales mencionados.