La resolución de protección de datos considera que el tratamiento de la imagen de los huéspedes es desproporcionada y excesiva.
¿Qué sucedió?
Un cliente denunció al hotel donde debido al escáner del pasaporte con su oposición durante el proceso de registro en el hotel. Su negativa se debió a la que no resultaban necesarios muchos de los datos que aparecen en el documento, a lo que el empleado del hotel respondió alegando seguir instrucciones de la policía. Por otro lado, el reclamante, aseguró haber visto a los empleados del hotel con la foto del pasaporte en sus tabletas.
En este caso, el hotel alegó que el pasaporte se escanea para cumplimentar el software del hotel (OCR) y, aunque no se guarda la imagen escaneada, si la foto. Ésta, luego se utiliza para evitar fraudes en el pago con tarjetas de créditos. Sin embargo, la información que se proporcionaba a los clientes no incluía ningún detalle sobre la recogida y utilización de la fotografía, que eran desconocidos para los interesados.
La resolución señala que, independientemente de que el interesado no conozca para qué fines o con qué base jurídica se han recogido los datos, se entiende que la recogida y utilización de la fotografía de los clientes es un tratamiento de datos excesivo.
Remarca la AEPD (Agencia Estatal de Protección de Datos) que el hotel no ha establecido garantías adicionales que pudieran favorecer la aceptación de esta base jurídica del tratamiento de datos, como la de favorecer el derecho de oposición del interesado o establecer, incluso, mecanismos de exclusión voluntaria.
La resolución añade que para efectuar tal tratamiento deberían pedir el consentimiento, y pasa a analizar el consentimiento válido (afirmativo, libre, especifico, informado, inequívoco)
De conformidad con el artículo 5, apartado 1, letra b), del RGPD, la obtención del consentimiento válido va siempre precedida de la determinación de un fin específico, explícito y legítimo para la actividad de tratamiento prevista.
Finalmente, se le ha impuesto al hotel una sanción de 30.000€.
¿Cuál ha sido el procedimiento que se lleva a cabo?
En un primer momento la AEPD no aprecia ninguna infracción, ya que entiende que el pasaporte se pide por obligación legal y el uso de la foto es por interés legítimo. Pero al comunicarlo a la autoridad holandesa, esta dice que sí hay incumplimiento, porque el interés legítimo no está bien ponderado.
En vista de ello la AEPD le pide al hotel mucha documentación (RAT, política de privacidad, evaluación de impacto, informe de ponderación del interés legítimo…), y aquí el primer punto de atención: le pide la primera versión, junto con todas las modificaciones o alteraciones posteriores, y la fecha de las misma.
El hotel entrega en primer momento gran cantidad de documentos y en unas segundas alegaciones una hoja de información sobre el interés legítimo, que no había aportado antes donde se explicaba que la finalidad de guardar esa foto era simplemente evitar fraudes en el pago con tarjeta de crédito.
A pesar de esto, la AEPD destaca que la información que se proporcionaba a los clientes no incluía ningún detalle sobre la recogida y utilización de la fotografía, que era desconocido para los clientes.
En cuanto al documento aportado en segundo lugar, en las alegaciones, que, si hace referencia a las fotografías, no se ha acreditado la entrega a los clientes y tampoco se ha justificado cuándo se implantó su utilización. Por tanto, la recogida y utilización de las fotografías de los clientes no quedan amparadas ni por ser la ejecución de un contrato ni el cumplimiento de una obligación legal.
Dado que toda la defensa por parte del hotel se basaba en los artículos 6 y 47 del Reglamento General de Protección de Datos, la agencia los reproduce y señala los criterios interpretativos del mismo:
· El interés legítimo del responsable prevalece sobre los intereses o derechos y libertades fundamentales del titular de los datos, a la vista de las expectativas razonables que este tenga, fundadas en la relación que mantiene con el responsable de tratamiento.
· Es imprescindible que se realice una “evaluación meticulosa” de los derechos e intereses en juego, también en aquellos supuestos en los que el interesado pueda prever de forma razonable, en el momento y en el contexto de la recogida de datos, que pueda producirse en el tratamiento con tal fin.
· Los intereses y derechos fundamentales del titular de los datos personales podrían prevalecer frente a los intereses legítimos del responsable cuando el tratamiento de los datos se efectúe en circunstancias tales en las que el interesado “no espere razonablemente” que se lleve a cabo un tratamiento ulterior de sus datos personales.
La AEPD señala que no consta que la citada entidad haya realizado esa prueba de ponderación y haya informado debidamente al reclamante sobre esta base legitimadora. La agencia, por tanto, destaca como que no es posible aceptar el interés legítimo de responsable cuando se lleva a cabo de forma oculta, ni tampoco el interés legítimo sobrevenido.
La falta de información sobre la prueba de ponderación priva al interesado del derecho a conocer la base jurídica, y del derecho a saber, en concreto, cuáles son los intereses legítimos alegados por el responsable o un tercereo que justificarían el tratamiento sin su consentimiento. Además, le privan del derecho a alegar las causas que podrían contrarrestarlo.
Si no se le da la oportunidad al interesado de alegar dichas causas, cualquier valoración efectuada por el responsable estaría viciada.
La AEPD, basándose en diversas sentencias del TJUE marca los requisitos para aplicar el interés legítimo:
1) Que el responsable del tratamiento o el tercero o terceros a quienes se comuniquen los datos persigan un interés legítimo; (intereses reales, no especulativos, y que además sean legítimos).
En el caso resuelto podría el hotel tener interés legítimo, aunque la resolución especifica que, aunque el responsable tenga dicho interés legítimo, ello no significa, en sí mismo considerado, que pueda simplemente invocarse esta base jurídica como fundamento del tratamiento. La legitimidad de este interés es solo un punto de partida, uno solo de los elementos que deben ponderarse
2) Que el tratamiento sea necesario para la satisfacción de ese interés legítimo.
La resolución recuerda que las excepciones y restricciones al principio de protección de los datos de carácter personal deben establecerse sin sobrepasar los límites de lo estrictamente necesario. Este principio de necesidad hay que interpretarlo de conformidad con lo establecido en el artículo 5.1.c) RGPD, que hace referencia al principio de minimización de datos, señalando que los datos personales serán “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”. En consecuencia, deberán preferirse siempre medios menos invasivos para servir a un mismo fin.
Necesidad supone aquí que el tratamiento resulte imprescindible para la satisfacción del referido interés, de modo que, si dicho objetivo se puede alcanzar de forma razonable de otra manera que produzca menos impacto o menos intrusiva, el interés legítimo no puede ser invocado.
El TEDH, su Sentencia de 25/3/1983 señaló que sin perjuicio de que el tratamiento de los datos de los reclamantes sea “útil”, “deseable” o “razonable”, el término “necesario” no tiene la flexibilidad que está implícita en esas expresiones.
3) Que no prevalezcan los derechos y libertades fundamentales del interesado en la protección de los datos (hay que considerar la repercusión para el interesado, el nivel de intrusismo en su privacidad, y los efectos que pueden repercutirle negativamente).
Cuanto más “negativo” o “incierto” pueda ser el impacto del tratamiento, más improbable es que el tratamiento en su conjunto pueda considerarse legítimo.
Conclusiones:
En la resolución se considera que la recogida y utilización de la fotografía es un tratamiento de datos excesivo. Para efectuar este tratamiento se debería de pedir el consentimiento válido, es decir; afirmativo, libre, específico, informado e inequívoco, cuya obtención va siempre precedida a la determinación de un fin específico, explicito y legitimo para la actividad de tratamiento prevista.
La información mínima para que se considere consentimiento informado (GT29):
1) La identidad del responsable del tratamiento.
2) El fin de cada una de las operaciones de tratamiento para las que se solicita el consentimiento.
3) Qué (tipo de) datos van a recogerse y utilizarse.
4) La existencia del derecho a retirar el consentimiento,
5) Información sobre el uso de los datos para decisiones automatizadas de conformidad con el artículo 22, apartado 2, letra c), cuando sea pertinente, e
6) Información sobre los posibles riesgos de transferencia de datos debido a la ausencia de una decisión de adecuación y de garantías adecuadas, tal y como se describen en el artículo 46”
Sin perjuicio de las disposiciones sobre la compatibilidad de los fines, el consentimiento debe ser específico para cada fin. Los interesados darán su consentimiento entendiendo que tienen control sobre sus datos y que estos solo serán tratados para dichos fines específicos. Si un responsable trata datos basándose en el consentimiento y, además, desea tratar dichos datos para otro fin, deberá obtener el consentimiento para ese otro fin, a menos que exista otra base jurídica que refleje mejor la situación.
Un correcto asesoramiento en materia de protección de datos habría detectado, aplicando el principio de privacidad por defecto y desde el diseño, que el tratamiento de la imagen no se estaba realizando de acuerdo a los principios de la normativa.
En este sentido, desde Legitec trabajamos para que nuestros clientes no se vean en una situación comprometida, realizando evaluaciones periódicas de los tratamientos y estableciendo controles que mitiguen el riesgo de recibir una sanción.
Enhorabuena por todo el repaso al interés legítimo que habéis realizado en este artículo. Muy interesante y bien explicado.
Gracias por compartir