La Agencia Española de Protección de Datos (AEPD) ha sancionado a un alojamiento turístico con una multa de 1.200 euros por incumplir el principio de minimización de datos del Reglamento General de Protección de Datos (RGPD).
Competencia de la AEPD
La AEPD es el organismo competente para investigar y sancionar infracciones en materia de protección de datos dentro de España, según lo establecido en el RGPD (Reglamento UE 2016/679) y la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
El procedimiento sancionador
Conforme al artículo 64 de la LOPDGDD, los procedimientos sancionadores en protección de datos deben resolverse en un plazo máximo de 12 meses. En este caso, la investigación concluyó con la imposición de una multa al alojamiento turístico por recopilar datos personales de manera excesiva.
Los hechos
En España, los establecimientos de hospedaje deben identificar a sus huéspedes y comunicar ciertos datos a las Fuerzas y Cuerpos de Seguridad del Estado. Sin embargo, el alojamiento turístico solicitó a sus clientes el envío de una fotografía completa de su DNI a través de WhatsApp, lo que excedía los requisitos legales.
Las normativas aplicables, como la Ley Orgánica 4/2015 de Protección de la Seguridad Ciudadana y el Real Decreto 933/2021, obligan a los alojamientos a recopilar información básica del huésped, pero no exigen la solicitud de una copia completa del DNI. La empresa incluyó datos innecesarios como la fotografía, el número de expedición y los nombres de los progenitores, lo que vulneró el principio de minimización de datos del artículo 5.1.c) del RGPD.
Clasificación de la infracción y sanción
El RGPD considera muy grave la vulneración del principio de minimización de datos, lo que puede conllevar sanciones económicas significativas. Inicialmente, la multa impuesta fue de 2.000 euros, pero la empresa optó por un pago voluntario y el reconocimiento de responsabilidad, lo que redujo la sanción en un 40%, quedando en 1.200 euros.
Medidas correctivas
Además de la multa, la AEPD ordenó a la empresa:
- Modificar su sistema de registro para no solicitar copias del DNI.
- Eliminar las imágenes de documentos de identidad almacenadas en su sistema.
El incumplimiento de estas medidas podría derivar en nuevas sanciones.
Cierre del procedimiento
El alojamiento turístico abonó la multa y renunció a interponer recursos administrativos, por lo que la AEPD dio por finalizado el procedimiento. La resolución es definitiva en la vía administrativa, aunque la empresa podría recurrir ante la jurisdicción contencioso-administrativa.
Conclusiones
Este caso subraya la importancia de respetar el principio de minimización de datos en la gestión de información personal. Los alojamientos deben identificar a sus huéspedes sin solicitar copias innecesarias de documentos. El incumplimiento de la normativa de protección de datos puede acarrear sanciones económicas y medidas correctivas por parte de la AEPD.
