Una empresa es multada por solicitar fotografías del DNI para el check-in

Una empresa es multada por solicitar fotografías del DNI para el check-in

La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 75.000 euros a la empresa Marketing Accommodation Solutions FZ, propietaria de pisos que se anuncian en Airbnb, por no cumplir con dos artículos importantes del Reglamento General de Protección de Datos (RGPD). En concreto, se ha determinado que la empresa ha infringido el artículo 5.1.c) y el artículo 13 del RGPD.

Origen de la sanción

El caso se inició cuando un grupo de siete personas decidió utilizar la plataforma Airbnb para contactar a Marketing Accommodation Solutions y alquilar uno de sus apartamentos en Barcelona durante unos días. La empresa había habilitado una página web para realizar el check-in en línea, un trámite obligatorio para formalizar la entrega de las llaves del apartamento. Sin embargo, surgieron inquietudes cuando los siete huéspedes se encontraron con un formulario en el que tenían que proporcionar sus correos electrónicos, números de teléfono y direcciones. Además, se les solicitaba enviar fotografías de ambos lados de sus documentos de identidad y selfies individuales.

Hay que tener mucho cuidado con las estafas en la plataforma AIRBNB.

Incumplimiento del RGPD

Después de su estancia, los huéspedes se pusieron en contacto con el responsable del tratamiento de datos para expresar su preocupación por la cantidad de información personal requerida para realizar la reserva. Argumentaron que la empresa estaba recopilando datos excesivos y que no se les daba la opción de denegar el consentimiento para el envío de ofertas y productos. Además, según explicaron en la reclamación presentada ante la AEPD, también se les preguntó qué datos tenían almacenados, cuáles se habían obtenido con su autorización, a quién se habían cedido y a quiénes se habían compartido.

La respuesta que recibieron por parte de la empresa fue muy vaga. Se les explicó que la empresa tenía su DNI, nombre, apellidos, correo electrónico y número de teléfono, y que el propósito del check-in era cumplir con una normativa autonómica que obligaba a comunicar dichos datos al Registro de Viajeros que mantenían en colaboración con los Mossos d’Esquadra. Además, se les aseguró que sus datos nunca se habían compartido y que podían estar tranquilos porque no se enviaba publicidad ni se realizaban campañas.

Investigación de la AEPD

La AEPD solicitó información detallada a Marketing Accommodation Solutions FZ. Se pidió, por ejemplo, una justificación de la base de legitimación utilizada para recopilar y procesar las imágenes «selfies» de los usuarios, así como una copia de los documentos de identificación.

La Agencia destacó que la Orden IRP/418/2010, de 5 de agosto, sobre la obligación de registro y comunicación a la Dirección General de la Policía de las personas que se alojan en los establecimientos de hospedaje ubicados en Cataluña, no incluía la recopilación de dicha información entre los datos requeridos para ser proporcionados a los Mossos d’Esquadra.

Esta Orden establece que se debe proporcionar el número de documento de identidad, tipo de documento, fecha de expedición (si está disponible), apellidos, nombre, sexo, nacionalidad, fecha de entrada, dirección, número de teléfono y duración prevista de la estancia. En este caso, la parte denunciada no presentó alegaciones ni pruebas que refutaran los hechos denunciados dentro del plazo establecido.

La AEPD determinó que se trataba de una recopilación de datos excesiva, ya que no eran necesarios para la prestación del servicio de alquiler de apartamentos vacacionales ni para cumplir con la obligación de registrar a las personas que se alojan en los establecimientos de hospedaje en Cataluña, tal como lo exige el artículo 2 de la Orden IRP/418/2010, de 5 de agosto. Por ejemplo, la solicitud de fotografías del DNI por ambas caras.

Sanciones impuestas por la AEPD

En vista de esta situación, la AEPD ha impuesto dos multas a Marketing Accommodation Solutions FZ por infringir los artículos 13 y 5.1.c) del RGPD. Por el incumplimiento del artículo 13, la empresa deberá pagar una multa de 50.000 euros. Esta sanción se debe a la falta de proporcionar toda la información necesaria sobre el tratamiento de datos, como los datos de contacto del responsable y del delegado de protección de datos, el período de tiempo durante el cual se conservarán los datos, entre otros.

En cuanto al incumplimiento del artículo 5.1.c), se ha impuesto una multa de 25.000 euros. La AEPD consideró que no todos los datos solicitados por la empresa eran necesarios ni para prestar el servicio de alquiler de apartamentos vacacionales ni para cumplir con la obligación de registrar a las personas que se alojan en los establecimientos de hospedaje en Cataluña, como lo establece la Orden IRP/418/2010, de 5 de agosto. Por ejemplo, la solicitud de fotografías del DNI por ambas caras.

Resolución de la sanción

Esta multa impuesta por la AEPD a Marketing Accommodation Solutions FZ destaca la importancia de cumplir con las disposiciones del RGPD en el tratamiento de datos personales. Las empresas deben garantizar que la recopilación y el procesamiento de datos se realicen de acuerdo con los principios de necesidad, proporcionalidad y consentimiento informado.

Es esencial que las empresas revisen y ajusten sus políticas de privacidad y procedimientos de recopilación de datos para asegurarse de que se cumplan las regulaciones de protección de datos. Además, deben proporcionar a los usuarios toda la información necesaria sobre el tratamiento de sus datos, incluyendo los datos de contacto del responsable y del delegado de protección de datos, así como los plazos de conservación de los datos.

Las multas impuestas por la AEPD son una clara señal de que el incumplimiento del RGPD no será tolerado, y las empresas deben tomar las medidas necesarias para proteger la privacidad y los derechos de los usuarios en el tratamiento de sus datos personales.

Call Now Button