¿Qué datos pueden recoger los alojamientos turísticos de sus clientes?

¿Qué datos pueden recoger los alojamientos turísticos de sus clientes?
abril 22, 2022| Protección de datos

Se acerca el buen tiempo y, con ello, el aumento de las reservas de hoteles y demás alojamientos turísticos en las zonas más cotizadas de España. Aprovechando este incremento de huéspedes y, al hilo de una resolución (PS/00078/2021) de la Agencia Española de Protección de Datos (AEPD), ésta ha emitido un comunicado sobre el registro de datos de ciudadanos por parte de alojamientos turísticos con la finalidad de que dichos establecimientos recojan sólo los datos necesarios de sus clientes y, en caso de solicitar más datos, cumplan con los requisitos oportunos de la normativa en materia de protección de datos.

*Puede acceder al contenido íntegro del comunicado y de la resolución en los siguientes links:

¿Tienen los alojamientos turísticos la obligación de registrar determinados datos personales de los clientes?

Sí, los alojamientos turísticos tienen la obligación de registrar determinados datos personales de los clientes en virtud del artículo 24.1º de Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana. De conformidad con el apartado 1º de este artículo “Las personas físicas o jurídicas que ejerzan actividades relevantes para la seguridad ciudadana, como las de hospedaje… quedarán sujetas a las obligaciones de registro documental e información en los términos que establezcan las disposiciones aplicables”.

En concreto, los datos que deben solicitar del viajero son:

  • Número de documento de identidad
  • Tipo de documento
  • Fecha de expedición del documento
  • Nombre y apellidos
  • Sexo
  • Fecha de nacimiento
  • País de nacionalidad
  • Fecha de entrada
  • Firma

Estos datos deben incorporarse a la información que la entidad responsable del hotel debe trasladar a las Fuerzas y Cuerpos de Seguridad del Estado.

Como puede observarse, los alojamientos turísticos, recogen estos datos personales porque existe una ley que les obliga a ello. Por tanto, la base de legitimación para el tratamiento de dichos datos es, precisamente, el cumplimiento de una obligación legal (artículo 6.1.a) RGPD).

¿Pueden solicitar otros datos distintos de los necesarios para el registro?

Sí, pueden solicitar otros datos distintos de los necesarios para el registro; siempre y cuando:

  1. Informen convenientemente de la finalidad de la recogida y el tratamiento de esos datos, en virtud del artículo 13 RGPD.
  2. Puedan ampararse en otra base de legitimación para poder tratar esos datos: en la mayoría de los casos, porque existe el consentimiento del viajero de forma libre y voluntaria (artículo 6.1ºa) RGPD) o porque es necesario el tratamiento de dichos datos para la ejecución del contrato (artículo 6.1ºb) RGPD).
  3. Identifiquen esas finalidades juntos con las bases de legitimación del tratamiento, en su Registro de Actividades de Tratamiento (RAT).

El hotel infractor de la resolución de la AEPD pudo haber evitado la sanción de 30.000 euros, si hubiera cumplido con los anteriores requisitos. En concreto, el hotel, además de los datos necesarios para el registro, recogía y utilizaba las fotografías de los clientes para el control de acceso y la facturación de sus consumos durante su estancia.

El procedimiento era el siguiente: “cuando el cliente se registraba, se le proporciona una tarjeta magnética que le permitía, además del acceso a la habitación, el pago de los consumos con cargo a su cuenta. En el momento de realizar un consumo, el cliente facilitaba esa tarjeta al empleado, quien, al pasarla por su dispositivo, tenía acceso a la fotografía”.

En este caso, queda probado que:

  • La información en materia de protección de datos personales que la entidad facilitaba a los clientes no incluía ningún detalle sobre la recogida y utilización de la fotografía, por lo que los clientes las desconocían.
  • No puede ampararse esta recogida de datos, en el cumplimiento de una obligación legal (artículo 6.1ºc) RGPD), ni siquiera en la ejecución del contrato (artículo 6.1b) RGPD); ya que la recogida de la foto no es necesario para poder hospedarse en un hotel. Por tanto, la única base de legitimación posible sería haber recabado el consentimiento del interesado (artículo 6.1ºa) RGPD), cosa que no sucedió; o argumentar “muy mucho” el interés legítimo (artículo 6.1º.f) RGPD).
  • Tampoco se recogía este tratamiento en su Registro de Actividades de Tratamiento (RAT).
Suscribete a nuestra Newsletter