Con relación a la sanción impuesta a un establecimiento hotelero por utilizar la imagen (fotografía) de un ciudadano, la AEPD ha emitido un comunicado con el fin de aclarar que:
Los datos recabados por el hotel (número de documento de identidad, tipo de documento y fecha de expedición, nombre y apellidos, sexo, fecha de nacimiento y país de nacionalidad, fecha de entrada y firma del viajero) resultan necesarios para la ejecución del contrato en el que el interesado es parte y para el cumplimiento de una obligación legal aplicable al hotel (artículo 25 de la Ley Orgánica 4/2015). No ocurre así en el caso de la recogida y utilización de la fotografía para el control de acceso y la facturación de los consumos durante la estancia del huésped en el hotel, lo que supone un tratamiento de datos personales innecesario y desproporcionado.
En la Resolución, la AEPD concluye que el escaneo y uso de la imagen del pasaporte para estos fines resulta desproporcionado y excesivo, ya que aun pudiendo existir un interés legítimo que respalde su tratamiento, existen medios menos invasivos para garantizar que el titular de la tarjeta es la persona que realiza el pago, que se hubiese determinado de haber llevado a cabo la ponderación previa que exige el GDPR para basar el tratamiento de datos en esta base jurídica.
Además, no se informó al huésped sobre los usos y fines de tratar su imagen, no dándole por tanto la opción de oponerse a su tratamiento.
La AEPD sanciona al entender que no existe base jurídica suficiente para amparar el tratamiento de la imagen de los huéspedes, no quedando amparada por la ley de Seguridad Ciudadana, ni por el Interés legítimo con fines de seguridad.
Además, en la resolución la AEPD proporciona fórmulas menos invasivas para garantizar, del mismo modo, la seguridad en el uso de las tarjetas de acceso a las habitaciones. Por ejemplo: