En relación con las informaciones hechas públicas sobre la sanción impuesta a un establecimiento hotelero por registrar los datos de la identificación de un ciudadano, la Agencia Española de Protección de Datos (AEPD) ha hecho público las siguientes aclaraciones: 

• Los alojamientos turísticos deben registrar datos de los documentos de identificación de sus clientes para cumplir las normas españolas sobre registros de viajeros y comunicarlos a las Fuerzas y Cuerpos de Seguridad del Estado en cumplimiento de la normativa de seguridad ciudadana. El artículo 24 de la Ley Orgánica 4/2015 dispone en su apartado primero lo siguiente: “Las personas físicas o jurídicas que ejerzan actividades relevantes para la seguridad ciudadana, como las de hospedaje… quedarán sujetas a las obligaciones de registro documental e información en los términos que establezcan las disposiciones aplicables”. Esta norma legitima la recogida de los datos personales relativos a número de documento de identidad, tipo de documento y fecha de expedición, nombre y apellidos, sexo, fecha de nacimiento y país de nacionalidad, fecha de entrada y firma del viajero; los cuales deben incorporarse a la información que la entidad responsable del hotel debe trasladar a las Fuerzas y Cuerpos de Seguridad del Estado.

No obstante, tal y como resulta de los hechos probados y consideraciones de la resolución administrativa:

• La resolución de AEPD recoge que el establecimiento hotelero sancionado también recogía y utilizaba las fotografías de los clientes para el control de acceso y la facturación de sus consumos durante su estancia. La información en materia de protección de datos personales que la entidad facilitaba a los clientes no incluía ningún detalle sobre la recogida y utilización de la fotografía, por lo que los clientes las desconocían. Tampoco se recogía este tratamiento en su Registro de Actividades de Tratamiento.
• El procedimiento que seguía el establecimiento era el siguiente: cuando el cliente se registraba, se le proporciona una tarjeta magnética que le permitía, además del acceso a la habitación, el pago de los consumos con cargo a su cuenta. En el momento de realizar un consumo, el cliente facilitaba esa tarjeta al empleado, quien, al pasarla por su dispositivo, tenía acceso a la fotografía. La recogida y utilización de esas fotografías no están amparadas por las bases jurídicas de ejecución del contrato o cumplimiento de una obligación legal.
• Los datos recabados por el establecimiento resultan necesarios para la ejecución del contrato en el que el interesado es parte y para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. No ocurre así en el caso de la recogida y utilización de la fotografía, lo que supone un tratamiento de datos personales innecesario y desproporcionado.
• La AEPD ha requerido al establecimiento que cese en la recogida y tratamiento de la fotografía de sus clientes o, en caso contrario, adecúe la información en materia de protección de datos que ofrece a los clientes, especialmente la relativa a la recogida y utilización de la fotografía y la base jurídica que fundamenta el tratamiento, estableciendo mecanismos que permitan acreditar que se le facilita dicha información a los clientes, y adecuar sus operaciones de tratamiento. Asimismo, deberá corregir los efectos de la infracción cometida, lo que conlleva la supresión de todas las fotografías recogidas de los clientes hasta el momento.

La resolución completa está disponible en este enlace