¿Puede mi hotel escanear el DNI o pasaporte de un huésped?

El motivo de la sanción se centraba principalmente en el uso de la imagen escaneada del huésped. Según la resolución, la base legal argumentada para ello (el interés legítimo del hotel y el huésped para protegerse frente a determinados fraudes de la tarjeta identificativa del alojamiento) no se había indicado correctamente al huésped y tampoco se había argumentado ni procedimentado como requiere la normativa.

La resolución ha provocado tanto ruido que varias semanas después de su publicación la AEPD tuvo que publicar un comunicado aclarando el alcance de la misma.

Pero la pregunta sigue ahí, ¿puede mi hotel escanear el DNI o pasaporte de un huésped que se aloje en el mismo? La respuesta es sí, pero con matices. Cuando un huésped se aloja en un hotel, el establecimiento tratará los datos personales más comunes del ciudadano, principalmente por tres bases legales.

En primer lugar, por la relación contractual que tiene con el mismo, lo que le permite recopilar datos como el nombre y apellidos, un correo electrónico o un medio de pago, por ejemplo, para prestar el servicio contratado.

En segundo lugar, hay otra base legal que permite y obliga a los establecimientos turísticos recoger otro tipo de datos personales. Hablamos de la Ley Orgánica 4/2015 de protección de la seguridad ciudadana y de la Orden INT/1922/2003 sobre libros-registro y partes de entrada de viajeros en establecimientos de hostelería y otros análogos.

Esas dos normas permiten y obligan a los hoteles y otros establecimientos turísticos a recoger datos como el número de documento de identidad, el tipo de documento y fecha de expedición, el nombre y apellidos, sexo, fecha de nacimiento, país de nacionalidad, fecha de entrada y firma del viajero.

Luego esa información debe ser trasladada a las Fuerzas y Cuerpos de Seguridad del Estado.

Esos datos no se recogen por la relación contractual que tiene el hotel con el huésped, sino por la obligación legal que imponen las normas citadas.

Finalmente, lo normal es que el establecimiento turístico también use el consentimiento del huésped para tratar algunos de sus datos (por ejemplo, el envío de determinados boletines informativos u ofertas comerciales durante y con posterioridad a la estancia, entre otros).

Pues bien, en este caso el hotel sancionado recogía los datos derivados de las dos primeras bases legales, la contractual y la obligación legal, principalmente mediante el escaneo del pasaporte, DNI u otro documento equivalente del huésped. Ese escaneo se hacía mediante OCR o reconocimiento de caracteres. De esa forma, los datos del documento se digitalizaban y se podían incluir ya en los campos correspondientes sin tener que escribirlos manualmente.

Ahora bien, en ese escaneo también se recogía la fotografía del huésped. Y he ahí el problema.

Según el hotel, la fotografía se recogía de forma temporal (aunque luego no era tal) con la finalidad de incorporarla a la tarjeta magnética que permitía al huésped acceder a la habitación y pagar los consumos con cargo a su cuenta hasta finalizar su estancia. De ese modo, en el momento de realizar un consumo, el cliente facilitaba esa tarjeta al empleado, quien, al pasarla para realizar el cargo, podía comprobar en su pantalla del TPV la fotografía del pasaporte o documento escaneado. Con ello se pretendía verificar la identidad del cliente, evitar el uso fraudulento de la tarjeta por parte de terceros e impedir causar un perjuicio económico al cliente.

El hotel sabía que no podía tratar el dato consistente en la imagen del huésped por la base legal del contrato ni por la obligación legal de la normativa indicada. Por tanto, aplicaba como base legal el interés legítimo del establecimiento, consistente en asegurarse que cobraba al verdadero usuario del servicio y que de esa forma también evitaba al cliente el potencial uso fraudulento de su tarjeta.

Sin embargo, para poder argumentar un interés legítimo como base legal, quien recopila y trata el dato debe evaluarlo y justificarlo adecuada y previamente e informar de ello al interesado (en este caso los huéspedes) cuando se recoge ese dato personal.

Y es ahí donde falló el hotel, ya que no realizó el trabajo previo de ponderación y además nunca informaba al cliente de que al escanear su pasaporte o DNI también recopilaba su fotografía para las finalidades indicadas.

Eso es lo que en el fondo genera la sanción. No el hecho de escanear el pasaporte, sino el hecho de recoger también la fotografía del mismo, usarla con una base legal no suficientemente bien argumentada y documentada (y que quizá tenía alternativas menos intrusivas), no comunicar nunca al huésped nada en relación a ese detalle de la imagen y no tener en cuenta la opción del consentimiento en lugar del interés legítimo para este tratamiento concreto.

En resumen, se puede escanear el DNI, pasaporte, permiso de conducir u otros documentos que ayuden a cumplir con la prestación del servicio y las obligaciones legales de los establecimientos turísticos. Ese escaneo se podría automatizar para incluir esos datos en el PMS del hotel sin más, pero ojo si el escaneo también recopila la fotografía, ya que o bien hay que configurarlo para evitar que eso ocurra o buscar un motivo, una base legal y procedimentarlo debidamente cara al huésped, o podemos tener un futuro dolor de cabeza.