La toga del derecho: Visite nuestro hotel

Luis Fernando León / Socio-director de
León&León Abogados

Que esto de la Protección de Datos es un “sacacuartos” para las empresas. Que es otro invento de la Unión Europea para meter al empresario en más gastos y más normas que cumplir» … «Que a mí esto me lo hace mi gestoría o mi servicio de prevención de riesgos laborales…».

«Que no es necesario, ya que esto luego esto ni lo miran; que nadie viene a hacer inspecciones…».

Esas son algunas de las objeciones que más comúnmente nos solemos encontrar los profesionales de la privacidad en nuestro día a día.

Ahora bien, el problema viene cuando te encuentras noticias como esta:

«La AEPD impone una multa de 30.000 euros a un hotel por incumplir el RGPD».

Pues menuda gracia le tiene que haber hecho al hostelero, porque un empleado suyo, queriendo cumplir con la ley, precisamente ha logrado el efecto contrario. Y es que la empresa sancionada informaba debidamente al huésped sobre la recogida y comunicación de sus datos a las autoridades en cumplimiento de la normativa aplicable, escaneando la documentación de identidad de dicho huésped. Si bien, sin saberlo, estaba realizando una sobreexposición de los datos, al escanear de forma completa (incluida la fotografía) el pasaporte a un ciudadano de los Países Bajos.
El hotel recogía y escaneaba los pasaportes de los clientes con la finalidad de cumplir con la normativa del registro de entrada de viajeros en establecimientos hoteleros, así como la obligación de comunicar la información contenida en las hojas-registro a las dependencias policiales, Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana, y la Orden INT/1922/2003, de 3 de julio.

Pero luego, no informaba del uso que se hacía de forma interna con ella, ya que se utilizó para evitar un uso fraudulento de la tarjeta de consumo interno del hotel, verificando la identidad del cliente al realizar cargos en la cuenta de su habitación con el objetivo de no causar un perjuicio económico a los clientes. Es decir, que no se informó debidamente al cliente de que luego, los datos escaneados, se utilizarían para otras finalidades que no eran la de cumplir con la ley de protección de la seguridad ciudadana.

En suma, que el empleado, con todo su buen hacer y seguramente sin saberlo, incumplió una norma con el objetivo de cumplir otra.

De ahí la importancia de dos cosas:
1- Analizar bien los procesos de tratamientos de datos personales en nuestras empresas de forma interna.
2- Formar bien a los empleados en las tareas de protección de los datos, ya que suele haber un riesgo bastante importante en el manejo de estos, sin la debida formación.

Para evitar situaciones desagradables y elevadas sanciones económicas, lo más importante, como siempre, es la prevención.