La Agencia Española de Protección de Datos (AEPD) en su expediente sancionador https://www.aepd.es/documento/ps-00421-2024.pdf impuso una multa de 9.000 euros a un establecimiento hotelero por incumplimiento del principio de minimización de datos.
El cliente presentó una reclamación ante la AEPD en la que alegaba que, al registrarse, se le exigió el escaneo completo de su DNI, ante su negativa, el personal copió manualmente sus datos personales.
En el proceso de investigación, la AEPD comprobó que el establecimiento llevaba a cabo el escaneo íntegro de los documentos de identidad de los huéspedes, conservando imágenes con datos que no son necesarios, como la fotografía, número de soporte o firma, alegando el cumplimiento del Real Decreto 933/2021 sobre registro documental de viajeros. Este Real Decreto solamente obliga a recabar determinados datos, sin exigir la copia completa.
La Agencia concluyó que se vulneró el principio de minimización de datos (art. 5.1.c del RGPD), puesto que trató información excesiva para el fin perseguido, además el procedimiento carecía de proporcionalidad, ya que existían medios menos intrusivos, como por ejemplo la verificación visual.
En la resolución, se le indica, además, que debe modificar su sistema de registro y eliminar los documentos de identidad escaneados almacenados en su sistema.
IMPORTANTE
Se deberán evitar tratamientos innecesarios, limitar los datos recabados a lo estrictamente necesario y garantizar que sean pertinentes y justificables para la finalidad del tratamiento.
