Acabem d’inaugurar l’agost, és a dir, temporada alta de vacances. Comprar bitllets, viatges, llogar pisos o habitacions d’hotel, reserves, etc. Una infinitat de gestions a realitzar per a poder gaudir de les vacances tan llargament esperades. I un moment crític per al tractament de dades personals, que sempre es demanen a l’hora de fer reserves.
Cal parar atenció amb el que ens demanen i no prendre-s’ho a la lleugera.
Un exemple per a il·lustrar això és la multa de 75.000 euros amb la qual l’Agència Espanyola de Protecció de Dades (AEPD) va sancionar a una empresa de gestió de lloguers turístics (Màrqueting Accomodation Solutions) per excedir-se en el tractament de dades personals. L’empresa en qüestió exigia més dades de les necessàries a l’hora de gestionar els seus lloguers, demanant mitjançant un formulari, l’adreça postal, el telèfon, un correu electrònic, el DNI fotografiat per ambdues cares i, fins i tot, selfies de cada una de les persones que s’hi allotjarien. A més, no existia la possibilitat de declinar l’opció d’utilitzar les dades per a enviar ofertes i promocions.
Tot va començar quan una usuària, a través de la plataforma en línia Airbnb, va contactar amb la ja esmentada empresa amb el propòsit d’aconseguir allotjament per a uns dies amb els seus acompanyants. Aquesta entitat havia habilitat una pàgina web/app per a fer el check-in en línia, tràmit obligatori per a formalitzar el lliurament de claus de l’apartament. Per a la realització del registre, tots els inquilins havien d’emplenar un formulari en el qual havien d’aportar totes les dades esmentades anteriorment.
Una de les persones afectades es va posar en contacte amb l’empresa amb la finalitat d’indicar que les dades que es sol·licitaven eren excessives per a fer una reserva. La resposta de l’entitat indicava que les úniques dades que tenien/necessitaven eren les facilitades per Airbnb, és a dir, nom i cognoms, número de telèfon i correu electrònic. No obstant això, en el correu de confirmació de check-in, s’informava que les dades personals també s’anaven a emmagatzemar per a futures reserves, així com per a “mantenir-los actualitzats de les nostres notícies, promocions i ofertes”. A més, l’empresa també va defensar que la resta de les dades (còpies de DNI, per exemple) havien estat recopilades perquè, a Catalunya, és obligatori fer arribar a la policia les dades dels viatgers.
Vulneració dels articles 5 i 13 del RGPD
Davant la resposta genèrica i poc convincent de l’empresa, les persones afectades van decidir fer una reclamació davant l’AEPD, que va estudiar el cas. És aquí on hem de tenir present que l’article 5.1.c) del Reglament General de Protecció de Dades (RGPD) estableix que “les dades personals seran tractades de manera adequada, pertinent i limitat a l’estrictament necessari en relació amb els fins per als quals són tractades; és a dir, de tal manera que, si l’objectiu perseguit pot aconseguir-se sense realitzar un tractament excessiu, així ha de ser”.
L’Agència, en la seva resolució, va entendre que “no totes les dades són necessàries ni per a prestar el servei de lloguer d’apartaments de vacances, ni per a donar compliment a l’obligació de registrar a les persones que s’allotgen en els establiments d’hostalatge, ni per al registre i comunicació a la Direcció general de Policia”. Per tant, es va cometre una vulneració de l’article 5 RGPD, en tractar dades que no eren necessàries, tipificada en l’article 72 LOPDGDD com a infracció molt greu en el tractament de dades.
D’altra banda, l’agència també va destacar que es va vulnerar l’article 13 RGPD, que diu així: “quan s’obtinguin dades personals d’un interessat, el responsable del tractament, en el moment que les obtingui, li facilitarà tota la seva identitat i dades de contacte; els objectius als quals es destinen aquestes dades i la base jurídica del seu tractament; si existeixen destinataris o les dades són comunicades a tercers (i a quins, en el seu cas); així com la intenció del responsable de transferir a un tercer país o organització internacional, i l’existència o absència d’una decisió d’adequació de la Comissió Europea”.
Així, l’Agència va imposar una multa de 25.000 € per l’ús excessiu i innecessari de dades personals (article 5.1.c RGPD), i una altra de 50.000 € per no informar de la realització de manera clara i transparent sobre els fins del tractament, comunicació a tercers països o organitzacions internacionals, etc. (article 13RGPD).
Com a últim element a destacar, cal afegir que, en identificar al responsable, es va revelar que l’empresa encarregada del check-in està situada als Emirats Àrabs. No obstant això, malgrat estar fora de la Unió Europea, l’AEPD té competència en el cas perquè l’oferta de béns o serveis sí que es dirigeix cap a consumidors de la UE i sobre serveis que es presten en el territori.
I aquesta no és una notícia aïllada que serveixi d’exemple. Amb el que portem d’estiu, ja s’han imposat diverses multes per vulneració de les obligacions en matèria de protecció de dades, com la multa a Microsoft de 20 milions de dòlars per recopilar dades de menors il·legalment; o la sanció imposada per l’AEPD a Quality Provider per posar traves a la supressió de les dades personals d’un usuari.
És important tenir sempre present la importància de les dades personals, respectant els drets i obligacions que comporten el seu tractament i les conseqüències que implica la seva mala gestió o la no actualització de la política de privacitat.
Article d’Imma Martí.
