Acabamos de inaugurar agosto, es decir, temporada alta de vacaciones. Comprar billetes, viajes, alquilar pisos, hacer reservas, etc. Un sinfín de gestiones a realizar para poder disfrutar de las vacaciones tan largamente esperadas. Y un momento crítico para el tratamiento de datos personales, que siempre se piden a la hora de hacer reservas.
Hay que prestar atención a lo que nos piden y no tomárselo a la ligera.
Un ejemplo para ilustrar esto es la multa de 75.000 euros con la que la Agencia Española de Protección de Datos (AEPD) sancionó a una empresa de gestión de alquileres turísticos (Marketing Accomodation Solutions) por excederse en el tratamiento de datos personales. La empresa en cuestión exigía más datos de los necesarios a la hora de gestionar sus alquileres, pidiendo, mediante un formulario, la dirección postal, el teléfono, un correo electrónico, el DNI fotografiado por ambas caras e incluso selfies de cada una de las personas que iban a hospedarse. Además, no existía posibilidad de declinar la opción de utilizar los datos para enviar ofertas y promociones.
Todo empezó cuando una usuaria, a través de la plataforma en línea Airbnb, contactó con la ya mencionada empresa con el propósito de conseguir alojamiento para unos días con sus acompañantes. Dicha entidad había habilitado una página web/app para hacer el check-in online, trámite obligatorio para formalizar la entrega de llaves del apartamento. Para la realización del registro, todos los inquilinos debían cumplimentar un formulario en el que debían aportar todos los datos mencionados anteriormente.
Una de las personas afectadas se puso en contacto con la empresa con el fin de indicar que los datos que se solicitaban eran excesivos para una reserva. La respuesta de la entidad indicaba que los únicos datos que tenían/necesitaban eran los facilitados por Airbnb, es decir, nombre y apellidos, número de teléfono y correo electrónico. No obstante, en el correo de confirmación de check-in, se informaba que los datos personales también iban a ser almacenados para futuras reservas, así como para “mantenerles actualizados de nuestras noticias, promociones y ofertas”. Además, la empresa también defendió que el resto de los datos (copias de DNI, por ejemplo) habían sido recopilados porque, en Cataluña, es obligatorio hacer llegar a la policía los datos de los viajeros.
Vulneración de los artículos 5 y 13 del RGPD
Ante la respuesta genérica y poco convincente de la empresa, las personas afectadas decidieron hacer una reclamación ante la AEPD, que estudió el caso. Es aquí donde debemos tener presente que el artículo 5.1.c) del Reglamento General de Protección de Datos (RGPD) establece que “los datos personales serán tratados de manera adecuada, pertinente y limitados a lo estrictamente necesario en relación con los fines para los que son tratados; es decir, de tal manera que, si el objetivo perseguido puede alcanzarse sin realizar un tratamiento excesivo, así debe ser”.
La Agencia, en su resolución, entendió que “no todos los datos son necesarios ni para prestar el servicio de alquiler de apartamentos vacacionales, ni para dar cumplimiento a la obligación de registrar a las personas que se alojan en los establecimientos de hospedaje, ni para el registro y comunicación a la Dirección general de Policía”. Por lo tanto, se cometió una vulneración del artículo 5 RGPD, al tratar datos que no eran necesarios, tipificada en el artículo 72 LOPDGDD como infracción muy grave el tratamiento de datos.
Por otro lado, la agencia también destacó que se vulneró el artículo 13RGPD, que dice así: “cuando se obtengan datos personales de un interesado, el responsable del tratamiento, en el momento que los obtenga, le facilitará toda su identidad y datos de contacto; los fines a los que se destinan dichos datos y la base jurídica de su tratamiento; si existen destinatarios o los datos son comunicados a terceros (y a cuáles, en su caso); así como la intención del responsable de transferir a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión Europea”.
Así, la Agencia impuso una multa de 25.000€ por el uso excesivo e innecesario de datos personales (artículo 5.1.c RGPD), y otra de 50.000 € por no informar de la realización de manera clara y transparente sobre los fines del tratamiento, comunicación a terceros países u organizaciones internacionales, etc. (artículo 13RGPD).
Como último elemento a destacar, cabe añadir que, al identificar al responsable, se desveló que la empresa encargada del check-in se encuentra ubicada en los Emiratos Árabes Unidos. Sin embargo, pese a estar fuera de la Unión Europea, la AEPD tiene competencia en el caso puesto que la oferta de bienes sí se dirige hacia consumidores de la UE y sobre servicios que se prestan en el mismo territorio.
Y esta no es una noticia aislada que sirva de ejemplo. Con lo que llevamos de verano ya se han impuesto varias multas por vulneración de las obligaciones en materia de protección de datos, como la multa a Microsoft de 20 millones de dólares por recopilar datos de menores ilegalmente; o la sanción impuesta por la AEPD a Quality Provider por poner trabas a la supresión de los datos personales de un usuario.
Es importante tener siempre presente la importancia de los datos personales, respetando los derechos y obligaciones que comporten su tratamiento y las consecuencias que implica su mala gestión o la no actualización de la política de privacidad.
Artículo de Imma Martí.