La AN resuelve un recurso contencioso administrativo interpuesto por un establecimiento hotelero en el que se recurre la resolución de la Agencia Española de Protección de datos por la que se le impone una sanción de 30.000 euros por una infracción del artículo 6 del Reglamento (UE) 2016/679 (LA LEY 6637/2016), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), tipificada en el artículo 83.5.a) del RGPD (LA LEY 6637/2016) y calificada como muy grave a efectos de prescripción en el artículo 72.1.b) de la Ley Orgánica 3/2018 (LA LEY 19303/2018), , de Protección de Datos Personales y garantía de los derechos digitales.
El personal de servicio del hotel realizaba un cotejo de la fotografía obtenida del pasaporte o documento identificativo de identidad del huésped -escaneado en el momento del registro en el establecimiento- con la finalidad de verificar la identidad del cliente cuando estos realizaban consumos dentro del hotel.
El interés expresado por el responsable del tratamiento, que es evitar el uso fraudulento de la tarjeta facilitada al cliente durante su estancia en el hotel que incorpora sus datos, puede considerarse legítimo y amparado por el artículo 6.1.f) RGPD (LA LEY 6637/2016); no obstante, en el necesario juicio de ponderación entre este interés y los derechos del interesado, la Audiencia da prevalencia a estos últimos por aplicación del principio de minimización de datos y por la ausencia de información al titular de los datos de la finalidad del tratamiento de su fotografía.
En el presente caso, el cliente se opuso al escaneo de su pasaporte y sólo fue consciente de que su foto aparecía en el dispositivo de los empleados al ir a pagar una consumición, lo que prueba que ni había prestado el consentimiento, ni había sido informado de ello.
Además, apunta la sentencia que existían otras posibles alternativas menos intrusivas en relación con la finalidad perseguida.
A pesar de ello, la Audiencia rebaja la cuantía de la sanción ya que, a pesar de que el dato afectado (la fotografía) tiene una naturaleza especialmente sensible pues permite la pronta identificación y aumenta los riesgos sobre la privacidad de su titular, los datos que tiene el personal en sus dispositivos no son todos los obtenidos con el escaneo del pasaporte, sino sólo algunos, lo que rebaja la intensidad dolosa en el tratamiento de datos.
Además, la AN estima moderar la negligencia imputada al hotel a título de simple culpa, ya que no fueron concretados otros perjuicios ni en su cuantía ni en el número de personas afectadas, por lo que no parece que el alcance del daño sea, en este caso, excesivo.
Por todo ello, ante la no concurrencia de algunos de los agravantes apreciados en la resolución y la presencia de circunstancias atenuantes de la responsabilidad, la AN estima que procede moderar el importe de la multa, que queda fijada en 15.000 euros.