Sancionada una empresa de alquiler turístico por pedir una foto del DNI. La Agencia Española de Protección de Datos impone una sanción de 75.000 euros por excederse en la petición de información personal «innecesaria» y no informar correctamente sobre el tratamiento de la misma.
La reclamante realizó una reserva de un apartamento a través de internet, donde, durante el proceso de dicha reserva, para para que les fueran entregadas las llaves, se les obligaba a hacer el “check in” online. Allí les pedían rellenar un extenso formulario, la dirección postal, el teléfono, un correo electrónico, el DNI fotografiado por ambas caras y según la familia, les exigieron selfies, imágenes de sus caras, aunque este último dato no se pudo dar por probado finalmente. Por otro lado, se instaba a la usuaria a enviar un correo en caso de que no desease recibir ofertas publicitarias, no dando opción para denegar directamente el envío de las ofertas.
La entidad no proporcionó una respuesta clara ni facilitó la información de forma transparente. Por este motivo, la interesada interpuso una reclamación ante la AEPD, quien envió un requerimiento de información a la entidad. Pero esta no presentó alegaciones ni pruebas en su defensa, que rebatiesen los hechos denunciados.
Tal y como señala el artículo 5 del RGPD los datos personales deben ser “adecuados, pertinentes y limitados a la necesidad” para la que fueron recabados, de tal manera que si el objetivo perseguido puede alcanzarse sin realizar un tratamiento excesivo de datos, “así debe hacerse en todo caso”. En este caso, no todos ellos eran necesarios para prestar el servicio de alquiler de apartamentos vacacionales.
Además, la AEPD aprecia una infracción del artículo 13 del RGPD porque no se envió a los interesados la identidad y los datos del responsable del tratamiento, los datos de contacto del delegado de protección de datos, los destinatarios de los mismos, el plazo durante el que se conservarán los datos o el derecho a presentar una reclamación ante una autoridad de control.
Por eso la Agencia Española de Protección de Datos le ha impuesto una multa de 25.000 euros por la infracción del artículo 5 RGPD y de 50.000 por vulnerar el artículo 13 del mismo reglamento.
Noticias – DataPro Legal