La Agencia Española de Protección de Datos (AEPD) ha resuelto imponer 75.000€ de sanción por incumplir el RGPD en Airbnb a una sociedad mercantil dedicada a la publicación y gestión de inmuebles para alquiler vacacional en esta plataforma.
El supuesto en cuestión, que se concreta en el procedimiento PS/00499/2022, se inicia como cualquier gestión en la antes mencionada plataforma de rental de alojamiento turístico a particulares.
Tras el contacto inicial, la empresa gestora del inmueble (sito en Barcelona) habilita un sitio web a efectos de que los visitantes pudiesen llevar a cabo el check-in online.
El problema que deriva en el procedimiento de sanción se concreta en el tipo y volumen de datos que se requiere a los huéspedes en ese momento, incluyendo la fotografía del anverso y reverso de su Documento Nacional de Identidad, así como la aportación de un «selfie» de cada uno de estos.
A mayores, y tras la finalización de la estancia en el apartamento, los huéspedes se pusieron en contacto con el responsable del tratamiento, a efectos de ejercer sus derechos de protección de datos, y obtener información sobre qué datos personales mantenían almacenados, cuáles habían cedido, a quién, etc.
Por otra parte, también ponían en conocimiento del responsable que durante el proceso de tratamiento de los datos no se ponía a su disposición la opción de no otorgar consentimiento para el envío de comunicaciones comerciales.
Acreditación de la legitimación del tratamiento
Ante estas demandas, la empresa a la que la AEPD le ha impuesto una sanción por incumplir el RGPD en Airbnb, trató de acreditar la legitimación para el tratamiento de datos:
- (i) Como respuesta a la comunicación remitida por los huéspedes, en el que explican que únicamente conservan los datos de nombre, apellidos, DNI, email y teléfono, así como que el motivo por el que se realiza el tratamiento de esos datos durante el proceso de check-in es dar cumplimiento a la normativa autonómica que obliga a proporcionar esa información y,
- (ii) Tras la presentación de reclamación por la parte reclamante, la AEPD inició procedimiento de investigación requiriendo a la sociedad que acreditase debidamente una serie de extremos, entre ellos, la justificación de la base de legitimación, el sistema que utilizan para la gestión de cliente, el proceso seguido para proporcionar la información a la autoridad competente, etc. Este proceso concluye sin respuesta o alegación alguna por parte de la reclamada en el plazo concedido a tal efecto.
Durante este proceso, la propia AEPD hace constar que certifica que la ORDEN IRP/418/2010, de 5 de agosto, sobre la obligación de registro y comunicación a la Dirección General de la Policía de las personas que se alojan en los establecimientos de hospedaje ubicados en Cataluña no incluye la fotografía del DNI o rostro de los huéspedes entre los datos necesarios para el Registro de Viajeros.
Los datos a los que hace referencia la orden son recogidos en un documento anexo a la misma:
- Datos del establecimiento:
- CIF/NIF.
- Nombre del establecimiento.
- Dirección.
- Municipio.
- Provincia.
- Datos de la persona alojada:
- Número del documento.
- Tipo de documento.
- Fecha de expedición.
- Nombre y apellidos.
- Sexo (F=femenino / M=masculino).
- Fecha de nacimiento (formato fecha: AAAAMMDD).
- Nacionalidad (nombre de país).
- Fecha de entrada en el establecimiento (formato fecha: AAAAMMDD).
El doble incumplimiento del RGPD
Tras analizar los hechos descritos, la AEPD ha decidido imponer una sanción por incumplir el RGPD en Airbnb a la empresa gestora de los apartamentos turísticos al considerar que se produjo un doble incumplimiento:
- 1. Relacionado con la insuficiente información proporcionada a los usuarios con carácter previo al tratamiento de sus datos, conforme estipula el artículo 13 del RGPD.
- 2. El tratamiento excesivo de datos (principio de minimización de los datos) del artículo 5.1.c) del RGPD.
Respecto del principio de minimización, por su relevancia y habitualidad, debemos reseñar su importancia como punto de encuentro entre el tamaño (por cantidad o por especialidad) del tratamiento de datos que se va a llevar a cabo, y su necesidad de cara a la consecución de la finalidad perseguida.
Son numerosos los ejemplos de procedimientos seguidos por la AEPD en cuanto al tratamiento excesivo de datos, por cuanto la finalidad perseguida (atender el requerimiento del Gobierno autonómico, enviar documentos informativos dentro de una empresa con datos personales de los firmantes -nombre, apellidos y dni-, el tratamiento de datos biométricos para llevar a cabo el registro de jornada de los empleados, etc.) se podría haber alcanzado de una manera menos invasiva para la privacidad de estos usuarios.
La doble sanción por incumplir el RGPD en Airbnb
De esta manera, la AEPD ha impuesto a la sociedad una sanción por incumplir el RGPD en Airbnb por importe de 75.000 euros, que se desglosa de la siguiente manera conforme a cada uno de los dos incumplimientos:
- Multa de 25.000 euros, de acuerdo con la consideración ya comentada de que los datos requeridos a los reclamados eran excesivos en relación con la finalidad perseguida de atender el requerimiento de la Orden IRP/428/2010, esto es, proporcionar al “Registro de Viajeros” los datos de los huéspedes (artículo 5.1.c, RGPD).
- Multa de 50.000 euros, de acuerdo con la infracción del artículo 13 del RGPD, en lo que a la falta de información suficiente a los usuarios respecto del tratamiento de sus datos que se iba a llevar a cabo se refiere.
En Vento Abogados & Asesores, ponemos a su disposición un equipo de juristas especializados en prestar servicios de protección de datos para asesorar a las empresas en todo lo relativo al tratamiento de la información personal de sus clientes y empleados.