La Agencia Española de Protección de Datos (AEPD) ha sancionado recientemente con 2.000 euros a una empresa de hospedaje por solicitar a sus clientes el envío de imágenes de sus Documentos Nacionales de Identidad (DNI) a través de WhatsApp.
La AEPD considera que esta práctica constituye un tratamiento excesivo de datos personales, vulnerando el principio de minimización establecido en el artículo 5.1.c) del Reglamento General de Protección de Datos (RGPD). Este principio establece que los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
Aunque los establecimientos de hospedaje están legalmente obligados a verificar la identidad de sus huéspedes, la AEPD señala que esta obligación puede cumplirse sin necesidad de solicitar una copia o imagen del documento de identidad. Existen alternativas igualmente válidas que permiten realizar esta comprobación de forma fiable sin incurrir en un tratamiento excesivo de datos.
Solicitar imágenes del DNI a través de medios como WhatsApp o correo electrónico incrementa el riesgo de exposición y uso indebido de datos personales, ya que estos canales no siempre cuentan con las garantías de seguridad adecuadas.
Este caso resalta la importancia de que las empresas del sector turístico revisen sus procedimientos de recogida y tratamiento de datos personales para garantizar el cumplimiento de la normativa vigente y evitar posibles sanciones.
