Protecția datelor în sectorul ospitalității este un aspect esențial al gestionării oricărei unități de cazare, fie că este vorba de hoteluri, hosteluri, apartamente turistice sau pensiuni rurale. Obligația de a înregistra identitatea oaspeților a fost consolidată prin Decretul Regal 933/2021, care stabilește obligații de control al documentelor pentru a proteja siguranța publică și a preveni infracțiunile legate de logistica cazării.
Cu toate acestea, această obligație legală trebuie interpretată în coroborare cu Regulamentul general privind protecția datelor (GDPR), care recunoaște dreptul fundamental la protecția datelor cu caracter personal și impune ca prelucrarea acestor informații să fie legală, transparentă și limitată la ceea ce este strict necesar.
Întrebarea nu este dacă hotelurile ar trebui să colecteze date cu caracter personal, ci cum ar trebui să facă acest lucru, ce limite există și ce practici ar trebui evitate pentru a preveni încălcările.
Cum ar trebui hotelurile să gestioneze datele
Unitățile de cazare sunt obligate să colecteze anumite date de identificare de la oaspeții lor înainte de începerea sejurului lor, așa cum se indică în Anexa I la Decretul Regal 933/2021. Aceste informații trebuie colectate, conform Agenției Spaniole pentru Protecția Datelor (AEPD), utilizând un formular, fie personal, fie digital, în care oaspetele furnizează doar datele cerute de lege.
RGPD stabilește că datele cu caracter personal pot fi prelucrate numai atunci când există o bază legală care o justifică. În acest caz, baza respectivă este respectarea unei obligații legale impuse unității de cazare. Cu toate acestea, existența unei obligații nu înseamnă că se pot solicita informații. Conform principiului minimizării datelor, prevăzut la articolul 5.1.c) din RGPD, prelucrarea trebuie limitată la datele strict necesare scopului urmărit. Colectarea excesivă de date este considerată o încălcare, chiar dacă oaspetele le furnizează în mod voluntar, deoarece consimțământul nu poate fi considerat dat în mod liber dacă furnizarea serviciului este condiționată de furnizarea de informații inutile.
De asemenea, verificarea identității nu necesită păstrarea documentului de identitate. Agenția Spaniolă pentru Protecția Datelor (AEPD) indică faptul că este suficient să se verifice vizual corespondența dintre datele furnizate și documentul prezentat, fără a fi nevoie să se scaneze sau să se fotocopieze. În cazul înregistrărilor online, identitatea poate fi verificată prin mecanisme securizate, cum ar fi certificate electronice, validarea metodei de plată sau coduri de verificare trimise pe telefonul sau adresa de e-mail a oaspetelui.
Odată colectate, datele trebuie păstrate doar pentru perioada prevăzută de lege și stocate folosind măsuri care garantează confidențialitatea acestora, prevenind accesul neautorizat sau pierderea datelor. Unitatea de cazare trebuie să informeze în mod clar oaspetele despre cine este responsabil pentru prelucrarea datelor, scopul pentru care sunt colectate datele sale, durata acestora de păstrare și drepturile sale de acces, rectificare sau ștergere.
Informații pe care nu sunteți obligat să le solicitați de la oaspeți
Una dintre cele mai frecvente întrebări din hoteluri și unități de cazare este dacă pot solicita și păstra o copie a cărții de identitate sau a pașaportului unui oaspete. Potrivit Agenției Spaniole pentru Protecția Datelor (AEPD), răspunsul este în mod clar nu. Agenția a indicat că solicitarea sau păstrarea unei copii a documentului încalcă principiul minimizării datelor, deoarece documentul conține informații care nu sunt necesare pentru respectarea obligației legale, cum ar fi fotografia, data expirării sau datele familiale. În plus, păstrarea copiilor prezintă un risc suplimentar de furt de identitate care trebuie evitat.
Prin urmare, unitatea nu ar trebui să solicite sau să păstreze copii ale cărților de identitate, pașapoartelor sau ale Numerelor de Identitate a Străinilor (NIE), nici fotografii ale documentului, nici alte date care nu sunt incluse printre cele cerute de Decretul Regal. De asemenea, nu ar trebui să solicite informații referitoare la sănătate, apartenență religioasă, naționalitate etnică sau orice alte date considerate sensibile în temeiul GDPR, deoarece acest lucru ar constitui o prelucrare disproporționată, lipsită de temei legal.
Scopul identificării este de a confirma identitatea oaspetelui, nu de a colecta mai multe informații decât este necesar. Respectarea corectă a acestei obligații nu numai că evită penalitățile, dar transmite și încredere și respect pentru confidențialitatea clienților, un factor cheie de diferențiere într-un sector atât de concentrat pe experiența utilizatorului precum cel al ospitalității.
Prin urmare, hotelurile trebuie să colecteze date de identificare deoarece reglementările o impun, dar trebuie să o facă într-un mod proporțional, sigur și respectuos cu protecția datelor. Fotocopierea documentelor sau stocarea de informații suplimentare, nesolicitate, nu este nici necesară, nici permisă. Un echilibru între obligația legală și confidențialitate este posibil prin aplicarea principiului proporționalității impus de GDPR.
La Sabios.ro suntem la curent cu reglementările și ne ajutăm clienții să gestioneze corect datele clienților lor în hotelurile lor, în conformitate cu legea. Sabios este o firmă de avocatură specializată în drept digital, comerț electronic și drept publicitar.
