El 5 de febrer de 2025, l’AEPD va imposar una sanció de 2.000€ a un allotjament turístic per sol·licitar l’enviament del DNI per WhatsApp.
Fets
L’Agència Espanyola de Protecció de Dades (AEPD) ha resolt un procediment sancionador contra RESIDENTIAL QUALITY ENJOY, S.L. per exigir als seus clients l’enviament d’imatges completes del DNI (incloent menors) a través de WhatsApp, sense informar sobre el tractament. L’empresa va al·legar complir amb el Reial decret 933/2021 sobre registre d’hostes. No obstant això, l’AEPD va determinar que la seva pràctica excedia els requisits legals.
En primer lloc, l’exigència d’aportar la imatge completa del DNI era desproporcionada, perquè es recollia informació innecessària com el rostre, el número d’expedició o els noms de progenitors. Això va en contra del principi que exigeix limitar les dades al «adequat, pertinent i estrictament necessari» (art. 5.1.c) RGPD).
A més, cal recordar que el RD 933/2021 només requereix dades textuals bàsiques (nom, cognoms, número de document), no còpies del document.
Així mateix, l’AEPD va subratllar que, tot i que el lloguer turístic està subjecte a obligacions de registre, (art. 4.3 RD 933/2021), «ha de complir-se sense necessitat de sol·licitar el lliurament de còpia o imatge del document d’identitat o escaneig d’aquest, perquè existeixen altres alternatives igualment vàlides que permeten realitzar aquesta comprovació de manera fiable.» És a dir, verificar la identitat no equival a emmagatzemar còpies del DNI, perquè amb mètodes menys invasius, com la transcripció manual de dades, es podria haver complert l’obligació de registre perfectament.
D’altra banda, el mètode d’enviament de la imatge del DNI sol·licitat era WhatsApp, per la qual cosa sorgeix un risc afegit, perquè aquesta xarxa social manca de xifratge i no es considera una via segura a través de la qual enviar dades tan sensibles com els continguts en el DNI.
Per tot l’exposat, l’AEPD va decidir imposar una sanció de 2.000€ que, amb el reconeixement de responsabilitat i el pagament voluntari per part de RESIDENTIAL QUALITY ENJOY, S.L., va quedar reduïda a 1.200€.
Conclusió
Aquesta resolució recorda a les empreses que no poden utilitzar la «seguretat» com a excusa per a recopilar dades excessives, perquè la imatge completa del DNI conté informació sensible irrellevant per al registre d’hostes.
Com sempre, cuideu les dades i cuideu-vos!
Per llegir la resolució, fes clic aquí.
