1/16

 Expediente N.º: EXP202301658

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO: A.A.A. (en adelante, la parte reclamante) con fecha 10 de enero de 2023
interpuso reclamación ante la Agencia Española de Protección de Datos. La
reclamación se dirige contra POSADA DE LLERENA, S.L. con NIF B06682454 (en
adelante, la parte reclamada o POSADA DE LLERENA). Los motivos en que basa la
reclamación son los siguientes:

La parte reclamante manifiesta que, en fecha 29/09/2022, reservó un apartamento de

la parte reclamada a través de una plataforma de alojamientos y que, tras aportar sus
datos para ello y ser confirmada la reserva por correo electrónico, el día siguiente
recibió comunicación de uno de los propietarios del apartamento requiriéndole que
remitiera una fotografía del DNI de los huéspedes a través de correo electrónico o
WhatsApp, como condición para acceder al apartamento, a pesar de que la
confirmación de la reserva solo indicaba que deberían mostrarse los DNI válidos.
Señala que comunicó su negativa a remitir esos documentos por vía electrónica y que
se personó en el establecimiento para realizar el registro de entrada in situ mostrando
su DNI, si bien la parte reclamada insistió en requerir el envío de la documentación por
mensajería instantánea para poder pernoctar en el apartamento. Ante la negativa de la
parte reclamante, la parte reclamada no facilitó el acceso al alojamiento reservado y
pagado.

Advierte que los hechos relatados fueron diligenciados por la Guardia Civil, cuya
asistencia fue solicitada por la parte reclamante.

Aporta documentación acreditativa de la reserva, mensaje remitido por una persona

representante de la parte reclamada solicitándole la remisión de documentación
identificativa de los huéspedes, condiciones de reserva de la plataforma de
alojamientos y denuncia presentada ante la Guardia Civil.

La información aportada por la plataforma de reservas al cliente y el mensaje recibido

de esta plataforma por la parte reclamante en relación con el incidente de la reserva
constan reseñados en los Hechos Probados Segundo y Cuarto, respectivamente.

El detalle relativo al mensaje remitido a la parte reclamante por una persona de la

parte reclamada consta reseñado en el Hecho Probado Tercero.

SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de

diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en
adelante LOPDGDD), se dio traslado de dicha reclamación a la parte reclamada, para
que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es
 2/16

acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de

protección de datos.

El traslado, que se practicó conforme a las normas establecidas en la Ley 39/2015, de

1 de octubre, del Procedimiento Administrativo Común de las Administraciones
Públicas (en adelante, LPACAP), fue recogido en fecha 24/02/2023 como consta en el
acuse de recibo que obra en el expediente.

Con fecha 29/03/2023 se recibe en esta Agencia escrito de respuesta de la parte

reclamada en el que manifiesta lo siguiente:

POSADA DE LLERENA es una sociedad que gestiona alojamientos rurales turísticos y

dispone de un establecimiento compuesto de 6 apartamentos, la cual no está obligada
a tener recepción en el establecimiento.

Como establecimiento turístico tiene la obligación de transmitir diariamente y por vía

telemática todos los datos incluidos en el parte de viajeros. Datos que los clientes
deben aportar por vía telemática, debido a la falta de recepción y de personal
encargado de dichas funciones y de verificar los datos entregados por los clientes. Las
gestiones relacionadas con los apartamentos turísticos no tienen sede física en
Llerena.

Respecto de la reclamación, confirma que debido a la reiterada negativa del cliente a

enviar la documentación por vía telemática, necesaria para cumplimentar el parte de
registro de clientes que deben remitir a la Guardia Civil, no se realizó el check in ni se
autorizó el alojamiento de la parte reclamante en el establecimiento.

Así, en ningún momento ha podido hacer mal uso de los datos ni de los documentos
de la parte reclamante, ya que en ningún momento tuvieron tales datos.

Se adjunta la normativa de "Hospederías" obtenida de la página web del Ministerio de

Interior, Guardia Civil:

“2021 ORDEN INT/321/2021, de 31 de marzo, por la que se modifica la Orden

INT/1922/2003, de 3 de julio,
Sobre libros-registro y partes de entrada de viajeros en establecimientos de hostelería y otros
análogos, en cuanto a las obligaciones de registro documental.

2015 LEY ORGÁNICA 4/2015, de 30 de marzo, de Protección de la Seguridad Ciudadana.

Artículo 25. - Sobre obligaciones de registro documental.

2003 RESOLUCIÓN DE 14 de julio de 2003, de la Secretaría de Estado de Seguridad

Por la que se determinan las condiciones y forma de utilización de la transmisión de ficheros
informáticos, así como las características de los soportes a que se refiere la Orden
INT/1922/2003, de 3 de julio, sobre libros-registro y partes de entrada de viajeros en
establecimientos de hostelería y otros análogos.

2003 ORDEN INT/1922/2003 de 3 de julio

Sobre libros-registro y partes de entrada de viajeros en establecimientos de hostelería y otros
análogos

2003 ORDEN INT/502/2003, de 21 de febrero

C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es
 3/16

Sobre creación de un fichero para el tratamiento de la información enviada por las instalaciones
hoteleras a la Guardia Civil, en la prevención e investigación del terrorismo y de otras formas
graves de delincuencia organizada (parte viaje), en la dirección general de la guardia civil

1974 DECRETO 393/1974, de 7 de agosto

Sobre identificación y registro

1959 DECRETO 1513/1959, de 18 de agosto

Documentos referentes a la entrada de viajeros en establecimientos de hostelería”.

La parte reclamada aporta, asimismo, un documento denominado “Protocolo de

Protección de Datos Personales”, que incluye una “Cláusula de información a clientes”,
cuyo detalle se reseña en el Hecho Probado Sexto.

TERCERO: Con fecha 03/04/2023, de conformidad con el artículo 65 de la LOPDGDD,

se admitió a trámite la reclamación presentada por la parte reclamante.

CUARTO: Con fecha 14/07/2023, por la Subdirección General de Inspección de Datos

se accede a la información relativa a la parte reclamada en “Axesor” (“Informe
monitoriza”). (…).

QUINTO: Con fecha 21/07/2023, la Directora de la Agencia Española de Protección de

Datos acordó iniciar procedimiento sancionador a la parte reclamada, con arreglo a lo
dispuesto en los artículos 63 y 64 de la LPACAP, por la presunta infracción del artículo
5.1.c) del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos,
en adelante RGPD), tipificada en el artículo 83.5.a) del mismo Reglamento, y calificada
como muy grave a efectos de prescripción en el artículo 72.1.a) de la LOPDGDD.

En el acuerdo de apertura se determinó que la sanción que pudiera corresponder, sin

perjuicio de lo que resulte de la instrucción, sería de 2.000 euros (dos mil euros).

Asimismo, se advertía que las infracciones imputadas, de confirmarse, podrán

conllevar la imposición de medidas, según el citado artículo 58.2 d) del RGPD.

SEXTO: Notificado el citado acuerdo de inicio conforme a las normas establecidas en

la LPACAP, la parte reclamada presentó escrito de alegaciones en el que manifiesta lo
siguiente:

1. La notificación del acuerdo de apertura del procedimiento en período vacacional,

durante el cual no es posible buscar asesoramiento, es causa de indefensión.

2. Realiza un relato de los hechos, que coincide con lo reseñado en los antecedentes
anteriores, y reitera que no pudo hacer un mal uso de unos datos que no le fueron
facilitados por la parte reclamante.

3.- Refiere lo dispuesto en los artículos 4 y 5 del Real Decreto 933/2021, de 26 de

octubre, por el que se establecen las obligaciones de registro documental e
información de las personas físicas o jurídicas que ejercen actividades de hospedaje y
alquiler de vehículos a motor, que regulan la obligación de las personas titulares de las
actividades de hospedaje de recoger los datos de las personas usuarias y las
obligaciones de registro de aquellos sujetos; y destaca que el Ministerio del Interior ha
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es
 4/16

habilitado en su Sede electrónica la plataforma “SES.HOSPEDAJES” para facilitar el

registro documental y la información que debe aportarse.

4. “Como quiera que en Posada de Llerena no existe recepción, la única forma de

recoger estos datos y verificar la exactitud de los mismos es mediante la recepción por
vía telemática de los documentos e identificación de los usuarios, que así es como se
realiza”.

5. En relación con lo indicado en el acuerdo de apertura del procedimiento

sancionador, sobre el tratamiento de datos personales que realiza la parte reclamada
“que son excesivos al no ser necesarios para la finalidad para la que se recaban”, en
el escrito de alegaciones se enumeran los datos que según la parte reclamada son
solicitados por el citado Real Decreto 933/2021:

a) Nombre.
b) Primer apellido.
c) Segundo apellido.
d) Sexo.
e) Numero de documento de identidad.
f) Número de soporte del documento.
g) Tipo de documento (DNI, pasaporte, TIE).
h) Nacionalidad.
i) Fecha de nacimiento.
j) Lugar de residencia habitual.
– Dirección completa.
– Localidad.
– País.
k) Teléfono fijo.
l) Teléfono móvil.
m) Correo electrónico.
n) Número de viajeros.
o) Relación de parentesco entre los viajeros (en el caso de que alguno sea menor)

A este respecto, manifiesta que la información suministrada por el DNI es básicamente

la misma hasta el punto j), excepción hecha del nombre del Padre y de la Madre del
titular del mismo.

Por lo tanto, entiende que no se recaban datos personales de los clientes de forma
excesiva para la finalidad para la que se recaban, e incide en la necesidad de tener
acceso a la copia del documento para poder acreditar la identidad de las personas que
se alojaran en el establecimiento en aras a la seguridad del Estado.

SÉPTIMO: Con fecha 16/01/2024, se formuló propuesta de resolución en el sentido de

que por la Directora de la Agencia Española de Protección de Datos se sancione a
POSADA DE LLERENA con multa de 2.000 euros (dos mil euros) por la infracción del
artículo 5.1.c) del RGPD, tipificada en el artículo 83.5.a) del RGPD, y calificada como
muy grave a efectos de prescripción en el artículo 72.1.a) de la LOPDGDD.

Asimismo, se propuso que se requiera a la parte reclamada para que, en el plazo de

tres meses, adopte las medidas necesarias para adecuar su actuación a la normativa
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es
 5/16

de protección de datos personales, con el alcance expresado en el Fundamento de

Derecho VII de la propuesta de resolución, debiendo informar a la AEPD de las
medidas adoptadas en el mismo plazo.

La notificación de esta propuesta de resolución fue entregada a la parte reclamada en

la misma fecha del 16/01/2024 a través del servicio de Dirección Electrónica Habilitada
Única (DEHÚ), concediéndosele plazo para formular alegaciones.

OCTAVO: Con fecha 26/01/2024, se recibió escrito de alegaciones a la propuesta de

resolución en el que POSADA DE LLERENA solicita nuevamente el sobreseimiento del
expediente.

En ese escrito de alegaciones, la parte reclamada se limita a declarar reproducidos

sus argumentos anteriores y a reiterar que no recabó ningún dato personal de la parte
reclamante distintos a los facilitados con la reserva, al haberse negado éste a facilitar
su DNI. En base a ello, invoca el principio de presunción de inocencia y advierte que
no puede sancionarse por la comisión de una infracción “en grado de tentativa o
frustración”.

Advierte al respecto que no se pretende sancionar por haber solicitado esos DNI, con
mayor o menor acierto, sino por haber utilizado inadecuadamente unos datos que
nunca fueron facilitados.

De las actuaciones practicadas en el presente procedimiento y de la documentación

obrante en el expediente, han quedado acreditados los siguientes:

HECHOS PROBADOS

PRIMERO: POSADA DE LLERENA, S.L. es una sociedad dedicada a la gestión de

alojamientos rurales turísticos, cuyo establecimiento dispone de seis apartamentos.
Sus alojamientos se publicitan en la plataforma de reservas (...) (extranet).

SEGUNDO: En fecha 29/09/2022, la parte reclamante reservó un apartamento de la

parte reclamada a través de la plataforma reseñada en el Hecho Probado Primero. Al
formalizar la reserva, recibió la siguiente información de la plataforma:

“Informa a Apartamentos Rurales Posadas de Llerena con antelación de tu hora prevista de

llegada… Los huéspedes deberán mostrar un documento de identidad válido” .

TERCERO: Con fecha 30/09/2022, la parte reclamante recibió en su terminal móvil un

mensaje remitido desde el teléfono ***TELEFONO.1 con el texto siguiente:

“Buenos días…, le escribo desde Posada de Llerena. Mi nombre es B.B.B.. He recibido una
reserva suya con entrada para hoy. Necesito que me envíe copia de los Dnis por ambas caras
de los huéspedes se vayan a alojar…”.

La parte reclamante ha manifestado que le ofrecieron la posibilidad de remitir esa

documentación a través de correo electrónico o WhatsApp, como condición para
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es
 6/16

acceder al apartamento, y que comunicó su negativa a remitir esos documentos por

vía electrónica

CUARTO: La parte reclamante ha aportado a las actuaciones copia del mensaje

recibido de la plataforma de reservas reseñada en el Hecho Probado Primero, cuyo
texto es el siguiente:

“Hemos estado hablando con el establecimiento acerca del incidente con su reserva.
Nos dicen que al no tener recepción, solicitan la documentación de forma on line. Nos dicen
que le ofrecieron dos canales para enviar los documentos: a través del correo electrónico o a
través de la aplicación Whatsapp.
Afirman que no van a realizar ningún reembolso a pesar de haberles explicado que usted tiene
la intención de iniciar acciones legales...”.

QUINTO: La parte reclamante se personó en el establecimiento. La parte reclamada,

en su escrito de respuesta al trámite de traslado de la reclamación ha confirmado que,
debido a la reiterada negativa del cliente a enviar la documentación por vía telemática,
necesaria para cumplimentar el parte de registro de clientes que deben remitir a la
Guardia Civil, no se realizó el check in ni se autorizó el alojamiento de la parte
reclamante en el establecimiento.

SEXTO: Consta en las actuaciones, aportado por la parte reclamada, un documento

denominado “Protocolo de Protección de Datos Personales”. En el apartado “Cláusula
de información a clientes” se indica:

“¿Con qué finalidad tratamos sus datos personales?

En Posada de Llerena tratamos la información que se nos facilita para posibilitar la gestión de
los servicios de alojamiento, restauración y otras actividades que pudieran ser ofrecidas por
Posada de Llerena

Mediante la firma del presente documento, usted consiente expresamente el tratamiento de sus
datos personales para los usos legítimos establecidos por la ley/reglamento. Información a la
policía del alojado, así como el tratamiento para los usos legales y fiscales.

La finalidad del fichero es la de garantizar el cumplimiento de las funciones de prevención de

actos delictivos y hechos de los que puedan derivarse responsabilidades penales.

El procedimiento de recogida de los datos se hará conforme a los datos acreditados por el
interesado al cumplimentar el parte de entrada y de identificación que son remitidos a la
Guardia Civil.

Debido a las características de nuestro establecimiento (6 apartamentos turísticos) no

disponemos de recepción física en el mismo al no estar exigido por la autoridad competente en
materia de turismo de la Junta de Extremadura. Los partes serán extendidos por los servicios
del establecimiento y puestos a la firma en el apartamento. Para poder comprobar que el texto
incorporado en los partes coincide con los datos que figuran en el pasaporte, Documento
Nacional de Identidad o carnet de conducir, los documentos de identificación deberán ser
remitidos por vía telemática al encargado de la gestión de los apartamentos.

Respecto de los datos de terceros (por ejemplo, familiares) que el interesado pueda facilitar a
Posada de Llerena para el cumplimiento de las finalidades anteriormente indicadas, se
garantiza haber informado a dichos terceros o informarles en los tres meses inmediatamente
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es
 7/16

posteriores a la facilitación de sus datos de los términos y finalidades descritos anteriormente y

haber obtenido u obtener la autorización de los mismos para realizar la comunicación de sus
datos a Posada de Llerena.

¿Por cuánto tiempo conservamos sus datos?

Los datos personales proporcionados se conservarán durante un plazo de 3 años una vez
finalizada la relación entre las partes. Durante este período, los datos se mantendrán
bloqueados.

¿Cuál es la legitimación para el tratamiento de sus datos?

La base legal para el tratamiento de sus datos es el consentimiento otorgado por el interesado
mediante su firma.

¿A qué destinatarios se comunicarán sus datos?

Mediante la firma de la presente cláusula, el interesado nos autoriza expresamente para hacer
uso de dichos datos:
1.-En nuestra obligación tributaria con Hacienda. Declaramos trimestralmente todas nuestras
relaciones con clientes a través de nuestra facturación de ingresos.
2.-A través de la página Hospedería Guardia Civil transcribimos todos los datos incorporados
en el parte de viajeros (nombre, apellidos, núm. DNI, Nacionalidad, sexo, fecha nacimiento,
fecha expedición) en cada entrada de viajero en nuestro establecimiento. Previamente para la
configuración de dicho parte tendremos que tener la acreditación de los datos introducidos en
la extranet (...). Se hace a través de la comprobación online de dichos documentos con el fin de
asegurarnos que los datos confrontan.
Las personas sobre las que se pretende obtener los datos de carácter personal o que resulten
obligados a suministrarlos, serán todas las personas mayores de 16 años que se alojen en
alguno de los establecimientos de hostelería.
3.-La plataforma de reservas (...) nos facilita los datos de los clientes, nombre y apellidos,
teléfono y dirección. Estos datos son incorporados en nuestra base de datos del libro de
reservas”.

El documento termina como sigue:

“Antes de firmar esta solicitud, debe leer la información básica sobre Protección de Datos que
se presenta arriba.
En Llerena, a _______ de ________ de ________
Nombre y Apellidos
Fdo. D / Dña. _____________
D.N.I. __________”.

FUNDAMENTOS DE DERECHO

I
Competencia

De acuerdo con los poderes que el artículo 58.2 del RGPD otorga a cada autoridad de
control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la LOPDGDD,
es competente para iniciar y resolver este procedimiento la Directora de la Agencia
Española de Protección de Datos.

Asimismo, el artículo 63.2 de la LOPDGDD determina que: “Los procedimientos

C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es
 8/16

tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto

en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos”.

II
Alegación de indefensión

La parte reclamada, en sus alegaciones a la apertura del procedimiento sancionador,

ha manifestado que la notificación del acuerdo de inicio en período vacacional es
causa de indefensión, por las dificultades para encontrar asesoramiento legal durante
dicho período.

El cómputo de plazos en los procedimientos administrativos se regula en el Capítulo II

“Términos y plazos”, del Título II de la LPACAP. Estas normas no establecen ningún
mes o período estival inhábil. Únicamente se contempla, en el artículo 30.7 de dicha
Ley, la aprobación por la Administración General del Estado de un calendario de días
inhábiles a efectos de cómputo de plazos. Para el año 2023, ese calendario se aprobó
por Resolución de 01/12/2022, de la Secretaría de Estado de Función Pública.

Ninguna de estas normas limita la adopción y notificación del acuerdo de apertura que
ha dado lugar al presente procedimiento en las fechas en que ambos actos tuvieron
lugar.

Y tampoco las dificultades para encontrar asesoramiento legal manifestadas pueden

considerarse una causa de indefensión.

Se estima oportuno añadir que el presente procedimiento permite el acceso

permanente de la parte reclamada al expediente y la posibilidad de realizar
alegaciones, utilizar los medios de defensa admitidos por el Ordenamiento Jurídico, y
a aportar documentos documentos en cualquier momento de su tramitación (artículo
53 de la citada LPACAP); y que dispuso de un nuevo trámite de audiencia con ocasión
de la notificación de la propuesta de resolución.

III
Obligación incumplida. Tratamiento de datos excesivos

El artículo 5 del RGPD se refiere al principio de minimización de datos en la letra c) de

su apartado 1 en los siguientes términos:

“Artículo 5 Principios relativos al tratamiento

1.Los datos personales serán:
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son
tratados («minimización de datos»)”.

Este artículo pone de manifiesto que los datos personales serán adecuados,
pertinentes y limitados a la necesidad para la que fueron recabados, de tal manera
que, si el objetivo perseguido puede alcanzarse sin realizar un tratamiento excesivo de
datos, así es como debe realizarse.

C/ Jorge Juan, 6 www.aepd.es

28001 – Madrid sedeagpd.gob.es
 9/16

A su vez, el considerando 39 del RGPD indica que: “Los datos personales solo deben
tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros
medios”. Por tanto, únicamente se tratarán los datos que sean, “adecuados,
pertinentes y no excesivos en relación con el fin para el que se obtienen o tratan”.

Las categorías de datos seleccionados para su tratamiento deben ser los

estrictamente necesarios para lograr el objetivo declarado y el responsable del
tratamiento debe limitar estrictamente la recogida de datos a aquella información que
esté directamente relacionada con el fin específico que se intenta alcanzar.

La parte reclamada es una empresa dedicada a la gestión y explotación de

alojamientos rurales turísticos, que publicita a través de una plataforma web de
reservas externa, de terceros. Según la parte reclamada, por sus características, el
establecimiento no dispone de oficina física de recepción de clientes y, para
cumplimentar el parte de entrada de viajeros, ha dispuesto recabar de sus clientes,
con carácter previo a la ocupación, una copia del documento de identidad, exigiendo
que dicha copia sea remitida a los responsables del alojamiento por vía electrónica. La
ocupación de los apartamentos por los clientes se condiciona a la entrega de fotocopia
o copia escaneada de este documento.

Así consta en la información contenida en el documento denominado “Protocolo de

Protección de Datos Personales”, habilitado por la parte reclamada para informar a los
clientes en materia de protección de datos personales y para recabar su
consentimiento para el mencionado tratamiento de datos:

“Para poder comprobar que el texto incorporado en los partes coincide con los datos que
figuran en el pasaporte, Documento Nacional de Identidad o carnet de conducir, los
documentos de identificación deberán ser remitidos por vía telemática al encargado de la
gestión de los apartamentos”.

“Previamente para la configuración de dicho parte tendremos que tener la acreditación de los
datos introducidos en la extranet (...). Se hace a través de la comprobación online de dichos
documentos con el fin de asegurarnos que los datos confrontan” .

Debe señalarse, asimismo, que la fórmula seguida por POSADA DE LLERENA para
recabar el consentimiento de sus clientes, mediante la suscripción el indicado
“Protocolo de Protección de Datos Personales”, no es una fórmula válida por cuanto
incumple la prohibición contenida en el artículo 7.4 del RGPD, referida a la
supeditación de la ejecución de un contrato a que el afectado consienta el tratamiento
de sus datos con finalidades que no guarden relación con el mantenimiento, desarrollo
o control de la relación contractual; y la referencia del Considerando 43 cuando afirma
que “se presume que el consentimiento no se ha dado libremente… cuando el
cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del
consentimiento, aun cuando este no sea necesario para dicho cumplimiento”.

Así ocurrió en el caso de la parte reclamante que, después de reservar un alojamiento

de la parte reclamada a través de una plataforma web, fue requerido por ésta para que
remitiera por vía electrónica copia de su documento de identidad y del resto de
huéspedes que le acompañaban. Ante la negativa de la parte reclamante a facilitar
dicha copia, la parte reclamada no le concedió acceso al apartamento reservado. En
todo caso, no consta que la parte reclamante suscribiera el documento denominado
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es
 10/16

“Protocolo de Protección de Datos Personales”, ni siquiera que le fuera facilitado.

La relación contractual que supone la estancia en un alojamiento justifica el acceso por

la parte reclamada a los datos personales de las personas que los ocupan, siempre
que resulten necesarios para el cumplimiento de las obligaciones que conlleva la dicha
estancia; pero no justifica el acceso a toda la información que contiene el documento
de identidad del cliente y, menos aún, la recogida y conservación de una fotocopia o
copia en formato digital de este documento sin que exista una base jurídica que así lo
justifique.

Ello tampoco se justifica por el cumplimiento de la normativa que regula los libros-
registros y partes de entrada de viajeros en establecimientos de hostelería y análogos,
así como la obligación de comunicar la información contenida en las hojas-registro a
las dependencias policiales, constituida, básicamente, por la Ley Orgánica 4/2015, de
30 de marzo, de protección de Seguridad Ciudadana, por el Real Decreto 933/2021,
de 26 de octubre de 2021, por el que se establecen las obligaciones de registro
documental e información de las personas físicas o jurídicas que ejercen actividades
de hospedaje y alquiler de vehículos a motor, y, en lo que no se oponga, la Orden
INT/1922/2003, de 3 de julio.

Esta normativa legitima la recogida de los datos personales tales como los relativos a
número de documento de identidad, tipo de documento, nombre y apellidos, sexo,
fecha de nacimiento y país de nacionalidad; los cuales deben incorporarse a la “Hoja-
registro” que el responsable del alojamiento debe trasladar a las Fuerzas y Cuerpos de
Seguridad del Estado. Sin embargo, no legitima el tratamiento de datos personales
consistente en recabar la copia completa del documento, en el que figura otra
información distinta a la que debe facilitarse a las Fuerzas y Cuerpos de Seguridad del
Estado, entre ellos el nombre de los progenitores del afectado, lugar de nacimiento,
fecha de validez y de expedición del documento, así como la fotografía y la firma del
afectado.

El cumplimiento de esta normativa de registro de viajeros puede atenderse mostrando

los correspondientes documentos de identidad y anotando sus datos, sin que sea
necesario remitir copia del documento mediante correo electrónico o a través de
mensajería instantánea. En la propia referencia del anuncio en la plataforma de
alojamientos se alude a que se mostrará la documentación identificativa, sin establecer
la obligación de remitirla por medios electrónicos (“Informa a Apartamentos Rurales
Posadas de Llerena con antelación de tu hora prevista de llegada… Los huéspedes
deberán mostrar un documento de identidad válido”).

Además, el repetido documento denominado “Protocolo de Protección de Datos

Personales” está configurado para ser entregado directamente a los interesados, que
deben firmarlo, y contempla también la firma en el apartamento del parte de entrada
de viajeros por los huéspedes. Siendo así, nada impide a la parte reclamada
comprobar los datos en cuestión en ese momento. Dice al respecto el repetido
“Protocolo”:

“El procedimiento de recogida de los datos se hará conforme a los datos acreditados por el
interesado al cumplimentar el parte de entrada y de identificación que son remitidos a la
Guardia Civil…

C/ Jorge Juan, 6 www.aepd.es

28001 – Madrid sedeagpd.gob.es
 11/16

Los partes serán extendidos por los servicios del establecimiento y puestos a la firma en el
apartamento”.

Prueba de ello, es que la parte reclamante fue recibida a su llegada a los

apartamentos por responsables de la parte reclamada; momento en el que ésta insistió
en la obligación de entregar copia del documento de identidad de los huéspedes.

A este respecto, debe señalarse que, si bien es cierto que la normativa que regula la
actividad turística en la Comunidad Autónoma de Extremadura no obliga a
establecimientos como el de la parte reclamada a disponer de recepción para la
atención de las personas usuarias de clientes a efectos administrativos y de
asistencia, dicha normativa obliga a tales establecimientos a tener una persona
responsable, la cual deberá estar fácilmente localizable. En concreto, el artículo 22.1
del Decreto 65/2015, de 14 de abril, por el que se establece la ordenación y sistema
de clasificación de los alojamientos de turismo rural de la Comunidad Autónoma de
Extremadura: dispone lo siguiente:

“1. La recepción constituye el centro de relación permanente con las personas usuarias a
efectos administrativos, de asistencia e información. Contarán con recepción los hoteles rurales
en todo caso y las casas rurales cuando cuenten con más de diez unidades de alojamiento. En
los demás casos, deberá existir una persona responsable que estará fácilmente localizable por
las personas usuarias para atenderlas”.

Siendo así, la recogida de la copia del documento de identidad de los clientes,

dispuesta con carácter general por la parte reclamada, con toda la información
contenida en ese documento, constituye un tratamiento de datos personales
inadecuados, no pertinentes y no necesarios para el fin específico del tratamiento,
contrario a los principios de protección de datos, concretamente, al principio de
“minimización de datos”, regulado en el artículo 5.1.c) del RGPD.

La Agencia considera que la naturaleza de la infracción es muy grave, puesto que

afecta a documentación de identidad de la persona; afecta a todos los clientes de la
parte reclamada que se encuentren en la misma situación que la parte reclamante; y la
posesión de la documentación identificativa de los clientes por la parte reclamada
incrementa los riesgos sobre la privacidad de las personas que utilizan sus servicios
de alojamiento.

En consecuencia, de conformidad con las evidencias expuestas, los citados hechos

suponen una vulneración por la parte reclamada de lo dispuesto en el artículo 5.1.c)
del RGPD, que da lugar a la aplicación de los poderes correctivos que el artículo 58
del citado Reglamento otorga a la Agencia Española de Protección de Datos.

POSADA DE LLERENA ha manifestado que no puede ser sancionada por el

tratamiento de los datos personales contenidos en el DNI de la parte reclamante, por
cuanto ésta no facilitó dicho documento. Sin embargo, según ha quedado expuesto, no
se sanciona en este acto la recogida de datos personales inadecuados, no pertinentes
y no necesarios de la parte reclamante, sino de los clientes de la entidad en general.
Consta acreditado en las actuaciones, y reconocido por la propia entidad POSADA DE
LLERENA, que su forma de proceder para facilitar el alojamiento a sus huéspedes es
la expresada. Así consta, incluso, en el “Protocolo de Protección de Datos Personales”
que pone a disposición de los clientes.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es
 12/16

IV
Tipificación y calificación de la infracción

Según lo expuesto, la parte reclamada trata datos personales de sus clientes que son
excesivos, al no ser necesarios para la finalidad para la que se recaban.

Estos hechos vulneran lo establecido en el artículo 5.1.c) del RGPD, lo que supone la
comisión de una infracción, imputable a la parte reclamada, tipificada en el artículo
83.5, apartado a) del RGPD, que bajo la rúbrica “Condiciones generales para la
imposición de multas administrativas” dispone lo siguiente:

“Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado

2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa,
de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del
ejercicio financiero anterior, optándose por la de mayor cuantía:

a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a
tenor de los artículos 5, 6, 7 y 9”.

A este respecto, la LOPDGDD, en su artículo 71 establece que “Constituyen

infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del
artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la
presente ley orgánica”.

A efectos del plazo de prescripción, el artículo 72 de la LOPDGDD indica:

Artículo 72. Infracciones consideradas muy graves.

“1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se
consideran muy graves y prescribirán a los tres años las infracciones que supongan una
vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:

a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en el

artículo 5 del Reglamento (UE) 2016/679”.

V
Poderes correctivos

Para el caso de que concurra una infracción de los preceptos del RGPD, entre los
poderes correctivos de los que dispone la Agencia Española de Protección de Datos,
como autoridad de control, el artículo 58.2 de dicho Reglamento contempla los
siguientes:

“2 Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a
continuación:
(…)
d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se
ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada
manera y dentro de un plazo especificado;
(…)
i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las
medidas mencionadas en el presente apartado, según las circunstancias de cada caso
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es
 13/16

particular;”.

Según lo dispuesto en el artículo 83.2 del RGPD, la medida prevista en la letra d)

anterior es compatible con la sanción consistente en multa administrativa.

VI
Sanción

A fin de determinar la multa administrativa a imponer se han de observar las

previsiones de los artículos 83.1 y 83.2 del RGPD, preceptos que señalan:

“1. Cada autoridad de control garantizará que la imposición de las multas administrativas con
arreglo al presente artículo por las infracciones del presente Reglamento indicadas en los
apartados 4, 9 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias.

2. Las multas administrativas se impondrán, en función de las circunstancias de cada caso

individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58,
apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía
en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza,
alcance o propósito de la operación de tratamiento de que se trate así como el número de
interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar los
daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta
de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la
infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el
responsable o el encargado notificó la infracción y, en tal caso, en qué medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas
previamente contra el responsable o el encargado de que se trate en relación con el mismo
asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación
aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los
beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de
la infracción”.

Respecto del apartado k) del artículo 83.2 del RGPD, la LOPDGDD, artículo 76,
“Sanciones y medidas correctivas”, dispone:

“1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE)
2016/679 se aplicarán teniendo en cuenta los criterios de graduación establecidos en el
apartado 2 del citado artículo.

2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679 también

podrán tenerse en cuenta:

C/ Jorge Juan, 6 www.aepd.es

28001 – Madrid sedeagpd.gob.es
 14/16

a) El carácter continuado de la infracción.

b) La vinculación de la actividad del infractor con la realización de tratamientos de datos
personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la
infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción,
que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a
mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existan
controversias entre aquellos y cualquier interesado”.

En este caso, considerando la gravedad de la infracción constatada, que tiene causa

en la recogida indebida de copia de los documentos de identidad de los clientes de la
parte reclamada, procede la imposición de multa, además de la adopción de medidas.

La multa que se imponga deberá ser, en cada caso individual, efectiva, proporcionada
y disuasoria, conforme a lo establecido en el artículo 83.1 del RGPD. Así, se
considera, con carácter previo, la condición de microempresa de la parte reclamada.

De acuerdo con los preceptos indicados, y considerando las evidencias constatadas,

el balance de las circunstancias contempladas, en relación con la infracción del
artículo 5.1.c) del RGPD, permite fijar la sanción en una multa de 2.000 euros (dos mil
euros).

VII
Adopción de medidas

Confirmada la infracción, procede imponer al responsable la adopción de medidas

adecuadas para ajustar su actuación a la normativa mencionada en este acto, de
acuerdo con lo establecido en el citado artículo 58.2 d) del RGPD, según el cual cada
autoridad de control podrá “ordenar al responsable o encargado del tratamiento que
las operaciones de tratamiento se ajusten a las disposiciones del presente
Reglamento, cuando proceda, de una determinada manera y dentro de un plazo
especificado…”. La imposición de esta medida es compatible con la sanción
consistente en multa administrativa, según lo dispuesto en el art. 83.2 del RGPD, y el
pago de la multa no exime de acreditar la regularización de la actuación de la parte
reclamada con la adopción de las medidas requeridas.

En el texto de esta resolución se establecen cuáles han sido las infracciones

presuntamente cometidas y los hechos que dan lugar a la vulneración de la normativa
de protección de datos, de lo que se infiere con claridad cuáles son las medidas a
adoptar, sin perjuicio de que el tipo de procedimientos, mecanismos o instrumentos
concretos para implementarlas corresponda a la parte sancionada, pues es el
responsable del tratamiento quien conoce plenamente su organización y ha de decidir,
en base a la responsabilidad proactiva y el enfoque de riesgos, cómo cumplir con el
RGPD y la LOPDGDD.

No obstante, en este caso, con independencia de lo anterior, procede requerir a la

C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es
 15/16

parte reclamada para que, en el plazo de tres meses, cese en la recogida de copia de
los documentos de identidad de sus clientes que actualmente lleva a cabo para la
cumplimentación de registro de clientes del establecimiento hotelero, y modifique en el
mismo sentido la información que ofrece a sus clientes en materia de protección de
datos personales.

Se advierte que no atender la orden de adopción de medidas impuestas por este

organismo en la resolución sancionadora podrá ser considerado como una infracción
administrativa conforme a lo dispuesto en el RGPD, tipificada como infracción en su
artículo 83.5 y 83.6, pudiendo motivar tal conducta la apertura de un ulterior
procedimiento administrativo sancionador.

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de

graduación de las sanciones cuya existencia ha quedado acreditada,
la Directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a POSADA DE LLERENA, S.L., con NIF B06682454, por una
infracción del artículo 5.1.c) del RGPD, tipificada en el artículo 83.5.a) del RGPD, y
calificada como muy grave a efectos de prescripción en el artículo 72.1.a) de la
LOPDGDD, una multa de 2.000 euros (dos mil euros).

SEGUNDO: ORDENAR a POSADA DE LLERENA, S.L., con NIF B06682454, que en

virtud del artículo 58.2.d) del RGPD, en el plazo de tres meses desde que la presente
resolución sea firme y ejecutiva, acredite haber procedido a la adopción de las
medidas necesarias para adecuar su actuación a la normativa de protección de datos
personales, con el alcance expresado en el Fundamento de Derecho VII de esta
resolución; de lo que deberá informar a esta Agencia en el mismo plazo.

TERCERO: NOTIFICAR la presente resolución a POSADA DE LLERENA, S.L.

CUARTO: Esta resolución será ejecutiva una vez finalice el plazo para interponer el
recurso potestativo de reposición (un mes a contar desde el día siguiente a la
notificación de esta resolución) sin que el interesado haya hecho uso de esta facultad.
Se advierte al sancionado que deberá hacer efectiva la sanción impuesta una vez que
la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el art. 98.1.b)
de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas (en adelante LPACAP), en el plazo de pago voluntario
establecido en el art. 68 del Reglamento General de Recaudación, aprobado por Real
Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de
diciembre, mediante su ingreso, indicando el NIF del sancionado y el número de
procedimiento que figura en el encabezamiento de este documento, en la cuenta
restringida nº IBAN: ES00-0000-0000-0000-0000-0000 (BIC/Código SWIFT:
CAIXESBBXXX), abierta a nombre de la Agencia Española de Protección de Datos en
la entidad bancaria CAIXABANK, S.A.. En caso contrario, se procederá a su
recaudación en período ejecutivo.

Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra

entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago
voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es
 16/16

encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago
será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente

Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la
LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los
interesados podrán interponer, potestativamente, recurso de reposición ante la
Directora de la Agencia Española de Protección de Datos en el plazo de un mes a
contar desde el día siguiente a la notificación de esta resolución o directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se

podrá suspender cautelarmente la resolución firme en vía administrativa si el
interesado manifiesta su intención de interponer recurso contencioso-administrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante
escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través
del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronica-
web/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la
citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la
documentación que acredite la interposición efectiva del recurso contencioso-
administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso
contencioso-administrativo en el plazo de dos meses desde el día siguiente a la
notificación de la presente resolución, daría por finalizada la suspensión cautelar.
938-16012024
Mar España Martí
Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 – Madrid sedeagpd.gob.es