- Små och medelstora företag måste samla in data från sina kunder, men dataskydd kan sanktionera dem
- En sanktion av 70 000 euro som väcker tvivel av proportionalitet
- Varför multipliceras sanktioner inom turistsektorn för dataskydd?
- AEPD: s informativa anmärkning: Ett tydligt meddelande till sektorn
- Praktiska konsekvenser för frilans och logi -små och medelstora företag
Självarbetslösa och småföretag fortsätter att möta komplicerade mark i termer av Dataskydd. Även om Royal Decree 933/2021 tvingar dem till Samla in och skicka vissa uppgifter till myndigheterna Av sina gäster anser den spanska byrån för dataskydd (AEPD) olaglig skanning eller fotokopi hela DNI.
Advokat Rodanthi Tzortzaki, från Navas & Cusi Abogados, förklarade för detta media att ”nyckeln är i viktningen mellan principen om dataminimering och den juridiska skyldigheten för identitetsverifiering. Aepd prioriterar den första, men Utan att tillhandahålla tekniska lösningar Viabel för digital logi. ”Med andra ord: Det sanktionerar alltmer företag för att skanna en DNI, trots att förordningarna tvingar dem att samla in data från sina kunder.
Den senaste kända resolutionen återspeglar denna spänning: ett företag i sektorn var sanktionerad pro detta motiv med 70 000 euro (reducerade till 42 000 eftersom de är frivillig betalning) trots att, som påstås, Den lagrade inte någon bild och begränsade för att utföra en automatisk avläsning motsvarande ansiktet -till -ränta granskning som en receptionist skulle göra. För advokaten ställer sanktionerna av detta belopp som ställer ut ”Tvivel av proportionalitet”Och de genererar ökande osäkerhet mellan autonoma och små företag.
Till detta scenario läggs till den informativa anteckningen som publicerades av AEPD i juni, där det klargör att det inte är tillåtet att begära en kopia av ID eller pass i logi. Även om det inte inför nya skyldigheter, förstärker det den tolkande linjen i organismen. Och enligt Tzortzaki, ”förutser det Sanktionerna kommer att fortsätta i denna riktning”, Det oroar sig särskilt de som hanterar turistbostäder utan fysisk mottagning.
Små och medelstora företag måste samla in data från sina kunder, men dataskydd kan sanktionera dem
Självanställningen fångas mellan Två krav som kolliderar framför: Å ena sidan måste de Verifiera identitet av resenären och kommunicera vissa uppgifter till säkerhetsstyrkorna och organen (4/2015 och RD 933/2021); å andra sidan förbjuder AEPD dem att skanna ID, eftersom det bryter mot principen om Dataminimering av RGPD (artikel 5.1.c), som bara tvingar den strikt nödvändiga informationen.
Prioriteringen av experten översätter till en förbud mot skanning eller fotokopiering av DNI/passet att registrera gästen, även när anläggningen bara avser Fånga automatiskt De fält som krävs enligt kungligt dekret 933/2021.
Aepd försvarar att Visuell verifiering av dokumentet i ansiktet -till -ansiktsregistret eller med elektroniska medier som inte håller fullständiga bilder av dokumentet.
Kollisionen visas, som Tzortzaki betonade, i miljöer Ingen fysisk mottagning eller med en Incheckning avlägsendär ”Inga tydliga tekniska alternativ erbjuds som gör det möjligt att verifiera identitet med garantier utan att ha ett överskott av behandling. ”
Konsekvensen, varnade advokaten, är en Växande juridisk osäkerhet För frilans och logi -små och medelstora företag: Ja De verifierar inte Tillräckligt riskerar att bryta sin plikt före interiör; Ja Digitalisera dokumentet För att påskynda processen utsätts de för sanktioner på grund av överskott av data.
”De Användning av digitala verktyg Utformat exakt för att verifiera identiteten, utan en specifik teknisk guide som effektivt motsvarar den fjärrverifieringen till den fysiska utställningen av dokumentet, sammanfattade han.
En sanktion av 70 000 euro som väcker tvivel av proportionalitet
Konflikten mellan tolkningar mellan vad lagen kräver och vad AEPD -sanktionerna har haft sin tydligaste reflektion i den sista resolutionen mot ett logiföretag, böter med 70 000 euro för att skanna ID för sina kunder. Beloppet, reducerat till 42 000 vid frivillig betalningär mycket överlägsen de sanktioner som hittills hade tillämpats (mellan 1 000 och 30 000 euro) och markerar en härdning av kriterierna för den statliga byrån.
Det slående är att det sanktionerade företaget påstås Det lagrade inte någon bild av dokumentet. Advokat Rodanthi Tzortzaki anser att den här punkten borde ha tagit hänsyn till: ”Företaget förklarade att hon inte behöll bilderna och bara gjorde samma sak som en receptionist kunde göra: titta fysiskt.”
Nyckeln till sanktionen är att RGPD kvalificerar kränkningen av grundläggande principer, till exempel minimering, som en Mycket allvarlig överträdelse (Art. 83.5). Men när Tzortzaki varnar löser detta inte bakgrundsfrågan. ”För ett autonomt eller litet små och medelstora företag i logisektorn antas en påföljd av detta belopp knappast och kan ha en överdriven bestämningseffekt, oproportionerlig mot den verkliga risken,” fördömde han.
Denna sanktion exemplifierar en naturligtvis en förändring: AEPD verkar villig att Svårighetsgrad tillämpar principen om minimering, även i fall där det inte finns någon datalagring. Vilket förklarar att under de senaste månaderna har resolutioner mot turistföretag multiplicerats.
En ökning av sanktionerna som enligt advokaten inte förstås utan att analysera effekterna av digitalisering och de nya tillhörande riskerna.
Varför multipliceras sanktioner inom turistsektorn för dataskydd?
AEPD -böterna är inte isolerade eller specifika fall: Under de senaste månaderna har resolutioner mot turistboende multiplicerats. Anledningen? En växande spänning mellan digitaliseringen av registreringsprocesserna och principerna för dataskydd som krävs enligt förordningar.
Enligt advokaten Rodanthi Tzortzaki är det underliggande problemet att logi, för att uppfylla sin juridiska skyldighet att verifiera resenärernas identitet, tillgodoser digitala system som MRZ -läsning av DNI eller pass, utformat för att automatisera verifiering. ”Ju mer tekniska lösningar inträffar, desto fler konflikter kommer att skapas i frågor om dataskydd eftersom många gånger inte offentliga förvaltningar inte förstår dem, ”sade han.
Till denna spänning läggs till en annan faktor som oroar myndigheterna: efterliknande av identitet i digitala miljöer. Som advokaten påpekade, ”med en enda incident av Cybersäkerhethundratals eller tusentals DNI kan hamna i hantverkare. ”Detta är en av orsakerna till att AEPD tillämpar ett så restriktivt kriterium med automatiska verifieringssystem.
Resultatet är att de självarbetslösa och småföretagen i sektorn ser hur varje tekniskt framsteg som underlättar registreringen av kunder kan bli en sanktionsrisk. Och enligt Tzortzaki kommer denna trend bara att öka: ”Vi kommer säkert att se fler konflikter när användningen av digitala lösningar och konstgjord intelligens sträcker sig i resejournaler ”.
En sanktionslinje som har förstärkts med publikationen, i juni förra året, om en informativ anmärkning om AEPD själv där den uttryckligen klargör vilka praxis som är förbjudna i gästrekordet.
AEPD: s informativa anmärkning: Ett tydligt meddelande till sektorn
I juni förra året ville AEPD lösa tvivel med en informativ anmärkning som har haft en stark inverkan på logisektorn. I den kom byrån ihåg skarpt det Det är inte tillåtet att begära en kopia av ID eller pass till gäster, inte ens med argumentet att påskynda registreringen.
Byrån klargjorde att boende endast skulle skriva ner de uppgifter som uttryckligen krävs genom kungligt dekret 933/2021 (namn, dokumentnummer, nationalitet, födelsedatum, bland andra) och att en visuell kontroll av dokumentet eller användningen av elektroniska medel som inte behåller fullständiga bilder är tillräckligt.
För advokat Rodanthi Tzortzaki inför denna not inte någon ny skyldighet, utan bekräftar byråns sanktionslinje, eftersom ”det förstärker tolkningen av AEPD och förutser det Sanktionerna kommer att fortsätta i denna riktning”
Problemet är att detta kriterium, till och med är tydligt, i teorin, tillhandahåller inte praktiska lösningar till företag som arbetar digitalt eller utan fysisk mottagning. ”Affärsmannen har den juridiska skyldigheten att verifiera identiteten, men han är begränsad till användningen av verktyg som är utformade exakt för detta ändamål,” sade advokaten.
Praktiska konsekvenser för frilans och logi -små och medelstora företag
För självarbetslösa och små turistföretag översätter den nuvarande situationen till en ständig juridisk osäkerhet. De måste följa den juridiska skyldigheten att verifiera sina gästers identitet och skicka data till myndigheterna, men samtidigt är de förbjudna att använda digitala verktyg som underlättar denna process.
Advokat Rodanthi Tzortzaki varnade för att ”detta påverkar turistbostäder främst Ingen fysisk mottagningdär verifiering av ansiktet -till -face är omöjlig. I en miljö där fler och fler processer görs på distans, Det är förvånande att AEPD inser inte att ett system som bara läser ID utan att lagra det uppfyller samma syfte som den fysiska utställningen”
Denna tomhet med tekniska lösningar genererar en uppenbar risk: alla autonoma som försöker uppfylla lagen genom digitala förfaranden utsätts för höga sanktioner, medan de som inte verifierar med tillräcklig rigoritet kan bryta sina skyldigheter med inre. ”Entreprenören har en juridisk skyldighet att verifiera identiteten, men Användningen av digitala verktyg som är utformade exakt för detta ändamål är begränsadutan att erbjuda livskraftiga alternativ, sammanfattade Tzortzaki.
Resultatet är ett panorama där böter inte bara har en förödande ekonomisk effekt för små företag, men också generera en avskräckningseffekt som bromsar digitalisering av sektorn.
