¿Es legal que un hotel solicite datos sanitarios o datos Covid a un huésped?

Si bien el tratamiento de estos datos puede estar justificado legalmente, la licitud del mismo dependerá en gran medida del alcance de este tratamiento y del respeto a los derechos de información y transparencia hacia los clientes:

Por un lado, sólo se podrán solicitar aquellos datos que estrictamente sean necesarios para la finalidad legalmente prevista y que legitima su tratamiento. Tratar datos que excedan los que son estrictamente necesarios será ilícito. 

Por el otro, aun habiendo solicitado los datos estrictamente necesarios para el fin lícito, sólo pueden ser tratados para los fines legítimos sobre los que se basa el tratamiento y para los que el usuario ha sido debidamente informado y, por tanto, cae dentro de su expectativa de privacidad. Por ejemplo, si sólo se ha recabado, con carácter previo a la entrada en el establecimiento, confirmación por escrito de haber sido vacunado o haber superado una PCR, informando adecuadamente a los titulares de los datos del objeto de este tratamiento, dichos datos no pueden ser utilizados para ningún fin distinto ni adicional a aquel. En caso de incumplir este requisito el tratamiento adicional que se haga con esos datos será ilícito. 

Para que un establecimiento trate datos sanitarios sobre coronavirus de sus huéspedes y este tratamiento sea lícito, es necesario tener en cuenta dos escenarios distintos.

Si el establecimiento hotelero va simplemente a verificar de forma visual los datos sobre Covid, esto es, solicitar mostrar por ejemplo pasaporte Covid, tomar la temperatura de forma visual, o verificar una PCR, sin llegar a guardar estos datos ni a tratar los mismos a través de dispositivos digitales o procesarlos a través de cualquier aplicativo, no será necesario adoptar medidas adicionales más allá de las cautelas necesarias para que la verificación se haga en un entorno respetuoso y que mantenga la privacidad de los datos de las personas. De hecho, no habría ningún tratamiento adicional porque no habría recogida ni los datos se guardarían en ningún sitio. Si la verificación se hace a través de medios digitales, por ejemplo, la lectura de un código QR, en este caso sí se considera que hay recogida de los datos y potencialmente podría haber un tratamiento adicional de los datos que no es la mera visualización, por lo que, en este caso, los establecimientos hoteleros deberían cumplir ciertas cautelas.

Sin embargo, si los datos se solicitan a través de medios telemáticos o escritos, se guardan o se tratan a través de aplicativos digitales, no siempre será lícito el tratamiento de los datos. En primer lugar, la base legítima para recabar estos datos no puede ser el cumplimiento de una relación contractual, esto es, prestar el servicio de hotel, pues este tratamiento no es necesario "en sí" para prestar el servicio. Por otro lado, tampoco el consentimiento que es otra de las bases legítimas establecidas en el Reglamento General de Protección de Datos (RGPD) parecería adecuada, salvo que esta recogida y tratamiento de los datos sea completamente voluntaria y la negativa del usuario no le proporcione ningún perjuicio. Por todo ello, las bases legítimas para este tratamiento deberán ser la protección del interés público y de la salud pública (i.e. el propio RGPD recoge el "control de epidemias y su propagación"), así como el interés legítimo del establecimiento, para adoptar medidas de prevención de la pandemia, a fin de proteger a otros huéspedes y a sus propios empleados. 

¿Qué tipo de seguridad debe conceder a este tipo de datos sanitarios y cómo debería protegerlos el hotel?

Siempre que este tipo de medidas conlleven su recogida, conservación, tratamiento digital o tratamiento posterior, las medidas técnicas, de seguridad y organizativas que se han de establecer han de responder a la naturaleza sensible de los datos de salud como información de categoría especial que son.

Se trataría siempre de medidas que otorguen el mayor grado de protección y garanticen la integridad, seguridad y confidencialidad de los datos.

Puede ver el artículo en Expansión.