1. El escaneo del DNI en los hoteles
Los establecimientos deben identificar a los huéspedes y remitir ciertos datos a la Policía (Ley Orgánica 4/2015 y Orden INT/1922/2003).
Sin embargo, no están autorizados a escanear ni conservar la imagen completa del DNI.
Solo pueden registrar los datos imprescindibles —nombre, número, nacionalidad, fechas— conforme al principio de minimización del artículo 5.1.c del RGPD.
Fotocopiar o escanear el documento es un exceso de tratamiento.
2. Datos médicos en nubes chinas
Un proveedor propone almacenar imágenes radiológicas en una nube ubicada en China.
Esto implica tratar datos de salud (categoría especial) y realizar una transferencia internacional fuera del Espacio Económico Europeo.
Para cumplir el RGPD, el cliente debe exigir garantías documentales:
Certificaciones (ISO 27001/27701).
Cláusulas Contractuales Tipo.
Informes de auditoría.
Contrato de encargado del tratamiento (art. 28 RGPD).
La confianza no basta: el cumplimiento debe poder demostrarse.
3. Fotos e inteligencia artificial
Un colegio profesional usaba fotos autorizadas de sus colegiados para fines corporativos, pero después las subió a una app de inteligencia artificial que genera imágenes dinámicas.
El consentimiento original no cubre este nuevo uso, ya que la finalidad ha cambiado.
La entidad debe:
Revisar la herramienta y su política de privacidad.
Comprobar si cumple el RGPD.
Evaluar si genera datos biométricos (EIPD).
Y renovar el consentimiento de los interesados.
La lección común
La protección de datos no se detiene en la frontera digital.
Tanto si se trata de un check-in, una nube extranjera o una app de IA, el responsable debe saber quién trata los datos, dónde se almacenan y bajo qué garantías.
Porque la tecnología evoluciona, pero el cumplimiento y la responsabilidad proactiva siguen siendo la base del RGPD.
No te pierdas la entrevista completa con Javier Nogueroles, que podrás escuchar cada semana en el programa TIC TAC DATOS de ONDA NARANJA COPE.