Amb relació a la sanció imposada a un establiment hoteler per utilitzar la imatge (fotografia) d'un ciutadà, l'AEPD ha emès un comunicat per tal d'aclarir que:
Les dades demanades per l'hotel (nombre de document d'identitat, tipus de document i data d'expedició, nom i cognoms, sexe, data de naixement i país de nacionalitat, data d'entrada i signatura del viatger) són necessàries per a l'execució del contracte on l'interessat és part i per al compliment d'una obligació legal aplicable a l'hotel (article 25 de la Llei Orgànica 4/2015). No passa així en el cas de la recollida i utilització de la fotografia per al control d'accés i la facturació dels consums durant l'estada de l'hoste a l'hotel, fet que suposa un tractament de dades personals innecessari i desproporcionat.
A la Resolució, l'AEPD conclou que l'escaneig i l'ús de la imatge del passaport per a aquests fins resulta desproporcionat i excessiu, ja que fins i tot podent existir un interès legítim que aboni el seu tractament, hi ha mitjans menys invasius per garantir que el titular de la targeta és la persona que realitza el pagament, que s'hagués determinat d'haver fet la ponderació prèvia que exigeix el GDPR per basar el tractament de dades en aquesta base jurídica.
A més, no es va informar a l'hoste sobre els usos i fins de tractar la seva imatge, no donant-li per tant l'opció d'oposar-se al tractament.
L'AEPD sanciona en entendre que no hi ha prou base jurídica per emparar el tractament de la imatge dels hostes, i no queda emparada per la llei de seguretat ciutadana, ni per l'interès legítim amb fins de seguretat.
A més, a la resolució l'AEPD proporciona fórmules menys invasives per garantir, de la mateixa manera, la seguretat en l'ús de les targetes d'accés a les habitacions. Per exemple: