El registro de viajeros ya está en vigor: conservar datos sensibles durante tres años pone en jaque la privacidad

La incertidumbre es la tónica en el sector turístico estos días, tras la entrada en vigor del registro de viajeros. Además de obligarles a recabar un enorme volumen de datos personales, algunos de carácter sensible, existen dudas sobre la eficacia de este nuevo sistema en la lucha contra el crimen organizado. A partir de ahora, hay más establecimientos obligados a recopilar más datos de los huéspedes, como el DNI, la tarjeta bancaria, el sexo, el teléfono o el email y registrarlos en una aplicación accesible para las Fuerzas y Cuerpos de Seguridad del Estado. Además, tendrán que conservar esta información durante tres años, incrementando el riesgo de filtraciones y para la privacidad de las personas. Y se suma otra dificultad adicional: aunque el Real Decreto 933/2021 sobre registro documental para las empresas de hospedaje y alquiler de vehículos entró en vigor el lunes 2 de diciembre, todavía está pendiente de aprobar la orden ministerial que debe aclarar algunos aspectos clave.

El Ministerio de Interior considera indispensable este registro para luchar contra delitos graves de terrorismo y crimen organizado y ha puesto en marcha la aplicación Ses.Hospedajes, disponible desde 2022, a través de la cual los particulares y las empresas deben enviar los datos de los viajeros. ¿Quiénes están obligados a llevar este registro? Entre las empresas de alojamiento, se incluyen hoteles, hostales, pensiones, casas de huéspedes, establecimientos de turismo rural o análogos, campings y zonas de estacionamiento de autocaravanas, apartamentos, bungalows y otros alojamientos similares siempre que tengan carácter turístico. Dentro de las compañías de alquiler de vehículos de motor sin conductor, los operadores turísticos que presten servicios de intermediación, incluidas las plataformas digitales.

“El efecto inmediato es el caos porque el mundo turístico es muy amplio y está atomizado. Hay microempresas, simples agencias de viajes a pie de calle y grandes cadenas hoteleras. Se les está imponiendo la misma obligación a todas”, explica José Antonio Fernández de Alarcón, socio director del bufete Monlex. El abogado insiste en que hasta ahora solo recogían cinco o seis datos esenciales, al igual que otros países de Europa, en base a una orden ministerial de 2003. Y está convencido que hay un grave desconocimiento del sector. “La gente no llega a los hoteles por cuentagotas, suelen llegar autobuses llenos, con colas inmensas. Cuando le digas que cumplimenten los apartados, unos no rellenarán los datos y otros no querrán firmarlos”, vaticina.

¿Qué datos deben recopilar?

Los datos que las empresas turísticas deben registrar de sus clientes son el nombre completo, el sexo, el DNI o pasaporte, la nacionalidad, la fecha de nacimiento, el lugar de residencia habitual y dirección completa, su teléfono fijo y móvil, el correo electrónico, el número de viajeros que le acompañan y, si hay un menor de edad, la relación de parentesco. También datos sobre la empresa arrendadora o el establecimiento. Además, hay que incluir datos de la transacción, del contrato (número de referencia, fecha y firmas), datos de ejecución del contrato (fecha y hora de entrada y salida) y también los datos del pago: tipo de pago, identificación del medio de pago y su titular, fecha de caducidad de la tarjeta y fecha de pago.

Este volumen de información y su posible uso indebido genera inquietud entre los especialistas en protección de datos. “La Agencia Española de Protección de Datos (AEPD) ha advertido que la interconexión de estas bases de datos debe estar legitimada y limitada a investigaciones específicas para evitar vulneraciones de la privacidad de los ciudadanos”, recalca el abogado Efrén Díaz, responsable del área de tecnología y delegado de protección de datos del Bufete Mas y Calvet.

“Se están recabando datos de manera indiscriminada bajo el presupuesto de que, en un porcentaje que no conocemos, las Fuerzas y Cuerpos de Seguridad del Estado puedan detectar hechos delictivos y tirar del hilo”, critica la abogada Ruth Benito, of councel de Elzaburu y experta en protección de datos. Por su parte, José Antonio Fernández de Alarcón cree que se está delegando una responsabilidad en el sector que no le corresponde asumir. “Nuestra industria turística no debería estar haciendo labores de seguridad, sino identificativa. No pueden saber si el DNI es falso o no. Además, si se piden más datos personales se pueden estar vulnerando principios europeos como el de minimización”, advierte José Antonio Fernández de Alarcón.

¿Cuál será el impacto en el sector turístico?

Las interrogantes sobre la eficacia de esta medida en la lucha contra la criminalidad surgieron desde el principio, sobre todo sobre si compensa la más que probable pérdida de competitividad del sector turístico, uno de los principales motores económicos en España. Para muchos establecimientos la carga burocrática será inasumible: encarecerá los precios, ralentizará los procesos y empeorará la atención al cliente. También surgirán conflictos, por ejemplo, si algún cliente se niega a dar toda la información.

Las organizaciones del sector están dispuestas a llegar a los tribunales. Desde la Confederación Española de Hoteles y Alojamientos Turísticos (CEHAT) aseguran que han pedido más diálogo al Gobierno para garantizar la seguridad jurídica y la viabilidad del sector, pero sin una respuesta satisfactoria. “Ante esta falta de voluntad política, nos vemos obligados a plantear vías legales para proteger tanto a los empresarios como a los viajeros”, ha expresado su presidente, Jorge Marichal.

Desde la Asociación Profesional Española de Privacidad (APEP) señalan que el impacto será significativo. “Las empresas deberán implementar sistemas tecnológicos adecuados para el cumplimiento de la norma, lo que puede generar costes adicionales”, subrayan.

Además, aunque el registro ha entrado en vigor, la orden ministerial no ha llegado a tiempo y se prevé que esté lista en un par de semanas. ¿Qué ocurre durante este periodo de tiempo hasta que haya un desarrollo normativo? José Antonio Fernández de Alarcón recuerda que el propio Real decreto 933/2021, en su disposición derogatoria, contempla que se siga aplicando la orden ministerial de 2003, pero esta solo rige para los hoteles. “Las agencias de viaje están en un limbo. En puridad jurídica se les aplicaría el real decreto, pero como no hay desarrollo, ¿qué haces? Pues harás lo que estabas haciendo antes. La realidad es que hay gente que cumple y hay gente que no cumple. Pero esto quita tiempo y competitividad”, concluye.

¿Se podría anular el real decreto?

Ruth Benito recuerda un precedente relevante de una norma similar, que obligaba a las telecos a conservar datos para investigar posibles hechos delictivos y que el Tribunal de Justicia de la Unión Europea (TJUE) anuló. Se trata de la Directiva 2006/24/EC del Parlamento Europeo y del Consejo de 15 de marzo de 2006 sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas.

La directiva anulada obligaba a los operadores de telecomunicaciones de acceso público o de redes públicas a conservar datos de tráfico, de localización e información para identificar al usuario con el fin de prevenir, investigar o enjuiciar delitos graves. “El TJUE la tumbó porque recababa información indiscriminada y no había una justificación”, señala la especialista, que no descarta que este real decreto pueda acabar en el Tribunal Constitucional o en Luxemburgo.

Una medida de esta magnitud, que implica el tratamiento masivo de datos personales, debe cumplir con los principios de necesidad, proporcionalidad y seguridad del Reglamento General de Protección de Datos (RGPD), señalan desde la APEP. “Consta la ausencia de una evaluación de impacto, imprescindible en estos casos, lo que ha impedido determinar si el tratamiento es adecuado y proporcionado según la normativa, así como identificar claramente los riesgos asociados al mismo y las medidas organizativas y técnicas necesarias”, indica la asociación. Un análisis detallado habría permitido anticipar problemas diversos vinculados a filtraciones, seguridad y privacidad.

El legislador debería realizar evaluaciones de impacto cuando esté tramitando una norma vinculada al tratamiento de datos personales. “Hay que tener en cuenta que estos datos no los estarán tratando exclusivamente las Fuerzas y Cuerpos de Seguridad del Estado a través de este interés público que se sostiene que existe. Los estarán tratando infinidad de empresas y autónomos y que los van a tener que conservar durante tres años”, advierte Ruth Benito.

¿Qué riesgos hay para la privacidad de los viajeros?

Para Efrén Díaz, las empresas obligadas tendrán que implementar medidas y protocolos más robustos de protección de datos. Entre los riesgos que se pueden producir, están los relacionados con los derechos y libertades, como la recopilación y almacenamiento de datos personales sensibles, que deben manejarse adecuadamente. Además, “la acumulación de grandes volúmenes de datos personales aumenta el riesgo de robo de identidad en caso de brechas de seguridad”, advierte el experto, que también indica que se pueden dar casos de pérdida del control sobre cómo y dónde se utilizan los datos.

En cuanto a los riesgos operativos las empresas deben asegurarse de que cumplen con todas las disposiciones del RGPD, la implementación de medidas de seguridad técnicas y organizativas adecuadas para proteger los datos contra accesos no autorizados y posibles pérdidas o destrucción accidental; y la realización de evaluaciones de impacto para gestionar los riesgos a lo largo de todo el ciclo de vida del tratamiento de datos.

¿Qué ocurre si hay algún incidente que vulnere la privacidad? Díaz explica que “la exposición indebida de datos personales puede causar daños sociales y morales a los individuos afectados” y esto puede derivar en sanciones y demandas por daños y perjuicios y afectar a la reputación de las empresas involucradas.

¿Cuál es la cuantía de las multas?

Tal como subrayan los expertos, hay dos regímenes sancionadores: el del registro y el de protección de datos. “El hotel tiene que conservar lo datos durante tres años. Si no protege adecuadamente ese registro y se acaba filtrando esa información, puede conllevar una sanción de protección de datos, que son más elevadas. O si utiliza esa información para enviar publicidad, sin haber obtenido el consentimiento o si no está legitimado”, recuerda Ruth Benito.

Las posibles infracciones que contempla el real decreto son las irregularidades en el registro, incluidos los errores o deficiencias en la información proporcionada, como datos incompletos o incorrectos; la comunicación fuera de plazo; la falta de registro o no conservarlos durante tres años: y la omisión de la comunicación a la plataforma Ses.Hospedajes, apunta Efrén Díaz.

Las sanciones van de 100 a 600 euros en caso de infracción leve y de 601 a 30.000 euros si se trata de una infracción grave.