Desde el pasado 2 de diciembre de 2024, con la entrada en vigor RD 933/2021, de 26 de octubre, todos los hoteles, hostales, casas rurales, pensiones, campings, agencias de viaje, zonas de estacionamiento de autocaravanas e incluso las empresas de alquiler de vehículos, deberán cumplimentar el registro de viajeros y estar firmado por toda persona mayor de 14 años.
Por ende, siguiendo las indicaciones del RD 933/2021, de 26 de octubre, cada vez que nos alojemos en hoteles, hostales, camping, etc., habrá que facilitar a los servicios hosteleros una serie de datos personales:
- Nombre y apellidos.
- Sexo.
- Número de documento de identidad.
- Nacionalidad.
- Fecha de nacimiento.
Junto a estos, tendremos que indicar:
- Domicilio actual con la dirección completa.
- Teléfono fijo.
- Teléfono móvil.
- Correo electrónico.
- Datos del contrato.
- Datos del establecimiento.
Además de incorporar los datos de todos los menores alojados, cabe que destacar que los viajeros también deberán especificar:
- La relación de parentesco que mantienen entre los huéspedes en el caso de que alguno sea menor de edad.
- Los datos relativos al pago, como su número de tarjeta, IBAN, y fecha de caducidad de la tarjeta.
Como podemos observar de todo este conjunto de datos, aunque la nueva normativa establece una recogida de información básica del viajero, lo cierto es que no nos encontramos únicamente con datos personales básicos, como el nombre, apellidos o correo electrónico. Nos referimos a los datos de los menores, el DNI o la relación de parentesco entre huéspedes, entre otros, que, si bien no entran dentro de la categoría de datos especialmente protegidos, a tenor de los establecido en el art. 9.1 RGPD, si pueden tipificarse como datos especialmente sensibles.
Concretamente, la Agencia Española de Protección de Datos (en adelante, AEPD) se ha pronunciado (Informe 0048/2023, Considerandos 51 y 75 del RGPD), en relación con el DNI, recalcando su carácter sensible, al permitir identificar unívocamente a toda persona física. En este sentido, la AEPD enfatiza la importancia de aplicar unas medidas de seguridad adecuadas y evitar así posibles riesgos, como la suplantación de identidad por un uso indebido, y, por ende, los consecuentes grandes perjuicios económicos.
Este aumento de los datos solicitados genera muchas dudas sobre su compatibilidad con el principio de minimización (art.5 RGPD), al exigir información extremadamente sensible, como datos financieros, relaciones familiares o de parentesco y métodos de pago, entre otros, los cuales deberán conservarse durante el plazo máximo de tres años desde la finalización de la prestación del servicio.
Este nuevo registro de viajeros supone un gran impacto en el sector turístico. Por un lado, por la inversión en software o servicios de gestión para el registro y comunicación de datos que deberán hacer algunas empresas, especialmente en aquellas más pequeñas. Y, por otro, ante la posibilidad de que afecte directamente en la satisfacción del cliente debido a la intromisión en su esfera privada con la recogida de información personal.
Lo cierto es que no contiene únicamente información básica del viajero, por lo que, el verdadero reto de esta nueva obligación la encontramos en la protección de datos donde la recogida, almacenamiento, gestión y transferencia de todos estos datos personales acompaña una serie de riesgos y posibles sanciones en el supuesto de no cumplir con las exigencias normativas.
Por ende, el responsable del tratamiento de estos datos (hotel, agencia de viajes, etc.,) deberá aplicar las medidas técnicas y organizativas necesarias que garanticen un nivel de seguridad adecuado al riesgo. De esta forma, preservarán la confidencialidad, integridad y disponibilidad de los datos y evitarán accesos no autorizados, pérdida, manipulación o el robo de datos del registro.
Lograr un equilibrio entre la seguridad pública pretendida y la privacidad de las personas físicas en el tratamiento de sus datos será clave para los establecimientos hoteleros y empresas de alquiler de vehículos. Por ello, deberán aplicar un enfoque proactivo implementando las medidas de seguridad óptimas acorde al cumplimiento normativo en protección de datos, para, a su vez, reforzar la confianza de los clientes.
Por tanto, es esencial que una medida de tal magnitud que implique el tratamiento de datos personales respete los principios de necesidad y proporcionalidad y venga precedida por una evaluación de impacto en la privacidad (EIPD) del art. 35 RGPD, además de contar con la supervisión del delegado de protección de datos para garantizar su correcto enfoque.
Para cumplimentar el registro de viajeros, los responsables del tratamiento deberán recoger los datos de los huéspedes en la aplicación habilitada por el Ministerio del Interior, SES.HOSPEDAJES, en la que previamente estarán inscritos.
Algunas empresas, en aras de optimizar sus recursos, digitalizarán el registro de viajeros mediante la implementación de sistemas automatizados, entre los que se encuentra la Inteligencia Artificial (IA).
Otras optaran por el empleo de herramientas de Smart Data Capture para obtener algunos de los datos de los viajeros como el nombre, apellidos, dirección…, mediante técnicas de Reconocimiento Óptico de Caracteres (OCR) a través de los cuales se extraen únicamente los datos necesarios.
Sobre estos, la AEPD ha indicado en alguna (Gestión del riesgo y evaluación de impacto en tratamientos de datos personales) que el uso de estos sistemas podría vulnerar el principio de minimización de los datos. Esto se debe a que a través del escaneo OCR se lee el texto de la imagen que captura y lo convierte en datos digitales. No obstante, para que únicamente conserve aquellos datos que necesita, es decir, los esenciales, la herramienta deberá estar así configurada, evitando extraer información no necesaria y garantizando el principio de minimización.
Al respecto, recomendamos la lectura del Informe del Comité Europeo de Protección de Datos titulado AI Risks: Optical Character Recognition and Named Entity Recognition en el que se ofrecer criterios para analizar los posibles riesgos e implementar las medidas más adecuadas que garanticen un uso correcto de estas tecnologías.
Sin duda, esta digitalización del registro de viajeros es un cambio significativo en la gestión de los alojamientos turísticos u hoteleros, pero a su vez incrementa el impacto sobre la privacidad de las personas físicas si no se aplican las medidas de seguridad adecuadas, pero ¿qué pueden hacer los viajeros ante la solicitud de todos estos datos? ¿pueden negarse? ¿tienen opción de aportar únicamente los datos que consideren?
Esta cuestión ha sido motivo de debate, tanto por parte de las empresas obligadas a cumplir con este registro, como por los propios viajeros como interesados, al sostener en su gran mayoría que aportar hasta un total de más de treinta datos por huésped resulta innecesario. Sobre todo, respecto de aquellos datos como son el IBAN o tu relación de parentesco con el resto de las huéspedes.
Por lo que, ¿y si no facilito mis datos en el registro de viajeros? Pues bien, debido al obligado cumplimiento de la normativa por parte de las empresas turísticas, negarte a dar los datos personales requeridos, podría derivar en restricciones para acceder al servicio turístico o al alquiler de vehículos.
Esto se debe a que, si las empresas obligadas no cumplimentan el registro de viajeros serán sancionadas por incumplimiento de la normativa con multas que pueden ascender hasta los 30.000.-€.
La normativa es clara y sancionará a los hoteles, campings, alojamientos… tanto por el incumplimiento de esta obligación, como por la falta de implementación de las medidas adecuadas para proteger los datos obtenidos, en calidad de responsables del tratamiento.
El objetivo de este nuevo registro de viajeros en España, que triplica los datos solicitados actualmente, es la protección de la seguridad ciudadana al presentarse como medida necesaria para combatir la actividad terrorista y el crimen organizado. De esta forma, siendo legítimo el tratamiento de los datos personales al ser necesario para el cumplimiento de una obligación legal aplicable al responsable (artículo 6.1.c) RGPD), deberán conservarse de forma segura, durante el plazo de tres años, asegurando su confidencialidad a través de las medidas de seguridad técnicas y organizativas necesarias.
Por ello, recomendamos a los hoteles, agencias de viajes, empresas de alquiler de coches, etc., implementar en sus empresas medidas como el cifrado de los datos del registro de los viajeros, control de acceso mediante autenticación multifactor (MFA) y limitarlo, realizar copias de seguridad cifradas y borrados seguros, disponer de la política de privacidad, formar al personal en materia de protección de datos y realización de auditorías y/o revisiones periódicas de cumplimiento, entre otras.
Especial atención deberán tener aquellas empresas que, como hemos visto, opten por la digitalización del registro de viajeros mediante la implementación de sistemas automatizados, uso de la Inteligencia Artificial (IA) o técnicas OCR, en la que se incorporará la obligatoriedad de realizar la correspondiente EIPD.
Para finalizar son varias las organizaciones políticas y asociaciones de consumidores las que han solicitado la suspensión cautelar de esta norma al considerar que la información exigida en este registro va mucho más allá del «objetivo legítimo de garantizar la seguridad», denunciando que «invade la privacidad de los consumidores de forma injustificada y desproporcionada».
En conclusión, mientras se resuelve la solicitud de varias organizaciones políticas y asociaciones de consumidores acerca de la suspensión cautelar de esta norma, sobre si su aplicación respeta el equilibrio entre seguridad y privacidad (al constituir un claro exceso en la recogida de datos personales), las empresas que gestionan el registro de viajeros deben tratar los datos con el máximo cuidado, ya que, no pudiendo los viajeros negarse a facilitar los datos, un tratamiento inadecuado derivará en sanciones económicas y posibles brechas de seguridad. Por ello, implementar medidas de protección adecuadas es clave para evitar el incumplimiento normativo y proteger la información, logrado así una íntima interrelación entre RD 933/2021, de 26 de octubre, RGPD y la LOPDGDD, preservando los derechos y libertades de los interesados.
