El registro de viajeros ya est¨¢ en vigor: conservar datos sensibles durante tres a?os pone en jaque la privacidad

La incertidumbre es la t¨®nica en el sector tur¨ªstico estos d¨ªas, tras la entrada en vigor del registro de viajeros. Adem¨¢s de obligarles a recabar un enorme volumen de datos personales, algunos de car¨¢cter sensible, existen dudas sobre la eficacia de este nuevo sistema en la lucha contra el crimen organizado. A partir de ahora, hay m¨¢s establecimientos obligados a recopilar m¨¢s datos de los hu¨¦spedes, como el DNI, la tarjeta bancaria, el sexo, el tel¨¦fono o el email y registrarlos en una aplicaci¨®n accesible para las Fuerzas y Cuerpos de Seguridad del Estado. Adem¨¢s, tendr¨¢n que conservar esta informaci¨®n durante tres a?os, incrementando el riesgo de filtraciones y para la privacidad de las personas. Y se suma otra dificultad adicional: aunque el Real Decreto 933/2021 sobre registro documental para las empresas de hospedaje y alquiler de veh¨ªculos entr¨® en vigor el lunes 2 de diciembre, todav¨ªa est¨¢ pendiente de aprobar la orden ministerial que debe aclarar algunos aspectos clave.

El Ministerio de Interior considera indispensable este registro para luchar contra delitos graves de terrorismo y crimen organizado y ha puesto en marcha la aplicaci¨®n Ses.Hospedajes, disponible desde 2022, a trav¨¦s de la cual los particulares y las empresas deben enviar los datos de los viajeros. ?Qui¨¦nes est¨¢n obligados a llevar este registro? Entre las empresas de alojamiento, se incluyen hoteles, hostales, pensiones, casas de hu¨¦spedes, establecimientos de turismo rural o an¨¢logos, campings y zonas de estacionamiento de autocaravanas, apartamentos, bungalows y otros alojamientos similares siempre que tengan car¨¢cter tur¨ªstico. Dentro de las compa?¨ªas de alquiler de veh¨ªculos de motor sin conductor, los operadores tur¨ªsticos que presten servicios de intermediaci¨®n, incluidas las plataformas digitales.

¡°El efecto inmediato es el caos porque el mundo tur¨ªstico es muy amplio y est¨¢ atomizado. Hay microempresas, simples agencias de viajes a pie de calle y grandes cadenas hoteleras. Se les est¨¢ imponiendo la misma obligaci¨®n a todas¡±, explica Jos¨¦ Antonio Fern¨¢ndez de Alarc¨®n, socio director del bufete Monlex. El abogado insiste en que hasta ahora solo recog¨ªan cinco o seis datos esenciales, al igual que otros pa¨ªses de Europa, en base a una orden ministerial de 2003. Y est¨¢ convencido que hay un grave desconocimiento del sector. ¡°La gente no llega a los hoteles por cuentagotas, suelen llegar autobuses llenos, con colas inmensas. Cuando le digas que cumplimenten los apartados, unos no rellenar¨¢n los datos y otros no querr¨¢n firmarlos¡±, vaticina.

?Qu¨¦ datos deben recopilar?

Los datos que las empresas tur¨ªsticas deben registrar de sus clientes son el nombre completo, el sexo, el DNI o pasaporte, la nacionalidad, la fecha de nacimiento, el lugar de residencia habitual y direcci¨®n completa, su tel¨¦fono fijo y m¨®vil, el correo electr¨®nico, el n¨²mero de viajeros que le acompa?an y, si hay un menor de edad, la relaci¨®n de parentesco. Tambi¨¦n datos sobre la empresa arrendadora o el establecimiento. Adem¨¢s, hay que incluir datos de la transacci¨®n, del contrato (n¨²mero de referencia, fecha y firmas), datos de ejecuci¨®n del contrato (fecha y hora de entrada y salida) y tambi¨¦n los datos del pago: tipo de pago, identificaci¨®n del medio de pago y su titular, fecha de caducidad de la tarjeta y fecha de pago.

Este volumen de informaci¨®n y su posible uso indebido genera inquietud entre los especialistas en protecci¨®n de datos. ¡°La Agencia Espa?ola de Protecci¨®n de Datos (AEPD) ha advertido que la interconexi¨®n de estas bases de datos debe estar legitimada y limitada a investigaciones espec¨ªficas para evitar vulneraciones de la privacidad de los ciudadanos¡±, recalca el abogado Efr¨¦n D¨ªaz, responsable del ¨¢rea de tecnolog¨ªa y delegado de protecci¨®n de datos del Bufete Mas y Calvet.

¡°Se est¨¢n recabando datos de manera indiscriminada bajo el presupuesto de que, en un porcentaje que no conocemos, las Fuerzas y Cuerpos de Seguridad del Estado puedan detectar hechos delictivos y tirar del hilo¡±, critica la abogada Ruth Benito, of councel de Elzaburu y experta en protecci¨®n de datos. Por su parte, Jos¨¦ Antonio Fern¨¢ndez de Alarc¨®n cree que se est¨¢ delegando una responsabilidad en el sector que no le corresponde asumir. ¡°Nuestra industria tur¨ªstica no deber¨ªa estar haciendo labores de seguridad, sino identificativa. No pueden saber si el DNI es falso o no. Adem¨¢s, si se piden m¨¢s datos personales se pueden estar vulnerando principios europeos como el de minimizaci¨®n¡±, advierte Jos¨¦ Antonio Fern¨¢ndez de Alarc¨®n.

?Cu¨¢l ser¨¢ el impacto en el sector tur¨ªstico?

Las interrogantes sobre la eficacia de esta medida en la lucha contra la criminalidad surgieron desde el principio, sobre todo sobre si compensa la m¨¢s que probable p¨¦rdida de competitividad del sector tur¨ªstico, uno de los principales motores econ¨®micos en Espa?a. Para muchos establecimientos la carga burocr¨¢tica ser¨¢ inasumible: encarecer¨¢ los precios, ralentizar¨¢ los procesos y empeorar¨¢ la atenci¨®n al cliente. Tambi¨¦n surgir¨¢n conflictos, por ejemplo, si alg¨²n cliente se niega a dar toda la informaci¨®n.

Las organizaciones del sector est¨¢n dispuestas a llegar a los tribunales. Desde la Confederaci¨®n Espa?ola de Hoteles y Alojamientos Tur¨ªsticos (CEHAT) aseguran que han pedido m¨¢s di¨¢logo al Gobierno para garantizar la seguridad jur¨ªdica y la viabilidad del sector, pero sin una respuesta satisfactoria. ¡°Ante esta falta de voluntad pol¨ªtica, nos vemos obligados a plantear v¨ªas legales para proteger tanto a los empresarios como a los viajeros¡±, ha expresado su presidente, Jorge Marichal.

Desde la Asociaci¨®n Profesional Espa?ola de Privacidad (APEP) se?alan que el impacto ser¨¢ significativo. ¡°Las empresas deber¨¢n implementar sistemas tecnol¨®gicos adecuados para el cumplimiento de la norma, lo que puede generar costes adicionales¡±, subrayan.

Adem¨¢s, aunque el registro ha entrado en vigor, la orden ministerial no ha llegado a tiempo y se prev¨¦ que est¨¦ lista en un par de semanas. ?Qu¨¦ ocurre durante este periodo de tiempo hasta que haya un desarrollo normativo? Jos¨¦ Antonio Fern¨¢ndez de Alarc¨®n recuerda que el propio Real decreto 933/2021, en su disposici¨®n derogatoria, contempla que se siga aplicando la orden ministerial de 2003, pero esta solo rige para los hoteles. ¡°Las agencias de viaje est¨¢n en un limbo. En puridad jur¨ªdica se les aplicar¨ªa el real decreto, pero como no hay desarrollo, ?qu¨¦ haces? Pues har¨¢s lo que estabas haciendo antes. La realidad es que hay gente que cumple y hay gente que no cumple. Pero esto quita tiempo y competitividad¡±, concluye.

?Se podr¨ªa anular el real decreto?

Ruth Benito recuerda un precedente relevante de una norma similar, que obligaba a las telecos a conservar datos para investigar posibles hechos delictivos y que el Tribunal de Justicia de la Uni¨®n Europea (TJUE) anul¨®. Se trata de la Directiva 2006/24/EC del Parlamento Europeo y del Consejo de 15 de marzo de 2006 sobre la conservaci¨®n de datos generados o tratados en relaci¨®n con la prestaci¨®n de servicios de comunicaciones electr¨®nicas de acceso p¨²blico o de redes p¨²blicas.

La directiva anulada obligaba a los operadores de telecomunicaciones de acceso p¨²blico o de redes p¨²blicas a conservar datos de tr¨¢fico, de localizaci¨®n e informaci¨®n para identificar al usuario con el fin de prevenir, investigar o enjuiciar delitos graves. ¡°El TJUE la tumb¨® porque recababa informaci¨®n indiscriminada y no hab¨ªa una justificaci¨®n¡±, se?ala la especialista, que no descarta que este real decreto pueda acabar en el Tribunal Constitucional o en Luxemburgo.

Una medida de esta magnitud, que implica el tratamiento masivo de datos personales, debe cumplir con los principios de necesidad, proporcionalidad y seguridad del Reglamento General de Protecci¨®n de Datos (RGPD), se?alan desde la APEP. ¡°Consta la ausencia de una evaluaci¨®n de impacto, imprescindible en estos casos, lo que ha impedido determinar si el tratamiento es adecuado y proporcionado seg¨²n la normativa, as¨ª como identificar claramente los riesgos asociados al mismo y las medidas organizativas y t¨¦cnicas necesarias¡±, indica la asociaci¨®n. Un an¨¢lisis detallado habr¨ªa permitido anticipar problemas diversos vinculados a filtraciones, seguridad y privacidad.

El legislador deber¨ªa realizar evaluaciones de impacto cuando est¨¦ tramitando una norma vinculada al tratamiento de datos personales. ¡°Hay que tener en cuenta que estos datos no los estar¨¢n tratando exclusivamente las Fuerzas y Cuerpos de Seguridad del Estado a trav¨¦s de este inter¨¦s p¨²blico que se sostiene que existe. Los estar¨¢n tratando infinidad de empresas y aut¨®nomos y que los van a tener que conservar durante tres a?os¡±, advierte Ruth Benito.

?Qu¨¦ riesgos hay para la privacidad de los viajeros?

Para Efr¨¦n D¨ªaz, las empresas obligadas tendr¨¢n que implementar medidas y protocolos m¨¢s robustos de protecci¨®n de datos. Entre los riesgos que se pueden producir, est¨¢n los relacionados con los derechos y libertades, como la recopilaci¨®n y almacenamiento de datos personales sensibles, que deben manejarse adecuadamente. Adem¨¢s, ¡°la acumulaci¨®n de grandes vol¨²menes de datos personales aumenta el riesgo de robo de identidad en caso de brechas de seguridad¡±, advierte el experto, que tambi¨¦n indica que se pueden dar casos de p¨¦rdida del control sobre c¨®mo y d¨®nde se utilizan los datos.

En cuanto a los riesgos operativos las empresas deben asegurarse de que cumplen con todas las disposiciones del RGPD, la implementaci¨®n de medidas de seguridad t¨¦cnicas y organizativas adecuadas para proteger los datos contra accesos no autorizados y posibles p¨¦rdidas o destrucci¨®n accidental; y la realizaci¨®n de evaluaciones de impacto para gestionar los riesgos a lo largo de todo el ciclo de vida del tratamiento de datos.

?Qu¨¦ ocurre si hay alg¨²n incidente que vulnere la privacidad? D¨ªaz explica que ¡°la exposici¨®n indebida de datos personales puede causar da?os sociales y morales a los individuos afectados¡± y esto puede derivar en sanciones y demandas por da?os y perjuicios y afectar a la reputaci¨®n de las empresas involucradas.

?Cu¨¢l es la cuant¨ªa de las multas?

Tal como subrayan los expertos, hay dos reg¨ªmenes sancionadores: el del registro y el de protecci¨®n de datos. ¡°El hotel tiene que conservar lo datos durante tres a?os. Si no protege adecuadamente ese registro y se acaba filtrando esa informaci¨®n, puede conllevar una sanci¨®n de protecci¨®n de datos, que son m¨¢s elevadas. O si utiliza esa informaci¨®n para enviar publicidad, sin haber obtenido el consentimiento o si no est¨¢ legitimado¡±, recuerda Ruth Benito.

Las posibles infracciones que contempla el real decreto son las irregularidades en el registro, incluidos los errores o deficiencias en la informaci¨®n proporcionada, como datos incompletos o incorrectos; la comunicaci¨®n fuera de plazo; la falta de registro o no conservarlos durante tres a?os: y la omisi¨®n de la comunicaci¨®n a la plataforma Ses.Hospedajes, apunta Efr¨¦n D¨ªaz.

Las sanciones van de 100 a 600 euros en caso de infracci¨®n leve y de 601 a 30.000 euros si se trata de una infracci¨®n grave.