Hoteles y Airbnb estarán obligados a partir de diciembre a comunicar a la Secretaría de Estado de Seguridad el triple de datos que hasta ahora, incluyendo números de tarjetas de crédito, cuentas bancarias y teléfono móvil, dentro de un protocolo que invoca la lucha contra el terrorismo y el crimen organizado
La patronal turística de La Palma pide la retirada del decreto de registro de viajeros por su impacto negativo en el sector
A partir del próximo 2 de diciembre —si no hay nuevas prórrogas— hoteles, apartamentos turísticos o empresas de coches de alquiler estarán obligados a recopilar y entregar al Ministerio del Interior casi el triple de datos de sus clientes que hasta ahora, incluyendo información sensible como números de tarjetas de crédito y cuentas bancarias o direcciones personales. Así consta en un real decreto que el Gobierno aprobó en 2021 y que ha registrado desde entonces distintas prórrogas que han dilatado su aplicación. Ahora, el asunto ha vuelto al foco público como consecuencia de su próxima entrada en vigor, lo que ha avivado el debate sobre sus implicaciones en el ámbito de la privacidad, el derecho a la intimidad y la competitividad del sector turístico español.
La medida tiene en pie de guerra a la industria turística, que cuestiona principalmente la carga administrativa que supone para el sector. Apuntan a la imposibilidad de automatizar el proceso, lo que implicará un trabajo manual añadido para los establecimientos que podrá suponer además un aumento de los errores. Pero la nueva regulación también ha soliviantado a los expertos en protección de datos, que alertan de la “invasión a la privacidad” que supone la ampliación de los datos a recabar y trasladar a las autoridades.
El preámbulo del real decreto justifica esta mayor recopilación de información como una manera de luchar contra el terrorismo y el crimen organizado y apunta a que “la logística del alojamiento y la adquisición o uso de vehículos a motor” cobran especial relevancia en el modus operandi de los delincuentes. También asegura que se adecúa a los principios de “necesidad y eficacia” y que “contiene la regulación imprescindible para atender la necesidad y fines perseguidos, sin que existan otras opciones que permitan obtener el resultado perseguido”.
La nueva regulación obliga a hoteleros, propietarios de viviendas turísticas, agencias de viajes y empresas de alquiler de vehículos a recopilar hasta 28 datos de sus clientes. Destacan como novedad datos personales no oficiales como dirección, teléfono o móvil; y otros relativos a las transacciones, como la identificación del medio de pago, el IBAN de la cuenta bancaria la fecha de caducidad de la tarjeta. Además, en el caso de que alguno de los viajeros sea menor de edad también se deberá reflejar la relación de parentesco. Esos datos deberán volcarse en una plataforma —llamada SES.HOSPEDAJES— que ha puesto en marcha Interior y deberán conservarse durante tres años. Quienes comuniquen datos incorrectos o fuera de plazo se enfrentan a sanciones de hasta 30.000 euros.
En el modelo actualmente en vigor los datos que tienen que recopilar quienes realizan actividades de hospedaje son apenas diez y constan en los documentos oficiales que portan los viajeros, como DNI o pasaporte. Además, deben comunicarse al Cuerpo Nacional de Policía, no a la Secretaría de Estado de Seguridad. Muchos establecimientos usan un sistema automatizado con lectores de documentos que van directamente a cada reserva y que generan un fichero que cada noche se envía a las Fuerzas y Cuerpos de Seguridad del Estado, explican fuentes del sector.
A preguntas de elDiario.es, un portavoz del Ministerio del Interior afirma que, en su momento, este real decreto fue sometido a todos los informes previos previstos en la ley, incluido el de la Agencia Española de Protección de Datos (AEPD), “que no puso reparos a su contenido”. Este organismo público sí pidió en su informe que se hiciera una “adecuada evaluación de impacto en la protección de datos” de la recogida y comunicación de esa información para “determinar” si cumplía con el llamado principio de minimización, que se refiere a la idea de que solo se deben recopilar y procesar los datos personales que sean estrictamente necesarios para cumplir con un fin específico.
No obstante, la AEPD también reconoció que “la mera referencia al interés de la información puede considerarse suficiente para acreditar el cumplimiento del principio de minimización de datos”. Sin embargo, expertos en privacidad creen que esta nueva regulación sí puede chocar con ese principio y también con el de proporcionalidad. “La alusión a la seguridad es una justificación muy vaga. Me parece una norma excesiva que va contra el principio de minimización. ¿De verdad no hay otras opciones menos intrusivas para el derecho a la intimidad que permitan obtener el resultado perseguido?”, se pregunta Borja Adsuara, doctor en Filosofía del Derecho y abogado especializado en derechos digitales.
El abogado Jorge Campanillas, especialista en Derecho de las Tecnologías de la Información y Comunicaciones, también cree que el real decreto “excede el principio de minimización”. “En el ámbito de la protección de datos, la normativa exige que se recojan los datos mínimos imprescindibles para lograr la finalidad que se pretende. Pero ahora, bajo el pretexto de la seguridad y el terrorismo, parece que vale todo. No sé hasta qué punto es necesario exigir datos como el teléfono móvil, el correo electrónico o el parentesco”, sostiene este jurista.
Adsuara, además, teme que se puedan abrir nuevas brechas a la seguridad. “Los establecimientos hoteleros gestionan los pagos a través de plataformas de reservas que están blindadas y que dedican mucho dinero a la seguridad para que no se hackeen. Con la nueva normativa estarán obligados a sacar de ahí esos datos e incluirlos en la plataforma que ha creado el Ministerio del Interior. Obviamente, ahí se los descargarán en sus ordenadores. Y quizá una gran cadena tiene capacidad para blindar su seguridad. ¿Pero qué ocurre con un pequeño hotel o una casa rural? Va a ser el parque de atracciones de los hackers”, asevera.
“En cuanto más sitios estén los datos, más riesgo tenemos todos”, dice, por su parte, Campanillas, que apunta también al reto que va a suponer la gestión de esa información para los establecimientos de menor tamaño. Este experto recuerda, por ejemplo, que la AEPD sancionó en 2022 a un establecimiento hotelero por escanear el DNI de sus usuarios en el momento del check-in y utilizar después esas fotografías para el control de acceso y la facturación de sus consumos durante su estancia. En este caso, la AEPD consideró “innecesario” y “desproporcionado” la recogida y utilización de la fotografía.
La plataforma SES.HOSPEDAJES inició las pruebas en enero de 2023, pero Interior afirma que se ofreció un período de adaptación progresivo para su puesta en marcha definitiva el 2 de junio de 2023. Ese límite se amplió en tres ocasiones por “razones técnicas” para facilitar la interconexión y la transmisión de los datos de los establecimientos ubicados en las comunidades autónomas que cuentan con cuerpos de policía autonómicos: primero hasta el 31 de enero de 2024 y, posteriormente, hasta el 1 de octubre y ahora hasta el 2 de diciembre.
Sin embargo, desde la patronal hotelera defienden que el problema no es una cuestión de plazos o adaptación a la tecnología. Las preocupaciones del sector son la supuesta incompatibilidad del texto con la normativa de la Unión Europea, la inseguridad jurídica o la desventaja competitiva que generará la nueva normativa en el mercado nacional y europeo por la gran “carga administrativa” que supone a los trabajadores. Además, las empresas del sector turístico consideran que el incremento en la petición de datos a sus clientes “implica una injerencia significativa en sus derechos de privacidad sin ofrecer salvaguardias claras”.
“Los controles que venimos haciendo desde hace muchísimos años —la filiación de cada cliente— han funcionado bien. De hecho, la seguridad es uno de los atributos principales de la experiencia turística en nuestro país. Pero hasta ahora pedíamos datos oficiales, que constan en sus documentos de identidad”, afirma Jorge Marichal, presidente de la Confederación Española de Hoteles y Alojamientos Turísticos (CEHAT), que representa a más de 16.000 establecimientos con un total de 1,8 millones de plazas.
Marichal cuestiona lo que define como un “exceso de celo” en la recopilación de datos y deja caer que la normativa “tiene más visos económicos que de seguridad”. “No entendemos por qué tenemos que recabar datos económicos y personales desde el momento de la reserva e incluso antes de que se produzca la pernoctación. Nosotros ni somos la Policía ni somos inspectores de Hacienda. Somos gente que se dedica a hospedar. Estamos de acuerdo en tener un cierto control sobre quién se queda en nuestras instalaciones, pero de ahí a lo que nos pide hay un paso muy grande”, afirma.
Los hoteleros también reprochan a Interior una supuesta falta de “diálogo constructivo” y denuncian que la plataforma pública a día de hoy “no funciona”. A este respecto, un portavoz de Interior defiende que su departamento ha tenido una “interlocución permanente” con los sectores afectados para facilitar su adaptación a los requerimientos de la nueva normativa y a la plataforma donde se introducen los datos. Está previsto que ambas partes se reúnan de nuevo este viernes 4 de octubre.