La polémica regulación del registro de viajeros y sus implicaciones en materia de protección de datos

En el marco de la seguridad ciudadana y la seguridad pública, se aprobó la Ley Orgánica 4/2015, de 30 de marzo, para la protección de la seguridad ciudadana. Se trata de una ley que establece obligaciones generales de registro de los viajeros por parte de las empresas de servicios de alojamiento (como hoteles, campings y agencias de viajes) y adquisición o uso de vehículos a motor, entre otros. Estas obligaciones permitirían detectar e identificar a delincuentes que habitualmente utilizan este tipo de servicios en su modus operandi para cometer acciones delictivas.

A los efectos de concretar los requisitos de este registro de viajeros y reforzar las obligaciones previstas en dicha Ley, se aprobó el Real Decreto 933/2021, de 26 de octubre, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor. En él se establece los datos personales que las entidades obligadas deben recabar de los viajeros y regula el sistema de comunicación de la información al Ministerio del Interior.

El Real Decreto 933/2021 ha generado un intenso debate entre la búsqueda de mayor seguridad ciudadana y la posible vulneración de derechos fundamentales. Aunque su implementación se había programado para el 1 de octubre de 2024, el Ministerio del Interior decidió retrasarla hasta el 2 de diciembre de 2024 tras las múltiples quejas de hoteles y agencias de viajes, al considerar estas entidades que no es una normativa proporcional y que suscita dudas considerables de si respeta la normativa de protección de datos.

¿Por qué se han generado inquietudes sobre la protección de los datos personales?

Una de las principales críticas este Real Decreto está en la naturaleza y cantidad de los datos personales solicitados a los viajeros. Entre los datos personales que deben recabar las entidades hay algunos sobre los que no cabe duda en cuanto a la necesidad de su solicitud (nombre completo, número de DNI, domicilio, entre otros). Sin embargo, se obliga a recabar otros datos personales adicionales que podrían considerarse más invasivos e innecesarios: especialmente, datos de pago (número de tarjeta, fecha de caducidad de la tarjeta o IBAN de cuentas bancarias) y la relación de parentesco entre los viajeros cuando haya menores de edad.

Esto implica que las empresas obligadas por esta normativa deberán tratar estos datos personales, cuando normalmente este tratamiento es realizado por procesadores de pagos y entidades bancarias que disponen de medidas de seguridad reforzadas, debido a la estricta normativa de seguridad de la información aplicable en estos sectores.

Adicionalmente, las entidades obligadas deben comunicar estos datos al Ministerio del Interior en el plazo máximo de 24 horas a través de una plataforma informática, y también deben conservarlos durante un periodo de 3 años, lo que hace que los riesgos aumenten más aún para estas entidades.

Teniendo presente estos requisitos, la normativa vigente en materia de protección de datos establece como uno de sus principios fundamentales la “minimización de datos”. Este principio establece que las entidades no deben recabar más datos personales de los estrictamente necesarios para la finalidad para la que se recaban. Por tanto, la solicitud de algunos de estos datos personales del registro del cliente puede entrar en conflicto para cumplir con este principio. En este sentido, se debería haber realizado una evaluación de impacto (PIA) por parte del Gobierno en relación con la adecuación del Real Decreto 933/2021 al principio de minimización de datos, valorando si existen medios menos intrusivos para garantizar la seguridad ciudadana.

Algunos de los principales riesgos que se detectan al tratar esta tipología de datos en los registros de clientes son:

• Los empleados de las entidades pueden hacer un mal uso de esta tipología de datos, especialmente, los datos bancarios.
• No todas las entidades afectadas por la normativa (por ejemplo, los pequeños negocios de servicios de alojamiento) pueden permitirse implementar un sistema de seguridad de la información que garantice la seguridad de estos datos personales.
• Si se incrementa la dispersión de estos datos personales en distintas entidades de los sectores afectados, los riesgos para la seguridad de la información también aumentan.

¿Cuáles serían las consecuencias de incumplir la normativa?

Incumplir con esta normativa supondría sanciones de hasta 30.000€ en función de la gravedad del incumplimiento (no disponer de registros, no realizar las comunicaciones, incluir en los registros datos inexactos, etc.). Asimismo, si se da un incumplimiento de las disposiciones del Reglamento Europeo de Protección de Datos (RGPD), como pudiera ser la falta de adopción de medidas de seguridad adecuadas podría suponer sanciones de hasta 20.000.000€, o hasta el 4% del volumen de negocio total anual.

Conclusiones

Es evidente que existe un debate en torno al Real Decreto 933/2021 que refleja la dificultad de equilibrar la necesidad de garantizar la seguridad ciudadana con la obligación de proteger los derechos fundamentales de los individuos, como sería la protección de los datos personales y de su privacidad. Para ello es necesario implementar medidas que prevengan actividades delictivas como el terrorismo y el crimen organizado, y dichas medidas deben diseñarse de manera que no comprometan la privacidad y la protección de datos personales.

Es necesario un enfoque consensuado entre las autoridades y todas las partes involucradas para lograr una normativa efectiva y respetuosa con los derechos individuales. 

Así, el Ministerio del Interior deberá garantizar que cualquier medida que implique el tratamiento de datos personales respete los principios de necesidad y proporcionalidad, tal como establece el RGPD, realizando un estudio detallado sobre la proporcionalidad de los datos recabados para garantizar que solo se recojan aquellos estrictamente necesarios para los fines previstos.

Asimismo, estaremos atentos a cualquier pronunciamiento por parte de la Agencia de Protección de Datos Personales (AEPD) en relación con el tratamiento de datos previsto en el polémico redactado del Real Decreto 933/2021.