Esta semana, entraba en vigor el Real Decreto 933/2021, en el que se establecía un nuevo abanico de datos que hoteles y alquileres de vehículos deben solicitar a sus clientes a la hora de ofrecerles sus servicios. Una nueva recopilación de información personal a que los empresarios mostraban su disconformidad. Y que hacía que muchos se cuestionaran sobre la posible vulneración de la normativa de la protección de datos.
«El objetivo de este real decreto es regular las obligaciones de registro documental e información previstas en la normativa de protección de la seguridad ciudadana para las personas físicas o jurídicas que ejerzan actividades de hospedaje o alquiler de vehículos a motor sin conductor».
Así estipula el real decreto 933/2021 las nuevas obligaciones en cuestión de registro de información sobre clientes. Obligaciones que, a partir de esta semana, deberán cumplir hoteles, hostales y empresas de alquileres. Y en las que se incluyen, por ejemplo, la «relación de parentesco entre los viajeros», en el caso de que uno sea menor de edad, o los «datos de GPS» del vehículo alquilado.
Nuevo contenido en los registros de hoteles y empresas de alquiler que han sembrado la polémica. Ello, a pesar de que el Real Decreto estipule que se deben a «la protección de la seguridad ciudadana».
«El RD justifica la medida «por la razón del interés general. Al perseguir la seguridad de los ciudadanos ante las amenazas terroristas y otros delitos muy graves». Sin embargo, no indica nada más allá de eso sobre el determinado interés general a proteger», explica a Confilegal Gerard Espuga, abogado experto en protección de datos.
La protección de datos, a examen
«El tratamiento de datos basado en una obligación legal debe preverse en una norma con rango de Ley. El RD 933/2021 no tiene rango de Ley», asegura el letrado.
Una realidad ante la que, sin embargo, es importante destacar que «el derecho a la protección de datos debe ponderarse con otros derechos en caso de colisión, debiendo ajustarse uno y otro en función del caso concreto».
Situación en la que las nuevas obligaciones podrían chocar frontalmente con el Reglamento de Protección de Datos. Una realidad ante la que Espuga es claro: «debe tenerse en cuenta el llamado “principio de minimización” previsto en el RGPD». Un principio que «establece que no deberán tratarse más datos de los necesarios para cumplir con la finalidad pretendida»
«La AEPD en su informe jurídico sobre el Proyecto normativo ya estableció que, a estos efectos, “sería necesario que en la tramitación del Proyecto se llevase a cabo una adecuada evaluación de impacto en la protección de datos de la recogida y comunicación que se describen a fin de determinar si se da o no pleno cumplimiento a tal principio y si el tratamiento y comunicación de todos los datos mencionados puede considerarse limitada a lo mínimo necesario”. Por lo que la mera referencia a un “interés general” no basta para acreditar el cumplimiento del principio de minimización», destaca.
Real Decreto que, tal y como explica el abogado, obligará a las empresas a ampliar sus registros de datos de clientes. Y, del mismo modo, «a conservar estos registros durante un plazo de tres años»:
«Dicha conservación supondrá el establecimiento de las medidas técnicas y organizativas necesarias para garantizar la seguridad del tratamiento», destaca el abogado. Una responsabilidad que recaerá sobre las compañías. Y que además, contempla también el cuidado de los datos personales de menores.
Acciones legales de los hoteles frente al RD
«El RD establece que el registro debe realizarse de manera informática, en el que constarán, no es baladí, datos de menores de 14 años», explica Espuga a Confillegal.
Un registro digital que será clave. «Si el registro se realiza mediante el uso de software de terceros habrá que prestar especial atención al cumplimiento de los requisitos del RGPD y medidas de seguridad implementadas por parte del proveedor, así como la posible realización del transferencias internacionales de datos personales».
Realidad ante la que la Confederación Española de Hoteles y Alojamientos Turísticos (CEHAT) ha anunciado que emprenderá acciones legales contra el Real Decreto.
«A pesar de las reiteradas advertencias sobre las graves repercusiones que tendrá este Reglamento, el Gobierno no ha ofrecido soluciones ni ha emitido la prometida orden ministerial para aclarar su implementación», lamentan.
Una norma «confusa y desproporcionada que vulnera varias directivas europeas relacionadas con la protección de datos». Y que puede suponer un régimen lesivo para el sector, que supone el 12% del PIB nacional.
