Protección de datos y registro de viajeros

En el contexto de la creciente interconexión global y la necesidad de optimizar la seguridad, el registro de viajeros y la protección de sus datos personales se han convertido en un tema clave tanto para las autoridades gubernamentales como para las empresas del sector turismo.  

El pasado 2 de diciembre se activó por parte del Ministerio de Interior el registro documental sobre las actividades de hospedaje y alquiler de vehículos a motor, recogido en el Real Decreto 933/2021, de 26 de octubre de 2021, que entró en vigor en abril de 2022. 

El nuevo registro está alojado en la aplicación ses.hospedajes, gestionada por el Ministerio del Interior, quien es el responsable de la custodia y protección de los datos que en ella sean alojados.  

Al analizar en profundidad el Real Decreto 933/2021, de 26 de diciembre de 2021, debemos tomar como referencia la Constitución Española de 1978, la cual reconoce y garantiza como derechos fundamentales de todas las personas el derecho a la vida y a la integridad física (artículo 15) y a la libertad y seguridad personal (artículo 17).  

La última norma regulatoria al respecto (Orden INT 1922/2003, de 3 de julio, sobre libros de registro y partes de entradas de viajeros en establecimientos de hostelería y otros análogos), debido a su antigüedad dejaba fuera de su ámbito de aplicación las nuevas modalidades de hospedaje, como son las viviendas turísticas de corta duración explotadas por empresas o particulares mediante el registro en portales o centrales de reserva a través de medios digitales o Internet (Booking, Airbnb, etc.).  

Con la nueva norma, se adecúa a los principios de necesidad y eficacia, estando justificada por la razón del interés general, al perseguir la seguridad de los ciudadanos ante las amenazas terroristas y otros delitos muy graves cometidos por organizaciones criminales; respetando, a su vez, el principio de transparencia y eficiencia.  

Novedades de la nueva norma

Una de las novedades, en cuanto al tratamiento de datos personales se refiere, es la obligación de firma de los partes de viajeros, que hasta el momento únicamente obligaba a personas mayores de edad, a aquellos menores de edad mayores de 14 años. Esta edad de 14 años es la estimada, tanto por el Reglamento Europeo de Protección de Datos como por la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales, para que el menor actúe como interesado, en determinadas circunstancias. Así pues, se entiende que el propio menor de edad mayor de 14 años tiene la capacidad suficiente como para entender el formulario de parte de viajeros y saberse informado que dicho parte será comunicado a los Cuerpos y Fuerzas de Seguridad del Estado. Para los menores de 14 años, continuará siendo de obligado cumplimiento por parte de sus representantes legales.  

Los partes de entrada serán proporcionados por los establecimientos de hospedaje o alquiler de vehículos, los cuales se convierten en responsables del tratamiento, quienes deberán cerciorarse de la exactitud de los datos que se hagan constar en ellos, de modo que coincidan con los documentos o sistemas que acrediten la identidad de las personas, que habrán de ser exhibidos o facilitados por los usuarios de estos servicios.  

Aquí es donde radica otra de las novedades: la exhibición o facilitación por los usuarios. Es decir, los responsables del tratamiento deberán comprobar que los datos proporcionados son veraces; no obstante, esto no les habilita al almacenamiento de los DNI, como se venía haciendo hasta el momento, sino que con la consulta y visualización de dicha información es suficiente. Es decir, el usuario puede enseñar al responsable su documento de identidad para que complete la información que necesite y se cerciore que el poseedor del documento se corresponde con la persona que está realizando el hospedaje.  

Con ello, se recogen todos los datos que aparecen en un documento de identidad, sin la necesidad de almacenar dicho documento, tal y como recomienda la Agencia Española de Protección de Datos, que ha manifestado en reiteradas ocasiones que el DNI es considerado un dato personal sensible bajo el marco de protección de datos, ya que puede usarse para identificar de forma inequívoca a una persona. A la luz del Reglamento General de Protección de Datos (RGPD), cualquier organización que almacene este tipo de dato debe hacerlo de acuerdo con los principios de necesidad, proporcionalidad y minimización de datos. 

El almacenamiento de un DNI sin una justificación legal o sin un propósito concreto puede contravenir estos principios. 

Cuando se recolecta información personal de los viajeros, surge la necesidad de garantizar que esos datos estén protegidos. La protección de la privacidad y la seguridad de la información es esencial para evitar violaciones de derechos fundamentales de las personas y para prevenir el uso indebido de los datos. 

Entre estas medidas de seguridad y privacidad, con el fin de dar cumplimiento a la normativa en materia de protección de datos, se establece un plazo máximo de conservación de los datos del registro informático de tres años desde la finalización del servicio o prestación contratada.   

Los partes serán comunicados automáticamente a través de la aplicación a los Cuerpos y Fuerzas de Seguridad del Estado, así como a las autoridades europeas competentes contra el terrorismo y el crimen organizado. Las comunicaciones se harán con carácter previo al inicio de la actividad. Cualquier modificación supondrá una nueva comunicación y se hará en un plazo no superior a 24 horas desde que se realiza la reserva o se formaliza el contrato o, en su caso su anulación. 

En conclusión, con el nuevo registro de viajeros, se realizan las comunicaciones automáticamente en la aplicación, prohibiendo el almacenamiento de documentos de identidad. 

Artículo de Imma Martí, abogada especializada en Protección de Datos de PONTI & PARTNERS.