El 2 de enero de 2023 entró en vigor el Real Decreto 933/2021, de 26 de octubre, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor.
El ámbito aplicación de la norma viene determinado en el art. 3 e incluye, respecto a las actividades de hospedaje, a los siguientes sujetos:
- Establecimientos comerciales abiertos al público: hoteles, hostales, pensiones, casas de huéspedes, establecimientos de turismo rural o análogos.
- Campings y zonas de establecimiento de autocaravanas, apartamentos, bungalows y otros alojamientos similares de carácter turístico.
- Operadores turísticos que presten servicios de intermediación entre las empresas dedicadas a la hospedería y los consumidores.
- Plataformas digitales dedicadas a la intermediación de estas actividades a través de internet, siempre que ofrezcan servicios en España.
La normativa, de plena aplicación desde el 2 de diciembre de 2024 (tras un par de retrasos atribuibles a problemas técnicos del Ministerio de Interior), introduce nuevos requisitos significativos para los sujetos obligados, incluyendo la recogida de una serie de datos que ha generado preocupación entre los profesionales dedicados a la protección de datos, a la ciberseguridad y en el mismo sector hotelero.
Principio de minimización y protección de datos
La normativa amplía considerablemente los datos que deben ser recabados por los establecimientos de hospedaje. Además de los datos solicitados previamente hasta la entrada en vigor del RD, ahora se incluyen:
- Número de soporte del documento de identidad, lugar de residencia habitual, número de teléfono fijo, número de teléfono móvil, correo electrónico, número de viajeros y relación de parentesco entre los viajeros (este último, solo en caso de que alguno sea menor de edad).
- Datos del medio de pago, como número de tarjeta, titular, fecha de caducidad, IBAN de la cuenta bancaria e identificación del tipo de pago (transferencia bancaria, efectivo, plataforma de pago, etc.).
Este aumento de los datos solicitados genera dudas sobre su compatibilidad con el principio de minimización establecido en la normativa de protección de datos, que exige limitar el tratamiento de datos personales a lo estrictamente necesario para la finalidad pretendida. En ese sentido, la finalidad del RD es actualizar la normativa de registros en materia de seguridad ciudadana para poder efectuar un control más efectivo sobre actividades ilícitas y beneficiar así el derecho de todas las personas a la vida y a la integridad física (artículo 15 de la Constitución) y a la libertad y a la seguridad personal (artículo 17 de la Constitución).
Así, la seguridad y la privacidad son bienes jurídicos que frecuentemente entran en conflicto, pues a mayor intromisión en la privacidad de los ciudadanos, el Estado goza de mayor información, que podría ser utilizada para garantizar la seguridad. Ahora bien, ello no justificaría, por ejemplo, una intervención preventiva en los móviles personales, correspondencia o domicilios de los ciudadanos, ya que se entiende que dichas medidas resultarían desproporcionadas para el derecho a la privacidad e intimidad. Corresponde por tanto a los Poderes Públicos (ya sea al legislativo a través de la promulgación de normas o al judicial en la interpretación de las mismas) realizar un balance de los bienes jurídicos en conflicto para encontrar un balance adecuado.
En el caso que nos ocupa, aunque la inclusión de nuevos datos facilitaría las labores de investigación y reconocimiento de criminales, no se dispone de una justificación de por qué se solicitan dichos datos y no otros, ni de la relación entre los nuevos datos y las facilidades que aportarían a las Fuerzas y Cuerpos de Seguridad del Estado; dichas cuestiones deberían haberse abordado en una Evaluación de Impacto (EIPD), como aconsejaba la Agencia Española de Protección de Datos, pero de momento no hay constancia de que se haya cumplido con esta recomendación. Pareciera que se ha partido de una primacía a priori de la seguridad sobre la privacidad, lo cual resulta contrario a la jurisprudencia y doctrina en materia de limitación de derechos fundamentales contrapuestos.
Por otro lado, el RD supone importantes dudas sobre los riesgos en materia de ciberseguridad, ya que contempla la obligación por parte de los sujetos obligados a conservar los datos recopilados durante tres años. Esto conlleva la creación de bases de datos con información relativa a medios de pago, que son especialmente atractivos para ciberdelincuentes. Aunque el Real Decreto exige la implementación de medidas técnicas y organizativas adecuadas, los recursos y capacidades de los actores para garantizar la seguridad total de los datos pueden ser limitados, especialmente en establecimientos pequeños o con presupuestos ajustados. De hecho, la mera conservación de dichos datos en íntegro ya es contraria al Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (Payment Card Industry Data Security Standard – PCI DSS) y por tanto supone un empeoramiento respecto al régimen anterior a la entrada en vigor del RD.
Sobre las dudas que puede plantear la adecuación de este RD a la normativa de protección de datos, si fuese una iniciativa privada concluiríamos que es totalmente desproporcionado para garantizar la seguridad (que es lo que busca la norma) solicitar datos de contacto o el número de soporte del documento de identidad, y seguramente así lo valoraría la AEPD. No obstante, al tratarse de una norma, la AEPD no tiene competencias para pronunciarse sobre el contenido del RD; en todo caso, podría entrar a conocer sobre cómo las empresas cumplen con las obligaciones de dicho RD, que es lo que ha hecho con la normativa anterior, por ejemplo, mencionando que era desproporcionado fotocopiar documentos de identidad para cumplir con la mencionada ORDEN INT 1922/2003, pero nunca se pronunció sobre si los datos que obligaba a pedir la Orden eran desproporcionados. En ese sentido, no parece razonable asumir que la AEPD vaya a pronunciarse sobre la compatibilidad entre la obligación de recabar los datos que exige el RD y la normativa de protección de datos, ya que carece de competencia para ello.
Por el contrario, sí cabe la posibilidad de que algún juez o tribunal declaren que el RD va en contra de una ley (en este caso la LOPD, Ley Orgánica 7/2021 o el RGPD) y que por tanto resulta ilegal, ya que los reglamentos no pueden contradecir a las leyes. No obstante, para impugnar reglamentos hay un plazo de 2 meses desde la publicación en el BOE, por lo que las vías que quedan son las de impugnación indirecta, a través de los siguientes escenarios:
- Sancionan a una empresa por aplicación del RD (por ejemplo, por no pedir los datos) y la empresa recurre la sanción, alegando que el RD es ilegal y el juez le da la razón a la empresa recurrente. En este caso, se tendría que pronunciar el tribunal competente para aclarar si efectivamente el RD es contrario o no a la ley.
- Que un juez, conociendo de un caso en relación con la aplicación del RD (mismo ejemplo que el anterior) se plantee a motu proprio si este Reglamento es contrario al RGPD o a la LOPD y plantee la cuestión al tribunal competente.
Estos escenarios son hipotéticos y hasta que no se produzcan no eximirían de cumplir con el RD ni de sanciones en caso de incumplimiento, con cantidades que llegan hasta los 30.000 euros para sanciones graves, como podría ser no disponer de los registros documentales o no realizar las comunicaciones de los datos a las autoridades competentes.
