La Comisión Europea ha abierto un procedimiento de infracción contra España por las obligaciones impuestas a hoteles, alojamientos turísticos, plataformas digitales, agencias de viajes y empresas de alquiler de vehículos para recoger, conservar y comunicar a las autoridades una amplia relación de datos personales de sus clientes. Bruselas considera que el sistema español no se ajusta a las exigencias de la Directiva europea sobre protección de datos en el ámbito penal y policial, al entender que las categorías de información exigidas son excesivas, que el acceso por parte de las fuerzas de seguridad no está suficientemente limitado a fines concretos y que el plazo de conservación de tres años resulta desproporcionado.
El expediente se ha iniciado mediante el envío de una carta de emplazamiento a España, primer paso formal del procedimiento de infracción. A partir de ahora, el Gobierno dispone de dos meses para responder a la Comisión y adoptar las medidas necesarias para corregir las deficiencias señaladas. Si Bruselas no considera satisfactoria la respuesta, podrá emitir un dictamen motivado y, en una fase posterior, llevar el asunto ante el Tribunal de Justicia de la Unión Europea.
El conflicto se centra en el Real Decreto 933/2021, de 26 de octubre, aprobado por el Ministerio del Interior y publicado en el Boletín Oficial del Estado el 27 de octubre de 2021. La norma regula las obligaciones de registro documental e información de quienes ejercen actividades de hospedaje o alquiler de vehículos a motor sin conductor, ya sea de forma profesional o no. Aunque el real decreto entró formalmente en vigor en abril de 2022, su aplicación efectiva se fue aplazando mediante sucesivas moratorias hasta su activación general el 2 de diciembre de 2024 a través de la plataforma SES.Hospedajes, gestionada por la Secretaría de Estado de Seguridad.
El Gobierno justificó la medida como una actualización de los antiguos libros-registro de establecimientos hoteleros y de alquiler de vehículos, existentes desde 1959 y 1974, respectivamente. Interior defendió que el nuevo sistema era necesario para adaptar esos controles a las nuevas modalidades de alojamiento turístico, a las reservas por internet y a las plataformas digitales, así como para reforzar la prevención del terrorismo y la delincuencia organizada. La norma se ampara en la competencia estatal en materia de seguridad pública y en el artículo 25 de la Ley Orgánica 4/2015, de protección de la seguridad ciudadana.
Oposición generalizada del sector turístico
Sin embargo, desde su gestación y, sobre todo, en los meses previos a su entrada en vigor efectiva, la oposición empresarial fue intensa y prácticamente generalizada en el sector turístico. La Confederación Española de Hoteles y Alojamientos Turísticos, las agencias de viajes, las plataformas de intermediación, las empresas de alquiler de vehículos y varias asociaciones europeas advirtieron de que la norma imponía una carga burocrática desproporcionada, generaba inseguridad jurídica y obligaba a las empresas a recopilar datos que, en muchos casos, no eran necesarios para la prestación del servicio o ni siquiera estaban a su disposición.
Los hoteleros llegaron a anunciar acciones legales ante la falta de respuesta del Gobierno y denunciaron que el nuevo registro podía vulnerar el principio de minimización de datos, uno de los pilares del Reglamento General de Protección de Datos. También las agencias de viajes reclamaron su exclusión del ámbito de aplicación del real decreto, al considerar que su inclusión no encontraba cobertura suficiente en la Ley Orgánica de Seguridad Ciudadana y que podía duplicar obligaciones ya asumidas por los prestadores finales del servicio.
Qué datos se recogen
El listado de datos exigidos por el Real Decreto 933/2021 explica buena parte de la controversia. En el caso de los alojamientos profesionales, los anexos de la norma incluyen datos identificativos de los viajeros, como nombre, apellidos, sexo, número y tipo de documento de identidad, nacionalidad, fecha de nacimiento, residencia habitual, teléfonos, correo electrónico, número de viajeros y, en determinados supuestos, relación de parentesco cuando haya menores. A ello se añaden datos de la transacción, del contrato, fechas de entrada y salida, características del inmueble y datos de pago, incluida la identificación del medio utilizado, como tarjeta, cuenta bancaria, transferencia o plataforma de pago.
En el caso del alquiler de vehículos, la información exigida se extiende a datos del arrendatario, del conductor principal, del segundo conductor si lo hubiera, del contrato, de los lugares y fechas de recogida y devolución, del vehículo, del kilometraje y de los datos del GPS si están disponibles. La propia Comisión Europea ha puesto el foco en la amplitud de esas categorías, con especial referencia a los datos de pago y de geolocalización, y en la existencia de una base de datos centralizada accesible por las autoridades policiales.
El expediente europeo sitúa el debate en el terreno clásico de la proporcionalidad. La cuestión no es si el Estado puede imponer obligaciones de colaboración a sectores económicos especialmente relevantes para la seguridad pública, sino si puede hacerlo mediante una recogida masiva, preventiva y generalizada de datos personales, con conservación prolongada y acceso policial amplio, sin una delimitación suficientemente precisa de los fines, de los supuestos de acceso y de las garantías aplicables. En este punto, la crítica de Bruselas conecta con una doctrina europea cada vez más exigente respecto al tratamiento indiscriminado de datos personales con fines de prevención o investigación penal.
La apertura del expediente refuerza las objeciones que el sector turístico venía planteando desde antes de la entrada en vigor efectiva del registro. Los hoteleros sostenían que la norma les convertía en una suerte de auxiliares administrativos de las fuerzas de seguridad, obligados a recopilar y custodiar una cantidad de información muy superior a la que hasta entonces se exigía en los partes de viajeros. También advertían del riesgo de responsabilidad en materia de protección de datos, especialmente para pequeñas y medianas empresas sin capacidad tecnológica suficiente para gestionar con seguridad grandes volúmenes de información sensible.
