SE CUMPLE UN AÑO DE LA ENTRADA EN VIGOR DE LA OBLIGACIÓN DE REGISTRO DOCUMENTAL EN  HOTELES

Desde el 2 de diciembre de 2024 está en vigor el polémico Real Decreto 933/2021, de 26 de octubre, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje.

Dicha norma se aplica en todo el territorio nacional a las actividades de hospedaje y de alquiler de vehículos a motor sin conductor, sea cual fuere la modalidad, la personalidad del titular o el modelo

Se establece la obligación de las personas titulares de las actividades de hospedaje y de alquiler de vehículos de recoger los datos de las personas usuarias de las mismas con el objeto de proceder a su registro y a la comunicación necesarias para el cumplimiento de las obligaciones legales que se desarrollan mediante este real decreto.

El artículo 4 dispone que “Los partes de entrada para el uso de los servicios de hospedaje deberán ser firmados por toda persona mayor de catorce años que haga uso de los mismos, conforme al sistema y modelo que se establezca. En el caso de las personas menores de catorce años, sus datos serán proporcionados por la persona mayor de edad de la que vayan acompañados.

 Igualmente, las personas arrendadoras deberán firmar las hojas de los servicios en las actividades de alquiler de vehículos conforme al sistema y modelo que se establezca”.

Asimismo, señala que “Los partes y hojas serán proporcionados por el establecimiento de hospedaje o de alquiler de vehículos, los cuales serán responsables de la exactitud de los datos que se hagan constar en ellos, de modo que coincidan con los documentos o sistemas que acrediten la identidad de las personas, que habrán de ser exhibidos o facilitados por los usuarios de estos servicios.”

Una de las principales críticas de la norma es la gran cantidad de datos personales que obliga a recabar a las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor.

En relación a la solicitud de copias de documentos de identidad en hospedajes para dar cumplimiento al Real Decreto 933/2021, la AEPD en su momento dispuso las siguientes recomendaciones:

-No se debe solicitar una copia del documento de identidad, pues vulnera el principio de minimización de datos establecido en el artículo 5.1.c) del RGPD, y supone un tratamiento excesivo de datos:

1. El documento de identidad contiene más datos que los requeridos por el Real Decreto 933/2021 como, entre otros, la fotografía;
2. Implica, entre otros, un riesgo innecesario de suplantación de la identidad que debe ser evitado o, por lo menos, mitigado de manera efectiva;
3. Por sí solo, no es un recurso válido para poder cumplir con la citada norma.

-La AEPD considera que podría ser suficiente con que las personas faciliten o completen un formulario que recoja exclusivamente los datos exigidos.

-La autenticación de los datos facilitados presencialmente o en línea por medio de formulario podría realizarse mediante comprobación visual y/o mediante mecanismos como certificados digitales

A pesar de lo anterior, hay que decir que la norma continúa generando un intenso debate entre la búsqueda de mayor seguridad ciudadana y la posible vulneración de derechos fundamentales.

Aunque su implementación se había programado para el 1 de octubre de 2024, el Ministerio del Interior decidió retrasarla hasta el 2 de diciembre de 2024 y ahora en 2025, se cumple un año de su entrada en vigor.

Son innumerables, a su vez, las quejas de hoteles y agencias de viajes, de organizaciones, y de asociaciones de todo tipo que consideran que no es una normativa proporcional y que suscita dudas considerables de si respeta la normativa de protección de datos.

Entre los datos personales que deben recabar las entidades hay algunos sobre los que no cabe duda en cuanto a la necesidad de su solicitud (nombre completo, número de DNI, domicilio, entre otros).

Pero hay otros datos personales como datos de pago (número de tarjeta, fecha de caducidad de la tarjeta o IBAN de cuentas bancarias) y la relación de parentesco entre los viajeros cuando haya menores de edad que su recogida cuanto menos, es dudosa.

Las empresas obligadas por esta normativa deberán tratar estos datos personales, cuando normalmente este tratamiento es realizado por procesadores de pagos y entidades bancarias que disponen de medidas de seguridad reforzadas, debido a la estricta normativa de seguridad de la información aplicable en estos sectores.

A su vez, las entidades obligadas deben comunicar estos datos al Ministerio del Interior en el plazo máximo de 24 horas a través de una plataforma informática, y también deben conservarlos durante un periodo de 3 años.

La normativa vigente en materia de protección de datos establece como uno de sus principios fundamentales la “minimización de datos” el cual establece que las entidades no deben recabar más datos personales de los estrictamente necesarios para la finalidad para la que se recaban. Por tanto, la solicitud de algunos de estos datos personales del registro del cliente puede entrar en conflicto para cumplir con este principio.

Muchos expertos opinan que se debería haber realizado una evaluación de impacto  en cuanto a la adecuación del Real Decreto 933/2021 al principio de minimización de datos, valorando si existen medios menos intrusivos para garantizar la seguridad ciudadana.

Para finalizar, señalamos que Incumplir con esta normativa supondría sanciones de hasta 30.000 euros en función de la gravedad del incumplimiento (no disponer de registros, no realizar las comunicaciones, incluir en los registros datos inexactos, etc.). Asimismo, si se da un incumplimiento de las disposiciones del Reglamento Europeo de Protección de Datos (RGPD), como pudiera ser la falta de adopción de medidas de seguridad adecuadas podría suponer sanciones de hasta 20.000.000 euros o hasta el 4% del volumen de negocio total anual.