El registro de viajeros que Interior quiere implementar obligaría a las empresas a conservar datos de terceros durante tres años

El nuevo Registro de Viajeros, recogido en el Real Decreto-ley 933/2021, ha unido al sector turístico frente al Gobierno que lleva años queriendo implementar esta norma.

La nueva normativa impone a hoteles, apartamentos turísticos, agencias de viajes y empresas de alquiler de vehículos la obligación de recopilar y entregar una extensa cantidad de datos personales de los viajeros, tanto nacionales como extranjeros. Amplia de 10 a 31 los datos que los hoteleros y otros agentes del sector deben pedir, lo que según fuentes consultadas es un gran problema por no tener personal ni tecnología para implementando.

En una reunión del Ministerio del Interior con el Consejo de Turismo de CEOE, del que forma parte CEAV, esta patronal asegura que el Ministerio no exigirá ningún dato más de los que constan en los anexos del Real Decreto 933/2021 que «no se esté recabando ya en la actualidad», en relación al nuevo registro de viajeros y cuya aplicación se prorrogó recientemente para el 2 de diciembre.

Interior con el Ministro Grande-Marlaska a la cabeza negocia las condiciones de este registro con el sector turístico. (Imagen: Moncloa)

José Antonio Fernandez de Alarcón, socio director de Monlex Abogados y asesor jurídico de las principales cadenas hoteleras del país, reconoce que esta última reunión de CEOE con Interior ha sido tensa: “El Ministerio no tiene manera de retroceder y tema una impugnación. Pero nosotros no vamos a cambiar la forma de trabajar, el problema es que las agencias de viaje no lo hacían, con lo cual tendrán que hacerlo con el coste administrativo que va a suponer”.

Por lo que nos comenta se mantiene el sistema habitual, también en Europa se hace lo mismo, aunque hay que implementar una aplicación de Interior. Para las grandes cadenas no es un problema, veremos si hoteles más pequeños lo saben hacer “de escaneado de DNI, sin guardar datos y envío a la política a través del software que tenemos. Eso lo seguiremos haciendo, pero esto debe aclararse en una Orden Ministerial que no sabemos cuándo va a salir. La realidad jurídica del Real Decreto sigue siendo la misma pero se va a seguir haciendo lo mismo”.

Para este experto habrá que ver cuando sale este Real Decreto-ley nuevo “ya ha habido leyes que no hay funcionado como la Ley del solo sí es si, y ahora parece que el Ministerio del interior no va a exigir esos datos por el momento, sino que los operadores turísticos hagamos lo mismo ahora con su app. Veremos si realmente hay o no espíritu sancionador para los que no cumplan esos mínimos realmente. Desde luego esas sanciones el sector las recurría”.

José Antonio Fernández de Alarcón cree el nuevo registro es inasumible por el sector: “No podemos guardar tantos datos”. (Imagen: Monlex Abogados)

A juicio de este jurista “este Real Decreto-ley que aún no ha entrado en vigor desde el 2021 debe ajustarse a la normativa europea que es menos agresiva que la española. La propia normativa europea prohíbe ampliar esos campos de identificación de ese cliente. En cuanto a la app, es una aplicación nueva que tendrán que manejar todas las empresas del sector y que en teoría debería estar funcionando antes del próximo 2 de diciembre”.

Con estas nuevas noticias parece que las aguas se han tranquilizado en el sector hotelero, “los hoteles harán lo mismo aunque los datos recogidos los tendrán que implementar a un app del interior. Los departamentos informáticos de grandes empresas creo que no tendrán problemas. Veremos el resto de operadores turísticos de menor tamaño y recursos. Te cambian el sistema sin motivos. Nosotros lo enviábamos a la policía, ahora quieren que todo se envíe a una aplicación de Madrid del Ministerio del Interior”.

Este jurista recoge el sentir del sector turístico “parece mentira con el peso específico que tiene del 12.8% del PIB no se siente el Gobierno con nosotros para definir una norma de esta importancia. No se descarta que la nueva app de Interior a la que hay que enviar los datos se colapse. En el RD-ley se habla de sanciones, deberían cambiarlo para darnos más seguridad jurídica a las empresas. La norma no se aplicaría a País Vasco ni a Cataluña por lo que hemos podido saber porque esta policía autonómica tiene su aplicación propia”.

Un problema que atañe a todos

Para Borja Adsuara profesor, abogado y consultor y uno de los padres de la Carta de Derechos Digitales, “pese a esta tregua todo parece indicar que esta plataforma de Interior pare recoger los datos de viajeros y otros usuarios del sector turístico va a entrar en vigor el 2 de diciembre. En principio el Ministerio no va a pedir más datos de los que pide ahora, pero el RD sigue vigente, aunque al parecer se hará una Orden Ministerial para su desarrollo. Habrá que ver el contenido de la Orden, que seguramente recogerá los nuevos datos”.

A juicio de este experto, “hay que darse cuenta de que una Orden Ministerial no puede ir contra un Real Decreto y tampoco se ha dicho que éste se vaya a dejar de aplicar. Todo sigue muy abierto. Desde fuera parece una ‘prórroga-trampa’ y lo que hay que hacer es aprovechar que se ha pactado con Bildu la reforma de la Ley Orgánica de Seguridad Ciudadana para abrir el debate sobre este tema, que tiene que ver con el artículo 25.1 de dicha Ley. Es un tema que afecta a derechos fundamentales y que nos afecta a todos”.

Al mismo recuerda que “la jurisprudencia señala que tanto los límites a derechos fundamentales como las garantías deben estar en una norma con rango de ley, no vale un RD, que es un Reglamento”.

Borja Adsuara advierte el problema de tantos datos personales que se piden y su custodia. (Imagen: Cesión Propia )

También “sorprende que el Ministerio del Interior no haya hecho la evaluación de impacto que le pidió la Agencia Española de Protección de Datos (AEPD) en un informe previo a la implementación de la norma, tal y como nos hemos enterado por José Leandro Núñez”. “Ahora, con la obligación que tienen las empresas del sector turístico de guardar estos datos durante tres años, se incrementa de forma notable el riesgo de que acaben en manos de piratas informáticos”, comenta este experto.

De hecho cree que uno de los problemas de esta normativa está en el almacenamiento de los datos: “No todos los operadores a los que se piden estos datos tienen capacidad de almacenamiento durante tes años con las medidas de seguridad adecuadas para evitar cualquier fuga de estos datos a terceros”.

“Este es un grave problema que generará que muchos de nuestros datos acaben en malas manos. Creo que en este momento el testimonio de INCIBE o expertos en ciberseguridad sería bueno para conocer cuál es el riesgo de que se incrementen exponencialmente las suplantaciones de identidad y las ciberestafas”, advierte.

Desde su punto de vista “la pregunta es quién va a ser responsable cuando estos datos lleguen a esas malas manos. Los datos de las tarjetas y medios de pago están seguros mientras están protegidos en sus plataformas, pero, si esos datos salen de ahí hacia otro destino, no se puede garantizar su seguridad. Es un problema grave que la AEPD, el Ministerio de Interior y la sociedad civil a través de sus principales asociaciones debe abordar por su importancia”.

Un tratamiento arriesgado

Desde el lado de la privacidad, para José Leandro Núñez, socio de Audens y miembro de la junta directiva de ENATIC, este tratamiento tiene una doble derivada: obliga a tratar datos tanto al Ministerio como a los hoteles, empresas de alquiler de vehículos y agencias de viaje.

“El Estado parte con ventaja, porque se le aplica una norma específicamente diseñada para el tratamiento de datos policiales, la Ley Orgánica 7/2021; pero los hoteles siguen sometidos al RGPD, por lo que el Real Decreto debería respetar ambas normas». Según este abogado, “toda norma que establezca medidas limitativas del derecho a la protección de datos debería basarse en el artículo 23 del RGPD. No parece que, en este caso, se hayan seguido estas indicaciones”, señala este experto.

Por otra parte, tanto el Reglamento General de Protección de Datos como la Ley Orgánica 7/2021 obligan a realizar una evaluación de impacto previa en tratamientos de alto riesgo. Este jurista solicitó acceso, a través de la Ley de transparencia, a esta evaluación de impacto: la respuesta del Ministerio ha sido clara, no se ha hecho.

“Este departamento consideró suficiente el interés de la información para la adecuada preservación de la seguridad ciudadana como justificante de la necesidad de recogida de datos y del cumplimiento del principio de minimización, por lo que no se llevó a cabo la evaluación de impacto”. Y ello, a pesar de que la AEPD había indicado, en un informe previo, que su realización era necesaria.

Leandro Nuñez cree que es sorprendente, que Interior pese a que la AEPD lo haya pedido, no hiciera la evaluación de impacto (Audens Abogados)

«El papel de las evaluaciones de impacto es fundamental para justificar la necesidad de recabar datos personales, e identificar, analizar, evaluar y dar respuesta a los riesgos derivados de su utilización», explica Núñez.

“Entre estos riesgos, por ejemplo, están los ataques informáticos, como el que sufrió la Dirección General de Tráfico hace unos meses, que supuso la filtración de los datos de millones de ciudadanos. «Las grandes bases de datos centralizadas son peligrosas, precisamente, por las consecuencias que se derivan en caso de brecha de seguridad», explica.

Por otra parte, recuerda que “la norma obligaría a los operadores del sector turístico a conservar los datos de sus clientes durante tres años, según dice el artículo 5 de la norma, incrementando así el riesgo de ciberataque o filtración. “Algunos de estos datos, como los relativos a tarjetas de crédito, son muy sensibles. La propia normativa bancaria recomienda a los comercios que no los almacenen, por el riesgo que conlleva”.

Además, este jurista subraya que en el artículo 7.2 se habla de conectar esta base de datos con otros ficheros policiales, con la idea mejorar la lucha e investigación contra los delitos de terrorismo y delincuencia organizada: “Habrá, por tanto, cruces de datos, por lo que se interpreta del contenido de esta norma. Lo lógico es que, si estas medidas son necesarias, se aclare por qué se consideran necesarios todos y cada uno de estos datos, y qué tipos de cruces se van a realizar”.

Un registro adecuado a la ley

Por su parte, la Asociación Profesional Española de Privacidad (APEP) señala en un comunicado hecho público, la importancia de que el nuevo registro de viajeros, cuya entrada en vigor se ha aplazado al 2 de diciembre, se implemente en plena conformidad con la normativa de protección de datos vigente en la Unión Europea y España.

El Ministerio del Interior, en el ejercicio de sus competencias y con el objetivo de reforzar la seguridad ciudadana, debe garantizar que cualquier medida que implique el tratamiento de datos personales respete los principios de necesidad y proporcionalidad, tal como establece el Reglamento General de Protección de Datos (RGPD).

En este sentido, APEP subraya la importancia de realizar un estudio detallado sobre la proporcionalidad de los datos recabados, asegurando que solo se recojan aquellos estrictamente necesarios para los fines previstos.

“Cualquier nueva normativa debe ponderar los derechos fundamentales e intereses legítimos que estén en juego, en este caso, la seguridad y la protección de datos, lo que conlleva evaluar cuidadosamente el impacto que el tratamiento de datos personales, o la ausencia de los mismos, puede tener sobre los derechos fundamentales implicados”, afirma Marcos Judel, presidente de APEP.

En este sentido, recuerdan desde APEP que es esencial que una medida de esta magnitud esté precedida por una evaluación de impacto en la privacidad (EIPD) y cuente con la supervisión del delegado de protección de datos para garantizar su correcto enfoque. Se trata de buscar un equilibrio adecuado entre la seguridad y la privacidad en el uso de los datos personales.

Judel también destaca la importancia de que “el proceso sea transparente para los ciudadanos, proporcionando la información adecuada sobre qué datos se recogen, con qué finalidad y cómo serán protegidos”.

Además, en este tipo de medidas, que implican el tratamiento masivo de datos y su comunicación a otros organismos públicos, la consulta y colaboración con la Agencia Española de Protección de Datos es esencial para asegurar el cumplimiento del marco normativo y garantizar que la recogida de datos se realice de acuerdo con la legislación vigente.

Marcos Judel presidente de APEP cree que este tipo de tratamientos deben buscar equilibro adecuado entre la seguridad y la privacidad en el uso de los datos personales. (Imagen: APEP)