Impacto del registro de datos en hospedaje y alquiler en la protección de datos

El dos de diciembre de 2024, el Ministerio del Interior ha puesto en marcha el nuevo registro documental para las actividades reguladas en el Real Decreto 933/2021, de 26 de octubre, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor.

La razón por la cual se aplica este registro es por motivos de seguridad, frente a actividades terroristas y crimen organizado.

Este nuevo registro será electrónico a través de la aplicación SES.HOSPEDAJES, derivado de la obligación establecida en el art. 5.1 del RD 933/2021 y obviamente, tiene un gran impacto en el cumplimiento de la normativa de protección de datos.

¿Quiénes son los sujetos obligados de este RD?

Los sujetos obligados del RD 933/2021 son personas físicas o jurídicas que ejerzan, profesionalmente o no, actividades de hospedaje o alquiler de vehículos a motor sin conductor.

En relación con las actividades de hospedaje, el RD se aplicará a hoteles, hostales, pensiones, casas de huéspedes, establecimientos de turismo rural o análogos, campings y zonas de estacionamiento de autocaravanas, apartamentos, bungalows y otros alojamientos similares de carácter turístico, las de los operadores turísticos que presten servicios de intermediación entre las empresas dedicadas a la hospedería y los consumidores, así como la actividad de las plataformas digitales dedicadas, a título oneroso o gratuito, a la intermediación en estas actividades a través de internet, presten o no el servicio subyacente objeto de mediación, siempre que ofrezcan servicios en España.

¿Cuáles son las obligaciones que determina este RD 933/2021?

Las obligaciones son dos:

Elaborar un registro de los usuarios

El art. 4.1. del RD 933/2021 señala que las personas titulares de las actividades de hospedaje y de alquiler de vehículos incluidos en el ámbito de aplicación de esta norma recogerán los datos de las personas usuarias de las mismas con el objeto de proceder a su registro y a la comunicación necesarias para el cumplimiento de las obligaciones legales.

Deber de comunicación:

El deber de comunicación contempla 2 supuestos:

Primer supuesto

Con carácter previo al inicio de la actividad de que se trate, la empresa deberá notificar a la autoridad competente los datos identificativos de la empresa y los datos del establecimiento, en un plazo de 10 días contados desde el cumplimentado de los trámites administrativos exigibles en cada caso para el desarrollo de la actividad y, en cualquier caso, con anterioridad al ejercicio efectivo de esta. (art. 6.1 del RD 933/2021).

Segundo supuesto

Una vez realizada la reserva, firma del contrato o inicio de la prestación de servicios por parte del usuario, la empresa deberá comunicar a la autoridad competente los datos del viajero y datos de la transacción en un plazo de 24 horas. (art. 6.3 del RD 933/2021)

¿Cuáles son los datos personales que deberán registrarse obligatoriamente?

En lo que se refiere al hospedaje, el Anexo I del RD 933/2021 detalla en su apartado 3, los datos de los viajeros que deben recabarse, siendo los más destacados los siguientes:

 

-Nombre y apellidos

-Sexo

-Número de documento de identidad.

-Número de soporte del documento.

-Tipo de documento (DNI, pasaporte, TIE).

-Nacionalidad.

-Fecha de nacimiento.

-Lugar de residencia habitual.

-Dirección completa, Localidad, País.

-Teléfono fijo y móvil.

-Correo electrónico.

-Número de viajeros y relación entre ellos (en el caso de que alguno sea menor de edad)

-Cuenta bancaria

 

Por otro lado, en lo referente al alquiler de vehículos, el Anexo II del RD 933/2021 detalla en su apartado 2, los datos del arrendatario que deben recabarse, siendo los más destacados los siguientes:

 

-Nombre o razón social.

-Apellidos completos del arrendatario

-Sexo.

-Número de documento de identidad.

-Tipo de documento (DNI, pasaporte, TIE, NIF).

-Nacionalidad.

-Fecha de nacimiento.

-Lugar de residencia habitual, con la dirección completa, Localidad, País.

-Teléfono fijo y móvil

-Correo electrónico.

 

También es obligatorio recabar los datos del conductor principal, siendo los mismos que los datos del arrendatario, incluyendo el carnet de conducir, donde deberá señalarse el tipo, validez, número y número de soporte.

 

Se incluye en el listado de datos para el alquiler de los vehículos a motor que, en el caso de contar con GPS, también se incluyan los datos del mismo.

 

Obviamente, tal cantidad de datos tiene un impacto notable en el cumplimiento de la normativa de protección de datos.

 

¿Por cuánto tiempo se deben conservar los datos de los usuarios?

Según el art. 5.3 del RD 933/2021, el plazo de conservación obligatorio será de 3 años contados a partir de la finalización del servicio o prestación contratada.

Infracciones y sanciones

No contar con el registro documental y/o no cumplir con las comunicaciones obligatorias, se considerará una infracción grave.

Si hay deficiencias o irregularidades en el registro documental o se han realizado las comunicaciones obligatorias fuera de plazo, se considerará una infracción leve.

Las sanciones para estas infracciones se determinan en la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana, donde establece que para las infracciones graves se podrá imponer una multa desde 601 a 30.000 euros, y si es leve, la multa se determinará directamente atendiendo a las circunstancias y los criterios del art. 33.2 de la Ley.

Protección de datos y RD 933/2021

El RD 933/2021 establece en su art. 7, que los datos personales recabados al amparo de dicha norma, se conservarán en dos ficheros radicados en la Secretaría de Estado de Seguridad, y su tratamiento podrá ser realizado únicamente por las Fuerzas y Cuerpos de Seguridad, así como por las autoridades judiciales y Ministerio Fiscal, en el desempeño de sus respectivas competencias.

Añade el RD 933/2021 que el tratamiento de los datos de carácter personal derivados de la ejecución del real decreto se llevará a cabo conforme a la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales (en esta Ley, actúa como norma supletoria la LOPDGDD).

Por lo que respecta al cumplimiento del RGPD, hay que mencionar lo siguiente:

Existen dudas por parte de los sectores obligados sobre las medidas de seguridad de la plataforma propuesta por el Gobierno

Se entiende un exceso en la recogida de datos, vulnerando el principio de minimización de datos; ya que solicitar el sexo, lugar de residencia habitual, solicitar dos teléfonos (fijo y móvil) puede considerarse excesivo, ya que con el resto de datos que se recogen, es suficiente para identificar claramente a la persona.

Posición de la AEPD

La AEPD emitió en 2018 un Informe Jurídico en donde señalaba la necesidad de generar una Evaluación de Impacto sobre los datos afectados, así como reforzar el argumento sobre el cual se sustenta la ampliación de datos sometidos a las obligaciones del RD, teniendo en cuenta el principio de minimización de datos.

Consúltanos, estaremos encantados de ayudarte
error: Content is protected !!