PROTECCIÓN DE DATOS Y EL NUEVO CHECK-IN (REGISTRO DE VIAJEROS)

¿Que implica y a quien afecta?

El pasado lunes 2 de diciembre entró en vigor la aplicación del Real Decreto 933/2021, normativa que establece obligaciones de registro documental e información de viajeros/huéspedes, ampliando los datos que se solicitaban hasta ahora por motivos de seguridad y para ceder a las fuerzas y cuerpos de seguridad del estado.

Se traduce en un aumento considerable de los datos que se tenían que registrar del cliente para ceder a la policía, siendo más de 30 los datos que a partir de ahora se tendrán que registrar del cliente y que tendrán que custodiarse durante 3 años (pueden consultarse el listado de datos que se debe registrar en los anexos de la normativa en https://www.boe.es/diario_boe/txt.php?id=BOE-A-2021-17461).

Afecta a todas las entidades y personas físicas o jurídicas que ofrezcan servicios de hospedaje y alquiler de vehículos sin conductor en España. Esto incluye hoteles, hostales, pensiones, casas rurales, campings, plataformas como Airbnb y Booking, así como empresas de alquiler de vehículos.

Polémica con la normativa: ¿Es compatible con protección de datos? ¿Puedo librarme de cumplirla?

Si bien la aplicación de esta normativa ha generado debate sobre su compatibilidad con la normativa de protección de datos, es de cumplimiento obligatorio. Por mucho que pueda dar la sensación de que los datos que se deben solicitar a partir de ahora sean excesivos o contrarios a la privacidad/normativa de protección de datos, esta petición de datos es actualmente una obligación legal que viene sustentada por motivos de seguridad y por tanto acorde a la normativa de protección de datos.

A estos efectos el Ministerio del Interior ha asegurado que se han respetado los principios y normativas. Y aunque la Agencia Española de Protección de Datos (AEPD) no ha emitido una validación explícita de esta normativa, en el Preámbulo de la norma se indica que “Este real decreto ha sido informado por la Agencia Española de Protección de Datos”.

¿Y qué pasa si el cliente se niega a facilitarme los datos que pide esta normativa?

No es algo opcional y el cliente no puede negarse salvo quiera prescindir de los servicios ofrecidos de alojamiento, hospedaje, viaje, alquiler de vehículo…

Este registro se debe realizar en cumplimiento de una obligación legal y por tanto si el cliente no quiere dar los datos personales que se han de registrar según esta norma, no se le podrán prestar servicios y se tendrá que hacer una tarea de explicarle que se trata de algo obligatorio por ley y por motivos de seguridad, que estos mismos datos además se los pedirán en cualquier otro lugar que ofrezca los mismos servicios y que en ningún caso esto vulnera su privacidad, para ver si así accede y cambia su negativa.

¿Qué puede suceder en caso de incumplimiento?

El incumplimiento de estas obligaciones puede resultar en las siguientes sanciones:

• Multas: Hasta 30,000 euros por infracción.
• Inspecciones: Las autoridades pueden realizar inspecciones para verificar el cumplimiento de la normativa.
• Suspensión de actividades: En casos graves, las empresas podrían enfrentar la suspensión temporal de sus actividades.Privacidad del registro de viejeros

Problemas prácticos y recomendaciones finales

El principal problema de esta normativa es la aplicación de tales exigencias en la práctica, ya que esto conllevará registrar unos nuevos datos que hasta ahora no estaban previstos tanto en trámites a distancia como en persona. A su vez implicará también la necesidad de tener un nivel de seguridad adecuado en la custodia de estos datos, que, si bien no son considerados de categoría especial, son muchos y “delicados” al contener información bancaria o de la tarjeta, por ejemplo. Por lo que se recomienda tener en cuenta lo siguiente:

• Actualizar o revisar el sistema de obtención de datos para que a partir de ahora se recopilen los nuevos datos que exige la normativa y sean comunicados a las autoridades, además de procurar que estos sean almacenados de forma segura durante el plazo legal exigido (3 años).
• Concienciar y capacitar al personal en la recopilación y manejo de los datos personales requeridos.
• También es imprescindible estar adecuado a la normativa de protección de datos para que las empresas cumplan de forma íntegra con el Reglamento General de Protección de Datos (RGPD) e implementen las medidas de seguridad adecuadas para proteger la información personal que solicitan de sus clientes.