El 'Gran Hermano' hotelero de Marlaska desoye la normativa de protección de datos y la jurisprudencia europea

El Real Decreto 993/2021 que obliga a los hoteleros, agencias de viajes, empresas de alquiler de vehículos, gestores de casas rurales y a aquellas plataformas digitales que se dedican a la intermediación a través de internet a facilitar al Ministerio de Interior datos de reservas y de alquiler de vehículos ya está en vigor desde este mismo lunes.

Hasta ahora tan solo se requerían 14 datos: nombre y apellidos, sexo, DNI, nacionalidad, fecha de nacimiento, lugar de residencia habitual, teléfonos, correo electrónico, número de viajeros y fecha de entrada y de salida. Esta cifra se ha triplicado. En total, los hoteles tendrán que dar cuenta de 43 datos, tanto del establecimiento como del cliente; los alojamientos turísticos de particulares tendrán que facilitar 41; las empresas de alquiler de vehículos 64 –una cifra que se incrementa en el caso de que haya más de un conductor–; y las agencias de viajes tendrán que aportar información de los clientes, los hoteles en los que se alojen e incluso de los vehículos que alquilen a través de ellos.

Estos datos oficiales no solo son los que aparecen en el DNI o en el pasaporte de los turistas, también se incluyen otros más sensibles como la relación de parentesco y los datos del pago (tipo, identificación del medio de pago, titular, fecha de caducidad y fecha del pago).

Desde Interior alegan que la puesta en marcha de este registro «cuenta con el aval de la Agencia Española de Protección de Datos (AEPD)». Pero lo cierto es que la AEPD reclama una «adecuada evaluación del impacto de protección de datos» del interés de Seguridad con el principio de «mínimo necesario» –la garantía de que únicamente se están tratando los datos precisos para los fines específicos del tratamiento– de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana.

Normativa europea

Este principio de minimización de datos exigidos por la administración fue consagrado por el Tribunal de Justicia de la Unión Europea en sus sentencias C-293/12 y C-594/12 de 8 de abril de 2014 y las sentencias C-203/15 y C-698/15 de 21 de diciembre de 2016. «Dichas sentencias señalan que el tratamiento masivo e indiscriminado es contrario al artículo 7 y 8 de la Carta de Derechos Fundamentales de la UE», explica Juan Ignacio Navas, socio-director de Navas & Cusí, despacho especializado en derecho europeo.

La Confederación Española de Hoteles y Alojamientos Turísticos (Cehat), ya había denunciado que la nueva normativa «vulnera varias directivas europeas» de protección de datos y sistema de pago. Concretamente, las referidas son: la Directiva (UE) 2015/2366, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y la Carta de los Derechos Fundamentales de la Unión Europea

La primera de todas, la Directiva (UE) 2015/2366 por la que se regula los servicios de pago, se establece que los perceptores de los pagos electrónicos no pueden acceder a los datos de las tarjetas bancarias, y están encriptados por razones de seguridad. El ‘Gran Hermano’ de Marlaska vulnera esta norma ya que pide que se identifique el medio de pago, el tipo de tarjeta y el número.

Por otra parte, de la Carta de los Derechos Fundamentales de la Unión Europea se desoye el artículo 6 en el que se establece que «toda persona tiene derecho a la libertad y a la seguridad». También el artículo 7 de «respeto a la vida privada y familiar», que se incumple en el momento en el que se pide acreditar las relaciones de parentesco que existen entre los turistas. Y el artículo 8 de «protección de datos de carácter personal».

Desde la patronal hotelera ya lamentaron que «el incumplimiento de esta normativa europea puede acarrear importantes multas a las empresas, muy superiores a las sanciones por no cumplir el Real Decreto de Interior». Aunque no existe una tabla concreta de las sanciones, ya que son fijadas por la Comisión Europea dependiendo de la gravedad que atañe, desde Navas & Cusí confirman que normalmente, «la multas son más altas de los 30.000 euros –cuantía máxima a pagar por incumplir la normativa de Interior–».

Riesgo en caso de ciberataque

La Asociación de agencias de viajes y operadores turísticos europeos (Ectaa) ha lanzando un comunicado junto a la Asociación Corporativa de Agencias de Viajes Especializadas (Acave) en el que aseguran que la imposición de estas nuevas obligaciones no sólo representa una grave amenaza para la privacidad de los datos personales, sino que también «expone a los ciudadanos a posibles riesgos de uso indebido de su información en caso de ciberataques».

«Esto convierte a los viajeros en las principales víctimas de la posible exposición de sus datos sensibles, ya que esta normativa no tiene precedentes en ningún otro país», explican. Ectaa y Acave se han puesto en contacto con el Gobierno y con la Agencia Española de Protección de Datos, solicitando la suspensión del reglamento y aclaraciones sobre cuestiones que podrían constituir una violación de las leyes europeas de protección de datos, pero aún no han recibido respuesta.

Posibles acciones legales

Cehat anunció que emprenderá acciones legales contra este Real Decreto debido a la falta de respuestas por parte del Gobierno y al impacto negativo que esta normativa supondrá para el sector hotelero y los propios viajeros.

La patronal hotelera denuncia que el Ejecutivo ha ignorado todas las peticiones de diálogo y aclaración del sector turístico. A pesar de las reiteradas advertencias sobre las graves repercusiones que tendrá este reglamento, el Gobierno no ha ofrecido soluciones ni ha emitido la prometida Orden Ministerial para aclarar su implementación.

Las agencias de viajes, agrupadas en la Confederación Española de Agencias de Viajes (Ceav), aseguran que la nueva normativa «puede ir en contra del objetivo que se persigue, mejorar la seguridad, al darse situaciones continuas de traslado de información duplicada o triplicada». Y coinciden con Cehat en acusar a Interior de haber dado plantón al sector: «No es cierto que haya existido contacto continuo, nos hemos tenido que enterar por otras fuentes», trasladan.