Amenazas para la privacidad del nuevo registro de viajeros
Apenas queda un mes para la obligatoria aplicación de una nueva normativa que tiene implicaciones para la ciberseguridad y la protección de datos.
Nuestro país se ha convertido en uno de los destinos turísticos clave a nivel mundial. Año tras año sigue siendo una de las opciones elegidas por todos aquellos que buscan encontrar en sus vacaciones un clima idóneo y disfrutar de la gastronomía a buen precio. Y es que España recibió en agosto de 2024 a más de 10 millones de turistas internacionales y a 16.787.625 viajeros residentes en España.
En datos generales, más de 85 millones de turistas visitaron nuestro país en 2023. Este número de personas representa un aumento del 18,7% del turismo en España en comparación con el año 2022, lo que indica una fuerte recuperación del sector turístico tras los efectos de la pandemia.
Con el objetivo de desarrollar y concretar los requerimientos de registro a este tipo de entidades, y con la finalidad de reforzar las obligaciones ya previstas en la normativa, se aprobó el Real Decreto, 933/2021, de 26 de octubre. Este Real Decreto, además de establecer los datos que las entidades obligadas deben recabar, regula el sistema de comunicación de la información al Ministerio del Interior.
Esta ley establece obligaciones generales de registro de clientes por parte de las empresas que se dedican a prestar servicios de alojamiento y adquisición o uso de vehículos a motor, entre otros. El motivo es que los delincuentes, de manera habitual, requieren de este tipo de servicios en su modus operandi para llevar a cabo acciones delictivas.
El texto legal entró en vigor a principios del año 2022, salvo las obligaciones relativas a la comunicación de datos al Ministerio del Interior, cuya entrada en vigor se produjo el día 2 de enero de 2023. A partir de este momento, los proveedores de alojamiento y alquiler de vehículos deben enviar los datos de sus clientes a las autoridades policiales dentro de las 24 horas posteriores a una reserva o al check-in.
“Esta regulación ha sido muy controvertida en los sectores afectados, especialmente en el de hospedaje, entendiendo que no es una normativa proporcional y que acarrea obligaciones de complicado cumplimiento. Debido a las quejas de los sectores afectados, y alegando problemas técnicos de la plataforma de comunicación de datos, se ha pospuesto en varias ocasiones la aplicación de esta norma. Pero, finalmente, las autoridades competentes han decidido que deberá ser aplicada a partir del día 2 de diciembre de 2024”, explica Juan Manuel Valiente, responsable del Área Jurídica de Secure&IT.
¿Qué datos deben ser recabados por el sector turístico?
La aplicación de esta norma ha sido muy criticada por el sector porque se trata de una normativa difícil de cumplir. Conlleva una alta carga administrativa y, además, existen importantes riesgos de privacidad para las personas físicas afectadas por la medida.
“El propio Real Decreto indica expresamente que la norma se adecúa a los principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia. Pero, esta afirmación es muy cuestionable”, asegura Juan Manuel Valiente.
Existe un consenso en el sector sobre los datos que estas empresas están obligadas a recabar, como es el caso de información personal básica como nombre, apellidos, número de DNI y domicilio, entre otros. Pero, además, ahora se obligará a obtener otros datos personales adicionales que podrían considerarse más invasivos e innecesarios y, los cuales, el sector turístico no está de acuerdo. “Hablamos de datos como el número de soporte del DNI, la relación de parentesco entre los viajeros cuando haya menores de edad, teléfono y, especialmente, datos de pago (tipo de tarjeta, número de tarjeta, fecha de caducidad de la tarjeta o IBAN de cuentas bancarias)”, indican desde Secure&IT, compañía española de TI referente en el ámbito de la ciberseguridad.
Con la entrada en vigor de esta normativa, todas las empresas del sector estarán obligadas a tratar este tipo de datos personales. Actualmente, el requerimiento y tratamiento de estos datos solo lo llevan a cabo los procesadores de pagos y las entidades bancarias, compañías que cuentan con medidas de seguridad reforzadas.
“La normativa vigente en materia de protección de datos establece como uno de sus principios fundamentales la “minimización de datos”. Esto supone que las entidades no pueden recabar más datos personales de los estrictamente necesarios para la finalidad para la que se obtienen. Por tanto, la solicitud de esta gran cantidad de datos puede entenderse como un choque frontal contra este principio”, explica Valiente.
Riegos en materia de seguridad
Según los expertos, se debería haber realizado un análisis por parte del Gobierno en relación con la adecuación del Real Decreto 933/2021 a este principio, entendiendo que existen medios menos intrusivos para garantizar la seguridad ciudadana.
Esta situación provoca un doble riesgo para las personas físicas afectadas. Por un lado, el propio tratamiento de este tipo de datos por parte de los establecimientos hoteleros o por compañías de uso de vehículos a motor, podría suponer que los empleados de estas organizaciones realicen un uso inadecuado de los datos personales. Por ejemplo, los datos de medios de pago, que son especialmente sensibles, estarían en peligro.
Por otro lado, se debe tener en cuenta que el número de ciberincidentes que sufren las organizaciones aumenta exponencialmente año tras año, por lo que el tratamiento de este tipo de datos hace que los riesgos para la seguridad de los usuarios en este sentido sean mayores. El responsable del Área Jurídica de Secure&IT concluye: “Si se multiplican las localizaciones de este tipo de datos personales, los riesgos de seguridad de la información aumentan, especialmente, cuando una parte importante de los sujetos obligados son empresas que no pueden garantizar la implantación de medidas de seguridad acordes con el tratamiento de datos tan sensibles”.
