Los hoteleros piden «no ser responsables» del tratamiento de los datos de sus clientes

«Esta Asociación desea dejar constancia de la inseguridad jurídica en que el Ministerio del Interior ha colocado a la hotelería española». Así comienza el escrito de alegaciones presentadas por la Asociación Española de Directores de Hotel (AEDH) al Real Decreto 933/2021, de 26 de octubre, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor.

No son pocas las alegaciones presentadas, en cuya redacción ha colaborado, desde su borrador, la presidenta en Balears de esta asociación, la ibicenca Alicia Reina. Y son expresamente duras. Por ejemplo, recuerda AEDH que el desarrollo del Real Decreto exige promulgar cuatro tipos de resoluciones para configurar el nuevo sistema y modelo de parte de viajeros, el nuevo Registro informático de datos, el procedimiento de comunicación de datos al inicio de la actividad y los procedimientos telemáticos para las comunicaciones previstas: «Ninguno de estos contenidos está configurado, no obstante lo cual Interior ha forzado la entrada en vigor del Real Decreto, cuyas obligaciones de información ha canalizado además a través de la Plataforma ses.hospedajes, que no solo al día de la fecha presenta un funcionamiento sumamente defectuoso (acrecentando con ello la inseguridad), sino que ni siquiera esta plataforma está respaldada por resolución alguna que la valide y configure a los fines de implantar seguridad jurídica para los sujetos obligados de la norma». Advierten los hoteleros que actualmente «no hay un canal de comunicación con el usuario que solucione los problemas del sistema, lo que acentúa la inseguridad jurídica».

«Colisión» con la legislación de protección de datos

La asociación considera que debe modificarse el artículo que establece «la responsabilidad del hotelero sobre la veracidad de los datos que notifique al Ministerio, y cuyo origen procede directamente del viajero, bien por su manifestación, o bien por la exhibición de algún documento que muestre y guarde». Pero estiman que para que el establecimiento «pueda ver salvaguardada su responsabilidad, debería no solo verificar los datos recabados del viajero mediante su cotejo con algún documento del que procedan, sino también recabar, obtener y conservar copia del documento en cuestión, a los fines de que disponga de la posibilidad de acreditar al Ministerio la veracidad del dato y salvar su responsabilidad en caso de que se le exija». El problema es que esa conservación «colisiona» con los criterios establecidos para la protección de datos personales: «Si no se puede acreditar la exactitud del dato recabando el documento que lo pruebe porque infringe la normativa europea de protección de datos, caben dos alternativas: o bien se elimina esta responsabilidad del hotelero, o bien se establece expresamente que con la firma del viajero del parte facilitado por la empresa queda ratificada la exactitud de los datos proporcionados por este y transmitidos por el hotelero», señalan.

Proponen, asimismo, que el registro informático debería estar asociado a la plataforma ses.hospedajes, «de manera que existiera simultaneidad en el momento de la recogida y transmisión de los datos para que el hotel, una vez que cumplimente su correspondiente alta, pueda volcar ahí toda la información recabada para el Ministerio del Interior y tener acceso a su registro». La razón que esgrimen es que así «quedaría clarificado» que el alojamiento «es un mero encargado del tratamiento de datos personales por cuenta del Ministerio del Interior, y no el responsable de estos».

Creen que de esta manera disminuye el riesgo de las brechas de seguridad por ataques informáticos. Abogan, además, por que el propio cliente pueda realizar un autochecking, por ejemplo «mediante la implantación de una aplicación en la que el propio viajero, previa descarga, pueda comunicar los datos de su registro sin que la empresa de establecimiento de hospedaje tenga que intervenir en ellos».

Datos expuestos a la ciberdelincuencia

En otra alegación avisan del «riesgo muy importante» que supone la conservación y custodia de los datos de los viajeros durante tres años: «Por la propia tipología de los datos, se exige a los hoteleros implementar unas medidas de seguridad de primer nivel, de la que indudablemente la inmensa mayoría de establecimientos de hospedaje no disponen». Recuerdan los hoteleros que en 2023 se produjeron 347 millones de pernoctaciones, por lo que avisan de que «los datos personales de cientos de millones de personas, incluyendo los medios de pago, se van a ver indudablemente expuestos» por, como advierten, no contar con esa seguridad e primer nivel. Y eso, a juicio de la AEDH, supone una contradicción: «Por un lado, la norma pretende ser eficaz contra el terrorismo y el crimen organizado; por otro, pone en bandeja a la ciberdelincuencia un campo de actuación inédito, que afecta a millones de personas». Piden que la norma establezca «en un máximo de seis meses el tiempo de almacenamiento de la ingente cantidad de datos que requiere», concretamente «las 42 tipologías/categorías de datos que debe proporcionar el establecimiento de hospedaje» a Interior.

Injerencias en la vida personal

En ese sentido, advierten de que «sin una justificación suficiente, se está ampliando de manera desproporcionada el número de datos que deben recogerse y comunicarse (…) Muchos, sin justificación suficiente, constituyen injerencias injustificadas en la vida personal y familiar de los viajeros». Por ejemplo, tener que informar del teléfono móvil y fijo del cliente, la dirección completa real, la hora de entrada y de salida del establecimiento, o la forma de pago de la estancia, que debe especificar el IBAN, el número de tarjeta de crédito y las características de ésta. Es, indican, «una desmesura», pues estiman desde la AEDH que «todo lo que exceda el registro y comunicación de datos que no aparecen en un documento oficial quiebra las garantías de derechos reconocidos constitucionalmente». Les exigen, insisten, recoger datos «que suponen una intromisión del Ministerio del Interior en la vida personal y familiar de los viajeros», razón por la que «debe desaparecer» esa obligación.

Es más, señalan que, respecto a los datos de la transacción económica, hay algunos que «ni siquiera están al alcance de los establecimientos de hospedaje, como la fecha de caducidad de la tarjeta, el tipo y número de tarjeta o el IBAN de la cuenta bancaria, los cuales suelen transmitirse de manera encriptada por parte de los proveedores de servicios de pago». Además, insisten en que la propia normativa bancaria exige «que no se conserven los datos bancarios y de tarjetas de crédito a la vez». Su exigencia, por tanto, también «debe desaparecer».

Opción o no

Protestan, asimismo, por que algunos de los datos que se deben recabar aparecen en la plataforma ses.hospedajes como «comunicación opcional», lo cual, alegan, «genera una inseguridad jurídica grave» a los hoteleros: «Como no hay norma jurídica que respalde el contenido exhibido por la plataforma, la consideración opcional de los datos que muestra no tiene respaldo jurídico alguno, generando confusión. No sabe el hotelero si tiene que recabar y registrar dichos datos o no». Por otro lado, dicen que existe inseguridad «sobre las consecuencias en caso de que el hotelero pregunte al cliente sobre esos datos opcionales con el fin de recabarlos», y el viajero se niegue a proporcionarlos «con el argumento —que actualmente exponen muchos (con razón)— de que eso ‘no le interesa al Ministerio’».

También si están cerrados

Hay, además, una alegación que afecta particularmente a los alojamientos de las Pitiusas debido a la estacionalidad del turismo en estas islas: «La norma no ha valorado que a los establecimientos hoteleros de temporada, que cierran durante la temporada de otoño/invierno, que no prestan ningún tipo de servicios durante dicho periodo, y que carecen de todo su personal [durante esos meses], también se les obliga a comunicar las reservas que van a recibir durante el periodo de cierre al público, lo que exige habilitar parte de su plantilla para poder atender la obligación de comunicar datos al Ministerio». Para más inri, comentan, se les impone comunicar «no solo los datos de la reserva, sino también comunicar esos mismos datos en caso de anulación, lo que constituye una obligación doble para el hotelero».

Duplicidad

Se crea, subrayan, una duplicidad manifiesta: «Hay que tener en cuenta que las empresas intermediarias en la venta de servicios de hospedaje, así como las plataformas digitales, tienen también que comunicar al Ministerio de Interior los datos de sus reservas, lo cual da lugar a nuevas duplicidades en la comunicación de datos: los datos de un mismo cliente son recabados y transmitidos a Interior por la plataforma que canalizó la reserva —Booking, por ejemplo—, y, también, esos mismos datos de esa misma persona son comunicados por el hotelero cuando ese cliente se registra en el hotel. Duplicar datos y esfuerzos no tiene sentido alguno».

El caso de las reservas ficticias

Y advierten de que las reservas que derivan concretamente de turoperadores pueden ser «ficticias», de manera que el dato comunicado por el intermediario no puede ser confirmado hasta el momento del registro en el propio establecimiento. Esos datos, por tanto, «no tienen ningún tipo de utilidad porque no se corresponden con una transacción efectiva». Resulta pues «totalmente innecesario que sobre una misma reserva», una agencia de viajes, una plataforma digital, un turoperador, un banco de camas o el establecimiento hotelero, o todos ellos a la vez, pues «todos los operadores pueden participar en una misma distribución», tengan que facilitar «los mismos datos, pues multiplica los esfuerzos de cada uno, lo que solo se justificaría en el curso de una investigación policial concreta y actual sobre una persona, pero nunca con carácter generalizado a toda la población española y extranjera que se aloje o realice una reserva aunque luego la anule, justificado por el Ministerio en razones de mera prevención».

Por eso proponen que, «sin perjuicio de que Interior debe depurar qué utilidad le genera disponer de datos duplicados, triplicados o cuadruplicados de un mismo cliente (que además puede haber anulado la estancia)», la obligación de recabar y comunicar datos se ciña a que el alojamiento solo esté obligado a proporcionar los datos de sus clientes «en el momento en que debe prestar el servicio, es decir, el correspondiente al inicio de los servicios contratados».

¿Quién es la autoridad competente?

¿Y quién es la autoridad competente a la que hay que comunicar los datos de los clientes?, se preguntan los hoteleros: «Actualmente, la autoridad competente puede ser el Ministerio del Interior, la Ertzaintza y los Mossos d’Escuadra», señalan. Interior, apuntan en la alegación, «ha pretendido zanjar cualquier polémica» al afirmar que el registro es competencia exclusiva del Estado, al tratarse de una competencia relacionada con la seguridad pública: «Pero ante ello, las policías autonómicas con competencia en materia de interior afirman que sus sistemas están vigentes y son obligatorios para los establecimientos de hospedaje ubicados en estos territorios». Eso demuestra, «indudablemente, una falta de seguridad jurídica palpable», pues deberán «comunicar de manera duplicada los mismos datos al Ministerio del Interior y al registro policial autonómico para evitar generar responsabilidad en el hotelero. Si es así, ¿qué principio o criterio justifica esa duplicidad, cuando lo procedente sería que los cuerpos policiales compartieran los datos que obtienen y almacenan?», alegan.

Suscríbete para seguir leyendo