La entrada en vigor del Real Decreto 933/2021 ha puesto en el punto de mira la protección de datos en el sector turístico. La obligación de recopilar y conservar durante tres años un gran volumen de información sensible sobre los viajeros ha generado preocupación entre los expertos, que advierten sobre riesgos de privacidad y posibles sanciones.
¿Una medida desproporcionada?
Entre los datos que deben registrarse figuran información personal, financiera y contractual, como el DNI, dirección, número de tarjeta bancaria y correos electrónicos. Este volumen de información, combinado con la obligación de almacenarlo durante tres años, incrementa las posibilidades de filtraciones y uso indebido. Además, algunos de estos datos, como la tarjeta bancaria, son altamente sensibles, lo que aumenta los riesgos de robo de identidad en caso de brechas de seguridad.
Sin garantías de protección robustas, el riesgo de pérdida de control sobre los datos personales es muy alto. Esta norma, además, podría vulnerar principios fundamentales del RGPD (Reglamento General de Protección de Datos), como el de minimización, que exige limitar la recopilación de datos al mínimo necesario para cumplir con el objetivo previsto.
Cargas administrativas y riesgos legales para las empresas
La protección de datos no es solo una preocupación para los viajeros, sino también un desafío para las empresas. El decreto impone una gran carga administrativa, especialmente para pequeñas empresas y autónomos, que deben implementar sistemas tecnológicos para registrar, almacenar y proteger la información de forma adecuada.
Estas inversiones, además de costosas, son complejas de implementar en empresas con recursos limitados, lo que puede derivar en incumplimientos no intencionados y, en última instancia, en sanciones.
Las multas pueden ser significativas. El incumplimiento del RGPD por cuestiones como filtraciones, fallos de seguridad o uso indebido de la información puede derivar en sanciones de hasta 20 millones de euros o el 4% de la facturación anual de la empresa, según cuál sea mayor.
Además, el decreto contempla multas específicas para infracciones relacionadas con el registro de viajeros, que van desde 100 hasta 30.000 euros, dependiendo de la gravedad.
No menos importante es el impacto sobre la operatividad diaria. La gestión de estos datos puede ralentizar procesos en recepción, generar conflictos con clientes que se nieguen a proporcionar información adicional y desviar recursos de otras áreas críticas del negocio. Esto es especialmente relevante en un sector altamente competitivo como el turismo, donde cualquier retraso o problema puede repercutir negativamente en la experiencia del cliente y, en última instancia, en la reputación del establecimiento.
La importancia de garantizar la proporcionalidad de los datos
El precedente de la anulación de la Directiva 2006/24/EC por el Tribunal de Justicia de la Unión Europea, debido a su carácter indiscriminado, debería servir de alerta. En palabras de Ruth Benito, experta en protección de datos de Elzaburu: “El almacenamiento masivo de datos personales sin medidas proporcionales ni justificación clara genera riesgos que pueden ser irreversibles para la privacidad”.
Este escenario refuerza la necesidad de poner la protección de datos en el centro de cualquier medida que implique el tratamiento masivo de información personal. Solo un enfoque equilibrado, que combine garantías de seguridad robustas con una justificación clara y proporcional, permitirá garantizar tanto la seguridad pública como los derechos fundamentales de los ciudadanos. Al mismo tiempo, es crucial proteger la competitividad del sector turístico, uno de los motores económicos de España.
Con este marco, las empresas deben prepararse para afrontar este reto, invirtiendo en sistemas de cumplimiento y protección de datos que no solo respondan a las exigencias normativas, sino que también refuercen la confianza de los viajeros.
Ruth Benito, Of Counsel. Privacidad y Protección de Datos