Está previsto que a partir del 2 de diciembre sea de plena aplicación el Real Decreto 933/2021 que obliga a las empresas de hospedaje y alquiler de vehículos y a los operadores turísticos y plataformas digitales que actúan como intermediarios en dichas actividades al registro documental y transmisión de datos de sus clientes a las autoridades. Esta norma presenta ciertos retos desde la perspectiva de privacidad.
El Real Decreto 933/2021, de 26 de octubre, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor (RD 933/2021), comúnmente conocido como el real decreto de “registro de viajeros” lleva técnicamente en vigor desde el 27 de abril de 2022, pero nunca hasta ahora había sido objeto de tanto debate ni ocupado portadas de medios y plataformas.
Y esto es así puesto que, tras un periodo de adaptación de 5 meses y dos prórrogas, la fecha prevista actualmente para su plena aplicación es el 2 de diciembre de 2024. Pero retrocedamos ligeramente y establezcamos el contexto de la controversia que ocupa actualmente la mayor parte de las portadas de la prensa especializada.
Como decíamos, hace ya más de 2 años que entró en vigor el RD 933/2021, el cual ampliaba de manera significativa: (i) el ámbito de aplicación de las anteriores obligaciones de registro documental y transmisión de datos a las autoridades (contenidas hasta entonces, principalmente, en la Orden INT/1922/2003, de 3 de julio, sobre libros-registro y partes de entrada de viajeros en establecimientos de hostelería y otros análogos) para incluir, además de a las empresas directamente dedicadas a las actividades de hospedaje y alquiler de vehículos, a los operadores turísticos y plataformas digitales que actúan como intermediarios en dichas actividades; y (ii) la cantidad de datos que las entidades obligadas debían recabar de los viajeros y transmitir a las autoridades españolas. Y son estos dos aspectos, precisamente, los que han creado tanta controversia alrededor de la aplicación del RD 933/2021.
No obstante, la norma no se ha aplicado en su totalidad todavía puesto que, como indicábamos antes, con respecto a una de las principales obligaciones previstas en el RD 933/2021, la comunicación de datos a las autoridades españolas, el Ministerio del Interior, con el objetivo de facilitar la familiarización al nuevo entorno de los usuarios y asegurar el funcionamiento de la plataforma electrónica a través de la cual se comunicarán los datos (SES.HOSPEDAJES) en condiciones óptimas, decidió establecer un “periodo de adaptación” que, salvo sorpresa de última hora (que no sería descartable por completo dadas las últimas novedades al respecto), finalizará el próximo 2 de diciembre de 2024.
Y decimos que no sería descartable un cambio de última hora puesto que, muy recientemente, el pasado 23 de octubre de 2024, el pleno del Congreso de los Diputados aprobó la Proposición No de Ley del Grupo Popular, que, entre otros aspectos, insta al Gobierno a: (i) extender la suspensión de la aplicación del RD 933/2021 hasta que se aborde una revisión y ajuste exhaustivo y proporcionado de esta normativa en conjunto con los subsectores turísticos más afectados; (ii) revisar las obligaciones de recogida de datos personales requeridas por el RD 933/2021 para asegurar su compatibilidad con las normativas europeas de protección de datos; y (iii) apoyar las reivindicaciones que han sido unánimemente planteadas por todo el sector turístico español respecto a los efectos perjudiciales del alcance y contenido del RD 933/2021 sobre el funcionamiento de las actividades turísticas.
Ahora que ya contamos con un poco más de contexto, ¿cuáles son las principales obligaciones previstas en el RD 933/2021 qué han generado tanta controversia? De manera muy resumida, destacan las siguientes:
- Recogida de datos: las entidades obligadas deberán recabar numerosos datos personales (identificativos, de contacto y transaccionales, incluyendo la identificación y los detalles del medio de pago, tales como el número de la tarjeta bancaria y su fecha de caducidad) de los viajeros y sus acompañantes, aunque estos sean menores de edad.
- Almacenamiento: las entidades obligadas deberán conservar dichos datos en un registro informático durante un plazo de tres años a contar desde la finalización del servicio o prestación contratada.
- Comunicación o cesión de datos a las autoridades españolas: las entidades obligadas deberán comunicar, de manera telemática y a través de la plataforma SES.HOSPEDAJES, los datos recabados de los viajeros de manera inmediata, y en todo caso, en un plazo no superior a 24 horas, respectivamente, a partir de: (i) la reserva o la formalización del contrato o, en su caso, su anulación; o (ii) el inicio de los servicios contratados.
Ambas cuestiones, la ampliación del ámbito de aplicación que realiza el RD 933/2021 y el incremento sustancial en el número de datos personales que los intermediarios se ven obligados a recabar, almacenar y comunicar, son las que están generando no solo una gran controversia en el sector de los operadores turísticos y la intermediación, sino también numerosas dudas a nivel jurídico sobre su encaje legal.
¿Cómo encajan todas estas obligaciones con el cumplimiento de la normativa de protección de datos y qué dudas jurídicas plantea su cumplimiento? A nuestro entender, las dudas son múltiples y su encaje con la normativa de protección de datos es complejo. Señalamos a continuación las más relevantes:
- Reserva de ley: las obligaciones impuestas por el RD 933/2021 implican el tratamiento de datos de carácter personal, los cuales deberán realizarse, para cumplir con el Reglamento General de Protección de Datos (RGPD), amparándose en una de las bases de legitimación previstas en el artículo 6 del RGPD. En este caso, y dado que los anteriores tratamientos de datos previstos en el RD 933/2021 se realizarán en cumplimiento de dicho real decreto, la base legal aplicable podría ser, aparentemente, el cumplimiento de una obligación legal (ex artículo 6.1 c) del RGPD).
Sin embargo, es importante tener en cuenta que cualquier obligación que afecte a derechos fundamentales y, en particular, a los derechos a la protección de datos personales en la medida en que inciden en un derecho fundamental, debe estar respaldada por disposiciones con rango de ley. En este sentido, el Tribunal Supremo (STS 1922/2024) determinó que la reserva de ley no excluye la posible colaboración normativa (en virtud, por ejemplo, de un real decreto), aunque no puede considerarse suficiente una mera remisión en blanco, sino que debe contener los criterios generales o directrices sobre los que fundar las limitaciones que pueden establecerse, y estas limitaciones deben ser proporcionales al objetivo perseguido.
En este caso, es cierto que el RD 933/2021 se aprueba al amparo del artículo 149.1.29.ª de la Constitución Española, que atribuye al Estado la competencia exclusiva en materia de seguridad pública y, además, en desarrollo de lo dispuesto en el artículo 25.1 de la Ley Orgánica 4/2015, de 30 de marzo, de Protección de la Seguridad Ciudadana. Sin embargo, ninguna de ambas normas incluye, como sujetos obligados a la recogida, almacenamiento y comunicación de datos personales a las autoridades, a los intermediarios en las actividades de hospedaje y alquiler de vehículos, tal como sí hace el RD 933/2021. Por lo tanto, el RD 933/2021, norma que no tiene rango de ley, estaría imponiendo a los intermediarios determinadas obligaciones que tienen un impacto significativo sobre la protección de datos personales de los interesados.
- Proporcionalidad: de conformidad con el artículo 6.3 del RGPD, la legislación nacional que imponga condiciones para tratar datos personales debe tener, como fin, el alcanzar un objetivo de interés público que debe ser específico y proporcional al fin legítimo perseguido. Esto encaja con la jurisprudencia del Tribunal de Justicia de la Unión Europea que, en repetidas ocasiones, ha indicado que cualquier injerencia en los derechos fundamentales a la intimidad y a la protección de datos personales debe limitarse a lo estrictamente necesario para lograr los objetivos legítimos perseguidos por la legislación (es decir, la posibilidad de adoptar medidas menos intrusivas para lograr los mismos objetivos haría que el tratamiento fuese innecesario y desproporcionado).
En este caso, y teniendo en cuenta: (i) la gran cantidad de datos que el RD 933/2021 exige recabar y transmitir; (ii) la amplitud del ámbito de aplicación del RD 933/2021 que implicará la recepción, por parte de las autoridades españolas, de los mismos datos a través de diferentes fuentes (hoteles y empresas de alquiler de vehículos, agencias de viajes, intermediarios online, etc.); y (iii) la existencia de tratados y convenios internacionales que regulan procedimientos de asistencia jurídica mutua y compartición de datos personales entre autoridades en el marco de investigaciones penales, cabe preguntarse si existen otras alternativas a las obligaciones previstas en el RD 933/2021 que sean mejores y menos intrusivas y lesivas para lograr el resultado deseado por el RD 933/2021; esto es, la protección de personas y bienes y el mantenimiento de la tranquilidad y seguridad ciudadana.
- Previsibilidad o expectativa razonable: según el Considerando 41 del RGPD, la normativa que imponga una obligación legal relacionada con la protección de datos deberá ser previsible para los interesados afectados.
En el caso del RD 933/2021, cabe preguntarse si su aplicación será previsible para todos los interesados afectados, teniendo en cuenta que no solo los datos de interesados españoles serán comunicados a las autoridades españolas, sino también los datos de cualquier extranjero que desee alojarse o alquilar un vehículo en España y los de sus acompañantes. Interesados estos últimos que, en su gran mayoría, desconocerán la aplicación del RD 933/2021 y, aunque la conozcan, podrán difícilmente acceder al contenido de la norma el cual se encuentra disponible en español.
Otra de las cuestiones ligadas a la previsibilidad de la aplicación del RD 933/2021 y que enlaza con el principio de transparencia previsto en el RGPD, es el hecho de que el propio RD 933/2021 no prevé cómo las autoridades españolas cumplirán con sus obligaciones de información bajo el RGPD una vez que reciban los datos personales de los viajeros por parte de las entidades obligadas. Como cesionarias de los datos personales, las autoridades españolas deberán cumplir con el deber de información previsto en el artículo 14 del RGPD, salvo que entiendan que aplica alguna de las excepciones previstas en su apartado 5 o que están exentas de hacerlo puesto que, de lo contrario, se pondría en peligro la seguridad pública, la seguridad nacional o los derechos y libertades de otras personas, o se obstaculizarían procedimientos o investigaciones judiciales o policiales. Nada de esto se encuentra clarificado o previsto en el RD 933/2021, con la inseguridad que ello supone para los interesados afectados.
Como se puede observar, a escasos días de la aplicación efectiva del RD 933/2021, todavía existen numerosas dudas sobre la compatibilidad de las obligaciones previstas en el mismo con la normativa de protección de datos. A fecha de hoy, el sector deberá convivir con esta situación hasta que el propio Ministerio del Interior o la Agencia Española de Protección de Datos se pronuncien al respecto y modifiquen o limiten el sistema, bien en el alcance objetivo o bien en el número y tipo de datos a recabar, almacenar y transferir.
