Desde el 9/10/2024, empresas con más de 50 trabajadores tienen 3 meses para negociar medidas LGTBI
logo-audidat-2024.png
TU PRIMERA CONSULTA LEGAL
CONTACTO
TU PRIMERA CONSULTA LEGAL
CONTACTO

Análisis del SES hospedaje desde la perspectiva de la protección de datos

En este artículo hablamos sobre:

  • El Real Decreto 933/2021 establece nuevas obligaciones de registro documental para el sector del hospedaje, ampliando la cantidad de datos personales requeridos.
  • La normativa podría entrar en conflicto con el principio de minimización del RGPD, al no justificar la necesidad de algunos de los datos exigidos.
  • La ciberseguridad se ve comprometida al obligar a conservar datos de pago durante tres años, algo contrario a estándares como el PCI DSS.
  • Existen dudas sobre la legalidad del RD en relación con la normativa de protección de datos, aunque su impugnación judicial es compleja.

Un nuevo marco normativo para el sector del hospedaje

El Real Decreto 933/2021, en vigor desde el 2 de enero de 2023, regula la obligación de registro documental en actividades de hospedaje y alquiler de vehículos a motor. Su aplicación plena comenzó el 2 de diciembre de 2024, tras retrasos atribuidos a problemas técnicos en el Ministerio del Interior.

En el ámbito del hospedaje, la norma afecta a:

  • Establecimientos comerciales como hoteles, hostales, pensiones y casas rurales.
  • Campings y zonas de autocaravanas, así como apartamentos turísticos y bungalows.
  • Operadores turísticos y plataformas digitales que intermedian en el alojamiento.

Datos exigidos y el principio de minimización

El nuevo reglamento amplía los datos que los establecimientos deben recopilar, incluyendo:

  • Datos personales adicionales: número de soporte del DNI, residencia habitual, teléfono fijo y móvil, correo electrónico y relación de parentesco en caso de menores de edad.
  • Datos financieros: número de tarjeta bancaria, IBAN y método de pago.

Esta ampliación genera dudas sobre su compatibilidad con el principio de minimización del Reglamento General de Protección de Datos (RGPD), que exige limitar la recopilación de datos a lo estrictamente necesario. Si bien la finalidad del RD es mejorar la seguridad ciudadana, no se ha justificado adecuadamente por qué estos datos específicos son imprescindibles.

Además, la Agencia Española de Protección de Datos (AEPD) recomendó realizar una Evaluación de Impacto en Protección de Datos (EIPD), pero no hay constancia de que el Ministerio del Interior haya cumplido con esta medida.

Riesgos de ciberseguridad y almacenamiento de datos

El RD obliga a los establecimientos a conservar los datos durante tres años, lo que genera riesgos de ciberseguridad, especialmente por la inclusión de información financiera. Aunque la norma exige medidas de seguridad, muchos negocios del sector no tienen recursos suficientes para garantizar una protección adecuada.

Además, esta obligación entra en conflicto con el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), que prohíbe el almacenamiento íntegro de datos de pago, lo que representa un retroceso en materia de seguridad.

Dudas sobre la legalidad del Real Decreto

Si una iniciativa privada solicitara estos datos, probablemente se consideraría desproporcionado según la normativa de protección de datos. Sin embargo, al tratarse de una norma de rango reglamentario, la AEPD no tiene competencia para cuestionar su legalidad, aunque sí podría pronunciarse sobre cómo se implementa en la práctica.

No obstante, un tribunal podría declarar su ilegalidad si considera que contradice leyes como la LOPDGDD, la Ley Orgánica 7/2021 o el propio RGPD. Las vías para impugnar el reglamento incluyen:

  1. Que una empresa sancionada por incumplir el RD lo recurra alegando que la norma es ilegal y el juez le dé la razón.
  2. Que un juez, de oficio, plantee la posible contradicción entre el RD y la normativa de protección de datos.

Hasta que esto ocurra, el incumplimiento del RD sigue sujeto a sanciones de hasta 30.000 euros.

Mayor control 

El Real Decreto 933/2021 introduce un mayor control sobre las actividades de hospedaje, pero su implementación plantea serios desafíos en materia de protección de datos. La falta de justificación sobre la necesidad de ciertos datos, los riesgos de seguridad y la posible vulneración del principio de minimización generan incertidumbre en el sector.

A la espera de posibles impugnaciones judiciales, los establecimientos deben cumplir con la norma para evitar sanciones, aunque persisten las dudas sobre su compatibilidad con el RGPD y la LOPD.

Fuente: Opinión de Jesús Gomes Vander Biest, consultor en protección de datos en PRODAT.

Más artículos sobre cumplimiento normativo

Más de 20 años cumpliendo contigo

¿Necesitas ayuda?

Te asignaremos un consultor experto para buscar una solución a tu problema en menos de 24h. ¡Escríbenos!

Hacer una consulta

¡Será un placer ayudarte!

¿Necesitas asesoramiento personalizado?

Si usted introduce su dirección de correo electrónico, dará su autorización para la recepción periódica de nuestra Newsletter en su correo electrónico, consintiendo asimismo el tratamiento de los datos personales facilitados con la citada finalidad. Si usted desea dejar de recibir nuestra Newsletter en su dirección de correo electrónico, puede oponerse en cualquier momento al tratamiento de sus datos con fines informativos remitiendo un mensaje de correo electrónico, con el asunto “BAJA SUSCRIPCIÓN NEWSLETTER”, a la siguiente dirección: info@audidat.com. Puede dirigirse a nosotros para saber qué información tenemos sobre usted, rectificarla, eliminarla y solicitar el traspaso de su información a otra entidad (portabilidad). Para solicitar estos derechos, deberá realizar una solicitud escrita a nuestra dirección, junto con una fotocopia de su DNI: Audidat 3.0, SL · Paseo de la Castellana 182 - 6ª planta C.P. 28046 · Madrid. Dirección de contacto con nuestro Delegado de Protección de Datos: dpd@audidat.comSi entiende que sus derechos han sido desatendidos, puede formular una reclamación en la AEPD (www.aepd.es). Dispone de una información ampliada sobre el tratamiento de sus datos personales en el apartado “Política de Privacidad” de nuestra página web.

¿Necesitas un presupuesto a medida?
Contactar
Desde el 9/10/2024, empresas con más de 50 trabajadores tienen 3 meses para negociar medidas LGTBI.

Te ayudamos

Coméntanos tu problema para asignarte un consultor especializado y darte una solución jurídica en menos de 24hs.

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS
Responsable del tratamiento: AUDIDAT 3.0, S.L. | Dirección del responsable: Paseo de la Castellana 182, 6ª planta 28046 Madrid | Finalidad: Sus datos serán usados para poder atender sus solicitudes y prestarle nuestros servicios. Asimismo, si usted nos ha facilitado su currículum personal, sus datos personales serán utilizados para participar en nuestros procesos de selección. | Publicidad: Solo le enviaremos publicidad con su autorización previa, que podrá facilitarnos mediante la casilla correspondiente establecida al efecto. | Legitimación: Únicamente trataremos sus datos con su consentimiento previo, que podrá facilitarnos mediante la casilla correspondiente establecida al efecto. | Destinatarios: Con carácter general, sólo el personal de nuestra entidad que esté debidamente autorizado podrá tener conocimiento de la información que le pedimos. Así mismo comunicaremos su información a entidades ofertantes interesadas en su perfil curricular. | Derechos: Tiene derecho a saber qué información tenemos sobre usted, corregirla y eliminarla, tal y como se explica en la información adicional disponible en nuestra página web. | Información adicional: Más información en el apartado ““política de privacidad”” de nuestra página web. | Delegado de Protección: de Datos dpd@audidat.com