No te pierdas nuestros contenidos
SuscribirmeLos establecimientos hoteleros y otros establecimientos que desarrollan actividades de hospedaje están sujetos a normativa que impone la obligación de registro y cesión de datos personales de sus clientes.
Esta normativa se ha ido ampliando a lo largo de los últimos años y, a consecuencia de ello, los establecimientos hoteleros se han visto obligados adaptarse a esta nueva realidad que les obliga a tratar cada vez más datos de sus clientes. Lo anterior, como veremos, ha llevado a incumplimientos de la normativa de protección de datos y a la imposición de sanciones por parte de la AEPD.
Así, la Orden INT/1922/2003 establece, por razón de la de la naturaleza de la actividad llevada a cabo por estos establecimientos, la obligación de cumplimentar el libro-registro.
En este mismo sentido, la Ley Orgánica 4/2015, de protección de la seguridad ciudadana, establece, en su artículo 25.1 la obligación de mantener un registro documental “a las personas jurídicas que ejerzan actividades relevantes para la seguridad ciudadana, como las de hospedaje”.
Para el correcto cumplimiento de esta obligación, la Orden INT/1922/2003 incluye un anexo con un modelo de libro-registro, aunque éste puede realizarse electrónicamente de acuerdo con los requisitos fijados en esta normativa. Entre otros datos del viajero que deben registrarse aparecen: el número de documento de identidad, nombre y apellidos del cliente, fecha de nacimiento, fecha de entrada y salida del establecimiento, etc.
Sin perjuicio de esta obligación, la normativa anterior establece dos obligaciones adicionales:
- Por un lado, establece que el libro-registro estará en todo momento a disposición de los miembros de las Fuerzas y Cuerpos de Seguridad con competencia en la materia, quedando los establecimientos obligados a exhibirlo cuando a ello sean requeridos;
- Por otro lado, comunicar a las dependencias policiales la información contenida en las hojas-registro.
Las anteriores obligaciones, que conllevan el tratamiento de grandes bases de datos, no determinan los medios del tratamiento y es cada responsable quien debe implementar los medios adecuados para cumplir con estas exigencias y, al mismo tiempo, cumplir con la normativa de protección de datos.
A ellas se suman las obligaciones impuestas en el Real Decreto 933/2021, a las que nos referiremos más abajo.
Sanciones de la AEPD
Hasta la fecha, la AEPD ha iniciado diversos procedimientos sancionadores a consecuencia de malas praxis de las anteriores obligaciones:
- Sanción de 2.000 euros por realizar un escaneo del DNI de los huéspedes para el cumplimiento de las anteriores obligaciones (PS/00331/2023). En este caso, la AEPD entiende que, para el cumplimiento de las obligaciones impuestas por la normativa, la copia del documento de identificación no es un tratamiento necesario para realizar el registro siendo por tanto excesivo e incumpliendo el principio de minimización de datos;
- Similar al anterior caso, la AEPD sancionó con 75.000 euros a una empresa adherida a una famosa plataforma digital de alojamientos por solicitar a los huéspedes fotografías del DNI y fotografías selfie de éstos (PS/00499/2022).
- Sanción de 30.000 euros por utilizar los datos de los huéspedes para finalidades adicionales sin respetar las obligaciones impuestas por la normativa de protección de datos (PS/00078/2021). Esta resolución fue analizada en una entrada de blog previa.
Real Decreto 933/2021
Sumado a las obligaciones anteriores, en enero de 2023 finalizó el periodo transitorio para el cumplimiento de las obligaciones de comunicación establecidas en el Real Decreto 933/2021 por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor.
Esta normativa exige a los establecimientos hoteleros la obligación de recabar datos adicionales como, por ejemplo, el sexo del huésped, lugar de residencia habitual, correo electrónico, teléfono móvil y fijo, número de viajeros que le acompañan y su relación de parentesco en el caso de menores de edad. Estos datos deberán conservarse por un plazo mínimo de 3 años de acuerdo con esta normativa.
El Real Decreto 933/2021 requiere que los establecimientos hoteleros se registren en la plataforma del Ministerio del Interior para comunicar los anteriores datos denominada “SES.HOSPEDAJES”.
Por si fuera poco, además de los posibles incumplimientos que pudieran darse, la normativa señala que los incumplimientos de registro y omisión de las comunicaciones obligatorias se consideran graves con sanciones de hasta 30.000 euros.
Por todo ello, es conveniente que los sujetos obligados y, especialmente a los establecimientos hoteleros, revisen los procesos de recogida y almacenamiento de datos exigidos por la normativa aplicable a fin de no incurrir en reclamaciones que pudieran resultar en sanciones.
Autor: Pablo Tena, con la colaboración de David Meshaka
No te pierdas nuestros contenidos
Suscribirme