Publicaciones

Comienza el contenido principal

Reporte de control de viajeros en las actividades de hospedaje y alquiler de vehículos: Seguridad Ciudadana Vs Derecho a la intimidad

| Publicaciones | Propiedad Industrial e Intelectual

Con fecha 27 de abril de 2022, entra en vigor el Real Decreto 933/2021, de 26 de octubre por el que se establecen nuevas obligaciones en lo relativo al registro documental e información que las personas físicas o jurídicas que ejercen actividades de hospedaje deben cumplir

Analizamos las novedades y cómo afecta esta nueva actividad de tratamiento de datos en materia de protección de datos personales.

Novedades:

Este Real Decreto viene a ampliar las obligaciones de reporte establecidas en la Orden INT/1922/2003, de 3 de julio, sobre libros-registro y partes de entrada de viajeros en establecimientos de hostelería y otros análogos.

1º.- Obligación de registrar a los mayores de 14 años, anteriormente se establecía a los mayores de 16 años, y a los menores de edad, imponiéndose la obligación de informar sobre el parentesco. Esta obligación recae sobre la persona mayor de edad que acompañe.

2º.- Se amplía la información que debe facilitarse sobre el establecimiento y sobre los viajeros, en lo que se refiere a la identificación, datos de la transacción, y datos del pago.

3º.- Qué evidencias se deben recoger. Se establece una responsabilidad para los responsables de las actividades de hospedaje de verificar la exactitud de los datos. Esto supone que el Responsable de la actividad deberá acreditar que adoptó un diligencia en la verificación de la información.

Para esto, el Real Decreto no aclara cómo o con qué documento se puede verificar la información. Esta labor acreditativa resultará relativamente sencilla en lo que se refiere a la identificación de la persona que será a través del Documento Nacional de Identidad, en caso de ser nacional,  o del Pasaporte en caso de ser extranjero, pero esta labor puede complicarse cuando se trate de verificar, por ejemplo, los medios de pago y el titular del medio de pago, ¿se deberá conservar una copia de la tarjeta de crédito? , en el caso de pago por transferencia bancaria ¿se deberá solicitar certificación de titularidad de la cuenta bancaria?

4º.- Cómo se debe recoger. Como novedad se establece que debe recogerse de forma telemática, salvo en el caso de personas físicas que hospedan a personas sin prestar una actividad comercial, en cuyo caso lo podrán hacer en soporte papel.

5º.- Por cuanto tiempo deben conservarse. Se establece un plazo de 3 años

6º.- A quién se debe comunicar.

Esto no ha cambiado debiendo comunicarse a las Fuerzas y Cuerpos de la Seguridad del Estado.

7º.- Cuándo se debe comunicar

De forma inmediata o, en todo caso dentro un plazo no superior a 24h a partir de los siguientes momentos:

a) Al realizar la reserva o la formalización del contrato o, en su caso, su anulación.

b) Al inicio de los servicios contratados.

8º.- Entrada en vigor. El Real Decreto entra en vigor el próximo 27 de abril de 2022 y la obligación de comunicación al centro de datos de la Dirección General de la Policía y de la Guardia Civil no es operativa hasta el día 1 de enero de 2023.

Cuál es el impacto en materia de protección de datos.

En materia de protección de datos, nos planteamos las siguientes cuestiones:

1º.- Qué actividades de tratamiento de datos comporta esta nueva obligación

Varias son las actividades de tratamiento que implica estas obligaciones, como son la recogida, el registro, el almacenamiento, la conservación y la comunicación de datos.

2º.- Cuál es la base legítima para el tratamiento de los datos

Con independencia del debate generado sobre las implicaciones que para los establecimientos hoteleros y la industria turística se plantea en cuanto al coste de la implantación de esta medida, desde el punto de vista de protección de datos debemos analizar cuál es la base legítima para este tratamiento de datos.

El RD 633/21 se trata de una norma de desarrollo de la Ley Orgánica 4/2015, de 30 de marzo, de Seguridad Ciudadana. Por lo que la base legitimadora la encontramos en lo dispuesto en el artículo 6.1.c) del Reglamento General de Protección de Datos que establece que el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, en relación con lo dispuesto en el artículo 6.3.

En este sentido se ha pronunciado, igualmente, la AEPD en el informe emitido con ocasión de la publicación del Proyecto de la norma.

En consecuencia, los responsables de las actividades de hospedaje están obligados a recabar la información que se contiene en el Anexo I del Real Decreto.

3º.- Cuál es la finalidad.

De acuerdo con lo dispuesto en el artículo 6.3 de del RPGD, cuando la base legitimadora responde al cumplimiento de una obligación legal, deberá especificarse la finalidad del tratamiento.

En el presente caso, de acuerdo con el RD, la finalidad del tratamiento

De acuerdo con lo dispuesto en la Ley Orgánica 4/2015, la finalidad de llevar a cabo las actividades de tratamiento mencionadas responde a la preservación de la seguridad ciudadana y la prevención, detección y en su caso persecución de conductas delictivas especialmente en lo referente a la lucha contra el terrorismo y la delincuencia organizada.

Por lo tanto, es muy importante tener claro que la información que se recabe en el Registro de entrada siempre que responda a esta finalidad tendrá como base legitimadora el cumplimiento de la obligación legal, no pudiéndose utilizar para otras finalidades.

Es decir, esa información que además debe recogerse de forma telemática no podrá utilizarse, por ejemplo para analizar perfiles de los usuarios, salvo que se tenga el consentimiento expreso.

4º.- A quién se comunica. Exclusivamente a centro de datos de la Dirección General de la Policía y de la Guardia Civil.

5º.- plazo de conservación.

En relación a este punto no existe novedad alguna al continuar estableciéndose en tres años el plazo de conservación.

6º.- Se debe cumplir con el deber de información.

En relación a este punto de acuerdo con lo dispuesto en el artículo 5 del RGPD, si bien no se necesita contar con el consentimiento del titular de los datos sí debe cumplirse con el deber de información en materia de protección de datos.

7º.- qué medidas se deben adoptar para garantizar la confidencialidad e integridad de la información y documentación que se recaba

De acuerdo con lo dispuesto en el artículo… del RGPD se deben establecer medidas técnicas y organizativas para garantizar la confidencialidad y seguridad de la información que se recaba, sobre todo para evitar un uso indebido de la misma.

Puede descargar el documento completo desde aquí.

Para más información pueden contactar con:

María Suárez | Socia en protección de datos y propiedad intelectual

Fin del contenido principal