Los expertos en ciberseguridad alertan sobre los riesgos de privacidad del nuevo registro de viajeros

El 2 de diciembre entra en vigor el nuevo registro de viajeros, en aplicación del Real Decreto 933/2021, que ha suscitado quejas en el sector del turismo. Esta normativa afectará a más de 85 millones de turistas, tanto nacionales como internacionales, que visitan nuestro país, puesto que les obliga a aportar datos comprometidos a la hora de registrarse en hoteles o de alquilar vehículos a motor. Los expertos de Secure&IT alertan sobre los riesgos de privacidad que la nueva normativa supone para las personas físicas afectadas.

En agosto de 2024, más de 10 millones de turistas internacionales visitaron nuestro país y más de 16 millones de viajeros residentes en España se movieron por toda la geografía nacional. En datos generales, España recibió en 2023 a más de 85 millones de turistas. Este número de personas representa un aumento del 18,7% en comparación con el año 2022, lo que indica una fuerte recuperación del sector turístico tras los efectos de la pandemia.

Con el objetivo de desarrollar y concretar los requerimientos de registro a este tipo de entidades, y con la finalidad de reforzar las obligaciones ya previstas en la normativa, se aprobó el Real Decreto, 933/2021, de 26 de octubre. Este Real Decreto, además de establecer los datos que las entidades obligadas deben recabar, regula el sistema de comunicación de la información al Ministerio del Interior.

Esta ley establece obligaciones generales de registro de clientes por parte de las empresas que se dedican a prestar servicios de alojamiento y adquisición o uso de vehículos a motor, entre otros. El motivo es que los delincuentes, de manera habitual, requieren de este tipo de servicios en su modus operandi para llevar a cabo acciones delictivas.

El texto legal entró en vigor a principios del año 2022, salvo las obligaciones relativas a la comunicación de datos al Ministerio del Interior, cuya entrada en vigor se produjo el día 2 de enero de 2023. A partir de este momento, los proveedores de alojamiento y alquiler de vehículos deben enviar los datos de sus clientes a las autoridades policiales dentro de las 24 horas posteriores a una reserva o al check-in. 

"Esta regulación ha sido muy controvertida en los sectores afectados, especialmente en el de hospedaje, entendiendo que no es una normativa proporcional y que acarrea obligaciones de complicado cumplimiento. Debido a las quejas recibidas, y alegando problemas técnicos de la plataforma de comunicación de datos, se ha pospuesto en varias ocasiones la aplicación de esta norma. Pero, finalmente, las autoridades competentes han decidido que deberá ser aplicada a partir del día 2 de diciembre de 2024", explica Juan Manuel Valiente, responsable del Área Jurídica de Secure&IT.

La aplicación de esta norma ha sido muy criticada por el sector porque se trata de una normativa difícil de cumplir. Conlleva una alta carga administrativa y, además, existen importantes riesgos de privacidad para las personas físicas afectadas por la medida.

"El propio Real Decreto indica expresamente que la norma se adecúa a los principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia. Pero, esta afirmación es muy cuestionable", asegura Juan Manuel Valiente.

Existe un consenso en el sector sobre los datos que estas empresas están obligadas a recabar, como es el caso de información personal básica como nombre, apellidos, número de DNI y domicilio, entre otros. Pero, además, ahora se obligará a obtener otros datos personales adicionales que podrían considerarse más invasivos e innecesarios y, con los cuales, el sector turístico no está de acuerdo. "Hablamos de datos como el número de soporte del DNI, la relación de parentesco entre los viajeros cuando haya menores de edad, teléfono y, especialmente, datos de pago (tipo de tarjeta, número de tarjeta, fecha de caducidad de la tarjeta o IBAN de cuentas bancarias)", indican desde Secure&IT, compañía española de TI referente en el ámbito de la ciberseguridad.

Con la entrada en vigor de esta normativa, todas las empresas del sector estarán obligadas a tratar este tipo de datos personales. Actualmente, el requerimiento y tratamiento de estos datos solo lo llevan a cabo los procesadores de pagos y las entidades bancarias, compañías que cuentan con medidas de seguridad reforzadas.

"La normativa vigente en materia de protección de datos establece como uno de sus principios fundamentales la minimización de datos. Esto supone que las entidades no pueden recabar más datos personales de los estrictamente necesarios para la finalidad para la que se obtienen. Por tanto, la solicitud de esta gran cantidad de información puede entenderse como un choque frontal contra este principio", explica Valiente.

Según los expertos, se debería haber realizado un análisis por parte del Gobierno en relación con la adecuación del Real Decreto 933/2021 a este principio, entendiendo que existen medios menos intrusivos para garantizar la seguridad ciudadana.

Esta situación provoca un doble riesgo para las personas físicas afectadas. Por un lado, el propio tratamiento de este tipo de datos por parte de los establecimientos hoteleros o por compañías de uso de vehículos a motor, podría suponer que los empleados de estas organizaciones realicen un uso inadecuado de los datos personales. Por ejemplo, los datos de medios de pago, que son especialmente sensibles, estarían en peligro.

Por otro lado, se debe tener en cuenta que el número de ciberincidentes que sufren las organizaciones aumenta exponencialmente año tras año, por lo que el tratamiento de este tipo de datos hace que los riesgos para la seguridad de los usuarios en este sentido sean mayores. El responsable del Área Jurídica de Secure&IT concluye: "Si se multiplican las localizaciones de este tipo de datos personales, los riesgos de seguridad de la información aumentan, especialmente, cuando una parte importante de los sujetos obligados son empresas que no pueden garantizar la implantación de medidas de seguridad acordes con el tratamiento de datos tan sensibles".

Según informan algunos medios de comunicación, fuentes del Ministerio del Interior anunciaron el 27 de noviembre que en los próximos días este departamento sacará a audiencia pública una orden ministerial sobre el nuevo registro de viajeros. Este plazo de consulta pública tendrá una duración de dos semanas y su finalidad es dar la oportunidad a las empresas afectadas de proponer sus mejoras con respecto al registro.

A pesar de este proceso de audiencia, a partir del lunes 2 de diciembre las empresas de hospedaje y alquiler de vehículos estarán obligadas a proporcionar los datos correspondientes en la plataforma Ses.Hospedajes.