Novedades en materia de datos de viajes. Dudas legales acerca del RD 933/2021

El próximo 2 de diciembre finaliza el plazo para la entrada en vigor del RD 933/2021, de 26/10, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor.

Sin embargo, desde el sector se sigue presionando para que se acuerde una nueva prórroga, evitando su entrada en vigor al menos en los términos en los que actualmente está redactado. Y es que son muchas las dudas que se plantean con respecto al contenido del RD 933/2021; no sólo porque entra en conflicto con varias normas vigentes (tanto nacionales como comunitarias) y recomendaciones de distintos organismos (como la Agencia de Protección de Datos, entre otros), sino que plantea además una serie de problemas técnicos que impiden a los establecimientos cumplir con las obligaciones que les impone.

No se trata de cuestionar la finalidad del RD 933/2021, descrito con minucioso detalle en la Exposición de Motivos. Porque a nadie se le escapa que en un entorno como el actual, debemos disponer de las medidas necesarias para garantizar la seguridad de todos los ciudadanos. Y el objetivo que persigue el RD 933/2021 no es otro que implementar nuevas medidas de control en aras a garantizar esa convivencia pacífica.

Pero siendo lícito su objetivo, quizá la forma no lo es tanto. Por varios motivos.

En primer lugar, el RD 933/2021 exige que los establecimientos hoteleros recaben una serie de datos de sus clientes y que los suministren a las autoridades. Pero esos datos no se limitan a la identificación del propio viajero (nombre, dirección y número del documento de identidad), sino que van mucho más allá, solicitando datos sobre la propia transacción, el contrato firmado e incluso datos de pago. Así, el RD 399/2021 exige que el establecimiento indique cuál es la modalidad de pago utilizada por el cliente –efectivo, tarjeta, transferencia…-, cual es el titular del medio de pago e incluso identificar el servidor a través del que se realiza el pago. No sólo el establecimiento viene obligado a recabar y comunicar esos datos, sino que debe mantenerlos durante al menos tres años.

Es evidente que lo anterior resulta claramente desproporcionado; porque no existe ningún motivo que justifique la necesidad de recabar todos esos datos. Podría entenderse cuando exista una situación clara de riesgo, o un peligro inminente. Pero no de forma general. El hecho de que se obligue a los establecimientos a solicitar una cantidad ingente de datos, sin que exista una causa justificada para ello, atenta al principio de proporcionalidad vigente en nuestro ordenamiento.

Como también lo es la obligación de mantener esos datos durante un plazo mínimo de tres años. No sólo es desproporcionada, sino que entra en colisión con el principio de limitación del plazo de conservación de los datos que la Agencia Española de Protección de Datos impone a los responsables y encargados del tratamiento de datos.

Por tanto, el RD 933/2021, al obligar a los establecimientos de alojamiento a recabar un número excesivamente amplio de datos y a mantenerlos durante un plazo excesivamente largo, les obliga a incumplir las propias recomendaciones de la Agencia Española de Protección de Datos. Exponiéndose así a ser sancionados por aquélla.

Pero no es el único incumplimiento en el que incurre el contenido del RD 933/2021. Porque al obligar al establecimiento a recabar determinados datos sobre el contenido económico de la transacción y sobre los medios de pago, contraviene el contenido de la normativa europea en materia de servicios de pago. Entre otras, la Directiva UE 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior; el Reglamento Delegado UE 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la Directiva UE 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes. E incluso el contenido del Real Decreto-Ley 19/2018, de servicios de pago y otras medidas urgentes en materia financiera. No tiene sentido que por cumplir una norma, se obligue al establecimiento a cumplir otras. Algo completamente inadmisible en un sistema de derecho como el nuestro.

Pero aún hay más. Porque el RD 933/2021 no sólo obliga al establecimiento de alojamiento a recabar datos sobre los clientes que se alojen en él, sino que cuando alguno de ellos sea un menor, el RD 933/2021 obliga al titular del establecimiento a solicitar y verificar la relación existente entre ellos. ¿Cómo va a verificar el titular del establecimiento tal condición? ¿De qué medios dispone para ello?

Es evidente que el RD 933/2021, al imponer tal obligación, está haciendo recaer sobre el titular de un establecimiento funciones propias de los cuerpos y fuerzas de seguridad del estado. El establecimiento hotelero, ni dispone de medios para verificar qué relación existe entre los viajeros, ni está entre sus funciones hacerlo. De nuevo, el contenido del RD 933/2021 es claramente abusivo y desproporcionado.

Hemos visto que el RD 933/2021 entra en conflicto con varias normas y principios de nuestro ordenamiento, al exigir un volumen ingente de datos y obligar a mantenerlos durante un periodo excesivo de tiempo. Pero no es ese el único problema que plantea. Porque al exigir que todos esos datos se recaben y comuniquen a través de una plataforma habilitada al efecto, obliga a los establecimientos a adaptar sus sistemas informáticos con el fin de disponer de las herramientas técnicas necesarias. Asumiendo inversiones que en muchos casos, especialmente cuando hablamos de pequeños establecimientos -turismo de interior, casas rurales o pequeñas fondas u hostales- les resultan sumamente gravosas.

Por último debemos también referirnos a los fallos técnicos que ha venido planteando la propia plataforma, que ha impedido a los establecimientos que han decidido adaptarse, poder llevar a cabo tanto la recogida como la comunicación de los datos.

Es evidente que el RD 933/2021, lejos de garantizar la seguridad de todos los ciudadanos, supone un retroceso en materia de protección de datos y seguridad de las comunicaciones. Por ese motivo, fundamentalmente, desde el sector seguiremos trabajando para intentar una revisión exhaustiva de su contenido y alcance, con el fin de permitir a los establecimientos turísticos cumplir su contenido sin exponerse a ser sancionados por otros organismos.

Mónica Julve

Abogada de MONLEX

mjulve@monlexabogados.es