Conmoción en el sector hotelero por la reciente resolución de la Agencia Española de Protección de Datos (AEPD), que ha multado a un hotel por escanear el pasaporte de un turista holandés. La patronal Cehat alerta de la «falta de coherencia» y la «incompatibilidad» entre la normativa de la Agencia de Protección de Datos y la información exigida por las Fuerzas y Cuerpos de Seguridad del Estado para el registro de viajeros.
Escanear el pasaporte o el DNI es un procedimiento habitual usado por los hoteles para cumplir con las exigencias que marca el obligatorio registro de viajeros.
En este caso, el hotel escaneó el pasaporte en el que constaba una fotografía, manteniéndolo en su sistema informático interno. Esto le servía, al mismo tiempo, para evitar un uso fraudulento de la tarjeta del hotel, al comprobar por seguridad que, cuando se utilizara para los consumos internos, el titular de la tarjeta era el mismo que solicitaba los servicios gracias a la fotografía.
Esta infracción por guardar el pasaporte en su sistema informático con una foto ha sido considerada como contraria a la minimización y calificada de «muy grave» por la Agencia Española de Protección de Datos. Por tanto, el hotel ha sido sancionado con una multa de 30.000 euros, que es la mínima cuantía para un hecho muy grave, ya que estas sanciones pueden ascender hasta los 20 millones de euros o a un 4% de la facturación total del establecimiento, la mayor de estas dos cantidades.
La patronal hotelera Cehat denuncia que esta decisión de la AEPD se suma a las permanentes quejas que a lo largo del tiempo se han producido por la inseguridad jurídica y la sensación de persecución a los hoteleros en materias de protección de datos, ya que las normativas exigen elaborar y facilitar a las empresas turísticas información necesaria para el Ministerio del Interior.
Algo tan habitual como escanear un pasaporte en el check-in comporta importantes riesgos por la falta de coherencia e inseguridad jurídica de interpretación entre lo que piden las Fuerzas y Cuerpos de Seguridad del Estado y las normas de protección de datos personales
Gracias a la tecnología, el mecanismo habitual y eficiente era el escaneo del documento de identidad para que los datos fueran fidedignos. Sin embargo, ello entraña importantes riesgos «por la falta de coherencia e inseguridad jurídica de interpretación entre lo solicitado por las Fuerzas y Cuerpos de Seguridad del Estado y las normas de protección de datos personales, señala Cehat.
A expensas de un nuevo Real Decreto imposible de cumplir
Los hoteleros denuncian, además, que además que esta preocupación y desconcierto aumentan, porque el próximo 28 de abril entrará en vigor el Real Decreto 933/2021, que menciona las obligaciones de recogida y comunicación de datos, y aún no existe un documento de desarrollo específico para hoteles que se ajuste a la tecnología de los sistemas informáticos habituales utilizados.
Cehat ha manifestado tanto al Ministerio de Turismo como al de Interior la imposibilidad de recoger los datos solicitados en este Real Decreto, bien sea porque los hoteles no tienen acceso a los mismos o porque están prohibidos por normativa española y europea.
La citada normativa, que contempla importantes sanciones, exige a los hoteleros datos de la transacción económica que son tratados por los proveedores de servicios de pago y plataformas, sin que los establecimientos tengan acceso a ellos por razones de seguridad. Los proveedores de medios de pago, por razones de seguridad y siguiendo protocolos aprobados por el Banco de España, los encriptan de manera que el hotel no tiene acceso a ellos.
Paralelamente a estas exigencias, permanece vigente la obligación de rellenar y firmar el parte de entrada, algo que ha quedado en desuso en muchas tipologías de alojamiento, como son las viviendas de uso turístico, ya que incluso el check in ha cambiado gracias a los adelantos tecnológicos. En este sentido, la Confederación señala que ya es un hecho que un 40% de los viajeros no se aloja en hoteles y que las demás tipologías de establecimiento de alojamiento no disponen de servicios de recepción donde se pueda cumplimentar esta obligación.
Ante la tesitura de tener que elegir entre ser sancionados por incumplir o bien las normas de Registro de Viajeros o bien las de Protección de Datos, los hoteleros españoles solicitan urgentemente a las administraciones turísticas que se creen otras normas que impidan el actual desconcierto
Por ello, ante la tesitura de tener que elegir entre ser sancionados por incumplir o bien las normas de Registro de Viajeros o bien las de Protección de Datos, los hoteleros españoles solicitan urgentemente a las administraciones turísticas que se creen otras normas que impidan el actual desconcierto, o bien se posponga la entrada en vigor del Real Decreto hasta que haya una norma de desarrollo con posibilidades de cumplimiento.
En caso contrario, la Confederación alerta de que se podrán producir negativas de información para la seguridad del Estado. Es necesario que se creen las herramientas tecnológicas oportunas a tal efecto y que se provea de ellas a los alojamientos hoteleros, con la certeza de que el simple escaneado de un documento cumpla todos los requisitos legales.
“No es aceptable obligar a un establecimiento a proporcionar datos a mano en el año 2022, ya que mucha de la información solicitada en estas normativas excede los datos que aparecen en el documento digital de identidad del viajero”, señala Ramón Estalella, secretario general de Cehat.