Los establecimientos hoteleros y otros establecimientos que desarrollan actividades de hospedaje están sujetos a normativa que impone la obligación de registro y cesión de datos personales de sus clientes.
Esta normativa se ha ido ampliando a lo largo de los últimos años y, a consecuencia de ello, los establecimientos hoteleros se han visto obligados adaptarse a esta nueva realidad que les obliga a tratar cada vez más datos de sus clientes. Lo anterior, como veremos, ha llevado a incumplimientos de la normativa de protección de datos y a la imposición de sanciones por parte de la AEPD.
Así, la Orden INT/1922/2003 establece, por razón de la de la naturaleza de la actividad llevada a cabo por estos establecimientos, la obligación de cumplimentar el libro-registro.
En este mismo sentido, la Ley Orgánica 4/2015, de protección de la seguridad ciudadana, establece, en su artículo 25.1 la obligación de mantener un registro documental “a las personas jurídicas que ejerzan actividades relevantes para la seguridad ciudadana, como las de hospedaje”.
Para el correcto cumplimiento de esta obligación, la Orden INT/1922/2003 incluye un anexo con un modelo de libro-registro, aunque éste puede realizarse electrónicamente de acuerdo con los requisitos fijados en esta normativa. Entre otros datos del viajero que deben registrarse aparecen: el número de documento de identidad, nombre y apellidos del cliente, fecha de nacimiento, fecha de entrada y salida del establecimiento, etc.
Sin perjuicio de esta obligación, la normativa anterior establece dos obligaciones adicionales:
Las anteriores obligaciones, que conllevan el tratamiento de grandes bases de datos, no determinan los medios del tratamiento y es cada responsable quien debe implementar los medios adecuados para cumplir con estas exigencias y, al mismo tiempo, cumplir con la normativa de protección de datos.
A ellas se suman las obligaciones impuestas en el Real Decreto 933/2021, a las que nos referiremos más abajo.
Hasta la fecha, la AEPD ha iniciado diversos procedimientos sancionadores a consecuencia de malas praxis de las anteriores obligaciones:
Sumado a las obligaciones anteriores, en enero de 2023 finalizó el periodo transitorio para el cumplimiento de las obligaciones de comunicación establecidas en el Real Decreto 933/2021 por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor.
Esta normativa exige a los establecimientos hoteleros la obligación de recabar datos adicionales como, por ejemplo, el sexo del huésped, lugar de residencia habitual, correo electrónico, teléfono móvil y fijo, número de viajeros que le acompañan y su relación de parentesco en el caso de menores de edad. Estos datos deberán conservarse por un plazo mínimo de 3 años de acuerdo con esta normativa.
El Real Decreto 933/2021 requiere que los establecimientos hoteleros se registren en la plataforma del Ministerio del Interior para comunicar los anteriores datos denominada “SES.HOSPEDAJES”.
Por si fuera poco, además de los posibles incumplimientos que pudieran darse, la normativa señala que los incumplimientos de registro y omisión de las comunicaciones obligatorias se consideran graves con sanciones de hasta 30.000 euros.
Por todo ello, es conveniente que los sujetos obligados y, especialmente a los establecimientos hoteleros, revisen los procesos de recogida y almacenamiento de datos exigidos por la normativa aplicable a fin de no incurrir en reclamaciones que pudieran resultar en sanciones.
Autor: Pablo Tena, con la colaboración de David Meshaka