La Comisión Europea ha abierto un procedimiento de infracción contra España por el registro de viajeros obligatorio para negocios de alojamiento turístico y empresas de alquiler de automóviles. La norma exige recopilar y enviar al Ministerio del Interior una amplia cantidad de datos personales de los clientes.
El sistema está en vigor desde diciembre de 2024 y obliga a actualizar la información con cada nuevo viajero. El expediente llega tras meses de críticas del sector hotelero, que venía advirtiendo de posibles choques con la normativa europea de protección de datos. Bruselas cuestiona tres elementos clave: el volumen de datos exigidos, el acceso de las autoridades a esa información y el plazo durante el que se conserva.
Bruselas ve excesiva la información solicitada
La normativa española obliga a recoger datos vinculados al cliente y a la reserva, entre ellos datos de pago, residencia habitual, número de viajeros y hora de entrada y salida. La Comisión Europea también señala como problemáticos los datos de GPS incluidos dentro de las categorías recopiladas.
Para Bruselas, la cantidad y variedad de información solicitada no encaja con el principio europeo de proporcionalidad. La protección de datos exige que cualquier recogida tenga una finalidad determinada, explícita y legítima, y que no vaya más allá de lo necesario.
El expediente también apunta al acceso policial a esos datos. La Comisión considera que ese acceso no estaría suficientemente limitado conforme a los criterios que marca la normativa europea.
Tres años de conservación y posible sanción europea
Otro punto bajo revisión es el plazo de almacenamiento. España prevé conservar los datos durante tres años, un periodo que Bruselas considera desproporcionado. La Comisión vincula el caso con un posible incumplimiento de la Directiva (UE) 2016/680, que regula el tratamiento de datos personales en ámbitos como la prevención, investigación, detección o enjuiciamiento de infracciones penales.
El procedimiento ha comenzado con una carta de emplazamiento. España dispone ahora de dos meses para responder y corregir los aspectos cuestionados. Si Bruselas no queda satisfecha, podrá emitir un dictamen motivado y, en una fase posterior, llevar el caso ante el Tribunal de Justicia de la Unión Europea.
El sector hotelero pide derogar el Real Decreto 933/2021
La Confederación Española de Hoteles y Alojamientos Turísticos reclama la derogación del Real Decreto 933/2021 y la apertura de una mesa de diálogo con el Gobierno para modificar el sistema.
CEHAT sostiene que la norma aumenta la carga administrativa de los establecimientos y obliga a los negocios a manejar información sensible de sus clientes. El problema afecta especialmente a las pymes, que no siempre cuentan con la capacidad técnica de una gran cadena para gestionar, almacenar y proteger esos datos.
Para un pequeño alojamiento, el registro supone más trámites, más tiempo de gestión y más exposición ante posibles errores en protección de datos. El conflicto no está solo en enviar información al Ministerio del Interior, sino en custodiarla sin vulnerar el marco europeo. La patronal también critica que el sistema no haya tenido en cuenta la operativa diaria de los establecimientos hoteleros y de hospedaje.
La alternativa de CEHAT y el riesgo de multas
El sector plantea sustituir el modelo actual por lectores de DNI o pasaporte conectados directamente con el Ministerio del Interior. Así, los negocios no tendrían que almacenar por su cuenta los datos personales de los viajeros y se reducirían los riesgos de ciberseguridad.
La cuestión de fondo es hasta dónde puede llegar la recogida de información privada. La jurisprudencia europea ha defendido que la cesión de datos debe limitarse a lo estrictamente necesario y vincularse a supuestos concretos y justificados, especialmente en casos relacionados con criminalidad grave.
El riesgo económico tampoco es menor. Las sanciones por incumplir el registro de viajeros pueden llegar a 30.000 euros en su grado máximo. Sin embargo, las multas por vulnerar la normativa de protección de datos son superiores: 40.000 euros en infracciones leves, 300.000 euros en graves y hasta 20 millones de euros o el 4% del volumen anual de negocio en los casos muy graves.
El procedimiento de infracción no elimina automáticamente la obligación vigente en España, pero abre un escenario delicado para el Gobierno y para las empresas afectadas. Las pymes turísticas quedan entre dos exigencias: cumplir con Interior y evitar cruzar las líneas rojas de la protección de datos europea.
