Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Controversia por el nuevo registro de huéspedes en España
Esta situación resultará muy familiar a los lectores, todos lo hemos vivido. Llegas a un hotel o alojamiento turístico y muestras tu DNI para que recojan la información necesaria para cumplir con el registro de viajeros. Hoy día con internet y la diversificación del sector turístico, recepciones vacías y portales con códigos de acceso, el procedimiento puede realizarse de muchas maneras. Incluso online con la solicitud de datos a través de mensajería, como por ejemplo, WhatsApp.
En mi caso, siempre me he sentido incómodo proporcionando esta información personal online, incluso he generado imágenes específicas de mi documento nacional de identidad, a menudo rechazadas por el propietario del alojamiento, que ocultan datos que bajo mi punto de vista no son necesarios para la finalidad del registro.
En este artículo analizaremos una nueva polémica alrededor de una vuelta de tuerca legislativa que puede implicar una mayor exposición en cuanto a la privacidad y un sobreesfuerzo y carga administrativa y de gestión por parte de alojamientos y particulares que ofrezcan estos servicios en aras de una mayor protección y capacidad de actuación para la seguridad nacional.
¿Cuál es el origen de la polémica?
Hasta ahora la norma que regulaba estos registros de huéspedes databa de 2003 y recogía un conjunto de 14 datos como por ejemplo: tipo y número de documento de identidad, fecha de nacimiento, nombre completo, fecha de entrada, etc.
La nueva normativa, cuya fecha de implantación ha sido retrasada hasta el próximo 2 de diciembre de 2024, aumenta de forma considerable los datos, hasta 42, que deben ser recogidos por los propietarios de alojamientos orientados al turismo.
Pasando a ser necesario registrar datos personales como el domicilio actual, correo electrónico o móvil de contacto, el método de pago usado para el pago del alojamiento, o la relación de parentesco con menores de 14 años si estos también se incluyen entre los viajeros.
El equilibrio entre seguridad y privacidad es una diana muy difícil de acertar.
¿A qué se deben estos cambios?
Los motivos expuestos por el Ministerio de Interior para la justificación de la necesidad de este nuevo registro figuran en la propia norma: En el momento actual, los mayores ataques a la seguridad ciudadana vienen protagonizados tanto por la actividad terrorista como por el crimen organizado, en los dos supuestos con un marcado carácter transnacional.
En ambos casos cobran especial relevancia en el modus operandi de los delincuentes la logística del alojamiento y la adquisición o uso de vehículos a motor, cuya contratación se realiza hoy en día por infinidad de vías, incluida la telemática, que proporciona una mayor privacidad en esas transacciones.
Estos datos deberán ser facilitados en una plataforma telemática, llamada SES Hospedajes, creada para tal efecto por parte del ministerio de interior. Sin embargo, tanto expertos en materia de privacidad y protección de datos, como miembros relevantes del sector hostelero muestran su preocupación ante la entrada en vigor de este nuevo reglamento.
Desde la perspectiva del sector hotelero muestran su disconformidad, ya que en su opinión se incrementa de forma notable la carga administrativa y se ralentizan los procesos de llegada o check-in a los alojamientos particularmente para empresas pequeñas o particulares que den estos servicios, con lo que impacta directamente en la valoración de sus clientes.
Desde la perspectiva de privacidad, expertos como Borja Adsuara, profesor y abogado en Derecho Digital, muestran su preocupación y consideran desproporcionado el incremento y naturaleza de los datos solicitados para el fin previsto en el nuevo reglamento que entrará en vigor este diciembre.
La interconexión con bases de datos de fuerzas y seguridad del estado debe contar con la debida legitimación.
Protección de información personal
Por su parte la Agencia Española de Protección de Datos he emitido un informe técnico sobre el impacto del nuevo real decreto al que invitamos encarecidamente a su lectura completa.
Algunas conclusiones que podemos extraer:
- La agencia recomienda una “evaluación de impacto en la protección de datos de la recogida y comunicación que se describen” para asegurar el cumplimiento del principio de minimización del reglamento de protección de datos personales.
- La agencia destaca que hay directivas europeas aún por trasponer en España respecto al tratamiento de datos personales para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, lo que advierte, puede dejar vacía de contenido la disposición mencionada en el nuevo real decreto.
- La agencia menciona que ve necesario clarificar quienes son de forma concreta las autoridades competentes para recibir información y cuestiona la necesidad de incluir en estas al defensor del pueblo con carácter general, vista su finalidad.
- La agencia añade que será preciso contar con la debida legitimación para que la interconexión con bases de datos de fuerzas y seguridad del estado pueda tener lugar, en el ámbito de una investigación determinada.
Conclusiones
El equilibrio entre seguridad y privacidad es una diana muy difícil de acertar, siempre habrá razones que justifiquen una u otra posición.
Con respecto a la temática concreta de este artículo, en mi opinión y coincidiendo con el análisis de la AEPD, es necesario clarificar y asegurar que se cumplen los principios de minimización de los datos, adecuación a la finalidad del tratamiento de dichos datos y realizar un análisis de impacto detallado y riguroso que vele por la seguridad nacional. Pero sin poner en riesgo, más allá de lo estrictamente necesario, la privacidad de las personas y ciudadanos.
Por otro lado, el uso de una plataforma telemática para el envío de información, aunque puede ser una vía que facilite la implantación y usabilidad, también puede, bajo mi punto de vista, generar errores de transcripción o una exposición mayor de un activo “atractivo” para ciberdelincuentes como una base de datos con información sensible y relevante.
Con el aumento de los ciberataques y las fugas de información confidencial el bastionado de estas bases de datos o ficheros debe realizarse con sumo cuidado y siguiendo principios básicos de seguridad como la confianza cero, principios de mínimos privilegios y un estricto control de acceso.
Finalizamos con una reflexión de Edward Snowden:
Decir que no te preocupa la privacidad porque no tienes nada que ocultar es como decir que no te preocupa la libertad de expresión porque no tienes nada que decir.
______
⚠️ Para recibir alertas de nuestros expertos en Ciberseguridad, suscríbete a nuestro canal en Telegram: https://t.me/cybersecuritypulse
