Vulnera el principio europeo de “privacidad por diseño”: sólo deben recogerse los datos estrictamente necesarios para cumplir una finalidad específica y legítima. Si un cliente da su tarjeta de crédito, ¿para qué pedir también su cuenta bancaria?
Desde el 2 de diciembre de 2024, turistas y viajeros en España deben facilitar más de 40 datos personales para alojarse en un hotel o alquilar un coche. ¿Qué implica esta medida del Ministerio del Interior? Más burocracia, mayor exposición a ciberataques y una preocupación creciente en el sector turístico, que representa casi el 13% del PIB español.
Llegas a un hotel tras un largo viaje, entregas tu DNI y tu tarjeta de crédito, como siempre, sin embargo, ahora te piden algo más: tu dirección completa, tu número de cuenta bancaria, y, sorprendentemente, el nivel de parentesco con quienes se hospedan contigo. No es una exageración: es la realidad desde el pasado 2 de diciembre de 2024, cuando entró en vigor la nueva normativa del Ministerio del Interior, que dirige Fernando Grande-Marlaska.
Hace nada, bastaba con el DNI y la tarjeta de crédito para alojarse en un hotel o alquilar un coche. Pero ahora, la normativa exige recopilar más de 40 datos personales de cada viajero, incluyendo información tan sensible como la relación familiar con tus acompañantes.
Esta acumulación de datos choca directamente con el principio europeo de “privacidad por diseño”, establecido en el Reglamento General de Protección de Datos (RGPD). Según esta normativa, sólo deben recogerse los datos estrictamente necesarios para cumplir una finalidad específica y legítima. Si un cliente ya da su tarjeta de crédito para realizar el pago, ¿qué sentido tiene pedir también su número de cuenta bancaria?
El RGPD no sólo afecta a empresas privadas sino que también obliga a las administraciones públicas, incluido el Ministerio de Marlaska. La norma es clara: cualquier entidad que gestione datos personales debe justificar por qué los recopila y asegurar que no almacena más información de la necesaria. En este caso, la recopilación de más de 40 datos de cada viajero parece ir mucho más allá de lo estrictamente imprescindible.
El RGPD no solo busca proteger la privacidad, sino también minimizar los riesgos de que datos personales puedan caer en manos equivocadas, algo que en España hemos visto con ciberataques recientes a instituciones públicas. En lugar de mejorar la seguridad, acumular más datos aumenta las posibilidades de que esos datos de más sean robados.
El turismo supone el 12,9% del PIB español y sostiene cerca de 2,4 millones de empleos. Obligar a los visitantes a enfrentarse a una burocracia compleja, invasiva y poco clara podría ahuyentar a quienes eligen España como destino. Las empresas hoteleras y las agencias de viajes ya han mostrado su preocupación y, en algunos casos, se plantean acciones legales para frenar esta medida.
A esta carga administrativa se suma un riesgo aún mayor: el de los ciberataques. En los últimos años han sido hackeados el Servicio Estatal de Empleo (SEPE), en marzo de 2021; el Consejo Superior de Investigaciones Científicas (CSIC), en julio de 2022; y la Dirección General de Tráfico (DGT), víctima de un ataque en mayo de 2024 cuyos datos robados se usan todavía para fraudes y campañas de suplantación de identidad. Si un ciberataque similar afectara a esta nueva base de datos de viajeros, los delincuentes tendrían acceso a información que podría ser usada para suplantar identidades, robar dinero o realizar estafas masivas.
Con el DNI, el Ministerio del Interior ya tiene información para gestionar la seguridad. Con la tarjeta de crédito, los hoteleros pueden realizar sus cobros. Sin embargo, se exigen datos adicionales que parecen innecesarios y contradictorios con las normativas europeas de protección de datos. ¿Realmente se busca mejorar la seguridad o estamos ante un sistema desproporcionado que sacrifica la privacidad de millones de ciudadanos y turistas? La historia nos ha enseñado que los datos acumulados sin un propósito claro no son sólo un problema burocrático, sino un riesgo.