Aún no se ha publicado la Orden Ministerial que aclare los aspectos operativos y la relación de datos
Tras diferentes quejas del Sector respecto a las obligaciones que establece el Real Decreto 933/2021, la Agencia Española de Protección de Datos (AEPD) ha decidido pronunciarse. A través de un texto remitido al Ministerio del Interior, alega que los hospedajes no deben solicitar una copia del documento de identidad para llevar a cabo esta normativa ya que «vulnera el principio de minimización de datos y supone un tratamiento excesivo de datos».
Según la Agencia, esto se debe a que el DNI completo contiene más datos que los obligados a aportar en virtud de la normativa aplicable, como la fotografía, la fecha de caducidad del documento, el CAN o el nombre de los padres. Asimismo, señalan que entregar una copia de la documentación personal implica, entre otros, «un riesgo innecesario de suplantación de la identidad, que debe ser evitado o, por lo menos, mitigado de manera efectiva».
Además, confirman que el DNI no contiene la totalidad de la información solicitada en el Anexo I del Real Decreto 933/2021 por lo que, por sí solo, no es un recurso válido para poder cumplir con la norma. También exponen que el envío de una copia del documento no permite verificar con certeza la identidad de la persona y, por tanto, carece de la idoneidad suficiente para cumplir con la finalidad de la norma.
Como solución, la AEPD considera que podría ser suficiente con que las personas faciliten o completen un formulario que recoja exclusivamente los datos exigidos en los apartados A.3 y B.3 del Anexo I del Real Decreto. Dicho formulario, plantean, puede ser cumplimentado en línea o presencialmente en el hospedaje.
Para verificar los datos recogidos en el formulario, en caso de ser presencial, «podría bastar con comprobar visualmente la correspondencia entre los datos facilitados y el documento de identidad exhibido«. Siendo recogidos vía Internet, la verificación puede realizarse mediante mecanismos como certificados digitales, coincidencia con los datos asociados al medio de pago utilizado o factores de autenticación enviados al teléfono o correo electrónico.
Omisión de las agencias
Cabe destacar que la AEPD no ha hecho ninguna alusión al ámbito de las agencias de viajes, que también se ve afectado por esta normativa. «La AEPD sólo ha entrado a valorar esta práctica específica, no se ha pronunciado sobre la compatibilidad de las obligaciones ni tampoco sobre el volumen de datos requerido, por lo que no nos ayuda nada como Sector», asegura Ana Barluenga, directora del área jurídica de CEAV.
«Nosotros seguimos firmes en nuestra postura, el RD 933/2021 vulnera el principio de jerarquía normativa en la Ley Orgánica 4/2015 de protección de la seguridad ciudadana ya que no aparecemos como sujetos obligados en el artículo 25.1. Subsidiariamente, seguimos considerando que se infringe el Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales», explica.
A la espera de la publicación de una Orden Ministerial que aclare los aspectos operativos y la relación de datos que se deben comunicar, la patronal también espera algún movimiento de la Comisión Europea ya que es el órgano competente para iniciar acciones contra el Estado español en este sentido.
«Las agencias de viajes se encuentran con el caso de clientes, especialmente turoperadores extranjeros, que se niegan a remitir algunos datos personales de sus clientes finales exigidos por el Real Decreto 933/2021, entendiendo que vulneran su derecho de intimidad y la normativa de protección de datos«, señalaba Mercedes Tejero, gerente de CEAV, en una reciente entrevista concedida a NEXOTUR.
