La Llei de col·lecció de dades de l'Espanya 224 Turisme

Introducció a la nova Llei de recollida de dades per a visitants d'Espanya

Espanya ha introduït una nova llei, el Reial decret 933/2021, que obliga hotels, albergs, hostals, allotjaments de turisme rural, càmpings, establiments per a autocaravanes, agències de viatges, plataformes de lloguer turístic (com Airbnb) i empreses de lloguer de vehicles a recopilar dades personals ampliades dels clients.

La llei actualitza els requisits de registre que daten de 1959, amb l’objectiu declarat de combatre el terrorisme i el crim organitzat transnacional proporcionant al Ministeri de l’Interior d’Espanya informació més detallada sobre els viatgers.

Aquesta regulació va entrar en vigor el 2 de desembre de 2024 i s’aplica a la península i a les illes, incloses les Balears i les Illes Canàries. Les empreses que no compleixin poden enfrontar-se a multes d’entre 100 i 30.000 euros.

Crítiques del sector turístic

La llei ha estat fortament criticada per associacions de viatges espanyoles i europees, federacions hoteleres i membres del Congrés i el Senat d’Espanya. CEHAT, la principal associació hotelera del país, ja havia aconseguit ajornar la introducció de la llei el gener de 2023 per donar temps al sector a adaptar-se.

El govern argumenta que els delinqüents sovint depenen d’allotjaments i serveis de lloguer de vehicles per facilitar les seves activitats, i que la normativa de 1959 és obsoleta. Les dades recopilades sota la nova llei es conservaran durant tres anys i seran supervisades per les forces de seguretat espanyoles.

Tanmateix, el sector turístic ha expressat diverses preocupacions:

• Burocràcia excessiva: Cues més llargues al registre i processos més lents.
• Preocupacions de privacitat: El volum de dades personals es considera intrusiu.
• Competitivitat: Espanya podria resultar menys atractiva en comparació amb altres destinacions de la UE.
• Riscos de ciberseguretat: Aproximadament el 70% dels allotjaments són PIME amb capacitat limitada en seguretat informàtica.

Quines dades personals?

Abans del 2 de desembre de 2024, els visitants normalment proporcionaven un document d’identitat (passaport, DNI/NIE/TIE), adreça de correu electrònic, nom complet i permís de conduir per al lloguer de vehicles. Aquesta informació ja es transmetia al govern espanyol. La nova llei amplia significativament les dades requerides.

Dades recollides per a allotjaments (des del 2 de desembre de 2024)

Dades personals del client

• Nom complet: Nom, segon nom(s), cognom(s)
• Gènere: Home o dona
• Número i tipus de document d’identitat: Passaport, DNI, NIE, TIE
• Nacionalitat
• Data de naixement
• Lloc de residència habitual: Adreça completa i país
• Números de telèfon: Fix i mòbil
• Adreça de correu electrònic
• Nombre de viatgers: Incloent menors
• Relació/parentiu: Obligatori quan hi ha menors

Dades de la reserva

• Contracte: Número de referència, data i signatura del client
• Dates d’arribada i sortida
• Dades de la propietat: Adreça completa, nombre d’habitacions, disponibilitat d’internet

Dades de facturació

• Tipus de pagament: Efectiu, targeta, transferència bancària, plataforma (Airbnb, PayPal, Booking.com)
• Identificació del pagament: Número de targeta, caducitat, IBAN, data de pagament
• Titular del mètode de pagament

Dades recollides per al lloguer de vehicles (des del 2 de desembre de 2024)

Dades personals del conductor principal

• Nom complet
• Gènere
• Número i tipus de document d’identitat
• Nacionalitat
• Data de naixement
• Lloc de residència habitual
• Números de telèfon
• Correu electrònic

Dades del permís de conduir

• Número del permís de conduir
• Dates de validesa
• Tipus de permís: p. ex., B1
• Emissor: No especificat explícitament, però probablement requerit
• Conductors addicionals: Mateixes dades que l’anterior

Dades del contracte de lloguer

• Referència del contracte i signatura
• Recollida del vehicle: Data, hora i lloc
• Retorn del vehicle: Data, hora i lloc (incloent devolucions a l’estranger)
• Dades del vehicle: Marca, model, matrícula, VIN, color, tipus, quilometratge, dades del GPS

Dades de facturació del conductor

• Tipus de pagament
• Identificació del pagament: Número de targeta, caducitat, IBAN, data de pagament
• Titular del mètode de pagament

Retenció de dades

A primera vista, pot semblar que Espanya està recopilant una gran quantitat de dades personals intrusives sobre els visitants i que les conserva durant tres anys. Per donar context, vaig revisar les polítiques de retenció de dades de les principals plataformes de reserves en línia per establir un punt de comparació.

• Booking.com: Tot i que no s’indica explícitament, s’implica una retenció indefinida. Booking.com assenyala que conserva les dades personals “durant el temps necessari perquè puguis utilitzar els nostres serveis” .
• Airbnb: Tampoc especifica un període de retenció per defecte, però s’implica un emmagatzematge indefinit. Els usuaris de regions GDPR (inclosa la UE) poden sol·licitar l’eliminació de les seves dades sota el “dret a l’oblit”. Sol·licita l’eliminació aquí .
• Trivago: Indica que els usuaris poden sol·licitar l’eliminació de les seves dades personals segons el GDPR per correu electrònic. Informació sobre drets GDPR de Trivago . No obstant això, Trivago no especifica un període de retenció per defecte i afirma que les dades es conserven “mentre sigui necessari o permès”, cosa que en la pràctica implica retenció indefinida.

En comparació amb aquestes plataformes, el període de retenció de tres anys d’Espanya és relativament curt.

Opinió

En la pràctica, la majoria d’aquestes dades ja són recopilades per hotels, plataformes de reserva i empreses de lloguer de vehicles. El principal canvi és que ara també es transmetran al govern espanyol i es conservaran durant tres anys.

Dades personals: Ja es recullen durant la reserva o el registre. L’únic element nou és la informació de parentiu per a menors, que pot ajudar a combatre el tràfic de menors però pot ser inconvenient per als organitzadors de grups.

Dades de reserva/contracte: Ja són emmagatzemades indefinidament per les plataformes de reserva. Espanya ara les conservarà durant tres anys.

Dades de facturació: Ja són recopilades per plataformes de reserva i processadors de pagament. Espanya ara les conservarà durant tres anys.

Com amb qualsevol sistema informàtic nou, la primera setmana pot ser caòtica mentre hotels i empreses de lloguer s’adapten. Portar una còpia impresa de les teves dades personals pot agilitzar el registre durant el període de transició.