Spagna Nuovo dicembre 2, 2024 Turismo Data Collection Law

Introduzione alla nuova legge spagnola sulla raccolta dati per i visitatori

La Spagna ha introdotto una nuova legge, il Decreto Reale 933/2021, che richiede a hotel, ostelli, pensioni, strutture di turismo rurale, campeggi, aree per camper, agenzie di viaggio, piattaforme di affitti turistici (come Airbnb) e società di autonoleggio di raccogliere dati personali ampliati dai clienti.

La legge aggiorna requisiti di registrazione risalenti al 1959, con l’obiettivo dichiarato di combattere il terrorismo e la criminalità organizzata transnazionale fornendo al Ministero dell’Interno informazioni più dettagliate sui viaggiatori.

Il regolamento è entrato in vigore il 2 dicembre 2024 e si applica alla Spagna continentale e alle isole, comprese le Baleares e le Isole Canarie. Le aziende che non rispettano le norme possono incorrere in multe da 100 a 30.000 euro.

Critica dell'industria del turismo

La legge è stata fortemente criticata da associazioni di viaggio spagnole ed europee, federazioni alberghiere e membri del Congresso e del Senato spagnolo. CEHAT, la principale associazione alberghiera del paese, era già riuscita a posticipare l’introduzione della legge nel gennaio 2023 per consentire al settore di adattarsi.

Il governo sostiene che i criminali spesso si affidano a strutture ricettive e servizi di autonoleggio per facilitare le loro attività e che le normative del 1959 sono obsolete. I dati raccolti ai sensi della nuova legge saranno conservati per tre anni e monitorati dalle forze di sicurezza spagnole.

Tuttavia, il settore turistico ha sollevato diverse preoccupazioni:

• Burocrazia eccessiva: Code più lunghe al check‑in e procedure più lente.
• Privacy: Il volume dei dati personali raccolti è considerato invasivo.
• Competitività: La Spagna potrebbe diventare meno attraente rispetto ad altre destinazioni dell’UE.
• Rischi di cybersicurezza: Circa il 70% delle strutture ricettive sono PMI con capacità informatiche limitate.

Quali dati personali?

Prima del 2 dicembre 2024, i visitatori fornivano normalmente un documento d’identità (passaporto, DNI/NIE/TIE), indirizzo e‑mail, nome completo e patente di guida per il noleggio auto. Queste informazioni venivano già trasmesse al governo spagnolo. La nuova legge amplia in modo significativo i dati richiesti.

Dati raccolti per gli alloggi (dal 2 dicembre 2024)

Dati personali dell’ospite

• Nome completo: Nome, eventuali secondi nomi, cognome/i
• Sesso: Maschio o femmina
• Numero e tipo di documento: Passaporto, DNI, NIE, TIE
• Nazionalità
• Data di nascita
• Luogo di residenza abituale: Indirizzo completo e paese
• Numeri di telefono: Fisso e cellulare
• Indirizzo e‑mail
• Numero di viaggiatori: Inclusi i minori
• Relazione/parentela: Richiesta quando sono presenti minori

Dati della prenotazione

• Contratto: Numero di riferimento, data e firma dell’ospite
• Date di arrivo e partenza
• Dettagli della struttura: Indirizzo completo, numero di stanze, disponibilità di internet

Dati di fatturazione

• Tipo di pagamento: Contanti, carta, bonifico bancario, piattaforma (Airbnb, PayPal, Booking.com)
• Identificazione del pagamento: Numero della carta, scadenza, IBAN, data del pagamento
• Titolare del metodo di pagamento

Dati raccolti per il noleggio auto (dal 2 dicembre 2024)

Dati personali del conducente principale

• Nome completo
• Sesso
• Numero e tipo di documento
• Nazionalità
• Data di nascita
• Luogo di residenza abituale
• Numeri di telefono
• E‑mail

Dati della patente di guida

• Numero della patente
• Date di validità
• Categoria della patente: es. B1
• Ente emittente: Non specificato esplicitamente, ma probabilmente richiesto
• Conducenti aggiuntivi: Stessi dati indicati sopra

Dati del contratto di noleggio

• Riferimento del contratto e firma
• Ritiro del veicolo: Data, ora, luogo
• Riconsegna del veicolo: Data, ora, luogo (incluse riconsegne all’estero)
• Dettagli del veicolo: Marca, modello, targa, VIN, colore, tipo, chilometraggio, dati del GPS

Dati di fatturazione del conducente

• Tipo di pagamento
• Identificazione del pagamento: Numero della carta, scadenza, IBAN, data del pagamento
• Titolare del metodo di pagamento

Conservazione dei dati

A prima vista può sembrare che la Spagna stia raccogliendo una grande quantità di dati personali invasivi sui visitatori e li stia conservando per tre anni. Per contestualizzare, ho esaminato le politiche di conservazione dei dati delle principali piattaforme di prenotazione online per stabilire un punto di riferimento.

• Booking.com: Sebbene non sia dichiarato esplicitamente, si suggerisce una conservazione indefinita. Booking.com afferma di conservare i dati personali “per tutto il tempo necessario a consentirti di utilizzare i nostri servizi” .
• Airbnb: Non specifica un periodo di conservazione predefinito, ma si suggerisce un’archiviazione indefinita. Gli utenti nelle regioni soggette al GDPR (inclusa l’UE) possono richiedere la cancellazione dei propri dati secondo il “diritto all’oblio”. Richiedi la cancellazione qui .
• Trivago: Indica che gli utenti possono richiedere la cancellazione dei propri dati personali ai sensi del GDPR tramite e‑mail. Informazioni sui diritti GDPR di Trivago . Tuttavia, Trivago non specifica un periodo di conservazione predefinito e afferma solo che i dati vengono conservati “per tutto il tempo necessario o consentito”, il che implica di fatto una conservazione indefinita.

Rispetto a queste piattaforme, il periodo di conservazione di tre anni previsto dalla Spagna è relativamente breve.

Parere

In pratica, la maggior parte di questi dati è già raccolta da hotel, piattaforme di prenotazione e società di autonoleggio. Il principale cambiamento è che ora verranno anche trasmessi al governo spagnolo e conservati per tre anni.

Dati personali: Già raccolti durante la prenotazione o il check‑in. L’unico elemento nuovo è l’informazione sul grado di parentela per i minori, che può aiutare a combattere la tratta di minori ma può risultare scomodo per gli organizzatori di gruppi.

Dati di prenotazione/contratto: Già conservati a tempo indeterminato dalle piattaforme di prenotazione. La Spagna ora li conserverà per tre anni.

Dati di fatturazione: Già raccolti dalle piattaforme di prenotazione e dai processori di pagamento. La Spagna ora li conserverà per tre anni.

Come con qualsiasi nuovo sistema informatico, la prima settimana potrebbe essere caotica mentre hotel e società di noleggio si adattano. Portare una copia stampata dei propri dati personali può velocizzare il check‑in durante il periodo di transizione.