El próximo 2 de diciembre entrará en vigor el nuevo Real Decreto 933/2021, se trata de una nueva legislación aprobada por el Ministerio del Interior de España que establece las obligaciones de registro documental de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor.
Básicamente, el nuevo decreto exige a los hoteles y plataformas de renting de coches recabar un determinado número de datos sobre las personas que alquilan vehículos o se hospedan en las instalaciones que comercializan.
De este modo, la norma establece la recopilación de hasta 42 datos de los establecimientos y turistas, siendo 15 de ellos datos de carácter personal o sensibles como el número de teléfono móvil, medio de pago, el número de la tarjeta y la fecha de caducidad de la misma.
Hasta ahora, la normativa sobre el registro documental que debían llevar los establecimientos de hostelería estaba recogida en la Orden INT/1922/2003, de 3 de julio, sobre “libros-registro y partes de entrada de viajeros en establecimientos de hostelería y otros análogos”. La documentación que debían solicitar y guardar los establecimientos de hostelería referentes a la entrada de viajeros y sus normas de desarrollo era mucho menor.
De hecho, los hoteles y establecimientos turísticos únicamente estaban obligados a recopilar una serie de datos puntuales como el nombre y los apellidos o el número de DNI. Sin embargo, debido al tiempo transcurrido desde la publicación de dichas normas y la proliferación de nuevas modalidades de actividades de hospedaje, como son las viviendas turísticas de corta duración explotadas por empresas o particulares mediante el registro en portales o las centrales de reserva a través de medios digitales o internet, era necesario actualizar este decreto.
Además, según recoge el BOE del nuevo decreto, la normativa de 2003 “tampoco permite que se facilite a las Fuerzas y Cuerpos de Seguridad toda la información disponible, necesaria para que puedan realizar sus labores de prevención y protección”.
¿En qué consiste el nuevo Reglamento 933/2021 sobre el registro de viajeros y huéspedes?
La nueva norma eleva de 14 a 42 los datos requeridos a los viajeros a la hora de alojarse en hoteles y demás plataformas turísticas. Todo ello, con el objetivo de mejorar la trazabilidad de las personas que usan dichos servicios y prevenir delitos como el terrorismo o el crimen organizado.
En este sentido, los artículos 4 y 5 del Real Decreto 933/2021 recogen las principales obligaciones de registro documental que deberán seguir los hoteles y plataformas turísticas como Airbnb o Booking o portales de alquiler de coches, como Avis, Sixt o Hertz:
Artículo 5. Obligaciones de registro documental.
1. Los sujetos obligados habrán de llevar un registro informático en el que consten los datos que se relacionan en los anexos I y II, en función de la actividad que desarrollen, incluidos, en su caso, los datos de las personas menores de catorce años.
Artículo 4. Partes de entrada en establecimientos de hospedaje y hojas de servicios en actividades de alquiler de vehículos.
1. Las personas titulares de las actividades de hospedaje y de alquiler de vehículos incluidos en el ámbito de aplicación de esta norma recogerán los datos de las personas usuarias de las mismas con el objeto de proceder a su registro y a la comunicación necesarias para el cumplimiento de las obligaciones legales que se desarrollan mediante este real decreto.
Entre los diferentes datos que deberán ser facilitados por los negocios en el ejercicio de la actividad de hospedaje el Anexo I señala la necesidad de recopilar los datos de los viajeros y datos de la transacción de compra.
Entre los datos del pago se deberá incluir el tipo de pago, concretamente, si este ha sido efectuado en efectivo, tarjeta de crédito, plataforma de pago, transferencia, etc. Pero también la identificación del medio de pago (tipo de tarjeta y número, IBAN de la cuenta bancaria, solución de pago vía móvil), la fecha de caducidad de la tarjeta y, evidentemente, el titular del medio de pago.
No obstante, en su anexo A el Real Decreto 933/2021, no señala de manera clara cómo se debe registrar el número de tarjeta de crédito o débito generando cierta incertidumbre sobre si es necesario almacenar el número completo o solo una parte de él.
Existen normativas que establecen pautas claras sobre la gestión de datos personales, como el Reglamento General de Protección de Datos (RGPD) y las normas PCI DSS, que también indican cómo debe realizarse el almacenamiento de datos sensibles.
¿Qué debo hacer para cumplir con el Reglamento 933/2021?
Partiendo de la base de que el Real Decreto presenta una considerable falta de claridad en cuanto a cómo se debe registrar el número de tarjeta de crédito o débito, y considerando la implicación que esto tiene desde el punto de vista de la normativa PCI-DSS -es importante recordar que la ley siempre prevalece sobre la norma-, ¿cómo debemos afrontar la situación?
En A2SECURE hemos analizado los requisitos y obligaciones del Real Decreto 933/2021 en materia de almacenamiento de datos sensibles y consideramos que existe ambigüedad sobre cómo se debe de reportar dicha información, como podrá ser solicitada y plazos para entregar.
Pero parece evidente que toda la información podrá ser solicitada. De esta manera, nuestra propuesta actual sobre cómo afrontar la situación es evaluar la capacidad que actualmente tenemos para recabar la información que se nos solicite.
Nuestra propuesta para realizar dicha labor sería proceder a analizar o revisar los procesos de negocio y los flujos a través de cuáles se recopilan y almacenan los datos solicitados por este Real Decreto.
Tras finalizar el análisis, pueden surgir tres posibles escenarios:
Escenario 1: Por necesidades de negocio, la empresa dispone de toda la información que exige el Real Decreto en sus sistemas. En este caso, es importante verificar que los periodos de retención de los datos se ajusten a lo exigido y asegurarse de contar con los mecanismos necesarios para proporcionar dicha información al Estado cuando sea requerido.
Escenario 2: La empresa dispone de toda la información, pero esta se encuentra custodiada por un proveedor de servicios. Nuevamente, se deben verificar los periodos de retención y asegurarse de contar con los mecanismos adecuados para recuperar los datos del proveedor y entregarlos al Estado si es necesario.
Escenario 3: El negocio no dispone de toda la información requerida por el Real Decreto. En este escenario, sería adecuado evaluar la casuística en concreto para discernir si será 100% necesario recabar estos datos y cómo realizar este proceso.
Como expertos en cumplimiento PCI-DSS, en A2SECURE queremos mostrar nuestra preocupación por esta nueva solicitud de información al sector turístico.
Somos plenamente conscientes de que en los últimos años este sector ha realizado grandes esfuerzos por protegerse de ataques cibernéticos y salvaguardar una información tan valiosa como los datos de sus clientes. En este sentido, este real decreto podría ser una vuelta atrás al almacenamiento masivo de datos que, en caso de caer en malas manos, finalmente compromete la imagen de la industria.
A modo de conclusión, sería óptimo que aquellas empresas que se vean en la necesidad de realizar cambios significativos para la recolección de la información evalúen fuertemente los riesgos de creación de bases de datos o sistemas dedicados exclusivamente a cumplir con esta nueva regulación, ya que la sensibilidad de los datos almacenados los convertiría en un objetivo claro para actores malintencionados.
La prudencia, como siempre, debe ser la primera línea de defensa. Así como recordar la necesidad de dotar de altas medidas de protección y seguridad, como son el cifrado de datos, para salvaguardar la integridad de la información.
NOTA PARA EL LECTOR: Actualmente el nuevo Real Decreto 933/2021 que afectarían a apartamentos turísticos y hoteles se encuentran actualmente paralizado por el Ministerio de Interior de España.
No olvides en contactar con nuestro equipo si tienes dudas acerca de alguna de las recomendaciones o te gustaría activar tu hoja de ruta para cumplir con el Real Decreto 933/202 a través del correo [email protected]. Como empresa QSA que dispone de personal experto en GDPR podemos ayudarte a definir la mejor estrategia posible.