Clúster

• Preguntas frecuentes sobre o tratamento de datos persoais no marco do Real Decreto 933/2021, do 26 de outubro, polo que se establecen as obrigas de rexistro documental e información das persoas físicas ou xurídicas que exercen actividades de hospedaxe.

O pasado xoves 12 de xuño, o Clúster Turismo de Galicia organizou un webinar informativo sobre as implicacións do Real Decreto 933/2021, que regula as obrigas de rexistro documental e comunicación de datos en actividades de hospedaxe. A sesión, dirixida a aloxamentos e axencias de viaxes, abordou dúbidas frecuentes do sector sobre o uso da plataforma SES.HOSPEDAJES, a xestión de datos persoais ou as novas esixencias legais que deben cumprir os establecementos turísticos desde a entrada en vigor da norma.

A continuación, recollemos algunhas das preguntas e respostas máis relevantes para os profesionais:

1. Cando un establecemento de aloxamento ou unha axencia de viaxes solicita datos dun viaxeiro para cumprir coa obriga establecida no Real Decreto 933/2021, do 26 de outubro, polo que se establecen as obrigas de rexistro documental e información das persoas físicas ou xurídicas que exercen actividades de hospedaxe e alugueiro de vehículos de motor (en diante RD 933/2021) debe facilitar información sobre protección de datos persoais a eses viaxeiros?

En efecto, o Regulamento Xeral de Protección de Datos da Unión Europea (Regulamento (UE) 2016/679 relativo á protección das persoas físicas no que respecta ao tratamento de datos persoais e á libre circulación destes datos – RGPD) e a Lei Orgánica 3/2018, do 5 de decembro, de Protección de Datos Persoais e garantía dos dereitos dixitais (LOPDGDD) recollen a obriga de informar nos artigos 13 e 14 RGPD, así como no art. 11 LOPDGDD. Esta información débese realizar por capas, de tal xeito que, nun primeiro momento, cando realiza o check-in, se facilite unha información básica ao viaxeiro, e logo, na política de privacidade do establecemento, débese completar dita información.

Para eles preparamos un modelo que pode utilizar no seu establecemento para informar aos viaxeiros sobre o tratamento dos seus datos e que pode descargar aquí. Os campos en resaltado amarelo debe cumprimentalos cos datos do seu establecemento. Lembre que esta información ten que ser visible polo viaxeiro ao realizar o check-in, xa sexa presencial ou en liña. Esta información estará ao dispor do viaxeiro en formato papel ou dixital, e deberase entregar se así o solicita.

2. Podo pedir unha copia do DNI, NIE ou PASAPORTE a un viaxeiro/hóspede para verificar a súa identidade?

Non. Esixir unha copia ou realizar un escaneo do DNI, NIE ou PASAPORTE supón un tratamento de datos excesivo que incumpre o principio de minimización de datos establecido no art. 5 RGPD.

O establecemento de aloxamento ou axencia poderá verificar a identidade esixindo que se amose o documento, pero nunca poderá realizar copia do mesmo, xa que este documento contén moitos máis datos persoais dos esixidos pola normativa. Ademais, é un documento “sensible” que pode utilizarse posteriormente para suplantar a identidade dunha persoa.

O 17 de xuño de 2025 a Axencia Española de Protección de Datos (AEPD) publicou unha nota informativa na que informa que non está permitido solicitar unha copia do DNI ou pasaporte nas hospedaxes.

Tampouco se debería solicitar un “selfi” do hóspede para validar a súa identidade co DNI, xa que a imaxe non é un dato esixido polo RD 933/2021 e por tanto estariamos a incumprir o principio de minimización de datos persoais.

Mesmo se temos o consentimento do viaxeiro para almacenar copia do seu DNI, a pesar de que teriamos unha base legal, poderiamos estar ante un tratamento de datos innecesario igualmente. Ademais, o consentimento podería non ser completamente libre, xa que o hóspede pode verse constrinxido a facilitar copia do seu DNI baixo a posibilidade de quedar sen aloxamento. En todo caso, o consentimento para que sexa libre, debería permitir que o viaxeiro non o outorgase o consentimento, xa que noutro caso o consentimento non sería libre.

3. Pode almacenar os DNI mediante ocultación dos campos non necesarios?

En principio, se só se almacenase o DNI cos campos non necesarios ofuscados, parece que non se incumpriría o principio de minimización. O mesmo pasaría se se escanease cun lector OCR que só extraese os datos requiridos no RD 933/2021.

En todo caso sería aconsellable esixir á empresa que presta este servizo e carga os datos no PMS (Sistema de Xestión de Propiedades, do inglés Property Management System), que nos certifique que cumpre coa normativa vixente en protección de datos persoais.

O problema é que a xente está moi sensibilizada actualmente con entregar o seu DNI, o que pode xerar problemas.

En todo caso, haberá que estar ao que dispoña a AEPD nas súas resolucións e guías de boas prácticas sobre a materia.

4. Podo establecer un sistema de check-in en liña para evitar colas no establecemento?

En efecto, o RD 933/2021 e a súa normativa de desenvolvemento (incluído o borrador da futura Orde de desenvolvemento) establecen a posibilidade de solicitar estes datos de forma telemática con carácter previo. Para estes efectos, a normativa esixe, nestes casos, que se estabrezan sistemas para a verificación a distancia da exactitude dos datos.

A AEDP recomenda, a título de exemplo, o uso de mecanismos como:

• Certificados dixitais.
• Comprobación cos datos asociados ao método de pago utilizado.
• A autenticación a través de códigos de seguridade enviados ao teléfono ou correo electrónico do cliente/hóspede.
• Outros que o establecemento considere sempre que cumpran co RGPD.

5. A que sancións me afronto por incumprir as obrigas de rexistro documental e comunicación establecidas no RD 933/2021?

As sancións por incumprimento desta normativa son as seguintes:

• Graves: Multa de 601 ata 30.000 euros polas seguintes infraccións:
  • A carencia dos rexistros documentais.
  • A omisión das comunicacións obrigatorias de datos.

• Leves: Multa desde 100 a 600 euros polas seguintes infraccións:
  • As irregularidades ou deficiencias na cumprimentación dos rexistros previstos.
  • A alegación de datos ou circunstancias falsas, sempre que non constitúa infracción penal.
  • A omisión de comunicacións obrigatorias dentro dos prazos establecidos, sempre que non constitúa infracción penal.

6. Xa se están a aplicar as sancións?

En efecto, si. Aínda que a nova Orde que desenvolverá o RD 933/2021 aínda non se aprobou, xa se impuxeron as primeiras sancións por incumprimento da normativa, polo que se debe estar ao cumprimento estrito do RD 933/2021 e a Orde INT/1922/2003, do 3 de xullo, na súa redacción dada pola Orde INT/321/2021, do 31 de marzo, sobre libros-rexistro e partes de entrada de viaxeiros en establecementos de hostalería e outros análogos ata que se publique a nova Orde que suavizará os requisitos e aclarará a forma de realizalo.

7. Se cumpro co RD 933/2021 pódenme sancionar tamén por incumprimento da normativa en materia de protección de datos?

En efecto, si. Ambas as normativas son independentes e ambas as normativas han de cumprirse. Por exemplo, se solicitamos unha copia do DNI a un hóspede podemos estar a cumprir a obriga de verificar a corrección dos datos do RD 933/2021, pero estaríamos a incumprir a normativa en materia de protección de datos.

8. Cales son as sancións por incumprir as obrigas en materia de protección de datos?

A LOPDGDD establece tres tipoloxías de sancións:

• Sanción de ata 40.000 euros para infraccións leves (art. 74).
• Sanción de 40.001 ata 300.000 euros para infraccións graves (art. 73).
• Sanción de 300.001 ata 20 millóns de euros ou o 4% da facturación anual para infraccións moi graves (art. 72).

9. Durante canto tempo debo conservar os datos do Libro-Rexistro de Viaxeiros?

A normativa actual establece que deben conservarse un prazo de 3 anos desde a data desde a gravación dixital da información.

10. É necesario almacenar os datos do Libro-Rexistro de Viaxeiros na nube (Cloud)?

Non, non é necesario. O que si é necesario é conservalos garantindo a confidencialidade, integridade e dispoñibilidade destes datos. Deben de articularse en consecuencia sistemas de información robustos para almacenar estes datos ou subcontratar esta actividade nun terceiro que reúna todas as garantías.

11. É posible que unha axencia de viaxes colabore cun establecemento de aloxamento para realizar un check-in previo do hóspede ou viaxeiro?

Si, en efecto. Unha axencia de viaxes podería colaborar cun establecemento de aloxamento realizando por conta daquel a toma de datos que se esixen polo RD 933/2021 para despois remitirllo ao establecemento. En todo caso, para realizar este tratamento de datos persoais, deberase asinar un contrato de encarga de tratamento de datos, de conformidade co artigo 28 do RGPD, entre o responsable do tratamento, que será sempre o establecemento de aloxamento, e a axencia de viaxes, que actuará como encargada do tratamento de datos. Ademais, deberase informar os viaxeiros deste fluxo de datos.

De todos os xeitos, debe terse en conta que pola diversa casuística de axencias (almacenistas, retallistas, mixtas; de receptivo ou emisor…) deberase analizar caso por caso xa que mesmo, dada a complexidade da cadea da intermediación, é posible que nin sequera a axencia poida estar en disposición dos devanditos datos.

12. Que datos debe solicitar o establecemento de aloxamento (actividade de hospedaxe) no check-in?

Actualmente, debemos rexistrar e comunicar os datos do viaxeiro que se recollen no Anexo I.3 e os datos da transacción que se recollen no Anexo I.4 do RD 933/2021. En todo caso, a plataforma SES.HOSPEDAJES só esixe (de conformidade co proxecto de Orde aínda non aprobada) os seguintes datos:

13. Que datos debe solicitar o establecemento de aloxamento (actividade de hospedaxe) na reserva?

Os seguintes catro datos sobre o viaxeiro, salvo que o resto sexan coñecidos, e o resto de datos sobre a transacción:

14. Que datos deben solicitar as axencias de viaxe (actividade de hospedaxe)?

Os mesmos que se comentario no punto anterior para as reservas.

15. A que datos se refire o anexo I coa denominadas “plataforma de pagos”?

As plataformas de pago, tamén coñecidas como pasarelas de pago, son sistemas que facilitan as transaccións financeiras en liña, conectando aos comercios cos bancos e procesando os pagos de forma segura. Estas plataformas permiten aos negocios aceptar diversas formas de pago, como tarxetas de crédito, débito, transferencias bancarias e billeteiras dixitais, e son cruciais para o comercio electrónico. Exemplos: PayPal, Stripe, Redsys, Amazon Pay, Shopify Payments ou Bizum entre outros.

16. Cando teño que comunicar os datos ás Forzas e Corpos de Seguridade do Estado?

Débese facer de maneira inmediata, e en todo, como moi tarde nun prazo non superior a 24 horas. Este prazo cóntase desde que se realiza a reserva ou desde a anulación (tamén debe comunicarse) ou desde o inicio dos servizos contratados, é dicir, desde o check-in.

Se se realiza por exemplo na hora 25, sería sancionable por infracción leve.

17. Que pasa se se produce unha caída da plataforma SES.HOSPEDAJES ou se producen erros na comunicación?

A obriga de comunicar persiste, polo que se recomenda reintentar durante o prazo de 24 horas do que dispoñemos. En todo caso, deberíanse recoller evidencias do erro que se produce mediante capturas de pantalla e calquera outra forma que permita probar que a plataforma xeraba erros. Ademais, recoméndase comunicar os datos de que se dispoñan, aínda que sexan incompletos, xa que é mellor que non comunicar nada.

Doutra banda, recoméndase poñerse en contacto de forma inmediata co soporte de SES.HOSPEDAJES en: hospedajes@interior.es

18. Se os datos que remito a SES.HOSPEDAJES son incorrectos, quen é o responsable?

En principio é o establecemento responsable de solicitar e comunicar os datos de forma exacta. A normativa obríganos a que os datos transmitidos coincidan cos documentos ou sistemas que acrediten a identidade das persoas, polo que podemos solicitar ao viaxeiro que nos exhiba devanditos documentos, pero non facer copias.

19. Que sucede se me exhiben un DNI ou Pasaporte en formato dixital?

A comprobación da exactitude dos datos pódese realizar exactamente igual sempre que sexa a aplicación oficial do DNI, por exemplo, que está dispoñible para iOS e Android.

Ten a mesma validez que o DNI físico, con todo, non serve para:

• Acreditar a identidade a través de Internet.
• Acreditar a identidade de maneira presencial sen conexión de datos.
• Presentalo como documento de viaxe electrónica para paso de fronteiras.
• Acreditar a identidade noutros países.
• Facer xestións telemáticas de autenticación e/o firma electrónica.

20. Que datos de medio de pago debo consignar?

Débese consignar o medio de pago que se coñeza do viaxeiro. En todo caso, no suposto de axencias de viaxes, en moitas ocasións descoñécese este dato xa que só coñécese o medio de pago da axencia que á súa vez contrata os servizos doutra. Nestes casos deberíase consignar o dato que se coñeza.

Cando participan na relación comercial varias entidades intermediarias, o suxeito obrigado a comunicar os datos é aquel que mantén unha relación contractual directa e final co cliente, segundo as preguntas frecuentes do Ministerio do Interior.

Este tipo de cuestións, con todo, aínda non foron resoltas pola normativa.

21. É obrigatorio traducir os datos de viaxeiros que están noutros idiomas?

A plataforma SES.HOSPEDAJES require que os datos introducidos estean en lingua castelá. Estamos ante un procedemento administrativo que se realiza coas Forzas e Corpos de Seguridade do Ministerio do Interior e rexe o art. 15 da Lei 39/2015 de Procedemento Administrativo Común.

• “Artigo 15. Lingua dos procedementos.

1. A lingua dos procedementos tramitados pola Administración Xeral do Estado será o castelán. Non obstante ao anterior, os interesados que se dirixan aos órganos da Administración Xeral do Estado con sede no territorio dunha Comunidade Autónoma poderán utilizar tamén a lingua que sexa cooficial nela. Neste caso, o procedemento tramitarase na lingua elixida polo interesado. Se concorresen varios interesados no procedemento, e existise discrepancia en canto á lingua, o procedemento tramitarase en castelán, aínda que os documentos ou testemuños que requiran os interesados expediranse na lingua elixida polos mesmos.

2. Nos procedementos tramitados polas Administracións das Comunidades Autónomas e das Entidades Locais, o uso da lingua axustarase ao previsto na lexislación autonómica correspondente.

3. A Administración Pública instrutora deberá traducir ao castelán os documentos, expedientes ou partes dos mesmos que deban producir efecto fose do territorio da Comunidade Autónoma e os documentos dirixidos aos interesados que así o soliciten expresamente. Se debesen fornecer efectos no territorio dunha Comunidade Autónoma onde sexa cooficial esa mesma lingua distinta do castelán, non será precisa a súa tradución.”

22. Debemos eliminar a información dun cliente habitual ao cabo de 3 anos que é o límite de conservación dos datos do Rexistro de Viaxeiros?

Non, o prazo de tres anos refírese ao rexistro de viaxeiros, pero o dato dun cliente habitual pode conservarse mentres dure ou se manteña a relación contractual co mesmo.

Unha cousa é o rexistro de viaxeiros, e outra é a base de datos de clientes que manteñamos.

23. É posible solicitar os datos do pai, nai, data de nacemento, etc… cando acude un menor?

A normativa indícanos que debemos solicitar, ademais dos datos de viaxeiro dese menor, a relación de parentesco entre os viaxeiros no caso de que algún sexa menor de idade. Isto implica que, se viaxan menores, o adulto responsable debe indicar o vínculo familiar que existe entre eles. Isto significa que, por exemplo, se un pai viaxa co seu fillo, o pai deberá indicar que é o seu “pai” ou se é un avó, deberá indicar que é o “avó” do menor, ou mesmo un monitor deportivo. A finalidade deste requisito é facilitar a identificación e seguimento dos menores en caso de ser necesario, e asegurar a correcta aplicación das normas de protección infantil.

Ademais, se é menor de 14 anos, eses datos serán proporcionados pola persoa maior de idade da que vaian acompañados.

A normativa non esixe solicitar outros datos a maiores, polo que debemos cinguirnos ao que nos esixa o anexo I do RD 933/2021, xa comentados anteriormente.

24. Como se deben compartir os documentos sensibles como DNI ou Pasaporte?

Os documentos como o DNI, Pasaporte ou calquera outro que conteña información persoal ou sensible dunha persoa nunca se debe compartir por medios que non ofrezan as garantías suficientes, tales como un correo electrónico sen cifrar.

Débese realizar unha análise de riscos e en función do mesmo establecer unha serie de medidas de seguridade adecuadas. En todo caso, o art. 32 do RGPD sinálanos que estas medidas adoptásense tendo en conta o estado da técnica, os custos de aplicación, e a natureza, o alcance, o contexto e os fins do tratamento, así como riscos de probabilidade e gravidade variables para os dereitos e liberdades das persoas físicas.

En todo caso unha medida idónea é cifrar o contido dos correos electrónico cun cifrado (mediante contrasinais robustas no documento, sistema de firma electrónica, etc.).

Tamén o uso de plataformas seguras para o intercambio de datos, nas que se requiran credenciais de acceso adoita ser un medio idóneo para o intercambio de datos como pode ser OneDrive, etc…En todo caso recoméndase analizar as políticas de privacidade destas solucións, xa que en ocasións os servizos gratuítos non ofrecen garantías suficientes.

25. Se Booking xa realiza un envío de datos, o aloxamento tamén debe remitir os datos?

Se as obrigas de rexistro e comunicación de datos son independentes e afectan a diversos actores.

26. Se unha OTA non ten domicilio fiscal en España aplícaselle esta normativa?

Si. Esta normativa aplícase ás plataformas dixitais dedicadas, a título oneroso ou gratuíto, á intermediación en actividades aloxamento (e demais do RD 933/2021) a través de Internet, presten ou non o servizo subxacente obxecto de mediación, sempre que ofrezan servizos en España. É irrelevante que presten o servizo, e tampouco é relevante que teñan domicilio en España, senón simplemente que ofrezan aquí os seus servizos.

27. Se son axencia intermediadora que se relaciona unicamente co almacenista, debo remitir tamén a información?

En principio, o art. 2 do RD 933/2021, só establece a suxeición dos operadores turísticos que presten servizos de intermediación entre as empresas dedicadas á hospedería e os consumidores, é dicir, as retallistas. Neste sentido, as almacenistas en principio non estarían no ámbito. Con todo, isto hai que poñelo en concordancia cos arts. 150 e ss do Real Decreto Lexislativo 1/2007, do 16 de novembro, polo que se aproba o texto refundido da Lei Xeral para a Defensa dos Consumidores e Usuarios e outras leis complementarias, que regula as viaxes combinadas, xa que se considera “Organizador” calquera empresario que combina e vende ou oferta viaxes combinadas directamente, a través de ou xunto con outro empresario, non estando estes organizadores eximidos das obrigas establecidas, como tampouco o están os retallistas, nin os empresarios que facilitan servizos de viaxe vinculados, aínda que declaren que actúan exclusivamente como prestadores dun servizo de viaxe, como intermediarios ou en calquera outra calidade, ou que os servizos que prestan non constitúen unha viaxe combinada ou servizos de viaxe vinculados.

De todos os xeitos, tamén están suxeitas segundo o RD 933/2021 as plataformas dixitais dedicadas á intermediación nestas actividades a través de internet, presten ou non o servizo subxacente obxecto de mediación.

En todo caso, recoméndase evacuar a consulta directamente ao Ministerio do Interior porque houbo información contraditoria no pasado.

28. Unha axencia debe comunicar os datos do titular da reserva ou ben debe comunicar todos os datos dos aloxamentos?

A axencia está obrigada a comunicalos todos, non só ao titular da reserva. Faise unha comunicación por expediente, pero onde a vai a relación total de viaxeiros e aloxamentos.

29. Onde se pode obter máis información sobre estas cuestións?

O Ministerio do Interior puxo ao dispor dos establecementos obrigados un portal con información relevante que pode consultarse en:

• https://www.interior.gob.es/opencms/es/servicios-al-ciudadano/hospedajes-y-alquiler-de-vehiculos/
• https://hospedajes.ses.mir.es/hospedajes-sede/#/

30. Que normativa se aplica?

A normativa que rexe o rexistro de viaxeiros está composta pola Lei Orgánica 4/2015, do 30 de marzo, de protección da seguridade cidadá, o Real Decreto 933/2021, do 26 de outubro, polo que se establecen as obrigas de rexistro documental e información das persoas físicas ou xurídicas que exercen actividades de hospedaxe e alugueiro de vehículos de motor e a Orde INT/1922/2003, do 3 de xullo, na súa redacción dada pola Orde INT/321/2021, do 31 de marzo, sobre libros-rexistro e partes de entrada de viaxeiros en establecementos de hostalería e outros análogos, en canto ás obrigas de rexistro documental en canto non se opoña ao RD 933/2021.