La Comisión Europea ha abierto un procedimiento de infracción contra España por el registro documental de viajeros impulsado por el Ministerio del Interior, conocido como el gran hermano turístico. La decisión, comunicada mediante una carta de emplazamiento, considera que la normativa española incumple la directiva europea de protección de datos en el ámbito penal, al exigir a alojamientos, plataformas digitales y empresas de alquiler de coches un volumen y un periodo de conservación de datos personales que la Comisión tilda de desproporcionado, según informa ABC.
El registro, en vigor desde diciembre de 2024, obliga a los operadores turísticos a recoger, conservar y transmitir a una base de datos gubernamental centralizada, accesible a las autoridades policiales, hasta 42 categorías de datos personales de cada viajero, entre ellos datos de pago y coordenadas GPS. La Comisión considera que el conjunto de datos recogidos es excesivo, que el acceso policial no se limita a fines específicos y explícitos como exige la directiva, y que el plazo de conservación —tres años— resulta desproporcionado.
El Gobierno de España dispone ahora de un plazo de dos meses para responder y, en su caso, subsanar las deficiencias señaladas. Si la respuesta no se considera satisfactoria, la Comisión puede emitir un dictamen motivado, paso previo a una eventual sentencia del Tribunal de Justicia de la UE. El sector hotelero llevaba meses reclamando la revisión de un modelo que, en su diseño inicial, fue contestado por patronal y operadores como una carga burocrática difícil de asumir.
El procedimiento abre un escenario nuevo para alojamientos, plataformas de reserva y empresas de alquiler de vehículos. En la práctica, los principales puntos de fricción son tres:
- El volumen de datos exigidos, que incorpora 28 categorías adicionales a las que ya se solicitaban antes de la entrada en vigor del registro.
- La indefinición de los fines del acceso policial, que la Comisión considera contraria al principio de limitación de la finalidad propio de la directiva.
- El plazo de conservación de tres años, que excede lo que la directiva permite cuando los datos se almacenan en formato masivo y centralizado.
El expediente europeo se suma a la presión interna que venían ejerciendo las patronales hoteleras y las plataformas de alquiler de corta estancia, y reabre el debate sobre el equilibrio entre seguridad pública y privacidad en el tratamiento masivo de datos de viaje. España no es el primer Estado miembro en enfrentarse a un procedimiento de este tipo, pero la magnitud de la base de datos española —diseñada para registrar a millones de turistas cada año— coloca al país en el centro del debate regulatorio europeo sobre datos de viaje.
En Adara Legal asesoramos a empresas turísticas, plataformas de reserva y operadores de alojamiento en el cumplimiento del RGPD y de la normativa española de protección de datos, así como en la respuesta a eventuales requerimientos de la AEPD o de la Comisión Europea. Si su empresa opera en el sector turístico y maneja datos de viajeros, conviene revisar el detalle de los datos que recoge y conserva antes de que la Comisión cierre el procedimiento y se concreten las obligaciones de modificación del registro.