La Comisión Europea ha iniciado un procedimiento formal de infracción contra España por considerar que determinadas disposiciones del Real Decreto 933/2021, que regula el registro documental y la comunicación de datos de viajeros por parte de alojamientos turísticos y empresas de alquiler de vehículos, podrían vulnerar la normativa comunitaria en materia de protección de datos personales.
La apertura del expediente, identificado como INFR(2026)4005, supone un nuevo paso en el debate sobre la compatibilidad de la normativa española con los principios europeos de privacidad y proporcionalidad. El procedimiento se centra en las obligaciones de recopilación, transmisión y conservación de información impuestas a empresas del sector turístico.
La Confederación Española de Hoteles y Alojamientos Turísticos, CEHAT, ha valorado positivamente la decisión de Bruselas y recuerda que, junto con otros actores del sector turístico, venía advirtiendo desde 2022 sobre las dificultades operativas derivadas de la aplicación del decreto. Entre las principales preocupaciones señaladas por el sector figuran el incremento de las cargas administrativas, la gestión de grandes volúmenes de información sensible y las implicaciones en materia de ciberseguridad y protección de datos.
El foco de Bruselas: proporcionalidad y minimización de datos
Según ha explicado CEHAT, la Comisión Europea fundamenta parte de sus objeciones en el principio de minimización de datos, recogido en la normativa comunitaria aplicable al tratamiento de información con fines de seguridad pública. La patronal señala que el sistema actualmente vigente exige la recopilación y conservación durante tres años de una cantidad de información que Bruselas considera excesiva en relación con los objetivos perseguidos.
La organización también recuerda que la cuestión se enmarca en una línea jurisprudencial consolidada por el Tribunal de Justicia de la Unión Europea, TJUE, en materia de tratamiento de datos personales. Diversas sentencias relacionadas con la transferencia de información de pasajeros aéreos han establecido que la recopilación masiva de datos debe estar limitada a supuestos específicos y justificados, respetando criterios de necesidad y proporcionalidad.
El sector reclama una revisión de la normativa
Ante la apertura del procedimiento de infracción, CEHAT ha reiterado su disposición a colaborar con las administraciones públicas y las Fuerzas y Cuerpos de Seguridad del Estado para desarrollar mecanismos que permitan reforzar la seguridad sin generar cargas desproporcionadas para las empresas ni comprometer los derechos de privacidad de los ciudadanos.
La patronal solicita la revisión del marco regulatorio vigente y plantea la creación de una mesa de trabajo con participación de las administraciones y de los sectores afectados para analizar posibles alternativas tecnológicas y operativas que permitan compatibilizar los objetivos de seguridad con el cumplimiento de la normativa europea.
La evolución del expediente determinará si España debe introducir modificaciones en el Real Decreto 933/2021 para adaptarlo a las exigencias del derecho comunitario en materia de protección de datos y libre circulación dentro de la Unión Europea.
