Entrevista > Rodolfo Fabregad y José Climent / Especialistas en protección de datos de la consultora Forlopd
Desde el 2 de diciembre el Ministerio del Interior ha activado el nuevo registro de viajeros y de alquileres de coches, que estará alojado en una aplicación denominada app ses.hospedajes custodiada por la secretaría de estado de Seguridad.
Se pone así en marcha la ley aprobada por el Real Decreto 933/2021 por el cual el sector turístico deberá demandar nuevos datos personales a sus clientes y volcarlos hacia el Ministerio. En concreto esta medida afecta a los hoteles, pensiones, apartamentos turísticos, campings, agencias de viajes, plataformas digitales intermediarias y casas de alquiler de vehículos.
Esta ley desde el principio levantó bastante polémica y ha sufrido diversas ediciones. Para conocer mejor lo que implica, hemos querido conversar con dos expertos en protección de datos. Rodolfo Fabregad es el director general de la consultora Forlopd y José Climent es el responsable del departamento jurídico de la misma compañía.
«Con toda esta información el impacto que puede generar una brecha de seguridad podría ser muy importante» R. Fabregad
Esto de que cuando vas a un hotel tengas que dar tus datos para registrarte es algo que se ha hecho siempre. Entonces, ¿cuál va a ser la diferencia a partir de ahora?
Rodolfo Fabregad (RF) – La diferencia es que se ha ampliado el abanico de datos que por obligación el alojamiento debe de demandar. Básicamente se deberá de rellenar un registro de cerca de cuarenta preguntas, todas ellas relativas a información de carácter personal. Sin embargo antes para registrarse en la instalación era suficiente con dar unos pocos datos de dominio público.
Casi cuarenta datos es un formulario muy grande. ¿Cuánto tiempo vamos a necesitar para registrarnos en un alojamiento?
José Climent (JC) – De hecho, la razón principal por la que se están quejando los obligados al cumplimiento de esta nueva ley no es por recoger datos, sino por tener que registrarlos en una plataforma uno por uno. Esto evidentemente les va a llevar más tiempo.
Antes con mirar el DNI y hacer cuatro preguntas ya era suficiente para depositar toda la información en sus servidores, trasladarla a la Policía y responder en caso de que alguna autoridad les preguntara sobre alguna determinada cuestión. Ahora ya no será así.
RF – Recuerdo las declaraciones de un hotelero de Benidorm en televisión sobre este tema. Él preguntaba ante la cámara: “¿Aquí alguien ha pensado que habitualmente me llegan autobuses de cincuenta o sesenta turistas extranjeros al hotel?”. Todos ellos tendrán que rellenar el formulario, y además con la dificultad añadida del idioma. Desde luego es una situación más costosa de gestionar.
«Ahora será necesario destinar más recursos a cuestiones de ciberseguridad» J. Climent
Más allá de las colas que se puedan formar en los hoteles, ¿van a estar seguros nuestros datos? ¿Podemos fiarnos de compartir información personal con recepcionistas que no son funcionarios ni especialistas en protección de datos?
RF – Se tiene que hacer responsable la entidad que recoge los datos, y ahí está el problema. La persona humana no siempre tiene por qué estar preparada adecuadamente, y además ahora aumentamos de forma considerable la posibilidad de que ocurra una brecha de seguridad.
Así que todas las empresas que gestionen los ficheros tendrán que poner en marcha protocolos adecuados relativos a la protección de datos y realizar procesos de formación a su personal, para que conozcan los riesgos a los que está sometido el establecimiento como custodio de la información.
Esto de implantar protocolos y dar formación al personal imagino que llevará tiempo y que además costará dinero hacerlo…
RF – Sí, pero esto no viene de ayer ni de anteayer. Desde hace años ya tenemos una Ley Orgánica de Protección de Datos, y en 2018 entró en vigor también el RGPD.
Es decir, aunque antes fuera menor el volumen de datos que estaban manejando estas instalaciones, todas estas bases de seguridad de la información ya deberían estar implantadas. Ahora lo que se debe de hacer es adecuar los protocolos para recoger de una forma eficiente un volumen más grande, y sobre todo tener contemplados los recursos que necesitamos para almacenarlo.
JC – Esta ley en realidad se redactó en 2021, pero ha sufrido diversas demoras y suspensiones desde entonces debido, sobre todo, a las quejas que ha suscitado en el sector turístico. Se consideraba que los establecimientos no estaban aún preparados para ello.
«Esta norma va contra los principios de proporcionalidad y de minimización» R. Fabregad
¿Y qué pasaría si alguna de estas personas o empresas que manejarán ahora nuestra información la vendieran a otras empresas para cuestiones de telemarketing o publicidad?
RF – Todo esto está regulado y tasado en la normativa. Estas cuestiones están dentro de las obligaciones y cumplimientos que se encuentran dentro del Reglamento europeo General de Protección de Datos (RGPD).
Hasta ahora hemos hablado de la persona encargada de realizar el fichero, pero efectivamente cada una de las entidades hoteleras adquirirá también la figura de encargado del tratamiento. En base a esto tendrá que asumir sus responsabilidades en cuanto a gestión y divulgación de la información. Evidentemente no pueden transmitirla a cualquier destinatario que no esté autorizado.
«Si a la policía le vale con el DNI para identificar, debería ser igual para los hoteles» J. Climent
A principios de diciembre se especuló sobre un supuesto hackeo que habría sufrido la web de la Agencia Tributaria. Al estar ahora más repartida la información de las personas, ¿aumenta el riesgo cibernético?
JC – La ciberseguridad es una de las cuestiones que más se tiene en cuenta a la hora de implantar un sistema de protección de datos. Es obvio que, a más datos, desde el punto de visto estadístico, hay más facilidad de que esto ocurra. Precisamente una de las razones por las que se producen más brechas de seguridad es por ataques a nuestros sistemas de información. Aunque en realidad si éstos están bien protegidos, tampoco importa demasiado que sean más o menos.
Lo que sí creo que se puede producir ahora es una mayor dispersión, debido a todo el volumen de trabajo extra que se va a dar. Es decir, que ahora habrá necesidad de emplear más recursos y personas a todas estas cuestiones de ciberseguridad.
Poniéndonos ahora en la piel del cliente… ¿qué pasa si me niego a dar mis datos personales a un hotel? ¿O si me los invento?
RF – Puedes estar incurriendo en un delito de falsedad de información. En caso de que sucediese algo, se podrían dar averiguaciones posteriores que dictaminen que has mentido. También hay que tener en cuenta que parte de estos datos se contrastan con el DNI.
«Me sorprende que la Agencia Española de Protección de Datos haya dado su visto bueno a esta ley» R. Fabregad
Algunos empresarios hoteleros han amagado con recurrir esta ley a los tribunales europeos. ¿Esto tiene recorrido? ¿Estamos contradiciendo la ley comunitaria en España?
RF – Personalmente una de las cosas que más me sorprendió, cuando se hizo pública esta iniciativa, es que hubiera un informe valorativo a favor por parte de la Agencia Española de Protección de Datos. Esta institución dio su aprobación.
Yo como profesional de este campo no puedo evitar llevarme las manos a la cabeza. Porque los fundamentos básicos del RPGD son los principios de proporcionalidad y de minimización. Es decir, la filosofía del reglamento europeo es que tomes los datos mínimos y necesarios que se precisan para prestar el servicio al cliente. Para mí desde luego excede mucho que, alegando motivos de seguridad, al alojarte en un hotel tengas que dar una cadena de cuarenta datos personales. Estos dos principios saltan por los aires.
Te diría lo mismo si al comprar una entrada de cine se te preguntara si eres soltero o casado, o si vives en una casa en propiedad o alquilada. No es proporcional.
JC – Lo que está claro es que desde el 2 de diciembre todos los establecimientos tienen ya la obligación de aplicar esta norma, más allá de que luego se interpongan recursos o que se pueda modificar.
Así que si no recoges estos datos o el cliente no quiere dártelos, ya no puedes alojar en ese establecimiento. O lo harás de forma irregular con las consecuencias que ello conlleva.
¿Creéis que esta medida realmente supondrá un salto cuantitativo a nuestra seguridad? ¿Ayudará en la lucha contra el terrorismo?
JC – Una de las máximas que debe recoger cualquier ley o documento normativo es tener un objetivo claro, y en este caso efectivamente es la protección de las personas y bienes contra ataques.
Ahora bien, yo creo que los clientes ya estaban lo suficientemente identificados con la recogida de datos del DNI. Al fin y al cabo eso es lo mismo que hace la policía para identificarte, solo te piden un documento de identidad. Y aquí pone que estás casado, pero no con quién. Yo coincido con mi compañero en que se han excedido con esta ley. Pienso que existen otros sistemas de control para este objetivo que dice perseguir la norma.
Además hoy en día ya hay pocos datos que no se conozcan de cada persona. La propia policía tiene acceso a mucha información, y no precisamente gracias a los establecimientos de hotelería sino a las redes sociales y demás.
«Al alquilar un vehículo ahora su GPS queda a disposición de las autoridades, algo que sobrepasa claramente la línea del libre movimiento» R. Fabregad
Esta norma también afecta a las casas de alquiler de vehículos. ¿Hay alguna diferencia en su aplicación respecto al alojamiento?
RF – Sí. Según esta norma la empresa que alquila debe poner a disposición de las autoridades el seguimiento GPS del vehículo. Esto sobrepasa claramente la línea del libre movimiento del individuo. Aquí quien ha puesto el grito en el cielo ha sido sobre todo la hotelería… pero esto también tiene miga.
¿Cómo pensáis que irá evolucionando todo esto en el futuro?
RF – Aunque en estas fechas hay cierta actividad turística, no es comparable con la que tienen estas empresas en temporada alta. Así que será en el próximo verano cuando veamos cuál es el cumplimiento real que se realiza y qué tal laxo serán los organismos de control exigiendo.
Además tengo interés por ver cómo reacciona el Ministerio del Interior en el futuro, dado que la capacidad de almacenamiento de información no es infinita y tiene un coste. La ley recoge una vigencia de datos por un periodo de tres años y España es un país que recibe millones de turistas al año. Por lo tanto hablamos de una cantidad muy importante.
El RGPD se basa en el análisis de riesgo y la evaluación de impacto. Con semejante nivel de datos… el impacto que puede generar una brecha de seguridad o una caída de los servidores que albergan esta información podría ser muy importante.
JC – Se ha puesto el grito en el cielo sobre todo por la cantidad extra de trabajo que esta ley va a generar, cuando probablemente en el futuro esta labor se irá normalizando gracias al desarrollo tecnológico. Aquí el problema es la cantidad de datos que van a manejar de cada uno de nosotros por el hecho de querer irnos de vacaciones. Para mí la cuestión de fondo es… ¿hasta dónde llega la privacidad de las personas frente al Estado?
