Esta ley establece obligaciones generales de registro de clientes por parte de las empresas que se dediquen a prestar servicios de alojamiento y adquisición o uso de vehículos a motor, entre otros. El motivo es que los delincuentes, de manera habitual, requieren de este tipo de servicios en su modus operandi para llevar a cabo acciones delictivas.

Con el objetivo de desarrollar y concretar los requerimientos de registro a este tipo de entidades, y con la finalidad de reforzar las obligaciones ya previstas en la normativa, se aprobó el Real Decreto, 933/2021, de 26 de octubre. Este Real Decreto, además de establecer los datos que las entidades obligadas deben recabar, regula el sistema de comunicación de la información al Ministerio del Interior.

El texto legal entró en vigor a principios del año 2022, salvo las obligaciones relativas a la comunicación de datos al Ministerio del Interior, cuya entrada en vigor se produjo el día 2 de enero de 2023. Esta regulación ha sido muy controvertida en los sectores afectados, entendiendo que no es una normativa proporcional y que acarrea obligaciones de complicado cumplimiento. Debido a las quejas de los sectores afectados, y alegando problemas técnicos de la plataforma de comunicación de datos, se ha pospuesto en varias ocasiones la aplicación de esta norma. Finalmente, las autoridades competentes han decidido que deberá ser aplicada desde el día 2 de diciembre de 2024.

Esta regulación ha sido muy controvertida en los sectores afectados, entendiendo que no es una normativa proporcional y que acarrea obligaciones de complicado cumplimiento

Riesgos en materia de privacidad

Desde Secure&IT (Grupo LKS Next) entendemos que, además de las dificultades de cumplimiento de esta normativa, que alegan los sectores afectados debido, principalmente, a la alta carga administrativa que conlleva, existen importantes riesgos de privacidad para las personas físicas afectadas por la medida.

Entre los datos personales que deben recabar las empresas, hay algunos sobre los que hay consenso en cuanto a la necesidad de su solicitud (nombre completo, número de DNI, domicilio, etc.). No obstante, se obliga a recabar otros datos personales adicionales que podrían considerarse más invasivos e innecesarios, como puede ser la relación de parentesco entre los viajeros cuando haya menores de edad y, especialmente, datos de pago (número de tarjeta, fecha de caducidad de la tarjeta o IBAN de cuentas bancarias).

La normativa vigente en materia de protección de datos establece como uno de sus principios fundamentales la “minimización de datos”. Esto supone que las entidades no pueden recabar más datos personales de los estrictamente necesarios

Esto supone que todas las empresas obligadas por la normativa tratarán este tipo de datos personales cuando, normalmente, su tratamiento lo llevan a cabo procesadores de pagos y entidades bancarias que cuentan con medidas de seguridad reforzadas, debido a la férrea normativa en materia de seguridad de la información que afecta a estos sectores. Además, no solo es necesario que las entidades obligadas recaben estos datos, sino que adicionalmente deben comunicarlos al Ministerio del Interior en el plazo máximo de 24 horas a través de una plataforma informática. Y no solo eso, sino que deben conservar estos datos durante un periodo de tres años, lo que hace que los riesgos aumenten más aún si cabe.

La normativa vigente en materia de protección de datos establece como uno de sus principios fundamentales la “minimización de datos”. Esto supone que las entidades no pueden recabar mas datos personales de los estrictamente necesarios para la finalidad para la que se recaban. Por tanto, la solicitud de esta gran cantidad de datos puede entenderse como un choque frontal contra este principio. En este sentido, se debería haber realizado un análisis por parte del Gobierno en relación con la adecuación del Real Decreto 933/2021 a este principio, entendiendo que existen medios menos intrusivos para garantizar la seguridad ciudadana.

Esta situación provoca un doble riesgo para las personas físicas afectadas. Por un lado, el propio tratamiento de este tipo de datos, por parte de las entidades obligadas, podría suponer que los empleados de estas organizaciones realicen un uso inadecuado de los mismos (especialmente de datos de medios de pago).

Por otro lado, se debe tener en cuenta que el número de ciberincidentes que sufren las organizaciones aumenta exponencialmente año tras año, por lo que el tratamiento de este tipo de datos hace que los riesgos para la seguridad de los usuarios en este sentido sean mayores. Si se multiplican las localizaciones de este tipo de datos personales, los riesgos de seguridad de la información aumentan, especialmente, cuando una parte importante de los sujetos obligados son empresas que no pueden garantizar la implantación de medidas de seguridad acordes con el tratamiento de datos tan sensibles.

El incumplimiento de las disposiciones del Reglamento Europeo de Protección de Datos, como pudiera ser la falta de adopción de medidas de seguridad adecuadas, podría suponer sanciones de hasta 20.000.000 de euros

Consecuencias de incumplimiento

Los sujetos obligados deberán adecuar sus procedimientos de gestión y medidas de seguridad en el tratamiento de datos personales con celeridad, debido a que se encuentran expuestas a importantes sanciones. Por un lado, los incumplimientos de esta normativa (no disponer de registros, no realizar las comunicaciones, incluir en los registros datos inexactos, etc.) pueden acarrear sanciones de hasta 30.000 euros en función de la gravedad del incumplimiento. Por otro lado, deberán tener en cuenta que el incumplimiento de las disposiciones del Reglamento Europeo de Protección de Datos, como pudiera ser la falta de adopción de medidas de seguridad adecuadas, podría suponer sanciones de hasta 20.000.000 de euros, o hasta el 4% del volumen de negocio total anual.