España enfrenta un expediente sancionador de la Comisión Europea por su Registro de Viajeros, una medida impulsada por el Ministerio del Interior que obliga a empresas turísticas a recopilar y ceder datos personales a una base de datos centralizada. Bruselas considera que viola la Directiva 2016/680 sobre protección de datos en el ámbito policial. El plazo para responder es de dos meses. Sin corrección, podría derivar en sanciones legales y económicas.
¿Por qué la UE ha abierto un expediente sancionador contra España?
La Comisión Europea considera que el Registro de Viajeros excede los límites legales de la Directiva 2016/680, que regula el tratamiento de datos personales por autoridades policiales y judiciales. El sistema español no cumple con tres principios esenciales: proporcionalidad, finalidad específica y limitación del plazo de conservación.
El requisito de almacenar datos durante tres años tras la estancia es calificado como «desproporcionado». Además, la base de datos permite acceso policial sin restricciones claras de uso, lo que rompe el principio de finalidad específica exigido por la UE.
¿Qué datos exige el Registro de Viajeros y quiénes deben entregarlos?
Los operadores turísticos afectados incluyen: proveedores de alojamiento, plataformas en línea, y empresas de alquiler de vehículos. Todos deben recopilar y remitir a una base de datos gubernamental los siguientes datos:
- Nombre y apellidos completos
- Sexo
- DNI o documento equivalente
- Nacionalidad
- Fecha de nacimiento
- Lugar de residencia habitual
- Teléfonos y correo electrónico
- Número de viajeros y relación de parentesco
- Datos de la transacción, incluidos datos de pago y coordenadas GPS
¿Por qué son problemáticos los datos de pago y GPS?
Estos datos no guardan relación directa con la finalidad de seguridad pública. Su inclusión amplía el riesgo de tratamiento indebido, filtraciones y uso secundario no autorizado. La UE exige que los datos sean mínimos y estrictamente necesarios.
¿Cuál es el impacto económico para el sector turístico español?
El turismo representa el 12,4 % del PIB español y emplea a más de 2,6 millones de personas. La obligación de cumplimiento implica costes operativos adicionales: adaptación de sistemas informáticos, formación del personal, auditorías de privacidad y riesgo de sanciones por incumplimiento local o europeo.
Empresas pequeñas y pymes —como hostales familiares o plataformas locales— enfrentan mayores dificultades técnicas y financieras. Además, la percepción de vigilancia puede afectar la confianza de turistas extranjeros, especialmente de países con altos estándares de privacidad como Alemania o los Países Bajos.
¿Qué marco legal regula este conflicto?
El conflicto se enmarca en la tensión entre dos normas clave:
- La Directiva 2016/680, que exige que el tratamiento de datos por fines policiales sea necesario, proporcional y limitado en el tiempo.
- La Ley Orgánica 4/2015, modificada por el Real Decreto-ley 12/2023, que habilitó el Registro de Viajeros bajo el argumento de lucha contra el terrorismo y la delincuencia organizada.
Sin embargo, la Comisión Europea subraya que no se ha demostrado una necesidad objetiva y verificable para recopilar datos tan extensos. Tampoco se ha evaluado el impacto en los derechos fundamentales mediante una Evaluación de Impacto en la Protección de Datos (EIPD) obligatoria.
Datos Clave
- La Comisión Europea ha abierto un expediente sancionador contra España por el Registro de Viajeros.
- Se exige la entrega de datos personales excesivos, incluidos datos de pago y coordenadas GPS.
- El plazo de conservación de tres años es considerado desproporcionado por la UE.
- El acceso policial carece de límites de finalidad, violando la Directiva 2016/680.
- El Gobierno español dispone de dos meses para responder y corregir las deficiencias.
El caso refleja una creciente presión regulatoria sobre las políticas nacionales de seguridad que afectan derechos fundamentales. En un contexto de creciente digitalización del turismo y de intensa vigilancia transfronteriza, el equilibrio entre seguridad pública y protección de datos se ha convertido en un eje crítico de gobernanza europea. La resolución de este expediente podría sentar jurisprudencia para otros Estados miembros que planean sistemas similares.
