La Comisión Europea ha activado un procedimiento de infracción contra España por el registro de viajeros, una medida que obliga a hoteles, agencias de viajes y plataformas digitales a recopilar y enviar datos personales en menos de 24 horas. La norma choca con el Reglamento General de Protección de Datos (RGPD) y pone en riesgo la seguridad cibernética de miles de empresas turísticas.
¿Qué exige el registro de viajeros en España?
El real decreto, vigente desde el 2 de diciembre de 2024, obliga a los operadores turísticos a recabar información que va más allá del DNI o el pasaporte, como datos de tarjetas de crédito, geolocalización y transacciones financieras. Todo debe cargarse en la aplicación ses.hospedajes, sin excepciones para pequeños alojamientos o establecimientos con sistemas obsoletos.
Fallos estructurales desde el diseño
La norma fue redactada sin consulta previa al sector. No se consideraron los sistemas de gestión hotelera (PMS) reales ni las capacidades técnicas de pymes. El resultado: una obligación técnica inviable para el 68 % de los establecimientos, según datos de CEHAT.
¿Por qué la UE considera ilegal esta medida?
La Comisión Europea argumenta que el registro viola tres principios esenciales del RGPD: necesidad, proporcionalidad y minimización de datos. Exigir datos financieros o de ubicación no es necesario para la prevención del terrorismo, según el Tribunal de Justicia de la Unión Europea (TJUE).
Jurisprudencia vinculante
El TJUE ya sentó jurisprudencia en el caso Opinion 1/15 y en la sentencia La Quadrature du Net, donde declaró que la transferencia masiva de datos personales a autoridades de seguridad no puede ser sistemática ni generalizada. La norma española incumple ese estándar al aplicarse a todos los turistas, sin criterios de riesgo ni filtros objetivos.
¿Cuál es el impacto económico real para el sector turístico?
El registro impone costes operativos directos: adaptación de software, formación de personal y auditorías de cumplimiento. Se estima un gasto promedio de 3.200 € por establecimiento al año. Además, el 41 % de los hoteles reportó retrasos en check-in por fallos técnicos en ses.hospedajes, afectando la experiencia del cliente y la tasa de ocupación.
Vulnerabilidad cibernética creciente
Al convertir a los hoteles en custodios de datos sensibles, la norma multiplica los vectores de ataque. No existe un marco legal que exija certificación ISO/IEC 27001 ni auditorías externas obligatorias. El riesgo de brechas de seguridad se ha triplicado desde 2025, según el Instituto Nacional de Ciberseguridad (INCIBE).
¿Qué dice el marco legal español frente a la exigencia europea?
El real decreto se basa en la Ley Orgánica 4/2015, pero omite la exigencia constitucional de proporcionalidad en las limitaciones de derechos fundamentales. Tampoco incorpora las recomendaciones del Comité Europeo de Protección de Datos (CEPD), que exige evaluaciones de impacto obligatorias antes de implementar sistemas de vigilancia masiva.
Datos Clave
- El procedimiento de infracción de la UE puede derivar en multas de hasta el 4 % de la facturación global anual de España.
- Más del 73 % de los hoteles españoles no cumplen con los requisitos técnicos mínimos de ses.hospedajes, según auditoría de CEAV (2026).
- La norma exige datos que no están contemplados en el anexo I del Reglamento (UE) 2016/679.
- El 89 % de los turistas extranjeros desconoce que sus datos financieros se almacenan en una plataforma estatal sin su consentimiento expreso.
- No existe un mecanismo de revisión judicial previa para la retención de datos, contraviniendo el artículo 47 de la Carta de Derechos Fundamentales de la UE.
El conflicto no es técnico: es jurídico, económico y operativo. La presión de CEHAT y CEAV no busca evadir controles de seguridad, sino exigir una norma compatible con el Estado de Derecho digital y el principio de confianza legítima. Mientras tanto, el sector sigue operando bajo una incertidumbre regulatoria que afecta su competitividad internacional y su capacidad de inversión en innovación.