New Eip Logo
EIP Talent Student access
  • es_ES
  • en_GB

Share on social networks!

Royal Decree 933/2021: Traveler Registration and Data Protection in the Tourism Sector

by
gradient technology background

Registro de Viajeros y Protección de Datos en el Sector Turístico

El pasado lunes 2 de diciembre entró en vigor el Real Decreto 933/2021, de 26 de octubre, que  establece una nueva obligación para hoteles, apartamentos turísticos, agencias de viajes y empresas de alquiler de vehículos: registrar y comunicar los datos de sus clientes y operaciones. Este cambio normativo, pensado para mejorar la seguridad ciudadana, también plantea importantes retos en términos de cumplimiento normativo y protección de datos.

En este artículo, analizaremos los aspectos fundamentales de esta normativa, los datos que deben registrarse, las obligaciones de las empresas, los plazos de conservación, y cómo garantizar el cumplimiento conforme a la legislación de protección de datos personales.

El Real Decreto tiene como finalidad reforzar la seguridad pública y la prevención de delitos, especialmente aquellos relacionados con el terrorismo y el crimen organizado. Según el preámbulo de la norma, el alojamiento y el alquiler de vehículos son utilizados frecuentemente en el modus operandi de los delincuentes, dada la facilidad de contratación a través de medios digitales y la privacidad que ofrecen estas operaciones. En este contexto, la regulación persigue crear un sistema más robusto de control documental que permita a las Fuerzas y Cuerpos de Seguridad acceder a información relevante en tiempo real para la prevención y detección de actividades delictivas.

¿Quiénes están obligados?

El Real Decreto afecta a:

  1. Establecimientos de hospedaje: Hoteles, hostales, pensiones, casas rurales, campings, apartamentos turísticos y cualquier servicio de pernoctación, ya sea profesional o no.
  2. Plataformas digitales: Incluye aquellas que intermedian en el hospedaje o alquiler de vehículos, incluso si no prestan directamente el servicio subyacente.
  3. Empresas de alquiler de vehículos sin conductor: Incluye empresas tradicionales, operadores turísticos que intermedian en el servicio, y plataformas digitales que actúan como intermediarias.

El Real Decreto establece un nivel de detalle sin precedentes en los datos que deben ser recopilados por las empresas obligadas, diferenciando entre el sector del hospedaje y el alquiler de vehículos.

Datos del sector de hospedaje

Las empresas deberán registrar los siguientes datos, según el Anexo I del Real Decreto:

  • Datos del viajero: Nombre, apellidos, sexo, documento de identidad (tipo, número y soporte), nacionalidad, fecha de nacimiento, lugar de residencia habitual (dirección completa, localidad, país), teléfonos (fijo y móvil), correo electrónico, número de viajeros y relación de parentesco si alguno es menor de edad.
  • Datos de la transacción: Número de referencia del contrato, fecha de entrada y salida, dirección del inmueble, número de habitaciones, tipo de pago (efectivo, tarjeta, transferencia, etc.), datos del medio de pago (número de tarjeta, IBAN, titular, etc.).
Viajeros

Datos del sector de alquiler de vehículos

Para las empresas de alquiler de vehículos sin conductor, los datos requeridos, según el Anexo II, incluyen:

  • Datos del arrendatario: Nombre, apellidos, sexo, documento de identidad (tipo, número y soporte), nacionalidad, fecha de nacimiento, lugar de residencia habitual, teléfonos, correo electrónico.
  • Datos del conductor principal y segundo conductor (si aplica): Nombre, apellidos, documento de identidad, carnet de conducir (número, tipo y validez), nacionalidad, lugar de residencia habitual, teléfonos y correo electrónico.
  • Datos del vehículo y transacción: Marca, modelo, matrícula, número de bastidor, kilómetros a la recogida y devolución, lugar y fecha de recogida y devolución, así como los detalles del contrato y del pago (tipo, titular, número de tarjeta, IBAN, etc.).

Los sujetos obligados deberán llevar un registro informático de estos datos y asegurarse de su veracidad, comprobando los documentos de identidad de los usuarios. En el caso del sector de hospedaje, los datos deben presentarse en la aplicación oficial SES.HOSPEDAJES, desarrollada por la Secretaría de Estado de Seguridad. Además, las comunicaciones de los datos a las autoridades deben realizarse telemáticamente en un plazo no superior a 24 horas desde el momento de la reserva, la formalización del contrato o la prestación efectiva del servicio.

Para aquellos que desarrollen actividades de hospedaje de manera no profesional, se permite la transmisión de datos por medios no telemáticos.

Plazos de conservación de los datos

Una vez recopilados, los datos deben ser conservados durante un periodo de tres años a partir de la finalización del servicio o contrato. Este plazo es obligatorio y su incumplimiento puede derivar en sanciones graves.

Régimen sancionador

El Real Decreto establece un régimen sancionador basado en la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana:

  • Infracciones graves: Incluyen la falta de registros documentales o la omisión de las comunicaciones obligatorias. Estas pueden ser sancionadas con multas que oscilan entre los 601 y 30.000 euros.
  • Infracciones leves: Incluyen errores o deficiencias en la cumplimentación de los registros, o retrasos en las comunicaciones obligatorias. Las sanciones pueden alcanzar los 600 euros.

Impacto en la protección de datos personales

Este nuevo marco normativo plantea retos significativos en términos de privacidad y protección de datos personales. El tratamiento de estos datos debe cumplir estrictamente con la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección e investigación de infracciones penales.

Principales implicaciones en materia de protección de datos

  1. Ficheros centralizados: Los datos serán almacenados en dos ficheros gestionados por la Secretaría de Estado de Seguridad, accesibles únicamente a las Fuerzas y Cuerpos de Seguridad, la autoridad judicial y el Ministerio Fiscal.
  2. Interconexión con bases de datos policiales: Se permitirá la interconexión con otras bases de datos para optimizar la prevención y detección de delitos graves.
  3. Minimización y seguridad: Las empresas deberán implementar medidas técnicas y organizativas para garantizar la integridad, confidencialidad y disponibilidad de los datos recopilados, evitando accesos no autorizados.

Find out more related posts in our DPO blog

 

Subscribe to our newsletter to stay up to date with all the news

EIP International Business School informs you that the data in this form will be processed by Mainjobs Internacional Educativa y Tecnológica, SAU as the party responsible for this website. The purpose of collecting and processing personal data is to manage your subscription to the newsletter as well as to send commercial information about the services of the data controller. The legitimacy is the explicit consent of the interested party. Data will not be transferred to third parties, except under legal obligation. You may exercise your rights of access, rectification, limitation and deletion of data at compliance@grupomainjobs.com, as well as the right to lodge a complaint with the supervisory authority. You can consult additional and detailed information on Data Protection in the Privacy Policy that you will find on our website.
Blog Master Dpo

Leave a comment

EIP International Business School informs you that the data in this form will be processed by Mainjobs Internacional Educativa y Tecnológica, SAU as the party responsible for this website. The purpose of collecting and processing personal data is to manage your subscription to the newsletter as well as to send commercial information about the services of the data controller. The legitimacy is the explicit consent of the interested party. Data will not be transferred to third parties, except under legal obligation. You may exercise your rights of access, rectification, limitation and deletion of data at compliance@grupomainjobs.com, as well as the right to lodge a complaint with the supervisory authority. You can consult additional and detailed information on Data Protection in the Privacy Policy that you will find on our website.

Members of 

Latin American Council Schools Admission Logo
Business School Logo
Euphe 1
Euphe 2

Recognitions

Qs Rating Horizontal 0
Qs Rating Horizontal 4
Qs Rating Horizontal 1
Qs Rating Horizontal 2
Qs Rating Horizontal 3
Qualificam Logo Footer

Educational partners

Harvard Negative (1)
Microsoft Academy (1)
Aws Academy Logo Footer
Cisco Networking Academy White
Ausape Logo
Logo Compliant Professional Association White
Buildingsmart Rgb Spain Chapter Member V2
Pmp Logo Footer
Global Suite Logo White
Minsoit Sap Svg
Pvsyst Logo
Logo Capman Footer
Toeic Logo White
Python Institute Logo White
Its Logo White
Ccsp Badge
Cdpp
Cpcc
oscp-certified
Legal warning Use of Cookies Privacy Policy Quality politics Complaint channel Registration Conditions join us

EIP Teatinos University Campus - Málaga - Spain

© EIP | International Business School 2010-2025

Trademark registered with the OEPM. No. 3,735,191