Cumplimiento

RGPD hoteles y turismo España 2026: parte de viajeros, reservas y OTAs

RGPD hoteles y turismo 2026: parte de viajeros (RD 933/2021 y SES.Hospedajes), reservas, wifi, programas de fidelización, OTAs y sanciones AEPD del sector.

También disponible en:Italiano·Português

En una frase. Un hotel o alojamiento turístico trata datos por una obligación legal (el parte de viajeros del RD 933/2021, comunicado al Ministerio del Interior por SES.Hospedajes) y por otras finalidades que exigen bases distintas (reservas por contrato, fidelización y marketing por consentimiento), y debe informar de todas ellas para evitar sanción de la AEPD.

Puntos clave

  • El registro documental de viajeros del RD 933/2021 es obligatorio desde el 2 de diciembre de 2024, con comunicación por la plataforma SES.Hospedajes.
  • La base jurídica del parte de viajeros es la obligación legal (art. 6.1.c); las reservas, el contrato; la fidelización y el marketing, el consentimiento.
  • Los datos del parte se recogen para seguridad ciudadana; no pueden reutilizarse para marketing sin base propia.
  • Las OTAs (Booking, Expedia, Airbnb) son responsables o corresponsables según la función; requieren contratos claros.
  • El wifi de cortesía y las cámaras son focos habituales de sanción por falta de información y exceso de conservación.

1. Panorama del sector

El turismo mezcla, en un mismo huésped, varias finalidades con bases jurídicas distintas: una obligación legal de seguridad (el parte de viajeros), un contrato (la reserva y la estancia), y finalidades voluntarias (fidelización, marketing, encuestas). La AEPD sanciona cuando el hotel las mezcla, cuando reutiliza los datos del parte para promociones, o cuando no informa de cada finalidad. Este artículo complementa nuestra guía de RGPD para hostelería y restauración, centrada en bares y restaurantes, con las particularidades del alojamiento y los viajes.

2. El parte de viajeros: RD 933/2021 y SES.Hospedajes

El Real Decreto 933/2021 establece las obligaciones de registro documental e información de quienes ejercen actividades de hospedaje y alquiler de vehículos. Desde el 2 de diciembre de 2024 es obligatorio comunicar los datos al Ministerio del Interior a través de la plataforma SES.Hospedajes. Puntos esenciales:

  • Sujetos obligados: hoteles, hostales, apartamentos turísticos, campings, casas rurales, plataformas de intermediación y empresas de alquiler de vehículos.
  • Datos: identificación del viajero y de la transacción; el decreto amplió el número de campos respecto al régimen anterior (datos de contacto, medio de pago, relación entre viajeros, etc.).
  • Plazo de comunicación: en las primeras 24 horas desde la formalización.
  • Conservación: los registros deben conservarse a disposición de las autoridades durante el plazo que fija la norma (tres años).
Aspecto Régimen
Base jurídica RGPD Obligación legal (art. 6.1.c)
Finalidad Seguridad ciudadana, no comercial
Plataforma SES.Hospedajes (Ministerio del Interior)
Reutilización para marketing Prohibida sin base propia
Información al huésped Cláusula específica sobre esta cesión

La AEPD ha sido clara: los datos recabados para el parte de viajeros responden a una finalidad de seguridad y no habilitan al hotel para hacer marketing con ellos. Reutilizarlos sin consentimiento propio es una infracción del principio de limitación de la finalidad.

3. Reservas: contrato como base jurídica

La gestión de la reserva y la estancia se apoya en la ejecución del contrato (art. 6.1.b RGPD): datos identificativos, fechas, habitación, servicios, facturación. No requiere consentimiento porque es necesario para prestar el servicio contratado. Conviene, eso sí:

  • Informar en el momento de la reserva (formulario web, teléfono, mostrador) conforme al art. 13.
  • Separar los datos estrictamente necesarios para la reserva de los voluntarios (preferencias, fechas señaladas).
  • Definir plazos de conservación tras la salida, según prescripción civil y obligaciones fiscales.

4. Fidelización y marketing: consentimiento

Los programas de fidelización, los boletines, las ofertas y las encuestas de satisfacción son finalidades voluntarias que exigen consentimiento libre, específico e informado (art. 6.1.a). Reglas:

El marketing con bases sin consentimiento válido es el origen de las sanciones más elevadas, como recoge nuestra guía de sanciones AEPD en marketing y publicidad.

5. OTAs y canales: Booking, Expedia, Airbnb

Las agencias de viaje online (OTAs) y las plataformas de intermediación tratan datos del huésped. Su rol jurídico varía:

  • Responsable independiente del registro de usuarios de su plataforma.
  • Corresponsable o encargado respecto de la reserva concreta, según cómo se articule el flujo de datos.

El hotel debe revisar y aceptar las condiciones de protección de datos de cada canal, saber quién informa al huésped y quién atiende sus derechos, y reflejar estas relaciones en el registro de actividades. Cuando un canal actúa como encargado, hace falta contrato del art. 28: ver sus obligaciones. Si algún proveedor aloja datos fuera del EEE, procede analizar las transferencias internacionales.

6. Wifi de cortesía

El wifi gratuito para huéspedes trata, como mínimo, la dirección MAC y los datos de conexión, y a menudo un registro previo. Requisitos:

  • Información clara antes de conectarse (finalidad, conservación, tratamiento de la navegación).
  • Base jurídica: contrato o interés legítimo para el servicio; consentimiento si se aprovecha para marketing.
  • Conservación mínima de los logs, conforme a la normativa de conservación de datos aplicable a quienes prestan acceso.
  • No usar los datos de navegación para perfilado sin base.

7. Videovigilancia en el establecimiento

Las cámaras en recepción, pasillos y zonas comunes se rigen por las reglas generales de la AEPD: cartel informativo modelo, conservación máxima de 30 días, prohibición de audio y de grabar habitaciones, aseos o vestuarios. En establecimientos con plantilla, la videovigilancia laboral se somete además a los derechos digitales de los arts. 87-91 LOPDGDD.

8. Plazos de conservación en el sector turístico

Categoría Plazo orientativo
Registro de viajeros (RD 933/2021) 3 años a disposición de las autoridades
Datos de reserva y facturación Prescripción civil/fiscal (hasta 4-6 años)
Datos de fidelización y marketing Hasta la baja o retirada del consentimiento
Logs de wifi Mínimo necesario según normativa aplicable
Imágenes de videovigilancia 30 días

La política de retención debe estar escrita y ser demostrable. La limitación de la conservación es un área de control prioritario de la AEPD.

8 bis. Check-in online, biometría y llaves digitales

La digitalización del alojamiento introduce tratamientos nuevos y sensibles. El check-in online anticipa la recogida de datos del huésped y debe informar con la misma claridad que el mostrador. El uso de reconocimiento facial para el acceso a la habitación o para agilizar el registro implica tratar datos biométricos, categoría especial del art. 9 RGPD: exige consentimiento explícito, una alternativa no biométrica real y, con frecuencia, una evaluación de impacto previa. La AEPD mantiene una interpretación restrictiva sobre la biometría cuando existen medios menos invasivos. Las llaves digitales en el móvil del huésped tratan un identificador asociado a la estancia y deben limitarse a esa finalidad. La regla común: cuanto más cómoda resulta la tecnología para el hotel, más rigurosa debe ser la base jurídica y la información al huésped.

9. Cómo cumplir el RGPD en un hotel o negocio turístico

  • Cláusula informativa específica para el parte de viajeros, separada del resto.
  • Reservas basadas en contrato; fidelización y marketing con consentimiento diferenciado.
  • Contratos y condiciones de protección de datos con OTAs y canales.
  • Wifi con información previa y base jurídica clara.
  • Videovigilancia con cartel, 30 días y sin audio.
  • Registro de actividades por tratamiento y política de retención escrita.
  • Formación al personal de recepción sobre qué se puede y qué no con los datos del huésped.
  • Auditoría RGPD periódica y checklist RGPD España como base.

Distinguir la obligación legal del parte de las finalidades voluntarias, y mantener el registro y los contratos al día, es el trabajo que una plataforma como Legiscope automatiza; para comparar herramientas, ver software de cumplimiento RGPD.

Preguntas frecuentes

¿Puede un hotel usar los datos del parte de viajeros para enviarme ofertas?

No sin tu consentimiento propio. Los datos del parte se recogen por obligación legal para seguridad ciudadana; reutilizarlos para marketing vulnera el principio de limitación de la finalidad.

¿Es obligatorio comunicar los datos de los huéspedes a la policía?

Sí. El RD 933/2021 obliga a los alojamientos a registrar y comunicar los datos de viajeros al Ministerio del Interior a través de SES.Hospedajes desde el 2 de diciembre de 2024, en las primeras 24 horas.

¿Necesito consentimiento para inscribir a un cliente en el programa de fidelización?

Sí. La fidelización es una finalidad voluntaria que exige consentimiento libre, específico e informado, separado de la reserva y no premarcado.

¿Cuánto tiempo puede conservar el hotel los datos de mi reserva?

Durante la relación y después, el plazo de prescripción de las acciones civiles y las obligaciones fiscales (habitualmente entre 4 y 6 años). Los datos de marketing, solo hasta que retires el consentimiento.

Conclusión

En el sector turístico, el cumplimiento RGPD depende de no mezclar finalidades: la obligación legal del parte de viajeros (RD 933/2021, SES.Hospedajes) vive separada del contrato de la reserva y, sobre todo, de la fidelización y el marketing, que exigen consentimiento propio. Reutilizar los datos del parte para promociones, no informar del wifi o conservar imágenes más de 30 días son los errores que la AEPD sanciona. Un hotel que informa de cada finalidad por separado y documenta sus plazos convierte una operativa compleja en un cumplimiento defendible.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →