Las listas negras en hoteles y sus problemas desde la protección de datos

Las listas negras en hoteles se han convertido en un tema candente en el sector turístico español. Desde las Islas Baleares hasta la Costa del Sol, cada vez más establecimientos hoteleros recurren a bases de datos compartidas de turistas conflictivos para evitar reservas de huéspedes que previamente han causado daños o problemas graves. Pero, ¿son legales estas prácticas? ¿Qué dice el RGPD sobre las listas negras de hoteles? En este artículo realizamos un análisis jurídico exhaustivo.

¿Qué son las listas negras de hoteles y por qué existen?

Una lista negra hotelera es un registro —interno o compartido entre establecimientos— que contiene datos personales de huéspedes considerados problemáticos: nombres, números de documento de identidad, nacionalidad y, en muchos casos, una descripción de los incidentes que motivaron su inclusión. El objetivo declarado es sencillo: impedir que personas que han protagonizado actos de vandalismo, violencia o comportamiento antisocial vuelvan a alojarse en esos establecimientos.

El fenómeno no es nuevo, pero ha cobrado especial relevancia en destinos turísticos españoles como Mallorca, Ibiza, Magaluf y Benidorm, donde el llamado «turismo de borrachera» genera pérdidas económicas significativas y deteriora la convivencia. Asociaciones hoteleras de estas zonas han impulsado iniciativas para crear y compartir listas negras de turistas por correo electrónico, incluyendo datos identificativos y detalles de los incidentes.

Sin embargo, que una práctica tenga una finalidad legítima no significa que sea legal. El tratamiento de datos personales está sujeto a normas estrictas, y la creación de estas listas plantea problemas jurídicos de primer orden que todo hotelero debe conocer antes de implementarlas.

Marco normativo aplicable: RGPD y LOPDGDD

El tratamiento de datos personales en el contexto de las listas negras hoteleras se rige fundamentalmente por dos normas:

• El Reglamento General de Protección de Datos (RGPD) — Reglamento (UE) 2016/679, de aplicación directa en toda la Unión Europea.
• La Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que complementa y desarrolla el RGPD en el ordenamiento jurídico español.

Ambas normas establecen que cualquier tratamiento de datos personales debe cumplir una serie de principios y requisitos que, como veremos, resultan extremadamente difíciles de satisfacer en el caso de las listas negras compartidas entre hoteles.

El antecedente europeo: el Documento del Grupo de Trabajo del artículo 29

El Grupo de Trabajo del artículo 29 (hoy sustituido por el Comité Europeo de Protección de Datos) abordó específicamente la cuestión de las listas negras en su Documento de trabajo relativo a las listas negras (WP 65, adoptado el 3 de octubre de 2002). Este documento resulta fundamental para entender la posición de las autoridades europeas de protección de datos sobre esta materia.

El Grupo de Trabajo definió las listas negras como recopilaciones de datos relativos a personas que se consideran merecedoras de algún tipo de sanción o restricción, y estableció una serie de criterios para evaluar su licitud:

«Las listas negras son recopilaciones de datos de personas físicas que están consideradas como merecedoras de un interés especial o como personas que presentan riesgos especiales. (...) Estas listas se utilizan a menudo para excluir a personas de determinadas actividades, servicios o relaciones.»

El documento señaló que las listas negras presentan riesgos elevados para los derechos fundamentales de las personas incluidas en ellas, especialmente cuando:

• Se comparten entre múltiples organizaciones.
• No existe una base legal clara que ampare su creación.
• Las personas afectadas no son informadas de su inclusión.
• No se establecen mecanismos de rectificación o supresión.
• Los datos se conservan durante períodos excesivos o indefinidos.

Estos criterios, formulados antes de la entrada en vigor del RGPD, siguen siendo plenamente aplicables y, de hecho, se han visto reforzados por el marco normativo actual.

La doctrina de la AEPD: el Informe 0302/2008

En España, la Agencia Española de Protección de Datos (AEPD) ha tenido ocasión de pronunciarse sobre las listas negras en contextos análogos al hotelero. Especialmente relevante es el Informe 0302/2008, emitido a raíz de una consulta planteada por una empresa de taxis que pretendía crear una lista negra de clientes conflictivos.

La AEPD analizó la cuestión desde la perspectiva de la entonces vigente Ley Orgánica 15/1999, pero sus conclusiones resultan extrapolables —e incluso más exigentes— bajo el RGPD. El informe estableció que:

«La inclusión de los datos de un cliente en un fichero de personas 'no gratas' y la comunicación de los mismos a otros empresarios del sector constituye un tratamiento de datos personales que requiere el consentimiento inequívoco del afectado o, en su defecto, una habilitación legal específica.»

Este pronunciamiento es directamente trasladable al sector hotelero: la creación de listas negras de turistas y su intercambio entre hoteles constituye un tratamiento de datos personales que debe cumplir todos los requisitos establecidos por la normativa de protección de datos.

La AEPD destacó además que el responsable del tratamiento tiene la obligación de informar al afectado sobre la existencia de dicho fichero, la finalidad del tratamiento, los destinatarios de la información y los derechos que le asisten, algo que en la práctica de las listas negras hoteleras rara vez se cumple.

Bases legales del RGPD para las listas negras: un análisis del artículo 6

El artículo 6 del RGPD establece las seis bases legales que pueden legitimar un tratamiento de datos personales. Analicemos cuáles podrían invocarse para justificar una lista negra hotelera y por qué la mayoría resultan insuficientes:

a) Consentimiento del interesado (Art. 6.1.a)

El consentimiento debe ser libre, específico, informado e inequívoco. Es evidente que ningún turista va a consentir voluntariamente su inclusión en una lista negra. Además, el RGPD exige que el consentimiento sea revocable en cualquier momento, lo que haría ineficaz la lista. Esta base legal es, por tanto, inviable en la práctica.

b) Ejecución de un contrato (Art. 6.1.b)

El tratamiento de datos es lícito cuando es necesario para la ejecución de un contrato en el que el interesado es parte. Si bien existe un contrato de hospedaje entre el hotel y el huésped, la inclusión en una lista negra excede claramente el ámbito de ese contrato. El contrato de alojamiento se agota con la estancia; crear un registro para futuras denegaciones de servicio no es necesario para su ejecución.

c) Obligación legal (Art. 6.1.c)

No existe en el ordenamiento jurídico español ninguna norma que obligue a los hoteles a crear listas negras de huéspedes conflictivos. Las obligaciones de registro hotelero (el conocido «parte de viajeros») tienen una finalidad de seguridad pública completamente distinta. Esta base legal no es aplicable.

d) Intereses vitales (Art. 6.1.d)

Esta base legal se reserva para situaciones en las que está en juego la vida del interesado o de un tercero. Salvo casos excepcionalísimos de violencia extrema, no resulta aplicable al contexto de las listas negras hoteleras.

e) Misión de interés público (Art. 6.1.e)

Esta base legal está pensada para tratamientos realizados en cumplimiento de una misión de interés público o en el ejercicio de poderes públicos. Los hoteles son empresas privadas que no ejercen funciones públicas, por lo que esta base legal tampoco resulta viable.

f) Interés legítimo del responsable (Art. 6.1.f)

Esta es la única base legal que podría, en teoría, amparar una lista negra hotelera. Sin embargo, su aplicación requiere superar un triple test (o juicio de ponderación) que resulta especialmente exigente:

1. Test de idoneidad: ¿Existe un interés legítimo real y concreto? La protección de la propiedad y la seguridad de otros huéspedes puede considerarse un interés legítimo.
2. Test de necesidad: ¿Es la lista negra estrictamente necesaria para lograr ese fin, o existen medidas menos invasivas? Aquí la cuestión se complica: existen alternativas como el depósito de fianzas, seguros de daños o la acción judicial contra los responsables de destrozos.
3. Test de proporcionalidad: ¿Los derechos fundamentales del interesado prevalecen sobre el interés legítimo del responsable? Dado el impacto que la inclusión en una lista negra puede tener sobre la libertad de movimiento y el derecho a la no discriminación, este test resulta difícil de superar, especialmente cuando la lista se comparte entre múltiples establecimientos.

La conclusión es clara: incluso invocando el interés legítimo, la creación y especialmente el intercambio de listas negras entre hoteles presenta graves dificultades para superar el juicio de ponderación exigido por el RGPD, particularmente cuando los datos se comparten de manera informal por correo electrónico y sin garantías adecuadas.

Listas negras internas vs. listas negras compartidas: una distinción clave

Es fundamental distinguir entre dos escenarios que presentan implicaciones jurídicas muy diferentes:

Listas negras internas (un solo hotel o cadena)

Un hotel que mantiene un registro interno de huéspedes que han causado daños graves en sus propias instalaciones se encuentra en una posición jurídica más defendible, siempre que:

• Limite los datos recogidos a lo estrictamente necesario (principio de minimización).
• Informe al afectado de su inclusión en el registro y de sus derechos.
• Establezca un plazo de conservación razonable y limitado.
• Base el tratamiento en un interés legítimo debidamente documentado mediante una Evaluación de Impacto en la Protección de Datos (EIPD).
• Implemente medidas de seguridad adecuadas para proteger los datos.

En este escenario, el juicio de ponderación del interés legítimo tiene más posibilidades de resultar favorable al hotel, ya que el tratamiento se limita a proteger sus propias instalaciones y la relación directa con el cliente.

Listas negras compartidas entre establecimientos

La situación cambia radicalmente cuando los datos se comparten entre múltiples hoteles, ya sea a través de asociaciones sectoriales, correos electrónicos grupales o plataformas digitales. En este caso:

• Se produce una comunicación de datos a terceros que requiere una base legal específica adicional.
• El impacto sobre los derechos del afectado se multiplica exponencialmente, ya que la inclusión en una lista compartida puede suponer una exclusión efectiva del acceso al alojamiento en toda una zona turística.
• El control sobre los datos se diluye, aumentando los riesgos de uso indebido, acceso no autorizado y conservación indefinida.
• La responsabilidad conjunta del tratamiento (Art. 26 RGPD) exigiría acuerdos formales entre todos los hoteles participantes que definan sus respectivas obligaciones.
• La proporcionalidad del tratamiento resulta mucho más difícil de justificar.

La práctica habitual de enviar correos electrónicos con datos de turistas conflictivos a decenas de hoteles, sin cifrado, sin acuerdo de corresponsabilidad y sin informar al afectado, es claramente contraria al RGPD.

Derechos de los afectados: supresión y oposición

Las personas incluidas en listas negras hoteleras son titulares de todos los derechos reconocidos por el RGPD, siendo especialmente relevantes:

Derecho de supresión o «derecho al olvido» (Art. 17 RGPD)

El interesado tiene derecho a obtener la supresión de sus datos personales cuando, entre otros supuestos:

• Los datos ya no son necesarios para la finalidad para la que fueron recogidos.
• El interesado retira su consentimiento (si esta era la base legal).
• El interesado ejerce su derecho de oposición y no prevalecen otros motivos legítimos.
• Los datos han sido tratados ilícitamente.

Si la base legal invocada es el interés legítimo y el afectado ejerce su derecho de supresión, el hotel deberá valorar si existen motivos legítimos imperiosos que prevalezcan sobre los derechos del interesado. En la mayoría de los casos, especialmente cuando ha transcurrido un tiempo razonable desde el incidente, la respuesta será negativa y el hotel deberá proceder a eliminar los datos.

Derecho de oposición (Art. 21 RGPD)

El interesado puede oponerse en cualquier momento al tratamiento de sus datos basado en el interés legítimo. Una vez ejercido este derecho, el responsable debe dejar de tratar los datos salvo que acredite motivos legítimos imperiosos que prevalezcan sobre los intereses, derechos y libertades del interesado.

Este derecho es particularmente poderoso en el contexto de las listas negras, porque obliga al hotel a realizar una evaluación caso por caso que difícilmente puede mantenerse de forma genérica para todos los incluidos en la lista.

Derecho de acceso e información (Arts. 13, 14 y 15 RGPD)

El afectado tiene derecho a saber si sus datos figuran en una lista negra, qué datos concretos se han recogido, con quién se han compartido y durante cuánto tiempo se conservarán. La falta de transparencia es, precisamente, uno de los problemas más graves de las listas negras hoteleras tal como se implementan habitualmente.

El caso de las aerolíneas: las «no-fly lists» como referencia comparativa

Un paralelo interesante lo encontramos en el sector de la aviación, donde las listas de pasajeros no admitidos («no-fly lists») tienen una larga tradición. Sin embargo, las diferencias son significativas y revelan por qué las listas negras hoteleras enfrentan obstáculos legales aún mayores:

• Base legal reforzada: Las no-fly lists de las autoridades públicas (como la TSA en Estados Unidos) se amparan en legislación específica de seguridad nacional y aviación civil. No existe legislación equivalente para el sector hotelero.
• Regulación específica: En la Unión Europea, el Reglamento (CE) nº 2111/2005 y normativas complementarias regulan las listas de prohibición de vuelo con garantías procedimentales específicas. Las listas negras hoteleras carecen de este marco regulatorio.
• Proporcionalidad: La seguridad aérea involucra riesgos para la vida de cientos de personas simultáneamente, lo que justifica restricciones más intensas. Los incidentes hoteleros, aunque graves, rara vez alcanzan ese nivel de riesgo.
• Procedimiento contradictorio: Las aerolíneas que mantienen sus propias listas internas suelen contar con procedimientos formales de inclusión, notificación y recurso. Las listas negras hoteleras suelen carecer de cualquier procedimiento garantista.

La experiencia del sector aéreo demuestra que, incluso cuando existe una base legal robusta, las listas de exclusión deben rodearse de garantías procedimentales estrictas. La informalidad con la que operan las listas negras hoteleras las sitúa en una posición jurídica mucho más vulnerable.

Nuevas tecnologías: reconocimiento facial, IA y listas negras digitales

El avance tecnológico ha añadido una nueva dimensión al problema de las listas negras hoteleras. Algunos establecimientos y proveedores tecnológicos están desarrollando sistemas que van más allá de las simples listas de nombres:

Reconocimiento facial en hoteles

La implementación de sistemas de reconocimiento facial para identificar automáticamente a huéspedes incluidos en listas negras plantea problemas jurídicos adicionales de enorme gravedad. El RGPD clasifica los datos biométricos utilizados para la identificación unívoca de personas como datos de categoría especial (Art. 9), cuyo tratamiento está, como regla general, prohibido.

Las excepciones a esta prohibición son muy limitadas y ninguna de ellas resulta fácilmente aplicable al contexto hotelero. El consentimiento explícito del interesado (Art. 9.2.a) es, como ya hemos visto, inviable. Y el interés legítimo no figura entre las excepciones del artículo 9.2, lo que cierra esta vía para los datos biométricos.

Inteligencia artificial y perfilado

Algunos sistemas proponen utilizar algoritmos de inteligencia artificial para predecir el comportamiento de los huéspedes basándose en patrones como la nacionalidad, la edad, el tipo de reserva o el historial de comportamiento en otros establecimientos. Este tipo de tratamiento plantea problemas adicionales:

• Constituye un perfilado en el sentido del Art. 4.4 del RGPD, con las obligaciones de transparencia y las garantías adicionales que ello implica.
• Puede dar lugar a decisiones automatizadas (Art. 22 RGPD) que produzcan efectos jurídicos significativos para el interesado, como la denegación de alojamiento.
• Presenta un elevado riesgo de discriminación algorítmica, especialmente si se utilizan variables como la nacionalidad o la edad como factores predictivos.
• Requiere obligatoriamente la realización de una Evaluación de Impacto en la Protección de Datos (EIPD) conforme al Art. 35 del RGPD.

Plataformas digitales de intercambio

La migración de las listas negras desde correos electrónicos informales a plataformas digitales centralizadas no resuelve por sí sola los problemas de licitud del tratamiento, aunque puede mejorar algunos aspectos de seguridad técnica. Estas plataformas deben cumplir igualmente todas las exigencias del RGPD y, al centralizar datos de múltiples establecimientos, pueden incluso agravar los riesgos al crear bases de datos masivas de personas señaladas.

Régimen sancionador: ¿qué multas puede imponer la AEPD?

Los hoteles que implementen listas negras sin cumplir la normativa de protección de datos se exponen a sanciones significativas por parte de la AEPD. El RGPD establece un régimen sancionador escalonado:

Infracciones graves (Art. 83.4 RGPD)

Pueden conllevar multas de hasta 10 millones de euros o el 2% del volumen de negocio total anual global, la cifra que sea mayor. Se incluyen aquí incumplimientos relativos a:

• Las obligaciones del responsable y del encargado del tratamiento.
• La falta de realización de una Evaluación de Impacto cuando es obligatoria.
• La ausencia de medidas de seguridad adecuadas.

Infracciones muy graves (Art. 83.5 RGPD)

Pueden conllevar multas de hasta 20 millones de euros o el 4% del volumen de negocio total anual global. Se incluyen incumplimientos relativos a:

• Los principios básicos del tratamiento, incluida la falta de base legal.
• Los derechos de los interesados (acceso, supresión, oposición).
• Las transferencias internacionales de datos sin garantías adecuadas.
• El tratamiento de categorías especiales de datos (como los biométricos) sin habilitación.

Además de las multas, la AEPD puede imponer medidas correctivas como la orden de cesar el tratamiento, la obligación de suprimir los datos o la prohibición temporal o definitiva de la actividad de tratamiento.

En la práctica, la AEPD ha impuesto sanciones en casos análogos. La creación de listas negras compartidas sin base legal, sin información al afectado y sin medidas de seguridad adecuadas podría acumular múltiples infracciones que, sumadas, supondrían sanciones muy elevadas incluso para grandes cadenas hoteleras.

¿Cómo gestionar turistas problemáticos sin vulnerar la ley?

La existencia de problemas legales con las listas negras no significa que los hoteleros estén indefensos ante el turismo vandálico. Existen alternativas legales que permiten proteger el negocio respetando los derechos fundamentales de los clientes:

1. Registro interno con garantías

Mantener un registro exclusivamente interno de incidentes graves, limitado al propio hotel o cadena, con las siguientes garantías:

• Evaluación de Impacto previa que documente la necesidad y proporcionalidad del tratamiento.
• Información clara al huésped en el momento del check-in sobre la existencia del registro y las condiciones que pueden dar lugar a su inclusión (puede incluirse en las condiciones generales de contratación).
• Plazo de conservación limitado: un período de 2 a 3 años puede considerarse razonable, dependiendo de la gravedad del incidente.
• Minimización de datos: registrar únicamente los datos estrictamente necesarios (nombre, documento de identidad, fecha del incidente y breve descripción objetiva de los hechos).
• Procedimiento de inclusión formalizado que garantice la objetividad y evite decisiones arbitrarias.

2. Medidas preventivas contractuales

• Depósitos de seguridad o fianzas que cubran potenciales daños.
• Cláusulas contractuales claras sobre comportamiento aceptable y consecuencias de su incumplimiento.
• Seguros específicos que cubran daños causados por huéspedes.
• Condiciones de reserva que permitan la cancelación en caso de incumplimiento de normas de convivencia.

3. Actuación jurídica frente a daños

• Denuncias penales por delitos de daños (Arts. 263 y ss. del Código Penal) cuando los destrozos alcancen la cuantía necesaria.
• Reclamaciones civiles por responsabilidad extracontractual para obtener la indemnización de los daños causados.
• Colaboración con las Fuerzas y Cuerpos de Seguridad del Estado, que disponen de sus propios registros y mecanismos de actuación.

4. Medidas de seguridad física y disuasoria

• Videovigilancia en zonas comunes (cumpliendo la normativa específica de videovigilancia).
• Personal de seguridad en horarios y zonas de mayor riesgo.
• Sistemas de control de acceso que limiten el paso a zonas sensibles.

5. Colaboración sectorial regulada

Si las asociaciones hoteleras desean crear sistemas compartidos de información sobre incidentes, deberán:

• Obtener asesoramiento jurídico especializado en protección de datos.
• Realizar una Evaluación de Impacto conjunta.
• Formalizar acuerdos de corresponsabilidad (Art. 26 RGPD) entre todos los participantes.
• Implementar una plataforma segura con controles de acceso, cifrado y trazabilidad.
• Establecer procedimientos de notificación al afectado y de ejercicio de derechos.
• Consultar previamente con la AEPD si es necesario (Art. 36 RGPD, consulta previa).

El deber de información: la gran asignatura pendiente

Uno de los incumplimientos más frecuentes en la operativa de las listas negras hoteleras es la falta de información al afectado. Los artículos 13 y 14 del RGPD establecen un extenso catálogo de información que debe proporcionarse al interesado, que incluye:

• La identidad y datos de contacto del responsable del tratamiento.
• La finalidad del tratamiento y su base jurídica.
• Los destinatarios o categorías de destinatarios de los datos.
• El plazo de conservación de los datos.
• Los derechos del interesado (acceso, rectificación, supresión, oposición, limitación, portabilidad).
• El derecho a presentar una reclamación ante la autoridad de control (AEPD).
• Si el tratamiento se basa en el interés legítimo, cuál es ese interés.

En la práctica, los hoteles que utilizan listas negras rara vez informan al huésped de su inclusión. El turista descubre que está en una lista negra cuando intenta hacer una nueva reserva y esta le es denegada sin explicación clara, lo que constituye una violación flagrante del principio de transparencia del RGPD.

Preguntas frecuentes sobre listas negras en hoteles

¿Puede un hotel negarme una reserva por estar en una lista negra?

Un hotel tiene, en principio, libertad para decidir con quién contrata, ya que el contrato de hospedaje se rige por la autonomía de la voluntad. Sin embargo, el medio utilizado para tomar esa decisión debe cumplir la normativa. Si la denegación se basa en una lista negra que no cumple el RGPD, el hotel se expone a sanciones por el tratamiento ilícito de datos, con independencia de que la negativa comercial en sí pudiera ser legítima.

¿Qué puedo hacer si descubro que estoy en una lista negra de hoteles?

Si sospecha o confirma que sus datos figuran en una lista negra hotelera, puede ejercer sus derechos de acceso, rectificación, supresión y oposición directamente ante el hotel o la asociación responsable. Si no obtiene respuesta satisfactoria en el plazo de un mes, puede presentar una reclamación ante la AEPD a través de su sede electrónica. También puede consultar con un abogado especializado en protección de datos para evaluar sus opciones.

¿Las listas negras de hoteles son iguales que los ficheros de morosos?

No. Los ficheros de solvencia patrimonial y crédito (como ASNEF o Experian) cuentan con una regulación específica en la LOPDGDD (Art. 20) que establece los requisitos para la inclusión de datos: deuda cierta, vencida y exigible, y notificación previa al afectado. Las listas negras hoteleras carecen de esta cobertura legal específica, lo que las coloca en una situación jurídica más precaria.

¿Puede un hotel compartir mis datos con otros hoteles sin mi consentimiento?

La comunicación de datos personales a terceros constituye un tratamiento que requiere una base legal propia. El intercambio informal de listas de turistas conflictivos entre hoteles por correo electrónico, sin base legal, sin cifrado y sin informar al afectado, es contrario al RGPD y puede dar lugar a sanciones para todos los hoteles implicados.

¿Cuánto tiempo pueden mantener mis datos en una lista negra?

El RGPD establece el principio de limitación del plazo de conservación (Art. 5.1.e): los datos no deben conservarse más tiempo del necesario para la finalidad del tratamiento. No existe un plazo legalmente establecido para las listas negras hoteleras, pero cualquier plazo debe ser razonable y proporcionado. Un período indefinido o excesivamente largo sería contrario al RGPD. Como referencia, los datos del registro de viajeros se conservan durante 3 años.

¿Puede un hotel usar cámaras de reconocimiento facial para identificar turistas de una lista negra?

El uso de reconocimiento facial para esta finalidad implica el tratamiento de datos biométricos, que son datos de categoría especial bajo el Art. 9 del RGPD. Su tratamiento está, como regla general, prohibido, y las excepciones aplicables son muy limitadas. En la práctica, esta tecnología resulta desproporcionada e ilegal para la gestión hotelera de turistas conflictivos.

¿Qué diferencia hay entre una lista negra de un hotel y la de una aerolínea?

Las listas de pasajeros no admitidos de las aerolíneas suelen contar con cobertura legal específica en la normativa de aviación civil y seguridad aérea. Además, la seguridad a bordo de una aeronave afecta a un número elevado de personas en un espacio confinado, lo que justifica restricciones más intensas. Las listas negras hoteleras no disponen de este marco legal específico y el nivel de riesgo es generalmente menor, lo que dificulta la justificación de medidas tan invasivas.

Conclusiones y recomendaciones

El análisis jurídico de las listas negras en hoteles permite extraer las siguientes conclusiones:

1. Las listas negras compartidas entre hoteles, tal como se implementan habitualmente (intercambio informal por correo electrónico, sin información al afectado, sin plazo de conservación definido), son contrarias al RGPD y exponen a los establecimientos participantes a sanciones que pueden alcanzar los 20 millones de euros.
2. Las listas negras internas de un solo hotel o cadena pueden ser admisibles si se implementan con las garantías adecuadas: evaluación de impacto, información al afectado, plazo de conservación limitado y medidas de seguridad apropiadas.
3. La incorporación de nuevas tecnologías como el reconocimiento facial o la inteligencia artificial agrava significativamente los problemas legales y añade restricciones normativas adicionales.
4. Existen alternativas legales eficaces para gestionar el turismo vandálico sin recurrir a prácticas contrarias a la normativa de protección de datos: medidas contractuales, depósitos, seguros, actuación judicial y colaboración con las fuerzas de seguridad.
5. Los hoteles que deseen implementar cualquier sistema de registro de huéspedes conflictivos deben consultar previamente con un abogado especializado en protección de datos para garantizar el cumplimiento normativo.

Si es usted hotelero y necesita asesoramiento sobre cómo gestionar estas situaciones de manera legal, o si es un turista que ha sido incluido en una lista negra sin su conocimiento, le invitamos a ponerse en contacto con nuestro equipo. Puede encontrar más información sobre protección de datos y otras materias jurídicas relacionadas con el sector tecnológico y digital en nuestra sección de artículos especializados.