Interior aprobó el registro de viajeros sin evaluar el impacto que le exige la Protección de Datos
La medida obligará a las empresas a conservar hasta 43 datos personales de terceros durante tres años
Viajeros llegando al Aeropuerto Adolfo Suárez Madrid-Barajas. | Archivo
La polémica que rodea al nuevo Registro de Viajeros, recogido en el Real Decreto-ley 933/2021, continúa. La patronal de las agencias de viajes, obligadas junto a establecimientos hoteleros y empresas de alquiler de coche a cumplirlo a partir del 2 de diciembre, tachan la medida de «auténtico despropósito». El PP, por su parte, advierte al Gobierno de que estará «vigilante». Un nuevo registro con el que el Ministerio del Interior obligará a los gestores turísticos a facilitar hasta 43 datos personales de todos los viajeros, tal y como publicó THE OBJECTIVE.
La residencia habitual, la relación de parentesco entre los viajeros -en el caso de que haya menores-, el número de teléfono y numerosos datos vinculados al medio de pago son parte de la información que se deberá facilitar a partir de diciembre. Sin embargo, el Ministerio ha aprobado la norma sin hacer la evaluación de impacto de la Agencia Española de Protección de Datos, tal y como se desprende de la respuesta a una solicitud de acceso a la información pública presentada por José Leandro Núñez García, abogado-socio de Audens y a la que ha tenido acceso este diario.
En la consulta, el abogado recuerda que «sería necesario que en la tramitación del Proyecto se llevase a cabo una adecuada evaluación de impacto en la protección de datos de la recogida y comunicación que se describen a fin de determinar si se da o no pleno cumplimiento a tal principio y si el tratamiento y comunicación de todos los datos mencionados puede considerarse limitada a lo mínimo necesario para atender las finalidades descritas en la Ley Orgánica 4/2015 y la Exposición de motivos del Proyecto».
Protección de datos
Núñez García recuerda, en conversación con THE OBJECTIVE, que la protección de datos es un derecho fundamental «que solo puede ser limitado cuando sea necesario (y no meramente útil) en una sociedad democrática para cumplir determinados objetivos de interés público, entre los que, obviamente, se encuentra la lucha contra el terrorismo y la delincuencia organizada».
Sin embargo, «al analizar si una limitación a un derecho fundamental es realmente lícita, debemos preguntarnos si supera el test de idoneidad, necesidad y equilibrio que exige nuestro Tribunal Constitucional», añade. Por ello, recuerda la inclusión en nuestro ordenamiento de la necesidad de realizar evaluaciones de impacto que analicen si los tratamientos que se pretenden realizar resultan proporcionados. Y en este sentido, el letrado solicita a Transparencia dicha evaluación.
En su respuesta, el ministerio de Grande-Marlaska le comunica que el departamento «consideró suficiente el interés de la información para la adecuada preservación de la seguridad ciudadana como justificante de la necesidad de recogida de los datos y del cumplimiento del principio de minimización». Por ello, reconoce la resolución de Transparencia, «no se llevó a cabo una evaluación de impacto».
Interesantes pero no necesarios
Pero que sea de «interés» no basta, recuerda en conversación el abogado, «deben ser necesarios». Por ello se realizan las evaluaciones de impacto, para pedir los datos mínimos. La evaluación también «lo que hace es analizar el riesgo, si el riesgo de tratar estos datos merece la pena», añade. Entre estos datos están, según recuerda, los tres necesarios para hacer una operación bancaria, como es el número de tarjeta, fecha de caducidad y nombre del titular, «¿realmente son necesarios los tres? ¿Ese riesgo de mantener la información es necesario?»
Por otro lado, tal y como reconoce José Antonio Fernández de Alarcón, socio director de Monlex Abogados y asesor jurídico de las principales cadenas hoteleras de España a la revista Economist & Jurist, «este Real Decreto-ley que aún no ha entrado debe ajustarse a la normativa europea que es menos agresiva que la española. La propia normativa europea prohíbe ampliar esos campos de identificación de ese cliente. En cuanto a la app, es una aplicación nueva que tendrán que manejar todas las empresas del sector y que en teoría debería estar funcionando antes del próximo 2 de diciembre».
La norma, además, recoge la obligación de que hoteles, agencias de viajes y empresas de alquiler de coches mantengan esa información durante tres años, con el riesgo que eso conlleva, a juicio de Núñez García. «Mira lo que pasó en la DGT hace unos meses: los piratas informáticos se llevaron la base entera de los conductores, imagina que pasa esto con estas bases de datos con la información personal que tienen. Pues ese riesgo ha de ser evaluado», añade.
¿Es obligatorio ese informe de impacto?
Ahí está la cuestión a la que se ‘agarra’ Interior para justificar la no elaboración de esa evaluación de impacto. En su respuesta a la consulta del abogado, Interior se justifica asegurando que los preceptos de la Ley Orgánica 7/2021, de 26 de mayo, no estaban en vigor durante la tramitación y aprobación del citado Real Decreto 933/2021, de 26 de octubre. «Así, la disposición final duodécima de esta Ley Orgánica 7/2021, de 26 de mayo, «Entrada en vigor» señala: «Esta Ley Orgánica entrará en vigor a los veinte días de su publicación en el «Boletín Oficial del Estado». No obstante, las previsiones contenidas en el capítulo IV producirán efectos a los seis meses de la entrada en vigor de la Ley Orgánica», aseguran en la misma.
Tal y como recuerda el experto, la Unión Europea hizo dos normas de protección de datos: una Directiva, para investigación penal; y un Reglamento, para el resto de casos. Las dos se aprobaron el mismo día, el 25 de mayo de 2016. El Reglamento (RGPD) está vigente desde 2018; y la Directiva también lo está, pero requería de transposición nacional, lo que se hizo con mucho retraso, a través de la Ley Orgánica 7/2021.
«La norma afecta tanto a las empresas como al Ministerio. Por tanto, tiene que cumplir con ambas normas, y ambas incluyen la evaluación de impacto; por lo que su respuesta es cierta, pero imprecisa», recuerda. Además, recuerda, la Ley Orgánica 7/2021 daba seis meses de margen al Gobierno para adaptar sus tratamientos de datos a la nueva normativa (de ahí que no estuviese vigente), pero ahora sí obliga a que exista la evaluación de impacto, porque se aplica a todos los tratamientos existentes, no solo a aquellos nuevos», añade.
