Expertos en protección de datos alertan del riesgo de brechas de seguridad por los nuevos controles de Interior sobre los viajeros

Noticia Relacionada

Interior pospone la aplicación del registro de viajeros por la oposición unánime del sector turístico

Xavier Vilaltella

El decreto, que queda aparcado hasta el 2 de diciembre, obliga a hoteles, agencias de viajes y empresas de alquiler de vehículos a enviar a la policía el nombre, edad, correo electrónico, teléfono y dirección de sus clientes, entre otras cosas

A su juicio, aunque la finalidad de este «tratamiento masivo» de datos está justificado en la norma, «no deja de ser desproporcionado si atendemos a lo que, en la práctica, va a significar: la mera gestión de gran cantidad de información supone, en sí misma, un riesgo porque no todos los establecimientos hoteleros cuentan con las mismas medidas de seguridad y custodiarán la información con el mismo rigor. Nos exponemos a pérdidas de confidencialidad, brechas de seguridad y probablemente accesos indebidos a la información», avisa.

Recuerda la jurista que uno de los principios básicos establecidos en la normativa de protección de datos (el Reglamento UE 2016/679 General de Protección de Datos) es el de «minimización» y que esta nueva regulación, más que un tratamiento de «mínimos», como sería de esperar, parece más un tratamiento «por si acaso». «Tampoco ha tenido en cuenta que la facultad de solicitar más información siempre está ahí», especialmente cuando la aportación del DNI ya permite identificar a las personas. En definitiva, la abogada concluye que «se disparan los riesgos» y que las entidades afectadas «deberán reforzar su seguridad y su cumplimiento dado que estarán mucho más expuestas al robo de dichos datos».

A las brechas de seguridad que se pueden generar por el tratamiento generalizado de esa información se refiere también la experta en protección de datos Raquel Sánchez Rodríguez. «Esas brechas pueden ser más graves cuanto más cantidad de datos recopiles», dice. Eso al margen de que pedir información innecesaria vulnera el principio de minimización.

A su juicio, en la tramitación de la norma se debería haber justificado la necesidad de esa excesiva recopilación de datos, porque desde el momento en que se aporta un DNI no es preciso incidir en cuestiones como fecha de nacimiento o sexo.

Sánchez recuerda que la Agencia Española de Protección de Datos (AEPD) ya advirtió en el informe de su gabinete jurídico de que el tratamiento de datos personales que tienen que llevar a cabo titulares de las actividades de hospedaje y de alquiler de vehículos debe someterse al Reglamento General de Protección de Datos (RGPD). Y eso implica cumplir los principios de su artículo 5, entre ellos el principio de minimización: limitar los datos a lo estrictamente necesario en relación con la finalidad para la que se tratan. El informe en cuestión indicó, además, que en la tramitación de la norma debía evaluarse esta circunstancia en base a la información que Interior tuviera para justificar la necesidad de recoger esos datos para preservar la seguridad ciudadana.

Por su parte, la profesora de protección de datos y constitucional en la UNED y abogada Susana Duro Carrión recuerda que es posible que haya «brechas de seguridad» porque cada vez se atacan más «infraestructuras críticas e instituciones». Señala que el principio de minimización es una excepción en los ficheros policiales, que quedan exceptuados porque el tratamiento de los datos es para fines de seguridad pública y competencias de los Cuerpos y Fuerzas de Seguridad del Estado. Este tratamiento de datos personales quedaría legitimado ante el desempeño del marco funcional que la propia Constitución les reconoce.

No obstante, dice, «conviene tener presente el régimen excepcional de estos ficheros policiales respecto a los principios de obligado cumplimiento que establece el Reglamento Europeo de Protección de Datos (RGPD), excepciones que parten de la anterior Directiva 95/46 y que básicamente se concretan en los principios de información, calidad de los datos, consentimiento o minimización cuando estamos ante fines de naturaleza policial».