:format(jpg)/f.elconfidencial.com%2Foriginal%2F560%2F42b%2Ff8f%2F56042bf8f03d9680dc846baf7d811689.jpg)
Continúan las dudas sobre si el 'Gran Hermano' hotelero -como ha sido bautizado por parte del sector turístico- es compatible con el reglamento de protección de datos. El sistema de registro de viajeros en hoteles y empresas de alquiler de vehículos, que lleva una semana en vigor, sigue generando reacciones en la industria del turismo. A falta de que salga a la luz la Orden ministerial que regule de manera definitiva el proceso de recogida de datos de los huéspedes, el Real Decreto se sigue poniendo en duda por algunas voces del sector, que claman que no respeta la normativa de protección de datos.
El despacho de abogados Navas y Cusí alega que "la Agencia Española de Protección de Datos (AEPD) mostró sus recelos al RD 933/2021 relativo a la protección de datos personales requeridos por Interior a los viajeros". Para Juan Ignacio Navas, socio-director de Navas & Cusí, despacho especializado en derecho europeo, esta normativa supone "una intromisión ilegítima en la privacidad que contraviene el principio europeo de minimización".
Argumenta que en su informe final, la AEPD reclama una "adecuada evaluación del impacto de protección de datos" de la citada norma para comprobar si cumple con el principio de minimización de datos que establece la normativa europea. Este principio viene a señalar que el tratamiento de datos personales será el mínimo imprescindible según la necesidad -en este caso la lucha contra el crimen organizado y el terrorismo-.
Esta tesis choca de manera frontal con lo que viene manifestando desde hace días el Ministerio del Interior. "Este Real Decreto ha sido analizado por la Agencia Española de Protección de Datos, que concluyó que su contenido queda amparado por el Reglamento General de Protección de Datos de la Unión Europea", ha esgrimido estos días el ministerio de Fernando Grande-Marlaska. El Ministerio del Interior asegura que "la plataforma de hospedajes está funcionando con toda normalidad sin que, en estos primeros días de registro obligatorio, se hayan recibido incidencias por parte de los establecimientos". Contabiliza en 1,3 millones las comunicaciones recibidas en su plataforma con datos de los viajeros -casi la mitad correspondientes al puente de la Constitución-.
¿Qué dice la AEPD?
Si atendemos al informe de la Agencia, lo cierto es que ambas partes tienen su parte de razón. La AEPD cree que uno de los puntos que suscita más polémica, la conservación de los datos de los huéspedes -incluyendo el medio de pago- por parte de los hoteles durante tres años, se ajusta a derecho: "Establece un plazo de conservación de tres años, que es similar al que se establecía con anterioridad en el caso de los establecimientos de hospedaje... puede entenderse que el tratamiento sería respetuoso con el principio de conservación (de datos)".
En cambio, también es cierto que este organismo público pone en duda que los datos exigidos con la nueva normativa -ahora se pide la relación de parentesco en caso de los menores y todo tipo de detalles bancarios si se paga con tarjeta- cumplan con la doctrina europea sobre "minimización en el tratamiento de datos personales". Tanto es así que pide una "evaluación de impacto en la protección de datos de la recogida y comunicación que se describen a fin de determinar si se da o no pleno cumplimiento a tal principio".
Esta evaluación debería determinar también "si el tratamiento y comunicación de todos los datos mencionados puede considerarse limitada a lo mínimo necesario para atender las finalidades descritas", que son razones de seguridad establecidas en la ley de seguridad ciudadana. La agencia explica que la doctrina del Tribunal Superior de Justicia de la Unión Europea (TJUE) viene a declarar "contrario al derecho de la Unión el tratamiento masivo e indiscriminado de datos de tráfico en comunicaciones electrónicas al considerarse el mismo una intromisión en los derechos fundamentales a la intimidad y a la protección de datos personales".
Evaluación de impacto
La AEPD recuerda que la directiva europea sobre el tratamiento de datos personales indica que cuando "sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, suponga un alto riesgo para los derechos y libertades de las personas físicas, los Estados miembros dispondrán que el responsable del tratamiento lleve a cabo, con carácter previo, una evaluación del impacto de las operaciones de tratamiento"
Esta evaluación debería incluir según la agencia y de acuerdo a la norma europea "una descripción general de las operaciones de tratamiento previstas, una evaluación de los riesgos para los derechos y libertades de los interesados, las medidas contempladas para hacer frente a estos riesgos, y las garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de los datos personales".
Los operadores turísticos avisan de que acudirán "a los tribunales" si se sanciona a las entidades por no poder hacer frente a los requisitos que establece el Real Decreto. "En el momento en que se produzcan sanciones se establecerán los recursos oportunos y las demandas. De momento, el sector está intentando cumplir con la ley, pese a todas las dificultades. Esperamos que el Gobierno aplique el sentido común y no imponga ningún tipo de sanción", asevera un representante del sector.
{getToc} $title={Tabla de Contenidos}