Registro de Viajeros: la Comisión Europea cuestiona el modelo español por su impacto en la protección de datos
¿Qué ha pasado?
La Comisión Europea ha iniciado un procedimiento de infracción contra España por el sistema del Registro de Viajeros, al considerar que determinados aspectos del modelo podrían ser incompatibles con el Derecho de la Unión Europea.
El debate no gira únicamente en torno a la protección de datos, sino sobre hasta dónde puede llegar el Estado en la recopilación masiva de información personal en nombre de la seguridad pública.
¿Por qué es relevante?
La Comisión cuestiona principalmente:
- La amplitud de los datos personales que deben recopilar hoteles, alojamientos y otros operadores.
- La falta de delimitación clara sobre las finalidades para las que pueden utilizarse esos datos.
- Los plazos de conservación, que podrían exceder lo estrictamente necesario.
- La posible vulneración de los principios de necesidad, proporcionalidad y minimización de datos exigidos por el Derecho europeo.
El procedimiento no implica todavía una sanción, pero obliga a España a justificar que el sistema cumple con los estándares europeos de protección de derechos fundamentales.
El precedente jurídico.
La Comisión fundamenta sus dudas en la doctrina consolidada del Tribunal de Justicia de la Unión Europea (TJUE), especialmente desde el asunto Digital Rights Ireland (2014), que estableció que:
- La recopilación masiva e indiscriminada de datos constituye una grave injerencia en la privacidad.
- Incluso cuando el objetivo sea combatir la delincuencia o proteger la seguridad nacional, las medidas deben superar un estricto análisis de: Necesidad. Proporcionalidad. Idoneidad. Existencia de garantías y controles efectivos.
Más datos no siempre significan mayor seguridad.
Marco normativo aplicable.
El análisis también afecta a la aplicación de la Ley Orgánica 7/2021, que regula el tratamiento de datos por las autoridades competentes para fines policiales.
Esta norma exige que todo tratamiento respete principios como:
- Limitación de la finalidad.
- Minimización de datos.
- Exactitud.
- Proporcionalidad.
- Conservación limitada.
Además, debe interpretarse conjuntamente con:
- El artículo 18.4 de la Constitución Española.
- Los artículos 7 y 8 de la Carta de Derechos Fundamentales de la Unión Europea.
¿Quién asumiría la responsabilidad?
Uno de los aspectos más relevantes es que, si finalmente se apreciara una incompatibilidad con el Derecho europeo, la responsabilidad recaería sobre la Administración Pública responsable del diseño y funcionamiento del Registro, y no sobre hoteles, agencias de viajes u otros operadores que únicamente cumplen una obligación legal.
Claves para las organizaciones.
Aunque el procedimiento se dirige contra el Estado, supone un importante recordatorio para cualquier organización que trate datos personales:
- La recopilación masiva requiere una justificación especialmente sólida.
- Cuanto mayor sea el volumen de datos tratados, mayores deberán ser las garantías de trazabilidad, auditoría y supervisión.
- Seguridad pública y protección de datos no son conceptos incompatibles; el reto consiste en mantener un equilibrio respetando los derechos fundamentales.
Nuestra valoración.
Este procedimiento puede convertirse en uno de los expedientes europeos más relevantes sobre protección de datos y vigilancia estatal de los últimos años.
Más allá de una posible modificación del Registro de Viajeros, el caso vuelve a reforzar un principio esencial del RGPD y de la jurisprudencia europea:
La recopilación de datos personales solo puede justificarse cuando sea estrictamente necesaria, proporcionada y acompañada de garantías suficientes para proteger los derechos de los ciudadanos.
