«El nuevo registro de viajeros es excesivo y muy peligroso, todos esos datos van a ser robados»

«No es prudente registrar toda esa información junta». Es una de las conclusiones que Luis Corróns, experto en ciberseguridad de Gen Digital (empresa que agrupa marcas de seguridad digital tan conocidas como Avast o Norton), extrae al analizar el nuevo registro de viajeros que, si no hay cambios, los alojamientos y otros negocios del sector turístico tendrán que implantar el próximo 2 de diciembre. Hoteles y demás deberán registrar unos cuarenta datos del cliente tan sensibles como su fecha de nacimiento, su residencia habitual, teléfono, correo electrónico, datos de tarjeta o cuenta bancaria, para luego proporcionárselos a las fuerzas de seguridad. «Una ficha tan completa permitiría un robo de identidad fantástico, y daría a los ciberdelincuentes material para ataques muy dirigidos con los que extorsionar a las víctimas o hacerse con lo poco que no pide ese cuestionario, que es el código de seguridad de la tarjeta y la contraseña del correo. Con eso ya te roban tu vida digital completa», añade Corróns.

Además de alertar del perfil tan exhaustivo que dibujan los datos exigidos, el experto añade que al cederlos en tantos establecimientos, se multiplican las opciones de que sean robados. «Eso va a pasar. Este año, dentro de dos o de cinco, pero los van a robar. En la última década todas las grandes cadenas hoteleras han sufrido ataques y les han robado los datos de millones de clientes que luego se han puesto a la venta en la internet oscura. La experiencia nos dice que ha sucedido y que sucederá», vaticina. Y si evitar brechas de seguridad es difícil para las empresas grandes, que invierten cantidades importantes de dinero en seguridad informática, es aún más complicada para los pequeños negocios, incluso en pisos alquilados a viajeros por particulares, pues el registro es obligatorio para todos.

«Esta nueva norma impone tal cantidad de exigencias que será difícil de implementar, especialmente para los pequeños y medianos establecimientos», considera también Ernesto Muñoz Corral, experto en Derecho digital y protección de datos y abogado socio de Picón y Asociados. Con todo, recuerda que los deberes legales de custodia de los negocios no se modifican, pues ya estaban obligados a guardar de modo seguro los datos que recogían hasta ahora «estableciendo en sus sistemas informáticos las oportunas medidas de seguridad». Las críticas, sin embargo, se centran en que al obtenerse más datos de los viajeros se incrementa el peligro de que más cantidad de información quede expuesta o sea tratada de modo ilegal. Los datos, además, deberán ser conservados durante un plazo de tres años.

Dudas sobre su justificación

Más allá de los problemas de ciberseguridad, los expertos en protección de datos dudan de que el aumento de los datos exigidos esté suficientemente justificado. «Aunque los fines que se alegan —la seguridad ciudadana y la lucha contra el terrorismo— son especialmente relevantes, los datos no se recaban en el marco de una investigación concreta, la prevención de un delito concreto o un peligro específico, sino que se obtienen preventivamente de todos los ciudadanos, sean o no sospechosos o peligrosos», argumenta Muñoz Corral. Entiende el abogado que en el marco de una investigación concreta deben obtenerse todos los datos necesarios, «pero parece desproporcionado exigir que se obtenga esta información de todos y cada uno de los huéspedes, con carácter preventivo».

«El nuevo registro tiene un encaje dudoso con el Reglamento Europeo de Protección de Datos, que es del que emana la ley española», estima Alicia Piña, gerente de Aligale Abogados. Y es que ese reglamento comunitario obliga a cumplir el llamado principio de minimización, es decir, garantizar que únicamente se piden los datos indispensables al fin que se persigue. «¿En este caso nos estamos ciñendo a lo indispensable? Tengo mis dudas. Parece que pedir tanta información choca con el principio de proporcionalidad. Es cuestionable si toda es información es necesaria, si hay base legal para pedirla, porque no es una situación transitoria, sino que lo establece como requisito permanente para disfrutar de un simple servicio», explica esta experta en protección de datos.

Piña pone en duda, incluso, la efectividad que recabar esa información pueda tener para mejorar la seguridad ciudadana: «Por un lado, la información proporcionada puede ser inexacta o directamente falsa. Pueden decir, por ejemplo, que el menor que acompaña al viajero es un hijo, pero no hay que enseñar un libro de familia que lo confirme. Pero además, al aumentar el volumen de información personal y los riesgos de custodia estamos exponiendo a los ciudadanos a más riesgos de los que hipotéticamente quiere evitar el legislador».

Respaldo de la AEPD

El catedrático de Derecho Constitucional de la USC, José Julio Fernández, también pone el foco en el principio de minimización, pero entiende el nuevo decreto debe estar bien fundamentado si cuenta con el respaldo de la Agencia Española de Protección de Datos (AEPD), que en el año 2018 informó favorablemente sobre el proyecto del real decreto que modifica el registro de viajeros. «Si ha emitido informe favorable, la AEPD debió entender justificado recabar todos esos datos. Aunque haya dudas de la legitimidad de la decisión, yo confío en la resolución de la agencia. De todos modos, se puede recurrir judicialmente, porque es una decisión administrativa, pero lo cierto es que es el órgano especializado en estas cuestiones», argumenta.

Recuerda Fernández, además, que España sigue en nivel 4 de alerta antiterrorista: «Vivimos en un mundo convulso, es fácil dar argumentos de seguridad nacional a una decisión porque se puede enmarcar en las graves amenazas que existen actualmente».