Bajo el paraguas de la seguridad ciudadana y seguridad pública recogidos en nuestra Constitución se aprobó la Ley Orgánica 4/2015, de 30 de marzo de protección de la seguridad ciudadana. Su finalidad principal es la protección de las personas y bienes, y el mantenimiento de la tranquilidad ciudadana.
Esta ley establece obligaciones generales de registro de clientes por parte de las empresas que se dediquen a prestar servicios de alojamiento y adquisición o uso de vehículos a motor, entre otros. El motivo es que los delincuentes, de manera habitual requieren de este tipo de servicios en su modus operandi para llevar a cabo acciones delictivas.
Con el objetivo de desarrollar y concretar los requerimientos de registro a este tipo de entidades, y con la finalidad de reforzar las obligaciones ya previstas en la normativa, se aprobó el Real Decreto 933/2021, de 26 de octubre. Este real decreto además de establecer los datos que las entidades obligadas deben recabar, regula el sistema de comunicación de la información al Ministerio del Interior. El texto legal entró en vigor a principios de 2022, salvo las obligaciones relativas a la comunicación de datos al Ministerio del Interior, cuya entrada en vigor se produjo el día 2 de enero de 2023.
Esta regulación ha sido muy controvertida en los sectores afectados que entienden que no es una normativa proporcional y que acarrea obligaciones de complicado cumplimiento. Debido a las quejas de los sectores afectados, y alegando problemas técnicos de la plataforma de comunicación de datos. se ha pospuesto en varias ocasiones la aplicación de esa norma. Finalmente, las autoridades competentes han decidido que deberá ser aplicada desde el próximo 2 de diciembre.
Riesgos en materia de privacidad
Entendemos que, además de las dificultades para el cumplimiento de esta normativa, que alegan los sectores afectados, debido. principalmente, a la alta carga administrativa que conlleva, existen importantes riesgos de privacidad para las personas físicas afectadas por la medida. Entre los datos personales que deben recabar las empresas hay algunos sobre los que hay consenso en cuanto a la necesidad de su solicitud (nombre completo, número de DNl, domicilio, etc.). No obstante, se obliga a recabar otros datos personales adicionales que podrían considerarse más invasivos e innecesarios, corno puede ser la relación de parentesco entre los viajeros cuando haya menores de edad y, especialmente, datos de pago (número de tarjeta, fecha de caducidad de la tarjeta o IBAN de cuentas bancarias).
Esto supone que todas las empresas obligadas por la normativa tratarán este tipo de datos personales, cuando, normalmente, su tratamiento lo llevan a cabo procesadores de pagos y entidades bancarias que cuentan con medidas de seguridad reforzadas, debido a la férrea normativa en materia de seguridad de la información que afecta a estos sectores. Además, no solo es necesario que las entidades obligadas recaben estos datos, sino que adicionalmente deben comunicarlos al Ministerio del Interior en el plazo máximo de 24 horas a través de una plataforma informática. Y no solo eso, sino que deben conservar estos datos durante un periodo de tres años, lo que hace que los riesgos aumenten más aún si cabe.
La normativa vigente en materia de protección de datos establece como uno de sus principios fundamentales la minimización de datos. Esto supone que las entidades no pueden recabar más datos personales de los estrictamente necesarios para la finalidad para la que se recaban. Por tanto, la solicitud de esta gran cantidad de información puede entenderse como un choque frontal contra este principio. En este sentido, se debería haber realizado un análisis por parte del Gobierno en relación con la adecuación del Real Decreto 933/2021 a este principio, entendiendo que existen medios menos intrusivos para garantizar la seguridad ciudadana.
Esta situación provoca un doble riesgo para las personas físicas afectadas. Por un lado, el propio tratamiento de este tipo de datos, por parte de las entidades obligadas, podría suponer que los empleados de estas organizaciones realicen un uso inadecuado de ellos (especialmente de los datos de los medios de pago).
Por otro lado, se debe tener en cuenta que el número de ciberincidentes que sufren las organizaciones aumenta exponencialmente año tras año. por lo que el tratamiento de este tipo de datos hace que los riesgos para la seguridad de los usuarios en este sentido sean mayores. Si se multiplican las localizaciones de este tipo de datos personales, los riesgos de seguridad de la Información aumentan, especialmente cuando una parte importante de los sujetos obligados son empresas que no pueden garantizar la implantación de medidas de seguridad acordes con el tratamiento de datos tan sensibles.
Consecuencias del incumplimiento
Los sujetos obligados deberán adecuar sus procedimientos de gestión y medidas de seguridad en el tratamiento de datos personales con celeridad, debido a que se encuentran expuestas a importantes sanciones. Por un lado, los Incumplimientos de esta normativa (no disponer de registros, no realizar las comunicaciones, incluir en los registros datos inexactos, etc.) pueden acarrear sanciones de hasta 30.000 euros en función de la gravedad del incumplimiento. Por otro lado, deberán tener en cuenta que el incumplimiento de las disposiciones del Reglamento Europeo de Protección de Datos, como pudiera ser la falta de adopción de medidas de seguridad adecuadas podría suponer sanciones de hasta 20.000.000 de euros, o hasta el 4% del volumen de negocio total anual.
Por Juan Manuel Valiente, Responsable del área jurídica de Secure&IT