Del billete de avión a tu Facebook: el registro de pasajeros español “viola tu privacidad”

Por C. Otto

El Gobierno almacenará nuestro nombre, DNI, email, tarjeta de crédito, redes sociales y toda la información nuestra que haya en internet. Muchos creen que estamos ante el nuevo Gran Hermano.

2018 será el año en que los ciudadanos europeos veremos cómo nuestros gobiernos no solo almacenan los datos de nuestros billetes de avión, sino que además los cruzarán con toda la información que haya disponible en internet sobre nosotros. Ayer el Consjero de Ministros inició el trámite para poner en marcha el Passenger Name Report (PNR), un sistema que llegará a nuestras vidas este año y que tienen una fecha límite para su aprobación el próximo 25 de mayo.

Los argumentos del Gobierno están claros: el PNR servirá para luchar contra el terrorismo y los delitos graves. Sin embargo, este sistema no solo almacenará nuestro nombre, apellidos y DNI, sino también nuestra tarjeta de crédito, correo electrónico, perfiles en redes sociales, publicaciones ‘online’ y, básicamente, toda aquella información que el Gobierno, ‘big data’ mediante, sea capaz de encontrar sobre cada uno de nosotros, seamos o no sospechosos de terrorismo. Muchas son las voces que consideran el PNR una vulneración de la privacidad y una forma de espiar nuestros datos. ¿Por qué?

Así funcionará el PNR en España

El PNR, cuyo idea surgió a nivel mundial tras el 11S y ha ido cobrando fuerza tras los atentados yihadistas en Europa, ha pegado un esprint en los tres últimos años. El Gobierno de Rajoy sacó a concurso su desarrollo el 3 de febrero de 2015, muy pocas horas después de la firma del pacto antiyihadista.

En el pliego de contratación, adjudicado a Indra por 1,39 millones de euros, el Gobierno asegura que el sistema “gestionará los datos del PNR proporcionados por las aerolíneas y será capaz de cruzarlos con otro tipo de formatos de los existentes en las diferentes bases de datos”, una tarea para la que se “buscará y analizará datos, tanto estructurados como no estructurados, procedentes de distintas fuentes”.

 Pliego de contratación.
Pliego de contratación.

Pero, ¿qué datos van a ser exactamente los que se recopilen? Lo cierto es que las aerolíneas no solo atesorarán la información básica y esperable (pasaporte o DNI), sino también aquella que suele intervenir en la compra de un billete: tarjeta de crédito, dirección física, dirección de correo electrónico o incluso número de teléfono móvil.

Para cruzar esta información con la disponible en internet, Indra “deberá proveer de un sistema de información de fuentes abiertas, principalmente de redes sociales, las cuales están accesibles en las redes de forma que una persona puede acceder a ellas mediante la utilización de cualquier buscador”. Entre ellas menciona a Twitter, Tumblr, Linkedin, Instagram, Youtube o todo tipo de comentarios en foros o blogs. Todo ello con un doble objetivo: por un lado, “hacer el seguimiento de la utilización inusual de redes sociales abiertas”; por otro, “identificar el perfil demográfico y sociológico de los pasajeros“.

 Pliego de contratación.
Pliego de contratación.

“Quieren crear perfiles ideológicos”

El registro de pasajeros no las tiene todas consigo, a tenor de lo que nos cuentan tres abogados españoles especializados en tecnologia y protección de datos. Para Samuel Parra, “es una forma de vulnerar la privacidad de los usuarios y de espiar sus datos. Si coges los datos de un pasajero y además los cruzas con toda la información que hay sobre él en internet, puedes llegar a saber su orientación sexual, su ideología política, su religión… Al final acabas creando una lista de perfiles ideológicos muy peligrosa”.

En su opinión, el PNR “convierte a cualquier ciudadano en presunto culpable. Podría entender que hagan esto con las personas que hayan sido fichadas o que sean sospechosas de actos de terrorismo, pero esto afecta a todos. Los países podrán cruzar los datos y crear un perfil ideológico de cada persona”.

Esa base de datos será ‘hackeada’ seguro, imagínate lo valioso que puede ser algo así. Alguien la ‘hackeará’ y estará disponible

Y es que “al final esto afecta a cualquier ciudadano, al que se le dice que ‘esté tranquilo si no tiene nada que ocultar'”, añade Sergio Carrasco: “Se da la justificación de la lucha contra el terrorismo y se recurre a la falsa dicotomía entre seguridad y privacidad, pero no todo vale”.

Además, Samuel Parra ve un peligro inminente: “Una base de datos muy completa, a nivel internacional, almacenada de manera centralizada… Esa base de datos será ‘hackeada’ seguro. Ninguna base de datos es segura al 100%, e imagínate lo valiosa que puede ser una así. Antes o después, alguien la va a ‘hackear’ y estará disponible para cierta gente”.

“Recoger esos datos puede ser inconstitucional”

También se muestra frente al PNR Carlos Sánchez Almeida, quien duda incluso de su legalidad: “El artículo 7.4 de la Ley de Protección de Datosprohíbe crear base de datos ideológicas. Habrá que ver si la nueva norma puede ser inconstitucional, y en tal caso podría ser recurrida”, asegura.

Tampoco descarta esta opción Sergio Carrasco: “Podríamos entender que la directiva europea ampara este tratamiento de datos, pero ello no implica que sea realmente acorde al ordenamiento”. No sería la primera vez que ocurre algo así: “En su momento, la directiva de conservación de datos ya fue anulada posteriormente”.

El plazo para instaurar el PNR acaba el mismo día que entra en vigor el nuevo reglamento de protección de datos

Samuel Parra, de hecho, va más allá: “No lo dudes: antes o después la normativa será recurrida y no hay que descartar que sea declarada ilegal. Este tipo de normativas se recurren con frecuencia y, viendo lo que contiene, no me extrañaría que se tuviera que acabar modificando”.

De hecho, Parra observa una coincidencia sospechosa: “Si te fijas, la Unión Europea ha fijado el 25 de mayo de 2018 como fecha límite para que los países hagan la trasposición del funcionamiento del PNR. Curiosamente ese es el día en que entrará en vigor el nuevo reglamento de protección de datos, y resulta que, antes de que entre en vigor, cada país habrá implantado ya la normativa del PNR. A lo mejor casualidad, pero resulta curioso“.

Artículo 7.4 de la Ley de Protección de Datos.
Artículo 7.4 de la Ley de Protección de Datos.

“Se busca la seguridad de los ciudadanos”

Desde el Gobierno se quita hierro al asunto. En palabras del Ministerio del Interior a instancias de este periódico, el Ejecutivo de Rajoy asegura que no pretende ir más allá de “la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves“.

El objetivo, por tanto, es “elevar los niveles de seguridad de los ciudadanos de la Unión Europea” e “incorporar nuevas herramientas para combatir la amenaza del terrorismo y el crimen organizado”.

El Gobierno asegura que quiere “elevar la seguridad de los ciudadanos de la UE” y combatir “el terrorismo y los delitos graves”

Además, desde Interior se asegura que “el envío de datos PNR o el resultado de su tratamiento se realizará utilizando unos formatos determinados y según los protocolos definidos en la normativa europea, garantizándose la protección de datos de carácter personal“.

Para ello, el Gobierno “ha designado la Unidad de Información sobre Pasajeros española, dependiente del Centro de Inteligencia contra el Terrorismo y el Crimen Organizado (CITCO)”, como “única unidad encargada de recoger y tratar los datos de los pasajeros“.

836 enmiendas en toda Europa

Los tres abogados con los que hemos hablado en este reportaje no son los únicos que plantean serias dudas sobre el funcionamiento del Passenger Name Report. A nivel europeo tampoco hay unanimidad a la hora de apoyar esta medida.

Cuando la UE empezó a tramitar el desarrollo del PNR sufrió varios retrasos. ¿El motivo? La iniciativa recibió nada menos que 836 enmiendas de todo tipo de colectivos, sobre todo aquellos que estaban preocupados por la privacidad de los usuarios y por el tipo de datos que cada uno de los países podría recopilar.

El PNR recibió 836 enmiendas de colectivos por la privacidad de los usuarios y por los datos que cada país puede recopilar

En cualquier caso, lo cierto es que la disposición general de la Unión Europea presenta una declaración de intenciones que no deja lugar a dudas. En la directiva publicada el 27 de abril de 2016, la UE obliga a todas las aerolíneas a recopilar y entregar estos datos, pero también abre la posibilidad de que cada país “establezca un mecanismo para recoger y tratar los datos PNR proporcionados por operadores económicos que no sean compañías aéreas, tales como agencias de viaje y operadores turísticos que prestan servicios relacionados con los viajes”.

No acaba ahí la cosa, ya que la Unión Europea también abre la puerta a que cada país pueda actuar de manera arbitraria y “aplicar el sistema a vuelos interiores de la UE seleccionados. Al adoptar tal decisión, el Estado miembro deberá elegir los vuelos que considere necesarios a fin de perseguir los objetivos [del PNR]”.

El debate, por tanto, se muestra polarizado. Por una parte, la Unión Europea y el Gobierno español aseguran que el registro de pasajeros no pretende ir más allá de prevenir actos terroristas; por otro, quienes critican esta norma aseguran que es inconstitucional, viola nuestra privacidad y servirá para crear perfiles ideológicos. La polémica está servida y no tiene pinta de acabar pronto.

enlace

-->
COLABORA CON KAOS