El Informe 0076/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la seguridad que debe implementarse en los sistemas automatizados de reservas que contienen datos del PNR (Passenger Name Record). Estos sistemas incluyen información sensible, como datos de salud y creencias religiosas, que pueden derivarse de campos como la solicitud de menús especiales o servicios de movilidad reducida.
El informe destaca que los datos del PNR pueden contener información identificativa, financiera, itinerarios, y datos sensibles como la salud y las creencias religiosas. Según el Grupo de Trabajo del artículo 29 de la Directiva 95/46/CE, estos datos son especialmente protegidos y su tratamiento está restringido, requiriendo consentimiento explícito o autorización legal.
El artículo 81 del Reglamento de desarrollo de la Ley Orgánica 15/1999 establece que los ficheros con datos especialmente protegidos deben implementar medidas de seguridad de nivel alto. Sin embargo, existen excepciones que permiten medidas de seguridad básicas en ciertos casos, como cuando los datos se utilizan para transferencias dinerarias o cuando se tratan datos de discapacidad para cumplir con deberes públicos.
El informe analiza la aplicabilidad de estas excepciones al caso de los datos de pasajeros con movilidad reducida y la solicitud de menús especiales. Concluye que, aunque los datos de salud relacionados con la movilidad reducida pueden estar sujetos a medidas de seguridad básicas si se cumplen ciertos requisitos legales, los datos relacionados con creencias religiosas, como la solicitud de comida Kosher, requieren medidas de seguridad de nivel alto debido a la naturaleza automatizada del sistema.
Finalmente, el informe sugiere que, si es posible, el dato de solicitud de comida Kosher debería segregarse del resto del sistema de información de reservas para aplicar las medidas de seguridad correspondientes, según lo permitido por el artículo 81.8 del reglamento. Esto permitiría cumplir con las exigencias de protección de datos sin afectar la seguridad del sistema en su totalidad.