El informe jurídico de la Agencia Española de Protección de Datos (AEPD) analiza el Anteproyecto de Ley que modifica el Texto Refundido de la Ley General para la Defensa de los Consumidores y Usuarios, con el objetivo de trasponer la Directiva 2015/2302 del Parlamento Europeo y del Consejo relativa a los viajes combinados y servicios de viaje vinculados. Este anteproyecto introduce un nuevo Libro Cuarto en la ley, regulando aspectos como el contenido de los contratos, las modificaciones y terminaciones, la ejecución del contrato, y las garantías para los viajeros.
El informe destaca que el anteproyecto no introduce novedades específicas en materia de protección de datos, ya que los sujetos involucrados en la relación contractual (organizadores, minoristas y terceros) ya están sujetos a la normativa vigente en protección de datos. Esto se alinea con el Reglamento General de Protección de Datos (RGPD) de la UE, que será plenamente aplicable a partir del 25 de mayo de 2018.
El artículo 153.1 del Texto Refundido, modificado por el anteproyecto, establece que antes de que el viajero quede obligado por cualquier contrato de viaje combinado, el organizador y el minorista deben proporcionar información normalizada relativa al viaje. Además, el artículo 153.2 impone deberes de información a los organizadores y empresarios a los que se transmiten los datos.
El informe subraya la importancia de cumplir con el deber de información establecido en la Ley Orgánica 15/1999 y en el RGPD. Esto incluye informar al interesado sobre la identidad del responsable del tratamiento, los fines del tratamiento, los destinatarios de los datos, y los derechos del interesado, entre otros aspectos.
El Proyecto de Ley Orgánica de protección de datos, aprobado por el Consejo de Ministros el 10 de noviembre de 2017, también se refiere al deber de información al interesado. Este proyecto establece que, en ciertos casos, el responsable del tratamiento puede cumplir con el deber de información facilitando al afectado una información básica y proporcionando una dirección electrónica u otro medio para acceder a la información completa.
El informe concluye que el anteproyecto debe tener en cuenta la obligación de informar al interesado según la normativa vigente en materia de protección de datos. Por ello, se propone la adición de una nueva letra i) al artículo 153.1, que haga referencia a «la información exigida por la normativa vigente en materia de protección de datos de carácter personal». Esta adición garantizaría que los sujetos involucrados cumplan con todas las obligaciones legales en materia de protección de datos.