El informe jurídico de la Agencia Española de Protección de Datos (AEPD) analiza un proyecto de ley que regula el régimen de registro y comunicación de datos personales relacionados con actividades relevantes para la seguridad ciudadana, como el hospedaje y el alquiler de vehículos. Este proyecto se enmarca en el artículo 25.1 de la Ley Orgánica 4/2015, que establece obligaciones de registro documental e información para diversas actividades comerciales y de servicios.
El proyecto impone a los establecimientos de hospedaje y alquiler de vehículos la obligación de registrar y comunicar datos de los usuarios a las autoridades competentes. Estos datos incluyen información personal y detalles de las transacciones, como datos de identidad, dirección, teléfono, correo electrónico, y detalles del contrato y pago. La AEPD destaca que estos tratamientos deben cumplir con el Reglamento General de Protección de Datos (RGPD) y la Directiva (UE) 2016/680, aunque esta última aún no ha sido traspuesta al derecho español.
El informe subraya la necesidad de una base legal adecuada para el tratamiento de datos, que se encuentra en la Ley Orgánica 4/2015 y en el Convenio de Schengen. Sin embargo, también se cuestiona si el tratamiento de datos propuesto cumple con los principios de minimización y limitación del plazo de conservación establecidos en el RGPD. La AEPD considera que el proyecto debe incluir una evaluación de impacto en la protección de datos para justificar la necesidad de recoger y comunicar todos los datos mencionados.
Además, el informe señala la necesidad de clarificar quiénes son las «autoridades competentes» destinatarias de los datos y si el acceso general del Defensor del Pueblo a estos datos está justificado. También se menciona la importancia de contar con la debida legitimación para la interconexión de bases de datos policiales y la necesidad de modificar el artículo 7.3 del proyecto para reflejar la normativa vigente sobre protección de datos.
En resumen, el informe de la AEPD destaca la importancia de asegurar que el proyecto de ley cumpla con las normativas de protección de datos, especialmente en lo que respecta a la minimización de datos y la clarificación de las autoridades destinatarias. Se recomienda realizar una evaluación de impacto y ajustar el texto para reflejar adecuadamente la normativa vigente.