El informe jurídico de la Agencia Española de Protección de Datos (AEPD) con referencia 0099/2020 aborda la modificación de la Orden INT/1922/2003, que regula los libros-registro y partes de entrada de viajeros en establecimientos de hostelería. Esta orden se basa en el artículo 25.1 de la Ley Orgánica 4/2015 de Protección de la Seguridad Ciudadana y en el Convenio de aplicación del Acuerdo de Schengen.
La AEPD destaca que los tratamientos de datos impuestos por esta orden están amparados por el artículo 6.1 c) del Reglamento General de Protección de Datos (RGPD), ya que constituyen una obligación legal. Sin embargo, señala que la norma no contiene disposiciones específicas permitidas por el RGPD para adaptar la aplicación del reglamento a dicho tratamiento. El Tribunal Constitucional ha establecido que cualquier injerencia estatal en derechos fundamentales, como el derecho a la protección de datos, debe estar claramente habilitada por una ley que exprese todos los presupuestos y condiciones de la intervención.
El informe también analiza las modificaciones propuestas en el proyecto de orden, como la posibilidad de recoger la firma en soporte digital y la adaptación del formato del libro-registro. La AEPD considera conforme con el principio de minimización de datos el plazo de conservación de tres años, pero subraya que los interesados deben tener acceso a una copia del documento que firman, ya sea en papel o digitalmente. Esto se alinea con el derecho de información del interesado establecido en el artículo 13 del RGPD.
En cuanto al modelo de anexo, la AEPD señala que debe hacerse referencia explícita a la sustitución del anexo actual por el nuevo. Además, el anexo debe incluir toda la información necesaria para garantizar un tratamiento de datos leal y transparente, conforme a los artículos 13.1 y 13.2 del RGPD. La AEPD sugiere que se utilice la información por capas, proporcionando primero información básica y luego permitiendo el acceso a la información completa.
Finalmente, el informe aborda el tratamiento posterior de datos por parte de las Fuerzas y Cuerpos de Seguridad del Estado (FyCSE). La AEPD considera que la finalidad y los objetivos del tratamiento de datos por las FyCSE deben estar claramente definidos y limitados a fines de investigación de infracciones penales. Se debe establecer reglas claras y precisas, así como garantías suficientes, para proteger los datos personales de los interesados contra posibles abusos.
En resumen, el informe de la AEPD subraya la necesidad de que las modificaciones propuestas en la orden sean conformes con el RGPD y con los principios de protección de datos, asegurando que los interesados tengan acceso a la información necesaria y que sus datos sean tratados de manera proporcional y con las garantías adecuadas.