CRUZARÁ DATOS DE VIAJEROS Y REDES SOCIALES

Del billete de avión a tu muro de Facebook: España acelera su 'Gran Hermano' digital

¿Puede un Gobierno coger los datos de reserva de un billete de avión (email, teléfono...) y cruzarlos con tus publicaciones en redes sociales? El PNR lo permitirá en toda Europa.

Foto: Foto: EFE/Juan Carlos Hidalgo.
Foto: EFE/Juan Carlos Hidalgo.

"Espero que podamos aplicar el dicho de que no hay mal que por bien no venga". Quizá le suene la frase: la dijo el ministro del Interior, Jorge Fernández Díaz, tras los atentados terroristas de Bruselas.

La desafortunadísima frase ocasionó una gran polémica por su forma, pero no se indagó tanto en el fondo. Por aquel entonces, Fernández Díaz insistía de manera constante en que los países de la Unión Europea debían reforzar cuanto antes su seguridad, colaborar entre ellos y aumentar el nivel de vigilancia en las comunicaciones para evitar posibles atentados.

En la mente y las palabras del ministro hay un término que, en los últimos años, se ha repetido sin parar: Passenger Name Record (Registro de Nombres de Pasajero), conocido y abreviado como PNR.

Objetivo: recopilar información sobre pasajeros

En su concepción original, surgida a nivel mundial tras los atentados del 11-S en Estados Unidos, el PNR buscaba un objetivo medianamente claro: aumentar la vigilancia en los aeropuertos y, con la intención de evitar atentados terroristas, cruzar los datos de todos los pasajeros, independientemente de que fueran o no sospechosos de poder verse involucrados en este tipo de ataques. 

La iniciativa fue bien acogida por gran parte de los países de la Unión Europea, sobre todo los especialmente afectados por la posibilidad de sufrir ataques terroristas, entre los que se encuentra España. De hecho, el Gobierno de Rajoy sacó a concurso el desarrollo del sistema PNR en España el pasado 3 de febrero, apenas unas horas después de firmar el pacto antiyihadista con Pedro Sánchez

Los atentados de Bruselas volvieron a poner en marcha el sistema PNR. (Reuters)
Los atentados de Bruselas volvieron a poner en marcha el sistema PNR. (Reuters)

Sin embargo, la cosa no fue tan rápida como el Gobierno quería: la normativa que había sido propuesta en la Unión Europea recibió nada menos que 836 enmiendas, sobre todo por parte de colectivos de protección de datos, que ejercieron airadas críticas ante la tipología de datos que los gobiernos podrían recopilar de sus ciudadanos y el tiempo de permanencia de esos datos en su poder.

Por ello, la UE acabó paralizando permanentemente el proceso... hasta los atentados de Bruselas. Fue entonces cuando, con las enmiendas en la mano, el Consejo Europeo redactó una nueva normativa para los países que deben acogerse al sistema PNR.

Lo que dice Europa... y lo que hará España

La directiva europea fue publicada oficialmente el pasado 27 de abril, y en ella se intenta paliar la 'agresividad' del texto inicial y procurar que, pese a que los estados estén autorizados para recopilar según qué información de los pasajeros que entren en la Unión Europea o salgan de ella, los ciudadanos puedan seguir optando a unos criterios mínimos de privacidad y protección de datos.

En la normativa, la UE insta a las aerolíneas a facilitar a los estados, de manera automática y obligatoria, todos los datos que han recopilado de un pasajero desde que reserva un billete hasta que sale del avión. Entre estos datos no sólo se incluyen los obvios (pasaporte o DNI), sino también todos aquellos que suelen intervenir en la gestión de compra de un billete: número de tarjeta de crédito, dirección física, dirección de correo electrónico o incluso número de teléfono móvil.

La transmisión de estos datos es "obligatoria para todas las compañías aéreas". En caso de no hacerlo, "los Estados miembros deben imponer sanciones efectivas, proporcionadas y disuasorias, incluidas las pecuniarias, a las compañías aéreas que incumplan sus obligaciones". 

Las aerolíneas darán a los gobiernos los datos recopilados: identidad, email, número de teléfono...

Además, la normativa no sólo se limita a las aerolíneas, ya que abre la posibilidad de que cada país "establezca en su derecho nacional un mecanismo para recoger y tratar los datos PNR proporcionados por operadores económicos que no sean compañías aéreas, tales como agencias de viaje y operadores turísticos que prestan servicios relacionados con los viajes".

Por otro lado, y pese a que el sistema PNR estaba pensando sólo para las personas que llegasen a la UE o saliesen de ella, al final la normativa europea permite que cada Gobierno pueda "aplicar el sistema a vuelos interiores de la UE seleccionados. Al adoptar tal decisión, el Estado miembro deberá elegir los vuelos que considere necesarios a fin de perseguir los objetivos [del PNR]".

La normativa permite que los estados accedan hasta al número de teléfono de un pasajero que coja un vuelo, por ejemplo, a Londres. (Reuters)
La normativa permite que los estados accedan hasta al número de teléfono de un pasajero que coja un vuelo, por ejemplo, a Londres. (Reuters)

En cualquier caso, y ante las múltiples quejas por la recopilación de según qué datos, la Unión Europea asegura que los datos PNR se podrán conservar "durante un máximo de cinco años" y que este sistema "debe garantizar el pleno respeto de los derechos fundamentales y el derecho a la intimidad, así como el principio de proporcionalidad".

España cruzará los datos con las redes sociales

Sin embargo, la aparente mesura del texto europeo, que sirve como punto de partida para la legislación que vaya implantando cada país, contrasta de manera significativa con las acciones que pretende llevar a cabo España.

Según el pliego de contratación del sistema PNR en España, que ha sido adjudicado a Indra por 1,39 millones de euros, el Gobierno de Rajoy asegura que dicho sistema "gestionará los datos del PNR proporcionados por las aerolíneas y será capaz de cruzarlos con otro tipo de formatos de los existentes en las diferentes bases de datos", una tarea para la que se "buscará y analizará datos, tanto estructurados como no estructurados, procedentes de distintas fuentes".

 

Pero, ¿qué fuentes son esas? Según el pliego, Indra "deberá proveer de un sistema de información de fuentes abiertas, principalmente de redes sociales, las cuales están accesibles en las redes de forma que una persona puede acceder a ellas mediante la utilización de cualquier buscador". 

De hecho, el Gobierno llega a nombrar diversas redes sociales, como Twitter, Tumblr, Linkedin, Instagram, Youtube o todo tipo de comentarios en foros o blogs. Todo ello con un doble objetivo: por un lado, "hacer el seguimiento de la utilización inusual de redes sociales abiertas"; por otro, "identificar el perfil demográfico y sociológico de los pasajeros".

¿Por qué el Gobierno puede tener mi email?

El asunto, como decimos, resulta polémico. Por dos motivos: en primer lugar, por la decisión de a qué ciudadanos se vigila y a cuáles no; en segundo, por el tipo de datos que van a ser recopilados.

En cuanto a los ciudadanos a vigilar, la UE reconoce en su directiva que "la evaluación de los datos PNR permite la identificación de personas no sospechosas de estar implicadas en delitos de terrorismo o en delitos graves antes de que un análisis de sus datos PNR indique que puedan estar implicadas en los mismos". Sin embargo, "para garantizar que el tratamiento de datos se limite a lo necesario, el establecimiento y la aplicación de criterios de evaluación debe limitarse a los delitos de terrorismo y a la delincuencia grave para las que es pertinente el uso de esos criterios. Deben definirse, por otra parte, los criterios de evaluación de tal manera que el sistema señale al menor número posible de personas inocentes".

¿Cuál es el problema? Que España no ha establecido ningún tipo de definición para saber qué tipología de ciudadanos puede ser sospechosa y cuál no, con lo que la puerta abierta es más que polémica.

El PNR considera a todos los ciudadanos 'sospechosos permanentes' que deben ser vigilados

Así lo considera el abogado Samuel Parra, para quien "no hay una definición de sospechoso ni hay necesidad de definirlo porque todos somos sospechosos. Ahora mismo se recoge información de todos los pasajeros de un vuelo y, en teoría, sólo si un pasajero encaja dentro de unos criterios predeterminados (criterios que se desconocen), podrá ser objeto de una inspección, evaluación o análisis pormenorizado", asegura.

De hecho, "la Directiva europea deja abierta una puerta a poder incluir casi cualquier dato en el PNR, pues en el listado de los datos que se deberán facilitar se incluye uno denominado 'Observaciones generales', que no vienen concretadas y que pueden ser cualquier cosa", asegura. 

Para el abogado, esta normativa "considera a todos los ciudadanos 'sospechosos permanentes' que deben ser vigilados en su vida diaria y cotidiana; retención de datos de las telecomunicaciones, conversaciones telefónicas, etc, y ahora todos nuestros movimientos en viajes por avión. Se está fiscalizando al ciudadano como nunca antes se ha hecho".

"Con el email, ya puede ubicarte en redes sociales"

Samuel Parra nos pone un ejemplo práctico: "Uno de los datos que se incluyen en el PNR es el correo electrónico del viajero; si el viajero ha comprado un billete online y ha facilitado su email, este dato será incorporado al PNR junto con el resto de datos. De esta forma, los Estados tendrán una base de datos estupenda que asociará información veraz y fiable sobre la identidad de una persona junto con información que, en principio, un Estado desconoce de su ciudadano, como es el email".

Así pues, "ahora que tiene el email del viajero, al Estado no le costará ubicarlo en las diferentes redes sociales que utilice. Y esto si hablamos de un país de la UE; si nos vamos a Estados Unidos, dado el nivel de cooperación que hay entre las redes sociales y su gobierno, en un momento tendrán un registro de las redes sociales de todos los viajeros, haciendo un simple cruce de información".

El Estado asociará la dirección de correo con la que se compra un billete a la persona que lo adquiere.
El Estado asociará la dirección de correo con la que se compra un billete a la persona que lo adquiere.

A Parra, por tanto, el cruce de datos no le tranquiliza nada: "Si el Gobierno tiene en su mano la posibilidad de cruzar información sobre los ciudadanos, no tengo la menor duda de que lo hará, y buen ejemplo de esto lo tenemos en el pliego de contratación del sistema PNR, que ya habla de poder obtener información de redes sociales, registros de centros de llamadas o incluso notas clínicas de un médico", asegura.

"Un software no debe crear perfiles ideológicos"

Samuel Parra no es el único abogado que duda (y mucho) del sistema PNR. Para Carlos Sánchez Almeida, "el mayor problema del PNR es la trasposición de la directiva europea a la ley al respecto que haga España", que deberá ser redactada y aprobada antes del 25 de mayo de 2018.

Frente a las disposiciones medianamente genéricas que establece la directiva europea, Sánchez Almeida ve con preocupación que el Gobierno de España reconozca en su propio pliego de contratación que cruzará los datos con los existentes en redes sociales para establecer "perfiles sociológicos".

La normativa propuesta en la Unión Europea recibió nada menos que 836 enmiendas, sobre todo por parte de colectivos de protección de datos

"Lo que hace esto es despersonalizar una investigación", asegura el abogado. "Cuando se investiga a una persona se hace un labor judicial y, por tanto, humana. Sin embargo, en este caso esa tarea de creación de perfiles la va a hacer un 'software', con lo que estamos deshumanizando un proceso tan delicado como es una investigación. No podemos apartar a los jueces de algo así".

La AEPD, a expensas de la legislación

Como decíamos antes, gran parte de la oposición al sistema PNR no procede de colectivos privados ni aislados, sino, en muchos casos, de colectivos públicos de protección de datos. 

Es el caso del GT29, el colectivo que aúna a gran parte de las agencias de protección de datos de los países de la UE, que en su momento se mostraron muy en contra de los textos preliminares del sistema PNR.

"La tarea de creación de perfiles la va a hacer un 'software', con lo que estamos deshumanizando un proceso tan delicado como es una investigación", asegura Sánchez Almeida.

La Agencia Española de Protección de Datos (AEPD), que pertenece al GT29, por ahora se muestra cauta. En declaraciones a Teknautas, recuerda que "la Directiva aprobada por la UE requiere de la trasposición a los ordenamientos jurídicos nacionales por lo que, antes de proceder a su valoración, es necesario esperar a que se produzca esa trasposición a la legislación nacional".

Desde la AEPD aseguran que, "en principio, no está ni a favor ni en contra de esquemas de recogida de datos de viajeros del tipo PNR. Sin embargo, es imprescindible respetar el principio de proporcionalidad, ofreciendo suficientes salvaguardas de protección de datos tanto en la recogida como en el uso subsiguiente de los datos".

En definitiva, ¿se tratará de una medida necesaria y que consiga reforzar la lucha contra el terrorismo? ¿O una gran oportunidad para fiscalizar más la conducta de los ciudadanos y atravesar las barreras de su privacidad? El tiempo lo dirá, aunque, con los retrasos que ha venido sufriendo el sistema PNR, parece evidente que su recopilación de datos, como mínimo, no tranquiliza a casi nadie.

¿Qué datos recopilan las aerolíneas?

1. Localizador de registro PNR
2. Fecha de reserva/emisión del billete
3. Fecha(s) fechas de viaje prevista(s)
4. Nombre y apellidos
5. Dirección y datos de contacto (número de teléfono, dirección de correo electrónico)
6. Todos los datos de pago, incluida la dirección de facturación
7. Itinerario completo del viaje para el PNR específico
8. Información sobre viajeros asiduos
9. Agencia de viajes/operador de viajes
10. Situación de vuelo del pasajero: confirmaciones, facturación, no comparecencia o pasajeros de última hora sin reserva
11. Información PNR escindida/dividida
12. Observaciones generales (incluida toda la información disponible sobre menores de 18 años no acompañados)
13. Información sobre el billete, incluidos el número del billete, la fecha de emisión, los billetes solo de ida y la indicación de la tarifa de los billetes electrónicos
14. Datos del asiento, incluido el número
15. Información sobre códigos compartidos
16. Toda la información relativa al equipaje
17. Número de viajeros y otros nombres de viajeros que figuran en el PNR
18. Cualquier información recogida en el sistema de información anticipada sobre los pasajeros (sistema API)

Tecnología

El redactor recomienda

Escribe un comentario... Respondiendo al comentario #1
1comentario
Por FechaMejor Valorados
Mostrar más comentarios