Del billete de avión a tu muro de Facebook: España acelera su 'Gran Hermano' digital
¿Puede un Gobierno coger los datos de reserva de un billete de avión (email, teléfono...) y cruzarlos con tus publicaciones en redes sociales? El PNR lo permitirá en toda Europa.
La desafortunadísima frase ocasionó una gran polémica por su forma, pero no se indagó tanto en el fondo. Por aquel entonces, Fernández Díaz insistía de manera constante en que los países de la Unión Europea debían reforzar cuanto antes su seguridad, colaborar entre ellos y aumentar el nivel de vigilancia en las comunicaciones para evitar posibles atentados.
En la mente y las palabras del ministro hay un término que, en los últimos años, se ha repetido sin parar: Passenger Name Record (Registro deNombres de Pasajero), conocido y abreviado como PNR.
Objetivo: recopilar información sobre pasajeros
Ensu concepción original, surgida a nivel mundial tras los atentados del 11-S en Estados Unidos, el PNR buscaba un objetivo medianamente claro: aumentar la vigilancia en los aeropuertos y, con la intenciónde evitar atentados terroristas, cruzar los datos de todos los pasajeros, independientemente de que fueran o no sospechosos de poder verse involucrados en este tipo de ataques.
Sin embargo, la cosa no fue tan rápida como el Gobierno quería: la normativa que había sido propuesta en la Unión Europea recibió nada menos que 836 enmiendas, sobre todo por parte de colectivos de protección de datos, que ejercieron airadas críticas ante la tipología de datos que los gobiernos podrían recopilar de sus ciudadanos y el tiempo de permanencia de esos datos en su poder.
Por ello, la UE acabó paralizando permanentemente el proceso... hasta los atentados de Bruselas. Fue entonces cuando, con las enmiendas en la mano, el Consejo Europeo redactó una nueva normativa para los países que deben acogerse al sistema PNR.
Loque dice Europa... y lo que hará España
La directiva europea fue publicada oficialmente el pasado 27 de abril,y en ella se intenta paliar la 'agresividad' del texto inicial y procurar que, pese a que los estados estén autorizados para recopilar según qué información de los pasajeros que entren en la Unión Europea o salgan de ella, los ciudadanos puedan seguir optando a unos criterios mínimos de privacidad y protección de datos.
En la normativa, la UE insta a las aerolíneas a facilitar a los estados, de manera automática y obligatoria, todos los datos que han recopilado de un pasajero desde que reserva un billete hasta que sale del avión. Entre estos datos no sólo se incluyen los obvios (pasaporte o DNI), sino también todos aquellos que suelen intervenir en la gestión de compra de un billete: número de tarjeta de crédito, dirección física, dirección de correo electrónico o incluso número de teléfono móvil.
La transmisión de estos datos es "obligatoriapara todas las compañías aéreas". En caso de no hacerlo, "los Estados miembros deben imponer sanciones efectivas, proporcionadas y disuasorias, incluidas las pecuniarias, a las compañías aéreas que incumplan sus obligaciones".
Las aerolíneas darán a los gobiernos los datos recopilados: identidad, email, número de teléfono...
Además, la normativa no sólo se limita a las aerolíneas, ya que abre la posibilidad de que cada país "establezcaen su derecho nacional un mecanismo para recoger y tratar los datos PNR proporcionados por operadores económicos que no sean compañías aéreas, tales como agencias de viaje y operadores turísticos que prestan servicios relacionados con los viajes".
Por otro lado, y pese a que el sistema PNR estaba pensando sólo para las personas que llegasen a la UE o saliesen de ella, al final la normativa europea permite que cada Gobierno pueda "aplicar el sistemaa vuelos interiores de la UE seleccionados. Al adoptar tal decisión, el Estado miembro deberá elegir los vuelos que considere necesarios a fin de perseguir los objetivos [del PNR]".
Encualquier caso, y ante las múltiples quejas por la recopilación de según qué datos, la Unión Europea asegura que los datos PNR se podrán conservar "durante un máximo de cinco años" y que este sistema "debe garantizar el pleno respeto de los derechos fundamentales y el derecho a la intimidad, así como el principio de proporcionalidad".
España cruzará los datos con las redes sociales
Sin embargo, la aparente mesura del texto europeo, que sirve como punto de partida para la legislación que vayaimplantando cada país, contrasta de manera significativa con las acciones que pretende llevar a cabo España.
Según el pliego de contratación del sistema PNR en España, que ha sido adjudicado a Indra por 1,39 millones de euros, el Gobierno de Rajoy asegura que dicho sistema "gestionará los datos del PNR proporcionados por las aerolíneas y será capaz de cruzarlos con otro tipo de formatos de los existentes en las diferentes bases de datos", una tarea para la que se "buscará y analizará datos, tanto estructurados como no estructurados, procedentes de distintas fuentes".
Pero, ¿qué fuentes son esas? Según el pliego, Indra "deberá proveer de un sistema de información de fuentes abiertas, principalmente de redes sociales, las cuales están accesibles en las redes de forma que una persona puede acceder a ellas mediante la utilización de cualquier buscador".
De hecho, el Gobierno llega a nombrar diversas redes sociales, como Twitter, Tumblr, Linkedin, Instagram, Youtube o todo tipo de comentarios en foros o blogs. Todo ello con un doble objetivo: por un lado,"hacer el seguimiento de la utilización inusual de redes sociales abiertas"; por otro, "identificar el perfil demográfico y sociológico de los pasajeros".
¿Por qué el Gobierno puede tener mi email?
El asunto, como decimos, resulta polémico. Por dos motivos: en primer lugar, por la decisión de a qué ciudadanos se vigila y a cuáles no; en segundo, por el tipo de datos que van a ser recopilados.
En cuanto a los ciudadanos a vigilar, la UE reconoce en su directiva que "la evaluación de los datos PNR permite la identificación de personas no sospechosas de estar implicadas en delitos de terrorismo o en delitos graves antes de que un análisis de sus datos PNR indique que puedan estar implicadas en los mismos". Sin embargo, "para garantizar que el tratamiento de datos se limite a lo necesario, el establecimiento y la aplicación de criterios de evaluación debe limitarse a los delitos de terrorismo y a la delincuencia grave para las que es pertinente el uso de esos criterios. Deben definirse, por otra parte, los criterios de evaluación de tal manera que el sistema señale al menor número posible de personas inocentes".
¿Cuál es el problema? Que España no ha establecido ningún tipo de definición para saber qué tipología de ciudadanos puede ser sospechosa y cuál no, con lo que la puerta abierta es más que polémica.
El PNR considera a todos los ciudadanos 'sospechosos permanentes' que deben ser vigilados
Así lo considera el abogado Samuel Parra, para quien "no hay una definición de sospechoso ni hay necesidad de definirlo porque todos somos sospechosos. Ahora mismo se recoge información de todos los pasajeros de un vuelo y, en teoría, sólo si un pasajero encaja dentro de unos criterios predeterminados (criterios que se desconocen),podrá ser objeto de una inspección, evaluación o análisis pormenorizado", asegura.
De hecho, "la Directiva europea deja abierta una puerta a poder incluir casi cualquier dato en el PNR, pues en el listado de los datos que se deberán facilitar se incluye uno denominado'Observaciones generales', que no vienen concretadas y que pueden ser cualquier cosa", asegura.
Para el abogado, esta normativa "consideraa todos los ciudadanos 'sospechosos permanentes'que deben ser vigilados en su vida diaria y cotidiana; retención de datos de las telecomunicaciones, conversaciones telefónicas, etc, y ahora todos nuestros movimientos en viajes por avión. Se está fiscalizando al ciudadano como nunca antes se ha hecho".
"Con el email, ya puedeubicarteen redes sociales"
Samuel Parra nos pone un ejemplo práctico: "Uno de los datos que se incluyen en el PNR es el correo electrónico del viajero; si el viajero ha comprado un billete online y ha facilitado su email, este dato será incorporado al PNR junto con el resto de datos. De esta forma, los Estados tendrán una base de datos estupenda que asociará información veraz y fiable sobre la identidad de una persona junto con información que, en principio, un Estado desconoce de su ciudadano, como es el email".
Así pues, "ahora que tiene el email del viajero, al Estado no le costará ubicarlo en las diferentes redes sociales que utilice. Y esto si hablamos de un país de la UE; sinos vamos a Estados Unidos, dado el nivel de cooperación que hay entre las redes sociales y su gobierno, en un momento tendrán un registro de las redes sociales de todos los viajeros, haciendo un simple cruce de información".
A Parra, por tanto, el cruce de datos no le tranquiliza nada: "Si el Gobierno tiene en su mano la posibilidad de cruzar información sobre los ciudadanos, no tengo la menor duda de que lo hará, y buen ejemplo de esto lo tenemos en elpliego de contratación del sistema PNR, que ya habla de poder obtener información de redes sociales, registros de centros de llamadas o incluso notas clínicas de un médico", asegura.
"Un software no debe crear perfiles ideológicos"
Samuel Parra no es el único abogado que duda (y mucho) del sistema PNR. Para Carlos Sánchez Almeida, "el mayor problema del PNR es la trasposición de la directiva europea a laleyal respecto que haga España", que deberá ser redactada y aprobada antes del 25 de mayo de 2018.
Frente a las disposiciones medianamente genéricas que establece la directiva europea, Sánchez Almeida ve con preocupación que el Gobierno de España reconozca en su propio pliego de contratación que cruzará los datos con los existentes en redes sociales para establecer "perfiles sociológicos".
La normativa propuesta en la Unión Europea recibió nada menos que 836 enmiendas, sobre todo por parte de colectivos de protección de datos
"Lo que hace esto es despersonalizar una investigación", asegura el abogado. "Cuando se investiga a una persona se hace un labor judicial y, por tanto, humana. Sin embargo, en este caso esa tarea de creación de perfiles la va a hacer un 'software', con lo que estamos deshumanizandoun proceso tan delicado como es una investigación. No podemos apartar a los jueces de algo así".
La AEPD,a expensas de la legislación
Como decíamos antes, gran parte de la oposición al sistema PNR no procede de colectivos privados ni aislados, sino, en muchos casos, de colectivos públicos de protección de datos.
La Agencia Española de Protección de Datos (AEPD), que pertenece al GT29, por ahora se muestra cauta. En declaraciones aTeknautas, recuerda que "la Directiva aprobada por la UE requiere de la trasposición a los ordenamientos jurídicos nacionales por lo que, antes de proceder a su valoración, es necesario esperar a que se produzca esa trasposición a la legislación nacional".
Desde la AEPD aseguran que, "en principio,no está ni a favor ni en contra de esquemas de recogida de datos de viajeros del tipo PNR. Sin embargo, es imprescindible respetar el principio de proporcionalidad, ofreciendo suficientes salvaguardas de protección de datos tanto en la recogida como en el uso subsiguiente de los datos".
En definitiva, ¿se tratará de una medida necesaria y que consiga reforzar la lucha contra el terrorismo? ¿O una gran oportunidad para fiscalizar más la conducta de los ciudadanos y atravesar las barreras de su privacidad? El tiempo lo dirá, aunque, con los retrasos que ha venido sufriendo el sistema PNR, parece evidente que su recopilación de datos, como mínimo, no tranquiliza a casi nadie.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F8d6%2Fae7%2F5f5%2F8d6ae75f5b51a4af088158dbbac72561.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F94d%2F49f%2Fa81%2F94d49fa81fea60bd220cffe03d948599.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F19c%2F269%2Ffd6%2F19c269fd66383eb5503ea3e0d508b4a0.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F56e%2F15e%2F3ac%2F56e15e3ac1291e55e675c7c87c88a609.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F591%2F2b5%2Ff57%2F5912b5f5716cdfe95c0753bf6c8660ba.jpg)