Coges el vuelo, pero pierdes el control de tus datos. Algo tan sencillo y común como reservar un viaje con Vueling es suficiente para que tus datos personales terminen en servidores de Estados Unidos, lejos del alcance de la protección que garantizan las leyes europeas en este ámbito.
Aunque Vueling tiene su sede central en Barcelona, en El Prat de Llobregat para ser exactos, la aerolínea de bajo coste propiedad de IAG (dueña a su vez de Iberia) envía los datos de todos sus clientes a los servidores de IBM en Estados Unidos con fines publicitarios. Este proceso no es ilegal. La compañía informática norteamericana es proveedor de servicios de marketing digital a través de la herramienta “Silverpop”.
Sin embargo, existen dudas sobre el nivel de protección que ofrece EEUU a los datos personales que llegan del extranjero. El Tribunal de Justicia de la Unión Europea declaró en 2015 inválida la decisión de la Comisión, que manifestó que Estados Unidos garantiza un nivel de protección adecuado de los datos personales transferidos a través del Safe Harbor, un acuerdo que trataba de regularizar y controlar la transmisión de datos personales de clientes/particulares entre Estados Unidos y la Unión Europea.
La sentencia estimó que “resulta que las autoridades estadounidenses podían acceder a los datos personales transferidos a partir de los Estados miembros a ese país y tratarlos de manera incompatible, concretamente, con las finalidades de esa transferencia, yendo más allá de lo que era estrictamente necesario y proporcionado para proteger la seguridad nacional”.
El reglamento que reemplaza al Safe Harbor, denominado Privacy Shield, también está bajo sospecha por parte del Parlamento Europeo, ya que “no garantiza que los datos personales de sus clientes tengan un tratamiento equiparable al europeo”. Además, se da la circunstancia de que el presidente Donald Trump aprobó el 25 de enero de 2017 una orden ejecutiva que establece que “las agencias se asegurarán de que sus políticas de privacidad excluyan a las personas que no sean ciudadanos estadounidenses o residentes permanentes legales objetos de la ley de protección de privacidad en relación con la información de identificación personal”.
EL ARGUMENTO DE VUELING
En el caso de Vueling e IBM, la aerolínea afirma que “desde el 25 de mayo han comenzado a aplicarse entre IBM y sus clientes nuevos acuerdos de protección de datos, incluyendo un anexo específico que reproduce las cláusulas contractuales tipo de la Comisión Europea para la realización de transferencias internacionales de datos a países que no garanticen un nivel de protección equiparable al europeo”. Además, como empresa afiliada al Escudo de Privacidad de Estados Unidos, “cualquier transferencia internacional de datos realizada en este contexto no requiere del consentimiento de los afectados”, argumenta Vueling como respuesta a la denuncia de un cliente.
Vueling explica que está obligada a realizar las comunicaciones de datos personales de pasajeros que sean requeridas por las autoridades de los países de destino, en cumplimiento de la normativa nacional correspondiente, y como requisito imprescindible para aterrizar en cada estado. Vale, pero la compañía envía los datos de todos sus clientes a Estados Unidos, viajen o no al país norteamericano.
Como norma general, indica la compañía, “Vueling conserva los datos personales tratados durante el tiempo necesario”, no especifica más, “para el cumplimiento de las finalidades para las que fueron recabados”. A este periodo habría que añadir un periodo adicional, que tampoco cuantifica, para cumplir con las obligaciones de conservación de documentación relativa a la gestión de su negocio y a atender posibles reclamaciones, denuncias, demandas y/o quejas de diversa índole surgidas del tratamiento.
En la carta de Vueling al cliente a la que ha tenido acceso MERCA2, la aerolínea concluye que “usted (el usuario) tiene derecho, en determinadas circunstancias, a solicitar a Vueling que rectifique los datos personales inexactos, suprima o restrinja sus datos, o se oponga al tratamiento por Vueling de sus datos personales, para determinadas finalidades”. MERCA2 no ha obtenido respuesta de la compañía propiedad de IAG al intentar aclarar estas circunstancias, finalidades y demás dudas surgidas en torno a este asunto.
