El sistema de tarifas de acceso en Venecia, diseñado para regular la afluencia de turistas a la ciudad histórica y a las islas menores de la laguna, ha sido juzgado ilegítimo por el Garante (en su sentencia de 4 de agosto de 2025) para la protección de datos personales. La autoridad consideró que la forma en que el ayuntamiento recopila y gestiona los datos personales vulnera los principios fundamentales establecidos por el Reglamento Europeo de Protección de Datos (RGPD). La medida ya prevé una multa de 10.000 euros y deja abierta la posibilidad de multas mucho mayores, de hasta 20 millones de euros, en caso de infracciones graves y persistentes.
El procedimiento se había incoado a raíz de informes y noticias de prensa, que habían puesto de relieve el carácter crítico del registro obligatorio necesario para obtener el código QR necesario para entrar en la ciudad. El procedimiento afectaba no sólo a los turistas, sino también a las categorías exentas de pago: trabajadores, estudiantes desplazados, residentes temporales, personas con discapacidad, personas que visitaban a familiares residentes o detenidos, ciudadanos que se sometían a exámenes médicos, y muchos otros casos. Una masa de información que, según el Garante, generaba una recaudación previa desproporcionada para los fines declarados. De hecho, la Autoridad señaló que el registro en línea conllevaba la recogida de datos que no eran estrictamente necesarios, como motivos de viaje y detalles relativos a la vida personal y familiar de los interesados. Información que sólo podría haberse facilitado en caso de control contextual, mediante autocertificación o documentos. Por otra parte, el tratamiento así organizado daba lugar a una recogida masiva de datos con una utilidad real limitada, dado que sólo una pequeña parte sería verificada posteriormente por las oficinas municipales.
Un punto especialmente crítico se refería a los llamados tótems informáticos, colocados en puntos estratégicos de la ciudad para permitir el registro. Durante una inspección de la Guardia di Finanza, se puso de manifiesto que los usuarios podían cambiar la configuración del navegador, con el riesgo de hacer visibles los datos introducidos previamente. Aunque los ficheros descargables sólo contenían las iniciales y la fecha de validez, el Garante aclaró que incluso esta información, si se combinaba con otros elementos, podía permitir la identificación indirecta de los usuarios. Por lo tanto, la configuración se consideró inadecuada desde el punto de vista de la seguridad.
Otro elemento importante es el almacenamiento de datos. El registro anticipado en el portal municipal significaba que la información personal se almacenaba incluso meses antes del acceso real a la ciudad. Esto, según la autoridad, contraviene el principio de limitación temporal establecido por el GDPR, que exige que los datos se almacenen solo durante el tiempo estrictamente necesario para los fines declarados. Por ello, durante el debate con el Garante, el ayuntamiento introdujo algunos cambios en el reglamento, ampliando la categoría “Otras exenciones” para reducir la recogida de información específica y simplificando los procedimientos para residentes, discapacitados y huéspedes de instalaciones de alojamiento. Sin embargo, las medidas correctoras se consideraron parciales e insuficientes para eliminar los problemas críticos subyacentes. El principal problema, según el Garante, sigue siendo la desproporción entre la cantidad de datos recogidos y los fines fiscales.
Otro aspecto se refiere al uso de los datos para fines distintos de los fiscales. La normativa municipal también vincula el registro al seguimiento de los flujos turísticos y a la planificación de los servicios públicos. En cualquier caso, nunca se fijaron umbrales de asistencia diaria que hubieran justificado un tratamiento tan amplio. En ausencia de tales parámetros, se consideró que la recogida previa de información carecía de toda necesidad real. Por consiguiente, el Garante dictaminó que el tratamiento de datos por parte del municipio de Venecia se había llevado a cabo de forma ilegal, vulnerando los principios de licitud, corrección, minimización, proporcionalidad y confidencialidad. Se dictaron medidas correctoras: el Ayuntamiento tendrá que reducir las categorías obligadas a preinscribirse, suspender la recogida de datos de invitados de los residentes y reforzar las medidas de seguridad del portal y de los dispositivos utilizados.
Además de ordenar un ajuste de los procedimientos, la medida establece una multa de 10.000 euros en caso de que no se resuelva el litigio. Pero el riesgo más grave es la aplicación del artículo 83 del GDPR, que prevé sanciones de hasta 20 millones de euros o hasta el 4% del volumen de negocios anual de la entidad responsable, por violación de los principios fundamentales sobre datos personales. Este episodio plantea una cuestión central: cómo conciliar la gestión de los flujos turísticos con la protección de los derechos fundamentales de los ciudadanos y los viajeros.
 |
| Venecia, el Garante: violado la privacidad con el billete de entrada. Multa de 10 mil a 20 millones |
Advertencia: la traducción al español del artículo original en italiano se ha realizado mediante herramientas automáticas. Nos comprometemos a revisar todos los artículos, pero no garantizamos la ausencia total de imprecisiones en la traducción debidas al programa. Puede encontrar el original haciendo clic en el botón ITA. Si encuentra algún error, por favor contáctenos.
