CEPD alerta sobre el sistema ESTA: riesgos de protección de datos para viajeros europeos

El debate sobre la protección de datos personales vuelve a situarse en el centro de la relación transatlántica, esta vez a propósito del sistema electrónico de autorización de viaje de Estados Unidos (ESTA), que permite a los ciudadanos del Espacio Económico Europeo viajar sin visado para estancias inferiores a 90 días. El 13 de abril de 2026, el Comité Europeo de Protección de Datos (CEPD) trasladó a la Comisión Europea su preocupación ante las propuestas de modificación de este sistema, y lo hizo con un planteamiento de fondo claro: el equilibrio entre seguridad y derechos fundamentales empieza a inclinarse peligrosamente hacia el primero.

Hasta ahora, el sistema ESTA se había apoyado en un modelo relativamente contenido de recopilación de información, pero las modificaciones previstas introducen un cambio de enfoque relevante. Se plantea exigir datos sobre la actividad en redes sociales de los últimos cinco años, información relativa a familiares que no guarda relación directa con el viaje e incluso, de forma potencial, datos biométricos. El problema no reside únicamente en el incremento del volumen de información, sino en su propia naturaleza y en la ausencia de una justificación clara que conecte estos datos con la finalidad del control fronterizo.

Es precisamente aquí donde el CEPD centra su advertencia, al entender que esta ampliación no responde a una necesidad demostrada y que vulnera el principio de proporcionalidad, uno de los pilares del Reglamento General de Protección de Datos. Este principio exige que los datos sean adecuados, pertinentes y limitados a lo necesario, y cuando se solicitan informaciones tan extensas o desvinculadas del motivo del viaje, esa exigencia deja de cumplirse. A partir de ese punto, el análisis no puede quedarse en la mera crítica al exceso, sino que obliga a cuestionar también la finalidad misma del tratamiento, ya que el RGPD exige que los datos se recojan con fines determinados, explícitos y legítimos, algo que se difumina cuando se amplía el alcance sin una justificación concreta.

Este desplazamiento hacia una lógica de recopilación preventiva no solo tensiona los principios jurídicos, sino que se ve agravado por cuestiones prácticas que afectan directamente a los ciudadanos europeos. Entre ellas, destaca la intención de canalizar las solicitudes exclusivamente a través de una aplicación móvil, lo que reduce la accesibilidad y puede generar barreras innecesarias. A ello se suma la falta de transparencia en aspectos esenciales como los plazos de conservación de los datos, las condiciones de almacenamiento o los posibles usos posteriores, lo que impide al interesado conocer con precisión qué ocurre con su información una vez facilitada.

En este contexto, el problema deja de ser técnico para convertirse en una cuestión de garantías, especialmente cuando tampoco se detallan mecanismos efectivos que permitan ejercer derechos como el acceso, la rectificación o la supresión. Sin estos instrumentos, el control del ciudadano sobre sus propios datos se debilita de forma significativa, lo que refuerza la sensación de que el sistema se desplaza hacia una posición más cercana al control que a la protección. Esta situación no es ajena al ámbito empresarial, ya que las compañías con actividad internacional o con equipos que viajan a Estados Unidos pueden enfrentarse a mayores dificultades operativas, a la necesidad de redefinir sus protocolos internos de movilidad y, sobre todo, a una tensión jurídica evidente entre el cumplimiento del RGPD y las exigencias de un sistema que demanda información adicional sin garantías equivalentes.

Todo ello refleja una tensión estructural que no es nueva, pero que se manifiesta con especial claridad en este caso: la diferencia entre el enfoque europeo, basado en la protección de derechos fundamentales, y el estadounidense, más orientado a la seguridad y la prevención. El problema surge cuando estas dos lógicas se cruzan en un punto concreto, afectando directamente a ciudadanos europeos que, aun fuera del territorio de la Unión, siguen siendo titulares de esos derechos.

Frente a esta advertencia, el propio CEPD está impulsando en paralelo una línea de actuación distinta dentro del ámbito europeo, centrada en facilitar el cumplimiento del RGPD por parte de las organizaciones. Tras una consulta pública realizada a finales de 2025, en la que participaron asociaciones empresariales, delegados de protección de datos, empresas y autoridades públicas, el Comité ha identificado las principales herramientas que demandan las organizaciones, especialmente las pymes, para operar con mayor seguridad jurídica.

Entre las más relevantes se encuentran las relativas al registro de actividades de tratamiento, las evaluaciones de impacto, la evaluación del interés legítimo, las políticas de privacidad, las evaluaciones de transferencias internacionales, los acuerdos de encargo de tratamiento o la gestión de brechas de seguridad. A partir de estas aportaciones, el CEPD ha decidido incorporar a su Programa de Trabajo 2026-2027 el desarrollo de nuevas plantillas armonizadas, incluyendo modelos para la evaluación del interés legítimo, el registro de actividades de tratamiento y las políticas de privacidad, con el objetivo de reducir la incertidumbre y facilitar una aplicación práctica y coherente de la normativa.

De este modo, mientras por un lado advierte de los riesgos de avanzar hacia modelos de recopilación excesiva de datos sin una justificación suficiente, por otro refuerza su papel como órgano que busca dotar de herramientas útiles a empresas y organizaciones. En el fondo, la cuestión que subyace es tan sencilla como relevante: hasta qué punto estamos dispuestos a ceder en materia de privacidad en nombre de la seguridad, y bajo qué condiciones puede considerarse legítima esa cesión.