EL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS,
Visto el Tratado de Funcionamiento de la Unión Europea y, en particular, su artículo 16,
Vista la Carta de los Derechos Fundamentales de la Unión Europea y, en particular, sus artículos 7 y 8,
Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1),
Vista la solicitud de dictamen, hecha de conformidad con el artículo 28, apartado 2, del Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (2),
HA ADOPTADO EL SIGUIENTE DICTAMEN:
I.- INTRODUCCIÓN
II.1.- Consulta al Supervisor Europeo de Protección de Datos
1. El 2 de febrero de 2011, la Comisión adoptó una propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la utilización de los datos de los registros de nombres de los pasajeros (en adelante “PNR”) para la prevención, detección, investigación y enjuiciamiento de delitos terroristas y delitos graves (en adelante “la propuesta”) (3). Ese mismo día la propuesta se trasladó para consulta al SEPD.
2. El SEPD recibe con satisfacción el hecho de ser consultado por la Comisión. Incluso antes de que fuera adoptada la propuesta, el SEPD tuvo la oportunidad de efectuar observaciones preliminares. Algunas de estas observaciones han sido tenidas en cuenta en la propuesta, y el SEPD observa que, en general, se han reforzado las garantías de la protección de datos en la misma. Sin embargo, siguen existiendo algunas cuestiones, en especial en relación con la escala y los fines de la obtención de datos personales.
II.2.- La propuesta en su contexto
3. Desde 2007, momento en que la Comisión adoptó una propuesta de Decisión marco del Consejo sobre esta materia (4), se ha venido debatiendo sobre un posible régimen PNR en la Unión Europea. El principal objetivo del régimen PNR de la Unión es establecer un sistema que obligue a las compañías aéreas que efectúen vuelos entre la Unión Europea y terceros países a transmitir los datos PNR de todos los pasajeros a las autoridades competentes, con el fin de prevenir, detectar, investigar y enjuiciar los delitos terroristas y los delitos graves. Las Unidades de Información sobre Pasajeros centralizarían y analizarían los datos y el resultado de dicho análisis se transmitiría a las autoridades nacionales competentes en cada Estado miembro.
4. Desde 2007, el SEPD ha seguido de cerca la evolución de un posible régimen PNR en la Unión Europea, en paralelo con la evolución de los regímenes PNR de terceros países. El 20 de diciembre de 2007, el SEPD adoptó un dictamen relativo a esta propuesta de la Comisión. (5) En muchas otras ocasiones, se han formulado observaciones, no solo por parte del SEPD sino también por parte del Grupo de Trabajo del Artículo 29 (6), sobre la cuestión de si el tratamiento de los datos PNR con el fin de mantener el orden público respeta los principios de necesidad y proporcionalidad, así como otras garantías fundamentales de la protección de datos.
5. La principal cuestión planteada en repetidas ocasiones por el SEPD se centra en la justificación de la necesidad de un sistema de la UE referente al registro de nombres de pasajeros que vendría a añadirse a otros instrumentos ya existentes, permitiendo así el tratamiento de datos personales con fines represivos.
6. El SEPD reconoce las mejoras respecto de la protección de datos en la presente propuesta, en comparación con la versión sobre la que emitió anteriormente recomendaciones. Estas mejoras hacen referencia, en particular, al ámbito de aplicación de la propuesta, la definición del papel de las distintas partes interesadas (Unidades de Información sobre Pasajeros), la exclusión del tratamiento de datos sensibles, la evolución hacia un sistema de transmisión (push) sin establecer un período de transición (7), y la limitación de la conservación de datos.
7. El SEPD recibe asimismo con agrado el resto de avances en la evaluación de impacto en relación con las razones que justifican un sistema PNR para la Unión Europea. Sin embargo, aunque existe la evidente voluntad de aclarar la necesidad de este sistema, el SEPD todavía no considera que las nuevas razones aportadas proporcionen una base convincente para desarrollar el sistema, en especial en lo que respecta a la “evaluación previa” a gran escala de todos los pasajeros. La necesidad y la proporcionalidad se analizarán a continuación en el capítulo II. El capítulo III se centrará en aspectos más específicos de la propuesta.
II.- NECESIDAD Y PROPORCIONALIDAD DE LA PROPUESTA
II.1.- Observaciones preliminares relativas a la necesidad y a la proporcionalidad
8. Demostrar la necesidad y la proporcionalidad del tratamiento de datos es una condición previa indispensable para el desarrollo de un sistema PNr. El SEPD ya ha insistido en ocasiones anteriores, en especial en el contexto de una posible revisión de la Directiva 2006/24/CE (la “Directiva de conservación de datos”), sobre el hecho de que la necesidad de tratar o almacenar cantidades masivas de información debe basarse en una clara muestra de la relación entre la utilización y el resultado, y debe permitir una evaluación sine qua non sobre el hecho de si se habrían logrado resultados comparables a través de medios alternativos, que hubieran supuesto una menor vulneración de la privacidad (8).
9. Con el fin de justificar el régimen, la propuesta y, en especial, su evaluación de impacto, incluyen una amplia documentación y fundamentos jurídicos para determinar que dicho régimen es necesario y que cumple con los requisitos en materia de protección de datos. Incluso va más allá al afirmar que supone un valor añadido en relación con la armonización de las normas de protección de datos.
10. Tras el análisis de dichos elementos, el SEPD considera que el contenido actual de la propuesta, no cumple los requisitos de necesidad y proporcionalidad impuestos por el artículo 8 de la Carta de Derechos Fundamentales de la Unión, el artículo 8 del CEDH y el artículo 16 del TFUE. El razonamiento en que se apoya esta consideración se desarrolla en los apartados siguientes.
II.2. – Documentación y estadísticas proporcionadas por la Comisión
11. El SEPD destaca que la evaluación de impacto incorpora amplias explicaciones y estadísticas que justifican la propuesta. Sin embargo, estos elementos no resultan convincentes. A modo de ejemplo, la descripción de la amenaza de delitos terroristas y delitos graves en la evaluación de impacto y en la exposición de motivos de la propuesta (9) hace referencia a la cifra de 14000 delitos por cada 100000 habitantes en los Estados miembros en 2007. Aunque esta cifra puede resultar impactante, la misma se refiere a tipos de delitos no diferenciados, por lo que no puede servir para justificar que la propuesta tiene como objetivo y lucha únicamente contra un tipo limitado de delitos, esto es, los delitos transnacionales y de terrorismo. En opinión del SEPD, otro ejemplo en el cual se cita un informe relativo a “problemas” con las drogas que no vincula las estadísticas al tipo de tráfico de drogas afectado por la propuesta, no supone una referencia válida. Lo mismo resulta de aplicación para las indicaciones de las consecuencias de los delitos, al resaltar el “valor de los bienes robados” y las secuelas psicológicas y físicas para las víctimas, que no son datos directamente relacionados con el objeto de la propuesta.
12. Como último ejemplo, la evaluación de impacto indica que Bélgica ha “informado de que el 95 % de las incautaciones de drogas en 2009 se debió exclusivamente o de forma determinante al tratamiento de datos PNR”. Sin embargo, debe destacarse que Bélgica (todavía) no ha implantado un régimen PNR sistemático, comparable con el que se prevé en la propuesta. Esto podría significar que los datos PNR pueden ser útiles en casos específicos, lo cual es algo que el SEPD no cuestiona. Es la recogida masiva de datos a efectos de la evaluación sistemática de todos los pasajeros lo que plantea graves cuestiones en materia de protección de datos.
13. El SEPD considera que no existen suficientes documentos de referencia relevantes y precisos que demuestren la necesidad de este instrumento.
II.3.- Condiciones para limitar un derecho fundamental
14. Aunque el documento señala la interferencia de las medidas de tratamiento de datos con lo dispuesto en la Carta, el CEDH y el artículo 16 del TFUE, se refiere directamente a las posibles limitaciones de dichos derechos y parece satisfacerse con la conclusión de que “dado que las acciones propuestas tendrían como objetivo luchar contra el terrorismo y otros delitos graves, que se incluirán en un acto legislativo, es evidente que cumplirán dichos requisitos, ya que resultan necesarios en una sociedad democrática y son conformes con el principio de proporcionalidad” (10). Sin embargo, falta demostrar claramente el hecho de que las medidas son esenciales y de que no puede recurrirse a otros medios menos intrusivos.
15. En este sentido, el hecho de que se tuvieran en cuenta otros fines como el control de la inmigración, las listas de “no vuelos” y la seguridad sanitaria, que no han sido finalmente incluidos por motivos de proporcionalidad, no significa que “limitar” el tratamiento de datos PNR a los delitos graves y al terrorismo sea de facto proporcional porque resulta menos intrusivo. Tampoco se ha valorado la opción de limitar el sistema de lucha contra el terrorismo, sin incluir otros delitos, tal como se preveía en anteriores sistemas PNR, en especial en el régimen PNR de Australia. El SEPD destaca que en el anterior régimen, sobre el que el Grupo de Trabajo del Artículo 29 adoptó un dictamen favorable en 2004, los objetivos se limitaron a la “identificación de los pasajeros que puedan suponer una amenaza de terrorismo u otra actividad criminal relacionada” (11). El sistema australiano no prevé tampoco la conservación de los datos PNR salvo para determinados pasajeros identificados como una amenaza específica (12).
16. Además, en cuanto a la previsibilidad de la vigilancia de los interesados, resulta dudoso que la propuesta de la Comisión satisfaga los requisitos de una base jurídica sólida con arreglo a la legislación europea: la “evaluación” de los pasajeros (anteriormente redactada como “evaluación de riesgos”) se realizará sobre la base de criterios en constante evolución y poco transparentes. Tal como se menciona explícitamente en el texto, el principal objetivo del régimen no es un control fronterizo tradicional, sino servir como instrumento de investigación (13) y de arresto de personas que no son sospechosas, antes de la comisión de un delito. El desarrollo de un sistema similar a escala europea, que implique la obtención de datos de todos los pasajeros y la toma de decisiones sobre la base de criterios de evaluación desconocidos y en evolución, plantea graves problemas en materia de transparencia y proporcionalidad.
17. El único objetivo que, en opinión del SEPD, cumpliría los requisitos de transparencia y proporcionalidad, sería la utilización caso por caso de los datos PNR, tal como se establece en el artículo 4, apartado 2, letra c), aunque sólo en los casos en que se establezca una amenaza grave y determinada a través de indicadores concretos.
II.4.- El riesgo de desviación de uso
18. El artículo 4, apartado 2, letra b), establece que la Unidad de Información sobre Pasajeros puede realizar una evaluación de los pasajeros, actividad con la que podrá comparar los datos PNR con las “bases de datos pertinentes”, tal como se indica en el citado artículo. Esta disposición no indica, sin embargo, cuáles son las bases de datos que son pertinentes, por lo que la medida no es previsible, requisito que también se establece en la Carta y en el CEDH. Asimismo, la disposición plantea la cuestión de si es compatible con el principio de limitación a una finalidad específica. En opinión del SEPD, debería excluirse, por ejemplo, para las bases de datos como Eurodac, que se han desarrollado con otras finalidades. (14) Además, esto sería posible únicamente en los casos en que exista una necesidad específica, en un caso particular en que exista previamente una sospecha en relación con una persona después de que se haya cometido el delito. Por ejemplo, la consulta de todos los datos PNR en la base de datos del Sistema de Información de Visados (15) de manera sistemática resultaría excesivo y desproporcionado.
II.5.- El valor añadido de la propuesta respecto de la protección de datos
19. La idea según la cual la propuesta mejoraría la protección de datos al establecer unas condiciones uniformes en relación con los derechos de las personas es cuestionable. El SEPD reconoce el hecho de que si se estableciera la necesidad y la proporcionalidad del sistema, la aplicación de unas normas uniformes en toda la Unión Europea, incluso en materia de protección de datos, mejoraría la seguridad jurídica. Sin embargo, la actual redacción de la propuesta, en su considerando 28, menciona que “la Directiva no afecta a la posibilidad de que los Estados miembros establezcan, con arreglo a sus legislaciones nacionales, un mecanismo para recoger y tratar los datos PNR con finalidades distintas de las especificadas en la presente Directiva, o que los transportistas que no sean los mencionados en ella hagan lo mismo con respecto a los vuelos internos (…)”.
20. Por tanto, la armonización aportada por la propuesta resulta limitada, ya que cubre los derechos de los interesados pero no la limitación a una finalidad específica, a tenor de lo cual puede derivarse que los sistemas PNR que ya se utilizan para luchar, por ejemplo, contra la inmigración ilegal podrían seguir utilizándose para dicho fin con arreglo a lo dispuesto en la Directiva.
21. Esto implica, por un lado, que seguirán existiendo algunas diferencias entre los Estados miembros que ya hayan desarrollado un régimen PNR y que, por otro lado, la gran mayoría de Estados miembros que no obtienen de manera sistemática los datos PNR (21 de los 27 Estados miembros) se verán obligados a hacerlo. El SEPD considera que desde esta perspectiva el valor añadido en materia de protección de datos resulta sumamente cuestionable.
22. En cambio, las consecuencias del considerando 28 suponen una grave violación del principio de limitación a una finalidad específica. En opinión del SEPD, la propuesta debería indicar de manera explícita que los datos PNR no pueden ser utilizados para otros fines.
23. El SEPD llega a una conclusión similar a la derivada de la evaluación de la Directiva de conservación de datos: en ambos contextos, la falta de una armonización real va unida a una falta de seguridad jurídica. Además, la obtención y el tratamiento de datos personales resultan obligatorios en todos los Estados miembros, aun cuando no se haya establecido que el régimen sea necesario.
II.6. Relación con la Comunicación relativa a la gestión de la información en el espacio de libertad, seguridad y justicia
24. El SEPD señala asimismo que los desarrollos relativos al PNR están vinculados a la evaluación general en curso de todos los instrumentos europeos en el ámbito de la gestión del intercambio de información lanzada por la Comisión en enero de 2010 y desarrollada recientemente en la Comunicación sobre el panorama general de la gestión de la información en el espacio de libertad, seguridad y justicia (16). Existe en especial una clara conexión con el debate actual sobre la Estrategia de Gestión de la Información en la UE. El SEPD considera a este respecto que los resultados del trabajo actual sobre el Modelo Europeo de Intercambio de Información esperado para 2012 deben tenerse en cuenta en la evaluación de la necesidad de un PNR de la Unión.
25. En este contexto, y a la vista de las deficiencias de la propuesta y, más concretamente de su evaluación de impacto, el SEPD considera que existe la necesidad de una evaluación de impacto específica sobre la privacidad y la protección de datos en casos como éste, en que la esencia de la propuesta afecta a los derechos fundamentales a la protección de datos y la privacidad, por lo que una evaluación de impacto general no resulta suficiente.
III.- OBSERVACIONES ESPECÍFICAS
III.1.- Ámbito de aplicación
26. Los delitos terroristas, los delitos graves y los delitos graves transnacionales están definidos en el artículo 2, letras g), h) e i), de la propuesta. El SEPD recibe con agrado el hecho de que las definiciones – y su ámbito de aplicación – se hayan perfeccionado, incluyendo una distinción entre los delitos graves y los delitos graves transnacionales. Esta distinción es acogida favorablemente en especial porque implica un tratamiento distinto de los datos personales, excluyendo la valoración en relación con criterios predeterminados en lo que respecta a los delitos graves que no son transnacionales.
27. Sin embargo, en opinión del SEPD, la definición de los delitos graves sigue siendo demasiado amplia. La propuesta reconoce este hecho cuando indica que los Estados miembros todavía pueden excluir los delitos menores que entren dentro de la definición de delitos graves (17) pero que no se ajusten al principio de proporcionalidad. Esta redacción implica que la definición de la propuesta puede también incluir los delitos menores, el tratamiento de los cuales podría resultar desproporcionado. Todavía no está claro, sin embargo, qué se entiende por delitos menores. En lugar de dejar en manos de los Estados miembros la facultad de restringir el ámbito de aplicación, el SEPD considera que la propuesta debería incluir de manera explícita una lista de los delitos, en la que se incluyera su ámbito de aplicación, así como los delitos que deben excluirse al considerarse menores y que no responden a la prueba de proporcionalidad.
28. La misma preocupación surge en relación con la facultad atribuida en el artículo 5, apartado 5, en relación con el tratamiento de datos asociados a cualquier tipo de delito si se detectan en el curso de la acción ejercida, así como la posibilidad que se menciona en el considerando 28 de ampliar el ámbito de aplicación a otras finalidades distintas de las previstas en la propuesta o a otras empresas de transporte.
29. El SEPD también está preocupado en relación con la posibilidad que se prevé en el artículo 17 de incluir los vuelos internos en el ámbito de aplicación de la Directiva, a la vista de la experiencia adquirida por los Estados miembros que ya recopilan estos datos. Tal ampliación del ámbito de aplicación del régimen PNR supondría una amenaza aún mayor para los derechos fundamentales de las personas y no debería preverse antes de llevar a cabo un adecuado análisis que incluya una evaluación de impacto global.
30. A modo de conclusión, el dejar abierta la delimitación del ámbito de aplicación y dotar a los Estados miembros de la posibilidad de ampliar su objeto es contrario al requisito de que los datos pueden recopilarse únicamente para fines específicos y explícitos.
III.2.- Unidades de Información sobre Pasajeros
31. La función de las Unidades de Información sobre Pasajeros y de las garantías relativas al tratamiento de los datos PNR plantean unas cuestiones específicas, en especial debido a que dichas unidades reciben datos de todos los pasajeros de las compañías aéreas y que, a tenor de la propuesta, disponen de amplias competencias para el tratamiento de dichos datos. Estas competencias incluyen la evaluación del comportamiento de los pasajeros que no son sospechosos de haber cometido infracción alguna y la posibilidad de comparar los datos PNR con una serie de bases de datos indeterminadas en la propuesta (18). El SEPD señala que en la propuesta están previstas las condiciones del “acceso restringido” pero considera que dichas condiciones por separado no son suficientes, a la vista de las amplias competencias de que disponen las Unidades de Información sobre Pasajeros.
32. En primer lugar, el carácter y composición de la autoridad designada como Unidad de Información sobre Pasajeros siguen sin estar claros. La propuesta menciona la posibilidad de que el personal pueda ser “enviado en comisión de servicio por las autoridades públicas competentes” aunque no ofrece ninguna garantía en relación con la competencia y la integridad del personal de la Unidad de Información sobre Pasajeros. El SEPD recomienda incluir dichos requisitos en el texto de la Directiva, teniendo en cuenta el carácter sensible del tratamiento que dichas Unidades deben llevar a cabo.
33. En segundo lugar, la propuesta permite la posibilidad de nombrar una Unidad de Información sobre Pasajeros para varios Estados miembros. Esto abre la puerta a los riesgos de desvíos y transmisiones de datos fuera de las condiciones impuestas en la propuesta. El SEPD reconoce que podrían existir motivos de eficacia, en particular en relación con los Estados miembros más pequeños, de aunar fuerzas pero recomienda que se incluyan en el texto las condiciones para esta opción. Estas condiciones deberían abordar la cooperación con las autoridades competentes, así como la supervisión, en particular en relación con la autoridad de protección de datos responsable del control, y en relación con el ejercicio de los derechos del interesado, ya que varias autoridades pueden resultar competentes del control sobre una Unidad de Información sobre Pasajeros.
34. Existe un riesgo de desviación de uso asociado a los elementos arriba mencionados y, en particular, a la vista de la categoría del personal competente para analizar los datos y “compartir” una Unidad de Información sobre Pasajeros entre varios Estados miembros.
35. En tercer lugar, el SEPD cuestiona las garantías previstas para evitar abusos. Aunque, se acoge con agrado la existencia de obligaciones de registro, éstas no resultan suficientes. El autocontrol debería completarse con un control externo, de modo más estructurado. El SEPD sugiere que las auditorías se organicen de manera sistemática cada cuatro años. Debería desarrollarse un conjunto global de medidas de seguridad e imponerlas de manera horizontal a todas las Unidades de Información sobre Pasajeros.
III.3.- Intercambio de datos entre los Estados miembros
36. El artículo 7 de la propuesta prevé diversos escenarios que permiten el intercambio de datos entre las Unidades de Información sobre Pasajeros (siendo ésta la situación normal) o entre las autoridades competentes de un Estado miembro y una Unidad de Información sobre Pasajeros en situaciones excepcionales. Las condiciones son igualmente más estrictas dependiendo de si el acceso se solicita para la base de datos prevista en el artículo 9, apartado 1, en la cual los datos se conservan durante los primeros 30 días, o para la base de datos mencionada en el artículo 9, apartado 1, en la cual los datos se conservan por otros cinco años.
37. Las condiciones de acceso se definen de forma más estricta cuando la solicitud de acceso va más allá del procedimiento normal. El SEPD señala, sin embargo, que la redacción induce a confusión: el artículo 7, apartado 2, es aplicable en “cada caso concreto para prevenir, detectar, investigar o enjuiciar delitos terroristas o delitos graves”; el artículo 7, apartado 3, menciona “circunstancias excepcionales como respuesta a una amenaza específica o a una investigación o enjuiciamiento específico relacionado con delitos terroristas o delitos graves”, mientras que el artículo 7, apartado 4, se refiere a “amenaza grave e inmediata para la seguridad pública” y el artículo 7, apartado 5, menciona una “amenaza específica y real relacionada con delitos terroristas o delitos graves”. Las condiciones de acceso a las bases de datos por parte de las distintas partes interesadas varían en función de estos criterios. Sin embargo, la distinción entre una amenaza específica, una amenaza grave e inmediata y una amenaza específica y real no está clara. El SEPD subraya la necesidad de una mayor especificación de las condiciones precisas con arreglo a las cuales se permitirán las transferencias de datos.
III.4.- Legislación aplicable
38. La propuesta hace referencia como base jurídica general de los principios de protección de datos a la Decisión marco 2008/977/JAI del Consejo y amplía su ámbito de aplicación al tratamiento de datos a nivel nacional.
39. El SEPD ya destacó en 2007 (19) las deficiencias de la Decisión marco en relación con los derechos de las personas cuyos datos están siendo procesados. Entre los elementos que faltan en la Decisión marco, resaltan en especial algunos requisitos de información en caso de que se solicite el acceso a sus datos: la información debería facilitarse de manera inteligible, debería indicarse la finalidad del tratamiento y existe la necesidad de establecer garantías más desarrolladas en caso de recurrir a la autoridad de protección de datos si se deniega un acceso directo.
40. La referencia a la Decisión marco tiene consecuencias también en relación con la identificación de la autoridad de protección de datos competente del control de la aplicación de la futura Directiva, ya que puede que la misma autoridad de protección de datos no resulte competente en relación con las cuestiones del (ex) primer pilar. El SEPD considera que no resulta satisfactorio confiar únicamente en la Decisión marco en el contexto post-Lisboa, en el cual uno de los principales objetivos es adaptar el marco jurídico para garantizar un alto nivel armonizado de protección en relación con los (ex) pilares. Considera que son necesarias disposiciones adicionales en la propuesta que complementen la referencia a la Decisión marco del Consejo cuando se hayan identificado deficiencias, en especial en relación con las condiciones de acceso a los datos personales.
41. Estas consideraciones resultan igualmente válidas en relación con las disposiciones sobre transferencias de datos a los terceros países. La propuesta hace referencia al artículo 13, apartado 3, inciso (ii) de la Decisión marco, que incluye amplias excepciones a las garantías de protección de datos: deroga en especial el requisito de adecuación en caso de “legítimos intereses superiores, en especial importantes intereses públicos”. Esta excepción tiene una redacción vaga que podría potencialmente aplicarse en muchos casos al tratamiento de datos PNR, si se interpreta de manera amplia. El SEPD considera que la propuesta debería evitar de manera explícita la aplicación de las excepciones de la Decisión marco en el contexto del tratamiento de los datos PNR y conservar el requisito de una evaluación estricta de la adecuación.
III.5.- Conservación de los datos
42. La propuesta prevé un período de 30 días para la conservación, con un período adicional de archivo de cinco años. Este período de conservación se ha reducido de manera considerable si se compara con las anteriores versiones del documento, en las cuales la conservación duraba de cinco a ocho años más.
43. El SEPD recibe con agrado que se haya reducido el primer período de conservación a 30 días, aunque cuestiona el período de conservación adicional de cinco años, ya que, a su juicio, no está claro si existe la necesidad de conservar estos datos de modo que todavía sea posible la identificación de las personas.
44. Se destaca asimismo una cuestión terminológica del texto, que tiene importantes repercusiones jurídicas. El artículo 9, apartado 2, indica que los datos de los pasajeros “se enmascararán” y serán, por tanto, “anónimos”. Sin embargo, más tarde el texto menciona que aún es posible acceder a “la totalidad de los datos PNR”. De ser así, esto significa que los datos PNR nunca han sido totalmente anónimos, ya que a pesar de estar enmascarados, siguen siendo identificables. La consecuencia es que el marco de protección de datos sigue siendo totalmente aplicable, lo cual plantea la cuestión fundamental de la necesidad y la proporcionalidad de la conservación de los datos de identificación de todos los pasajeros durante cinco años.
45. El SEPD recomienda que la propuesta se vuelva a redactar, conservando el principio de anonimización sin que exista la posibilidad de que vuelvan a ser datos identificables, lo cual implica que no se permite una investigación retroactiva. Estos datos todavía – y únicamente – podrían ser utilizados para fines generales de los servicios de inteligencia, basados en la identificación del terrorismo y las pautas asociadas a la delincuencia en los flujos migratorios. Lo anterior debería distinguirse de la conservación de datos de manera identificable – lo cual está sujeto a determinadas garantías – en los casos han dado lugar a una sospecha concreta.
III.6.- Lista de datos PNR
46. El SEPD recibe con satisfacción el hecho de que los datos sensibles no estén incluidos en la lista de datos que deben tratarse. Destaca, sin embargo, que la propuesta todavía prevé la posibilidad de que estos datos se envíen a la Unidad de Información sobre Pasajeros, quien tiene posteriormente la obligación de suprimirlos (artículo 4, apartado 1, y artículo 11). Del tenor del texto no queda claro si las Unidades de Información sobre Pasajeros todavía tendrán la obligación rutinaria de filtrar los datos sensibles enviados por las compañías aéreas o de si deben hacerlo únicamente en los casos excepcionales en que las compañías aéreas se los hubieran enviado por error. El SEPD recomienda modificar el texto con el fin de aclarar que los datos sensibles no se envíen a las compañías aéreas al inicio del tratamiento de datos.
47. Aparte de los datos sensibles, la lista de datos que pueden ser transferidos es reflejo en gran medida de la lista PNR de los Estados Unidos, la cual ha sido criticada en diversos dictámenes del Grupo de Trabajo del Artículo 29 por ser demasiado amplia (20). El SEPD considera que esta lista debería reducirse según indica el dictamen del Grupo de Trabajo y que cualquier elemento que se añada debería estar debidamente justificado. Este es el caso en especial del ámbito de las “observaciones generales” que debería quedar excluido de la lista.
III.7.- Decisiones individuales automatizadas
48. En virtud del artículo 4, apartado 2, letras a) y b), la evaluación de personas con arreglo a criterios predeterminados o con bases de datos pertinentes puede implicar un tratamiento automatizado que debería ser, sin embargo, revisado individualmente por medios no automatizados.
49. El SEPD recibe con satisfacción las aclaraciones que esta nueva versión del texto aporta. La ambigüedad del anterior ámbito de aplicación de la disposición en relación con las decisiones automatizadas que producen “efectos jurídicos adversos para una persona o que afecten significativamente a una persona (…)” se ha sustituido gracias a una redacción más explícita. Ahora queda claro, pues, que cualquier resultado positivo se revisará individualmente.
50. También queda claro en la nueva versión que una evaluación en ningún caso se basará en el origen racial o étnico, las creencias religiosas o filosóficas, las opiniones políticas, la pertenencia a un sindicato o en la salud o la orientación sexual de la persona. Dicho de otro modo, el SEPD entiende con esta nueva redacción que no podrá adoptarse ninguna decisión que esté basada, ni siquiera parcialmente, en datos sensibles, lo cual es coherente con la disposición conforme a la cual los datos sensibles no pueden ser tratados por las Unidades de Información sobre Pasajeros. Dicha medida también es bien recibida.
III.8.- Revisión y datos estadísticos
51. El SEPD considera de suma importancia que se lleve a cabo una evaluación generalizada de la aplicación de la Directiva, tal como se prevé en el artículo 17. Considera que la revisión no sólo debe evaluar el cumplimiento general de las normas de protección de datos sino esencial y específicamente si los sistemas PNR constituyen una medida necesaria. Los datos estadísticos mencionados en el artículo 18 desempeñan un papel importante en esta perspectiva. El SEPD considera que esta información debería incluir tanto el número de medidas de mantenimiento del orden público, tal como se prevé en el proyecto, como el número de condenas efectivas que se han derivado, en su caso, a raíz de dichas medidas. Estos datos resultan básicos para que el resultado de la revisión sea concluyente.
III.9.- Relación con otros instrumentos
52. La propuesta se entiende sin perjuicio de los acuerdos existentes con terceros países (artículo 19). El SEPD opina que esta disposición debería hacer una referencia más explícita al objetivo del marco global que establece garantías armonizadas de protección de datos en el ámbito del PNR, dentro y fuera de la Unión Europea, tal como solicitó el Parlamento Europeo y ha desarrollado la Comisión en su Comunicación de 21 de septiembre de 2010“sobre el enfoque global de las transferencias de datos de los registros de nombres de los pasajeros (PNR) a terceros países”.
53. En ese sentido, los acuerdos con terceros países no deberían incluir disposiciones que ofrezcan un nivel de protección de datos menor al de la Directiva. Esto es de particular importancia en este momento en que se están renegociando los acuerdos con los Estados Unidos, Australia y Canadá desde esta perspectiva de un marco global (y armonizado).
IV.- CONCLUSIÓN
54. El desarrollo de un sistema PNR de la Unión Europea, junto con la negociación de acuerdos PNR con terceros países, ha sido un proyecto de larga duración. El SEPD reconoce que, en comparación con la propuesta de Decisión marco del Consejo sobre un PNR de la Unión Europea de 2007, se han llevado a cabo mejoras visibles en el texto del proyecto. Se han añadido garantías de protección de datos, como resultado de los debates y dictámenes de las diferentes partes interesadas, incluidos en especial el Grupo de Trabajo del Artículo 29, el SEPD y el Parlamento Europeo.
55. El SEPD recibe con agrado estas mejoras y, en especial, los esfuerzos por limitar el ámbito de aplicación de la propuesta y las condiciones del tratamiento de los datos PNr. Sin embargo, se ve obligado a observar que la propuesta no cumple el requisito previo fundamental de cualquier desarrollo de un régimen PNR, esto es, el cumplimiento de los principios de necesidad y proporcionalidad. El SEPD recuerda que, en su opinión, los datos PNR pueden ser necesarios para el mantenimiento del orden público en casos específicos y al mismo tiempo cumplir con los requisitos de protección de datos. Lo que plantea preocupaciones específicas es su utilización de manera sistemática e indiscriminada en relación con todos los pasajeros.
56. La evaluación de impacto proporciona elementos que tienen como fin justificar la necesidad de que los datos PNR para luchar contra la delincuencia aunque el carácter de esta información es demasiado general y no logra dar apoyo al tratamiento a gran escala de los datos PNR con fines de investigación. En opinión del SEPD, la única medida que cumple los requisitos de protección de datos sería la utilización de los datos PNR caso por caso, cuando exista una amenaza grave establecida mediante indicadores concretos.
57. Además de esta deficiencia esencial, las observaciones del SEPD afectan a los siguientes aspectos:
– el ámbito de aplicación debería ser mucho más limitado en relación con el tipo de delitos implicados. El SEPD cuestiona la inclusión en la propuesta de delitos graves que no están relacionados con el terrorismo. En cualquier caso, los delitos menores deberían definirse y excluirse de manera explícita. El SEPD recomienda excluir la posibilidad de que los Estados miembros amplíen el ámbito de aplicación;
– el carácter de las distintas amenazas que permiten el intercambio de datos entre las Unidades de Información sobre Pasajeros o entre los Estados miembros no se ha definido de manera suficiente;
– los principios en materia de protección de datos aplicables no deberían estar basados en la Decisión marco 2008/977/JAI del Consejo, dado que ésta presenta deficiencias especialmente remarcables en relación con los derechos de los individuos cuyos datos se están procesando y las transferencias a terceros países. En la propuesta debería desarrollarse un mayor nivel de garantías, basado en los principios de la Directiva 95/46/CE;
– no debería conservarse ningún dato de manera identificable por más de 30 días, salvo en los casos en que éstos que sean necesarios para una investigación adicional;
– debería reducirse la lista de datos PNR que deben tratarse, de conformidad con las recomendaciones previas del Grupo de Trabajo del Artículo 29 y del SEPD. En concreto, no debería incluirse el campo “observaciones generales”;
– la evaluación de la Directiva debería estar basada en datos generales, incluido el número de personas efectivamente condenadas, y no solo enjuiciadas, sobre la base del tratamiento de sus datos.
58. El SEPD recomienda asimismo que se evalúen los desarrollos relativos a un PNR de la Unión Europea, desde una perspectiva más amplia, incluida la evaluación general en curso de todos los instrumentos europeos en el ámbito de la gestión del intercambio de información lanzada por la Comisión en enero de 2010. En particular, deberían tenerse en cuenta en la evaluación de la necesidad de un sistema PNR de la Unión los resultados del trabajo actual del Modelo Europeo de Intercambio de Información esperados para 2012.
Hecho en Bruselas, el 25 de marzo de 2011.
Peter Hustinx
Supervisor Europeo de Protección de Datos
———————————————————————————————————————————–
(1) DO L 281 de 23.11.1995, p. 31.
(2) DO L 8 de 12.1.2001, p. 1.
(3) COM(2011) 32 final.
(4) COM(2007) 654 final.
(5) Dictamen del Supervisor Europeo de Protección de Datos acerca de la propuesta de Decisión marco del Consejo sobre utilización de datos del registro de nombres de los pasajeros (Passenger Name Record – PNR) con fines represivos (DO C 110 de 1.5.2008, p. 1).
(6)
– Dictamen de 19 de octubre de 2010 relativo a la Comunicación de la Comisión sobre el enfoque global de las transferencias de Datos de Registros de Pasajeros (PNR, en inglés) a los terceros países, disponible en http://www.edps.europa.eu/EDPSWEB/edps/Consultation/OpinionsC/OC2010
– Los dictámenes del Grupo de Trabajo del Artículo 29 están disponibles en el enlace siguiente: http://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/index_en.htm#data_transfers
(7) Esto significa que los datos PNR deben ser transmitidos activamente por las compañías aéreas y no por las autoridades públicas mediante un acceso directo a la base de datos de dichas compañías.
(8) Véase “The moment of truth for the Data Retention Directive” (El momento de la verdad para la Directiva de conservación de datos), discurso pronunciado por Peter Hustinx en la conferencia “Taking on the Data Retention Directive”, Bruselas, 3 de diciembre de 2010, disponible en: http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/Publications/Speeches/2010/10-12-03_Data_retention_speech_PH_EN.pdf
(9) Evaluación de impacto, capítulo 2.1.1, y exposición de motivos, capítulo 1, primer párrafo.
(10) Evaluación de impacto, apartado 3.2, párrafo segundo.
(11) Dictamen 1/2004 de 16 de enero de 2004 sobre el nivel de protección garantizado por Australia en la transmisión de datos del registro de nombres de pasajeros de las compañías aéreas, WP85.
(12) El dictamen del Grupo de Trabajo del Artículo 29 explica asimismo que “ninguna ley obliga al servicio de aduanas a retener los datos del PNR, de la misma forma que ninguna ley prohíbe a dicho servicio almacenar dichos datos. Los datos del PNR evaluados a través del software de análisis de perfiles automatizado y cuyo resultado es de bajo riesgo (entre el 95 % y el 97 % de los pasajeros) no se retienen, y no se conserva ningún registro con dicha información. Así pues, el servicio de aduanas aplica una política general de no retención de estos datos. En cuanto a la media de entre el 0,05 % y el 0,1 % de pasajeros remitidos al servicio de aduanas para ser sometidos a nuevas evaluaciones, se retienen temporalmente los datos del PNR de la compañía aérea, pero no se almacenan, a la espera de los resultados de la evaluación realizada en la frontera. Una vez tomada la decisión, los datos se borran del ordenador del funcionario correspondiente de la Unidad de análisis de pasajeros del servicio de aduanas y no se introducen en las bases de datos australianas.”.
(13) Exposición de motivos, capítulo 1. Contexto de la propuesta, Coherencia con otras políticas y objetivos de la Unión.
(14) La finalidad de Eurodac “será ayudar a determinar el Estado miembro responsable, con arreglo al Convenio de Dublín, del examen de las solicitudes de asilo presentadas en los Estados miembros y, además, facilitar la aplicación del Convenio de Dublín en las condiciones establecidas en el presente Reglamento”, con arreglo al artículo 1, apartado 1, del Reglamento no 2725/2000, de 11 de diciembre de 2000, relativo a la creación del sistema “Eurodac” para la comparación de las impresiones dactilares para la aplicación efectiva del Convenio de Dublín, DO L 316 de 15.12.2000, p. 1.
(15) “El VIS tendrá por objetivo mejorar la aplicación de la política común de visados, la cooperación consular y las consultas entre las autoridades centrales de visados, facilitando el intercambio de datos entre los Estados miembros sobre las solicitudes y sobre las decisiones relativas a las mismas”, con arreglo a lo dispuesto en el artículo 2 del Reglamento (CE) no 767/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008, sobre el Sistema de Información de Visados (VIS) y el intercambio de datos sobre visados de corta duración entre los Estados miembros (Reglamento VIS), DO L 218 de 13.8.2008, p. 60.
(16) COM(2010) 385 final.
(17) Tal como se mencionó en las Decisiones marco 2008/841/JAI y 2002/584/JAI del Consejo.
(18) Sobre las Unidades de Información sobre Pasajeros, véase el Dictamen del SEPD de 20 de diciembre de 2007.
(19) Tercer Dictamen del Supervisor Europeo de Protección de Datos sobre la propuesta de Decisión Marco del Consejo relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal DO C 139 de 23.6.2007, p. 1.
(20) Dictamen de 23 de junio de 2003 sobre el nivel de protección garantizado en los Estados Unidos para las transferencias de datos de los pasajeros, WP78. Este dictamen y los dictámenes siguientes del Grupo de Trabajo sobre esta cuestión están disponibles en: http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/index_en.htm#data_transfers