Recomendación 98/1, sobre los sistemas informatizados de reserva de las líneas aéreas (SIR). XV D/5009/98 FINAL WP 10.– Grupo de Trabajo sobre la Protección de Datos de carácter personal en lo que respecta al tratamiento de datos personales creado por la Directiva 95/46/CE (Unión Europea), de 28 de abril de 1.998.
COMISIÓN EUROPEA
DIRECCIÓN GENERAL XV
Mercado Interior y Servicios Financieros
Libre circulación de la información, Derecho de sociedades e información financiera
Libre circulación de la información, protección de datos y sus aspectos internacionales
XV D/5009/98 final
WP 10 Grupo de Trabajo sobre protección de las personas en lo que respecta al tratamiento de datos personales
Recomendación 1/98 sobre los sistemas informatizados de reserva de las líneas aéreas (SIR)
Aprobada por el Grupo de Trabajo el 28 de abril de 1998
Recomendación sobre los sistemas informatizados de reserva de las líneas aéreas (SIR)
EL GRUPO DE TRABAJO SOBRE PROTECCIÓN DE LAS PERSONAS EN LO QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES,
Creado en virtud de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 19951,
Vistos el artículo 29 y el apartado 3 del artículo 30 de dicha Directiva,
Visto su Reglamento Interno y, en particular, sus artículos 12 y 14,
HA ADOPTADO LA PRESENTE RECOMENDACIÓN:
INTRODUCCIÓN
En virtud de la letra b) del apartado 1 del artículo 6 de la Directiva 95/46/CE, los Estados miembros deben disponer que los datos personales sean “recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dichos fines”; de acuerdo con la letra e) de ese mismo apartado 1, los datos deben conservarse “en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente”.
El artículo 8 de la Directiva obliga a los Estados miembros a prohibir el tratamiento de datos personales que revelen, entre otras cosas, el origen racial o étnico, las opiniones políticas o el estado de salud. Pueden establecerse excepciones a este principio siempre que se ajusten a alguno de los supuestos enumerados en los apartados 2 y 3 del artículo 8, siendo uno de tales supuestos el que el interesado haya dado su consentimiento explícito.
Con arreglo a la Directiva, el interesado disfruta de una serie de derechos específicos, entre los que se incluyen el derecho a ser informado sobre el tratamiento de sus datos personales (artículos 10 y 11) y el derecho de acceso a los datos, de rectificación y supresión de los mismos (artículo 12).
Habida cuenta de las características específicas de las reservas en líneas aéreas, y de las recientes iniciativas de la Comisión a este respecto2, el Grupo de Trabajo decidió crear un subgrupo para los sistemas informatizados de reserva (SIR). El subgrupo se reunió en dos ocasiones y decidió someter los resultados de sus debates al Grupo de Trabajo con vistas a la adopción de la presente recomendación.
EXPOSICIÓN DE MOTIVOS
El sector del transporte aéreo se caracteriza por un uso muy desarrollado de los sistemas informáticos. Existen bases de datos que contienen datos personales en muchos contextos, y en particular en las compañías aéreas, las agencias de viajes y los sistemas informatizados de reserva. Algunas de las bases de datos (en particular, aunque no de forma exclusiva, las de los SIR) están ubicadas fuera de la Comunidad.
Dado el carácter internacional de la aviación, las soluciones de tipo general son, en principio, las más adecuadas.
A juicio del Grupo de Trabajo, deben considerarse previamente los siguientes aspectos:
1. Información y derecho de acceso
– La mayor parte de los datos personales son recogidos por las agencias de viajes y las compañías aéreas. Por motivos de orden práctico, y sin perjuicio de la definición de “responsable del tratamiento” que figura en la Directiva 95/46/CE, el problema del derecho del interesado de acceder a sus datos debería, por tanto, resolverse principalmente a través de dichas partes.
– No obstante, determinados aspectos relacionados con el acceso pueden también regularse directamente a través del SIR, lo cual podría hacerse en el proyecto de Reglamento sobre el código de conducta de los SIR propuesto por la Comisión.
– El código de conducta para los sistemas informatizados de reserva confirma el derecho de los pasajeros a ser informados acerca de las circunstancias del tratamiento de datos. Convendría reforzar este derecho mediante la involucración de los abonados (p.ej., las agencias de viajes) y las compañías aéreas.
2. Supresión de los datos
– Es conveniente asegurarse de que los datos personales queden fuera de línea para el SIR en cuanto dejen de utilizarse a efectos del viaje.
– Si bien dichos datos pueden ser necesarios para la resolución de litigios y deben, por tanto, archivarse durante algún tiempo, deberían utilizarse exclusivamente con ese fin y destruirse con posterioridad.
– Ello no excluye la posibilidad de que los abonados y las compañías aéreas obtengan el consentimiento de las personas que viajan con frecuencia para procesar sus datos de acuerdo con lo dispuesto en la Directiva 95/46/CE.
CONCLUSIONES
Considerando lo anterior, el Grupo de Trabajo recomienda lo siguiente:
Que la propuesta de Reglamento por el que se modifica el Reglamento 2299/89 del Consejo, relativo a un código de conducta para los sistemas informatizados de reserva, se complete con las siguientes disposiciones:
– Una obligación clara de facilitar información al consumidor acerca del tratamiento de datos personales en el SIR. Esta información, que podría facilitarse, por ejemplo, mediante folletos estándar, debería incluir la denominación y dirección del vendedor del sistema, la finalidad del tratamiento, el plazo de conservación y los procedimientos por los cuales el interesado puede ejercer el derecho de acceso a los datos.
– La obligación para los abonados (p.ej., las agencias de viajes) y las compañías aéreas de obtener el consentimiento expreso de los interesados para recoger datos sensibles (pasajeros minusválidos, comidas aptas para musulmanes, etc.). Si el SIR incluye un sistema de expedición directa de billetes, el vendedor del sistema3 debería quedar sujeto a tal obligación.
– La obligación para las partes antes mencionadas de responder rápidamente a una solicitud de acceso presentada por un pasajero que desea ver sus propios datos.
– La exigencia para los SIR de que todos los datos personales obtenidos se archiven fuera de línea en un plazo no superior a 72 horas tras la conclusión del viaje4 y se destruyan en un plazo máximo de 3 años. El acceso a tales datos únicamente debe autorizarse a efectos de la resolución de litigios en materia de facturación. No obstante la obligación de destruir los datos en el plazo de 3 años, los datos personales podrán conservarse durante el tiempo que resulte necesario para zanjar una demanda de daños y perjuicios o para dar cumplimiento a un requisito legal (p.ej., normas contables y fiscales).
– La exigencia de que se efectúen las modificaciones oportunas para ampliar el ámbito de aplicación de la auditoría prevista en el artículo 21 bis.
Que se estudien, además, con carácter prioritario los problemas específicos planteados por las reservas en línea efectuadas al margen de los SIR (p.ej., agencias de viajes o compañías aéreas que expiden directamente billetes por Internet) y que la Comisión proponga sin demora soluciones adecuadas. A este respecto, se invita a la Comisión a precisar si la Directiva 97/66/CE (5) es aplicable a este extremo y en qué medida.
Los destinatarios de la presente recomendación, aprobada por el Grupo de Trabajo el ………., son la Comisión Europea, el Parlamento Europeo, el Consejo de la Unión Europea y el Comité Económico y Social.
Bruselas, 28 de abril de 1998
Por el Grupo de Trabajo
El Presidente P.J. HUSTINX
——————————————————————————————-
(1) DO L 281 de 23.11.1995, p. 31.
(2) Propuesta de Reglamento (CE) del Consejo por el que se modifica el Reglamento (CEE) n§ 2299/89 del Consejo relativo a un código de conducta para los sistemas informatizados de reserva (SIR); COM (97) 246 final de 9 de julio de 1997.
(3) De acuerdo con la definición contenida en el código de conducta arriba mencionado, por “vendedor de sistemas” se entiende “una empresa que, junto con sus filiales, asegure la explotación o la comercialización de un sistema informatizado de reservas”.
(4) Tal como se indica en la exposición de motivos, el derecho de los abonados y las compañías aéreas a procesar datos sensibles relativos a sus clientes habituales en su propio sistema informático, con el consentimiento expreso de los interesados, no se ve alterado.
(5) Directiva 97/66/CE del Parlamento Europeo y del Consejo de 15 de diciembre de 1997 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones (DO L 24 de 30.1.1998, p. 1).