9.2.2012   

ES

Diario Oficial de la Unión Europea

C 35/16

1.

El 28 de noviembre de 2011, la Comisión adoptó una propuesta de Decisión del Consejo relativa a la celebración del Acuerdo entre los Estados Unidos de América y la Unión Europea sobre la utilización y la transferencia de los registros de nombres de los pasajeros (PNR) al Departamento de Seguridad del Territorio Nacional de los Estados Unidos (3) (en adelante, «el acuerdo»).

2.

El 9 de noviembre de 2011, el SEPD fue consultado de manera informal sobre el proyecto de propuesta, en el contexto de un procedimiento acelerado. El 11 de noviembre de 2011, emitió una serie limitada de observaciones. El objetivo del presente dictamen es complementar dichas observaciones a la luz de la presente propuesta y exponer públicamente su opinión. El presente dictamen también se basa en una serie de intervenciones anteriores por parte del SEPD y del Grupo de Trabajo del Artículo 29 en relación con el PNR.

3.

El acuerdo tiene por objeto ofrecer una base jurídica sólida para la transferencia de los datos del PNR de la UE a los EE.UU. Actualmente, la transferencia se realiza sobre la base del acuerdo de 2007 (4) ya que el Parlamento decidió posponer la votación sobre la aprobación hasta que se diera respuesta a sus preocupaciones en materia de protección de datos. En particular, en su resolución de 5 de mayo de 2010 (5), el Parlamento hizo referencia a los siguientes requisitos:

4.

El presente acuerdo debe considerarse en el contexto de un enfoque global del PNR, que incluye las negociaciones con otros terceros países (a saber, Australia (8) y Canadá (9)), y una propuesta de un régimen PNR a escala de la Unión Europea (10). También entraría en el ámbito de las negociaciones en curso para lograr un acuerdo entre la Unión Europea y los EE.UU. sobre el intercambio de datos personales en el marco de la cooperación policial y judicial en materia penal (11). En un contexto más amplio, el acuerdo había sido iniciado unas semanas antes de la adopción de las propuestas prevista para la revisión del marco general de protección de datos (12).

5.

El SEPD recibe con agrado este enfoque global que tiene por objeto proporcionar un marco jurídico coherente para los acuerdos PNR de conformidad con los requisitos legales de la UE. Sin embargo, lamenta que este calendario no permita garantizar en la práctica que estos acuerdos sean coherentes con las nuevas normas de la UE en materia de protección de datos. También desearía recordar que el acuerdo general entre la UE y los EE.UU. sobre los intercambios de datos debería ser aplicable al Acuerdo PNR entre la Unión y los Estados Unidos.

6.

Según la Carta de los Derechos Fundamentales de la Unión Europea, toda limitación a los derechos y libertades fundamentales debe ser necesaria, proporcional y estar prevista en una disposición legal. Tal como han declarado repetidamente el SEPD (13) y el Grupo de Trabajo del Artículo 29 (14), la necesidad y la proporcionalidad de los regímenes PNR y de las grandes transferencias de datos PNR a terceros países hasta ahora no ha quedado demostrada. El Comité Económico y Social Europeo y la Agencia de los Derechos Fundamentales de la Unión Europea también comparten esta opinión (15). Los comentarios específicos que se incluyen a continuación se entienden sin perjuicio de lo indicado en esta observación preliminar básica.

7.

Aunque este acuerdo incluye algunas mejoras respecto del acuerdo de 2007 e incorpora garantías adecuadas sobre la seguridad y la supervisión de los datos, parece que no se han satisfecho ninguna de las principales preocupaciones que se expresaron en los dictámenes anteriormente mencionados ni las condiciones exigidas por el Parlamento Europeo para dar su aprobación (16).

8.

El artículo 4, apartado 1, del acuerdo establece que los Estados Unidos tratarán los datos PNR con el fin de prevenir, detectar, investigar y enjuiciar a) delitos de terrorismo y otros delitos relacionados y b) delitos sancionados con una pena de tres o más años de privación de libertad y que sean de carácter transnacional. Algunos de estos conceptos se definen posteriormente.

9.

Aunque estas definiciones son más precisas que las del acuerdo de 2007, algunos de los conceptos todavía resultan vagos y existen excepciones que pueden anular la limitación a una finalidad específica y generar inseguridad jurídica. En especial:

10.

El anexo I del acuerdo contiene 19 tipos de datos que se enviarán a los EE.UU. La mayoría de ellos también engloban distintas categorías de datos y son idénticos a los campos de datos del acuerdo de 2007, que ya fueron considerados desproporcionados por el SEPD y el Grupo de Trabajo del Artículo 29 (18).

11.

Se trata en particular del campo «Observaciones generales, incluida la información sobre otros servicios (OSI) (19), información sobre servicios especiales (SSI) (20) y sobre servicios especiales solicitados (SSR) (21)», en el que pueden revelarse datos relativos a las creencias religiosas (p. ej., preferencias de comida) o a la salud (p. ej., solicitud de una silla de ruedas). Dichos datos sensibles deberían quedar explícitamente excluidos de la lista.

12.

Al evaluar la proporcionalidad de la lista, también debería tenerse en cuenta que, en razón de la transmisión anticipada (artículo 15, apartado 3, del acuerdo), estas categorías no sólo harán referencia a los pasajeros de hecho sino también a aquellas personas que finalmente no vuelen (p. ej., debido a una cancelación).

13.

Además, la presencia de campos de datos abiertos podría generar inseguridad jurídica. Las categorías como «toda la información de contacto disponible», «toda la información relativa al equipaje» y «observaciones generales» deberían estar mejor definidas.

14.

Por tanto, el listado debería reducirse. De conformidad con lo indicado en el dictamen del Grupo de Trabajo del Artículo 29 (22), consideramos que los datos deberían ceñirse a la siguiente información: código localizador del expediente PNR, fecha de la reserva, fecha o fechas en las que se haya previsto viajar, nombre del pasajero, otros nombres que figuren en los datos PNR, itinerario completo del viaje, identificación de billetes gratuitos, billetes de ida sólo, información sobre la emisión de billetes, datos ATFQ (Automatic Ticket Fare Quote), número de billete, fecha de emisión del billete, información relativa a la no comparecencia del pasajero (no show history), número de unidades de equipaje, números de las etiquetas de las unidades de equipaje, información relativa a pasajeros de última hora sin reserva (go show), número de unidades de equipaje por cada segmento, mejoras voluntarias o involuntarias de las condiciones e historial de las modificaciones introducidas en los datos PNR en relación con los aspectos mencionados.

15.

El artículo 6 del acuerdo establece que el DHS filtrará y «enmascarará» automáticamente los datos sensibles. Sin embargo, los datos sensibles serán almacenados, como mínimo, 30 días y podrían ser utilizados en casos específicos (artículo 6, apartado 4). El SEPD desea hacer hincapié en que incluso después de haber sido «enmascarados», estos datos todavía seguirían siendo «sensibles» y haciendo referencia a personas físicas identificables.

16.

Como el SEPD ya ha indicado, el DHS no debería tratar datos sensibles relativos a ciudadanos de la UE, incluso si estos están «enmascarados» cuando se reciben. El SEPD recomienda que se especifique en el texto del acuerdo que las compañías aéreas no deben transferir datos sensibles al DHS.

17.

El artículo 8 establece que los datos PNR serán conservados durante cinco años como máximo, período tras el cual serán transferidos a una base de datos inactiva y almacenados durante un período de hasta 10 años. Este período de conservación máximo de quince años resulta claramente desproporcionado, con independencia de si los datos se almacenan en una base de datos «activa» o «inactiva», tal como ya han subrayado el SEPD y el Grupo de Trabajo del Artículo 29.

18.

El artículo 8, apartado 1, especifica que los datos serán «despersonalizados y enmascarados» transcurridos seis meses desde su recepción por parte del DHS. Sin embargo, tanto los datos «enmascarados» como los datos almacenados en una «base de datos inactiva» son datos personales siempre que no sean anónimos. Los datos deberían, por tanto, hacerse anónimos (de modo irreversible) o eliminarse inmediatamente tras su examen o tras un período máximo de seis meses.

19.

El SEPD recibe con agrado el artículo 15, apartado 1, que establece que los datos serán transferidos mediante el método «push». Sin embargo, el artículo 15, apartado 5, exige a las compañías que «faciliten el acceso» a los datos PNR en circunstancias excepcionales. A fin de impedir definitivamente el uso del sistema «pull» y, en vista de las preocupaciones que el Grupo de Trabajo del Artículo 29 ha vuelto recientemente a subrayar (23), recomendamos encarecidamente que el acuerdo prohíba de manera explícita la posibilidad de que los funcionarios de EE.UU. puedan acceder a los datos de forma separada a través de un sistema pull.

20.

El número y la periodicidad de las transferencias por parte de las compañías aéreas al DHS deberían estar definidos en el acuerdo. Para reforzar la seguridad jurídica, deberían indicarse con más detalle las condiciones en que las transferencias adicionales podrían permitirse.

21.

El SEPD recibe con agrado el artículo 5 del acuerdo sobre la seguridad e integridad de los datos y, en particular, la obligación de notificar un incidente que afecte a la intimidad de las personas afectadas. Sin embargo, deberían aclararse los siguientes elementos de la notificación de violaciones relativas a datos:

22.

El SEPD apoya la obligación de registrar o documentar todo acceso y tratamiento de los PNR, ya que esto permitirá comprobar si el DHS ha hecho un uso apropiado de los datos PNR y si han existido accesos no autorizados al sistema.

23.

El SEPD recibe con satisfacción el hecho de que el cumplimiento de los requisitos de protección de la intimidad del acuerdo esté sometido al control y a la supervisión independientes de los responsables de protección de la intimidad del Departamento, tales como el Director responsable de la protección de la intimidad, tal como establece el artículo 14, apartado 1. Sin embargo, a fin de garantizar el ejercicio efectivo de los derechos de los interesados, el SEPD y las autoridades nacionales encargadas de la protección de datos deberían trabajar junto con el DHS sobre los procedimientos y modalidades de ejercicio de dichos derechos (24). El SEPD recibiría con agrado que el acuerdo incluyera una referencia sobre dicha cooperación.

24.

El SEPD apoya firmemente el derecho a la reparación «con independencia de su nacionalidad, país de origen o lugar de residencia», establecido en el artículo 14, apartado 1, párrafo segundo. Sin embargo, lamenta que el artículo 21 indique de manera explícita que el acuerdo «no creará ni conferirá, con arreglo a la legislación de los EE.UU., derecho ni beneficio alguno a ninguna persona». Incluso si se concede el derecho al «recurso judicial» en los EE.UU. en virtud del acuerdo, dicho derecho no será equivalente al derecho de recurso judicial efectivo en la UE, en particular a la luz de la restricción indicada en el artículo 21.

25.

El artículo 16 del acuerdo prohíbe la transferencia de datos a las autoridades nacionales que no apliquen a los PNR unas salvaguardias «equivalentes o comparables» a las previstas en el presente acuerdo. El SEPD recibe con agrado esta disposición. Sin embargo, la lista de autoridades que podrían recibir datos del PNR debería quedar más especificada. Respecto de las transferencias internacionales, el acuerdo establece que únicamente podrán realizarse si el receptor utiliza los datos respetando lo dispuesto en el acuerdo y aporta garantías de la intimidad «comparables» a las establecidas en el acuerdo, salvo en circunstancias de emergencia.

26.

Respecto de los términos «comparable» o «equivalente» utilizados en el acuerdo, el SEPD desearía hacer hincapié en que el DHS no debe realizar ninguna transferencia nacional o internacional ulterior, salvo si el destinatario aporta garantías que no sean menos exigentes que las establecidas en el presente acuerdo. Asimismo, el acuerdo debería aclarar que las transferencias de datos PNR deberían efectuarse caso por caso, garantizando que sólo se transmitirán los datos necesarios a los correspondientes destinatarios y que no se permitirán excepciones. Además, el SEPD recomienda que las transferencias de datos a terceros países queden sujetas a una autorización judicial previa.

27.

El artículo 17, apartado 4, establece que cuando los datos de una persona residente en un Estado miembro se transfieren a un tercer país, se informará de ello a las autoridades competentes del Estado miembro de que se trate, cuando el DHS tenga conocimiento de esta situación. Esta condición debería ser suprimida ya que el DHS siempre debería tener conocimiento de las transmisiones ulteriores a terceros países.

28.

No queda clara la forma jurídica elegida por los Estados Unidos para celebrar el acuerdo ni el modo en que dicho acuerdo será legalmente vinculante en este país. Debería aclararse este punto.

29.

El artículo 20, apartado 2, trata sobre la coherencia del posible régimen PNR de la UE. El SEPD destaca que las consultas sobre la adaptación del presente acuerdo examinarán, en particular, «la posibilidad de que un futuro sistema PNR de la UE pueda aplicar normas de protección de datos menos exigentes que las previstas en el presente acuerdo». A fin de garantizar la coherencia, toda adaptación debería también (y especialmente) considerar mayores salvaguardias en cualquier sistema PNR futuro.

30.

El acuerdo también debería ser revisado a la luz del nuevo marco de protección de datos y de la posible conclusión de un acuerdo general entre la UE y los Estados Unidos sobre el intercambio de datos personales en el marco de la cooperación policial y judicial en materia penal. Podría añadirse una nueva disposición similar al artículo 20, apartado 2, que estableciera que «en el supuesto de que se adopte un nuevo marco jurídico en materia de protección de datos en la UE y según el momento de su adopción, o se concluya un nuevo acuerdo sobre el intercambio de datos entre la UE y los Estados Unidos, las Partes se consultarán para determinar si es necesario adaptar en consecuencia el presente Acuerdo. Tales consultas examinarán, en particular, la posibilidad de que cualquier modificación futura del marco jurídico en materia de protección de datos o acuerdo futuro UE-EE.UU. sobre la protección de datos pueda aplicar normas de protección de datos menos exigentes que las previstas en el presente Acuerdo».

31.

Por lo que respecta a la revisión del acuerdo (artículo 23), el SEPD considera que las autoridades nacionales encargadas de la protección de datos incluirse explícitamente en el equipo de revisión. La revisión también debería concentrarse en la evaluación de la necesidad y la proporcionalidad de las medidas y en el ejercicio efectivo de los derechos de los interesados, así como incluir la comprobación del modo en que las solicitudes de los interesados están siendo tratadas en la práctica, especialmente cuando no se permite un acceso directo. Debería especificarse la frecuencia de las revisiones.

32.

El SEPD recibe con agrado las garantías sobre la seguridad y la supervisión de los datos previstas en el acuerdo y las mejoras respecto del acuerdo 2007. Sin embargo, siguen sin resolverse muchas preocupaciones, en especial respecto de la coherencia del enfoque global del PNR, la limitación a una finalidad específica, las categorías de datos que deben ser transferidas al DHS, el tratamiento de datos sensibles, el período de conservación, las excepciones al método push, los derechos de los interesados y las transferencias ulteriores.

33.

Dichas observaciones se entienden sin perjuicio de los requisitos de necesidad y proporcionalidad de cualquier régimen PNR y acuerdo legítimos que establezcan la transferencia masiva de datos PNR desde la UE a terceros países. Tal como el Parlamento Europeo reiteró en su resolución de 5 de mayo, «la necesidad y la proporcionalidad son principios clave sin los cuales la lucha contra el terrorismo nunca será eficaz».