Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
RESUMEN
En
su segunda declaración sobre la aplicación de la Directiva PNR, posterior a la del
15 de diciembre de 2022, el Comité ofrece nuevas directrices a las Unidades de Información
sobre Pasajeros (UIP) sobre las adaptaciones y limitaciones necesarias para el tratamiento
de los datos PNR, tras la sentencia PNR. Los datos PNR constituyen información personal
proporcionada por los pasajeros, recopilada y conservada por las compañías aéreas,
que incluye los nombres de los pasajeros, las fechas de viaje, los itinerarios,
los asientos, el equipaje, los datos de contacto y los medios de pago.
La
declaración incluye recomendaciones prácticas para las leyes nacionales que transponen
la Directiva PNR con el fin de dar efecto a las conclusiones del TJUE en la sentencia
PNR. Las recomendaciones abarcan algunos aspectos clave de la sentencia PNR, como
la forma en que los países europeos deben seleccionar los vuelos de los que se recopilan
los datos PNR o el período durante el cual deben conservarse. Según el Comité, el
periodo de conservación de todos los datos PNR no debe superar un período inicial
de seis meses. Tras este periodo, los países europeos solo podrán almacenar datos
PNR durante el tiempo necesario y proporcional a los objetivos de la Directiva PNR.
La
presidenta del CEPD, Anu Talus, declaró: «El CEPD reconoce la importancia de la
Directiva PNR para mejorar la seguridad de los pasajeros en toda Europa y para ayudar
a prevenir, detectar y perseguir penalmente los delitos terroristas y la delincuencia
grave. La transferencia de datos PNR en Europa debe realizarse de forma armonizada
y respetando plenamente los principios de protección de datos».
El
Comité es consciente de que algunos países europeos ya han iniciado el proceso de
adaptación, pero aún existe una importante falta de esfuerzos de implementación
en todos los Estados miembros. Por lo tanto, en su declaración, el CEPD subraya
la urgente necesidad de implementar los cambios necesarios y modificar las legislaciones
nacionales teniendo en cuenta la sentencia PNR lo antes posible.
El
presente documento ha sido traducido del inglés al castellano por el suscrito,
con la ayuda del aplicativo Google Transalator. Sería interesante analizar como pudiera adaptarse esta Directiva a los paises de América Latina.
A fin de acceder a normas similares y estándares
europeos, las empresas, organizaciones públicas y privados interesados en
asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías
sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@hotmail.com
________________________________________________________________
Declaración 2/2025 sobre la aplicación de la Directiva PNR a
la luz de la sentencia del TJUE C-817/19 Adoptada el 13 de marzo de 2025.
Índice
1 Antecedentes y finalidad de esta declaración 3
2 Recomendaciones 4
2.1 Categorías de personas 4
2.2 Vínculo objetivo 5
2.3 Vuelos intracomunitarios 6
2.4 Derechos del interesado y
tratamiento automatizado 8
2.5 Revisión previa independiente
9
2.6 Periodo de conservación 10
3 Observaciones finales 11
El Comité Europeo de Protección de Datos ha adoptado la
siguiente declaración:
1 ANTECEDENTES Y OBJETIVO DE ESTA DECLARACIÓN
1. El 21 de junio de 2022, el
Tribunal de Justicia de la Unión Europea (TJUE) dictó sentencia (en adelante,
la Sentencia PNR) sobre la Directiva (UE) 2016/681 del Parlamento Europeo y del
Consejo, de 27 de abril de 2016, relativa a la utilización de datos del
registro de nombres de los pasajeros (PNR) para la prevención, la detección, la
investigación y el enjuiciamiento de delitos de terrorismo y delitos graves (en
adelante, la Directiva PNR).
2. Si bien el TJUE consideró que
la validez de la Directiva PNR no se veía afectada, dictaminó que, para
garantizar el cumplimiento de la Carta de los Derechos Fundamentales de la
Unión Europea (en adelante, la Carta), la Directiva PNR debe interpretarse en
el sentido de que incluye importantes limitaciones al tratamiento de datos
personales. El TJUE sostuvo que esto reviste especial importancia en vista de
las graves injerencias en los derechos garantizados en los artículos 7 y 8 de
la Carta. Para limitar estas injerencias a lo estrictamente necesario, el TJUE
identifica varios aspectos que deben cumplir las leyes nacionales que
transponen la Directiva PNR. Entre los más relevantes se encuentran:
• la
limitación a los fines establecidos en la Directiva PNR, que son exhaustivos;
• la
aplicación del sistema PNR únicamente a los delitos terroristas y graves (es
decir, se excluye explícitamente la delincuencia común) que tengan un vínculo
objetivo, aunque sea indirecto, con el transporte aéreo de pasajeros;
• la
limitación de la aplicación de la Directiva PNR a los vuelos intracomunitarios
y otros medios de transporte;
• la no
aplicación indiscriminada del periodo general de conservación de cinco años a
todos los datos personales de los pasajeros aéreos.
3. A la luz de la Sentencia PNR,
el 13 de diciembre de 2022, el CEPD adoptó la Declaración 5/2022 sobre las
implicaciones de la Sentencia PNR para la aplicación de la Directiva PNR
relativa al uso del PNR en los Estados miembros. Concluyó que la interpretación
de los aspectos más críticos señalados por la Sentencia PNR es fundamental para
proceder de forma armonizada en todos los Estados miembros[1].
A raíz de la Declaración 5/2022, el CEPD elaboró la presente Declaración con
el fin de proporcionar orientación adicional sobre algunas de las adaptaciones
y limitaciones necesarias para el procesamiento de datos PNR para las
respectivas Unidades de Información sobre Pasajeros (en adelante, UIP) en los
Estados miembros, derivadas de la Sentencia PNR. Asimismo, la Declaración
también destaca la necesidad de que los órganos legislativos de los Estados
miembros implementen los cambios en las legislaciones nacionales y modifiquen
dichas legislaciones a la luz de la Sentencia PNR lo antes posible. Además, la
Declaración también debería facilitar la aplicación de la Directiva PNR y su
interpretación a la luz de la Sentencia PNR para los profesionales del derecho,
así como para los responsables de la protección de datos.
2 RECOMENDACIONES
4. El CEPD desea formular las
siguientes recomendaciones sobre algunos aspectos clave de la Sentencia PNR
para la aplicación de la Directiva PNR. Cada recomendación va seguida de
observaciones explicativas tras una evaluación e interpretación más detalladas
de la Sentencia PNR.
Se podrá proporcionar más
orientación si es necesario.
2.1 Categorías de personas
5. Los datos personales de terceros solo entran en el ámbito de
aplicación de la Directiva PNR en la medida en que se relacionen directamente
con el vuelo operado y el pasajero en cuestión. En la práctica, dichos datos
personales de terceros se limitan a: (a) la información de pago y la dirección
de facturación de la persona que compró el billete en nombre del pasajero, en
la medida en que se relacione directamente con el vuelo, y (b) los datos de
contacto del padre, madre o tutor que deje o recoja a un menor no acompañado.
Todos los demás datos personales de terceros deben ser eliminados de forma
inmediata y permanente por la UIP tras su recepción.
6. El Anexo I de la Directiva PNR
contiene 19 epígrafes que describen distintas categorías de datos PNR que la
compañía aérea debe transferir a la UIP. Cada categoría se refiere a la
información que los pasajeros proporcionan ellos mismos como parte del proceso
de reserva o que se proporciona en su nombre. Algunas de estas categorías son
bastante amplias y podrían incluir datos personales de otras personas además
del pasajero (por ejemplo, terceros que participan en la reserva o compra del
billete de avión). El grado en que estas categorías adicionales de interesados
pueden ser tratadas debe interpretarse a la luz de la Sentencia.
7. La información que la compañía
aérea debe proporcionar a la UIP en virtud de cada epígrafe del Anexo 1 de la
Directiva PNR debe interpretarse de forma restrictiva en cuanto a su relación
con el pasajero y debe limitarse a lo estrictamente necesario para cumplir los
objetivos de la Directiva PNR, excluyendo los datos sensibles[2].
Por lo tanto, los datos personales de titulares de datos distintos del pasajero
solo entran en el ámbito de aplicación de la Directiva PNR en la medida en que
se relacionen directamente con el vuelo operado y el pasajero en cuestión,
incluso cuando esto contradiga la interpretación literal de los propios títulos[3].
Por ejemplo, en el caso del Título 5, solo la información de contacto y la
dirección del pasajero están dentro del ámbito de aplicación, incluso si un
tercero realizó una reserva en nombre del pasajero[4].
Si un tercero ha pagado el vuelo, su información de pago y facturación deberá
proporcionarse en el Título 6. Sin embargo, esto debe limitarse a la
información relativa a los métodos de pago y la facturación del billete de
avión. Otra información de terceros debe eliminarse, ya que no está
directamente relacionada con el vuelo, excepto (a) la información de pago y la
dirección de facturación de un tercero que compró el billete en nombre del
pasajero, siempre que esté directamente relacionada con el vuelo, y (b) los
datos de contacto de un padre o tutor que deje o recoja a un pasajero menor no
acompañado.
8. Las Unidades de Información
sobre el Pasajero (UIP) de los Estados miembros tienen la responsabilidad de
garantizar que cualquier dato PNR proporcionado por las compañías aéreas que
exceda lo permitido por el Anexo I, interpretado a la luz de la Sentencia PNR,
se elimine "de forma inmediata y permanente tras su recepción" para
evitar el tratamiento de datos en relación con categorías excesivas de
interesados.
2.2 Vínculo objetivo
9. Los delitos que no tienen un vínculo objetivo, ni siquiera indirecto,
con el transporte aéreo de pasajeros no justifican la aplicación del sistema
establecido por la Directiva PNR[5].
Para establecer un vínculo objetivo, deben existir criterios objetivos que
vinculen los datos PNR con la lucha contra la delincuencia grave y los delitos
terroristas. Mientras que un vínculo directo se refiere a los delitos contra el
transporte aéreo de pasajeros, así como a los delitos cometidos durante o a
través de un viaje aéreo[6], un
vínculo indirecto abarca todas las situaciones en las que, sin un vínculo
directo, los delitos graves y los delitos terroristas pueden prevenirse,
detectarse, investigarse o perseguirse mediante el procesamiento de datos PNR
de conexiones o vuelos seleccionados, es decir, en particular, cuando el
transporte aéreo se utiliza como medio para preparar dichos delitos o eludir la
persecución penal.
10. El artículo 1, apartado 2, de
la Directiva PNR establece que los datos PNR recopilados de conformidad con
dicha Directiva podrán ser objeto de las operaciones de tratamiento a que se
refiere el artículo 6, apartado 2, letras a) a c), únicamente a efectos de
prevención, detección, investigación y enjuiciamiento de delitos terroristas y
delitos graves. Según el TJUE, corresponde a los Estados miembros garantizar
que la aplicación del sistema establecido por la Directiva PNR se limite
efectivamente a la lucha contra los delitos graves y que dicho sistema no se
extienda a delitos que constituyen delitos comunes[7].
El TJUE establece que un elemento esencial para evaluar la necesidad y la
proporcionalidad de las actividades de tratamiento de los datos PNR es la
existencia de un vínculo objetivo, aunque sea indirecto, con el transporte
aéreo de pasajeros[8]. La
recomendación pretende aclarar la naturaleza y la relevancia del concepto de
«vínculo objetivo».
11. Para establecer un vínculo
objetivo, deben existir criterios objetivos que establezcan una conexión entre
los datos PNR conservados y la lucha contra la delincuencia grave y los delitos
de terrorismo[9]. Por lo
tanto, una supuesta conexión debe estar respaldada por hechos y pruebas; por
ejemplo, la expectativa puramente subjetiva de un agente de policía no sería
suficiente. Además, cada aplicación del sistema PNR debe examinarse para
evaluar la existencia de un vínculo objetivo. Para reducir la gravedad de la
injerencia en el derecho fundamental a la protección de datos personales, el
análisis de la existencia de un vínculo objetivo debe realizarse lo antes
posible en el proceso, es decir, en particular, antes de realizar evaluaciones
previas (artículo 6, apartado 2, letra a), y tras las solicitudes de evaluación
posterior (artículo 6, apartado 2, letra b).
12. Cuando se identifique a
personas mediante el tratamiento automatizado, la UIP deberá abstenerse de
transferir los resultados a las autoridades competentes si, tras la revisión,
no se dispone de información “que pueda
dar lugar, con arreglo al criterio jurídico requerido, a una sospecha razonable
de participación en delitos terroristas o delitos graves[10].
Estos criterios deberán aplicarse mutatis mutandis también antes de iniciar las
evaluaciones de los pasajeros antes de su llegada o salida programada del
Estado miembro (artículo 6, apartado 2, letra a). Los hechos y las pruebas que sirven
de base para la identificación de los viajeros deben poder dar lugar, con
arreglo al criterio jurídico requerido, a una sospecha razonable de
participación en delitos terroristas o delitos graves. El requisito de
comprobar la existencia del vínculo objetivo, también tras la revisión
individual realizada por medios no automatizados, de conformidad con el
artículo 6, apartado 5, deberá considerarse una salvaguardia adicional
necesaria. Además, ya en esta fase es esencial garantizar que la aplicación del
sistema PNR no se extienda a delitos que constituyen delitos comunes, incluso
considerando características distintas a la pena máxima[11].
13. En cuanto a las evaluaciones
posteriores a las solicitudes de las autoridades competentes, artículo 6(2)(b),
es importante señalar que el TJUE distinguió si los datos PNR se solicitan en
relación con delitos terroristas o con delitos graves que tengan un vínculo
objetivo con el transporte aéreo. En resumen, cuando los datos PNR se solicitan
en relación con delitos graves, la UIP debe evaluar las solicitudes con un
rigor demostrable para cumplir el requisito de estar «debidamente motivadas»
del artículo 6(2)(b). Para que dichas solicitudes estén debidamente motivadas,
la UIP debe cerciorarse de que se basan en «elementos
objetivos que puedan dar lugar a una sospecha razonable de que la persona en
cuestión está implicada de una forma u otra en un delito grave que tenga un
vínculo objetivo, aunque sea indirecto, con el transporte aéreo de pasajeros»[12].
Esta evaluación más rigurosa debe establecerse en las políticas y
procedimientos internos de la UIP para que sea objetivamente verificable, en
particular por la autoridad supervisora. Sin embargo, cualquier solicitud de
divulgación posterior, es decir, también las solicitudes relacionadas con
delitos terroristas, deben basarse en pruebas que probablemente justifiquen la
condición sustantiva de motivos "razonables"[13].
2.3 Vuelos Intra UE
14. Solo se permite aplicar la Directiva PNR a los vuelos
intracomunitarios si los Estados miembros, tras una evaluación, constatan que
existe una amenaza de delitos terroristas y delitos graves que justifique su
aplicación a dichos vuelos[14]. El
principio de estricta necesidad se aplica sin perjuicio de su aplicación a
determinados vuelos intracomunitarios o a todos ellos[15], lo
que exige una evaluación del momento y el alcance de la aplicación, incluso en
el caso de amenazas terroristas reales, presentes o previsibles. No se
consideraría una aplicación indiscriminada si se hubieran realizado
evaluaciones individuales para todos los vuelos, incluso si, de hecho, se
incluyeran todos los vuelos intracomunitarios. Se deberían incorporar al
sistema procedimientos de revisión periódicos y ad hoc.
15. De conformidad con el
artículo 2 de la Directiva PNR, los Estados miembros pueden aplicarla a los
vuelos intracomunitarios[16].
El TJUE, en su sentencia PNR, impuso ciertas restricciones a esta aplicación[17].
Un Estado miembro que desee aplicar la Directiva PNR a todos los vuelos
intracomunitarios, de conformidad con el artículo 2, apartado 2, o solo a
determinados vuelos, de conformidad con el artículo 2, apartado 3, debe
garantizar, durante toda la evaluación, que la aplicación del sistema PNR a los
vuelos intracomunitarios se limite a lo estrictamente necesario. Para ello, debe
tenerse en cuenta la gravedad de la injerencia en los derechos fundamentales
garantizados en los artículos 7 y 8 de la Carta, a fin de garantizar la
seguridad interior de la Unión Europea o, al menos, la de dicho Estado miembro
y, por consiguiente, proteger la vida y la seguridad de las personas[18].
El principal factor de conexión geográfica para garantizar la seguridad
interior es la UE[19].
La seguridad interior de un solo Estado miembro constituye el mínimo necesario[20].
La seguridad interior, en este sentido, debe implicar la protección de la vida
y la seguridad de las personas[21].
16. Cuando un Estado miembro se
enfrenta a una amenaza terrorista demostrada como real, presente o previsible,
podrá recopilar datos PNR de todos los vuelos intracomunitarios durante un
período limitado[22]. Sin
embargo, la sentencia del TJUE debe interpretarse respetando plenamente el
principio de (estricta) necesidad y proporcionalidad. Por lo tanto, este
principio debe respetarse no solo durante el período de aplicación, sino
también en su alcance (en particular, en lo que respecta a los vuelos
seleccionados, incluso geográficamente). Por consiguiente, si la amenaza no se
extiende a determinados vuelos (por ejemplo, categorías de estos), la
aplicación a todos los vuelos intracomunitarios podría no ser necesaria ni
proporcionada. Las autoridades competentes están obligadas a realizar una
evaluación adecuada. Esto incluye la investigación y consideración de los
hechos y circunstancias que puedan limitar el alcance de la aplicación y, por
consiguiente, la injerencia en los derechos fundamentales.
17. En particular, los Estados
miembros más pequeños con pocos aeropuertos pueden encontrarse fácilmente en
una situación en la que la selección de vuelos intracomunitarios cubra
prácticamente todos los vuelos intracomunitarios, incluso en ausencia de la
mencionada amenaza terrorista. Sin embargo, esto no se consideraría una
aplicación indiscriminada de la Directiva PNR en el sentido del apartado 173 de
la Sentencia PNR si se han realizado las evaluaciones individuales necesarias
para los respectivos vuelos cubiertos, incluyendo la limitación del período y
el ámbito de aplicación.
18. Dado que la aplicación del
sistema PNR implica injerencias sustanciales en los derechos fundamentales,
todas las circunstancias que justifican la selección de los respectivos vuelos
y su evaluación deben documentarse adecuadamente y revisarse periódicamente,
así como ad hoc, para garantizar que la aplicación del sistema PNR a los vuelos
intracomunitarios se siga limitando a lo estrictamente necesario[23].
En caso de una aplicación amplia debido a la mencionada amenaza terrorista
cualificada, la decisión que contempla dicha aplicación debe estar sujeta a una
revisión efectiva, ya sea por un tribunal o por un organismo administrativo
independiente cuya decisión sea vinculante[24].
En otros casos, corresponde al Estado miembro garantizar dicha revisión[25].
Las reevaluaciones periódicas deben estar respaldadas por un sistema de
seguimiento adecuado (protección de datos desde el diseño) basado en la
información más actualizada disponible. Este sistema debe estar automatizado,
si es posible. Si ya se prevén cambios (por ejemplo, debido a la estacionalidad
o a desarrollos dinámicos), se debe establecer un plazo adecuado para la
reenvío. Si ya se ha determinado una condición que lleve al cese de la
necesidad de la selección en cuestión, se debe prever la deselección automática
de los vuelos o el reenvío oportuno, y se debe garantizar mediante un sistema
de seguimiento automatizado. Si no se prevén cambios, se realizará un reenvío
regular. El sistema debe integrar un plazo máximo para la reenvío (protección
de datos por defecto). Como recomendación general, la reevaluación adoptada
debe tener lugar a más tardar seis meses después de la última evaluación; otros
períodos pueden ser aceptables si se justifican en vista de las circunstancias
específicas. Además, la revisión ad hoc debe ser posible y sus procedimientos
deben reflejarse en la organización (p. ej., debe estar disponible un punto de
contacto para informes). Es necesario prever en dicho sistema un periodo máximo
de reenvío de respaldo que, en general, no debe superar los seis meses.
2.4 Derechos de los
interesados y tratamiento automatizado
19. Los derechos de los interesados a que se refiere el artículo
13(1) de la Directiva PNR, y en particular el derecho a reparación judicial,
deben respetarse proporcionando información completa (1) a las personas
afectadas, para que puedan cuestionar la legalidad del tratamiento automatizado
y la posterior revisión individual, y (2) en el contexto de la reparación, al
tribunal y a las personas afectadas, para examinar el fundamento de la
decisión, es decir, los motivos y las pruebas.[26] En
ambas situaciones, pueden aplicarse ciertas excepciones al suministro de información.[27] Con
el fin de equilibrar adecuadamente los derechos fundamentales de las personas
afectadas y los intereses de las autoridades competentes, el CEPD recomienda
que las autoridades competentes establezcan normas claras y precisas, con las
garantías procesales adecuadas.
20. El artículo 13 de la
Directiva PNR establece los derechos de los interesados, incluido el derecho a
la reparación judicial, haciendo referencia a la Directiva sobre las Fuerzas de
Seguridad (LED). El artículo 6 de la Directiva PNR contempla el tratamiento de
los datos PNR, incluyendo la comparación automática de los datos con bases de
datos pertinentes y criterios predeterminados, así como la necesidad de revisar
individualmente cualquier coincidencia positiva. La recomendación pretende
aclarar cómo se puede garantizar, en particular, el derecho a la reparación
judicial.
21. «Para cuestionar, en su caso, la naturaleza ilícita y, entre otras
cosas, discriminatoria de dichos criterios», debería ser «posible que esa
persona decida, con pleno conocimiento de causa, si ejerce o no su derecho a la
reparación judicial garantizado en el artículo 13(1) de la Directiva PNR[28]».
El TJUE considera que “las autoridades
competentes deben garantizar que la persona interesada, sin permitirle
necesariamente, durante el procedimiento administrativo, tener conocimiento de
los criterios de evaluación predeterminados y de los programas que aplican
dichos criterios, sea capaz de comprender cómo funcionan dichos criterios y
programas”[29]. Esto
también se aplica a los criterios de revisión[30].
22. Para salvaguardar aún más el
derecho a la tutela judicial efectiva, en el contexto de la reparación, “el tribunal encargado de revisar la
legalidad de la decisión adoptada por las autoridades competentes, así como,
salvo en caso de amenazas a la seguridad del Estado, las propias personas
interesadas, deben haber tenido la oportunidad de examinar todos los motivos y
las pruebas en que se basó la decisión […], incluidos los criterios de
evaluación predeterminados y el funcionamiento de los programas que aplican
dichos criterios”.
23. En vista de lo anterior, el
CEPD considera que el interés de las autoridades competentes en limitar la
información proporcionada en determinadas situaciones debe sopesarse
adecuadamente con el derecho fundamental a la protección de datos personales,
incluido el derecho del interesado a acceder a los datos personales, y el
derecho fundamental a la tutela judicial efectiva. Para garantizar esto, el
CEPD recomienda que las autoridades competentes establezcan una normativa clara
y precisa, con las debidas garantías procesales. El CEPD recuerda que las
autoridades competentes también deben tener en cuenta las directrices
adicionales y detalladas sobre el derecho de acceso de los interesados, de
acuerdo con la Directiva sobre la protección de datos (LED), que el CEPD está
preparando actualmente.
2.5 Revisión previa
independiente
24. Un tribunal o una autoridad administrativa independiente debe
realizar las revisiones previas independientes. La autoridad independiente encargada de la
revisión previa debe ser distinta a la que lleva a cabo la investigación penal.
Por lo tanto, dejar la revisión previa en manos de un funcionario o miembro del
personal independiente de una sección específica de una autoridad
administrativa, que no es independiente en sí misma, no se ajustaría, en
principio, a lo que la sentencia del TJUE preveía en términos de independencia.
Lo mismo se aplicaría a un funcionario o miembro del personal independiente de
una sección específica de la autoridad que lleva a cabo la investigación penal.
25. El TJUE declaró que «es
esencial que la divulgación de datos del PNR a efectos de una evaluación
posterior esté, como norma general, salvo en caso de urgencia debidamente
justificada, sujeta a una revisión previa realizada por un tribunal o por una
autoridad administrativa independiente[31]».
La recomendación pretende identificar los elementos necesarios para
salvaguardar dicha revisión previa independiente.
26. Los datos PNR corresponden a
un número considerable de pasajeros aéreos. La mayoría de estos pasajeros no
tienen vínculos con delitos terroristas ni otros delitos graves. Por lo tanto,
el acceso a los datos para fines policiales debe limitarse a lo estrictamente
necesario para garantizar el pleno respeto de los derechos fundamentales. Los
datos PNR solo son accesibles tras una revisión previa por parte de un tribunal
u organismo público independiente. Para evitar el uso ilimitado de los datos
con fines policiales, esta independencia es esencial. Según el TJUE, la
independencia implica que la autoridad que realiza esta revisión previa debe:
• Poder lograr
un equilibrio justo entre los intereses en juego[32].
• Tener un
estatus que le permita actuar con objetividad.
• Estar libre
de influencias externas y ser neutral respecto a las partes implicadas.
• Ser un
tercero frente a la autoridad que solicita el acceso.
• No
participar en la investigación penal[33].
27. Además, el CEPD señala que,
para ser verdaderamente independiente, esta autoridad también debe:
• Poseer
conocimientos suficientes en el ámbito policial.
28. En vista de lo anterior, un
tribunal o una autoridad administrativa independiente debe realizar la revisión
previa independiente. El CEPD subraya que debe garantizarse la independencia de
esta autoridad y, por lo tanto, que debe ser un organismo distinto del que
lleva a cabo la investigación penal. Por lo tanto, no bastaría, en términos de
independencia, dejar la revisión previa en manos de un funcionario o miembro
del personal independiente de una sección específica de una autoridad
administrativa, ya que esta no es independiente en sí misma. Tampoco bastaría
con que el funcionario o miembro del personal de una sección específica de la
autoridad que lleva a cabo la investigación penal llevara a cabo esta revisión.
Dadas las diferentes estructuras organizativas de los Estados miembros, la
aplicación de esta revisión previa independiente puede variar.
2.6 Periodo de conservación
29. No se puede establecer un periodo de conservación general que supere el
periodo inicial de seis meses. Transcurrido este periodo, los conjuntos de
datos PNR solo podrán procesarse si, para cada uno de ellos, existe material
objetivo que permita establecer una conexión con los objetivos perseguidos por
el tratamiento en virtud de la Directiva PNR, y solo mientras sea necesario y
proporcionado[34].
Por lo tanto, la identificación de material objetivo no implica automáticamente
el periodo máximo de conservación de cinco años.
30. De conformidad con el artículo
12 de la Directiva PNR, los Estados miembros garantizarán que los datos PNR se
conserven durante un periodo de cinco años. Sin embargo, la conservación de
datos PNR con arreglo al artículo 12 no puede justificarse si no existe una
conexión objetiva entre dicha conservación y los objetivos perseguidos por la
Directiva PNR[35]. El
TJUE interpretó el artículo 12 de la Directiva PNR de tal manera que esta
establece dos períodos distintos: el primero es el «período inicial de
conservación de seis meses» y el otro es el «período posterior»[36].
El TJUE establece claramente que esta distinción también se aplica al requisito
de un vínculo objetivo establecido para justificar la conservación[37].
Según el TJUE, «del considerando 25 de
dicha Directiva se desprende que dichas disposiciones [artículo 12, apartados 2
y 3, de la Directiva PNR] reflejan, por un lado, el objetivo de garantizar que
los datos PNR se conserven durante un período suficientemente largo para
realizar análisis y su uso en investigaciones», lo cual puede llevarse a cabo
ya durante el período inicial de conservación de seis meses»[38].
El TJUE concluye que, durante el período inicial de seis meses, la conservación
puede estar justificada para alcanzar dicho objetivo de utilizar los datos PNR
para su análisis y uso en investigaciones[39].
Por el contrario, en cuanto al período posterior, [...] la conservación de los
datos PNR de todos los pasajeros aéreos [...] contradice el requisito del
considerando 25 [...] de que el período de conservación de dichos datos debe
ser tan largo como sea necesario y proporcionado a los objetivos perseguidos[40].
Un almacenamiento posterior solo puede permitirse en lo que respecta a los
datos PNR de pasajeros aéreos con una conexión establecida entre sus datos PNR
y el objetivo perseguido por la Directiva PNR[41];
solo en casos específicos, siempre que se identifique material objetivo, el
almacenamiento después del período inicial parece admisible[42].
"Por lo tanto, la continuación del
almacenamiento de los datos PNR de todos los pasajeros aéreos después del
período inicial de seis meses no se limita a lo estrictamente necesario"[43].
Por lo tanto, el CEPD concluye que no es admisible establecer un período de
conservación general en la legislación de los Estados miembros que supere el
período inicial de seis meses.
31. Tras este período inicial,
los datos solo podrán conservarse durante el tiempo necesario y proporcional a
los objetivos perseguidos por la Directiva PNR. El TJUE concluyó que la
identificación de pruebas objetivas según las cuales determinados pasajeros
puedan presentar un riesgo relacionado con delitos terroristas o delitos graves
permite establecer dicha conexión con los objetivos de la Directiva PNR.
Por lo tanto, la conservación de
datos puede estar justificada durante un período de cinco años[44].
Es necesario considerar los cambios posteriores en las circunstancias (y la
pertinencia de dichas pruebas objetivas) que puedan modificar el resultado de
la evaluación de la necesidad, lo que podría dar lugar a una supresión
anticipada. En caso de que no se tenga conocimiento positivo de que existe un
vínculo objetivo, no hay justificación para almacenar la información por más
tiempo y los datos deben eliminarse. Esto también incluye los casos en los que
es evidente que no se realizarán más análisis o investigaciones. La evaluación
de si el tratamiento continuado de datos individuales sigue siendo necesario y
proporcionado para establecer dicha conexión debe realizarse periódicamente.
32. Según el artículo 13(6) de la Directiva
PNR, «Los Estados miembros garantizarán
que la UIP mantenga registros de al menos las siguientes operaciones de
tratamiento: […] Los registros se utilizarán únicamente a efectos de
verificación, autocontrol, garantía de la integridad y seguridad de los datos o
auditoría». Esto significa que el factor que inicia el período de retención
para el registro respectivo depende de la respectiva operación de tratamiento.
Cada registro para una operación específica debe eliminarse cinco años después
del inicio de la respectiva operación. Por lo tanto, la Sentencia PNR solo
limita el plazo dentro del cual pueden ocurrir tales operaciones. Por lo tanto,
el período de retención de registros/registros y otra documentación de cinco
años sigue siendo válido.
3 OBSERVACIONES FINALES
33. La Directiva PNR, tal como se
interpretó e implementó antes de la Sentencia PNR, implicó interferencias con
millones de interesados en toda la UE, que el TJUE ha determinado que en
parte no cumplían con la Directiva. Esto resalta la urgencia de aspirar al
cumplimiento de los requisitos de la Directiva PNR a la luz de la Sentencia
PNR.
34. Hasta donde sabe el CEPD,
algunos Estados miembros han iniciado el proceso de adaptación, pero aún existe
una falta sustancial de esfuerzos de implementación en todos los Estados
miembros. Por lo tanto, el CEPD desea subrayar la necesidad de que los Estados
miembros adapten la aplicación práctica del sistema PNR a la sentencia del TJUE
en la Sentencia PNR, pero también de implementar la interpretación restrictiva
establecida por el TJUE identificando y ejecutando los cambios necesarios en
sus leyes nacionales. El CEPD ha establecido en esta Declaración algunas
recomendaciones prácticas que, en su opinión, deberán reflejarse en las leyes
de los Estados miembros que transpongan la Directiva PNR para dar efecto a las
conclusiones del TJUE en la Sentencia PNR. Esto debe finalizarse oportunamente.
35. El CEPD desea hacer
referencia a la responsabilidad de la Comisión de supervisar la aplicación de
la Directiva PNR en las leyes nacionales de conformidad con la Sentencia PNR.
Además, el CEPD considera necesario garantizar la conformidad de las leyes y
prácticas nacionales con la Directiva PNR a la luz de la Sentencia PNR. Con
esta Declaración, el CEPD pretende apoyar a los Estados miembros en este
importante proceso. En caso de incompatibilidad, las autoridades nacionales de
control se reservan el derecho a tomar las medidas oportunas.
Por el Comité Europeo de
Protección de Datos
La Presidenta (Anu Talus)
[1] https://www.edpb.europa.eu/our-work-tools/our-documents/statements/statement-implications-cjeu-
judgment-c-81719-use-pnr-member en .
[2] Sentencia
de 21 Junio 2022, C-817/19, EU:C:2022:491.
para. 128.
[3] cf. ibid, para 129-131.
[4] Ibid., para. 131.
[5] Ibid.,
para. 156.
[6] Ibid.,
para. 155f.
[7] Ibid.,
para. 152.
[8] Ibid.,
para. 156f, also cf. para. 191.
[9] Ibid,
para. 125 and 251.
[10] Ibid.,
para. 204.
[11] Cf. ibid., para. 151f.
[12] Ibid.,
para. 220.
[13] Ibid.,
para. 221.
[14] Ibid.,
para. 167.
[15] Ibid.,
para. 168f.
[16]
En marzo de 2024, el Parlamento Europeo y el Consejo acordaron dos Reglamentos
sobre información anticipada sobre pasajeros (API): el Reglamento (UE) 2025/12,
relativo a la recopilación y transferencia de información anticipada sobre
pasajeros para mejorar y facilitar las inspecciones en las fronteras
exteriores, por el que se modifican los Reglamentos (UE) 2018/1726 y (UE)
2019/817 y se deroga la Directiva 2004/82/CE del Consejo, y el Reglamento (UE)
2025/13, relativo a la recopilación y transferencia de información anticipada
sobre pasajeros para la prevención, detección, investigación y enjuiciamiento
de delitos de terrorismo y delitos graves, y por el que se modifica el
Reglamento (UE) 2019/818. Los Reglamentos se ajustan a las normas aplicables al
tratamiento de los datos PNR, tal como se establece en la Directiva PNR. Tienen
en cuenta las interpretaciones realizadas en la Sentencia PNR en relación con
el tratamiento de los datos PNR para vuelos intracomunitarios. En caso de
posible solapamiento entre el Reglamento y las normas de la Directiva PNR,
prevalecen las normas del Reglamento, considerando que se trata tanto de lex
specialis como de lex posterior. El artículo 13 del Reglamento (UE) 2025/13
establece criterios específicos para la selección de vuelos intracomunitarios
si los Estados miembros deciden aplicar la Directiva PNR y el Reglamento API a
dichos vuelos. Los criterios mencionados se ajustan a la Sentencia PNR, tal
como se interpreta en esta Declaración.
[17] Ibid.,
para. 158ff.
[18] Ibid.,
para. 169.
[19] Ibid., para. 169; cf. also
recital 15 of the PNR Directive.
[20] Ibid., para. 169
[21] Ibid., para. 169.
[22] Ibid., para. 171
[23] Cf.
ibid., para. 172, 174.
[24] Cf.
ibid., para. 172.
[25] Ibid.,
para. 172, 174.
[26] Ibid., para. 209-211.
[27] Ibid., para. 210f.
[28] Ibid., para. 210.
[29] Ibid., para. 210.
[30] Ibid., para. 210.
[31] Ibid.,
para. 223.
[32] Ibid.,
para 225.
[33] Ibid.,
para 226.
[34] Ibid.,
para. 259.
[35] Ibid.,
para. 251.
[36] Ibid.,
para. 252.
[37] Ibid.,
para. 254.
[38] Ibid.,
para. 253.
[39] Ibid.,
para. 255.
[40] Ibid., para. 256.
[41] Ibid.,
para. 254 in conjunction with 251; para. 257.
[42] Ibid.,
para. 259.
[43] Ibid.,
para. 258.
[44] Ibid.,
para. 259f.
No hay comentarios:
Publicar un comentario