La nueva directiva sobre utilización de los datos personales de los pasajeros (aéreos)

El viejo debate entre libertad y seguridad se ha reabierto con la Directiva aprobada el pasado 14 de abril por el Parlamento Europeo sobre la utilización de datos del registro de nombres de los pasajeros.

Antes de entrar en materia sobre lo que se dispone en esta Directiva, es necesario señalar que el nombre de la Directiva tiene truco. Aunque habla sólo de “pasajeros” realmente se está refiriendo a los pasajeros de líneas aéreas. De hecho son éstas las obligadas (según la Directiva) a facilitar información. Se excluyen, por tanto, del control de esta Directiva los pasajeros que usen cualquier otro medio de locomoción.

El fin confesado de la Directiva es proteger a las personas de quienes cometan o vayan a cometer delitos graves. Llama la atención que este aspecto crítico de la seguridad se trate en una Directiva y no en un Reglamento. Estando todo el espacio aéreo europeo amenazado por la acción de grupos terroristas, no parece lógico que los requisitos que se establezcan para la obtención y tratamiento de datos de carácter personal de los pasajeros, su tratamiento y sus efectos en la seguridad sean distintos en cada país.

Se pregunta uno si es bueno centralizar los datos personales de miles de viajeros en unas pocas (una por estado) Bases de Datos. Eso se lo pone muy fácil a los hackers. Sólo tendrán que crackear una base de datos, que ya se los dará relacionados. Y el fruto final puede ser jugoso si esos datos se venden a empresas que estudian nuestros comportamientos para “colocarnos” marketing directo.

Empezando por el final el Anexo I de la Directiva prevé la recogida y sistematización de 19 datos PNR (sigla de “registro de nombres de los pasajeros” en inglés,) que en realidad son muchos más. Hay un campo de observaciones generales, por ejemplo, en el que se incluye toda la información sobre menores de 18 años no acompañados, incluidos los idiomas que habla, sus acompañantes en los aeropuertos de salida y llegada y el vínculo que les une. Otro tanto ocurre por ejemplo con la información sobre el billete o con la información sobre el equipaje y (textualmente) “Cualquier información recogida en el sistema de información anticipada sobre los pasajeros (sistema API)”, que incluye no menos de 17 datos. Y un campo final que recoge todos los cambios de los datos en los anteriores 18 campos. Ciertamente hay una previsión general de que estos datos se “enmascaren” para que no se pueda hacer una relación directa entre dichos datos y las personas a que hacen referencia salvo en los casos que arrojen un resultado positivo. De esto hablaremos más adelante al tratar lo dispuesto en el artículo 12.

En cuanto a la lista de delitos, en el Anexo II, está compuesta por 26, lo que es otra trampa indirecta, ya que por ejemplo en el lugar 22 se señalan los “delitos incluidos en la jurisdicción de la Corte Penal Internacional”, que son bastantes, o en otros apartados se incluyen más de un delito directo (en el 8 el blanqueo de dinero y la falsificación de moneda, en el 10 “delitos contra el medio ambiente, incluido el tráfico ilícito de especies animales protegidas y de especies y variedades vegetales protegidas” o en el 14 secuestro, detención ilegal y toma de rehenes. Es decir son bastantes más de 26 delitos.

Dado que no se especifica la intensidad del delito sino sólo el tipo, pueden darse múltiples circunstancias e incluso algún abuso. Por ejemplo, los bomberos españoles que participaban en operaciones de rescate de inmigrantes y fueron acusados en Grecia de colaborar con las mafias, podrían ver sus datos tratados constantemente, al menos durante cinco años, porque entre los delitos señalados en esta lista se encuentra la trata de seres humanos y la ayuda y residencia ilegales, que fueron los delitos de los que las autoridades griegas acusaron a nuestros compatriotas voluntarios. Es decir, ayudar a un residente ilegal puede colocarte en el marco de esta Directiva. Y sin embargo no hay una referencia explícita a la violencia machista o de género (que apreciamos que se extiende por toda Europa) o a los delitos de índole racista o xenófobo, cuya prevalencia está, efectivamente, ganando terreno en Europa. Tampoco hay una referencia explícita sobre la violencia en los campos deportivos y en las aficiones violentas que desplazan algunos equipos cuando juegan fuera de sus fronteras.

En cuanto a la materia presente en el articulado de esta Directiva empezaré por señalar que establece que los datos obtenidos “…podrán tratarse únicamente con fines de prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y los delitos graves contemplados en el artículo 6, apartado 2, letras a), b) y c)”. Antes de llegar a ese artículo 6, hay que señalar que cada estado elegirá si las normas de la Directiva se aplican sólo a los vuelos desde y hacia fuera de la UE, incluidos los que sólo hacen escala en la UE, o si también se aplica a vuelos intracomunitarios, pudiendo seleccionar, además, a los vuelos intracomunitarios a los que cada estado aplicará lo que se dispone en esta Directiva. Es decir, cualquier país puede aplicar las normas a vuelos proveniente de un país, de una compañía aérea o incluso algunos vuelos específicos.

Se prevé la creación de una “«Unidad de Información sobre los Pasajeros» (“UIP”)” por cada estado o por cada grupo de estados si dos o más se ponen de acuerdo. Esta unidad, que será responsable de la recogida, almacenamiento, procesamiento, tratamiento y transferencia a las autoridades que tomen las decisiones oportunas sobre dichos datos y de nombrar a un responsable de la protección de los datos obtenidos y manejados. Las diferentes UIP estarán coordinadas.

El extenso artículo 6 establece para qué pueden ser usados los datos. Dicho uso se limita a:

  • Realizar una evaluación de los pasajeros para identificar a toda persona que deba ser analizada de nuevo por las autoridades competentes o la Europol porque pudiera estar implicada en uno de los delitos de la lista.
  • Responder “… a las peticiones debidamente razonadas y con suficiente base de las autoridades competentes de que se suministren y traten datos …” caso a caso y para la “prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves…”. Lógicamente, una vez tratados, estos datos se pasarán a las autoridades competentes o a la Europol si se detecta alguna implicación del pasajero en cuestión. Veremos que además del control automatizado se prevé un control manual para descartar errores.
  • Analizar los datos PNR para mejorar la detección de personas implicadas en los delitos de terrorismo o graves actualizando los criterios.

Se autoriza a la UIP a comparar los datos PNR con bases de datos que contengan información sobre personas u objetos buscados o bajo alerta, y a establecer unos criterios determinados para el tratamiento de los PNR. En este caso no debemos olvidar que cada estado podrá legislar independientemente, con lo que los criterios de tratamiento pueden ser muy diferentes en cada país. La evaluación de los pasajeros se realizará “…de forma no discriminatoria con arreglo a criterios de evaluación establecidos por su UIP. Estos criterios predeterminados de evaluación deben ser orientados, proporcionados y específicos…” Dichos criterios no se podrán basar “…en ningún caso en el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, la pertenencia a un sindicato, la salud o la vida u orientación sexual de la persona…” Los resultados positivos se revisarán por medios no automatizados antes de transmitir los positivos, y se guardarán los falsos positivos para que el sistema “aprenda” con al experiencia.

El responsable de la protección de datos (figura que se crea en el artículo 5 como garantía de que los datos se tratarán adecuadamente) deberá tener acceso a todos los datos recabados para constatar que el tratamiento se ha adecuado a lo legalmente dispuesto. Se establece dónde almacenar los datos y que las consecuencias de las evaluaciones no perjudicarán al libre tránsito de personas por la Unión Europea.

En el artículo 7 la Directiva se recogen ciertas indicaciones sobre la naturaleza de las “autoridades competentes para la prevención, detección, investigación o enjuiciamiento de los delitos” señalados en la Directiva, sin perjuicio de las facultades policiales y judiciales que se recojan en cada derecho nacional, y se vuelve a insistir en que las decisiones no se pueden adoptar basándolas en “… la raza o el origen étnico, las opiniones políticas, las creencias religiosas o filosóficas, la pertenencia a un sindicato, la salud o la vida u orientación sexual de la persona.” El artículo 10 establece las condiciones en las que Europol tendrá acceso a estos datos. Es poco compresible esta “sistematización” de los preceptos, saltando tres artículos para indicar quiénes tienen derecho a recibir las informaciones detectadas en las revisiones.

El artículo 8 establece la obligación de las compañías aéreas en relación con la transmisión de datos. Estas obligaciones por tanto, como decíamos al principio no se aplican al resto de las compañías de transporte. Será que los delincuentes sólo viajan en avión. Estas obligaciones son tanto de carácter técnico como de carácter temporal Se establecen dos transmisiones de forma general, una entre 24 y 48 horas antes de la salida del vuelo y otra cuando ya esté todo el mundo embarcado y sin posibilidades de desembarcar. No obstante en casos especiales se podrán pedir transmisiones adicionales. Estos casos especiales hacen referencia amenazas concretas y reales.

El artículo 9 regula el intercambio de información entre UIP y autoridades competentes de diferentes estados. Se establece un procedimiento general (los datos se transfieren entre las UIP de cada país) y uno especial por urgencia en el que una autoridad competente de un país puede pedir a la UIP de otro datos PNR en el curso de una investigación. Finalizan las normas sobre transmisión de datos con el artículo 11 que regula la transmisión de datos con terceros países. Una vez más se establece un procedimiento “normal” con ciertas garantías, y un procedimiento “extraordinario” en caso de amenazas concretas y reales.

No se establece en la Directiva quién debe considerar que existe una “amenaza concreta y real”, aunque posiblemente será la policía de cada estado. Tampoco se fija o define qué habrá de entenderse por “amenaza concreta y real”.

La conservación de datos PNR, durante 5 años, se trata en el artículo 12. Tras unos primeros 6 meses en los que los datos pueden guardarse tal cual se recogen, se abre un plazo en el cual son “enmascarados” eliminando elementos que sirvan para identificar directamente al pasajero. No se borran esos elementos y sólo se enmascaran porque cabe la posibilidad de que sean necesarios para tratar una alerta o por petición de una autoridad nacional competente, incluida una autoridad judicial. Transcurridos 5 años el estado se cerciorará de que los datos PNR han sido borrados, excepto los que se estén usando en procedimientos de prevención, detección, investigación o enjuiciamiento de los delitos recogidos en la Directiva.

En el artículo 13 se recogen los mecanismos de protección de los datos de carácter personal recogidos en virtud de esta Directiva, sometiéndolos al régimen general de confidencialidad, seguridad prohibiciones de tratamiento de determinados datos, ejercicio de derechos de los afectados, etc. El artículo 14 las sanciones, que deberán ser “efectivas, proporcionadas y disuasorias” por el incumplimiento de las normas adoptadas nacionalmente en aplicación de la Directiva, y el artículo 15 la actuación reservada a las autoridades de control de protección de datos. Los últimos artículos tratan de las disposiciones de aplicación técnica (16 y 17) y a las disposiciones de transposición (artículo 18) que serán de dos años desde la entrada en vigor una vez sea publicada la directiva, la revisión del funcionamiento del sistema previsto en la Directiva (artículo 19), la remisión estadística de los estados a la Comisión sobre el número de pasajeros (artículo 20), desglosando los que han sido objeto de análisis del PNR, las relaciones de la Directiva con otras normas que sobre la materia tengan los estados en convenios bilaterales o multilaterales y sean compatibles con la Directiva (artículo 21) y la fecha de entrada en vigor (Artículo 22) que será veinte días después de la publicación.

En definitiva, la nueva Directiva abre paso a una regulación administrativa de la presunción de inocencia, o mejor de culpabilidad. Los datos personales de un pasajero que se haya visto envuelto en algún incidente relacionado con los delitos señalados en el anexo II, como es el caso actualmente de algunos cooperantes en Grecia y Macedonia donde están siendo detenidos acusados de fomentar la entrada ilegal en Europa de los inmigrantes sirios, van a aparecer en las revisiones de los PNR con las molestias que sin duda les ocasionará esa aparición por más que la Directiva establezca que no se verá afectada la libre circulación de personas.

Habrá que estar atento a cómo se desarrollan en los diferentes estados europeos las normas de esta directiva y en qué manera afecta al desplazamiento de pasajeros aéreos.

Conoce nuestros servicios en
Protección de Datos y Derecho Digital

Joaquín López Bravo

Joaquín López Bravo

Director de Comunicación Nacional. Departamento de Marcas. Abogado.

Contenidos relacionados

Más en derecho de las TIC

Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Responsable del tratamiento: HERRERO & ASOCIADOS, S.L.

Finalidad del tratamiento: Publicar su comentario sobre la noticia indicada.

Derechos de los interesados: Puede ejercer los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento, mediante un escrito, acompañado de copia de documento que le identifique dirigiéndose al correo dpo@herrero.es.

Para más información visita nuestra Política de Privacidad.

*Los campos marcados con el asterisco son obligatorios. En caso de no cumplimentarlos no podremos contestar tu consulta.

No hay comentarios