Antecedentes
Los datos PNR ya se conservan actualmente en los sistemas de reservas de las compañías aéreas. Se trata de los datos que facilitan los pasajeros a las compañías al reservar un vuelo y al facturar. Los datos PNR incluyen el nombre, las fechas del viaje, el itinerario, la información del billete, los datos de contacto, la agencia de viajes en la que se reservó el vuelo, el medio de pago utilizado, el número de asiento e información sobre el equipaje.
La utilización de estos datos por parte de los cuerpos y fuerzas de seguridad de los Estados miembros en casos específicos no es nueva: varios Estados miembros ya utilizan datos PNR con fines policiales, bien sobre la base de legislación específica, bien de competencias jurídicas generales. La recogida y utilización de datos PNR ha sido fundamental en la lucha contra determinados delitos transfronterizos, como el narcotráfico o la trata de personas, en particular, de niños. Sin embargo, todavía no existe un enfoque común en toda la UE.
El Reino Unido e Irlanda han decidido participar en esta Directiva. Dinamarca no participa.
El 21 de abril de 2016 el Consejo adoptó una Directiva relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave.
La Directiva tiene por objeto regular la transferencia, de las compañías aéreas a los Estados miembros, de datos PNR de los pasajeros de vuelos internacionales, así como el tratamiento de estos datos por las autoridades competentes. La Directiva establece que los datos PNR recogidos solo podrán ser tratados para la prevención, detección, investigación y enjuiciamiento de delitos terroristas y delitos graves.
Con arreglo a la nueva Directiva, las compañías aéreas tendrán la obligación de facilitar a las autoridades de los Estados miembros los datos PNR de los vuelos que entren en la UE o salgan de esta. También permitirá, aunque no será obligatorio, que los Estados miembros recopilen los datos PNR sobre vuelos interiores de la UE seleccionados. No obstante, teniendo en cuenta la situación actual de la seguridad en Europa, todos los Estados miembros han declarado que, a más tardar en la fecha de transposición de la Directiva, aprovecharán plenamente la posibilidad prevista en el art. 2 de incluir también dichos vuelos.
Cada Estado miembro deberá asimismo crear la denominada «Unidad de Información sobre los Pasajeros», que recibirá los datos PNR de las compañías aéreas.
La nueva normativa establece una norma de la UE para el uso de tales datos e incluye disposiciones sobre:
- — los fines para los que pueden tratarse los datos PNR en el contexto de la aplicación de las leyes (evaluación previa a la llegada de los pasajeros en comparación con criterios de riesgo predeterminados o para identificar a determinadas personas; utilización en investigaciones o enjuiciamientos específicos; aportación en la elaboración de criterios de evaluación de riesgos);
- — el intercambio de tales datos entre los Estados miembros y entre Estados miembros y terceros países;
- — la conservación (los datos se conservarán inicialmente durante seis meses, después de lo cual se enmascararán y conservarán durante otros cuatro años y medio, con un estricto procedimiento de acceso a la totalidad de los datos);
- — protocolos y formatos de datos comunes para la transferencia de datos PNR desde las compañías aéreas a las Unidades de Información sobre los Pasajeros; y
- — garantías sólidas en lo que se refiere a la protección de la intimidad y los datos personales, incluida la función de las autoridades naciones de control y el nombramiento obligatorio de un responsable de la protección de datos en cada Unidad de Información sobre los Pasajeros.
La sentencia del Tribunal de Justicia de 21 de junio de 2022
El Tribunal de Justicia de la Unión Europea (TJUE), en su sentencia del 21 de junio de 2022 (LA LEY 336210/2022), concluyó que el respeto de los derechos fundamentales exige que las facultades previstas por la Directiva PNR (Passenger Name Record) se limiten a lo estrictamente necesario. En ausencia de una amenaza terrorista real y actual o previsible, la legislación nacional que prevé la transferencia y el tratamiento de los datos PNR en vuelos interiores de la UE y otros medios de transporte dentro de la Unión no se ajusta al Derecho de la Unión.
La Directiva PNR permite el tratamiento sistemático de un gran número de datos de pasajeros aéreos con el objetivo de luchar contra el terrorismo y los delitos graves. También contempla que los Estados miembros puedan extender su aplicación a los vuelos dentro de la UE. La Ligue des droits humains (LDH) impugnó la transposición de esta Directiva en Bélgica, argumentando que la legislación nacional vulneraba el derecho a la vida privada y la protección de los datos personales. La organización también alegó que la extensión del sistema PNR a los vuelos interiores de la Unión y a otros transportes en el interior de la UE reintroducía controles fronterizos de manera indirecta, restringiendo la libre circulación.
En 2019, el Tribunal Constitucional de Bélgica elevó al TJUE varias cuestiones prejudiciales sobre la validez de la Directiva PNR y su compatibilidad con el Derecho de la Unión. En su sentencia, el TJUE indicó que la Directiva PNR debe interpretarse conforme a los derechos fundamentales garantizados por la Carta de los Derechos Fundamentales de la UE (LA LEY 12415/2007). Dicha interpretación garantiza la conformidad de la Directiva con la Carta, sin que se haya identificado ningún elemento que afecte a su validez.
El TJUE enfatizó que un acto de la Unión debe interpretarse de manera que no ponga en duda su validez y que los Estados miembros deben evitar interpretaciones que entren en conflicto con los derechos fundamentales. La Directiva PNR implica injerencias significativas en los derechos garantizados por la Carta, ya que establece un régimen de vigilancia continuo y sistemático basado en la evaluación automatizada de datos personales de los pasajeros. Para justificar tal injerencia, es necesario ponderar su gravedad y la importancia del objetivo de interés general que persigue.
El TJUE concluyó que la recogida, transferencia, tratamiento y conservación de los datos PNR deben limitarse a lo estrictamente necesario para combatir el terrorismo y los delitos graves, siempre que se apliquen de manera restrictiva. En este sentido, la sentencia estableció que el sistema PNR debe incluir solo la información claramente identificable y delimitada en su anexo I, relacionada con el vuelo y el pasajero. Además, su aplicación debe restringirse a delitos terroristas y delitos graves con un vínculo objetivo, al menos indirecto, con el transporte aéreo de pasajeros. No puede extenderse a delitos comunes, aunque estos cumplan el umbral de gravedad exigido por la Directiva.
Cuando un Estado miembro decida extender la aplicación de la Directiva PNR a vuelos interiores, dicha extensión debe ser limitada a lo estrictamente necesario y estar sujeta a control jurisdiccional o administrativo independiente con efecto vinculante. Solo en presencia de una amenaza terrorista real y actual o previsible se justifica la aplicación de la Directiva a todos los vuelos interiores de un Estado miembro por un período limitado y prorrogable. Si no existe tal amenaza, la aplicación de la Directiva debe restringirse a conexiones o aeropuertos concretos con indicios que justifiquen su aplicación, sujeta a reexamen regular.
Para la evaluación previa de los datos PNR, la Unidad de Información sobre los Pasajeros (UIP) solo puede confrontar estos datos con bases de datos no discriminatorias utilizadas para combatir el terrorismo y delitos graves. En cuanto a la evaluación previa basada en criterios predefinidos, la UIP no puede emplear inteligencia artificial con sistemas de autoaprendizaje que alteren los criterios de evaluación sin intervención humana. Estos criterios deben aplicarse de manera que se enfoquen en individuos con sospechas razonables de estar involucrados en delitos terroristas o graves y deben considerar tanto elementos a favor como en contra para evitar discriminación.
El Tribunal destacó que los sistemas de análisis automatizados tienen un alto porcentaje de error y generan numerosos falsos positivos. Por ello, el éxito del sistema PNR depende de una revisión efectiva de estos resultados por parte de la UIP mediante medios no automatizados. Los Estados miembros deben establecer reglas claras para guiar el análisis de los agentes de la UIP, garantizando la coherencia administrativa y el respeto al principio de no discriminación. Además, los interesados deben poder comprender cómo funcionan los criterios de evaluación y los programas que los aplican para ejercer su derecho a una acción judicial. En caso de litigio, el juez y, salvo riesgos para la seguridad del Estado, el propio interesado deben poder acceder a la información sobre los motivos y pruebas en que se basó la decisión adoptada.
La comunicación y evaluación de los datos PNR después de la llegada o salida de una persona solo pueden realizarse si existen nuevos elementos objetivos que justifiquen una sospecha razonable de implicación en delitos graves vinculados al transporte aéreo. También se permite cuando estos datos pueden contribuir a la lucha contra el terrorismo. En estos casos, la comunicación de los datos debe estar sujeta a control jurisdiccional o administrativo independiente, salvo en situaciones de urgencia debidamente justificadas.
El TJUE determinó que la Directiva PNR impide que los Estados miembros usen los datos recopilados para fines distintos a los establecidos en el art. 1, apartado 2, de la Directiva. Además, en cuanto al plazo de conservación de los datos PNR, el Tribunal resolvió que el período general de cinco años aplicable a todos los pasajeros sin distinción no se ajusta a la Carta de los Derechos Fundamentales. La conservación de estos datos tras los primeros seis meses solo es legítima si existen elementos objetivos que indiquen un riesgo de terrorismo o delitos graves relacionados con el transporte aéreo. No obstante, la conservación de los datos de todos los pasajeros durante los primeros seis meses no parece exceder lo estrictamente necesario.
Por último, el TJUE declaró que el Derecho de la Unión se opone a una legislación nacional que, sin la existencia de una amenaza terrorista real y actual o previsible, prevea la transferencia y el tratamiento de los datos PNR de todos los vuelos interiores y otros transportes dentro de la UE para luchar contra el terrorismo y los delitos graves. En ausencia de tal amenaza, la aplicación del sistema PNR debe limitarse a transportes específicos con indicios que justifiquen su aplicación. Asimismo, el Tribunal concluyó que el Derecho de la Unión impide el uso del sistema PNR para mejorar los controles fronterizos y combatir la inmigración clandestina.
En su segunda declaración sobre la aplicación de la Directiva PNR, posterior a la del 15 de diciembre de 2022, el Consejo ofrece nuevas directrices a las Unidades de Información sobre Pasajeros (UIP) sobre las adaptaciones y limitaciones necesarias para el tratamiento de los datos PNR, tras la sentencia PNR. Los datos PNR son información personal proporcionada por los pasajeros, recopilada y conservada por las compañías aéreas, que incluye los nombres de los pasajeros, las fechas de viaje, los itinerarios, los asientos, el equipaje, los datos de contacto y los medios de pago.
La declaración incluye recomendaciones prácticas para las legislaciones nacionales que transponen la Directiva PNR con el fin de dar efecto a las conclusiones del TJUE en la sentencia PNR. Las recomendaciones abarcan algunos aspectos clave de la sentencia PNR, como la forma en que los países europeos deben seleccionar los vuelos de los que se recopilan los datos PNR o el período durante el cual deben conservarse. Según la Junta, el período de conservación de todos los datos PNR no debe superar un período inicial de seis meses. Transcurrido este período, los países europeos solo podrán almacenar los datos PNR durante el tiempo necesario y proporcional a los objetivos de la Directiva PNR.
El Comité es consciente de que algunos países europeos ya han iniciado el proceso de adaptación, pero aún existe una importante falta de esfuerzos de implementación en todos los Estados miembros. Por lo tanto, en su declaración, el CEPD destaca la urgente necesidad de implementar los cambios necesarios y modificar las legislaciones nacionales teniendo en cuenta la sentencia PNR lo antes posible.