Directiva 2016/681 sobre la utilización del registro de nombre de pasajeros (PNR) para la prevención del terrorismo
Directiva europea relativa a la utilizaición de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave.
DIRECTIVA (UE) 2016/681 DEL
PARLAMENTO EUROPEO Y DEL CONSEJO
de 27 de abril de 2016
relativa a la utilización de datos
del registro de nombres de los pasajeros (PNR) para la prevención, detección,
investigación y enjuiciamiento de los delitos de terrorismo y de la
delincuencia grave
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN
EUROPEA,
Visto el Tratado de Funcionamiento de la Unión
Europea y, en particular, su artículo 82, apartado 1, letra d), y su artículo
87, apartado 2, letra a),
Vista la propuesta de la Comisión Europea,
Previa transmisión del proyecto de texto
legislativo a los Parlamentos nacionales,
Visto el dictamen del Comité Económico y Social Europeo (1),
Previa consulta al Comité de las Regiones,
De conformidad con el procedimiento legislativo ordinario (2),
Considerando lo siguiente:
(1) |
El 6 de noviembre de 2007, la Comisión adoptó la propuesta de
Decisión marco del Consejo sobre utilización de datos del registro de nombres
de los pasajeros (Passenger Name Record — PNR) con fines policiales. No
obstante, al entrar en vigor el Tratado de Lisboa el 1 de diciembre de 2009,
la propuesta de la Comisión, que en esta fecha todavía no había sido aprobada
por el Consejo, quedó obsoleta. |
(2) |
El «Programa de
Estocolmo: una Europa abierta y segura que sirva y proteja al ciudadano» (3) insta
a la Comisión a presentar una propuesta sobre la utilización de datos PNR
para prevenir, detectar, investigar y enjuiciar los delitos de terrorismo y
los delitos graves. |
(3) |
La Comisión presentó una serie de elementos esenciales de la
política de la Unión en esta materia en su Comunicación de 21 de septiembre
de 2010«Sobre el enfoque global de las transferencias de datos de los
registros de nombres de los pasajeros (PNR) a los terceros países». |
(4) |
La Directiva
2004/82/CE del Consejo (4), regula la
comunicación previa por los transportistas aéreos a las autoridades
nacionales competentes de información anticipada sobre los pasajeros (datos
API, por sus siglas en inglés «advance passenger information») con objeto de
mejorar los controles fronterizos y combatir la inmigración ilegal. |
(5) |
Son objetivos de la presente Directiva, entre otras cosas,
garantizar la seguridad, proteger la vida y la seguridad de los ciudadanos y
crear un marco jurídico para la protección de los datos PNR en lo que
respecta a su tratamiento por las autoridades competentes. |
(6) |
El uso eficaz de los datos PNR, por ejemplo comparando los datos PNR
con diversas bases de datos sobre personas y objetos buscados, es necesario
para, prevenir, detectar, investigar y enjuiciar de modo eficaz delitos de
terrorismo y delitos graves, reforzando así la seguridad interior, para
reunir pruebas y, en su caso, descubrir a los cómplices de los delincuentes y
desmantelar redes delictivas. |
(7) |
La evaluación de los datos PNR permite la identificación de personas
no sospechosas de estar implicadas en delitos de terrorismo o en delitos
graves antes de que un análisis de sus datos PNR indique que puedan estar
implicadas en los mismos, y deban ser objeto de investigación adicional por
parte de las autoridades competentes. Mediante la utilización de datos PNR es
posible responder a la amenaza de delitos de terrorismo y delitos graves
desde una perspectiva distinta del tratamiento de otras categorías de datos
personales. Sin embargo, para garantizar que el tratamiento de datos se
limite a lo necesario, el establecimiento y la aplicación de criterios de
evaluación debe limitarse a los delitos de terrorismo y a la delincuencia
grave para las que es pertinente el uso de esos criterios. Deben definirse,
por otra parte, los criterios de evaluación de tal manera que el sistema
señale al menor número posible de personas inocentes. |
(8) |
Las compañías aéreas ya recogen y tratan datos PNR de sus pasajeros
para sus fines comerciales propios. La presente Directiva no debe imponer
ninguna obligación a las compañías aéreas de recoger o almacenar datos
adicionales de los pasajeros ni a los pasajeros de facilitar a las compañías
aéreas datos adicionales a los ya previstos. |
(9) |
Algunas compañías aéreas almacenan los datos API que recogen como
parte de los datos PNR, mientras que otras no lo hacen. Utilizar los datos
PNR junto con los datos API representa un valor añadido para ayudar a los
Estados miembros a verificar la identidad de una persona, reforzando así el
valor policial de ese resultado y reduciendo al mínimo el riesgo de realizar
controles e investigaciones de personas inocentes. Es, pues, importante
asegurarse de que, cuando las compañías aéreas recojan datos API, los
transfieran, con independencia de que conserven o no dichos datos por otros
medios técnicos que los datos PNR. |
(10) |
Para prevenir, detectar, investigar y enjuiciar los delitos de
terrorismo y los delitos graves, es fundamental que todos los Estados
miembros introduzcan disposiciones que impongan a las compañías aéreas que
realizan vuelos exteriores de la UE, la obligación de transferir todos los
datos PNR que recojan, incluidos los datos API. El Estado miembro debe tener
la posibilidad también de ampliar esa obligación a las compañías aéreas que
realizan vuelos interiores de la UE. Estas disposiciones se deben entender sin
perjuicio de la Directiva 2004/82/CE. |
(11) |
El tratamiento de datos personales debe ser proporcional a los
objetivos específicos de seguridad que persigue la presente Directiva. |
(12) |
La definición
de delitos de terrorismo que se aplica en la presente Directiva deberá ser la
misma que la de la Decisión marco 2002/475/JAI del Consejo (5). La
definición de delitos graves deberá englobar las categorías de delito
enumeradas en el anexo II de la presente Directiva. |
(13) |
Los datos PNR deberán transmitirse a una unidad única de información
sobre los pasajeros («UIP») designada en el Estado miembro de que se trate, a
fin de garantizar la claridad y reducir los costes de las compañías aéreas.
La UIP puede disponer de distintas sucursales dentro de un Estado miembro, y
los Estados miembros también podrán establecer conjuntamente una UIP. Los
Estados miembros deberán intercambiar mutuamente la información a través de
las correspondientes redes de intercambio de información para facilitar dicho
intercambio y garantizar la interoperabilidad. |
(14) |
Los Estados miembros deberán sufragar los costes del uso, la
conservación y el intercambio de los datos PNR. |
(15) |
Las listas de
datos PNR que deba obtener una UIP deberá elaborarse con el objetivo de
reflejar las legítimas necesidades de las autoridades públicas para prevenir,
detectar, investigar y enjuiciar los delitos de terrorismo y los delitos
graves, mejorando así la seguridad interior en la Unión y la protección de
los derechos fundamentales y, en particular, el derecho a la intimidad y la
protección de datos personales. Para ello se deben aplicar exigencias
elevadas, conforme a la Carta de los Derechos Fundamentales de la Unión
Europea («la Carta»), el Convenio para la protección de las personas con
respecto al tratamiento automatizado de datos de carácter personal («Convenio
n.o 108») y el Convenio para la
protección de los derechos humanos y de las libertades fundamentales («el
CEDH»). Dichas listas no deben basarse en el origen racial o étnico, religión
o convicciones, opiniones políticas o de cualquier otro tipo, la pertenencia
a un sindicato, la salud, vida u orientación sexual. Los datos PNR solo deben
contener la información detallada sobre las reservas e itinerarios de viaje
que permita a las autoridades competentes identificar a los pasajeros por vía
aérea que representan una amenaza para la seguridad interior. |
(16) |
En la actualidad se dispone de dos métodos de transferencia de
datos: el método de extracción, en el que las autoridades competentes del
Estado miembro que solicita los datos PNR pueden acceder al sistema de
reserva de la compañía aérea y obtener («extraer») una copia de los datos PNR
deseados, y el método de transmisión, en el que las compañías aéreas envían
(«transmiten») los datos PNR a la autoridad solicitante, lo que permite a las
compañías aéreas mantener el control de los datos suministrados. Se considera
que el «método de transmisión» ofrece un nivel mayor de protección de los
datos y que debe ser obligatorio para todas las compañías aéreas. |
(17) |
La Comisión
apoya las directrices de la Organización de Aviación Civil Internacional
(OACI) sobre los datos PNR. Estas directrices deben, por ello, ser la base
para adoptar los formatos de datos admitidos para la transmisión de datos PNR
por las compañías aéreas a los Estados miembros. A fin de garantizar
condiciones uniformes de ejecución de los formatos de datos admitidos y de
los protocolos aplicables a la transferencia de datos de las compañías
aéreas, deben conferirse a la Comisión competencias de ejecución. Dichas
competencias deben ejercerse de conformidad con el Reglamento (UE) n.o 182/2011 del Parlamento
Europeo y del Consejo (6). |
(18) |
Los Estados miembros deben tomar todas las medidas necesarias para
que las compañías aéreas puedan cumplir sus obligaciones con arreglo a la
presente Directiva. Los Estados miembros deben imponer sanciones efectivas,
proporcionadas y disuasorias, incluidas las pecuniarias, a las compañías
aéreas que incumplan sus obligaciones de transmisión de datos PNR. |
(19) |
Cada Estado miembro debe ser responsable de evaluar las posibles
amenazas relacionadas con los delitos de terrorismo y los delitos graves. |
(20) |
Tomando plenamente en consideración el derecho a la protección de
datos personales y el derecho a la no discriminación, no debe tomarse ninguna
decisión que pudiera tener efectos jurídicos adversos para una persona o
afectarle gravemente en razón únicamente del tratamiento automatizado de
datos PNR. Asimismo, con arreglo a los artículos 8 y 21 de la Carta, dichas
decisiones deben evitar toda discriminación por motivos como el sexo, raza,
color, orígenes étnicos o sociales, características genéticas, lengua,
religión o convicciones, opiniones políticas o de cualquier otro tipo
pertenencia a una minoría nacional, patrimonio, nacimiento, discapacidad,
edad u orientación sexual. La Comisión debe tener también en cuenta estos
principios cuando revise la aplicación de la presente Directiva. |
(21) |
Los Estados miembros no podrán en ningún caso utilizar el resultado
del tratamiento de datos PNR como razón para eludir sus obligaciones
internacionales en virtud de la Convención de Ginebra sobre el Estatuto de
los Refugiados de 28 de julio de 1951, modificada por el Protocolo de 31 de
enero de 1967, ni para negar a los solicitantes de asilo unas vías jurídicas
seguras y efectivas de acceso al territorio de la Unión con vistas a ejercer
su derecho a la protección internacional. |
(22) |
Teniendo plenamente en cuenta los principios de la jurisprudencia
reciente expuesta por el Tribunal de Justicia de la Unión Europea, la
aplicación de la presente Directiva debe garantizar el pleno respeto de los
derechos fundamentales y el derecho a la intimidad, así como el principio de
proporcionalidad. Asimismo, debe responder realmente a los objetivos de
necesidad y proporcionalidad para favorecer los intereses generales
reconocidos por la Unión y a la necesidad de proteger los derechos y
libertades de los demás en la lucha contra el terrorismo y la delincuencia
grave. La presente Directiva debe aplicarse cuando exista una justificación
suficiente y deben preverse las garantías necesarias para asegurar la
legalidad de cualquier tipo de almacenamiento, análisis, uso o transferencia
de datos PNR. |
(23) |
Los Estados
miembros deben intercambiar y a través de Europol los datos PNR que reciban
cuando ello se considere necesario para la prevención, detección,
investigación o enjuiciamiento de delitos de terrorismo o delitos graves. Las
UIP deben transmitir, cuando proceda y sin demora, los resultados del
tratamiento de datos PNR a las de otros Estados miembros, para ulterior
investigación. Las disposiciones de la presente Directiva se entienden sin
perjuicio de otros instrumentos de la Unión relativos al intercambio de
información entre la policía u otras autoridades policiales y las judiciales,
incluida la Decisión 2009/371/JAI del Consejo (7), y la
Decisión marco 2006/960/JAI (8). Este intercambio
de datos PNR entre las autoridades policiales y judiciales debe regirse por
las normas de cooperación policial y judicial y no socavar el alto nivel de
protección de la intimidad y de los datos personales exigido por la Carta, el
Convenio n.o 108 y el CEDH. |
(24) |
Debe garantizarse el intercambio seguro de información sobre datos
PNR entre los Estados miembros a través de cualquiera de los canales
existentes de cooperación entre las autoridades competentes de los Estados
miembros, así como en particular con Europol a través de la Aplicación Segura
de la red de Intercambio de Información (SIENA) de Europol. |
(25) |
El período durante el cual deben conservarse los datos PNR debe ser
el necesario y debe ser proporcional a las finalidades de prevención,
detección, investigación y enjuiciamiento de los delitos de terrorismo y los
delitos graves. Dada la naturaleza de los datos y su utilización, es
necesario que los datos PNR se conserven durante un período suficientemente
largo para realizar análisis y utilizarlos en las investigaciones. Para
evitar una utilización desproporcionada es necesario que, después del período
inicial de conservación, los datos PNR se despersonalicen mediante
enmascaramiento de elementos de los datos Con el fin de garantizar el más
alto nivel de protección de datos, el acceso al conjunto total de datos PNR,
que permiten la identificación directa del interesado, solo debe poder
autorizarse en condiciones muy estrictas y limitadas tras dicho período
inicial. |
(26) |
Cuando se hayan transmitido datos PNR específicos a las autoridades
competentes y estos se utilicen en el contexto de un enjuiciamiento o de
investigaciones penales específicos, la conservación de dichos datos por las
autoridades competentes debe regirse por el derecho nacional, con
independencia de los períodos de conservación de datos fijados en la presente
Directiva. |
(27) |
En cada Estado
miembro, el tratamiento de los datos PNR por la UIP y las autoridades
competentes debe respetar normas de protección de datos personales previstos
en el derecho nacional que sean conformes con la Decisión marco
2008/977/JAI del Consejo (9), así como
los requisitos específicos de protección de datos establecidos en la presente
Directiva. Las referencias a la Decisión marco 2008/977/JAI, deberán
entenderse como hechas a la legislación actualmente en vigor, así como a la
legislación que la sustituya. |
(28) |
Considerando el derecho a la protección de datos personales, los
derechos de los interesados relativos al tratamiento de sus datos PNR, tales
como los derechos de acceso, rectificación, supresión y restricción de los
datos PNR y el derecho a una indemnización y a una reparación judicial, deber
ser conformes tanto con la Decisión marco 2008/977/JAI como con el alto nivel
de protección brindado por la Carta y el CEDH. |
(29) |
Teniendo en cuenta el derecho de los pasajeros a ser informados del
tratamiento de sus datos personales, los Estados miembros debe garantizar que
los pasajeros reciban información precisa, de fácil acceso y comprensión,
sobre la recogida de datos PNR y su transferencia a la UIP, así como sus
derechos como interesados. |
(30) |
La presente Directiva se entiende sin perjuicio del derecho de la
Unión y nacional relativo al principio de acceso público a los documentos
oficiales. |
(31) |
Las transferencias de datos PNR por los Estados miembros a los
terceros países deber permitirse solo caso por caso y respetando plenamente
las disposiciones adoptadas por los Estados miembros en aplicación de la
Decisión marco 2008/977/JAI. Para garantizar la protección de datos
personales, dichas transferencias debe cumplir requisitos adicionales
relativos a la finalidad de la transferencia. También deben de estar sujetas
a los principios de necesidad y proporcionalidad y al elevado nivel de
protección que brindan la Carta y el CEDH. |
(32) |
La autoridad nacional de control establecida en aplicación de la
Decisión marco 2008/977/JAI también debe ser responsable de asesorar sobre y
vigilar la aplicación de las disposiciones adoptadas por los Estados miembros
de conformidad con la presente Directiva. |
(33) |
La presente Directiva no afecta a la posibilidad de que los Estados
miembros establezcan en su derecho nacional un mecanismo para recoger y
tratar los datos PNR proporcionados por operadores económicos que no sean
compañías aéreas, tales como agencias de viaje y operadores turísticos que
prestan servicios relacionados con los viajes, como la reserva de vuelos,
para los cuales recogen y tratan datos PNR, o de los transportistas que no
sean los mencionados en él, siempre que ele derecho nacional de que se trate
respete el derecho de la Unión. |
(34) |
La presente Directiva se entiende sin perjuicio de las normas
vigentes de la Unión sobre la forma en que se realizan los controles de
fronteras ni de las normas de la Unión que rigen la entrada y salida de su
territorio. |
(35) |
Como consecuencia de las diferencias jurídicas y técnicas entre las
disposiciones nacionales sobre el tratamiento de datos personales, incluidos
los datos PNR, las compañías aéreas se enfrentan y se enfrentarán a
requisitos diferentes en cuanto al tipo de información que deben transmitir y
a las condiciones en que deben facilitársela a las autoridades nacionales
competentes. Estas diferencias pueden ir en detrimento de una cooperación
efectiva entre las autoridades nacionales competentes a efectos de prevenir,
detectar, investigar y enjuiciar los delitos de terrorismo y los delitos
graves. Por ello es necesario establecer a escala de la Unión un marco legal
común para la transferencia y tratamiento de datos PNR. |
(36) |
La presente Directiva respeta los derechos fundamentales y los
principios de la Carta, y en particular el derecho de protección de datos de
carácter personal, el derecho a la intimidad y el derecho a la no
discriminación reconocidos en los artículos 8, 7 y 21 de la misma, y debe
aplicarse en consecuencia. La presente Directiva es compatible con los
principios de protección de datos y sus disposiciones se ajustan a la
Decisión marco 2008/977/JAI del Consejo. Además, con el fin de cumplir el
principio de proporcionalidad, la presente Directiva, en determinadas
materias, contiene normas de protección de datos más estrictas que la
Decisión marco 2008/977/JAI. |
(37) |
Se ha limitado en lo posible el alcance de la presente Directiva
pues permite conservar los datos PNR durante un período máximo de 5 años,
tras el cual los datos deberán suprimirse; dispone que los datos deben
despersonalizarse mediante enmascaramiento de los elementos de los datos tras
un período inicial de seis meses, y prohíbe la recogida y utilización de
datos sensibles. Para garantizar la eficiencia y un alto nivel de protección
de datos, se exige a los Estados miembros que garanticen que una autoridad
nacional de control independiente y, en particular, un responsable de la
protección de datos, sea responsable de asesorar y de supervisar el modo en
que se tratan los datos PNR. Cualquier tratamiento de datos PNR deberá
registrarse o documentarse a efectos de la verificación de su legalidad, de
autocontrol, así como para garantizar adecuadamente la integridad y seguridad
del tratamiento. Los Estados miembros también deberán asegurarse de que los
pasajeros reciban una información clara y precisa sobre la recogida de datos
PNR y sobre sus derechos. |
(38) |
Dado que los objetivos de la presente Directiva, a saber, la
transferencia de datos PNR por las compañías aéreas y su tratamiento a
efectos de prevenir, detectar, investigar y enjuiciar los delitos de
terrorismo y la delincuencia grave, no pueden ser alcanzados de manera
suficiente por los Estados miembros, sino que pueden lograrse mejor a escala
de la Unión, esta puede adoptar medidas, de acuerdo con el principio de
subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea.
De conformidad con el principio de proporcionalidad establecido en el mismo
artículo, la presente Directiva no excede de lo necesario para alcanzar
dichos objetivos. |
(39) |
De conformidad
con el artículo 3 del Protocolo n.o 21 sobre la posición del
Reino Unido y de Irlanda respecto del espacio de libertad, seguridad y
justicia, anejo al Tratado de la Unión Europea y al Tratado de Funcionamiento
de la Unión Europea, estos Estados miembros han notificado su deseo de
participar en la adopción y aplicación de la presente Directiva. |
(40) |
De conformidad
con los artículos 1 y 2 del Protocolo n.o 22 sobre la posición de
Dinamarca, anejo al Tratado de la Unión Europea y al Tratado de
Funcionamiento de la Unión Europea, Dinamarca no participa en la adopción de
la presente Directiva y no queda vinculada por la misma ni sujeta a su
aplicación. |
(41) |
El Supervisor
Europeo de Protección de Datos, al que se consultó de conformidad con el
artículo 28, apartado 2, del Reglamento (CE) n.o 45/2001 del Parlamento
Europeo y del Consejo (10), emitió su
dictamen el 25 de marzo de 2011. |
HAN ADOPTADO LA PRESENTE DIRECTIVA:
CAPÍTULO
I
Disposiciones
generales
Artículo 1
Objeto y ámbito de aplicación
1. La presente Directiva regula:
a) |
la transferencia por las compañías aéreas de datos del registro de
nombres de los pasajeros (PNR) de vuelos exteriores de la UE; |
b) |
el tratamiento de los datos a que se refiere la letra a), incluida
su recogida, utilización y conservación por los Estados miembros, así como el
intercambio de los mismos entre dichos Estados miembros. |
2. Los datos PNR obtenidos con
arreglo a la presente Directiva podrán tratarse únicamente con fines de
prevención, detección, investigación y enjuiciamiento de los delitos de
terrorismo y los delitos graves contemplados en el artículo 6, apartado 2,
letras a), b) y c).
Artículo 2
Aplicación de la presente Directiva
a los vuelos interiores de la UE
1. En caso de que un Estado miembro decida aplicar la
presente Directiva a los vuelos interiores de la UE, lo notificará por escrito
a la Comisión. Cualquier Estado miembro podrá efectuar o revocar esta notificación
en cualquier momento. La Comisión publicará dicha notificación y cualquier
revocación de la misma en el Diario
Oficial de la Unión Europea.
2. Cuando se efectúe la
notificación a que se refiere el apartado 1, todas las disposiciones de la
presente Directiva se aplicarán a los vuelos interiores de la UE de igual modo
que si se tratara de vuelos al exterior de la UE, y a los datos PNR de vuelos
interiores de la UE de igual modo que si se tratara de datos PNR de vuelos al
exterior de la UE.
3. Cada Estado miembro podrá
decidir aplicar la presente Directiva exclusivamente a vuelos interiores de la
UE seleccionados. Al adoptar tal decisión, el Estado miembro deberá elegir los
vuelos que considere necesarios a fin de perseguir los objetivos de la presente
Directiva. El Estado miembro podrá decidir modificar la selección de vuelos
interiores de la UE en todo momento.
Artículo 3
Definiciones
A efectos de la presente Directiva, se entenderá
por:
1) «compañía
aérea»: empresa de transporte aéreo con
una licencia de explotación válida o similar que le permita llevar a cabo el transporte de
pasajeros por vía aérea;
2) «vuelo
exterior de la UE»: cualquier vuelo, programado o no
programado por una compañía aérea, procedente de un tercer país que tenga
previsto aterrizar en el territorio de un Estado miembro o volar procedente del
territorio de un Estado miembro y que tenga previsto aterrizar en un tercer
país, incluidos en ambos casos los vuelos que hagan escala en el territorio de
Estados miembros o de terceros países;
3) «vuelo
interior de la UE»: cualquier vuelo, programado o no
programado por una compañía aérea, procedente del territorio de un Estado
miembro y que tenga previsto aterrizar en el territorio de otro u otros Estados
miembros, sin escalas en el territorio de un tercer país;
4) «pasajero»:
toda persona, incluidos los pasajeros en tránsito o en conexión y exceptuados
los miembros de la tripulación, transportada o que vaya a ser transportada a
bordo de una aeronave con el consentimiento de la compañía aérea, lo cual se
manifiesta en la inclusión de la persona en la lista de pasajeros;
5) «registro
de nombres de los pasajeros» o «PNR»: una relación de los requisitos de
viaje impuestos a cada pasajero, que incluye toda la información necesaria para
el tratamiento y el control de las reservas por parte de las compañías aéreas
que las realizan y participan en el sistema PNR, por cada viaje reservado por
una persona o en su nombre, ya estén contenidos en sistemas de reservas, en
sistemas de control de salidas utilizado para embarcar a los pasajeros en el
vuelo o en sistemas equivalentes que posean las mismas funcionalidades;
6) «sistema
de reserva»: el sistema de reservas interno de la compañía
aérea en el cual se recogen los datos PNR para el tratamiento de las reservas;
7) «método
de transmisión»: método por el cual las compañías
aéreas envían los datos PNR incluidos en el anexo I a la base de datos de la
autoridad requirente;
8) «delitos
de terrorismo»: los delitos con arreglo al derecho nacional a
que se refieren los artículos 1 a 4 de la Decisión marco 2002/475/JAI;
9) «delitos
graves»: los delitos incluidos en el anexo II que son
punibles con una pena privativa de libertad o un auto de internamiento de una
duración máxima no inferior a tres años con arreglo al derecho nacional de un
Estado miembro;
10) «despersonalizar
mediante enmascaramiento de elementos de los datos»:
hacer invisibles para un usuario aquellos elementos de los datos que servirían
para identificar directamente al interesado.
CAPÍTULO
II
Responsabilidades
de los estados miembros
Artículo 4
Unidad de Información sobre los
Pasajeros
1. Cada Estado miembro
establecerá o designará una autoridad competente para la prevención, detección,
investigación o enjuiciamiento de los delitos de terrorismo y delitos graves, o
una sucursal de esa autoridad, para actuar como su Unidad de Información sobre
los Pasajeros («UIP»).
2. La UIP será responsable de:
a) |
recoger los datos PNR de las compañías aéreas, almacenar y procesar
esos datos y transferir dichos datos o el resultado de su tratamiento a las
autoridades competentes a que hace mención el artículo 7; |
b) |
intercambiar tanto los datos PNR como de los resultados de su
tratamiento con las UIP de otros Estados miembros y con Europol, de
conformidad con los artículos 9 y 10. |
3. El personal de la UIP podrá
ser enviado en comisión de servicios por las autoridades competentes. Los
Estados miembros dotarán a las UIP de los recursos adecuados para que realicen
su cometido.
4. Dos o más Estados miembros
(los Estados miembros participantes) podrán establecer o designar una autoridad
única para que actúe como su UIP. Esta UIP se establecerá en uno de los Estados
miembros participantes y se considerará la UIP de todos los Estados miembros
participantes. Los Estados miembros participantes acordarán conjuntamente las
normas detalladas de funcionamiento de la UIP y respetarán los requisitos
establecidos en la presente Directiva.
5. En el plazo de un mes desde la creación de su UIP,
cada Estado miembro se lo notificará a la Comisión, y podrá modificar su
notificación en cualquier momento. La Comisión publicará la notificación, y sus
eventuales modificaciones, en el Diario
Oficial de la Unión Europea.
Artículo 5
Responsable de la protección de
datos en la UIP
1. La UIP designará a un
responsable de la protección de datos para controlar el tratamiento de los
datos PNR y aplicar las garantías oportunas.
2. Los Estados miembros dotarán
al responsable de la protección de datos de los medios necesarios para que
desempeñe sus funciones y cometidos con arreglo al presente artículo de manera
eficaz e independiente.
3. Los Estados miembros velarán
por que el interesado tenga derecho a ponerse en contacto con el responsable de
la protección de datos, como punto de contacto único, para todas las cuestiones
relacionadas con el tratamiento de sus datos PNR.
Artículo 6
Tratamiento de los datos PNR
1. Los datos PNR transmitidos
por las compañías aéreas serán recopilados por la UIP del Estado miembro que
corresponda, con arreglo a lo dispuesto en el artículo 8. Si los datos PNR
transmitidos por las compañías aéreas incluyeran datos distintos de los
enumerados en el anexo I, la UIP los suprimirá inmediatamente y de manera
definitiva en el momento de su recepción.
2. La UIP tratará los datos PNR
solo para realizar:
a) |
una evaluación de los pasajeros antes de su llegada o salida
programada del Estado miembro, a fin de identificar a toda persona que deba
ser examinada de nuevo por las autoridades competentes a que se refiere el
artículo 7 y, en su caso, por Europol, de conformidad con el artículo 10,
ante la posibilidad de que pudiera estar implicada en un delito de terrorismo
o delito grave; |
b) |
responder en cada caso particular, a las peticiones debidamente
razonadas y con suficiente base de las autoridades competentes de que se
suministren y traten datos PNR en casos específicos a efectos de prevención,
detección, investigación y enjuiciamiento de delitos de terrorismo y delitos
graves, y facilitar a las autoridades competentes o, en su caso, a Europol,
los resultados de dicho tratamiento, y |
c) |
analizar los datos PNR con el fin de actualizar o establecer nuevos
criterios que deben utilizarse en las evaluaciones realizadas en virtud del
apartado 3, letra b), a fin de identificar a toda persona que pueda estar
implicada en un delito de terrorismo o delito grave. |
3. Al realizar la evaluación a
que se refiere el artículo 2, letra a), la UIP podrá:
a) |
comparar los datos PNR con las bases de datos pertinentes a los
efectos de la prevención, detección, investigación y enjuiciamiento de
delitos de terrorismo y delitos graves, incluidas las bases de datos sobre
personas u objetos buscados o bajo alerta, de acuerdo con las normas de la
Unión, internacionales y nacionales aplicables a dichas bases de datos, o |
b) |
tratar los datos PNR con arreglo a criterios predeterminados. |
4. La evaluación de los
pasajeros antes de su llegada o salida programada del Estado miembro
mencionado, efectuada de conformidad con los criterios predeterminados a que se
refiere a que se refiere el apartado 3, la letra b), se realizará de forma no
discriminatoria con arreglo a criterios de evaluación establecidos por su UIP.
Estos criterios predeterminados de evaluación deben ser orientados,
proporcionados y específicos. Los Estados miembros se asegurarán de que las UIP
establezcan esos criterios y los revisen periódicamente, en cooperación con las
autoridades competentes mencionadas en el artículo 7. Los criterios no se
basarán en ningún caso en el origen racial o étnico, las opiniones políticas,
las creencias religiosas o filosóficas, la pertenencia a un sindicato, la salud
o la vida u orientación sexual de la persona.
5. Los Estados miembros velarán
por que se revise individualmente, por medios no automatizados, todo resultado
positivo que arroje el tratamiento automatizado de los datos PNR efectuado con
arreglo al artículo 2, letra a), con el fin de comprobar si es necesario que
las autoridades competentes a que hace referencia el artículo 7 emprendan una
acción en virtud del derecho nacional.
6. La UIP de un Estado miembro
transmitirá los datos PNR de las personas identificadas con arreglo al apartado
2, letra a), o los resultados del tratamiento de esos datos PNR a las
autoridades competentes pertinentes a que hace referencia el artículo 7 del
mismo Estado miembro para su ulterior examen. Dicha transmisión solo se llevará
a cabo tras un análisis de cada caso y, en caso de tratamiento automatizado de
los datos PNR, tras una revisión individualizada por medios no automatizados.
7. Los Estados miembros velarán
por que el responsable de la protección de datos tenga acceso a todos los datos
tratados por la UIP. Si el responsable de la protección de datos considera que
el tratamiento de un dato cualquiera no ha sido lícito, podrá remitirlo a la
autoridad nacional de control.
8. El almacenamiento, el
tratamiento y análisis de los datos PNR por parte de la UIP se realizará
exclusivamente en uno o varios lugares seguros, dentro del territorio de los
Estados miembros.
9. Las consecuencias de las evaluaciones de los
pasajeros a que se refiere la letra a) del apartado 2 del presente artículo no
perjudicarán el derecho de entrada de las personas que gocen del derecho de la
Unión de libre circulación en el territorio del Estado miembro en cuestión tal
como se establece en la Directiva 2004/38/CE del Parlamento Europeo y del
Consejo (11). Por otra parte, en caso de que se efectúen en relación con
vuelos interiores de la UE entre Estados miembros a los que sea aplicable el
Reglamento (CE) n.o 562/2006
del Parlamento Europeo y del Consejo (12), las consecuencias de tales evaluaciones se ajustarán a
dicho Reglamento.
Artículo 7
Autoridades competentes
1. Cada Estado miembro elaborará
la lista de autoridades competentes para solicitar o recibir datos PNR o el
resultado del tratamiento de los mismos de las UIP, a fin de seguir examinando
esa información o de tomar las medidas adecuadas para prevenir, detectar,
investigar y enjuiciar los delitos de terrorismo y los delitos graves.
2. Las autoridades a que se
refiere el apartado 1 serán del Estado miembro competentes para la prevención,
detección, investigación o enjuiciamiento de los delitos de terrorismo y
delitos graves.
3. A efectos del artículo 9, apartado 3, cada Estado
miembro notificará a la Comisión la lista de sus autoridades competentes a la
Comisión antes del 25 de mayo de 2017, y podrá modificar su notificación en
todo momento. La Comisión publicará la notificación, y sus eventuales
modificaciones, en el Diario
Oficial de la Unión Europea.
4. Los datos PNR y los
resultados del tratamiento de dichos datos recibidos por la UIP podrán ser
objeto de tratamiento posterior por las autoridades competentes de los Estados
miembros únicamente con el fin específico de prevención, detección,
investigación y enjuiciamiento de delitos de terrorismo y delitos graves.
5. El apartado 4 se entiende sin
perjuicio de las facultades policiales o judiciales con arreglo al derecho
nacional en el caso de que, en el curso de la acción ejercida después del
tratamiento, se detecten otros delitos o indicios de delitos.
6. Las autoridades competentes
no adoptarán ninguna decisión que produzca efectos jurídicos adversos para una
persona o que afecte significativamente a una persona únicamente en razón del
tratamiento automatizado de datos PNR. Dichas decisiones no deberán basarse en
la raza o el origen étnico, las opiniones políticas, las creencias religiosas o
filosóficas, la pertenencia a un sindicato, la salud o la vida u orientación
sexual de la persona.
Artículo 8
Obligaciones de las compañías
aéreas en relación con la transmisión de datos
1. Los Estados miembros
adoptarán las medidas necesarias para garantizar que las compañías aéreas
envíen, mediante el método de transmisión, los datos PNR relacionados en el
anexo I, en la medida en que ya los hayan recopilado en el transcurso normal de
su actividad, a la base de datos de la UIP del Estado miembro en cuyo territorio
aterrizará o de cuyo territorio saldrá el vuelo. En los casos en que el código
de un vuelo internacional sea compartido con una o más compañías aéreas, la
obligación de transmitir los datos PNR de todos los pasajeros de dicho vuelo
recaerá en la compañía aérea que explote el vuelo. Si un vuelo exterior de la
UE realiza una o varias escalas en los aeropuertos de los Estados miembros, las
compañías aéreas transmitirán los datos PNR de todos los pasajeros a las UIP de
todos los Estados miembros interesados. Lo mismo se aplica a los vuelos
interiores de la UE con una o varias escalas en aeropuertos de diversos Estados
miembros, pero solo en relación con los Estados miembros que estén recogiendo
datos PNR de vuelos interiores de la UE.
2. En caso de que las compañías aéreas hayan
recopilado los datos de información anticipada sobre los pasajeros (API, por
sus siglas en inglés de «advance
passenger information») enumerados en el punto 18 del
anexo I, pero no los conserven con los mismos medios técnicos que otros datos
PNR, los Estados miembros adoptarán las medidas necesarias para garantizar que
las compañías aéreas envíen también esos datos, mediante el método de
transmisión, a la UIP del Estado miembro a que se refiere el apartado 1. En
caso de que se lleve a cabo esta transmisión, se aplicarán todas las
disposiciones de la presente Directiva en relación con los mencionados datos
API.
3. Las compañías aéreas
transmitirán los datos PNR por medios electrónicos utilizando los protocolos y
los formatos de datos comunes que deberán adoptarse conforme al procedimiento
de examen a que se refiere el artículo 17, apartado 2 o, en caso de fallo
técnico, por cualquier otro medio apropiado que garantice un nivel adecuado de
seguridad de los datos:
a) |
24 a 48 horas antes de la hora de salida programada del vuelo, e |
b) |
inmediatamente después del cierre del vuelo, es decir, una vez que
los pasajeros hayan embarcado en el avión en preparación de la salida y no
sea posible embarcar o desembarcar pasajeros. |
4. Los Estados miembros
permitirán a las compañías aéreas que limiten la transmisión a que se refiere
el apartado 3, letra b), a actualizaciones de la transmisión a que se refiere
la letra a) de dicho apartado.
5. Cuando sea necesario acceder
a los datos PNR para responder a una amenaza concreta y real relacionada con
delitos de terrorismo o delitos graves, las compañías aéreas, caso por caso,
transmitirán los datos PNR en momentos distintos de los mencionados en el
apartado 3, a petición de una UIP y de conformidad con el derecho nacional.
Artículo 9
Intercambio de información entre
Estados miembros
1. En lo que respecta a las
personas identificadas por una UIP de conformidad con el artículo 6, apartado
2, los Estados miembros garantizarán que todos los datos PNR pertinentes y
necesarios, o el resultado de su tratamiento, sean transmitidos por la UIP en
cuestión a las unidades correspondientes de los demás Estados miembros. Las UIP
de los Estados miembros receptores remitirán la información recibida, de
conformidad con el artículo 6, apartado 6, a sus autoridades competentes.
2. La UIP de un Estado miembro
tendrá derecho a solicitar, en caso necesario, a la UIP de cualquier otro
Estado miembro que le suministre los datos PNR almacenados en la base de datos
de esta última y que aún no hayan sido despersonalizados mediante enmascaramiento
de elementos de los datos, de conformidad con el artículo 12, apartado 2, así
como, si fuera necesario, el resultado de cualquier tratamiento de los mismos,
si este ya se hubiera realizado de conformidad con el artículo 6, apartado 2,
letra a). La solicitud deberá ser debidamente motivada. Podrá basarse en
cualquier elemento de los datos o en una combinación de los mismos, según
estime necesario la UIP solicitante en cada caso concreto para la prevención,
detección, investigación o enjuiciamiento de delitos de terrorismo o delitos
graves. Las UIP deberán proporcionar la información solicitada lo antes
posible. En caso de que los datos solicitados hayan sido despersonalizados
mediante enmascaramiento de elementos de los datos de conformidad con el
artículo 12, apartado 2, la UIP únicamente deberá proporcionar los datos PNR
completos cuando crea razonablemente que es necesario a los efectos a que se
refiere el artículo 6, apartado 2, letra b), y solo cuando lo haya autorizado
una autoridad competente conforme a lo dispuesto en el artículo 12, apartado 3,
letra b).
3. Las autoridades competentes
de un Estado miembro pueden solicitar directamente a la UIP de cualquier otro
Estado miembro que les facilite los datos PNR almacenados en la base de datos de
este último únicamente cuando sea necesario en casos de urgencia y en las
condiciones establecidas en el apartado 2. Las solicitudes de las autoridades
competentes deberán ser motivadas. Siempre se enviará una copia de ellas a la
UIP del Estado miembro solicitante, En todos los demás casos las autoridades
competentes canalizarán sus solicitudes a través de la UIP de su propio Estado
miembro.
4. Excepcionalmente, cuando sea
necesario acceder a los datos PNR para responder a una amenaza concreta y real
relacionada con delitos de terrorismo o delitos graves, la UIP de un Estado
miembro tendrá derecho a solicitar a la UIP de otro Estado miembro acceder a
datos PNR, de conformidad con el artículo 8, apartado 5, y facilitarlos a la
UIP solicitante.
5. El intercambio de información
previsto en el presente artículo podrá realizarse utilizando cualquiera de las
vías existentes de cooperación entre las autoridades competentes de los Estados
miembros. Para la solicitud y el intercambio de información se utilizará la
lengua aplicable a la vía de cooperación utilizada. Los Estados miembros, al
efectuar sus notificaciones de conformidad con el artículo 4, apartado 5,
informarán también a la Comisión de los puntos de contacto a los que se podrán
enviar las solicitudes en caso de emergencia. La Comisión comunicará estos
detalles a los Estados miembros.
Artículo 10
Condiciones de acceso de Europol a
los datos PNR
1. Europol tendrá derecho a
solicitar datos PNR o el resultado del procesamiento de dichos datos a las UIP de
los Estados miembros dentro de los límites de sus competencias y para el
desempeño de sus funciones.
2. Europol podrá dirigir, caso
por caso, a la UIP de cualquier Estado miembro, a través de la unidad nacional
de Europol, una solicitud electrónica debidamente motivada de transmisión de
datos PNR específicos o del resultado del tratamiento de los mismos. Europol
podrá dirigir dicha solicitud cuando sea estrictamente necesario para apoyar y
reforzar la acción de los Estados miembros a efectos de prevenir, detectar o
investigar un delito de terrorismo específico o delitos graves, siempre que el
delito entre dentro de las competencias de Europol de conformidad con la
Decisión 2009/371/JAI. La solicitud indicará las causas razonables por las que
Europol considera que la transmisión de los datos PNR o de los resultados de su
tratamiento va a contribuir significativamente a prevenir, detectar o
investigar la infracción penal en cuestión.
3. Europol informará al
responsable de la protección de datos designado de conformidad con el artículo
28 de la Decisión 2009/371/JAI de cada uno de los intercambios de información
en virtud del presente artículo.
4. El intercambio de información
en virtud del presente artículo se realizará a través de SIENA y de conformidad
con la Decisión 2009/371/JAI. Para la solicitud y el intercambio de información
se utilizará la lengua aplicable a SIENA.
Artículo 11
Transferencias de datos a los
terceros países
1. Un Estado miembro podrá
transmitir a un tercer país los datos PNR y el resultado del tratamiento de
dichos datos conservados por la UIP con arreglo al artículo 12 en casos
concretos y si:
a) |
se cumplen las condiciones establecidas en el artículo 13 de la
Decisión marco 2008/977/JAI; |
b) |
la transmisión es necesaria para los fines de la presente Directiva
a que se refiere el artículo 1, apartado 2; |
c) |
el tercer país acuerda transmitir los datos a otro tercer país
únicamente si fuera estrictamente necesario para los fines de la presente Directiva
a que se refiere el artículo 1, apartado 2, y solo con la autorización
expresa del Estado miembro, y |
d) |
se reúnen unas condiciones idénticas a las establecidas en el
artículo 9, apartado 2. |
2. No obstante lo dispuesto en
el artículo 13, apartado 2 de la Decisión marco 2008/977/JAI, las transmisiones
de datos PNR sin consentimiento previo del Estado miembro del que fueron
obtenidos los datos, se permitirán en circunstancias excepcionales y solamente
si:
a) |
son esenciales para responder a una amenaza específica y real
relacionada con delitos de terrorismo o delitos graves de un Estado miembro o
de un tercer país, y |
b) |
el consentimiento previo no puede obtenerse a su debido tiempo. |
Se informará sin demora a la autoridad
responsable de dar el consentimiento y la transmisión se registrará debidamente
y podrá ser objeto de una verificación posterior.
3. Los Estados miembros
transmitirán datos PNR a las autoridades competentes de terceros países
únicamente en condiciones acordes con la presente Directiva y exclusivamente
después de asegurarse de que la utilización de los datos PNR prevista por los
receptores se ajusta a dichas condiciones y garantías.
4. Se informará al responsable
de la protección de datos del Estado miembro que haya transmitido los datos PNR
cada vez que el Estado miembro transfiera datos PNR en virtud del presente
artículo.
Artículo 12
Período de conservación de los
datos y despersonalización
1. Los Estados miembros se
asegurarán de que los datos PNR proporcionados por las compañías aéreas a la
UIP se conservan en una base de datos de la Unidad durante un plazo de cinco
años a partir de su transmisión a la UIP del Estado miembro en cuyo territorio
tenga su punto de aterrizaje u origen el vuelo.
2. Al finalizar un plazo de seis
meses desde la transmisión de datos PNR mencionada en el apartado 1, todos los
datos PNR deberán ser despersonalizados mediante enmascaramiento de los
siguientes elementos que podrían servir para identificar directamente al
pasajero al que se refieren los datos PNR:
a) |
nombre(s) y apellido(s), incluidos los de otros pasajeros que
figuran en el PNR y número de personas que figuran en el PNR que viajan
juntas; |
b) |
dirección y datos de contacto; |
c) |
rodos los datos sobre el pago, incluida la dirección de facturación,
en la medida en que contengan información que pueda servir para identificar
directamente al pasajero al que se refiere el PNR, o a cualquier otra persona; |
d) |
información sobre viajeros asiduos; |
e) |
observaciones generales, en la medida en que contengan información
que pueda servir para identificar directamente al pasajero al que se refiere
el PNR, y |
f) |
toda la API recopilada. |
3. Al finalizar el período de
seis meses mencionado en el apartado 2, solo se permitirá la divulgación de los
datos PNR completos cuando:
a) |
se crea razonablemente que es necesario a los efectos establecidos
en el artículo 6, apartado 2, letra b), y |
b) |
haya sido aprobado por:
|
4. Los Estados miembros se
asegurarán de que los datos PNR sean suprimidos de modo permanente al finalizar
el período a que se refiere el apartado 1. Esta obligación se entenderá sin
perjuicio de aquellos casos en que se hayan transferido datos PNR específicos a
una autoridad competente y se estén utilizando en el marco de un asunto
específico a efectos de prevenir, detectar, investigar o enjuiciar los actos de
terrorismo o delitos graves, en cuyo caso la conservación de los datos por la
autoridad competente se regirá por el derecho nacional.
5. Los resultados del
tratamiento a que se refiere el artículo 6, apartado 2, letra a), serán
conservados por laUIP únicamente durante el tiempo necesario para informar de
un resultado positivo a las autoridades competentes y, de conformidad con el
artículo 9, apartado 1, a las UIP de otros Estados miembros. Cuando el
resultado de un tratamiento automatizado, tras un examen individual por medios
no automatizados, contemplado en el artículo 6, apartado 5, arroje un resultado
negativo, este se podrá almacenar para evitar falsos resultados positivos
mientras los datos de base no se hayan eliminado con arreglo al apartado 4 del
presente artículo.
Artículo 13
Protección de los datos de carácter
personal
1. Cada Estado miembro
establecerá que, en lo que respecta al tratamiento de datos personales con
arreglo a la presente Directiva, todo pasajero tendrá los mismos derechos de
protección de sus datos personales, derechos de acceso, rectificación,
supresión y restricción y derechos de indemnización y recurso judicial que los
establecidos en el derecho de la Unión y nacional y en aplicación de los
artículos 17, 18, 19 y 20 de la Decisión marco 2008/977/JAI. Se aplicarán, por
lo tanto, dichos artículos.
2. Cada Estado miembro
establecerá que las disposiciones adoptadas en el marco del derecho nacional en
aplicación de los artículos 21 y 22 de la Decisión marco 2008/977/JAI sobre la
confidencialidad del tratamiento y la seguridad de los datos se aplicarán
también a todo tratamiento de datos personales con arreglo a la presente
Directiva.
3. La presente Directiva se entenderá sin perjuicio
de la aplicabilidad de la Directiva 95/46/CE del Parlamento Europeo y del
Consejo (13) al tratamiento de datos personales por las compañías
aéreas, en particular sus obligaciones de tomar las medidas técnicas y de
organización adecuadas para proteger la seguridad y la confidencialidad de los
datos personales.
4. Los Estados miembros
prohibirán el tratamiento de datos PNR que revele el origen racial o étnico,
las opiniones políticas, las creencias religiosas o filosóficas, la pertenencia
a un sindicato, la salud, la vida sexual o la orientación sexual de una persona.
En el caso de que la UIP reciba datos PNR que revelen tal información, los
suprimirá inmediatamente.
5. Los Estados miembros
garantizarán que las UIP conserven la documentación relativa a todos los
sistemas y procedimientos de tratamiento bajo su responsabilidad. Dicha
documentación constará como mínimo de los siguientes elementos:
a) |
el nombre y los datos de contacto de la organización y del personal
de la UIP encargados del tratamiento de los datos PNR y los distintos niveles
de autorización de acceso; |
b) |
las solicitudes cursadas por las autoridades competentes y por las
UIP de otros Estados miembros; |
c) |
todas las solicitudes y transmisiones de datos PNR a un tercer país. |
La UIP pondrá toda la documentación a disposición
de la autoridad nacional de control a petición de esta.
6. Los Estados miembros velarán
por que la UIP lleve registros de, al menos, las operaciones de tratamiento
siguientes: recogida, consulta, divulgación y supresión. Los registros de
consulta y divulgación mostrarán, en particular, la finalidad, la fecha y la
hora de tales operaciones y, en la medida de lo posible, la identidad de la
persona que consultó o divulgó los datos PNR y la identidad de los receptores
de dichos datos. Los registros se utilizarán exclusivamente a efectos de
verificación, de autocontrol, de garantizar la integridad de los datos y su
seguridad o de auditoría. La UIP pondrá los registros a disposición de la
autoridad nacional de control a petición de esta.
Dichos registros se conservarán por un período de
cinco años.
7. Los Estados miembros velarán
por que sus UIP apliquen las medidas y los procedimientos técnicos y
organizativos adecuados para garantizar el elevado nivel de seguridad
correspondiente a los riesgos que entrañen el tratamiento y las características
de los datos PNR.
8. Los Estados miembros
garantizarán que, cuando sea probable que una violación de los datos personales
dé lugar a un elevado riesgo para la protección de estos o afecte negativamente
a la intimidad del interesado, la UIP comunique, sin demora injustificada,
dicha violación al interesado y a la autoridad supervisora nacional.
Artículo 14
Sanciones
Los Estados miembros establecerán el régimen de
sanciones aplicables a los incumplimientos de las disposiciones nacionales
adoptadas en aplicación de la presente Directiva y adoptarán toda medida
necesaria para garantizar la aplicación de estas.
En particular, los Estados miembros establecerán
sanciones, incluidas las pecuniarias, contra las compañías aéreas que no
transmitan datos con arreglo a lo establecido en el artículo 8, o no lo hagan
en el formato exigido.
Dichas sanciones deberán ser efectivas, proporcionadas
y disuasorias.
Artículo 15
Autoridad nacional de control
1. Cada Estado miembro dispondrá
que la autoridad nacional de control a que se refiere el artículo 25 de la
Decisión marco 2008/977/JAI sea responsable de asesorar sobre la aplicación en
su territorio de las disposiciones adoptadas por los Estados miembros de
conformidad con la presente Directiva y de controlar dicha aplicación. Será
aplicable el artículo 25 de la Decisión marco 2008/977/JAI.
2. Las autoridades nacionales de
control realizarán las actividades a que se refiere el apartado 1 con el fin de
proteger los derechos fundamentales relativos al tratamiento de los datos
personales.
3. Cada autoridad nacional de
control:
a) |
conocerá de las reclamaciones presentadas por cualquier interesado,
investigará el asunto e informará al interesado de los progresos y el
resultado de su reclamación en un plazo de tiempo razonable; |
b) |
verificará la legalidad del tratamiento de los datos, realizará
investigaciones, inspecciones y auditorías de conformidad con el derecho
nacional, bien por propia iniciativa, bien sobre la base de la reclamación a
que se refiere la letra a). |
4. Cada autoridad nacional de control
asesorará, previa solicitud, a cualquier interesado en el ejercicio de los
derechos establecidos en las disposiciones adoptadas con arreglo a la presente
Directiva.
CAPÍTULO
III
Disposiciones
de aplicación
Artículo 16
Protocolos comunes y formatos de
datos admitidos
1. Todas las transmisiones de
datos PNR por las compañías aéreas a las UIP a efectos de la presente Directiva
se efectuarán por medios electrónicos que ofrezcan garantías suficientes en
relación con las medidas de seguridad técnicas y las medidas organizativas que
rigen el tratamiento de datos que se va a llevar a cabo. En caso de fallo
técnico, los datos PNR podrán ser transmitidos por cualquier otro medio
adecuado, siempre que se mantenga el mismo nivel de seguridad y que se cumpla
íntegramente el derecho de la Unión en materia de protección de datos.
2. Un año después de la fecha de
la primera adopción por la Comisión, de conformidad con el apartado 3, de los
protocolos comunes y los formatos de datos admitidos, toda transmisión de datos
PNR por las compañías aéreas a las UIP a efectos de la presente Directiva se
efectuará electrónicamente utilizando métodos seguros de conformidad con dichos
protocolos comunes. Tales protocolos serán comunes a todas las transmisiones
para garantizar la seguridad de los datos PNR durante la transmisión. Los datos
PNR serán transmitidos en un formato de datos admitido que garantice su
legibilidad por todas las partes interesadas. Se exigirá a todas las compañías
aéreas que seleccionen e indiquen a la UIP el protocolo común y el formato de
datos que se proponen utilizar en sus transmisiones.
3. Se elaborará una lista de los
protocolos comunes y los formatos de datos admitidos que, en caso necesario, la
Comisión adaptará mediante actos de ejecución. Dichos actos de ejecución se
adoptarán con arreglo al procedimiento de examen a que se refiere el artículo
17, apartado 2.
4. Será de aplicación el
apartado 1 mientras no se disponga de los protocolos comunes aceptados y de los
formatos de datos admitidos a que se refieren los apartados 2 y 3.
5. En el plazo de un año desde
la fecha de adopción de los protocolos comunes y formatos de datos admitidos a
que se hace referencia en el apartado 2, cada Estado miembro se asegurará de que
se adopten las medidas técnicas necesarias para poder utilizar los protocolos
comunes y formatos de datos.
Artículo 17
Procedimiento de comité
1. La Comisión estará asistida por un comité que será
un comité con arreglo al Reglamento (UE) n.o 182/2011.
2. En los casos en que se haga referencia al presente
apartado, será de aplicación el artículo 5 del Reglamento (UE) n.o 182/2011.
Si el comité no emite un dictamen, la Comisión no adoptará el proyecto
de acto de ejecución y se aplicará el artículo 5, apartado 4, párrafo tercero
del Reglamento (UE) n.o 182/2011.
CAPÍTULO
IV
Disposiciones
finales
Artículo 18
Transposición
1. Los Estados miembros pondrán
en vigor a más tardar el 25 de mayo de 2018 las disposiciones legales,
reglamentarias y administrativas necesarias para dar cumplimiento a lo
dispuesto en la presente Directiva. Informarán inmediatamente a la Comisión del
texto de dichas disposiciones.
Cuando los Estados miembros adopten dichas
disposiciones, estas incluirán una referencia a la presente Directiva o irán
acompañadas de dicha referencia en su publicación oficial. Los Estados miembros
establecerán las modalidades de la mencionada referencia.
2. Los Estados miembros
comunicarán a la Comisión el texto de las principales disposiciones de Derecho
interno que adopten en el ámbito regulado por la presente Directiva.
Artículo 19
Revisión
1. Atendiendo a la información
que le faciliten los Estados miembros, incluida la información estadística a
que se refiere el artículo 20, apartado 2, la Comisión, a más tardar el 25 de
mayo de 2020, realizará una revisión de todos los elementos de la presente
Directiva y presentará y someterá un informe al Parlamento Europeo y al
Consejo.
2. Al realizar la revisión, la
Comisión prestará especial atención:
a) |
al cumplimiento de las normas aplicables de protección de los datos
personales; |
b) |
a la necesidad y la proporcionalidad de la recogida y del
tratamiento de datos PNR para cada uno de los fines establecidos en la
presente Directiva; |
c) |
a la duración del período de conservación de datos; |
d) |
a la eficacia del intercambio de información entre los Estados
miembros, y |
e) |
a la calidad de las evaluaciones, también con respecto a la
información estadística recopilada de conformidad con el artículo 20. |
3. El informe a que se refiere
el apartado 1, incluirá asimismo un estudio de la necesidad, la
proporcionalidad y la eficacia de la inclusión en el ámbito de aplicación de la
presente Directiva, de la recogida y transmisión obligatoria de los datos PNR relativos
a todos o determinados vuelos interiores de la UE. La Comisión tendrá en cuenta
la experiencia adquirida por los Estados miembros, en especial por aquellos que
aplican la presente Directiva a los vuelos interiores de la UE, de conformidad
con el artículo 2. El informe estudiará también la necesidad de incluir en el
ámbito de aplicación de la presente Directiva a agentes económicos que no sean
compañías aéreas, tales como agencias de viaje y operadores turísticos que
prestan servicios relacionados con los viajes, como la reserva de vuelos.
4. La Comisión presentará, en su
caso, a la luz de la revisión efectuada con arreglo al presente artículo, una
propuesta legislativa al Parlamento Europeo y al Consejo con vistas a la
modificación de la presente Directiva.
Artículo 20
Datos estadísticos
1. Los Estados miembros
proporcionarán anualmente a la Comisión un conjunto de información estadística
sobre los datos PNR comunicados a las UIP. Las estadísticas no contendrán datos
personales.
2. Las estadísticas incluirán,
como mínimo:
a) |
el número total de pasajeros cuyos datos PNR hayan sido recopilados
e intercambiados; |
b) |
el número de pasajeros identificados para un examen ulterior. |
Artículo 21
Relación con otros instrumentos
1. Los Estados miembros podrán
seguir aplicando los convenios bilaterales o multilaterales o los acuerdos que
mantengan entre sí sobre el intercambio de información entre las autoridades
competentes, que estén en vigor el 24 de mayo de 2016, siempre que dichos
acuerdos o disposiciones sean compatibles con la presente Directiva.
2. La presente Directiva se
entenderá sin perjuicio de la aplicabilidad de la Directiva 95/46/CE al
tratamiento de datos personales por las compañías aéreas.
3. La presente Directiva se
entiende sin perjuicio de las obligaciones y compromisos de los Estados
miembros o de la Unión en virtud de convenios bilaterales o multilaterales con
terceros países.
Artículo 22
Entrada en vigor
La presente Directiva entrará en vigor a los veinte días de su
publicación en el Diario
Oficial de la Unión Europea.
Los destinatarios de la presente Directiva son
los Estados miembros de conformidad con los Tratados.
Hecho en Bruselas, el 27 de abril
de 2016.
Por
el Parlamento Europeo
El
Presidente
M. SCHULZ
Por
el Consejo
La
Presidenta
J.A.
HENNIS-PLASSCHAERT
(1) DO C 218 de 23.7.2011, p. 107.
(2) Posición del Parlamento Europeo de 14 de abril de
2016 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de
21 de abril de 2016.
(3) DO C 115 de 4.5.2010, p. 1.
(4) Directiva 2004/82/CE del Consejo, de 29 de abril
de 2004, sobre la obligación de los transportistas de comunicar los datos de
las personas transportadas (DO L 261 de 6.8.2004, p. 24).
(5) Decisión marco 2002/475/JAI del Consejo, de 13 de
junio de 2002, sobre la lucha contra el terrorismo (DO L 164 de 22.6.2002, p. 3).
(6) Reglamento (UE) n.o 182/2011
del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se
establecen las normas y los principios generales relativos a las modalidades de
control por parte de los Estados miembros del ejercicio de las competencias de
ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).
(7) Decisión 2009/371/JAI del Consejo, de 6 de abril
de 2009, por la que se crea la Oficina Europea de Policía (Europol) (DO L 121 de 15.5.2009, p. 37).
(8) Decisión marco 2006/960/JAI del Consejo, de 18 de
diciembre de 2006, sobre la simplificación del intercambio de información e
inteligencia entre los servicios de seguridad de los Estados miembros de la
Unión Europea (DO L 386 de 29.12.2006, p. 89).
(9) Decisión marco 2008/977/JAI del Consejo, de 27 de
noviembre de 2008, relativa a la protección de datos personales tratados en el
marco de la cooperación policial y judicial en materia penal (DO L 350 de 30.12.2008, p. 60).
(10) Reglamento (CE) n.o 45/2001
del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la
protección de las personas físicas en lo que respecta al tratamiento de datos
personales por las instituciones y los organismos comunitarios y a la libre
circulación de estos datos (DO L 8 de 12.1.2001, p. 1).
(11) Directiva 2004/38/CE del Parlamento Europeo y del
Consejo, de 29 de abril de 2004, relativa al derecho de los ciudadanos de la
Unión y de los miembros de sus familias a circular y residir libremente en el
territorio de los Estados miembros por la que se modifica el Reglamento (CEE)
n.o 1612/68 y se derogan las Directivas 64/221/CEE, 68/360/CEE,
72/194/CEE, 73/148/CEE, 75/34/CEE, 75/35/CEE, 90/364/CEE, 90/365/CEE y
93/96/CEE (DO L 158 de 30.4.2004, p. 77).
(12) Reglamento (CE) n.o 562/2006
del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, por el que se
establece un Código comunitario de normas para el cruce de personas por las
fronteras (Código de fronteras Schengen) (DO L 105 de 13.4.2006, p. 1).
(13) Directiva 95/46/CE del Parlamento Europeo y del
Consejo, de 24 de octubre de 1995, relativa a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos (DO L 281 de 23.11.1995, p. 31).
ANEXO
I
Datos del
registro de nombres de los pasajeros recopilados por las compañías aéreas
1. |
Localizador
de registro PNR |
2. |
Fecha de
reserva/emisión del billete |
3. |
Fecha(s)
fechas de viaje prevista(s) |
4. |
Nombre(s)
y apellido(s) |
5. |
Dirección
y datos de contacto (número de teléfono, dirección de correo electrónico) |
6. |
Todos
los datos de pago, incluida la dirección de facturación |
7. |
Itinerario
completo del viaje para el PNR específico |
8. |
Información
sobre viajeros asiduos |
9. |
Agencia
de viajes/operador de viajes |
10. |
Situación
de vuelo del pasajero: confirmaciones, facturación, no comparecencia o
pasajeros de última hora sin reserva |
11. |
Información
PNR escindida/dividida |
12. |
Observaciones
generales (incluida toda la información disponible sobre menores de 18 años
no acompañados, como nombre y sexo del menor, edad, idiomas que habla,
nombre, apellidos y dirección de contacto del acompañante en el aeropuerto de
salida y vínculo con el menor, nombre, apellidos y dirección de contacto del
acompañante en el aeropuerto de llegada y vínculo con el menor, agente en el
lugar de salida y de llegada) |
13. |
Información
sobre el billete, incluidos el número del billete, la fecha de emisión, los
billetes solo de ida y la indicación de la tarifa de los billetes
electrónicos (Automatic Ticket Fare Quote) |
14. |
Datos
del asiento, incluido el número |
15. |
Información
sobre códigos compartidos |
16. |
Toda la
información relativa al equipaje |
17. |
Número
de viajeros y otros nombres de viajeros que figuran en el PNR |
18. |
Cualquier
información recogida en el sistema de información anticipada sobre los
pasajeros (sistema API) (incluidos el tipo, número, país de emisión y fecha
de expiración de cualquier documento de identidad, nacionalidad, apellidos,
nombre, sexo, fecha de nacimiento, compañía aérea, número de vuelo, fecha de
salida, fecha de llegada, aeropuerto de salida, aeropuerto de llegada, hora
de salida y hora de llegada) |
19. |
Todo el
historial de cambios de los datos PNR indicados en los números 1 a 18. |
ANEXO
II
Lista de los
delitos a que se refiere el artículo 3, punto 9
1. |
pertenencia
a una organización delictiva |
2. |
trata de
seres humanos |
3. |
explotación
sexual de niños y pornografía infantil |
4. |
tráfico
ilícito de estupefacientes y sustancias psicotrópicas |
5. |
tráfico
ilícito de armas, municiones y explosivos |
6. |
Corrupción |
7. |
fraude,
incluido el que afecte a los intereses financieros de la Unión |
8. |
blanqueo
del producto del delito y falsificación de moneda, con inclusión del euro |
9. |
delitos
informáticos/ciberdelincuencia |
10. |
delitos
contra el medio ambiente, incluido el tráfico ilícito de especies animales
protegidas y de especies y variedades vegetales protegidas |
11. |
ayuda a
la entrada y residencia ilegales |
12. |
homicidio
voluntario, agresión con lesiones graves |
13. |
tráfico
ilícito de órganos y tejidos humanos |
14. |
secuestro,
detención ilegal y toma de rehenes |
15. |
robo
organizado y a mano armada |
16. |
tráfico
ilícito de bienes culturales, incluidas las antigüedades y las obras de arte |
17. |
falsificación
y violación de derechos de propiedad intelectual o industrial de mercancías |
18. |
falsificación
de documentos administrativos y tráfico de documentos administrativos falsos |
19. |
tráfico
ilícito de sustancias hormonales y otros factores de crecimiento |
20. |
tráfico
ilícito de materiales radiactivos o sustancias nucleares |
21. |
Violación |
22. |
delitos
incluidos en la jurisdicción de la Corte Penal Internacional |
23. |
secuestro
de aeronaves y buques |
24. |
sabotaje |
25. |
tráfico
de vehículos robados |
26. |
espionaje
industrial. |