¿Vulnera el Registro de Pasajeros (PNR) la protección de datos?
La relación entre privacidad/protección de datos vs seguridad se ha configurado, por regla general, como una confrontación en la que la aprobación de normas o implantación de dispositivos, como las cámaras de videovigilancia, que buscan una mayor seguridad supone una limitación de la privacidad/protección de datos de los ciudadanos. Recientemente, y con ocasión de los desgraciados atentados de París, ha vuelto a la “palestra” una antigua iniciativa impulsada en su día por la Unión Europea y que finalmente no fue aprobada: el Registro de Pasajeros (Passenger Name Record).
Según las noticias y declaraciones aparecidas en la prensa, la intención es la de crear este Registro de Pasajeros, tanto a nivel nacional (el PP quiere introducir una enmienda en el Senado en la tramitación de la nueva Ley de Seguridad Ciudadana), como volver a impulsar la Directiva Europea relativa a la utilización de datos del registro de nombres de los pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos terroristas y delitos graves (en adelante Directiva PNR), que no fue finalmente aprobada al considerar que vulneraba la privacidad de los ciudadanos.
Esta iniciativa, en cierta medida, y tal como acaba de pronunciarse el Director de la Agencia Española de Protección de Datos, es bastante sorprendente, ya que en este ataque terrorista no ha tenido nada que ver la navegación aérea (eran ciudadanos franceses).
En este sentido, en la Directiva PNR, se justificaba la misma no sólo en la lucha contra el terrorismo (11-S, atentado de Londres de 2006) sino también en la lucha contra la delincuencia organizada (viajes internacionales que implican tráfico de personas, drogas o mercancías ilegales).
En cuanto a si este Registro de Pasajeros vulnera la privacidad o protección de datos de los ciudadanos, acudimos a la documentación que se elaboró durante el intento de aprobación de la Directiva PNR.
¿Qué es el Registro de Pasajeros (PNR)?
La Directiva PNR define “el registro de datos de pasajeros” o “datos PNR” como una relación de los requisitos de viaje impuestos a cada pasajero, que incluye toda la información necesaria para el tratamiento y el control de las reservas por parte de las compañías aéreas que las realizan y participan en el sistema PNR, por cada viaje reservado por una persona o en su nombre, ya estén contenidos en sistemas de reservas, en sistemas de control de salidas (DCS) o en sistemas equivalentes que posean las mismas funcionalidades.
Concretamente, y según el Anexo que contiene la Directiva PNR serían:
Localizador de registro PNR
Fecha de reserva/emisión del billete
Fecha o fechas de viaje previstas
Nombre(s) y apellido(s)
Dirección y datos de contacto (número de teléfono, dirección de correo electrónico)
Todos los datos de pago, incluida la dirección de facturación
Itinerario completo del viaje para el PNR específico
Información sobre viajeros asiduos
Agencia de viajes/operador de viajes
Situación de vuelo del pasajero: confirmaciones y paso por el mostrador de facturación, no comparecencia o pasajeros de última hora sin reserva
Información PNR escindida/dividida
Observaciones generales (incluida la información disponible sobre menores de 18 años no acompañados como nombre y sexo del menor, edad, idioma o idiomas que habla, nombre, apellidos y dirección de contacto del acompañante en el aeropuerto de salida y vínculos con el menor, nombre, apellidos y dirección de contacto del acompañante en el aeropuerto de llegada y vínculos con el menor, agente en el lugar de salida y de llegada).
Información sobre el billete, incluidos el número del billete, la fecha de emisión, los billetes de ida solo y la indicación de la tarifa de los billetes electrónicos (Automatic Ticket Fare Quote , ATFQ)
Datos del asiento, incluido el número
Información sobre códigos compartidos
Toda la información relativa al equipaje
Número de viajeros y otros nombres de viajeros que figuran en el PNR
Cualquier información recogida en el sistema de información previa sobre los pasajeros (sistema API)
Todo el historial de cambios de los datos PNR.
¿Cuál era su finalidad?
La Directiva PNR tenía como objetivo regular la transferencia por las compañías aéreas de datos del registro de nombres de los pasajeros de vuelos internacionales hacia o desde los Estados miembros, así como el tratamiento de dichos datos, incluidas su recogida, utilización y conservación por los Estados miembros y su intercambio entre ellos.
Con esta transferencia de datos se pretendía prevenir, detectar, investigar y enjuiciar los delitos terroristas y los delitos graves, a fin de mejorar la seguridad interior en la Unión y la protección de los derechos fundamentales de los ciudadanos y, en particular, el derecho a la intimidad y la protección de datos personales.
Sobre los delitos graves, la propia Directiva PNR los define como aquellos “que con arreglo a las legislaciones nacionales a que se refiere el artículo 2, apartado 2, de la Decisión marco 585/2002/JAI del Consejo si son punibles con una pena privativa de libertad o un auto de internamiento de una duración máxima no inferior a tres años con arreglo a la legislación nacional de un Estado miembro. No obstante, los Estados miembros pueden excluir los delitos menores para los que, habida cuenta de sus respectivos sistemas de justicia penal, el tratamiento de datos PNR conforme a la presente Directiva no se ajuste al principio de proporcionalidad.”
¿Cuál era el plazo de conservación de los datos?
La Directiva PNR contenía un artículo específico para la regulación de este plazo, concretamente, el 9:
“Los Estados miembros se asegurarán de que los datos PNR suministrados por las compañías aéreas a la Unidad de Información sobre Pasajeros se conserven en una base de datos en la Unidad de Información sobre Pasajeros durante un período de 30 días a partir de su transferencia a la Unidad de Información sobre Pasajeros del primer Estado miembro en cuyo territorio aterrice o de cuyo territorio salga el vuelo internacional.
Al expirar el período de 30 días a partir de la transferencia de los datos PNR a la Unidad de Información sobre Pasajeros a que se refiere el apartado 1, los datos se conservarán en la Unidad de Información sobre Pasajeros por otro período de cinco años. Durante este periodo, se enmascararán todos los elementos de los datos que puedan servir para identificar al pasajero al que se refieren los datos PNR. Estos datos PNR anónimos serán únicamente accesibles a un número limitado de miembros del personal de la Unidad de Información sobre Pasajeros expresamente autorizados para realizar análisis de datos PNR y elaborar criterios de evaluación con arreglo al artículo 4, apartado 2, letra d). El acceso a la totalidad de los datos PNR sólo lo autorizará el Jefe de la Unidad de Información sobre Pasajeros para los fines del artículo 4, apartado 2, letra c), siempre que se considere razonable por necesidades de una investigación y en respuesta a una amenaza o riesgo real, o bien a una investigación o enjuiciamiento específico”.
¿Quién podría utilizar los datos del PNR?
Cada Estado miembro elaboraría la lista de autoridades competentes para solicitar o recibir datos PNR o los resultados del tratamiento de datos PNR de las Unidades de Información sobre Pasajeros a fin de examinar de nuevo esa información o de tomar las medidas adecuadas para prevenir, detectar, investigar y enjuiciar los delitos terroristas y los delitos graves.
Estas autoridades competentes serán las autoridades responsables de prevenir, detectar, investigar o enjuiciar los delitos terroristas y los delitos graves.
¿Qué límites existían para garantizar la protección de datos?
1.- Principio de calidad de los datos.
De forma específica, se prohíbe el tratamiento de datos PNR que revele el origen racial o étnico, las creencias religiosas o filosóficas, las opiniones políticas, la pertenencia a un sindicato, la salud o la orientación sexual de una persona. En el caso de que la Unidad de Información sobre Pasajeros reciba datos PNR que revelen tal información, los suprimirá inmediatamente.
2.- Medidas de seguridad.
Asimismo, el tratamiento de datos PNR por las compañías aéreas, las transferencia de datos PNR por las Unidades de Información sobre Pasajeros y las solicitudes de las autoridades competentes o las Unidades de Información sobre Pasajeros de otros Estados miembros y terceros países, incluidas las rechazadas, serán registradas o documentadas por la Unidad de Información sobre Pasajeros y las autoridades competentes con el fin de verificar la legalidad del tratamiento de datos, ejercer el autocontrol y garantizar adecuadamente la integridad de los datos y la seguridad de su tratamiento, especialmente por las autoridades nacionales de protección de datos.
3.- Conservación.
Los registros se conservarán durante un periodo de cinco años, a menos que los datos de base no se hubieran suprimido ya con arreglo al artículo 9, apartado 3, al expirar esos cinco años, en cuyo caso los registros se conservarán hasta la supresión de los datos de base.
4.- Derecho de información.
Los Estados miembros se asegurarán de que las compañías aéreas, sus agentes y otros vendedores de billetes de transporte aéreo de pasajeros informen a los pasajeros de vuelos internacionales en el momento de reservar un vuelo y en el momento de la compra del billete, de manera clara y precisa, del suministro de datos PNR a la Unidad de Información sobre Pasajeros, las finalidades de su tratamiento, el periodo de conservación de datos, su utilización posible para prevenir, detectar, investigar o enjuiciar delitos terroristas y delitos graves, la posibilidad de intercambiar y compartir esos datos y de sus derechos de protección de datos y, en particular, el derecho a reclamar ante una autoridad nacional de protección de datos. Los Estados miembros pondrán la misma información a disposición del público en general.
5.- Cesiones de datos.
Se prohibirá cualquier transferencia de datos PNR por las Unidades de Información sobre Pasajeros y las autoridades competentes a partes privadas en los Estados miembros o los terceros países.
¿Por qué el Registro de Pasajeros vulneraba la privacidad/protección de datos?
Tanto el Supervisor Europeo de Protección de Datos como el Grupo de Trabajo del Artículo 29 se pronunciaron al respecto:
1.- Dictamen del Supervisor Europeo de Protección de Datos.
Podemos destacar los siguientes puntos sobre el citado informe:
-la definición de los delitos graves sigue siendo demasiado amplia. La propuesta reconoce este hecho cuando indica que los Estados miembros todavía pueden excluir los delitos menores que entren dentro de la definición de delitos graves pero que no se ajusten al principio de proporcionalidad. Esta redacción implica que la definición de la propuesta puede también incluir los delitos menores, el tratamiento de los cuales podría resultar desproporcionado. Todavía no está claro, sin embargo, qué se entiende por delitos menores.
-la propuesta debería incluir de manera explícita una lista de los delitos, en la que se incluyera su ámbito de aplicación, así como los delitos que deben excluirse al considerarse menores y que no responden a la prueba de proporcionalidad.
-la propuesta prevé un período de 30 días para la conservación, con un período adicional de archivo de cinco años. Este período de conservación se ha reducido de manera considerable si se compara con las anteriores versiones del documento, en las cuales la conservación duraba de cinco a ocho años más, aunque no está claro si existe la necesidad de conservar estos datos de modo que todavía sea posible la identificación de las personas.
-el SEPD recibe con satisfacción el hecho de que los datos sensibles no estén incluidos en la lista de datos que deben tratarse. Destaca, sin embargo, que la propuesta todavía prevé la posibilidad de que estos datos se envíen a la Unidad de Información sobre Pasajeros, quien tiene posteriormente la obligación de suprimirlos (artículo 4, apartado 1, y artículo 11). Del tenor del texto no queda claro si las Unidades de Información sobre Pasajeros todavía tendrán la obligación rutinaria de filtrar los datos sensibles enviados por las compañías aéreas o de si deben hacerlo únicamente en los casos excepcionales en que las compañías aéreas se los hubieran enviado por error. El SEPD recomienda modificar el texto con el fin de aclarar que los datos sensibles no se envíen a las compañías aéreas al inicio del tratamiento de datos.
2.- Dictamen del Grupo de Trabajo del Artículo 29.
Sobresalen dos elementos en dicho dictamen:
-Los plazos de retención propuestos se reducen claramente en comparación con la propuesta anterior y los distintos acuerdos de PNR adoptados a nivel de la UE. No obstante, el Grupo de Trabajo sigue considerando desproporcionada la propuesta de retener datos durante cinco años, aunque sea enmascarándolos. Desde siempre se ha procurado en los sistemas de PNR que todos los datos de todos los viajeros se guardaran durante el mismo periodo de tiempo; y este plazo de retención es de por sí desproporcionado. El Grupo de Trabajo no tiene pruebas satisfactorias que demuestren que haya que retener los datos de todos los viajeros; o que la retención deba ser de cinco años.
-El Grupo de Trabajo considera que aún no se ha demostrado la necesidad de un sistema de PNR de la UE y que las medidas propuestas no responden al principio de proporcionalidad, sobre todo porque el sistema plantea la recogida y retención de todos los datos de todos los viajeros de todos los vuelos. El Grupo de Trabajo tiene también serias dudas sobre la proporcionalidad de que los datos de todos los pasajeros se analicen sistemáticamente según criterios predeterminados.
-Aunque, de acuerdo con la propuesta, los datos vayan a enmascararse al cabo de 30 días y, en general, solo vayan a poder acceder a ellos determinados miembros del UEP encargados de elaborar perfiles y patrones de viaje, un acceso pleno a todos los datos seguiría siendo posible durante todo el plazo de retención. Aunque el enmascaramiento pretenda minimizar los datos y controlar el acceso a estos, que son principios importantes de la protección de datos, el Grupo de Trabajo sigue cuestionando que se precisen todos los datos de todos los funcionarios, y considera que los datos de los viajeros no sospechosos deben borrarse. 7
– Si el legislador decidiera retener los datos durante un plazo limitado de tiempo, los datos deberían protegerse de modo que no se revelaran los detalles de la identificación. Esta medida de protección debería efectuarse como muy tarde a la llegada del vuelo. El acceso a los datos protegidos para localizar detalles de identificación debería depender de una decisión judicial caso por caso para investigaciones criminales específicas.
Conclusión
En resumen, las cuestiones que se plantean son las referentes a su finalidad en relación con el tipo de delito que se trate, el plazo de conservación de los datos, y si es realmente proporcional y necesario este Registro. Recordemos que una medida “similar”, como era la Directiva de Retención de Datos, ha sido anulada por el Tribunal de Justicia de la Unión Europea mediante Sentencia adoptada en el año 2014.
Más información sobre el PNR: aquí.
Imagen: Daniel Mennerich