LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

29/03/2024. 11:14:22

LegalToday

Por y para profesionales del Derecho

Blog PRODAT

Más controles de los pasajeros en los aeropuertos para la prevención de delitos de terrorismo y delitos graves: Registro de nombres de pasajeros (PNR)

Abogada TIC y Protección de Datos. Responsable de Consultoría Prodat Castilla y León.

En una sociedad cada más castigada por la amenaza del crimen organizado y especialmente del terrorismo en Europa, con el propósito de elevar los niveles de seguridad de los ciudadanos de la Unión Europea y de crear un marco jurídico para la protección de sus datos de carácter personal en lo que respecta a su tratamiento por las autoridades competentes, se adoptó la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave (en adelante Directiva 2016/681).

Control de aeropuerto

La Directiva 2016/681 limita el tratamiento de los datos a las finalidades legítimas consistentes en la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y los delitos graves, que se encuentran limitados a un listado entre los que figuran delitos como la pertenencia a organizaciones delictivas, secuestro, ciberdelincuencia, tráfico ilícito de obras de arte o la violación de derechos de propiedad intelectual o industrial.

Con este propósito se obliga a los Estados miembros a que introduzcan en sus ordenamientos internos las disposiciones legales pertinentes para que los datos PNR de los vuelos exteriores de la Unión Europea sean transferidos a una Unidad de Información sobre Pasajeros que se cree en cada Estado, contemplando la posibilidad de afectar también a los vuelos interiores de la Unión, según el criterio de cada país.

De esa necesidad, y como consecuencia de la transposición a derecho interno de la Directiva 2016/681, surge la aprobación del Anteproyecto de Ley sobre uso de datos del Registro de Nombres de Pasajeros para la prevención de delitos de terrorismo y delitos graves (en adelante Anteproyecto).

La finalidad de este Anteproyecto es regular la recogida y tratamiento de los Datos PNR, tanto de los pasajeros como de la tripulación y de cualquier otra persona que viaje a bordo de la aeronave, con el objetivo de intercambiarlos con otros Estados miembros, terceros Estados y Europol.

Presentado el marco normativo nos preguntamos ¿qué debemos entender por datos PNR?

Tal y como define el Anteproyecto en su artículo 5, y en consonancia con lo dispuesto en el artículo 3 de la Directiva 2016/681, los datos PNR son el conjunto de datos relativos al viaje de un pasajero, reservado por él o en su nombre, que recoge la información necesaria para la gestión de la reserva, (incluyen datos como el nombre del pasajero, fechas de vuelos, itinerarios, asientos, equipaje, información de contacto y medios de pago, entre otros).

Igualmente, tendrán la consideración de datos PNR los datos de los miembros de la tripulación que cumplen sus obligaciones profesionales en relación al vuelo, y de cualquier otra persona que viaje a bordo del mismo.

Ahora bien, ¿respecto de los pasajeros de qué vuelos deberá facilitarse esa información?

Es el Anteproyecto el que dentro de su ámbito de aplicación incluye todos los tipos de vuelos internacionales que tengan origen, destino o tránsito en España. Excepcionalmente, y en atención a criterios de necesidad y en situaciones contrastadas de riesgo cierto, el Ministerio del Interior podrá aplicar también a rutas o vuelos concretos de ámbito nacional, lo dispuesto en la normativa.

Los datos PNR deberán ser facilitados por los sujetos obligados según el artículo 4 del Anteproyecto, a la Unidad de Información sobre Pasajeros (UIP).

En atención a lo expuesto, consideramos necesario determinar por una parte cuáles son los sujetos obligados, y por otra parte qué es una UIP.

Sujetos obligados

  • Las compañías aéreas, entendiendo como tales a las empresas de transporte aéreo con una licencia de explotación válida o similar para el transporte por vía aérea.
  • Los titulares de las aeronaves en el caso de los vuelos privados.
  • Las entidades de gestión de reserva de vuelos, entendiendo como tales a cualquier entidad que gestione reservas de vuelos de pasajeros y recabe datos PNR de los mismos, tales como los operadores turísticos o las agencias de viajes.

Unidad de Información sobre Pasajeros (UIP)

La UIP es un órgano que deberá establecer y designar cada Estado miembro, para llevar a cabo la prevención, detección, investigación o enjuiciamiento de los delitos de terrorismo y delitos graves. En España, la UIP está encuadrada  en el Centro de Inteligencia contra el Terrorismo y el Crimen Organizado (CITCO), dependiente de la Secretaría de Estado de Seguridad del Ministerio del Interior.

Esta unidad cuenta con experiencia en materia de coordinación y en la recepción y análisis de la información estratégica disponible en la lucha contra todo tipo de terrorismo y delincuencia organizada.

Sus funciones se basan en llevar a cabo la recepción, tratamiento y análisis de los datos PNR, así como las comunicaciones e intercambios con las autoridades competentes nacionales y unidades análogas de otros Estados miembros, terceros países y Europol.

Además, la UIP deberá designar a un responsable de la protección de datos para controlar el tratamiento de los datos PNR y aplicar las garantías oportunas.

¿Cómo se desarrolla la transmisión de los datos PNR?

Las compañías aéreas recopilarán, durante el transcurso normal de su actividad los datos PNR de los vuelos anteriormente mencionados, para posteriormente enviarlos a la base de datos de la UIP en un período comprendido entre las 24 y 48 horas previas a la salida de un vuelo, así como inmediatamente después del cierre del mismo siendo imposible embarcar o desembarcar.

Del mismo modo, deberán transmitir, inmediatamente, cualquier modificación de los datos previamente enviados que se produzca durante el vuelo. Para aquellos casos en que se trate de vuelos privados, será el piloto de la aeronave quién se encargue de la remisión de dichos datos.

No olvidemos que la puesta en marcha de este Registro de Nombres de Pasajeros implicará el tratamiento de datos de carácter personal de todos los pasajeros que vuelen con origen, destino o tránsito en España.

¿Se cumplirán con los estándares exigidos por el Reglamento General de Protección de Datos en cuanto a  privacidad y protección de datos?

Si atendemos estrictamente al contenido de la norma, podríamos indicar que sí.

Las transmisiones de datos, se efectuarán utilizando uno de los formatos de datos y mediante uno de los protocolos de transmisión establecidos en la Decisión de Ejecución de la Comisión (UE) 2017/759, de 28 de abril de 2017, relativa a los protocolos comunes y los formatos de datos que deberán utilizar las compañías aéreas para la transmisión de los datos PNR a las Unidades de Información sobre Pasajeros.

En caso de fallo técnico o imposibilidad sobrevenida, realizarán la transmisión de los datos PNR por cualquier otro medio apropiado que garantice un nivel adecuado de seguridad de dichos datos.

Por otra parte, en virtud del principio de calidad y la limitación de los plazos de conservación que priman en todo tratamiento de datos de carácter personal, y a tenor de lo establecido en el artículo 13 del Anteproyecto, cabe indicar que los datos PNR facilitados a la UIP por las compañías serán conservados durante cinco años a contar desde su recepción.

Transcurridos seis meses desde su recepción, los datos PNR que permitan la identificación directa del viajero serán despersonalizados mediante enmascaramiento, aplicando medidas técnicas y organizativas que garanticen el respeto al principio de minimización de los datos personales, evitando así la identificación directa del pasajero, permitiendo el acceso a la totalidad de los mismos únicamente en el supuesto de contar con la previa aprobación por la autoridad judicial o del responsable de tratamiento de los datos.

Cumplido el plazo de los cinco años, serán suprimidos definitivamente, sin perjuicio de su utilización por parte de las autoridades competentes que los hayan recibido y que se estén conservando en el marco de un asunto concreto a efectos de prevenir, detectar, investigar o enjuiciar delitos de terrorismo o delitos graves.

Además, todo el sistema de funcionamiento del registro PNR será periódicamente auditado por la Agencia de Protección de Datos y sus responsables deberán realizar un informe estadístico anual para la Comisión Europea.

Conforme a la Disposición Adicional Primera del Anteproyecto, se designa como Autoridad Nacional de Control a la Agencia Española de Protección de Datos, y como tal le corresponderá realizar las siguientes funciones:

    a) Asesorar, previa solicitud, a cualquier interesado en el ejercicio de los derechos establecidos en esta ley.

    b) Conocer de las reclamaciones presentadas contra los tratamientos realizados al amparo de esta ley y dar respuesta a las mismas en un plazo de tiempo razonable.

    c) Verificar la legalidad de los tratamientos, por propia iniciativa o como consecuencia de una reclamación, para lo cual podrá realizar investigaciones, inspecciones y auditorías, de acuerdo con lo dispuesto en su normativa reguladora.

Sin embargo, y para poner fin a este artículo, es cierto que la llevanza de este registro en los términos expuestos a lo largo de este artículo, implicará el tratamiento de datos de carácter personal que servirán para conocer gran cantidad de información acerca de los pasajeros titulares de los mismos.

Por ello, es fundamental que el sistema ofrezca suficientes salvaguardas a fin de asegurar la proporcionalidad tanto de la recogida, como del uso subsiguiente de los datos PNR.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.

RECOMENDAMOS

Blog

Logo PRODAT

Te recomiendo

Correo electrónico: info@prodat.es
Web: www.prodat.es

PRODAT es una organización especializada en servicios de Consultoría, Auditoría y Outsourcing en el ámbito de la Ley Orgánica de protección de datos de carácter personal (LOPD), Reglamento 2016/679 general de protección de datos de la Unión Europea, ISO 27001, Ley de servicios de la sociedad de la información y del comercio electrónico y Compliance.

PRODAT opera en todo el territorio nacional a través de una red de 20 oficinas y en la actualidad cuenta con más de 40 consultores que utilizan las mismas metodologías y herramientas informáticas.

Fundada en 1997, en la actualidad es una organización firmemente asentada en el mercado.