La utilización de los datos PNR constituye un elemento importante de la lucha contra el terrorismo y la delincuencia grave. A tal fin, la Directiva PNR establece el tratamiento sistemático de un número considerable de datos de los pasajeros aéreos a la entrada y salida de la Unión. Además, el artículo 2 de esta Directiva prevé la posibilidad de que los Estados miembros puedan aplicarla también a los vuelos interiores de la UE.
La Ligue des droits humains (LDH) es una asociación sin ánimo de lucro que, en julio de 2017, interpuso ante la Cour constitutionnelle (Tribunal Constitucional, Bélgica) un recurso de anulación contra la Ley de 25 de diciembre de 2016 que transponía al Derecho belga las Directivas PNR y API. Según la LDH, esta Ley vulnera el derecho al respeto de la vida privada y a la protección de los datos personales garantizado por el Derecho belga y por el Derecho de la Unión. LDH critica, por un lado, el carácter muy amplio de los datos PNR y, por otro lado, el carácter general de la recogida, la transferencia y el tratamiento de dichos datos. A su juicio, la Ley menoscaba asimismo la libre circulación de personas, por cuanto restablece indirectamente controles en las fronteras al extender el sistema PNR a los vuelos interiores de la UE.
En octubre de 2019, la Cour constitutionnelle planteó al Tribunal de Justicia diez cuestiones prejudiciales relativas a la validez y la interpretación de las Directivas PNR y API, así como a la interpretación del RGPD.
En sus conclusiones presentadas hoy, el Abogado General Giovanni Pitruzzella precisa para empezar que, cuando unas medidas que conllevan injerencias en los derechos fundamentales reconocidos en la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta») emanan de un acto legislativo de la Unión, incumbe al legislador de la Unión fijar los elementos esenciales que definen el alcance de esas injerencias. A continuación, recuerda que aquellas disposiciones que impongan o permitan la comunicación de datos personales de personas físicas a un tercero, como una autoridad pública, deben calificarse, a falta de consentimiento de tales personas físicas y cualquiera que sea el uso posterior que se haga de los datos en cuestión, de injerencia en su vida privada, así como de injerencia en el derecho fundamental a la protección de los datos de carácter personal. Esas injerencias solo pueden justificarse si están previstas por la ley, respetan el contenido esencial de dichos derechos y, dentro del respeto del principio de proporcionalidad, son necesarias y responden efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás.
En primer lugar, por lo que respecta a los datos personales que los transportistas aéreos están obligados a transferir a las unidades de información sobre los pasajeros (UIP) conforme a la Directiva PNR, el Abogado General señala que la amplitud y la gravedad de la injerencia en los derechos fundamentales al respeto de la vida privada y a la protección de los datos de carácter personal que acarrea una medida que introduce limitaciones al ejercicio de esos derechos depende, ante todo, del alcance y la naturaleza de los datos que son objeto de tratamiento. Por tanto, la identificación de esos datos constituye una operación esencial, que toda base jurídica que introduzca una medida de esa índole debe realizar obligatoriamente de la manera más clara y precisa posible. Tras indicar que la utilización de categorías generales de información que no determinan suficientemente la naturaleza y el alcance de los datos que se han de transferir no satisface los requisitos de claridad y precisión enunciados por la Carta, el Abogado General llega a la conclusión de que el anexo I, punto 12, de esta Directiva es inválido, en la medida en que dicha disposición incluye, entre las categorías de datos que se han de transferir, la rúbrica «observaciones generales», que abarca toda la información recogida por los transportistas aéreos en el marco de su actividad de prestación de servicios, además de las expresamente enumeradas en los demás puntos de ese anexo I.
{ banner publicidad }
Por lo demás, el Abogado General subraya que los datos que los transportistas aéreos están obligados a transferir a las UIP conforme a la Directiva PNR son pertinentes, adecuados y no excesivos en relación con los objetivos perseguidos por esa Directiva, y que su alcance no excede de lo estrictamente necesario para la consecución de tales objetivos. Asimismo, considera que esa transferencia está acompañada de garantías suficientes para, por un lado, velar por que únicamente se transfieran los datos expresamente referidos y, por otro lado, garantizar la seguridad y la confidencialidad de los datos transferidos. El Abogado General recuerda, además, que la Directiva PNR enuncia una prohibición general de tratamiento de datos sensibles, incluida igualmente su recogida, de modo que el sistema PNR prevé garantías suficientes que permiten excluir, en cada etapa del tratamiento de los datos recogidos, que dicho tratamiento pueda tener en cuenta, directa o indirectamente, características protegidas.
En segundo lugar, el Abogado General considera que el carácter generalizado e indiferenciado de la transferencia de los datos PNR y de la evaluación anticipada de los pasajeros aéreos mediante el tratamiento automatizado de esos datos es compatible con los artículos 7 y 8 de la Carta, que reconocen los derechos fundamentales al respeto de la vida privada y a la protección de los datos de carácter personal. A este respecto, estima, en particular, que la jurisprudencia del Tribunal de Justicia en materia de conservación y acceso a los datos en el sector de las comunicaciones electrónicas 5 no es trasladable al sistema previsto por la Directiva PNR. Por otra parte, señala que la adopción de un sistema de tratamiento de los datos PNR armonizado a escala de la Unión, en lo que atañe tanto a los vuelos exteriores de la UE como, para los Estados que han hecho uso del artículo 2 de la Directiva PNR, a los vuelos interiores de la UE, permite garantizar que el tratamiento de esos datos se realice respetando el elevado nivel de protección de los derechos fundamentales enunciados en los artículos 7 y 8 de la Carta fijado por la mencionada Directiva.
Con carácter más general, el Abogado General subraya la importancia fundamental que, dentro del sistema de garantías establecido por la Directiva PNR, reviste la supervisión ejercida por una autoridad de control independiente, dotada de la facultad de verificar la licitud de ese tratamiento, de realizar investigaciones, inspecciones y auditorías, y de tratar las reclamaciones presentadas por toda persona afectada. A este respecto, precisa que es crucial que los Estados miembros, al transponer a su Derecho interno esa Directiva, otorguen a su autoridad nacional de control esas facultades en toda su amplitud, dotándola de los medios materiales y personales necesarios para el cumplimiento de su cometido.
Por lo que se refiere, en particular, a la evaluación anticipada de los pasajeros aéreos, en relación, en primer término, con la comparación de los datos PNR con las bases de datos pertinentes a los efectos de la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves, que constituye la primera parte de esa evaluación, el Abogado General indica que procede interpretar el concepto de «bases de datos pertinentes» de conformidad con las exigencias de claridad y precisión impuestas por la Carta, así como atendiendo a los objetivos de la Directiva PNR. A su juicio, este concepto debe ser interpretado en el sentido de que únicamente se refiere a las bases de datos nacionales gestionadas por las autoridades competentes, así como a las bases de datos de la Unión e internacionales directamente operadas por esas autoridades en el marco de su misión, las cuales, además, deben guardar una relación directa y estrecha con los objetivos de lucha contra el terrorismo y la delincuencia grave perseguidos por la Directiva PNR, lo que implica que hayan sido desarrolladas con esos objetivos. Por lo que respecta, en segundo término, al tratamiento automatizado de los datos PNR con arreglo a criterios predeterminados, que constituye la segunda parte de dicha evaluación anticipada, el Abogado General estima, en particular, que dicho tratamiento no puede efectuarse por medio de sistemas de inteligencia artificial de aprendizaje automático, que no permiten conocer las razones que han llevado al algoritmo a establecer una concordancia positiva.
En tercer término, en lo que atañe a la cuestión de si el Derecho de la Unión se opone a una legislación nacional que prevé un plazo general de conservación de los datos PNR de cinco años, sin distinguir si los pasajeros afectados muestran, en el marco de la evaluación anticipada, la posibilidad o no de presentar un riesgo para la seguridad pública, el Abogado General propone interpretar la Directiva PNR, conforme a la Carta, en el sentido de que la conservación de los datos PNR suministrados por los transportistas aéreos a la UIP durante un período de cinco años únicamente está permitida, una vez efectuada la evaluación anticipada, en la medida en que consta, sobre la base de criterios objetivos, una relación entre esos datos y la lucha contra el terrorismo o la delincuencia grave. Una conservación generalizada e indiferenciada de los datos PNR de forma no anonimizada solo puede justificarse frente a una amenaza grave para la seguridad de los Estados miembros que resulte real y actual o previsible, relacionada, por ejemplo, con actividades de terrorismo, y a condición de que la duración de esa conservación se limite a lo estrictamente necesario.
No hay comentarios.