22.2.2014

Diario Oficial de la Unión Europea

C 51/12

Resumen ejecutivo del Dictamen del Supervisor Europeo de Protección de Datos sobre las propuestas de celebración y firma del Acuerdo entre Canadá y la Unión Europea sobre el tratamiento y la transferencia de datos del registro de nombres de los pasajeros

(El texto completo del presente dictamen puede encontrarse en inglés, francés y alemán en el sitio web del SEPD http://www.edps.europa.eu)

(2014/C 51/06)

I. Consulta al Supervisor Europeo de Protección de Datos

El 19 de julio de 2013 la Comisión Europea adoptó las propuestas de Decisión del Consejo sobre la celebración y la firma del Acuerdo entre Canadá y la Unión Europea sobre el tratamiento y la transferencia de datos del registro de nombres de los pasajeros (1) (en adelante, «las propuestas»), que incluye el texto de la propuesta de Acuerdo entre Canadá y la Unión Europea (en adelante, «el Acuerdo»). Las propuestas se trasladaron para consulta al SEPD el 23 de julio de 2013.

El SEPD tuvo asimismo la oportunidad de ofrecer asesoramiento antes de la adopción de las propuestas. El SEPD recibe con agrado esta consulta previa. Sin embargo, como dicha consulta tuvo lugar después del cierre de las negociaciones, las aportaciones del SEPD no fueron tenidas en cuenta. El presente dictamen está basado en las observaciones que se proporcionaron en dicha ocasión.

II. Observaciones generales

Tal como se ha indicado en otras ocasiones (2), el SEPD cuestiona la necesidad y la proporcionalidad de los regímenes de PNR y de las grandes transferencias de datos PNR a terceros países. Ambas son condiciones exigidas por la Carta Europea y el Convenio Europeo de Derechos Humanos para establecer cualquier limitación de los derechos fundamentales, incluidos los derechos relativos a la vida privada y la protección de los datos personales (3). Según la jurisprudencia, los motivos alegados por la autoridad pública para justificar dicha limitación no sólo debe ser pertinente y suficiente (4), sino que también debe demostrarse que no se dispone de otros medios menos intrusivos (5). Hasta la fecha, el SEPD no ha encontrado elementos convincentes que demuestren la necesidad y la proporcionalidad del tratamiento masivo y rutinario de pasajeros no sospechosos con fines represivos.

El SEPD recibe, no obstante, con agrado las garantías de protección de los datos que se establecen en el Acuerdo, aunque lamenta el hecho de que se haya ampliado el período de conservación en comparación con lo dispuesto en el acuerdo PNR previo celebrado con Canadá.

El SEPD recibe asimismo con satisfacción los esfuerzos realizados por la Comisión por lo que al control y a la reparación, con las limitaciones que plantea la naturaleza del Acuerdo. Sin embargo, al SEPD le preocupan las limitaciones del recurso judicial y el hecho de que el recurso administrativo puede establecerse en algunos casos por parte de una autoridad interna que no es independiente. Cuestiona asimismo la pertinencia de un acuerdo ejecutivo para proporcionar derechos adecuados y efectivos a los interesados.

El Acuerdo regula el uso por parte de una «autoridad competente canadiense» de los datos PNR transmitidos por parte de los transportistas aéreos de la UE y otros transportistas que operan vuelos con origen en la UE (6). El SEPD recomienda exigir la confirmación de que ninguna otra autoridad canadiense pueda acceder o solicitar directamente datos PNR a dichos transportistas, para que no se eluda de este modo la aplicación del acuerdo.

IV. Conclusiones

47.

Tal como se ha indicado anteriormente, el SEPD cuestiona la necesidad y la proporcionalidad de los regímenes de PNR y de las grandes transferencias de datos PNR a terceros países. Cuestiona asimismo la opción de la base jurídica y recomienda que las propuestas estén basadas en el artículo 16 del TFUE, junto con los artículos 218, apartados 5 y 6, letra a) del TFUE.

48.

Al SEPD también le preocupa la limitada disponibilidad de un recurso administrativo independiente y de un recurso judicial completo para los ciudadanos europeos que no se encuentren en Canadá y cuestiona si un acuerdo ejecutivo es el instrumento adecuado para lograr dichos objetivos. El SEPD recomienda asimismo que se exija la confirmación de que ninguna otra autoridad canadiense pueda acceder o solicitar directamente datos PNR a los transportistas que quedan cubiertos por el Acuerdo.

49.

Por lo que a las disposiciones específicas del acuerdo se refiere, el SEPD recibe con satisfacción las garantías de protección de los datos que se incluyen en el mismo. Sin embargo, considera que el Acuerdo debería:

—	excluir totalmente el tratamiento de datos de carácter sensible,

—

establecer la supresión o la conversión de los datos en anónimos inmediatamente después del análisis y treinta días después de su recepción como máximo y, en cualquier caso, reducir y justificar el período de conservación propuesto, que se ha visto ampliado en comparación con el establecido en el Acuerdo PNR anterior celebrado con Canadá,

—	limitar las categorías de datos PNR que deben tratarse,

—	mencionar de forma explícita que será una autoridad independiente quien llevará a cabo la supervisión general.

50.

Además, el SEPD recomienda que se especifique lo siguiente, tanto en el Acuerdo como en los documentos de acompañamiento:

—	limitar y aclarar con más detalle los conceptos que definen los objetivos del Acuerdo,

—	aclarar qué tipos de discriminación «legal» son posibles,

—	establecer una obligación de notificación de las violaciones de datos a la Comisión Europea y a las autoridades de protección de datos,

—	complementar las disposiciones sobre transparencia,

—	ampliar la prohibición de decidir únicamente sobre la base de un tratamiento automático en todas las decisiones que afectan a los pasajeros sobre la base del Acuerdo,

—

especificar qué autoridades canadienses pueden transferir los datos PNR, añadir el requisito de la obtención de una autorización judicial previa o de la existencia de una amenaza inmediata, estableciendo la obligación de incluir garantías de protección de los datos adecuadas en los acuerdos o compromisos con otros países o autoridades receptores o para su notificación a la Comisión Europea y a las autoridades europeas de protección de datos,

—	indicar las autoridades pertinentes y establecer sanciones disuasorias para los incumplimientos del Acuerdo,

—	especificar los mecanismos de recurso jurisdiccional con arreglo a la legislación canadiense que están a disposición de las personas que no residen en Canadá,

—

aclarar si el derecho al recurso jurisdiccional podría ser ejercido incluso si la decisión o la acción pertinente no se ha comunicado a la persona física de que se trate, en particular si se infringen otras disposiciones del Acuerdo, distintas de las relacionadas con el acceso y la rectificación/anotación,

—	especificar a qué hace referencia el artículo 14, apartado 2 con «cualquier otra acción que pueda incluir una indemnización»,

—	especificar la frecuencia de las revisiones de la ejecución del Acuerdo, su contenido (que debe incluirse en la evaluación de su necesidad y proporcionalidad) así como incluir de manera expresa a las autoridades europeas de protección de datos en el equipo de revisión de la UE.

Hecho en Bruselas, el 30 de septiembre de 2013.

Peter HUSTINX

Supervisor Europeo de Protección de Datos

(1) COM (2013) 529 final.

(2) Véase el Dictamen del SEPD de 9 de diciembre de 2011 sobre la propuesta de Decisión del Consejo relativa a la celebración del Acuerdo entre los Estados Unidos de América y la Unión Europea sobre la utilización y la transferencia de los registros de nombres de los pasajeros al Departamento de Seguridad del Territorio Nacional de los Estados Unidos, DO C 35 de 9.2.2012, p.16; Dictamen del 15 de julio de 2011 sobre la propuesta de Decisión del Consejo relativa a la celebración del Acuerdo entre la Unión Europea y Australia sobre el tratamiento y transferencia de datos del registro de nombres de los pasajeros (PNR) por los transportistas aéreos al Servicio de Aduanas y de Protección de las Fronteras de Australia, DO C 322 de 23.12.2011, p.1; Dictamen del SEPD de 25 de marzo de 2011 sobre la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la utilización de datos del registro de nombres de los pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos terroristas y delitos graves; Dictamen del 19 de octubre de 2010 sobre el enfoque global de las transferencias de Datos de Registro de Pasajeros (PNR, en inglés) a terceros países; Dictamen de 20 de diciembre de 2007 acerca de la propuesta de Decisión marco del Consejo sobre utilización de datos del registro de nombres de los pasajeros (Passenger Name Record — PNR) con fines represivos, DO C 110 de 1.5.2008, p. 1; Dictamen de 15 de junio de 2005 sobre la propuesta de decisión del Consejo relativa a la celebración de un Acuerdo entre la Comunidad Europea y el Gobierno de Canadá sobre el tratamiento de datos procedentes del sistema de información anticipada sobre pasajeros (API) y de los expedientes de los pasajeros (PNR), DO C 218 de 6.9.2005, p. 6 (todos disponibles en http://www.edps.europa.eu/EDPSWEB/edps/cache/bypass/Consultation/OpinionsC). Véanse asimismo los dictámenes del Grupo de Trabajo del Artículo 29 sobre el PNR http://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/index_en.htm#data_transfers

(3) Véanse los artículos 7, 8 y 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (DO C 83 de 30.3.2010, p. 389) y el artículo 8 del Convenio de Protección de Derechos Humanos y Libertades Fundamentales (RCDE no 5), Consejo de Europa, de 4.11.1950.

(4) Véase la sentencia del Tribunal Europeo de Derechos Humanos de 4 de diciembre de 2008, S. y Marper c. Reino Unido.

(5) Véase la sentencia del Tribunal de Justicia Europeo de 9 de noviembre de 2010, asuntos C-92/09 Volker und Markus Schecke GbR contra Land Hessen y C-93/09 Eifert contra Land Hessen y Bundesansalt für Landwirtschaft und Ernährung.

(6) Véase la exposición de motivos de las propuestas y el artículo 3, apartado 1 del Acuerdo.