1.

Con arreglo a la legislación canadiense, las compañías aéreas deberán proporcionar a la Canada Border Services Agency (Agencia de Servicios Fronterizos de Canadá, CBSA) información previa sobre pasajeros (API) e información del registro de nombres de los pasajeros (PNR) sobre todas las personas a bordo de vuelos con destino a Canadá. El fundamento jurídico del derecho de la CBSA a obtener y recopilar dicha información se halla en el apartado 107.1 de la Ley de Aduanas (Customs Act) y en los Reglamentos (sobre aduanas) relativos a la información de los pasajeros [Passenger Information (Customs) Regulations] adoptados con arreglo a la misma, y en el apartado 148.1.d) de la Ley de protección de la inmigación y los refugiados (Immigration and Refugee Protection Act) y en el Reglamento 269 de los Reglamentos de protección de la inmigración y los refugiados (Regulation 269 of the Immigration and Refugee Protection Regulations) adoptado con arreglo a dicha normativa.

2.

La CBSA recogerá datos de la API y del PNR sólo con respecto a los vuelos que lleguen a Canadá. La CBSA utilizará los datos de la API y del PNR recogidos de compañías aéreas europeas y de otros países sólo para identificar a personas que presenten el riesgo de importar mercancías relacionadas con el terrorismo o delitos relacionados con éste, o a personas que no puedan ser admitidas en Canadá debido a su posible relación con el terrorismo o con delitos relacionados con éste, o con otros delitos graves, incluida la delincuencia organizada, que tengan un carácter transnacional.

3.

La CBSA utilizará los datos de la API y del PNR para designar personas que, a su llegada a Canadá, serán objeto de un examen o interrogatorio más profundo, o que necesitan una mayor investigación, para alguno de los fines descritos en el punto 2. La CBSA u otros agentes de la autoridad canadienses no adoptarán medidas de ejecución de la ley debido tan sólo al tratamiento automático de los datos de la API y del PNR.

4.

En las letras a) a f) del artículo 3 de los Reglamentos (sobre aduanas) relativos a la información de los pasajeros adoptados en el marco de la Ley de Aduanas (1), se enumeran los datos de la API que la CBSA recogerá para los fines establecidos en el punto 2. La lista de datos del PNR que la CBSA recogerá para los fines establecidos en el punto 2 figura en el apéndice A. Para una mayor seguridad jurídica, los «datos sensibles» en el sentido del artículo 8.1 de la Directiva 95/46/CE (en adelante, «la Directiva») y todos los campos «texto abierto» u «observaciones generales» no se incluirán en dichos veinticinco datos.

5.

La CBSA no exigirá a las compañías aéreas que recojan información del PNR que éstas no registran para sus propios fines ni ningún dato adicional con el fin de ponerlo a disposición de la CBSA. Por tanto, la CBSA reconoce que recogerá los datos enumerados en el apéndice A sólo en la medida en que una compañía aérea haya decidido incluirlos en sus sistemas automatizados de reserva y de control de salidas (DCS).

6.

La CBSA consultará a la Comisión Europea en relación con la revisión de los veinticinco datos del PNR necesarios que figuran en el apéndice A y llegará a un acuerdo con la misma antes de realizar la revisión:

7.

Se ha configurado el Sistema de Información sobre Pasajeros de la CBSA (en adelante «PAXIS») para recibir datos de la API y del PNR enviados por una compañía aérea.

8.

Cuando los datos de la API y del PNR se refieran a una persona que no está siendo investigada en Canadá para uno de los fines descritos en el punto 2, se conservarán en el sistema PAXIS un máximo de tres años y medio. Durante este período, la información se conservará de manera cada vez más despersonalizada, a saber:

9.

Cuando los datos de la API y del PNR se refieran a una persona que está siendo investigada en Canadá para uno de los fines descritos en el punto 2, se pondrán en una base de datos de la CBSA para la aplicación de la legislación. Dichas bases de datos sólo contienen información referente a personas a las que se ha investigado o que son objeto de una medida de ejecución de la legislación en el marco de la normativa de la CBSA. Se otorgará acceso a estas bases de datos sólo a aquellos funcionarios de la CBSA cuyo cometido requiera dicho acceso, que será supervisado con atención. Los datos de la API y del PNR que se transfieran a dicha base de datos para la aplicación de la legislación se conservarán en el sistema no más tiempo del necesario y, en cualquier caso, por un período no superior a seis años, al final del cual se destruirán excepto en el caso de que sea necesario conservarlos un período adicional en virtud de la Ley sobre la intimidad o la Ley sobre el acceso a la información, como se explica en el punto 10.b).

10.

En aquellos casos en que la CBSA utilice datos personales para adoptar una decisión que afecte a los intereses del interesado al que se refieren, la CBSA los consevará durante dos años a partir de la fecha de dicha utilización para que el interesado pueda acceder a la información a partir de la que se adoptó la decisión, excepto cuando la persona acepte eliminarlos antes o, cuando se haya recibido una solicitud de acceso a los datos, hasta que la persona haya tenido la oportunidad de ejercer todos sus derechos con arreglo a la Ley sobre intimidad o a la Ley sobre el acceso a la información.

11.

Al término de los períodos de conservación descritos en los puntos 8 a 10, los datos de la API y del PNR serán destruidos con arreglo a las disposiciones de la Ley canadiense sobre archivos (National Archives Act)  (2).

12.

La divulgación de datos de la API y del PNR por parte de la CBSA está regulada por la Ley sobre intimidad, la Ley sobre el acceso a la información y la normativa propia de la CBSA. Aunque la Ley sobre intimidad y la Ley sobre el acceso a la información conceden el derecho a acceder a los registros excepto cuando una exención o exclusión sea de aplicación, estas leyes no exigen ninguna divulgación obligatoria de datos de la API y del PNR. Se publicará y se pondrá a disposición del público en el sitio web de la CBSA un ejemplar de la política administrativa de la CBSA sobre la divulgación de los datos de la API y del PNR, el acceso a los mismos y su utilización, Memorando D-1-16-3 titulado Interim Administrative Guidelines for the Disclosure, Access to and Use of Passenger Name Record (PNR) Data (Directrices administrativas temporales para la divulgación de los datos del PNR, el acceso a los mismos y su utilización, en adelante la «política de divulgación del PNR de la CBSA»). En dicha política, descrita con más detalle en el punto 37 de los presentes Compromisos, se establece que los datos de la API y del PNR pueden compartirse con otros organismos de la administración canadiense sólo para los fines del punto 2, excepto cuando la divulgación se realiza para dar cumplimiento a la citación u orden judicial o de una autoridad u organismo con jurisdicción en Canadá para obligar a la presentación de la información o para cualquier procedimiento judicial.

13.

Los datos de la API y del PNR no se divulgarán en bloque. La CBSA sólo divulgará determinados datos de la API y del PNR caso por caso y sólo una vez evaluada la pertinencia de los datos del PNR que se divulgarán. Sólo se facilitarán aquellos elementos de la API y del PNR de los que se demuestre claramente que son necesarios en las circunstancias particulares. En todos los casos, se proporcionará el mínimo de datos posible.

14.

La CBSA sólo divulgará datos de la API y del PNR en aquellos casos en que los receptores propuestos se comprometan a otorgarles la misma protección proporcionada por la CBSA. Los receptores de los datos del PNR de la Administración canadiense también están obligados por las disposiciones de la Ley sobre intimidad en la medida en que figuren en el anexo de dicha Ley. La Ley sobre intimidad se aplica a la información personal acerca de un individuo identificable, registrada de cualquier manera, y bajo el control de un ministerio federal o agencia canadiense sujeta a dicha Ley. Dicho ministerio o agencia no recogerá ningún dato personal a no ser que esté directamente relacionado con un programa operativo o actividad de la institución.

15.

En la práctica, como condición previa a la divulgación, la CBSA exige que las autoridades canadienses federales o provinciales encargadas de la ejecución de la legislación se comprometan a no divulgar a su vez la información recibida sin permiso de la CBSA, excepto cuando lo requiera la normativa.

16.

La CBSA puede compartir los datos de la API y del PNR con la Administración de un Estado extranjero, con arreglo a un mecanismo o acuerdo conforme a lo dispuesto en el artículo 8.2 de la Ley sobre intimidad y el artículo 107.8 de la Ley de aduanas.

17.

Dichos mecanismos o acuerdos podrán incluir un memorando de acuerdo realizado específicamente para los fines del programa sobre el PNR de la CBSA o un tratado según el cual las autoridades de la CBSA tengan que prestar asistencia e información. En ambos casos, la información sólo se compartirá para fines coherentes con los establecidos en el punto 2 y sólo si el país receptor se compromete a proteger la información de manera coherente con los presentes Compromisos. En todos los casos, se proporcionará el mínimo de datos posible al otro país.

18.

Los datos de la API y del PNR conservados en el PAXIS se compartirán sólo con un país objeto de una decisión de idoneidad con arreglo a la Directiva, o incluido por ella.

19.

Los datos de la API y del PNR conservados en una base de datos de ejecución de la legislación descrita en el punto 9 podrán compartirse con arreglo a obligaciones establecidas por un tratado conforme a un acuerdo de asistencia aduanera mutua o un acuerdo de asistencia judicial mutua. En este caso, los datos de la API y del PNR sólo se compartirán en función de cada caso y siempre que la CBSA esté en posesión de pruebas que relacionen directamente la solicitud con la investigación o la prevención de delitos mencionados en el punto 2 y sólo en la medida en que los datos suministrados sean estrictamente necesarios para la investigación específica de que se trate.

20.

Salvo que se estipule lo contrario en los presentes Compromisos, la CBSA podrá divulgar datos de la API y del PNR a los ministerios y agencias pertinentes de Canadá u otros países, en aquellos casos en que la divulgación sea necesaria para la protección de los intereses vitales del interesado o de otras personas, en particular en lo referente a los riesgos significativos para la salud.

21.

La CBSA proporcionará información a los viajeros sobre los requisitos relativos a la API y al PNR y las cuestiones relacionadas con su utilización, incluida información general sobre la autoridad responsable de la recogida de datos, la finalidad de la recogida, la protección que se proporcionará a los datos, la manera y el grado en que se compartirán, la identidad del funcionario de la CBSA responsable, así como los procedimientos disponibles de reparación e información de contacto para personas con preguntas o inquietudes.

22.

El Comisario canadiense para la intimidad y la Oficina del Auditor General de Canadá (Office of the Auditor General of Canada) podrán revisar e investigar el cumplimiento del programa sobre el PNR.

23.

La autoridad independiente de protección de datos de Canadá, el Comisario canadiense para la intimidad, puede investigar el cumplimiento por parte de los ministerios y agencias de la Ley sobre intimidad, y puede controlar hasta qué punto la CBSA se ajusta a los presentes Compromisos. El Departamento de revisión y prácticas de intimidad (Privacy Practices and Review Branch) de la Oficina del Comisario para la intimidad podrá controlar el cumplimiento y podrá realizar investigaciones. El Comisario canadiense para la intimidad podrá divulgar información que, en su opinión, sea necesaria para realizar una investigación con arreglo a la Ley o establecer las bases para los resultados y recomendaciones contenidas en cualquier informe realizado con arreglo a la misma.

24.

La Oficina del Auditor General de Canadá realiza auditorías independientes de las operaciones de la Administración federal canadiense. Estas auditorías proporcionan a los parlamentarios canadienses y al público información objetiva para contribuir a examinar las actividades de la Administración y a responsabilizarla de la gestión de los fondos públicos.

25.

Las versiones definitivas de los informes de la Oficina del Comisario para la intimidad y de la Oficina del Auditor General están a disposición del público mediante los informes anuales al Parlamento y, a su discreción, en Internet. La CBSA proporcionará a la Comisión acceso a las copias de cualquiera de dichos informes que se relacione de alguna manera con el programa sobre el PNR.

26.

Además de los procesos de revisión anteriores, previstos con arreglo a la legislación canadiense, la CBSA participará con carácter anual o según convenga, y como se acuerde con la Comisión, en una revisión conjunta del programa sobre el PNR en relación con las transferencias de datos de la API y del PNR a la CBSA.

27.

La Carta de Derechos y Libertades de Canadá, que forma parte de la Constitución canadiense, es de aplicación en todas las acciones del gobierno, incluida la legislación. El artículo 8 de la Carta prevé la protección contra los registros y las incautaciones de carácter abusivo y garantiza un nivel adecuado de intimidad. El artículo 24 de la Carta permite a una persona cuyos derechos hayan sido violados acudir a un tribunal competente para obtener la reparación que el tribunal estime conveniente y justa a la vista de las circunstancias.

28.

A cualquier nacional extranjero que esté presente en Canadá se le reconoce el derecho a acceder a los registros que estén bajo el control de un ministerio federal, en virtud de la Orden de Extensión número 1 (Extension Order Number 1) de la Ley sobre el acceso a la información (ATIA). Con las salvedades establecidas en la Ley, un nacional extranjero presente en Canadá o una persona presente en Canadá con el consentimiento de un nacional extranjero no presente en el país puede solicitar, con arreglo a la ATIA, el acceso a los registros referentes al nacional extranjero y se le puede conceder dicho acceso, con arreglo a las excepciones y salvedades específicas y de carácter limitado establecidas en la Ley.

29.

Conforme a la Ley sobre intimidad, en virtud de la Orden de Extensión número 2 (Extension Order Number 2), se amplía a cualquiera presente en Canadá el derecho a acceder a los datos personales y a solicitar correcciones o a que se mencionen las correcciones solicitadas y no efectuadas. Por tanto, con las salvedades establecidas en la Ley, un nacional extranjero puede ejercer estos derechos si está presente en Canadá.

30.

Además, los ministerios que posean datos personales acerca de una persona podrán conceder administrativamente derechos de acceso y corrección y el derecho a que se mencionen las correcciones solicitadas y no efectuadas a los nacionales extranjeros que no estén presentes en Canadá. La CBSA extenderá dichos derechos referentes a los datos de la API y del PNR que obren en su poder a ciudadanos de la UE u otras personas que no estén presentes en Canadá, si la legislación permite su divulgación.

31.

El Comisario para la intimidad podrá presentar por iniciativa propia una denuncia si cree que existen motivos razonables para investigar un asunto con arreglo a la Ley (sobre intimidad) y dispone de amplios poderes de investigación acerca de cualquier denuncia. Además, el Comisario para la intimidad podrá examinar las denuncias que le remitan las autoridades de protección de datos (DPA) de cualquier Estado miembro de la Unión Europea (UE) en nombre de un residente de la UE, en la medida en que éste haya facultado a las DPA a actuar en su nombre y considere que la CBSA no ha tratado adecuadamente su denuncia en materia de datos de la API y del PNR, de conformidad con el punto 30 anterior. El Comisario para la intimidad comunicará sus conclusiones y notificará a las DPA afectadas las medidas adoptadas, en su caso.

32.

El Comisario para la intimidad también tiene poderes especiales para investigar el grado de cumplimiento de la Ley sobre la intimidad por parte de los ministerios y agencias canadienses con respecto a la recogida, conservación, utilización, divulgación y eliminación de datos personales.

33.

Se proporcionará acceso al sistema PAXIS sólo a un número limitado de funcionarios de los servicios de inteligencia y de encargados de designar personas de la CBSA presentes en las unidades de designación de pasajeros de las oficinas regionales canadienses y en la sede central de la CBSA de Ottawa, Canadá. Estos funcionarios accederán al sistema PAXIS en lugares de trabajo seguros a los que no puede acceder el público.

34.

Para acceder al sistema PAXIS, los funcionarios tendrán que utilizar dos inicios de sesión (logins) distintos, mediante una contraseña y una identificación de usuario generada por el sistema. La primera apertura de sesión proporcionará acceso a la red local de la CBSA, mientras que la segunda permitirá acceder a la plataforma del sistema integrado de aduanas (Integrated Customs System), que, a su vez, da acceso a la aplicación PAXIS. El acceso a la red de la CBSA y cualquier dato contenido en el sistema PAXIS estarán controlados estrictamente y restringidos al grupo de usuarios elegido, y se auditarán las consultas y la revisión de los datos de los pasajeros presentes en el sistema. El registro de auditoría generado contendrá el nombre de usuario y su lugar de trabajo, la fecha y la hora de acceso y el número localizador de archivos del PNR correspondiente a la información a la que se accedió. La CBSA también restringirá el acceso a determinados datos de la API y del PNR en el sistema con arreglo a la «necesidad de saber» (tipo/perfil de usuario). Estos controles garantizarán que sólo se concede acceso a los datos de la API y del PNR a las personas descritas en el punto 33, para los fines establecidos en el punto 2.

35.

El acceso, la utilización y la divulgación de datos de la API y del PNR están regidos por la Ley sobre la intimidad, la Ley sobre el acceso a la información, el artículo 107 de la Ley de aduanas y la política en materia administrativa descrita en el punto 37 de los presentes Compromisos, que reflejan las protecciones y salvaguardas descritos en el presente documento. El artículo 160 de la Ley de aduanas y los códigos de conducta internos prevén sanciones penales y de otro tipo en caso de que no se cumplan estas políticas y, como se ha señalado anteriormente, el Comisario para la intimidad tiene capacidad, en virtud de la Ley sobre la intimidad, para incoar una investigación sobre la divulgación de datos personales.

36.

La política de la CBSA sobre la divulgación del PNR establece procedimientos que todo el personal de la CBSA con acceso a los datos de la API y del PNR debe respetar. La política de la CBSA consiste en proteger la confidencialidad de los datos y gestionarla con arreglo a la legislación canadiense, así como a las políticas de la CBSA y de la Administración canadiense sobre la gestión y seguridad de los datos, como se describe en el punto 38.

37.

La política de la CBSA sobre la divulgación del PNR prevé lo siguiente:

38.

La política de la CBSA sobre la divulgación del PNR forma parte de varias políticas de la CBSA sobre protección y gestión de los datos recogidos en el marco de las distintas normas que forman parte de las competencias de la CBSA. Además, los empleados de la CBSA están obligados por las políticas sobre seguridad de la Administración canadiense con respecto a la protección de los sistemas electrónicos y a la protección de datos (3).

39.

El personal de la CBSA conoce estas políticas y las consecuencias de no respetarlas, y su adhesión a las mismas es un requisito para su contratación.

40.

La Ley sobre aeronáutica (Aeronautics Act) autoriza a las compañías aéreas canadienses que realicen vuelos a partir de cualquier destino, o a cualquier compañía aérea que realice vuelos a partir de Canadá, a proporcionar a un Estado extranjero datos relativos a las personas que están a bordo de dichos vuelos y que tengan como destino dicho Estado, en aquellos casos en que éste solicite que se le proporcionen los datos.

41.

En caso de que la Comunidad Europea, la Unión Europea o cualquiera de sus Estados miembros decida adoptar un sistema de identificación de viajeros de líneas aéreas y adopte legislación por la que podría exigirse a todas las compañías aéreas que proporcionasen a las autoridades europeas acceso a los datos de la API y del PNR sobre las personas cuyo itinerario incluya un vuelo a la Unión Europea, el artículo 4.83 de la Ley sobre aeronáutica permitiría a dichas compañías aéreas cumplir dicha exigencia.

42.

Los presentes Compromisos se aplicarán durante un período de tres años y seis meses (tres años y medio) a partir de la entrada en vigor del acuerdo entre Canadá y la Comunidad Europea por el que se autorice el tratamiento de datos de la API y del PNR por las compañías aéreas para transmitirlos a la CBSA, de conformidad con la Directiva. Una vez transcurridos dos años y seis meses (dos años y medio) de vigencia de los presentes Compromisos, la CBSA entablará conversaciones con la Comisión con el objeto de prorrogar los presentes Compromisos y toda disposición conexa, en condiciones aceptables para ambas partes. Si no fuera posible celebrar un acuerdo aceptable para ambas partes antes de que expiren los presentes Compromisos, éstos ya no se aplicarán a los datos recogidos a partir de dicho momento. Los datos recogidos durante el período de vigencia de estos Compromisos seguirán estando protegidos conforme a lo dispuesto en ellos hasta que dichos datos sean borrados.

43.

La CBSA cumple sus Compromisos mediante la aplicación de la legislación canadiense existente o, si aún no formaran parte de dicha legislación, mediante reglamentos nacionales formulados específicamente a tal fin o a través de los procesos administrativos.