COMISIÓN EUROPEA
Bruselas, 27.9.2019
COM(2019) 420 final
ANEXO
de la
Recomendación
de
DECISIÓN DEL CONSEJO
por la que se autoriza la apertura de negociaciones de un acuerdo entre la Unión Europea y Japón sobre la transferencia y el uso de datos del registro de nombres de los pasajeros (PNR) con el fin de prevenir y combatir el terrorismo y otras formas graves de delincuencia transnacional
ANEXO
Directrices para la negociación de un Acuerdo entre la Unión Europea y Japón sobre la transferencia y el uso de datos del registro de nombres de los pasajeros (PNR) con el fin de prevenir y combatir el terrorismo y otras formas graves de delincuencia transnacional
En el transcurso de las negociaciones, la Comisión Europea debe aspirar a alcanzar los objetivos que se exponen a continuación:
(1)El objetivo del Acuerdo debe ser proporcionar la base jurídica, las condiciones y las salvaguardias para la transferencia de datos PNR a Japón.
(2)El Acuerdo debe reflejar debidamente la necesidad e importancia de utilizar los datos PNR para prevenir y combatir el terrorismo y otras formas graves de delincuencia transnacional.
(3)A tal efecto, el objetivo del presente Acuerdo debe ser regular la transferencia y el uso de los datos PNR con el único fin de prevenir y combatir el terrorismo y otras formas graves de delincuencia transnacional, respetando plenamente la protección de la intimidad, los datos personales y los derechos y libertades fundamentales de las personas, en las condiciones que establezca el Acuerdo.
(4)El Acuerdo también debe reconocer la transferencia de datos PNR a Japón como fomento de la cooperación policial y judicial, que se conseguirá mediante la transferencia de información analítica derivada de los datos del PNR. Por consiguiente, el Acuerdo debe garantizar la transferencia de información analítica procedente de las autoridades competentes de Japón a las autoridades policiales y judiciales de los Estados miembros, así como a Europol y Eurojust, en el marco de sus competencias respectivas.
(5)Para garantizar el cumplimiento del principio de limitación de la finalidad, el Acuerdo debe limitar el tratamiento de datos PNR exclusivamente a la prevención, detección, investigación o enjuiciamiento del terrorismo y otros delitos transnacionales graves, basándose en las definiciones establecidas en los instrumentos pertinentes de la UE.
(6)El Acuerdo debe garantizar el pleno respeto de los derechos y libertades fundamentales consagrados en el artículo 6 del Tratado de la UE, en particular el derecho a la protección de los datos de carácter personal establecido en el artículo 16 del Tratado de Funcionamiento de la UE y el artículo 8 de la Carta de los Derechos Fundamentales de la UE. También debe garantizar el pleno respeto de los principios de necesidad y proporcionalidad en relación con el derecho a la vida privada y familiar y la protección de los datos personales, tal como se establece en los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la UE, según la interpretación del Tribunal de Justicia en su Dictamen 1/15 sobre el Acuerdo entre la UE y Canadá sobre el registro de nombres de los pasajeros (PNR).
(7)El Acuerdo debe ofrecer seguridad jurídica, en particular para las compañías aéreas, proporcionando una base jurídica para que estas transfieran los datos PNR consignados en sus sistemas automatizados de reserva y control de salidas.
(8)El Acuerdo debe definir con claridad y precisión las salvaguardias y los controles necesarios en materia de protección de datos personales, derechos y libertades fundamentales de las personas, independientemente de su nacionalidad y lugar de residencia, en el contexto de la transferencia de datos PNR a Japón. Estas salvaguardias deben garantizar lo siguiente:
(a)Las categorías de datos PNR que se transfieran deberán especificarse exhaustivamente y de manera clara y precisa, en consonancia con las normas internacionales. Las transferencias de datos deberán limitarse al mínimo necesario y deberán ser proporcionadas al objetivo especificado del Acuerdo.
(b)No deberán tratarse los datos sensibles en el sentido del Derecho de la Unión, incluidos los datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, la salud o la vida u orientación sexual de las personas.
(c)El Acuerdo deberá incluir disposiciones sobre la seguridad de los datos, que en particular solo otorguen acceso a los datos PNR a un número limitado de personas especialmente autorizadas y que establezcan la obligación de notificar sin demora a las autoridades europeas de supervisión de la protección de datos las infracciones a la seguridad de los datos que afecten a los datos PNR, a menos que sea improbable que la infracción genere un riesgo para los derechos y libertades de las personas físicas, así como impongan sanciones efectivas y disuasorias.
(d)El Acuerdo deberá contener disposiciones relativas a la información adecuada y transparente de los pasajeros en relación con el tratamiento de sus datos PNR, así como el derecho de notificación individual en caso de utilización después de la llegada, el acceso y, en su caso, su rectificación y supresión.
(e)El Acuerdo deberá garantizar el ejercicio efectivo y no discriminatorio de los derechos de recurso administrativo y judicial, con independencia de la nacionalidad o del lugar de residencia de las personas cuyos datos sean tratados en virtud del Acuerdo, de conformidad con el artículo 47 de la Carta de los Derechos Fundamentales de la UE.
(f)El Acuerdo deberá garantizar que el tratamiento automatizado se base en criterios específicos, objetivos, no discriminatorios, fiables y preestablecidos, y no deberá utilizarse como única base para tomar decisiones con efectos jurídicos adversos o que afecten seriamente a un individuo. Las bases de datos con las cuales se comparan los datos PNR deberán ser únicamente las pertinentes para los fines del Acuerdo, y deberán ser fiables y estar actualizadas.
(g)La utilización de los datos PNR por parte de la autoridad competente japonesa que trascienda los controles fronterizos y de seguridad deberá basarse en nuevas circunstancias y estar sujeta a condiciones sustantivas y procedimentales basadas en criterios objetivos. En particular, dicha utilización deberá someterse al control previo de un órgano jurisdiccional o de un organismo administrativo independiente, excepto en los casos urgentes debidamente establecidos.
(h)El período de conservación de los datos PNR deberá estar limitado y no ser más largo de lo necesario para alcanzar el objetivo original. La conservación de los datos PNR después de la salida de los pasajeros aéreos de Japón deberá cumplir los requisitos establecidos en la jurisprudencia del Tribunal de Justicia. El Acuerdo deberá exigir que los datos se supriman tras la expiración del período de conservación o se anonimicen de tal manera que el interesado deje de ser identificable.
(i)El Acuerdo deberá garantizar que la comunicación de los datos PNR a otras autoridades públicas de un mismo país o de otros países solo pueda hacerse caso por caso y con arreglo a determinadas condiciones y garantías. En particular, dicha divulgación solo podrá tener lugar cuando la autoridad destinataria ejerza funciones relacionadas con la lucha contra el terrorismo o los delitos transnacionales graves y garantice la misma protección que brinda el Acuerdo. Las transferencias ulteriores a autoridades competentes de otros terceros países deberán limitarse a aquellos países con los que la UE tenga un Acuerdo PNR equivalente o para los que la UE haya adoptado una decisión de adecuación con arreglo a la legislación de protección de datos de la UE que cubra a las autoridades pertinentes a las que se pretende transferir datos PNR.
(1)El Acuerdo deberá garantizar un sistema de supervisión por parte de una autoridad pública independiente responsable de la protección de datos, con poderes efectivos de investigación, intervención y ejecución para supervisar a las autoridades públicas que utilicen los datos PNR. Dicha autoridad deberá tener competencias para conocer de las quejas de los particulares, en particular en lo que se refiere al tratamiento de sus datos PNR. Las autoridades públicas que utilicen los datos PNR deberán responder por el cumplimiento de las normas sobre la protección de los datos personales en virtud del presente Acuerdo.
(2)El Acuerdo deberá exigir que los datos se transfieran exclusivamente sobre la base de un sistema de transmisión («push system»).
(3)El Acuerdo deberá garantizar que la frecuencia y el calendario de las transmisiones de datos PNR no generen una carga excesiva para las compañías aéreas y se limiten a lo estrictamente necesario.
(4)El Acuerdo deberá garantizar que las compañías aéreas no estén obligadas a recoger datos adicionales a los que ya recopilan o a recoger determinados tipos de datos, sino únicamente a transmitir lo que ya recogen como parte de su actividad empresarial.
(5)El Acuerdo deberá contener disposiciones para la revisión periódica conjunta de todos los aspectos de la aplicación del Acuerdo, incluida la fiabilidad y la actualidad de los modelos y criterios previamente establecidos y de las bases de datos, incluida una evaluación de la proporcionalidad de los datos conservados basada en su valor para la prevención y la lucha contra el terrorismo y otras formas graves de delincuencia transnacional.
(6)El Acuerdo deberá prever un mecanismo de solución de diferencias con respecto a su interpretación, aplicación y ejecución.
(7)El Acuerdo deberá celebrarse por un período de siete años e incluir una disposición por la que podrá ser renovado por un período igual, a menos que una Parte ponga fin al mismo.
(8)El Acuerdo deberá incluir una cláusula relativa a su aplicación territorial.
(9)El Acuerdo deberá ser auténtico en las lenguas alemana, búlgara, checa, croata, danesa, eslovaca, eslovena, española, estonia, finesa, francesa, griega, húngara, inglesa, italiana, letona, lituana, maltesa, neerlandesa, polaca, portuguesa, rumana y sueca, y deberá incluir una cláusula lingüística a tal efecto.