Accept Refuse

EUR-Lex Access to European Union law

This document is an excerpt from the EUR-Lex website

Document 32006D0253

2006/253/CE: Decisión de la Comisión, de 6 de septiembre de 2005 , relativa al carácter adecuado de la protección de los datos personales incluidos en los registros de nombres de los pasajeros (Passenger Name Records, PNR) que se transfieren a la Canada Border Services Agency (Agencia de Servicios de Fronteras de Canadá) [notificada con el número C(2005) 3248] (Texto pertinente a efectos del EEE)

OJ L 91, 29.3.2006, p. 49–60 (ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, NL, PL, PT, SK, SL, FI, SV)
OJ L 118M , 8.5.2007, p. 515–526 (MT)
Special edition in Bulgarian: Chapter 07 Volume 015 P. 175 - 186
Special edition in Romanian: Chapter 07 Volume 015 P. 175 - 186

In force

ELI: http://data.europa.eu/eli/dec/2006/253/oj

29.3.2006   

ES

Diario Oficial de la Unión Europea

L 91/49


DECISIÓN DE LA COMISIÓN

de 6 de septiembre de 2005

relativa al carácter adecuado de la protección de los datos personales incluidos en los registros de nombres de los pasajeros (Passenger Name Records, PNR) que se transfieren a la Canada Border Services Agency (Agencia de Servicios de Fronteras de Canadá)

[notificada con el número C(2005) 3248]

(Texto pertinente a efectos del EEE)

(2006/253/CE)

LA COMISIÓN DE LAS COMUNIDADES EUROPEAS,

Visto el Tratado constitutivo de la Comunidad Europea,

Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1), y, en particular, su artículo 25, apartado 6,

Considerando lo siguiente:

(1)

De conformidad con la Directiva 95/46/CE, los Estados miembros sólo permitirán la transferencia de datos personales a un país tercero si éste proporciona un nivel de protección adecuado y se cumplen en él, con anterioridad a la transferencia, las disposiciones legales que los Estados miembros aprueben en aplicación de otros preceptos de dicha Directiva.

(2)

La Comisión puede dictaminar que un país tercero garantiza un nivel de protección adecuado. En tal caso, pueden transferirse datos personales desde los Estados miembros sin que sea necesaria ninguna garantía adicional.

(3)

De conformidad con la Directiva 95/46/CE, el nivel de protección de los datos debe evaluarse atendiendo a todas las circunstancias que concurran en la transferencia o conjunto de transferencias de datos y estudiando con especial atención una serie de elementos relevantes para la transferencia, enumerados en su artículo 25, apartado 2.

(4)

En el ámbito del transporte aéreo, el registro de nombres de los pasajeros (Passenger Name Records, PNR) es un registro de los requisitos de viaje de cada pasajero que contiene toda la información necesaria para que sea posible la tramitación y el control de reservas por parte de las compañías aéreas que las realizan y participan en el registro (2). A efectos de la presente Decisión, los términos «pasajero» y «pasajeros» incluirán a los miembros de las tripulaciones. «Línea aérea que realiza la reserva» designa a la línea aérea con la que el pasajero realizó sus reservas iniciales o con la que se realizaron reservas adicionales tras el inicio del viaje. «Líneas aérea participante» designa a cualquier línea aérea a la que la línea aérea que realiza la reserva haya solicitado que se reserve una plaza, en uno o varios de sus vuelos, para un pasajero.

(5)

La Agencia de Servicios de Fronteras de Canadá (la CBSA) exige a cada compañía que realice vuelos con pasajeros con destino a Canadá que le proporcione acceso electrónico al PNR en la medida en que se recopile y se almacene en los sistemas automatizados de reserva y de control de salidas de la compañía.

(6)

Los requisitos relativos a los datos personales incluidos en los PNR de pasajeros de vuelos que se han de transferir a la CBSA se basan en el artículo 107.1 de la Ley de Aduanas (Customs Act) y en el artículo 148.d) de la Ley de protección de la inmigación y los refugiados (Immigration and Refugee Protection Act) y en los reglamentos de aplicación adoptados con arreglo a dicha normativa (3).

(7)

Dicha normativa canadiense se refiere a la mejora de la seguridad y las condiciones en las que las personas pueden entrar en el país, asuntos en los que Canadá tiene la facultad soberana de decidir dentro de su jurisdicción. Además, los requisitos establecidos son coherentes con todos los compromisos internacionales que ha asumido dicho país. Canadá es un país democrático, regido por el imperio de la ley y con una sólida tradición de libertades civiles. No se pone en tela de juicio la legitimidad de su proceso legislativo, ni la solidez e independencia de su poder judicial. La libertad de prensa constituye otra potente garantía frente a cualquier violación de las libertades civiles.

(8)

La Comunidad está plenamente comprometida con el respaldo a Canadá en la lucha contra el terrorismo dentro de los límites impuestos por la legislación comunitaria, la cual establece los equilibrios necesarios entre la seguridad y la intimidad. Por ejemplo, en el artículo 13 de la Directiva 95/46/CE se establece que los Estados miembros pueden adoptar medidas legales para limitar el alcance de determinados requisitos de la Directiva, en caso necesario, por motivos de seguridad del Estado, defensa, seguridad pública y prevención, investigación, detección y represión de infracciones penales.

(9)

Las transferencias de datos en cuestión atañen a responsables específicos del tratamiento de datos, a saber, las compañías aéreas que realizan vuelos desde la Comunidad a Canadá, y a un único destinatario en dicho país, a saber, la CBSA.

(10)

Todo acuerdo para establecer un marco jurídico de transferencias del PNR a Canadá, en particular a través de esta Decisión, debe ser limitado en el tiempo. Se ha acordado un período de tres años y medio. A lo largo de este período, el entorno puede modificarse de manera significativa, por lo que las dos partes están de acuerdo en que será necesario revisar los acuerdos.

(11)

El tratamiento por parte de la CBSA de los datos personales que contienen los PNR de pasajeros de vuelos que se transfieren a dicha agencia está regido por las condiciones establecidas en los Compromisos de la Agencia de Servicios de Fronteras de Canadá en relación con la aplicación de su programa sobre el PNR (denominados en lo sucesivo los «Compromisos»), así como por la legislación nacional canadiense en las condiciones que se establecen en dichos Compromisos.

(12)

Por lo que respecta a la legislación nacional de Canadá, la Ley sobre la intimidad (Privacy Act), la Ley sobre el acceso a la información (Access Information Act) y el artículo 107 de la Ley sobre Aduanas (Customs Act) son pertinentes en el presente contexto en la medida en que regulan las condiciones en las que la CBSA puede denegar solicitudes de divulgación y mantener así la confidencialidad del PNR. La Ley sobre la intimidad regula la divulgación del PNR a la persona a la que se refiera tal registro; dicha divulgación está íntimamente relacionada con los derechos de acceso del interesado. La Ley sobre intimidad sólo se aplica a quienes estén presentes en Canadá. No obstante, la CBSA otorga también acceso a la información del PNR sobre un nacional extranjero si éste no está presente en Canadá.

(13)

En cuanto a los Compromisos, como se prevé en su punto 43, las declaraciones de los Compromisos se han incorporado a la legislación canadiense existente o se han oficializado en reglamentos nacionales formulados específicamente a tal fin, por lo que surtirán efectos jurídicos. Los Compromisos se publicarán íntegros en el Diario Oficial de Canadá (Canada Gazette). Representan una obligación seria y muy meditada de la CBSA y su cumplimiento será objeto de control conjunto por parte de Canadá y la Comunidad. Su incumplimiento podrá ser objeto de recurso, según proceda, por las vías jurídica, administrativa y política y, si se mantiene, dará lugar a la suspensión de los efectos de la presente Decisión.

(14)

Las normas que aplica la CBSA al tratamiento de los datos del PNR con arreglo a la legislación de su país y a los Compromisos incluyen los principios básicos necesarios para un nivel adecuado de protección de las personas físicas.

(15)

Por lo que se refiere al principio de limitación a una finalidad específica, los datos personales de los pasajeros de vuelos incluidos en el PNR que se transfieran a la CBSA serán objeto de tratamiento para una finalidad específica y, posteriormente, se utilizarán o volverán a transmitirse únicamente en la medida en que ello sea compatible con la finalidad de la transferencia. En particular, los datos del PNR se utilizarán estrictamente para evitar y combatir el terrorismo y delitos conexos, y otros delitos graves, incluida la delincuencia organizada, que sean de naturaleza transnacional.

(16)

En cuanto a la calidad de los datos y el principio de proporcionalidad, que han de considerarse en relación con los motivos importantes de interés público por los que se transfieren datos del PNR, los datos que se faciliten a la CBSA no podrán ser alterados por dicho Servicio. Se transferirá un máximo de veinticinco categorías de datos del PNR y la CBSA consultará a la Comisión Europea en relación con la revisión de los veinticinco datos del PNR necesarios que figuran en el apéndice A y llegará a un acuerdo con la misma antes de realizar la revisión. La información adicional de carácter personal que se desee obtener como consecuencia directa de datos del PNR se obtendrá de fuentes ajenas a la Administración únicamente por vías legales. Como norma general, el PNR se suprimirá tras un máximo de tres años y seis meses.

(17)

Por lo que respecta al principio de transparencia, la CBSA facilitará información a los viajeros respecto a la finalidad de la transferencia y el tratamiento, la identidad del responsable del tratamiento, así como información de otro tipo.

(18)

En cuanto al principio de seguridad, la CBSA adopta las medidas de seguridad técnica y organizativa adecuadas a los riesgos que representa el tratamiento.

(19)

Los derechos de acceso y corrección y el derecho a que se mencionen las correcciones solicitadas y no efectuadas están reconocidos en la Ley sobre intimidad a quienes se encuentren en Canadá. La CBSA extenderá dichos derechos con respecto a la información del PNR que obre en su poder a los nacionales extranjeros que no se encuentren en Canadá. Las excepciones previstas son comparables, a grandes rasgos, con las restricciones que pueden imponer los Estados miembros con arreglo al artículo 13 de la Directiva 95/46/CE.

(20)

Las transferencias ulteriores se realizarán a otras autoridades gubernamentales, incluidas las de otros países si procede, en función de cada caso, para fines idénticos o coherentes con los establecidos en la declaración de limitación a una finalidad específica con respecto a una cantidad mínima de datos. También podrán realizarse transferencias para la protección de intereses vitales del interesado o de otras personas, en particular en relación con riesgos importantes para la salud, o en el caso de un procedimiento judicial o en otros casos en que la legislación lo exija. Los organismos receptores están obligados, por las condiciones explícitas relativas a la divulgación, a utilizar los datos únicamente para dichos fines y no podrán transferir posteriormente los datos sin la autorización de la CBSA. Ningún otro organismo extranjero, federal, provincial o local dispone de acceso electrónico directo a la información del PNR mediante las bases de datos de la CBSA. La CBSA denegará la divulgación pública del PNR con arreglo a las excepciones establecidas con respecto a las disposiciones pertinentes de la Ley sobre acceso a la información y de la Ley sobre intimidad.

(21)

La CBSA no recibe datos sensibles en el sentido del artículo 8 de la Directiva 95/46/CE.

(22)

Por lo que se refiere a los mecanismos para garantizar el cumplimiento de estos principios por la CBSA, se prevé que el personal de dicha agencia recibirá formación e información, así como el establecimiento de posibles sanciones a los integrantes del mismo. El respecto de la intimidad en general por parte de la CBSA será supervisado por la Oficina del Comisario Canadiense para la Intimidad (Office of the Canadian Privacy Commissioner) conforme a las condiciones establecidas en la Carta de Derechos y Libertades y en la Ley sobre intimidad de Canadá. El Comisario para la Intimidad podrá atender las reclamaciones que le remitan las autoridades de protección de datos de los Estados miembros en nombre de residentes de la Comunidad, en caso de que el residente considere que su reclamación no ha sido resuelta de manera satisfactoria por la CBSA. La CBSA y un equipo dirigido por la Comisión realizarán un examen anual conjunto del cumplimiento de los Compromisos.

(23)

Aunque se compruebe el nivel adecuado de la protección, por motivos de transparencia y para proteger la capacidad de las autoridades correspondientes de los Estados miembros de garantizar la protección de las personas en lo que respecta al tratamiento de sus datos personales, resulta necesario especificar las circunstancias excepcionales que pudieran justificar la suspensión de flujos específicos de información.

(24)

El Grupo de protección de las personas en lo que respecta al tratamiento de datos personales, creado en virtud del artículo 29 de la Directiva 95/46/CE, ha emitido dictámenes sobre el nivel de protección de los datos de pasajeros que ofrecen las autoridades canadienses, los cuales han orientado a la Comisión en las negociaciones con la CBSA. La Comisión ha tomado en cuenta dichos dictámenes para la elaboración de la presente Decisión (4).

(25)

Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité creado en virtud del artículo 31, apartado 1, de la Directiva 95/46/CE.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

A efectos del artículo 25, apartado 2, de la Directiva 95/46/CE, se considera que la Canadian Customs Border Services Agency (Agencia de Servicios de Fronteras de Canadá, en adelante la CBSA) ofrece un nivel adecuado de protección de los datos del PNR que se transfieren desde la Comunidad relativos a vuelos con destino a Canadá, con arreglo a los Compromisos que figuran en el anexo.

Artículo 2

La presente Decisión se refiere al carácter adecuado de la protección ofrecida por la CBSA con vistas a satisfacer los requisitos del artículo 25, apartado 1, de la Directiva 95/46/CE y no afectará a otras condiciones o restricciones que se impongan en aplicación de otras normas de la Directiva relativas al tratamiento de los datos personales en los Estados miembros.

Artículo 3

1.   Sin perjuicio de sus facultades para emprender acciones que garanticen el cumplimiento de las normas nacionales adoptadas de conformidad con preceptos diferentes a los contemplados en el artículo 25 de la Directiva 95/46/CE, las autoridades competentes de los Estados miembros podrán ejercer su facultad de suspender los flujos de datos hacia la CBSA, a fin de proteger a los particulares contra el tratamiento de sus datos personales, en los casos en que:

a)

la autoridad competente de Canadá compruebe que la CBSA ha vulnerado las normas de protección aplicables; o

b)

existan grandes probabilidades de que se estén vulnerando las normas de protección expuestas en el anexo, existan motivos razonables para creer que la CBSA no ha adoptado o no adoptará las medidas adecuadas en el momento oportuno para resolver el caso en cuestión, se considere que la continuación de la transferencia podría crear un riesgo inminente de grave perjuicio a los afectados, y las autoridades competentes del Estado miembro hayan hecho esfuerzos razonables en estas circunstancias para notificárselo a la CBSA y proporcionarle la oportunidad de alegar.

2.   La suspensión cesará en cuanto esté garantizado el cumplimiento de las normas de protección y ello se haya notificado a las autoridades competentes de los Estados miembros afectados.

Artículo 4

1.   Los Estados miembros informarán inmediatamente a la Comisión de la adopción de medidas basadas en el artículo 3.

2.   Los Estados miembros y la Comisión se informarán recíprocamente de cualquier cambio en las normas de protección y de aquellos casos en que la actuación de los organismos responsables del cumplimiento por parte de la CBSA de las normas de protección que figuran en el anexo no garantice dicho cumplimiento.

3.   Si la información recogida con arreglo al artículo 3 y a los apartados 1 y 2 del presente artículo demuestra que los principios básicos necesarios para un nivel adecuado de protección de las personas físicas no están siendo respetados, o que los organismos responsables del cumplimiento por parte de la CBSA de las normas de protección que figuran en el anexo no están ejerciendo su función, se informará a la CBSA y, si procede, será de aplicación el procedimiento previsto en el artículo 31, apartado 2, de la Directiva 95/46/CE, a fin de anular o suspender la presente Decisión.

Artículo 5

El funcionamiento de la presente Decisión será supervisado y el Comité creado por el artículo 31 de la Directiva 95/46/CE será informado de cualquier hecho pertinente y, en particular, de cualquier prueba que pueda afectar a la resolución del artículo 1 de la presente Decisión, relativa a que la protección de los datos personales incluidos en PNR de pasajeros de vuelos que se transfieren a la CBSA es adecuada con arreglo a lo dispuesto en el artículo 25 de la Directiva 95/46/CE.

Artículo 6

Los Estados miembros adoptarán todas las medidas necesarias para cumplir la presente Decisión, a más tardar en un plazo de cuatro meses a partir de la fecha de su notificación.

Artículo 7

La presente Decisión expirará tres años y seis meses después de la fecha de su notificación, salvo que sea prorrogada con arreglo al procedimiento expuesto en el artículo 31, apartado 2, de la Directiva 95/46/CE.

Artículo 8

Los destinatarios de la presente Decisión serán los Estados miembros.

Hecho en Bruselas, el 6 de septiembre de 2005.

Por la Comisión

Franco FRATTINI

Vicepresidente


(1)  DO L 281 de 23.11.1995, p. 31. Directiva modificada por el Reglamento (CE) no 1882/2003 (DO L 284 de 31.10.2003, p. 1).

(2)  A efectos de la presente Decisión, el término «PNR» incluirá datos de información previa sobre pasajeros (Advance Passenger Information, API), como se establece en el punto 4 de los Compromisos de la CBSA.

(3)  Reglamentos (sobre aduanas) relativos a la información de los pasajeros [Passenger Information (Customs) Regulations] y Reglamento 269 de los Reglamentos de protección de la inmigración y los refugiados (Regulation 269 of the Immigration and Refugee Protection Regulations).

(4)  Dictamen 3/2004 on the level of protection ensured in Canada for the transmission of Passenger Name Record and Advanced Passenger Information from airlines, (sobre el nivel de protección garantizado por Canadá para la transmisión del PNR e información previa sobre pasajeros procedente de las compañías aéreas), aprobado por el Grupo el 11 de febrero de 2004, disponible en http://europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2004/wp88_en.pdf

Dictamen 1/2005 on the level of protection ensured in Canada for the transmission of Passenger Name Record and Advanced Passenger Information from airlines, (sobre el nivel de protección garantizado por Canadá para la transmisión del PNR e información previa sobre pasajeros procedente de las compañías aéreas), aprobado por el Grupo el 19 de enero de 2005, disponible en http://europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2004/wp103_en.pdf


ANEXO

COMPROMISOS DE LA AGENCIA DE SERVICIOS DE FRONTERAS DE CANADÁ EN RELACIÓN CON LA APLICACIÓN DE SU PROGRAMA SOBRE EL PNR

Fundamento jurídico del derecho de obtención del PNR y de la API

1.

Con arreglo a la legislación canadiense, las compañías aéreas deberán proporcionar a la Canada Border Services Agency (Agencia de Servicios Fronterizos de Canadá, CBSA) información previa sobre pasajeros (API) e información del registro de nombres de los pasajeros (PNR) sobre todas las personas a bordo de vuelos con destino a Canadá. El fundamento jurídico del derecho de la CBSA a obtener y recopilar dicha información se halla en el apartado 107.1 de la Ley de Aduanas (Customs Act) y en los Reglamentos (sobre aduanas) relativos a la información de los pasajeros [Passenger Information (Customs) Regulations] adoptados con arreglo a la misma, y en el apartado 148.1.d) de la Ley de protección de la inmigación y los refugiados (Immigration and Refugee Protection Act) y en el Reglamento 269 de los Reglamentos de protección de la inmigración y los refugiados (Regulation 269 of the Immigration and Refugee Protection Regulations) adoptado con arreglo a dicha normativa.

Finalidad para la que se recogen datos de la API y del PNR

2.

La CBSA recogerá datos de la API y del PNR sólo con respecto a los vuelos que lleguen a Canadá. La CBSA utilizará los datos de la API y del PNR recogidos de compañías aéreas europeas y de otros países sólo para identificar a personas que presenten el riesgo de importar mercancías relacionadas con el terrorismo o delitos relacionados con éste, o a personas que no puedan ser admitidas en Canadá debido a su posible relación con el terrorismo o con delitos relacionados con éste, o con otros delitos graves, incluida la delincuencia organizada, que tengan un carácter transnacional.

3.

La CBSA utilizará los datos de la API y del PNR para designar personas que, a su llegada a Canadá, serán objeto de un examen o interrogatorio más profundo, o que necesitan una mayor investigación, para alguno de los fines descritos en el punto 2. La CBSA u otros agentes de la autoridad canadienses no adoptarán medidas de ejecución de la ley debido tan sólo al tratamiento automático de los datos de la API y del PNR.

Datos de la API y del PNR recogidos

4.

En las letras a) a f) del artículo 3 de los Reglamentos (sobre aduanas) relativos a la información de los pasajeros adoptados en el marco de la Ley de Aduanas (1), se enumeran los datos de la API que la CBSA recogerá para los fines establecidos en el punto 2. La lista de datos del PNR que la CBSA recogerá para los fines establecidos en el punto 2 figura en el apéndice A. Para una mayor seguridad jurídica, los «datos sensibles» en el sentido del artículo 8.1 de la Directiva 95/46/CE (en adelante, «la Directiva») y todos los campos «texto abierto» u «observaciones generales» no se incluirán en dichos veinticinco datos.

5.

La CBSA no exigirá a las compañías aéreas que recojan información del PNR que éstas no registran para sus propios fines ni ningún dato adicional con el fin de ponerlo a disposición de la CBSA. Por tanto, la CBSA reconoce que recogerá los datos enumerados en el apéndice A sólo en la medida en que una compañía aérea haya decidido incluirlos en sus sistemas automatizados de reserva y de control de salidas (DCS).

6.

La CBSA consultará a la Comisión Europea en relación con la revisión de los veinticinco datos del PNR necesarios que figuran en el apéndice A y llegará a un acuerdo con la misma antes de realizar la revisión:

(a)

si la CBSA tiene conocimiento de datos adicionales del PNR que pueden ponerse a disposición y si opina que son necesarios para los fines establecidos en el punto 2; o

(b)

si la CBSA tiene conocimiento en cualquier momento de que un dato del PNR ya no es necesario para los fines establecidos en el punto 2.

Método de acceso a los datos del PNR y de la API

7.

Se ha configurado el Sistema de Información sobre Pasajeros de la CBSA (en adelante «PAXIS») para recibir datos de la API y del PNR enviados por una compañía aérea.

Conservación y acceso a los datos de la API y del PNR

8.

Cuando los datos de la API y del PNR se refieran a una persona que no está siendo investigada en Canadá para uno de los fines descritos en el punto 2, se conservarán en el sistema PAXIS un máximo de tres años y medio. Durante este período, la información se conservará de manera cada vez más despersonalizada, a saber:

(a)

Desde la recepción inicial hasta las setenta y dos horas posteriores, todos los datos de la API y del PNR disponibles serán accesibles sólo a un número limitado de funcionarios de los servicios de inteligencia y de encargados de designar personas de la CBSA, quienes utilizarán la información para identificar a aquellos que requieran un examen o interrogatorio más profundo a su llegada a Canadá, para uno de los fines establecidos en el punto 2.

(b)

Una vez transcurridas setenta y dos horas y hasta el término de los dos años a partir de la recepción de los datos, el registro del PNR de una persona se conservará en el sistema PAXIS, pero sólo podrán acceder al mismo los funcionarios de los servicios de inteligencia situados en un aeropuerto internacional canadiense o en la sede de la CBSA de Ottawa. Dichos funcionarios no dispondrán del nombre de la persona a la que se refieren dichos datos, excepto cuando sea necesario para proseguir con una investigación en Canadá para uno de los fines descritos en el punto 2. El registro del PNR se repersonalizará sólo cuando el funcionario crea razonablemente que el nombre de la persona es necesario para proseguir con la investigación. Durante ese período, los analistas de inteligencia de la CBSA utilizarán la información despersonalizada para realizar análisis de tendencias y desarrollar posteriormente indicadores de riesgo relacionados con los fines que figuran en el punto 2.

(c)

Transcurridos dos años a partir de la recepción de los datos, el registro del PNR se conservará en el sistema PAXIS otro período de un año y medio como máximo, pero los datos que pudieran servir para identificar a la persona con la que están relacionados sólo podrán verse previa autorización del Presidente de la CBSA para uno de los fines establecidos en el punto 2. Durante ese período, los analistas de inteligencia de la CBSA utilizarán la información despersonalizada para realizar análisis de tendencias y desarrollar posteriormente indicadores de riesgo relacionados con los fines que figuran en el punto 2.

(d)

En el sistema PAXIS, los datos de la API se almacenarán aparte de los datos del PNR. Se conservarán en el sistema PAXIS un máximo de tres años y medio, pero durante ese período los datos de la API relacionados con una persona no se utilizarán para acceder a los datos del PNR de la misma persona, excepto cuando el registro del PNR se repersonalice en las circunstnacias descritas en la letra b).

9.

Cuando los datos de la API y del PNR se refieran a una persona que está siendo investigada en Canadá para uno de los fines descritos en el punto 2, se pondrán en una base de datos de la CBSA para la aplicación de la legislación. Dichas bases de datos sólo contienen información referente a personas a las que se ha investigado o que son objeto de una medida de ejecución de la legislación en el marco de la normativa de la CBSA. Se otorgará acceso a estas bases de datos sólo a aquellos funcionarios de la CBSA cuyo cometido requiera dicho acceso, que será supervisado con atención. Los datos de la API y del PNR que se transfieran a dicha base de datos para la aplicación de la legislación se conservarán en el sistema no más tiempo del necesario y, en cualquier caso, por un período no superior a seis años, al final del cual se destruirán excepto en el caso de que sea necesario conservarlos un período adicional en virtud de la Ley sobre la intimidad o la Ley sobre el acceso a la información, como se explica en el punto 10.b).

10.

En aquellos casos en que la CBSA utilice datos personales para adoptar una decisión que afecte a los intereses del interesado al que se refieren, la CBSA los consevará durante dos años a partir de la fecha de dicha utilización para que el interesado pueda acceder a la información a partir de la que se adoptó la decisión, excepto cuando la persona acepte eliminarlos antes o, cuando se haya recibido una solicitud de acceso a los datos, hasta que la persona haya tenido la oportunidad de ejercer todos sus derechos con arreglo a la Ley sobre intimidad o a la Ley sobre el acceso a la información.

(a)

En el caso de información conservada en la base de datos PAXIS, este requisito de dos años estará comprendido en el período máximo de tres años y medio durante el que la información se conservará en dicha base de datos.

(b)

En el caso de información conservada en una base de datos para la aplicación de la legislación, los datos de la API y del PNR podrán conservarse en caso necesario un período no superior a seis años con el objeto de que la CBSA lo utilice para la investigación, como se describe en el punto 9, así como un período suplementario máximo de dos años, durante el cual el interesado podrá acceder a los mismos con arreglo a la Ley sobre intimidad o la Ley sobre el acceso a la información pero en el que la CBSA no podrá acceder a los mismos para fines administrativos.

11.

Al término de los períodos de conservación descritos en los puntos 8 a 10, los datos de la API y del PNR serán destruidos con arreglo a las disposiciones de la Ley canadiense sobre archivos (National Archives Act)  (2).

Divulgación de datos de la API y del PNR a otros ministerios y agencias canadienses

12.

La divulgación de datos de la API y del PNR por parte de la CBSA está regulada por la Ley sobre intimidad, la Ley sobre el acceso a la información y la normativa propia de la CBSA. Aunque la Ley sobre intimidad y la Ley sobre el acceso a la información conceden el derecho a acceder a los registros excepto cuando una exención o exclusión sea de aplicación, estas leyes no exigen ninguna divulgación obligatoria de datos de la API y del PNR. Se publicará y se pondrá a disposición del público en el sitio web de la CBSA un ejemplar de la política administrativa de la CBSA sobre la divulgación de los datos de la API y del PNR, el acceso a los mismos y su utilización, Memorando D-1-16-3 titulado Interim Administrative Guidelines for the Disclosure, Access to and Use of Passenger Name Record (PNR) Data (Directrices administrativas temporales para la divulgación de los datos del PNR, el acceso a los mismos y su utilización, en adelante la «política de divulgación del PNR de la CBSA»). En dicha política, descrita con más detalle en el punto 37 de los presentes Compromisos, se establece que los datos de la API y del PNR pueden compartirse con otros organismos de la administración canadiense sólo para los fines del punto 2, excepto cuando la divulgación se realiza para dar cumplimiento a la citación u orden judicial o de una autoridad u organismo con jurisdicción en Canadá para obligar a la presentación de la información o para cualquier procedimiento judicial.

13.

Los datos de la API y del PNR no se divulgarán en bloque. La CBSA sólo divulgará determinados datos de la API y del PNR caso por caso y sólo una vez evaluada la pertinencia de los datos del PNR que se divulgarán. Sólo se facilitarán aquellos elementos de la API y del PNR de los que se demuestre claramente que son necesarios en las circunstancias particulares. En todos los casos, se proporcionará el mínimo de datos posible.

14.

La CBSA sólo divulgará datos de la API y del PNR en aquellos casos en que los receptores propuestos se comprometan a otorgarles la misma protección proporcionada por la CBSA. Los receptores de los datos del PNR de la Administración canadiense también están obligados por las disposiciones de la Ley sobre intimidad en la medida en que figuren en el anexo de dicha Ley. La Ley sobre intimidad se aplica a la información personal acerca de un individuo identificable, registrada de cualquier manera, y bajo el control de un ministerio federal o agencia canadiense sujeta a dicha Ley. Dicho ministerio o agencia no recogerá ningún dato personal a no ser que esté directamente relacionado con un programa operativo o actividad de la institución.

15.

En la práctica, como condición previa a la divulgación, la CBSA exige que las autoridades canadienses federales o provinciales encargadas de la ejecución de la legislación se comprometan a no divulgar a su vez la información recibida sin permiso de la CBSA, excepto cuando lo requiera la normativa.

Divulgación de datos de la API y del PNR a otros países

16.

La CBSA puede compartir los datos de la API y del PNR con la Administración de un Estado extranjero, con arreglo a un mecanismo o acuerdo conforme a lo dispuesto en el artículo 8.2 de la Ley sobre intimidad y el artículo 107.8 de la Ley de aduanas.

17.

Dichos mecanismos o acuerdos podrán incluir un memorando de acuerdo realizado específicamente para los fines del programa sobre el PNR de la CBSA o un tratado según el cual las autoridades de la CBSA tengan que prestar asistencia e información. En ambos casos, la información sólo se compartirá para fines coherentes con los establecidos en el punto 2 y sólo si el país receptor se compromete a proteger la información de manera coherente con los presentes Compromisos. En todos los casos, se proporcionará el mínimo de datos posible al otro país.

18.

Los datos de la API y del PNR conservados en el PAXIS se compartirán sólo con un país objeto de una decisión de idoneidad con arreglo a la Directiva, o incluido por ella.

19.

Los datos de la API y del PNR conservados en una base de datos de ejecución de la legislación descrita en el punto 9 podrán compartirse con arreglo a obligaciones establecidas por un tratado conforme a un acuerdo de asistencia aduanera mutua o un acuerdo de asistencia judicial mutua. En este caso, los datos de la API y del PNR sólo se compartirán en función de cada caso y siempre que la CBSA esté en posesión de pruebas que relacionen directamente la solicitud con la investigación o la prevención de delitos mencionados en el punto 2 y sólo en la medida en que los datos suministrados sean estrictamente necesarios para la investigación específica de que se trate.

Divulgación de los datos de la API y del PNR en interés vital del interesado

20.

Salvo que se estipule lo contrario en los presentes Compromisos, la CBSA podrá divulgar datos de la API y del PNR a los ministerios y agencias pertinentes de Canadá u otros países, en aquellos casos en que la divulgación sea necesaria para la protección de los intereses vitales del interesado o de otras personas, en particular en lo referente a los riesgos significativos para la salud.

Notificación al interesado

21.

La CBSA proporcionará información a los viajeros sobre los requisitos relativos a la API y al PNR y las cuestiones relacionadas con su utilización, incluida información general sobre la autoridad responsable de la recogida de datos, la finalidad de la recogida, la protección que se proporcionará a los datos, la manera y el grado en que se compartirán, la identidad del funcionario de la CBSA responsable, así como los procedimientos disponibles de reparación e información de contacto para personas con preguntas o inquietudes.

Mecanismos jurídicos de revisión del programa sobre el PNR de la CBSA

22.

El Comisario canadiense para la intimidad y la Oficina del Auditor General de Canadá (Office of the Auditor General of Canada) podrán revisar e investigar el cumplimiento del programa sobre el PNR.

23.

La autoridad independiente de protección de datos de Canadá, el Comisario canadiense para la intimidad, puede investigar el cumplimiento por parte de los ministerios y agencias de la Ley sobre intimidad, y puede controlar hasta qué punto la CBSA se ajusta a los presentes Compromisos. El Departamento de revisión y prácticas de intimidad (Privacy Practices and Review Branch) de la Oficina del Comisario para la intimidad podrá controlar el cumplimiento y podrá realizar investigaciones. El Comisario canadiense para la intimidad podrá divulgar información que, en su opinión, sea necesaria para realizar una investigación con arreglo a la Ley o establecer las bases para los resultados y recomendaciones contenidas en cualquier informe realizado con arreglo a la misma.

24.

La Oficina del Auditor General de Canadá realiza auditorías independientes de las operaciones de la Administración federal canadiense. Estas auditorías proporcionan a los parlamentarios canadienses y al público información objetiva para contribuir a examinar las actividades de la Administración y a responsabilizarla de la gestión de los fondos públicos.

25.

Las versiones definitivas de los informes de la Oficina del Comisario para la intimidad y de la Oficina del Auditor General están a disposición del público mediante los informes anuales al Parlamento y, a su discreción, en Internet. La CBSA proporcionará a la Comisión acceso a las copias de cualquiera de dichos informes que se relacione de alguna manera con el programa sobre el PNR.

Revisión conjunta del programa sobre el PNR de la CBSA

26.

Además de los procesos de revisión anteriores, previstos con arreglo a la legislación canadiense, la CBSA participará con carácter anual o según convenga, y como se acuerde con la Comisión, en una revisión conjunta del programa sobre el PNR en relación con las transferencias de datos de la API y del PNR a la CBSA.

Reparación

Marco jurídico

27.

La Carta de Derechos y Libertades de Canadá, que forma parte de la Constitución canadiense, es de aplicación en todas las acciones del gobierno, incluida la legislación. El artículo 8 de la Carta prevé la protección contra los registros y las incautaciones de carácter abusivo y garantiza un nivel adecuado de intimidad. El artículo 24 de la Carta permite a una persona cuyos derechos hayan sido violados acudir a un tribunal competente para obtener la reparación que el tribunal estime conveniente y justa a la vista de las circunstancias.

28.

A cualquier nacional extranjero que esté presente en Canadá se le reconoce el derecho a acceder a los registros que estén bajo el control de un ministerio federal, en virtud de la Orden de Extensión número 1 (Extension Order Number 1) de la Ley sobre el acceso a la información (ATIA). Con las salvedades establecidas en la Ley, un nacional extranjero presente en Canadá o una persona presente en Canadá con el consentimiento de un nacional extranjero no presente en el país puede solicitar, con arreglo a la ATIA, el acceso a los registros referentes al nacional extranjero y se le puede conceder dicho acceso, con arreglo a las excepciones y salvedades específicas y de carácter limitado establecidas en la Ley.

29.

Conforme a la Ley sobre intimidad, en virtud de la Orden de Extensión número 2 (Extension Order Number 2), se amplía a cualquiera presente en Canadá el derecho a acceder a los datos personales y a solicitar correcciones o a que se mencionen las correcciones solicitadas y no efectuadas. Por tanto, con las salvedades establecidas en la Ley, un nacional extranjero puede ejercer estos derechos si está presente en Canadá.

Marco administrativo

30.

Además, los ministerios que posean datos personales acerca de una persona podrán conceder administrativamente derechos de acceso y corrección y el derecho a que se mencionen las correcciones solicitadas y no efectuadas a los nacionales extranjeros que no estén presentes en Canadá. La CBSA extenderá dichos derechos referentes a los datos de la API y del PNR que obren en su poder a ciudadanos de la UE u otras personas que no estén presentes en Canadá, si la legislación permite su divulgación.

31.

El Comisario para la intimidad podrá presentar por iniciativa propia una denuncia si cree que existen motivos razonables para investigar un asunto con arreglo a la Ley (sobre intimidad) y dispone de amplios poderes de investigación acerca de cualquier denuncia. Además, el Comisario para la intimidad podrá examinar las denuncias que le remitan las autoridades de protección de datos (DPA) de cualquier Estado miembro de la Unión Europea (UE) en nombre de un residente de la UE, en la medida en que éste haya facultado a las DPA a actuar en su nombre y considere que la CBSA no ha tratado adecuadamente su denuncia en materia de datos de la API y del PNR, de conformidad con el punto 30 anterior. El Comisario para la intimidad comunicará sus conclusiones y notificará a las DPA afectadas las medidas adoptadas, en su caso.

32.

El Comisario para la intimidad también tiene poderes especiales para investigar el grado de cumplimiento de la Ley sobre la intimidad por parte de los ministerios y agencias canadienses con respecto a la recogida, conservación, utilización, divulgación y eliminación de datos personales.

Seguridad de los datos

33.

Se proporcionará acceso al sistema PAXIS sólo a un número limitado de funcionarios de los servicios de inteligencia y de encargados de designar personas de la CBSA presentes en las unidades de designación de pasajeros de las oficinas regionales canadienses y en la sede central de la CBSA de Ottawa, Canadá. Estos funcionarios accederán al sistema PAXIS en lugares de trabajo seguros a los que no puede acceder el público.

34.

Para acceder al sistema PAXIS, los funcionarios tendrán que utilizar dos inicios de sesión (logins) distintos, mediante una contraseña y una identificación de usuario generada por el sistema. La primera apertura de sesión proporcionará acceso a la red local de la CBSA, mientras que la segunda permitirá acceder a la plataforma del sistema integrado de aduanas (Integrated Customs System), que, a su vez, da acceso a la aplicación PAXIS. El acceso a la red de la CBSA y cualquier dato contenido en el sistema PAXIS estarán controlados estrictamente y restringidos al grupo de usuarios elegido, y se auditarán las consultas y la revisión de los datos de los pasajeros presentes en el sistema. El registro de auditoría generado contendrá el nombre de usuario y su lugar de trabajo, la fecha y la hora de acceso y el número localizador de archivos del PNR correspondiente a la información a la que se accedió. La CBSA también restringirá el acceso a determinados datos de la API y del PNR en el sistema con arreglo a la «necesidad de saber» (tipo/perfil de usuario). Estos controles garantizarán que sólo se concede acceso a los datos de la API y del PNR a las personas descritas en el punto 33, para los fines establecidos en el punto 2.

35.

El acceso, la utilización y la divulgación de datos de la API y del PNR están regidos por la Ley sobre la intimidad, la Ley sobre el acceso a la información, el artículo 107 de la Ley de aduanas y la política en materia administrativa descrita en el punto 37 de los presentes Compromisos, que reflejan las protecciones y salvaguardas descritos en el presente documento. El artículo 160 de la Ley de aduanas y los códigos de conducta internos prevén sanciones penales y de otro tipo en caso de que no se cumplan estas políticas y, como se ha señalado anteriormente, el Comisario para la intimidad tiene capacidad, en virtud de la Ley sobre la intimidad, para incoar una investigación sobre la divulgación de datos personales.

36.

La política de la CBSA sobre la divulgación del PNR establece procedimientos que todo el personal de la CBSA con acceso a los datos de la API y del PNR debe respetar. La política de la CBSA consiste en proteger la confidencialidad de los datos y gestionarla con arreglo a la legislación canadiense, así como a las políticas de la CBSA y de la Administración canadiense sobre la gestión y seguridad de los datos, como se describe en el punto 38.

37.

La política de la CBSA sobre la divulgación del PNR prevé lo siguiente:

(a)

un funcionario podrá divulgar, permitir el acceso a los datos de la API y del PNR o utilizarlos sólo cuando la legislación se lo autorice y con arreglo a la política al efecto;

(b)

los funcionarios deberán adoptar todas las medidas adecuadas para garantizar que sólo se divulgan los datos esenciales a terceros;

(c)

los datos sólo se divulgarán para un fin específico autorizado y se limitarán a la cantidad mínima necesaria para dicho fin;

(d)

sólo se proporcionarán los datos, o se proporcionará acceso a los mismos, a aquellas personas con una necesidad operativa de verlos; y

(e)

conforme a la Ley sobre la intimidad, la Ley sobre el acceso a la información y a la Ley canadiense sobre archivos, cualquier dato divulgado será destruido o devuelto una vez utilizado, con arreglo a las políticas de gestión de la información de la CBSA y del Consejo del Tesoro canadiense (Treasury Board of Canada).

38.

La política de la CBSA sobre la divulgación del PNR forma parte de varias políticas de la CBSA sobre protección y gestión de los datos recogidos en el marco de las distintas normas que forman parte de las competencias de la CBSA. Además, los empleados de la CBSA están obligados por las políticas sobre seguridad de la Administración canadiense con respecto a la protección de los sistemas electrónicos y a la protección de datos (3).

39.

El personal de la CBSA conoce estas políticas y las consecuencias de no respetarlas, y su adhesión a las mismas es un requisito para su contratación.

Reciprocidad

40.

La Ley sobre aeronáutica (Aeronautics Act) autoriza a las compañías aéreas canadienses que realicen vuelos a partir de cualquier destino, o a cualquier compañía aérea que realice vuelos a partir de Canadá, a proporcionar a un Estado extranjero datos relativos a las personas que están a bordo de dichos vuelos y que tengan como destino dicho Estado, en aquellos casos en que éste solicite que se le proporcionen los datos.

41.

En caso de que la Comunidad Europea, la Unión Europea o cualquiera de sus Estados miembros decida adoptar un sistema de identificación de viajeros de líneas aéreas y adopte legislación por la que podría exigirse a todas las compañías aéreas que proporcionasen a las autoridades europeas acceso a los datos de la API y del PNR sobre las personas cuyo itinerario incluya un vuelo a la Unión Europea, el artículo 4.83 de la Ley sobre aeronáutica permitiría a dichas compañías aéreas cumplir dicha exigencia.

Revisión y expiración de los Compromisos

42.

Los presentes Compromisos se aplicarán durante un período de tres años y seis meses (tres años y medio) a partir de la entrada en vigor del acuerdo entre Canadá y la Comunidad Europea por el que se autorice el tratamiento de datos de la API y del PNR por las compañías aéreas para transmitirlos a la CBSA, de conformidad con la Directiva. Una vez transcurridos dos años y seis meses (dos años y medio) de vigencia de los presentes Compromisos, la CBSA entablará conversaciones con la Comisión con el objeto de prorrogar los presentes Compromisos y toda disposición conexa, en condiciones aceptables para ambas partes. Si no fuera posible celebrar un acuerdo aceptable para ambas partes antes de que expiren los presentes Compromisos, éstos ya no se aplicarán a los datos recogidos a partir de dicho momento. Los datos recogidos durante el período de vigencia de estos Compromisos seguirán estando protegidos conforme a lo dispuesto en ellos hasta que dichos datos sean borrados.

43.

La CBSA cumple sus Compromisos mediante la aplicación de la legislación canadiense existente o, si aún no formaran parte de dicha legislación, mediante reglamentos nacionales formulados específicamente a tal fin o a través de los procesos administrativos.


(1)  Las letras a) a f) del artículo 3 contienen los siguientes datos de la API: a) nombre completo y apellidos de la persona; b) fecha de nacimiento; c) sexo; d) ciudadanía o nacionalidad; e) tipo de documento de viaje que identifica a dicha persona, el nombre del país en el que se expidió y su número; f) el número localizador de reserva, si lo hubiese, y en el caso de que se trate de una persona a cargo del transporte comercial o de cualquier miembro de la tripulación que no disponga de número localizador de reserva, la notificación de la función que desempeña como miembro de la tripulación.

(2)  En dicha ley se establecen las formalidades que deben aplicarse antes de la destrucción de registros de la Administración.

(3)  Entre las políticas de referencia, figuran las siguientes: «Política de seguridad de la administración»(Government Security Policy) publicada por la Secretaría del Consejo del Tesoro canadiense el 1 de febrero de 2002, y la «Norma de seguridad operativa: gestión de la seguridad de las tecnologías de la información» [Operational Security Standard: Management of Information Technology Security (MITS)], publicada por la Secretaría del Consejo del Tesoro canadiense el 31 de mayo de 2004.

ANEXO «A»

DATOS DEL PNR SOLICITADOS POR LA CBSA A LAS COMPAÑÍAS AÉREAS

1.

Nombre

2.

Datos de la API

3.

Código de identificación del registro PNR

4.

Fecha prevista del viaje

5.

Fecha de reserva

6.

Fecha de emisión del billete

7.

Agencias de viaje

8.

Agente de viajes

9.

Teléfonos de contacto

10.

Dirección de facturación

11.

Información sobre todo tipo de modalidades de pago

12.

Información sobre programas de fidelización

13.

Información sobre el campo sobre la emisión de billetes

14.

Número del billete

15.

PNR escindido/dividido

16.

Pasajero de último momento sin reserva

17.

Historial de no comparecencia del pasajero

18.

Información sobre el itinerario completo del viaje

19.

Información sobre lista de espera

20.

Otros nombres en el PNR

21.

Orden de facturación

22.

Números de etiqueta del equipaje

23.

Información sobre el asiento

24.

Número de asiento

25.

Billetes sólo de ida


Top