6.9.2005   

ES

Diario Oficial de la Unión Europea

C 218/6

1.

El Supervisor Europeo de Protección de Datos (SEPD) se congratula de haber sido consultado con arreglo al artículo 28, apartado 2, del Reglamento (CE) n.o 45/2001. Ello confirma su punto de vista, expresado el 18 de marzo de 2005 en su documento de orientación («El Supervisor Europeo de Protección de Datos como asesor de las instituciones comunitarias sobre propuestas de legislación y documentos conexos»), según el cual el cometido de asesoramiento es extensivo a la celebración de acuerdos entre la CE y terceros países u organización internacionales en lo que se refiere al tratamiento de datos personales.

2.

Dado el carácter obligatorio del artículo 28, apartado 2, del Reglamento (CE) n.o 45/2001, el presente dictamen debería mencionarse en el preámbulo de la Decisión del Consejo.

3.

Según sus considerandos, el acuerdo en juego entre la Comunidad Europea y Canadá toma en consideración una decisión de la Comisión («la decisión de la Comisión»), con arreglo al artículo 25, apartado 6 de la Directiva 95/45/CE, en virtud de la cual se considera que la correspondiente autoridad competente de Canadá ofrece un nivel de protección adecuado en lo que se refiere a los datos API y PNR. En opinión del SEPD, la decisión de la Comisión debería haberse remitido para consulta, ya que forma parte del conjunto de medidas legislativas.

4.

La presente propuesta es la segunda de una serie, tras el acuerdo de 17 de mayo de 2004 (1) con Estados Unidos, cuya legalidad fue impugnada por el Parlamento en virtud del artículo 230 del Tratado CE. En su intervención ante el Tribunal de Justicia, el SEPD apoyó las conclusiones del Parlamento en el sentido de anular el acuerdo.

5.

La presente propuesta de acuerdo es de índole similar a la del acuerdo con Estados Unidos. Está vinculada a una decisión de la Comisión, con arreglo al artículo 25, apartado 6, de la Directiva 95/46/CE; su objetivo es mejorar la seguridad pública y la compañía aérea está obligada a transmitir datos a un tercer país.

6.

En lo esencial, no obstante, hay grandes diferencias, tal como se señala en dos dictámenes del Grupo sobre Protección de Datos del Artículo 29 (2). El SEPD destaca cuatro diferencias fundamentales que desempeñarán un cometido a lo largo del presente dictamen. En primer lugar, la propuesta prevé un sistema «push» (transmisión) en lugar de un sistema «pull» (acceso directo), lo cual tiene como consecuencia que las compañías aéreas en la Comunidad Europea pueden controlar la transmisión de los datos a las autoridades canadienses. En segundo lugar, los compromisos asumidos por las autoridades canadienses son vinculantes (artículo 2, apartado 1 del acuerdo), lo cual contribuye a que la propuesta sea más equilibrada si se la compara con el acuerdo con Estados Unidos. En tercer lugar, la lista de datos PNR que han de transmitirse es más reducida y no incluye «categorías abiertas» de datos de pasajeros que pudieran revelar información sensible. Por último, el acuerdo se beneficia de un sistema legal de protección de datos mucho más desarrollado que protege a la persona a que se refieren los datos e incluye la supervisión por un Comisario de datos independiente. No obstante, la legislación canadiense no ofrece plena protección a los ciudadanos de la Unión Europea. Los compromisos asumidos por las autoridades canadienses tienen como objetivo hallar soluciones para esos ciudadanos.

7.

En el sistema establecido por la directiva 95/46/CE, la transmisión de datos a un tercer país entra dentro de la definición del tratamiento de datos personales (según el artículo 2, letra b) de dicha Directiva, «cualquier operación o conjunto de operaciones […] aplicadas a datos personales») y, como consecuencia de ello, el capítulo II de la Directiva («Condiciones generales para la licitud del tratamiento de datos personales») se aplica a la transmisión. En este sentido, el tenor del artículo 25 es ofrecer una salvaguardia adicional en caso de transmisión a un tercer país, ya que, a partir del momento de la transmisión, los datos ya no entran dentro de la jurisdicción de un Estado miembro.

8.

La propuesta de acuerdo con Canadá, considerada junto con la decisión de la Comisión, obliga a las compañías aéreas a transmitir datos a dicho país. Queda por determinar si esta obligación impide a las compañías aéreas cumplir las obligaciones que les impone la legislación nacional de aplicación de la Directiva 95/46/CE, y en particular el capítulo II, y si, en ese caso, influye en la eficacia de la Directiva.

9.

El artículo 5 de la propuesta obliga a las compañías aéreas a tratar los datos API/PNR contenidos en sus sistemas informatizados de reserva y de control de salidas (DCS) con arreglo a las exigencias de las autoridades canadienses competentes en virtud del ordenamiento jurídico canadiense. La propuesta no estipula la aplicación la legislación comunitaria, y más concretamente la normativa sobre el tratamiento de datos personales, tal como se prevé en el capítulo II de la Directiva 95/46/CE. Al faltar esa disposición, las compañías aéreas podrán verse obligadas a tratar los datos, incluso cuando este tratamiento no sea plenamente conforme con el capítulo II de la Directiva 95/46/CE.

10.

Aunque, tal como se indicó anteriormente y se explicará ulteriormente en el presente dictamen, existe en Canadá un sistema legislativo de protección de datos bien desarrollado y no hay ningún motivo para afirmar que la legislación canadiense sobre la protección de datos dañe seriamente los intereses de la persona a que se refieren los datos dentro de la Unión Europea, tampoco hay motivo para suponer que la legislación canadiense cumple plenamente todas las disposiciones del capítulo II de la Directiva 95/46/CE. Esa suposición no puede deducirse del acuerdo ni de la exposición de motivos. Además, dicha suposición no resulta concebible, ya que las autoridades canadienses no están obligadas por ninguna (futura) interpretación de la Directiva por parte del Tribunal de Justicia, ni puede garantizarse que ulteriores modificaciones de la legislación canadiense (o nuevas interpretaciones por parte del poder judicial canadiense) sean conformes con la legislación comunitaria.

11.

Teniendo en cuenta el análisis aquí realizado, el SEPD concluye que el acuerdo implica una enmienda de la Directiva 95/46/CE. Por ello, e independiente del posible daño sustancial que supone para la persona a que se refieren los datos, debería contarse con la conformidad del Parlamento Europeo, con arreglo al artículo 300, apartado 3, del Tratado CE.

12.

En este contexto, el SEPD considera que, en términos generales, las cuestiones institucionales quedan fuera del ámbito de su misión. No obstante, en el caso presente, el SEPD expone su punto de vista sobre la cuestión en juego, ya que el no respeto de las prerrogativas del Parlamento lleva a una enmienda de la Directiva y, por tanto, influye en el nivel de protección de datos dentro del territorio de la Comunidad Europea.

13.

De modo alternativo, el acuerdo podría modificarse para garantizar que el tratamiento de datos API/PRN por las compañías aéreas cumpla la Directiva 95/46/CE. Si se añade una disposición en esos términos, el acuerdo ya no implicaría una modificación de la Directiva.

14.

Sin perjuicio de los requisitos en materia de procedimiento para la adopción de la propuesta, el SEPD ha examinado si la sustancia del acuerdo propuesto protege suficientemente al sujeto a que se refieren los datos, y en particular sus derechos fundamentales en los términos del artículo 6 del Tratado UE.

15.

El SEPD observa las importantes diferencias que muestra la propuesta con respecto al acuerdo con los Estados Unidos (véase el apartado 6 de este documento). Como consecuencia de ello, las insuficiencias del último acuerdo no se aplican a la presente propuesta en tres puntos importantes, al menos no en la misma medida.

16.

Asimismo, el SEPD observa que el Grupo del artículo 29 — Protección de datos, en su dictamen del 19 de febrero de 2005, ha aprobado los elementos principales de la (propuesta de) decisión de la Comisión sobre el nivel adecuado de protección ofrecido por el CBSA (Canadian Border Services Agency: agencia de servicios fronterizos de Canadá). En su evaluación, los compromisos asumidos por la CBSA (el anexo de la decisión de la Comisión) desempeñan un importante papel. El SEPD suscribe las conclusiones del Grupo sobre Protección de Datos del Artículo 29, teniendo en cuenta asimismo que el Comisario independiente para la protección de la vida privada de Canadá aprueba que se limite el acceso a los datos API/PNR para fines administrativos y policiales (3).

17.

El SEPD considera sumamente importante que el sistema de transmisión de datos API y PNR permita a las compañías aéreas controlar el tratamiento y transferencia de los datos. De este modo, dichas actividades entran dentro de la jurisdicción de los Estados miembros y es de aplicación la legislación comunitaria.

18.

Es igualmente importante que el artículo 2 de la propuesta establezca de modo explícito que las Partes del acuerdo han acordado que los datos API/PNR serán tratados como se señala en los compromisos asumidos. Estos compromisos, tal como se anexan a la decisión de la Comisión, son, por tanto, vinculantes.

19.

Por último, el SEPD destaca la importancia de crear un Comité mixto que, entre otras cosas, organice revisiones conjuntas. Ello permite el seguimiento de la aplicación de los instrumentos legales, lo que reviste la mayor importancia dada la novedad de dichos instrumentos y la falta de experiencia en los que se refiere a la aplicación de los mismos.

20.

En este contexto, y teniendo presente el análisis previsto en el apartado 4.2 del documento de orientación mencionado en el apartado 1 del presente documento, el SEPD aprueba los principales elementos de la propuesta y limita sus observaciones a algunos aspectos específicos, a saber:

21.

El anexo II de la propuesta no incluye datos sensibles en los términos del artículo 8 de la Directiva 95/46/CE ni «categorías abiertas» de datos de pasajeros que, según la manera en que dichos datos se indiquen en un formulario, podrían revelar esos datos sensibles (por ejemplo, datos relativos a la alimentación que revelan una creencia religiosa, o datos médicos).

22.

No obstante, la lista de los datos PNR que deben recopilarse (Anexo II de la propuesta) incluye datos que pueden guardar relación con la protección de los derechos fundamentales del viajero, concretamente su intimidad. El SEPD hace mención de la categoría 10 (información sobre programas de fidelización), que podría revelar datos sobre el comportamiento del viajero (aunque no se incluye toda la información relativa a los programas de fidelización) y de la categoría 23 (toda la información del sistema de información APIS recopilada), que contiene, además del nombre, otras informaciones que figuran en el pasaporte del viajero.

23.

El SEPD no está convencido de que la inclusión de estas categorías sea necesaria ni proporcionada, por lo que sugiere que se reconsidere la necesidad de incluir dichas categorías en el Anexo del acuerdo. No obstante, el que estas categorías figuren en la lista de datos no es, en sí mismo, tan grave como para que sea necesario renegociar el acuerdo, y en opinión del SEPD, no debería dar lugar a la anulación del mismo.

24.

Como hemos visto anteriormente en los instrumentos jurídicos que requieren el tratamiento de datos personales con motivo de la lucha contra el terrorismo, el legislador no ha limitado la finalidad del tratamiento al terrorismo como tal, sino que ha añadido a las finalidades que permiten el tratamiento otros delitos graves o, en algunos casos, la represión del delito en general.

25.

La propuesta actual alude a la lucha contra otros delitos graves que son de naturaleza transnacional, entre ellos la delincuencia organizada. Según los compromisos de la ASFC/CBSA (sección 12) la información sólo podrá ser compartida con otros departamentos de la Administración canadiense con los mismos fines. La información sólo será compartida con autoridades de terceros países para estos fines y en la medida en que se aplique una evaluación de la suficiencia del nivel de protección, en virtud del artículo 25 de la Directiva 95/46/CE, en el tercer país de que se trate. Esta limitación de los fines, en sí misma, no infringe lo dispuesto en la Directiva, ni los principios subyacentes en la misma.

26.

El acuerdo contiene unas disposiciones explícitas que tienen por objeto proteger los intereses de la persona a la que se refieren los datos. El SEPD destaca explícitamente el artículo 3 del acuerdo (acceso, corrección y anotación). Según esta disposición, la persona a la que se refieren los datos, si reside en el territorio de la Unión Europea, puede ejercer el derecho a acceso, corrección y anotación en las mismas condiciones que los residentes en Canadá.

27.

La concesión de estos derechos, por sí misma, no brinda a la persona a la que se refieren los datos la protección necesaria. Hay que garantizar que los derechos puedan ejercerse efectivamente.

28.

El ámbito de aplicación y el contenido de dichos derechos los determina el Derecho canadiense. Para otorgar la necesaria protección al sujeto europeo de los datos, la legislación correspondiente debe ser accesible al interesado, y sus consecuencias para dicho interesado deben ser también previsibles. Para que se cumpla esta obligación, el Grupo sobre Protección de Datos del Artículo 29 sugirió que se incluyera el correspondiente marco reglamentario canadiense como anexo de la Decisión de la Comisión.

29.

Esta sugerencia no ha sido seguida, si bien la Decisión de la Comisión y los compromisos de la ASFC/CBSA facilitan una explicación del marco jurídico correspondiente. Los viajeros pueden adquirir conocimiento de sus derechos en las secciones correspondientes de los compromisos.

30.

El SEPD advierte que no sólo es importante que el viajero residente en la Comunidad Europea tenga acceso a los textos de los instrumentos jurídicos, sino también que tenga acceso efectivo a los procedimientos de recurso.

31.

A este respecto, el SEPD respalda el procedimiento mencionado en la sección 31 de los compromisos. Según este procedimiento, el Comisario para la protección de la vida privada de Canadá podrá tratar las reclamaciones que le sean presentadas por las autoridades responsables de la protección de los datos de los Estados miembros en nombre de los residentes en la Unión Europea. Según el SEPD, dicho procedimiento podría ser, en la práctica, aún más eficaz que un ius standi formal de los residentes europeos ante los tribunales canadienses.

32.

El SEPD extrae las siguientes conclusiones: