Accept Refuse

EUR-Lex Access to European Union law

This document is an excerpt from the EUR-Lex website

Document 52013XX1207(05)

Resumen del dictamen del Supervisor Europeo de Protección de Datos sobre la propuesta de la Comisión de Reglamento relativo a la notificación de sucesos en la aviación civil y por el que se derogan la Directiva 2003/42/CE, el Reglamento (CE) n ° 1321/2007 de la Comisión y el Reglamento (CE) n ° 1330/2007 de la Comisión, así como el artículo 19 del Reglamento (UE) n ° 996/2010

OJ C 358, 7.12.2013, p. 19–21 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
OJ C 358, 7.12.2013, p. 14–14 (HR)

In force

7.12.2013   

ES

Diario Oficial de la Unión Europea

C 358/19


Resumen del dictamen del Supervisor Europeo de Protección de Datos sobre la propuesta de la Comisión de Reglamento relativo a la notificación de sucesos en la aviación civil y por el que se derogan la Directiva 2003/42/CE, el Reglamento (CE) no 1321/2007 de la Comisión y el Reglamento (CE) no 1330/2007 de la Comisión, así como el artículo 19 del Reglamento (UE) no 996/2010

(El texto completo del presente dictamen puede encontrarse en inglés, francés y alemán en el sitio web del SEPD http://www.edps.europa.eu)

2013/C 358/11

1.   Introducción

1.1.   Consulta al Supervisor Europeo de Protección de Datos

1.

El 18 de diciembre de 2012, la Comisión adoptó una propuesta de Reglamento relativo a la notificación de sucesos en la aviación civil y por el que se derogan la Directiva 2003/42/CE, el Reglamento (CE) no 1321/2007 de la Comisión y el Reglamento (CE) no 1330/2007 de la Comisión, así como el artículo 19 del Reglamento (UE) no 996/2010 (en adelante, «la propuesta») (1). Dicha propuesta fue trasladada para consulta al SEPD el 8 de enero de 2013.

2.

El SEPD recibe con agrado el hecho de haber sido consultado de manera informal por la Comisión y de que se haya incluido una referencia al presente dictamen en el preámbulo de la propuesta. Antes de que fuera adoptada la propuesta, el SEPD pudo proporcionar observaciones informales a la Comisión.

1.2.   Objetivos y ámbito de aplicación de la propuesta

3.

Los tres instrumentos que la propuesta derogará organizan la notificación de sucesos del siguiente modo: la Directiva 2003/42/CE (2) obliga a los Estados miembros a establecer un sistema de notificación obligatoria de sucesos. En virtud de esta legislación, los profesionales de la aviación están obligados a informar de los sucesos (3) en el contexto de su actividad cotidiana a través del sistema establecido por su organización (4). Asimismo, los Estados miembros están obligados a recoger, almacenar, proteger y difundir entre sí información sobre los sucesos. Esta legislación se completa con dos normas de aplicación: el Reglamento (CE) no 1321/2007 de la Comisión (5), que establece un depósito central europeo que agrupa todos los sucesos de la aviación civil recogidos por los Estados miembros y el Reglamento (CE) no 1330/2007 de la Comisión (6), que establece las normas relativas a la difusión de la información incluida en el depósito central europeo.

4.

La propuesta está basada en la Directiva 2003/42/CE para mejorar los actuales sistemas de información de sucesos de la aviación civil tanto a nivel nacional como europeo. Entre otros cambios, propone los siguientes:

garantizar que se informa de todos los sucesos relevantes y que los datos notificados y almacenados sean completos y de alta calidad,

añadir un sistema voluntario de notificación al sistema obligatorio,

obligar no sólo a los Estados miembros sino también a las organizaciones a que notifiquen los sucesos y organicen la transmisión de dichos informes al depósito central europeo,

fomentar la notificación a través de una protección armonizada ante las represalias jerárquicas o las actuaciones judiciales contra las personas físicas que informan de los sucesos,

garantizar un acceso adecuado a la información incluida en el depósito central europeo.

1.3.   Objetivo del dictamen del SEPD

5.

De la propuesta se deriva que los empleados informarán de los sucesos a sus organizaciones, que los almacenarán en una base de datos y los notificarán a las autoridades nacionales competentes designadas o a la Agencia Europea de Seguridad Aérea (AESA). Estas autoridades, junto con la AESA y la Comisión, transmitirán la información sobre los sucesos de aviación civil al depósito central europeo. Además, la Comisión tratará los datos relativos a las partes interesadas que soliciten acceso a la información almacenada en dicho depósito.

6.

El SEPD reconoce el hecho de que el objetivo de la propuesta no es regular el tratamiento de los datos personales. Sin embargo, la información que se almacenará, notificará y transmitirá puede estar relacionada con personas físicas que son directa o indirectamente identificables, como los notificadores, los terceros implicados en el suceso del que se informa y las partes interesadas que solicitan acceso (7). La información que se comunica no solo puede referirse a problemas técnicos sino también, por ejemplo, a pasajeros violentos, incapacidad para la tripulación o incidentes de salud (8).

7.

Por lo tanto, el presente dictamen analizará los elementos de la propuesta que afectan al tratamiento de los datos personales. El dictamen está basado en un dictamen anterior del SEPD (9) sobre uno de los Reglamentos que la propuesta deroga (10).

4.   Conclusiones

46.

El SEPD recibe con agrado la atención prestada a la protección de los datos personales, en especial, mediante el compromiso adoptado de «desidentificar» la mayoría de los datos tratados en la comunicación de los sucesos. Sin embargo, recuerda que los datos tratados todavía son datos personales y, por tanto, recibe con satisfacción las referencias a la aplicabilidad de la legislación europea en materia de protección de datos. Lo que se prevé en muchos casos es la anonimización parcial.

47.

El SEPD recomienda que se aclare el ámbito de aplicación de la «desidentificación». Propone, en particular, las siguientes mejoras para el texto:

en el preámbulo, aclarar que la desidentificación, en el sentido de la propuesta, es relativa y que no representa una completa anonimización. además, de acuerdo con las recomendaciones anteriores, el preámbulo también debe explicar que la desidentificación y las medidas de anonimización completa se aplicarán en distintos contextos,

en el artículo 16: especificar que los datos puestos a disposición de gestores independientes también deben ser desidentificados o suprimidos lo antes posible, salvo si la necesidad de almacenamiento los datos está justificada, por ejemplo, para cumplir otras obligaciones legales de las organizaciones,

para aclarar el ámbito de aplicación de la desidentificación, el SEPD recomienda sustituir en el artículo 16, apartados 1 y 2, la expresión «datos personales» por «información personal» y añadir una referencia a la posibilidad de identificación mediante detalles técnicos, con arreglo al artículo 2, apartado 1,

el artículo 5, apartado 6, permite a los Estados miembros y a las organizaciones establecer sistemas de notificación adicionales. Debe especificarse que esta información también debe ser desidentificada. El SEPD recomienda, por lo tanto, aclarar en el artículo 16, apartado 2, que los datos personales incluidos en la seguridad de los sistemas de recogida y tratamiento de la información establecidos con arreglo al artículo 5, apartado 6, también deben ser desidentificados,

en el artículo 13, apartado 10: especificar que la información debe hacerse anónima (11) antes de ser publicada,

en el artículo 11, apartado 4: especificar que la información que se pone a disposición de las partes interesadas incluidas en el anexo III y que no esté relacionada con el equipo, las operaciones o el ámbito de actividad no solo debe estar agregada sino también desidentificada, tal como exige el artículo 11, apartado 4, sino que debe hacerse completamente anónima.

48.

El SEPD recomienda que se especifique en la propuesta quién será el responsable del tratamiento de cada base de datos. Recomienda asimismo definir en los anexos I y II, en el artículo 5, apartado 6, todas las categorías de datos que se tratarán y aclarar el artículo 7, apartado 1, y el artículo 11, apartado 1, de la manera correspondiente. Si no es posible especificar todos los sucesos y los campos de datos que se tratarán con arreglo al artículo 7, apartado 1, el artículo 5, apartados 3 y 6, y el artículo 11, apartado 1, estos artículos deberían mencionar al menos que la información adicional que la propuesta no exige no debe incluir categorías especiales de datos, tal como define el artículo 8 de la Directiva 95/46/CE y el artículo 10 del Reglamento (CE) no 45/2001 («datos sensibles»).

49.

El SEPD recomienda asimismo que se especifiquen los períodos en que los datos se almacenarán en las bases de datos, los derechos de los interesados y las medidas de seguridad que se implantarán.

50.

En los casos de transferencias a organizaciones de terceros países u organizaciones internacionales, éstas deben comprometerse a respetar las garantías apropiadas que se proporcionarán en un instrumento vinculante. Estas garantías podrían estar basadas en los principios de protección de los datos incluidos en las cláusulas contractuales tipo para las transferencias de datos personales a terceros países adoptadas por la Comisión y podrían añadirse al anexo de la propuesta.

51.

Por lo que al tratamiento de los datos de las partes interesadas que solicitan acceso al depósito central europeo se refiere, el SEPD recomienda que la propuesta especifique las medidas de protección de datos que se aplicarán al tratamiento de los datos relativos a terceros (por ejemplo, durante cuánto tiempo se almacenarán los datos después de conceder o denegar el acceso y quién tendrá acceso a dichos datos). Asimismo, el formulario incluido en el anexo IV debería incluir, aparte del aviso sobre el acceso a la información (12), un aviso de privacidad.

52.

Por último, el preámbulo debería justificar la necesidad de tratar datos sensibles para cualquiera de los motivos incluidos en el artículo 8, apartados 2 a 4, de la Directiva 95/46/CE y el artículo 10, (apartados 2 a 4) del Reglamento (CE) no 45/2001. El SEPD recomienda asimismo adoptar garantías adicionales por lo que al tratamiento de las categorías especiales de datos se refiere, como medidas de seguridad más estrictas, la prohibición de divulgar las categorías de datos relacionadas a terceros que no están sometidos a la legislación europea en materia de protección de datos y la restricción de su difusión a otras partes interesadas. Asimismo, el tratamiento de dichas categorías de datos podrá estar sujeto a un control previo por parte del SEPD y de las autoridades nacionales de protección de datos de la UE.

Hecho en Bruselas, el 10 de abril de 2013.

Giovanni BUTTARELLI

Supervisor Europeo de Protección de Datos Adjunto


(1)  C(2012) 776 final.

(2)  Directiva 2003/42/CE del Parlamento Europeo y del Consejo, de 13 de junio de 2003, relativa a la notificación de sucesos en la aviación civil (DO L 167 de 4.7.2003, p. 23).

(3)  Los sucesos son acontecimientos de seguridad significativos, que incluyen los incidentes, los accidentes y los incidentes graves (véase el artículo 2, apartado 8, de la propuesta).

(4)  El término «organización» se define en la propuesta como «cualquier organización que ofrezca productos o servicios en el sector de la aviación y, en particular, los operadores de aeronaves, las organizaciones de mantenimiento aprobadas, las organizaciones responsables del diseño de tipo o de la fabricación de aeronaves, los proveedores de servicios de navegación aérea y los aeródromos certificados» (véase el artículo 2, apartado 9, de la propuesta).

(5)  Reglamento (CE) no 1321/2007 de la Comisión, de 12 de noviembre de 2007, por el que se establecen disposiciones de aplicación para la integración en un depósito central de la información sobre sucesos de la aviación civil (DO L 294 de 13.11.2007, p. 3).

(6)  Reglamento (CE) no 1330/2007 de la Comisión, de 24 de septiembre de 2007, por el que se establecen disposiciones de aplicación para la difusión a las partes interesadas de la información sobre sucesos de la aviación civil (DO L 295 de 14.11.2007, p. 7).

(7)  Sobre los datos personales, véase en especial la sección 3.1.

(8)  Véase el anexo I de la propuesta «Lista de los incidentes que deben notificarse en virtud del sistema de notificación obligatoria de sucesos».

(9)  Véase el dictamen del SEPD sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo sobre la investigación y prevención de accidentes e incidentes en la aviación civil (DO C 132 de 21.5.2010, p. 1).

(10)  Reglamento (UE) no 996/2010 del Parlamento Europeo y del Consejo, de 20 de octubre de 2010, sobre investigación y prevención de accidentes e incidentes en la aviación civil y por el que se deroga la Directiva 94/56/CE Texto pertinente a efectos del EEE (DO L 295 de 12.11.2010, p. 35).

(11)  Esto es, asegurar que las personas físicas no son identificables, teniendo en cuenta el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona para identificar a dicha persona.

(12)  Punto 7 del anexo IV.


Top