Comunicación de la Comisión al Consejo y al Parlamento Europeo - Transferencia de datos de los registros de nombres de los pasajeros (PNR): un enfoque global de la Unión Europea /* COM/2003/0826 final */
COMUNICACIÓN DE LA COMISIÓN AL CONSEJO Y AL PARLAMENTO EUROPEO - Transferencia de datos de los registros de nombres de los pasajeros (PNR): un enfoque global de la Unión Europea 1. Introducción y antecedentes Tras los atentados terroristas del 11 de septiembre de 2001, Estados Unidos adoptó textos legislativos en noviembre de 2001 en los que se exige que las compañías aéreas que tienen vuelos con destino, origen o escala en dicho país proporcionen a las autoridades aduaneras estadounidenses acceso electrónico a los datos incluidos en sus sistemas automatizados de reservas y control de salidas, denominados Passenger Name Records (PNR, registros de nombres de los pasajeros). La Comisión, aun reconociendo los legítimos intereses de seguridad en juego, informó a las autoridades de Estados Unidos ya en junio de 2002 de que tales requisitos podrían entrar en conflicto con la legislación comunitaria y de los Estados miembros relativa a la protección de datos [1], así como con determinadas disposiciones del Reglamento relativo a los sistemas informatizados de reserva (SIR) [2]. Las autoridades estadounidenses aplazaron la entrada en vigor de los nuevos requisitos, pero finalmente se negaron a renunciar a la imposición de sanciones a las compañías aéreas que no los cumplan después del 5 de marzo de 2003. Varias grandes compañías aéreas de la Unión Europea han venido proporcionando acceso a sus PNR desde entonces. [1] Véase en particular la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31). [2] Reglamento (CEE) nº 2299/89 del Consejo, de 24 de julio de 1989, por el que se establece un código de conducta para los sistemas informatizados de reserva, DO L 220 de 29.7.1989, p. 1, cuya última modificación la constituye el Reglamento (CE) nº 323/1999 del Consejo, de 8 de febrero de 1999, DO L 40 de 13.2.1999, p. 1. El 18 de febrero de 2003, la Comisión y el Gobierno de Estados Unidos hicieron pública una declaración conjunta en la que recordaban su interés común en combatir el terrorismo, exponían los compromisos iniciales sobre protección de datos acordados por las autoridades aduaneras estadounidenses y hacían constar el compromiso de las partes de proseguir las negociaciones con objeto de que la Comisión pueda adoptar una Decisión con arreglo al apartado 6 del artículo 25 de la Directiva 95/46/CE, relativa a la protección de datos, en la que se reconozca el carácter adecuado de la protección ofrecida a los datos transmitidos. Las negociaciones, pues, tuvieron por objeto acercar a las normas comunitarias la utilización y protección de los datos de los PNR por parte de Estados Unidos. Entre tanto, otros terceros países, como Canadá y Australia, han solicitado o se están planteando solicitar el acceso a los datos de los PNR. Algunos Estados miembros están estudiando también la posibilidad de utilizar tales datos con fines de seguridad aérea y fronteriza. En dos Resoluciones, de 13 de marzo de 2003 [3] y de 9 de octubre de 2003 [4], el Parlamento Europeo pidió a la Comisión que tome una serie de medidas relativas a la transferencia de datos de PNR a Estados Unidos con el fin de garantizar que se tengan en cuenta las preocupaciones europeas respecto a la protección de datos. [3] P5_TA(2003)0097. [4] P5_TA(2003)0429. La Comisión está de acuerdo con el Parlamento Europeo en que resulta necesario encontrar urgentemente una solución a los problemas derivados de la solicitud de datos de PNR de terceros países y en particular de Estados Unidos. Dicha solución debe ser sólida desde el punto de vista jurídico. Ha de garantizar la protección de los datos personales y la intimidad de los ciudadanos, pero asimismo su seguridad física. Debe estar firmemente ligada a la necesidad de combatir el terrorismo y la delincuencia organizada internacional. Debe poner fin a la incertidumbre jurídica de las compañías aéreas de Europa y del resto del mundo. Por último, debe facilitar los viajes con fines legítimos. No obstante, el enfoque de la Unión Europea no puede limitarse a responder a las iniciativas de otros. Una serie de Estados miembros han expresado asimismo su interés en acuerdos efectivos destinados a mejorar la seguridad aérea y fronteriza. Una iniciativa con objeto de establecer una solución multilateral, que constituye la única vía práctica para abordar las cuestiones del tráfico aéreo internacional, ha de fundamentarse en un enfoque comunitario. En la presente Comunicación se exponen los elementos del enfoque global de la Unión Europea que la Comisión considera necesarios. 2. Aspectos principales del enfoque global de la Unión Europea Para abordar de manera exhaustiva y equilibrada de todas las cuestiones que plantean en particular los instrumentos legislativos estadounidenses en los que se exige la transferencia de datos de PNR y responder además a las necesidades más amplias que se acaban de exponer, es necesario ponderar adecuadamente los factores siguientes: - la lucha contra el terrorismo y la delincuencia internacional, - el derecho a la intimidad y la protección de los derechos civiles fundamentales, - la necesidad de que las compañías aéreas cumplan los distintos requisitos legales con un coste aceptable, - las relaciones generales entre la Unión Europea y Estados Unidos, - la seguridad y comodidad de los pasajeros aéreos, - las preocupaciones relativas a la seguridad fronteriza, - el alcance realmente internacional, y de hecho mundial, de estas cuestiones. Todo enfoque unilateral o que no aborde todos los aspectos mencionados resultará desequilibrado e insostenible. Al mismo tiempo, la búsqueda de una solución verdaderamente exhaustiva no debe retrasar u obstaculizar la solución jurídica del problema de las transferencias actuales de PNR a Estados Unidos, por no hablar de la presión creciente que se ejerce sobre las compañías aéreas comunitarias que aún no ofrecen a Estados Unidos acceso a sus PNR. Por consiguiente, el enfoque múltiple de la Comisión consta de los principales aspectos siguientes: a. Un marco jurídico para las actuales transferencias de datos de PNR a Estados Unidos, que se establecerá mediante Decisión de la Comisión con arreglo al apartado 6 del artículo 25 de la Directiva sobre protección de datos (95/46/CE), que irá acompañada de un acuerdo internacional bilateral «ligero». b. Información a los pasajeros completa, exacta y ofrecida en el momento oportuno. Se ha emprendido un esfuerzo concertado en el que participan la Comisión, las compañías aéreas, las agencias de viajes, los SIR y las autoridades de protección de datos y, en su caso, las autoridades de los terceros países afectados, con objeto de que se proporcione a los pasajeros antes la compra de sus billetes información completa y exacta acerca de la utilización de sus datos del PNR y que aquellos den su consentimiento a la transferencia de dichos datos. c. Sustitución del método de acceso directo de las autoridades estadounidenses a las bases de datos de las compañías aéreas (pull) por el método de «transmisión» (push), provisto de los filtros pertinentes. Los debates técnicos de la Comisión con la industria están bastante avanzados. La Comisión recomendará la pronta aplicación de un «sistema de transmisión» en el marco de una política comunitaria. d. Desarrollo de una posición comunitaria referente al uso de los datos de los pasajeros, entre ellos los PNR, para la seguridad aérea y fronteriza. e. Creación de un marco multilateral para la transferencia de datos de los PNR dentro de la Organización de la Aviación Civil Internacional (OACI). 3. Exposición detallada de los elementos del enfoque global de la UE 3.1. Resultado de las negociaciones sobre transferencia de datos de los PNR entre la Unión Europea y Estados Unidos En su declaración conjunta de febrero de 2003, la Comisión y Estados Unidos se comprometieron a buscar una solución relativa a la transferencia de datos de los PNR que respete la legislación de ambas partes. En la declaración conjunta se establecía que la búsqueda de solución se centraría en la obtención de información y un mayor compromiso por parte de Estados Unidos, lo que permitiría a la Comisión hacer constar la «protección adecuada» con arreglo al apartado 6 del artículo 25 de la Directiva sobre protección de datos. El principal objetivo de la Comisión en esas negociaciones ha sido, pues, obtener los mejores niveles de protección de los datos personales que se transfieren desde la UE e integrarlos en un marco jurídico adecuado. Al mismo tiempo, la Comisión se ha esforzado por tener presentes los demás objetivos políticos ya mencionados (cooperación con Estados Unidos en la lucha contra el terrorismo y delitos conexos, facilitar los viajes con fines legítimos y garantizar a las compañías comunitarias condiciones de funcionamiento justas y viables). También ha procurado no afectar al desarrollo de una política comunitaria orientada al uso de datos de pasajeros internacionales en beneficio de la seguridad aérea y fronteriza de la UE, teniendo en cuenta además que los Estados miembros pueden legislar para establecer excepciones a determinados requisitos de protección de datos si resulta necesario por motivos de seguridad nacional o para garantizar el cumplimiento de la ley, tal como se establece en el artículo 13 de la Directiva sobre protección de datos. La Comisión había solicitado a las autoridades estadounidenses competentes la suspensión del cumplimiento de sus requisitos hasta que no se estableciera un marco jurídico sólido para dichas transferencias. En vista de la negativa de Estados Unidos, la opción de insistir en garantizar el cumplimiento de la ley por parte de la UE habría estado justificada políticamente, pero no habría favorecido los objetivos expuestos. Habría debilitado la influencia en Washington de posiciones más moderadas y dispuestas a cooperar y habría sustituido la influencia legítima que tenemos como socios cooperantes por una prueba de fuerza. Este enfoque ha dado frutos. Desde el inicio de la fase de cooperación en estos debates (marcado por la declaración conjunta de 18 de febrero de 2003), se han realizado progresos significativos en pos de la consecución de todos los objetivos enunciados. En concreto, la Comisión ha negociado con el Servicio de aduanas y protección de fronteras de Estados Unidos (Bureau of Customs and Border Protection, CBP) acuerdos de protección de datos en relación con los datos de PNR transferidos a Estados Unidos que representan una mejora sustancial. Dichos acuerdos constituyen el fundamento para un marco jurídico en forma de Decisión de la Comisión, en ejercicio de sus competencias con arreglo al apartado 6 del artículo 25 de la Directiva 95/46/CE, junto con un acuerdo internacional por el que se autorice a las compañías aéreas a tratar los requisitos de Estados Unidos como requisitos legales de la UE [5] y se obligue a dicho país a conceder un trato recíproco y asegurar las garantías procesales debidas a los ciudadanos comunitarios. [5] Además de la cuestión de la «protección adecuada» que se desprende del artículo 25 de la Directiva, también es preciso abordar las cuestiones jurídicas que se derivan de los artículos 4, 6 y 7 de la Directiva. La decisión en la que se hace constar el carácter adecuado de la protección se limita únicamente a eso. Por tanto, el acuerdo internacional propuesto resulta necesario para abordar otras cuestiones jurídicas. Desde el comienzo de las negociaciones en marzo de 2003, la Comisión ha podido obtener los compromisos siguientes de Estados Unidos: - Limitación clara de la cantidad de datos que pueden transferirse. Se trata de los datos relativos únicamente a los vuelos con destino, procedencia o escala en Estados Unidos. En lugar de todos los datos de los PNR, la solicitud estadounidense se limita ahora a una lista cerrada de 34 elementos. La regla general en la práctica es que la mayoría de los PNR individuales constan como máximo de 10 o 15 elementos; Estados Unidos se ha comprometido a no exigir a las compañías aéreas que recopilen datos en caso de que alguno de los 34 campos esté vacío. - Todas las categorías de datos sensibles definidas en el apartado 1 del artículo 8 de la Directiva sobre protección de datos [6] serán destruidas. La Comisión ha obtenido de Estados Unidos las garantías necesarias de que todos los datos personales que revelen el origen racial o étnico (por ejemplo, las preferencias alimenticias), el estado de salud, etc., serán eliminados y destruidos. [6] En el artículo 8 de la Directiva se establece la protección adicional de categorías especiales de datos, que, en el apartado 1 del artículo 8, se definen como «datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, así como ... los datos relativos a la salud o a la sexualidad». - Los usos a los que pueden destinarse los datos se han especificado más y restringido de manera significativa. La petición insistente de la Comisión (y del Parlamento Europeo) de que los usos queden limitados a la lucha contra el terrorismo y los delitos que estén o puedan estar vinculados con el mismo (con la exclusión de la delincuencia «interior») ha sido finalmente satisfecha. - Se ha obtenido una notable mejora por lo que respecta a la duración del almacenamiento de datos. Estados Unidos ha aceptado reducir a tres años y medio el período inicial de almacenamiento propuesto de cincuenta años. El período corresponde al período de vigencia, de tres años y medio, de todo el acuerdo. De este modo, la duración del período de conservación está ligada al período de vigencia del acuerdo. - El Congreso ha exigido el nombramiento de un Director responsable de la protección de la intimidad (Chief Privacy Officer, CPO) en el Departamento de Seguridad Interior (Department of Homeland Security, DHS), que dé cuenta de su gestión cada año al Congreso y cuyas conclusiones sean vinculantes para el Departamento. El CPO ha acordado recibir y tramitar con celeridad las protestas de las autoridades de protección de datos de la Unión Europea en nombre de los ciudadanos que consideren que su reclamación no ha sido resuelta de manera satisfactoria por el DHS. Por consiguiente, los ciudadanos comunitarios tendrán mayores garantías de recibir un trato justo. - El CBP ha acordado participar, con un equipo comunitario dirigido por la Comisión, en una revisión conjunta anual de la aplicación por Estados Unidos de sus Compromisos. De este modo se obtendrán valiosas indicaciones sobre la práctica efectiva en Estados Unidos y un medio para comprobar el cumplimiento de sus Compromisos. El proceso de revisión podría ser asimismo la base para una futura cooperación más estrecha con Estados Unidos en esta materia. El Departamento de Seguridad Interior estaba muy interesado en acordar un marco jurídico que cubriera el sistema CAPS II (sistema informatizado de investigación previa de los pasajeros) de la Administración para la Seguridad de los Transportes (Transportation Security Administration, TSA). La Comisión ha resistido con éxito a esta presión argumentando que únicamente podrá adoptar una posición una vez que los procedimientos internos de Estados Unidos hayan concluido y que resulte claro que las inquietudes del Congreso relativas a la intimidad por lo que respecta al sistema CAPS II se han resuelto. Por ello, el sistema CAPS II no se abordará hasta la segunda ronda de negociaciones. Además, la Comisión ha propuesto, y Estados Unidos ha aceptado, que todo marco jurídico será limitado en el tiempo y sólo se renovará si las dos partes lo acuerdan. El período de vigencia del acuerdo (constancia del carácter adecuado más acuerdo internacional «ligero») será de tres años y medio. Con esta duración se establecen las condiciones adecuadas para una revisión exhaustiva, según la experiencia de su aplicación y las novedades que se produzcan entre tanto, la cual se iniciará alrededor de un año antes de que concluya el período de vigencia del acuerdo. Para entonces, la UE habrá desarrollado su política relativa al uso de los PNR con fines de seguridad fronteriza y en los transportes y puede que también haya avanzado el debate en Estados Unidos sobre la privacidad de los datos. Por último, quizá también para entonces se haya instaurado un marco multilateral. La Comisión se dispone a poner en marcha los procedimientos necesarios para la adopción de una Decisión con arreglo al apartado 6 del artículo 25 y para la celebración de un acuerdo internacional. Con arreglo a los procedimientos en vigor, la Comisión se propone completar dichos procedimientos en marzo de 2004, aunque este calendario sólo podrá cumplirse si cooperan plenamente todas las partes interesadas. 3.2. Información a los pasajeros Los servicios de la Comisión han preparado, con la contribución de las autoridades de protección de datos [7] y del CBP estadounidense, un texto que se está enviando a las compañías aéreas, principalmente a través de la IATA, en calidad de modelo correspondiente a la información que ellas o sus agentes de viajes deberían proporcionar a los pasajeros antes de adquirir un billete para un vuelo a Estados Unidos. También se está tratando de que los SIR colaboren para garantizar la cobertura máxima de ventas de billetes, especialmente a través de las agencias de viajes. [7] Aunque se han recabado los comentarios de las autoridades de protección de datos y muchos de ellos se han incorporado, el Grupo de trabajo del artículo 29 se ha negado a adoptar o aprobar el texto, alegando que las transferencias de datos de PNR a Estados Unidos en cualquier caso son ilegales y no debería hacerse nada para desdibujar ese hecho. Un requisito en relación con la protección de datos importante en general, y especialmente en los casos en que es necesario el consentimiento, es que la información sea completa, correcta y se proporcione en el momento oportuno. El consentimiento únicamente puede considerarse válido si la persona posee la información necesaria. La jurisprudencia y las mejores prácticas exigen que únicamente se recurra al consentimiento si la persona tiene libertad de elección. En la situación actual, el Grupo de trabajo del artículo 29 expresó su opinión en el Dictamen 6/2002 de 24 de octubre de 2002 de que no se debería recurrir al consentimiento y que, por tanto, la excepción al requisito de «protección adecuada» que se establece en la letra a) del apartado 1 del artículo 26 de la Directiva («[cuando] el interesado haya dado su consentimiento inequívocamente a la transferencia prevista») no constituye una solución jurídica válida. La Comisión está de acuerdo en que una solución jurídica basada exclusivamente en el consentimiento sería deficiente desde el punto de vista de la protección de datos, pero, no obstante, considera que la información y una decisión informada por parte de los pasajeros forman una parte esencial de todo el conjunto de medidas. 3.3. Desarrollo del sistema de «transmisión» con filtros La introducción de un sistema de «transmisión» con filtros constituye otro elemento fundamental de un enfoque global. Un sistema de este tipo permitiría controlar en la UE los flujos de datos procedentes de las compañías aéreas o de los sistemas de reservas y destinados a las autoridades estadounidenses de la seguridad y, una vez que se alcance un acuerdo sobre los datos de que se trate, limitar la transferencia a lo estrictamente necesario para los fines de seguridad. La Comisión considera que es necesario desarrollar e introducir lo antes posible la tecnología de «transmisión» con filtros; asimismo, el Parlamento pidió a la Comisión en su Resolución de 9 de octubre que «tome las medidas necesarias para facilitar la puesta en práctica de sistemas de filtrado informático». Los servicios de la Comisión han mantenido un diálogo regular con las compañías aéreas durante varios meses en relación con la aplicación de dichos sistemas y han consultado a especialistas técnicos de distintas organizaciones y empresas de tecnologías de la información. Las compañías aéreas se muestran abiertas a la idea de implantar sistemas informatizados de filtrado (el denominado sistema de «transmisión»). Los servicios de la Comisión han tenido conocimiento de una serie de posibles soluciones tecnológicas, entre ellas la propuesta austriaca mencionada en la Resolución del Parlamento Europeo. Dichos servicios celebraron una segunda reunión técnica con expertos del sector y diversos proveedores de tecnología el 13 de noviembre. La conclusión que se extrajo fue que estos sistemas son viables desde el punto de vista técnico, pero aún es preciso determinar el modo óptimo de aplicarlos y supervisarlos. En la reunión también quedó claro que la mera aplicación de un sistema de «transmisión» no puede resolver el problema; es preciso además instalar filtros. Estos conllevan importantes costes para las compañías aéreas; por eso sería conveniente establecer una obligación legal que garantice que todas las compañías aéreas estén sujetas a los mismos requisitos. Las compañías aéreas han expresado también su preferencia por un sistema centralizado. Sería difícil plantear la obligación para las compañías, incluidas las estadounidenses, de adoptar un sistema de este tipo sin establecer la obligación legal de cumplirla. Sin embargo, actualmente no existe ningún acto legislativo o política de la Unión Europea que obligue a las compañías aéreas a transferir datos de los PNR de este modo. Un marco posible para el establecimiento de este sistema sería la instauración de una política comunitaria sobre la recogida de datos de los PNR con fines de seguridad o inmigración. De acuerdo con el calendario previsto para la creación de un marco político en este ámbito (véase el apartado 3.4), sería posible definir la vía que permita adoptar el sistema de «transmisión» con filtros para mediados de 2004. 3.4. Establecimiento de una posición comunitaria sobre el uso de datos de los PNR Las negociaciones con terceros países en torno a la transferencia de datos de los PNR deberían verse complementadas (y, en la medida de lo posible, precedidas) por el establecimiento de una política comunitaria sobre el uso de datos de los PNR o de los pasajeros de manera general en la Unión. Tal política deberá encontrar el equilibrio entre los distintos intereses en juego, en particular entre las preocupaciones legítimas respecto a la seguridad y la protección de los derechos fundamentales, incluido el derecho a la intimidad. En este contexto, el concepto de «limitación a una finalidad específica» recientemente acordado con Estados Unidos resulta ser un sólido fundamento para avanzar en la elaboración de un enfoque comunitario que abarque la lucha contra el terrorismo y la delincuencia organizada con ramificaciones internacionales. La lista de datos también parece suficientemente amplia para satisfacer las necesidades relacionadas con el cumplimiento de la ley en la UE. Por consiguiente, en los acuerdos celebrados con Estados Unidos no parece haber nada que dificulte el establecimiento de una política comunitaria pertinente. Tal como se señala al final del apartado 3.3, también hay una posible relación entre una futura política comunitaria sobre el uso de datos de los PNR o de otros datos de los pasajeros con fines de seguridad y de cumplimiento de la ley, y el desarrollo de un sistema de «transmisión» con filtros, especialmente si este sistema tiene un carácter centralizado. Una estructura centralizada dentro de la UE podría ofrecer las garantías necesarias por lo que respecta a la responsabilidad (exactitud de los datos), seguridad (medios tecnológicos, filtros) y supervisión (por ejemplo, un órgano común de supervisión) y representa un valor añadido para iniciativas análogas que se emprendan a nivel nacional en la UE. Por último, todo posible intercambio de información con las autoridades estadounidenses debería basarse en el principio de reciprocidad en la transferencia de datos entre la Unión Europea y Estados Unidos, aunque se considere la posibilidad de establecer la recogida y la transferencia controlada de datos de los PNR mediante una entidad europea central. La elaboración de una política comunitaria se encuentra aún en una fase inicial. Con objeto de poner en marcha la preparación de una posición comunitaria, la Comisión organizó el 9 de octubre de 2003 una reunión de expertos sobre los PNR, en la que participaron los servicios de la Comisión y autoridades de los Estados miembros encargadas de garantizar el cumplimiento de la ley y de la protección de datos. Se prevé que en las semanas y meses venideros se celebren nuevas reuniones con las autoridades encargadas de garantizar el cumplimiento de la ley. Los debates se centrarán en los pros y los contras de la instauración de un punto de contacto centralizado para el intercambio de datos con terceros países, las listas de datos que pueden considerarse pertinentes y necesarios, las condiciones mínimas de protección de datos exigidas, la evaluación general de los riesgos y los sistemas de tipología de los delincuentes. Se pretende presentar para mediados de 2004 una propuesta de Decisión marco sobre protección de datos en la cooperación entre autoridades encargadas de garantizar el cumplimiento de la ley, con objeto, entre otras cosas, de establecer un fundamento sólido para el examen por estas de datos comerciales, respetando al mismo tiempo las medidas de protección de datos que se establecen en la legislación comunitaria. En dicha Decisión marco se basará el establecimiento de una «política de información» destinada a las autoridades encargadas de garantizar el cumplimiento de la ley. La Decisión constituirá el eje de una política preventiva en el ámbito de la delincuencia organizada y el terrorismo, que abordará en concreto las garantías de los sistemas de tratamiento de datos y la reciprocidad del intercambio de los mismos. 3.5. Creación de un marco multilateral para la transferencia de datos de los PNR dentro de la Organización de la Aviación Civil Internacional (OACI). La transferencia de datos de los PNR es un problema verdaderamente internacional, y no únicamente bilateral. Por eso, la Comisión considera que la mejor solución sería una iniciativa multilateral y que la OACI sería el marco más adecuado para ello. En septiembre de 2003, la Comisión decidió acelerar los trabajos de elaboración de un acuerdo internacional para las transferencias de datos de los PNR en el ámbito de la OACI. Los servicios de la Comisión han preparado un documento de trabajo con este fin que la Comunidad y sus Estados miembros presentarán en breve plazo a la OACI. En el documento de trabajo, en el que se tendrán en cuenta los requisitos de seguridad aérea, control fronterizo y protección de datos personales y la proliferación de iniciativas de transferencia de datos de los PNR entre los Estados miembros de la OACI, se tratarán los siguientes aspectos: - el ámbito de los datos que podrán utilizarse para estos fines; - las prácticas a las que podrá recurrirse para recoger y tratar dichos datos; - las consecuencias técnicas relativas a los sistemas empleados de registro, tratamiento, almacenamiento y transferencia de los datos. Naturalmente, el documento de trabajo no deberá determinar de antemano el desarrollo de una política comunitaria en este ámbito (véase el apartado anterior), sino que seguirá las orientaciones de esta. En cualquier caso, esta iniciativa requerirá un consenso entre todas las partes que participan en la OACI y su consecución llevará algún tiempo. 4. Aplicación del Reglamento nº 2299/89 por la Comisión Por lo que respecta al Reglamento sobre los SIR, los servicios de la Comisión han examinado la situación durante varios meses con el fin de evaluar con precisión cómo funciona, desde el punto de vista técnico, el actual sistema de acceso a los datos, así como si el grado en que están implicados los SIR hace que sea aplicable el Reglamento nº 2299/89, por el que se establece un código de conducta para los sistemas informatizados de reserva. El examen, que culminó en una segunda reunión con la industria el 13 de noviembre de 2003, ha puesto de manifiesto que los SIR pueden estar tratando datos en calidad de contratistas en nombre de las compañías aéreas en lugar de actuar como SIR para estos fines. Será necesario aclarar mejor este aspecto antes de adoptar una posición definitiva acerca de la pertinencia de la aplicación del Reglamento. No obstante, dado que la Comisión ha recibido una denuncia con arreglo al artículo 11 del Reglamento (incoación de procedimientos para poner término a una infracción), está actuando con arreglo al artículo 12 (que faculta a la Comisión para recabar de las empresas toda la información necesaria) y ha remitido cartas a los SIR en las que les exige que informen acerca de si los vendedores de sistemas cumplen las disposiciones sobre protección de datos del Reglamento. 5. Conclusiones Dada la complejidad y la naturaleza multidimensional de las cuestiones en juego, la Comisión desea adoptar un enfoque global en relación con la transferencia de datos de los registros de nombres de los pasajeros que concilie los distintos elementos que se han expuesto. * Otorga una importancia primordial al pronto establecimiento de un marco jurídico sólido para las transferencias de datos de los PNR al Departamento de Seguridad Interior de Estados Unidos (Servicio de aduanas y protección de fronteras). * A partir de los resultados de las negociaciones con el Gobierno de Estados Unidos y dentro del conjunto de medidas que integran el enfoque global, la Comisión propone presentar dicho marco jurídico en forma de constancia del carácter adecuado con arreglo al apartado 6 del artículo 25 de la Directiva sobre protección de datos, acompañada de un acuerdo internacional con Estados Unidos, de conformidad con el primer párrafo del apartado 3 del artículo 300 del Tratado. Se consultará al Parlamento acerca de los dos elementos que integran esta solución, en ambos casos en función de los plazos que procedan. * La Comisión continuará también sus negociaciones con otros terceros países para establecer, en el plazo más breve posible, soluciones adecuadas que eliminen toda incompatibilidad jurídica. * Asimismo, continuará con ahínco su cooperación con las compañías aéreas y sus organizaciones representativas, así como con los SIR, para garantizar que los pasajeros reciban información completa y exacta antes de comprar sus billetes acerca de los usos que se harán de sus datos del PNR, de manera que puedan elegir con conocimiento de causa. La Comisión alentará enérgicamente a los operadores para que obtengan sistemáticamente el consentimiento de los pasajeros respecto a la transferencia de sus datos, en la medida de lo posible, pero considera que es necesario establecer un marco jurídico que no se base únicamente en el consentimiento. Recuerda su derecho de iniciativa para proponer la regulación del consentimiento a nivel comunitario si los operadores no logran aplicar soluciones eficaces en un plazo razonable. * La Comisión reafirma su decidido apoyo a la rápida implantación de la tecnología de «transmisión», acompañada de los filtros pertinentes para la transmisión de datos de los PNR a terceros países. Considera que un enfoque centralizado o agrupado ofrece ventajas evidentes respecto a un enfoque para cada compañía aérea, desde el punto de la eficacia y de los costes. Continuará estudiando de manera prioritaria las opciones posibles con la industria. En caso necesario, está preparada para emprender las iniciativas pertinentes para obtener fondos de los recursos existentes del presupuesto comunitario para apoyar el desarrollo de un sistema de este tipo. La Comisión se propone determinar el camino a seguir antes de mediados de 2004 como máximo. Una opción que cabe estudiar podría ser la implantación de un sistema de «transmisión» en el marco de un enfoque comunitario respecto al uso de los datos de los pasajeros con fines de seguridad fronteriza y aérea (véase a continuación). * La Comisión proseguirá de manera prioritaria las conversaciones que se han iniciado con los Estados miembros y otras partes interesadas (por ejemplo, Europol), con objeto de elaborar una primera propuesta para mediados de 2004 en la que se exponga un enfoque comunitario del uso de los datos de los pasajeros con fines de seguridad fronteriza y aérea y para garantizar el cumplimiento de la ley. Tal marco político deberá lograr un equilibrio entre las preocupaciones relativas a la seguridad, por una parte, y la protección de datos y las demás libertades civiles, por otra. * La Comisión va a poner en marcha una iniciativa internacional en relación con las transferencias de datos de los PNR bajo los auspicios de la OACI. Con este fin se transmitirá una propuesta al Consejo.