52007PC0654

Propuesta de decisión marco del Consejo sobre utilización de datos del registro de nombres de los pasajeros (Passenger Name Record - PNR) con fines represivos {SEC(2007) 1422} {SEC(2007) 1453} /* COM/2007/0654 final - CNS 2007/0237 */


[pic] | COMISIÓN DE LAS COMUNIDADES EUROPEAS |

Bruselas, 6.11.2007

COM(2007) 654 final

2007/0237 (CNS)

Propuesta de

DECISIÓN MARCO DEL CONSEJO

sobre utilización de datos del registro de nombres de los pasajeros (Passenger Name Record - PNR) con fines represivos

(presentada por la Comisión) {SEC(2007) 1422}{SEC(2007) 1453}

EXPOSICIÓN DE MOTIVOS

1. CONTEXTO DE LA PROPUESTA

Motivación y objetivos de la propuesta

El terrorismo constituye actualmente una de las mayores amenazas para la seguridad, la paz, la estabilidad, la democracia y los derechos fundamentales, valores en los que se funda la Unión Europea, y representa también una amenaza directa para los ciudadanos europeos. La amenaza del terrorismo no está restringida a zonas geográficas específicas. Los terroristas y las organizaciones terroristas pueden estar tanto dentro de las fronteras de la UE como fuera de ellas, y han demostrado sobradamente su capacidad de cometer atentados y actos de violencia en cualquier continente y contra cualquier país. El informe 2007 de Europol sobre el terrorismo en Europa (« EU Terrorism Situation and Trend Report 2007 ») demuestra que casi todas las campañas terroristas son transnacionales. Está claro que los aspectos interior y exterior de la lucha contra el terrorismo están relacionados entre sí y que, para garantizar la eficacia de las medidas, es necesaria una estrecha colaboración y se debe reforzar el intercambio de información entre los Estados miembros y sus respectivos servicios, así como con Europol y, si procede, con las autoridades competentes de terceros países.

Desde el 11 de septiembre de 2001, las autoridades represivas en todo el mundo han podido comprobar el valor añadido que la recogida y el análisis de los datos PNR (datos que figuran en los expedientes de los pasajeros) aportan en la lucha contra el terrorismo y la delincuencia organizada. Los datos PNR están relacionados con los desplazamientos, generalmente por vía aérea, e incluyen los datos del pasaporte, nombres y apellidos, dirección, números de teléfono, agencia de viajes, número de la tarjeta de crédito, historial de cambios del plan de vuelo, preferencias de asiento y demás información. En general no figuran todos los datos sino sólo los datos PNR suministrados por un pasajero determinado al hacer la reserva o en el momento de la facturación y del embarque. Procede observar que las compañías aéreas ya registran los datos PNR de los pasajeros para sus propios fines comerciales, pero no así las otras compañías de transporte. La recogida y el análisis de datos PNR permite que las autoridades encargadas de aplicar la ley identifiquen a personas potencialmente muy peligrosas y tomen las medidas adecuadas.

Hasta la fecha, sólo un número limitado de Estados miembros ha adoptado la legislación destinada a crear mecanismos para obligar a las compañías aéreas a proporcionar los datos PNR pertinentes y permitir que dichos datos sean analizados por las autoridades competentes. Esto significa que las posibles ventajas de un programa para el conjunto de la Unión Europea en materia de prevención del terrorismo y de la delincuencia organizada no han llegado a concretarse plenamente.

Contexto general

Actualmente, en el contexto de la lucha contra el terrorismo y la delincuencia organizada transnacional sólo se han celebrado acuerdos en materia de transmisión de datos PNR entre la UE y los Estados Unidos y Canadá, y éstos se limitan al transporte por vía aérea. En virtud de dichos acuerdos, las compañías aéreas, que ya registraban los datos PNR de los pasajeros para sus propios objetivos comerciales, están obligadas a comunicar estos datos a las autoridades competentes de los EE.UU. y de Canadá. El intercambio de información con estos terceros países ha permitido a la UE valorar los datos PNR y explotar su potencial con fines represivos. Además, la UE ha podido sacar partido de la experiencia de dichos terceros países en la utilización de los datos PNR, así como de las enseñanzas del proyecto experimental del Reino Unido. Más concretamente, durante los dos años de funcionamiento de este proyecto experimental, el Reino Unido ha podido proceder a numerosas detenciones, identificar redes de trata de seres humanos y obtener inestimable información relacionada con el terrorismo.

El Consejo Europeo del 25-26 de marzo de 2004 invitó a la Comisión a presentar una propuesta para un enfoque común de la UE en cuanto a la utilización de los datos de los pasajeros con fines represivos. Esta invitación se reiteró en dos ocasiones: el 4 y 5 de noviembre de 2004 en el programa de La Haya, y en la reunión extraordinaria del Consejo de 13 de julio de 2005. También se anunció una política europea en este ámbito en la Comunicación de la Comisión, de 16 de diciembre de 2003, «Transferencia de datos de los registros de nombres de los pasajeros (PNR): un enfoque global de la Unión Europea».

Disposiciones vigentes en el ámbito de la propuesta

Actualmente, en virtud de la Directiva 2004/82/CE del Consejo, las compañías aéreas tienen la obligación de comunicar a las autoridades competentes de los Estados miembros los datos de información anticipada sobre pasajeros ( Advance Passenger Information , API). Esta medida está destinada a proporcionar a las autoridades encargadas del control fronterizo un medio para reforzarlo y luchar contra la inmigración ilegal. Con arreglo a dicha Directiva, los Estados miembros deben tomar las medidas nacionales necesarias para obligar a las compañías aéreas a transmitir información referente a los pasajeros de un vuelo, a petición de las autoridades responsables de proceder al control de las personas en las fronteras exteriores. Dicha información sólo se refiere a los datos API, que son datos esencialmente biográficos. Estos datos incluyen el número y tipo de documento de viaje utilizado, la nacionalidad, el nombre y apellidos completos, la fecha de nacimiento, el puesto fronterizo de entrada, el código de transporte, los horarios de salida y llegada del transporte, el número total de pasajeros transportados y el lugar de embarque inicial. La información contenida en los datos API también puede ayudar a identificar a terroristas y delincuentes conocidos al contrastar si sus nombres aparecen en un sistema de alerta como el SIS.

A efectos de la lucha contra el terrorismo y la delincuencia organizada, la información contenida en los datos API sólo permite identificar a terroristas y delincuentes conocidos mediante la utilización de sistemas de alerta. Puesto que proceden de pasaportes, los datos API son datos oficiales y exactos en grado suficiente sobre la identidad de una persona. Los datos PNR en cambio contienen más elementos y se dispone de ellos antes que de los datos API. Dichos elementos son muy importantes para proceder a evaluaciones del riesgo que puedan entrañar las personas, obtener información y establecer vínculos entre personas conocidas y desconocidas.

Coherencia con otras políticas y objetivos de la Unión

La propuesta coincide plenamente con el objetivo global de crear un espacio europeo de libertad, seguridad y justicia. También cumple las disposiciones relacionadas con los derechos fundamentales, especialmente en cuanto a la protección de los datos personales y la intimidad de las personas interesadas.

2. CONSULTA DE LAS PARTES INTERESADAS Y EVALUACIÓN DE IMPACTO

Consulta de las partes interesadas

Métodos de consulta utilizados, principales sectores de consulta y perfil general de los consultados

En el marco de las negociaciones sobre transferencia de los datos PNR a los Estados Unidos y de los datos API y PNR a Canadá se organizaron varias reuniones y consultas. Además de las reuniones organizadas por los servicios de la Comisión con asociaciones de compañías de transporte aéreo y representantes de los sistemas de reserva por ordenador, tres reuniones, organizadas bajo los auspicios del Foro Europeo de Prevención de la Delincuencia Organizada, se dedicaron a estudiar la posibilidad de una iniciativa destinada a definir una política de la UE sobre la utilización de los datos de los pasajeros.

A efectos de la preparación de esta propuesta, los servicios de la Comisión consultaron asimismo a todos los agentes interesados mediante un cuestionario que se les envió en diciembre de 2006. Posteriormente, la Comisión invitó a los representantes de los Estados miembros a una reunión, que se celebró en Bruselas el 2 de febrero de 2007 y durante la cual los representantes de los Estados miembros pudieron proceder a un intercambio de opiniones.

El cuestionario se envió a:

- todos los Estados miembros

- las autoridades de protección de datos de los Estados miembros

- el Supervisor Europeo de Protección de Datos

- la Asociación de Compañías Aéreas Europeas (ACAE)

- la Air Transport Association of America (asociación de transporte aéreo de EE.UU.)

- la Asociación Internacional de Chárters Aéreos (IACA)

- la Asociación Europea de Compañías Aéreas Regionales (ERA)

- la Asociación de Transporte Aéreo Internacional (IATA)

Se recibieron respuestas de 24 Estados miembros; las autoridades nacionales de protección de datos de los Estados miembros enviaron una respuesta conjunta. También se recibieron respuestas del Supervisor Europeo de Protección de Datos, de Air Transport Association of America, la Asociación Internacional de Chárters Aéreos (IACA), la Asociación de Compañías Aéreas Europeas (ACAE), la Asociación Europea de Compañías Aéreas Regionales (ERA) y de la Asociación de Transporte Aéreo Internacional (IATA). LOT Polish Airlines y Austrian Airlines también contestaron.

Las autoridades de protección de datos de los Estados miembros, reunidas como órgano consultivo de la Comisión bajo los auspicios del Grupo de Trabajo del Artículo 29, también emitieron varios dictámenes sobre la utilización de datos PNR.

Resumen de las respuestas y forma en que se han tenido en cuenta

El proceso de consulta ejerció una influencia considerable en la elaboración de la propuesta legislativa. Más específicamente, dicha influencia se plasmó en:

- La elección de la opción política: de las respuestas al cuestionario que se recibieron se desprendía que la mayoría de los Estados miembros son claramente favorables a un instrumento legislativo que regule un enfoque común de la UE en este ámbito. El Grupo de Trabajo del Artículo 29 no estaba convencido de la necesidad de la propuesta y, por consiguiente, se opuso a ella; no obstante, observó que si su necesidad quedase establecida o si varios Estados miembros se propusieran organizar sistemas nacionales para los datos PNR, sería preferible armonizar dichas medidas a escala de la UE.

- El ámbito de la propuesta en cuanto a las modalidades de transporte se refiere: la mayoría de las partes consultadas convino en que el ámbito de la propuesta debe limitarse al transporte aéreo.

- Ámbito geográfico de la propuesta: la mayoría de las partes consultadas opina que el ámbito geográfico de la propuesta debería limitarse a los vuelos procedentes de terceros países con destino a la UE y de la UE con destino a terceros países.

- Utilización y objeto de la recogida de datos PNR: la recogida de datos PNR sólo debería utilizarse en el marco del tercer pilar, es decir, para prevenir y combatir el terrorismo y los delitos relacionados, y otros delitos graves, incluida la delincuencia organizada transnacional.

- Período de conservación de datos: se decidió por consenso que, en pro de la eficacia del sistema, los datos deberían conservarse durante un período de cinco años, a menos que se utilicen para la investigación de un delito o en una operación de inteligencia.

- Instancia destinataria de los datos PNR: la mayoría de los Estados miembros son favorables a la idea de que reciba los datos una unidad de información sobre pasajeros (Passengers Information Unit) designada en cada Estado miembro, mientras que algunos Estados miembros preferirían una unidad centralizada de la UE que reciba los datos de las compañías aéreas de todos los Estados miembros.

- Modalidades de transmisión de los datos: todas las partes consultadas prefieren la modalidad de transmisión push a la modalidad pull . La principal diferencia entre estas dos modalidades es que en el método push la compañía aérea transmite los datos a la autoridad nacional, mientras que en la modalidad pull la autoridad nacional tiene acceso al sistema de reservas de la compañía aérea y toma los datos directamente de éste.

- Ulteriores transferencias de los datos PNR: la mayoría de las partes consultadas es favorable a la idea de que los datos PNR se transmitan a las autoridades nacionales competentes y a las de los demás Estados miembros. Algunos Estados miembros son favorables a la idea de que los datos se transmitan también a las autoridades competentes de terceros países.

Obtención y utilización de asesoramiento técnico

No ha sido necesario recurrir a asesoramiento técnico externo.

Evaluación de l impacto

Para la evaluación del impacto, se examinaron dos opciones principales con diversas variables: opción del statu quo y opción de una propuesta legislativa. Además, la opción de fomentar la cooperación entre los Estados miembros en este ámbito se rechazó en un primer momento por considerarse que esta opción no lograría los resultados esperados. Algunos Estados miembros sugirieron ampliar el ámbito de la propuesta de modo que también abarcase el transporte marítimo y por ferrocarril. Esta opción también se rechazó rápidamente por motivos de coste y porque actualmente se carece de sistemas para recoger los datos pertinentes.

La evaluación del impacto concluyó que la opción preferida es una propuesta legislativa con un sistema descentralizado para el tratamiento de los datos. La opción política del statu quo no ofrece posibilidad alguna de incrementar la seguridad en la UE. Al contrario, vista la evolución actual en este ámbito, tendría repercusiones negativas ocasionadas por las dificultades administrativas que generaría la existencia de numerosos sistemas divergentes.

La opción política de una propuesta legislativa ofrece de forma evidente la ventaja de incrementar la seguridad al reducir el riesgo de que en el territorio de la Unión Europea se produzcan atentados terroristas, delitos graves o actos de delincuencia organizada transnacional. Por otra parte, esta opción permitiría armonizar los diversos aspectos de los sistemas de transferencia y utilización de datos PNR y las garantías a las personas en cuanto a la protección de su derecho a la intimidad.

Entre la política del statu quo y la política de la propuesta legislativa, esta última presenta ventajas evidentes.

Entre las dos opciones consideradas para una propuesta legislativa, la de la recogida de datos descentralizada presenta más ventajas que la opción centralizada desde el punto de vista del incremento de la seguridad en la UE. La opción de la recogida de datos centralizada supondría un riesgo elevado de fracaso por la enorme cantidad de datos que recibiría una sola unidad centralizada y por las complicaciones relacionadas con los diversos tipos de tratamiento que habría que efectuar. Además, para que una unidad de estas características pudiese funcionar debería tener acceso a varias bases de datos nacionales de todos los Estados miembros.

Por lo que se refiere a las repercusiones de la propuesta en las relaciones con terceros países, no puede excluirse la posibilidad de que algunos países soliciten el acceso recíproco a los datos PNR relativos a vuelos procedentes de la UE y con destino a sus territorios aunque, en la práctica, semejante probabilidad sea muy lejana. Los acuerdos existentes entre la Unión Europea y los EE.UU. y Canadá sobre datos PNR establecen esta reciprocidad, que puede aplicarse automáticamente.

La Comisión procedió a una evaluación del impacto tal como se indicaba en el programa de trabajo[1].

3. ASPECTOS JURÍDICOS DE LA PROPUESTA

Resumen de la s medidas propuestas

La propuesta se propone armonizar las disposiciones de los Estados miembros relativas a la obligación de las compañías aéreas que efectuen vuelos hacia o desde el territorio de un Estado miembro por lo menos de transmitir los datos PNR a las autoridades competentes con el fin de prevenir los atentados terroristas y la delincuencia organizada y luchar contra ellos. En virtud de la propuesta, todo tratamiento de datos PNR se regulará con arreglo a la Decisión marco del Consejo (xx/xx) sobre la protección de los datos personales tratados en el marco de la cooperación policial y judicial en materia penal.

Base jurídica

El Tratado de la Unión Europea y, en particular, el artículo 29, el artículo 30, apartado 1), letra b), y el artículo 34, apartado 2, letra b).

Principio de subsidiariedad

El principio de subsidiariedad se aplica a las acciones de la Unión.

Los Estados miembros no pueden alcanzar por sí mismos los objetivos de la propuesta por los motivos que se exponen a continuación.

La razón principal por la que los Estados miembros no podrían alcanzar estos objetivos es que, por sí solos, no podrían armonizar en grado suficiente las obligaciones legales que deberían imponerse en este ámbito a todas las compañías aéreas con vuelos hacia el territorio de la Unión Europea o procedentes de éste.

La acción aislada de los Estados miembros no redundaría en su interés ya que no podrían estar seguros de obtener de las autoridades de otros Estados miembros los datos PNR pertinentes, lo que sólo puede garantizar un sistema a escala de la Unión.

La actuación comunitaria facilitará la consecución de los objetivos de la propuesta por los motivos que se indican a continuación.

El enfoque armonizado permite garantizar el intercambio de información pertinente a escala de la UE. El enfoque a escala europea también permite disponer de un enfoque armonizado de cara al resto del mundo.

El indicador cualitativo que demuestra que la Unión tiene más posibilidades de alcanzar el objetivo es una acción más eficaz en la lucha contra el terrorismo y la delincuencia organizada.

La propuesta se atiene, pues, al principio de subsidiariedad.

Principio de proporcionalidad

La propuesta se ajusta al principio de proporcionalidad por las razones siguientes.

El ámbito de la propuesta se limita exclusivamente a los elementos que requieren un enfoque armonizado de la UE, es decir, la definición de las tareas de las unidades encargadas de los PNR, los elementos de datos que deberán recogerse, los fines para los cuales la información podrá utilizarse, la transferencia de datos entre unidades de los Estados miembros encargadas de los PNR y las condiciones técnicas necesarias para dicha transferencia.

La acción propuesta es una Decisión marco que deje el máximo ámbito de actuación posible a los responsables nacionales. Optar por un sistema descentralizado significa también que los Estados miembros podrán elegir cómo y dónde crear su sistema PNR y decidir los aspectos técnicos de éste. La armonización se limitará estrictamente a los aspectos indispensables como, por ejemplo, los aspectos técnicos de los sistemas de comunicación necesarios para intercambiar datos con otros Estados miembros.

Optar por un sistema descentralizado minimiza la carga financiera y administrativa de la Comunidad. Crear y mantener un sistema centralizado a escala europea para la recogida y tratamiento de los datos supondría unos costes considerables.

Instrumentos elegidos

Instrumentos propuestos: decisión marco basada en el artículo 34, apartado 2, letra b), del Tratado UE.

Otros instrumentos no serían adecuados por la razón que se expone a continuación.

Como el objetivo consiste en aproximar las legislaciones de los Estados miembros, los demás instrumentos distintos de la decisión marco no serían adecuados.

REPERCUSIONES PRESUPUESTARIAS

La propuesta no tiene incidencia en el presupuesto comunitario.

Información adicional

Simulación, fase piloto y per íodo transitorio

Ha habido o habrá un período transitorio para la propuesta.

Cláusula de reconsideración/de revisión/de expiración

La propuesta incluye una cláusula de re consideración.

2007/0237 (CNS)

Propuesta de

DECISIÓN MARCO DEL CONSEJO

sobre utilización de datos del registro de nombres de los pasajeros (Passenger Name Record - PNR) con fines represivos

EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de la Unión Europea y, en particular, su artículo 29, su artículo 30, apartado 1, letra b), y su artículo 34, apartado 2, letra b),

Vista la propuesta de la Comisión[2],

Visto el dictamen del Parlamento Europeo[3],

Considerando lo siguiente:

(1) El Consejo Europeo adoptó, el 25 de marzo de 2004[4], la declaración sobre la lucha contra el terrorismo por la que se invita a la Comisión, entre otras cosas, a presentar una propuesta de planteamiento común de la UE de la utilización de los datos de los pasajeros a efectos represivos.

(2) Se invitó, además, a la Comisión a presentar una propuesta sobre la utilización de los datos PNR en el Programa de La Haya[5] y en la reunión extraordinaria del Consejo de 13 de julio de 2005[6].

(3) Uno de los objetivos de la Unión Europea es ofrecer un grado elevado de seguridad y protección en un espacio de libertad, seguridad y justicia; esto requiere que la prevención y la lucha contra los delitos de terrorismo y la delincuencia organizada se efectúen de la manera adecuada. Las definiciones de delitos de terrorismo y delincuencia organizada se han tomado de los artículos 1 a 4 de la Decisión marco 2002/475/JAI del Consejo, de 13 de junio de 2002, sobre la lucha contra el terrorismo[7] y del artículo 2 de la Decisión marco (xx/xx) del Consejo sobre la lucha contra la delincuencia organizada[8], respectivamente.

(4) El 29 de abril de 2004, el Consejo adoptó la Directiva 2004/82/CE sobre la obligación de los transportistas de comunicar los datos de las personas transportadas[9] que se propone mejorar los controles fronterizos y combatir la inmigración ilegal mediante la transmisión previa de los datos de los pasajeros por las compañías aéreas a las autoridades nacionales competentes.

(5) Por la información que contienen, los datos PNR permiten prevenir y luchar contra los delitos de terrorismo y contra la delincuencia organizada, incrementando con ello la seguridad internacional. Las obligaciones impuestas a las compañías aéreas en virtud de esta Decisión marco deberían ser distintas de las que impone la Directiva 2004/82/CE.

(6) Las compañías aéreas ya recogen los datos PNR para sus propios fines comerciales, y la presente Decisión marco no les impone ninguna obligación de recoger información adicional o de conservar dato alguno.

(7) Para prevenir o combatir los delitos de terrorismo y la delincuencia organizada es esencial que todos los Estados miembros introduzcan disposiciones que impongan obligaciones a las compañías aéreas con vuelos hacia o desde el territorio de uno o de varios Estados miembros de la Unión Europea; los vuelos intracomunitarios no deberían estar regulados con arreglo a la presente Decisión marco, excepto los tramos de vuelo entre dos aeropuertos de la UE que formen parte de un vuelo internacional.

(8) Para prevenir o combatir los delitos de terrorismo y la delincuencia organizada, es necesario poner a disposición de las autoridades nacionales competentes los datos PNR, con arreglo a las disposiciones de la presente Decisión marco, y dicha disponibilidad deberá ser proporcional al legítimo objetivo de seguridad que se persigue.

(9) El período de conservación de los datos PNR por las autoridades nacionales competentes debería ser proporcional a los fines perseguidos; es decir, la prevención y la lucha contra los delitos de terrorismo y la delincuencia organizada. En razón del carácter de dichos datos y de su utilización, conviene que éstos se conserven durante un período suficiente para que puedan elaborarse indicadores de riesgo y diseñarse esquemas de desplazamiento y de comportamiento. Para evitar un uso desproporcionado, pasados unos años se procederá a desplazar estos datos a una base inactiva a la que sólo se tendrá acceso en condiciones muy estrictas y limitadas, lo que permitirá, al propio tiempo, mantener la posibilidad de acceder a los datos cuando así lo exijan circunstancias excepcionales debidamente especificadas. También es conveniente permitir la prórroga del período de conservación de los datos cuando éstos se utilicen en una investigación penal o en un procedimiento judicial en curso.

(10) La Decisión marco (xx/xx) del Consejo sobre la protección de datos personales en el marco de la cooperación policial y judicial en materia penal debería ser aplicable al tratamiento de todos los datos personales efectuado en virtud de la presente Decisión marco. Los derechos de las personas afectadas por el tratamiento de datos, como el derecho a la información, el derecho de acceso, el derecho de rectificación, supresión y bloqueo de los datos, así como los derechos de indemnización y recurso judicial deberían ser los que establece la presente Decisión marco.

(11) Para que la obligación impuesta a las compañías aéreas de poner a disposición los datos PNR sea efectiva, los Estados miembros deberían fijar sanciones disuasorias, eficaces y proporcionadas, incluso pecuniarias, contra las compañías aéreas que no se atengan a esta obligación. Los Estados miembros deberían tomar todas las medidas necesarias para que las compañías aéreas puedan cumplir sus obligaciones con arreglo a la Decisión marco. En caso de infracciones graves y repetidas que pudieran ser perjudiciales a los objetivos fundamentales de la presente Decisión marco, las sanciones podrían incluir medidas como la inmovilización, el embargo o la incautación de los medios de transporte, la suspensión provisional o la retirada de la licencia de explotación. Estas sanciones sólo deberían imponerse en casos excepcionales.

(12) Los datos PNR recogidos por las compañías aéreas deberán ponerse a disposición de las autoridades nacionales competentes.

(13) Como tanto desde un punto de vista jurídico como técnico, las disposiciones nacionales sobre datos, incluidos los datos PNR, son divergentes, las compañías aéreas deberán hacer frente a requisitos diferentes en cuanto al tipo de información que deben transferir así como en cuanto a las condiciones en las que las autoridades nacionales competentes podrán acceder a dicha información.

(14) Estas diferencias podrían obstaculizar la cooperación entre autoridades nacionales competentes en el ámbito de la prevención y de la lucha.

(15) En su Comunicación de 16 de diciembre de 2003 «Transferencia de datos de los registros de nombres de los pasajeros (PNR): Un enfoque global de la Unión Europea»[10] la Comisión resumió los elementos básicos de una política de la UE en este ámbito; también apoyó y aportó una contribución activa a la tarea emprendida en el ámbito de la iniciativa multilateral de la OACI que dio lugar al desarrollo de las directrices de la OACI sobre los datos PNR; dichas directrices deberían tenerse en cuenta; si se adoptasen a escala exclusivamente nacional, o incluso comunitaria, sin tener en cuenta la necesidad de coordinación y de cooperación internacional, las medidas tendrían efectos limitados; por consiguiente, las medidas adoptadas por la Unión Europea en este ámbito deberían ser compatibles con los trabajos que se están llevando a cabo en los foros internacionales.

(16) En la actualidad, se dispone de dos métodos de transferencia de datos: el método pull , en el que las autoridades competentes del Estado que solicita los datos pueden acceder al sistema de reserva de la compañía aérea y extraer ( pull ) una copia de los datos requeridos, y el método push en el que las compañías aéreas transfieren ( push ) los datos PNR solicitados a la autoridad requirente. Se considera que el método push ofrece un grado mayor de protección de los datos y que debería ser obligatorio para todas las compañías de transporte aéreo establecidas en la Unión. En cuanto a las compañías de transporte aéreo de terceros países, debería darse preferencia al método push siempre que sea técnica, económica y operativamente posible para las compañías de dichos países.

(17) Los datos PNR solicitados por un Estado miembro deberían transferirse a una sola unidad representativa del Estado miembro requirente.

(18) El contenido de las listas de datos PNR solicitadas que deban transferirse a las autoridades nacionales competentes deberá reflejar un equilibrio apropiado entre las legítimas exigencias de los poderes públicos destinadas a prevenir y luchar contra los delitos de terrorismo y la delincuencia organizada reforzando con ello la seguridad interior en la UE, y la protección de los derechos fundamentales de los ciudadanos, especialmente el derecho a la intimidad; esta lista no debería incluir datos personales que puedan revelar el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, pertenencia a sindicatos o datos sobre la salud u orientación sexual de los interesados; los datos PNR contienen información detallada sobre la reserva y el itinerario de viaje del pasajero que permite a las autoridades competentes identificar a los pasajeros que representan un riesgo para la seguridad interior.

(19) Con el fin de incrementar la seguridad interior del conjunto de la Unión Europea, cada Estado miembro debería ser responsable de la evaluación de posibles riesgos relacionados con delitos de terrorismo y con la delincuencia organizada. El Comité que establece la presente Decisión marco debería elaborar directrices para fijar unos criterios generales comunes aplicables a dicha evaluación de riesgos.

(20) Como principio fundamental de la protección de datos, procederá asegurarse de que las autoridades competentes de los Estados miembros se abstengan de tomar medidas represivas basándose exclusivamente en el tratamiento informático de los datos PNR o por motivos relacionados con la raza o el origen étnico de una persona, sus creencias religiosas o filosóficas, sus opiniones políticas o su orientación sexual.

(21) En función de las necesidades, los Estados miembros deberían compartir con otros Estados miembros los datos PNR que reciban. Las transferencias de datos PNR a terceros países y la comprobación del nivel adecuado de protección de los datos deberían ser reguladas por la Decisión marco del Consejo (xx/xx) sobre la protección de datos personales tratados en el ámbito de la cooperación policial y judicial en materia penal, y deberían, además, estar sujetas a requisitos adicionales relativos a la finalidad de la transferencia. Cuando existan acuerdos internacionales celebrados por la Unión sobre dichas transferencias de datos, las disposiciones de tales acuerdos deberán tenerse debidamente en cuenta.

(22) Los Estados miembros deberían asegurarse de que se utilicen los medios tecnológicos más avanzados para la transferencia por las compañías aéreas de los datos PNR pertinentes a las autoridades nacionales competentes con objeto de garantizar, en la medida de lo posible, la seguridad de los datos transmitidos.

(23) Como los objetivos de la presente Decisión marco no pueden ser logrados de forma suficiente sólo mediante la actuación de los Estados miembros y, por consiguiente, por la magnitud y los efectos de dicha actuación, pueden lograrse mejor a escala de la Unión Europea, el Consejo puede adoptar medidas con arreglo al principio de subsidiariedad que se define en el artículo 5 del Tratado CE y al que se hace referencia en el artículo 2 del Tratado de la UE. Con arreglo al principio de proporcionalidad enunciado en el artículo 5 del Tratado CE, la presente Decisión marco no excede de lo necesario para alcanzar esos objetivos.

(24) La presente Decisión marco respeta los derechos fundamentales y observa los principios reconocidos, en particular, por la Carta de los Derechos Fundamentales de la Unión Europea,

HA ADOPTADO LA PRESENTE DECISIÓN MARCO:

CAPÍTULO I

DISPOSICIONES GENERALES

Artículo 1

Objetivos

La presente Decisión marco regula la puesta a disposición de las autoridades competentes de los Estados miembros de los datos PNR de los pasajeros de los vuelos internacionales por parte de las compañías aéreas a efectos de la prevención y lucha contra los delitos terroristas y la delincuencia organizada, así como la recogida y conservación de tales datos por parte de dichas autoridades y su intercambio entre ellas.

Artículo 2

Definiciones

A efectos de la presente Decisión Marco, se entenderá por:

(a) «compañía aérea», una empresa con una licencia de explotación válida u otro permiso equivalente;

(b) «vuelo internacional», cualquier vuelo programado para entrar en el territorio de por lo menos un Estado miembro de la Unión Europea procedente de un tercer país o para salir del territorio de por lo menos un Estado miembro de la Unión Europea con destino final en un tercer país;

(c) «registro de nombres de los pasajeros (Passenger Name Record, PNR)», una relación de los requisitos de viaje impuestos a cada pasajero, que incluye toda la información necesaria para el tratamiento y el control de las reservas por parte de las compañías aéreas que las realizan y participan en el sistema PNR, por cada viaje reservado por una persona o en su nombre. En el contexto de esta Decisión marco, se entenderá por datos PNR los datos descritos en el anexo I y únicamente en la medida en que sean recabados por las compañías aéreas;

(d) «pasajero», toda persona transportada o que va a ser transportada a bordo de un avión, distinta de los miembros de la tripulación, con el consentimiento de la compañía aérea;

(e) «sistemas de reservas», el sistema de control interno de la compañía aérea en el cual se recaban los datos PNR a partir de las reservas efectuadas a través de sistemas informatizados de reserva con arreglo a la definición del Reglamento 2299/89, por el que se establece un código de conducta para los sistemas informatizados de reservas, o por canales de reserva directa como las páginas web de las compañías aéreas, los centros de llamada o los puntos de venta;

(f) «método push », método por el cual las compañías aéreas transmiten los datos PNR requeridos a la base de datos de la autoridad requirente;

(g) «método pull », método por el cual la autoridad requirente puede acceder al sistema de reservas de la compañía aérea y copiar los datos requeridos en su propia base de datos;

(g) «delitos de terrorismo», los delitos con arreglo a las legislaciones nacionales a que se refieren los artículos 1 a 4 de la Decisión marco 2002/475/JAI del Consejo sobre la lucha contra el terrorismo[11];

(i) «delincuencia organizada», los delitos según las legislaciones nacionales a que se refiere el artículo 2 de la Decisión marco del Consejo (xx/xx) sobre la lucha contra la delincuencia organizada[12].

CAPÍTULO II

RESPONSABILIDADES DE LOS ESTADOS MIEMBROS

Artículo 3

Unidad de Información sobre Pasajeros

1. En el plazo de doce meses a partir de la entrada en vigor de la presente Decisión marco, cada Estado miembro designará a una autoridad competente, en lo sucesivo denominada «Unidad de Información sobre Pasajeros», e informará de ello a la Comisión y a la Secretaría General del Consejo mediante una declaración; podrá en todo momento actualizar su declaración. La Comisión publicará esta información en el Diario Oficial de la Unión Europea.

2. La Unidad de Información sobre Pasajeros será responsable de la recogida de los datos PNR de las compañías aéreas, o de los intermediarios con arreglo a los artículos 5 y 6, relativos a los vuelos internacionales desde o hacia el territorio de los Estados miembros en los que preste servicios. En la medida en que los datos PNR de un pasajero que se hayan recogido incluyan datos adicionales que no figuran en el anexo I o categorías especiales de datos personales que puedan revelar el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, la afiliación sindical o datos relativos a la salud o la vida sexual de la persona afectada, la Unidad de Información sobre Pasajeros borrará tales datos inmediatamente.

3. La Unidad de Información sobre Pasajeros deberá asimismo proceder a un análisis de los datos PNR y a una evaluación del riesgo que puedan entrañar los pasajeros con objeto de identificar a las personas que requieran un examen más detallado a uno de los efectos mencionados en el apartado 5. Los criterios y garantías por lo que se refiere a esta evaluación del riesgo se regirán por la legislación nacional. Ni las Unidades de Información sobre Pasajeros ni las autoridades competentes de los Estados miembros adoptarán medidas represivas únicamente en razón del tratamiento automatizado de datos PNR ni en razón del origen racial o étnico, las creencias religiosas o filosóficas, las opiniones políticas o la orientación sexual del pasajero.

4. La Unidad de Información sobre Pasajeros de un Estado miembro transmitirá los datos PNR de las personas identificadas en virtud del apartado 3 a las autoridades competentes de los Estados miembros a que se refiere el artículo 4 por medios electrónicos o, en caso de imposibilidad, por cualquier otro medio apropiado.

5. Los datos PNR de los pasajeros sólo podrán ser tratados por las Unidades de Información sobre Pasajeros y por las autoridades competentes de los Estados miembros a que se refiere el artículo 4, con objeto de prevenir o combatir los delitos de terrorismo y la delincuencia organizada, con los siguientes objetivos:

- identificar a las personas que estén o puedan estar implicadas en un delito de terrorismo o de delincuencia organizada, así como a sus cómplices;

- crear y actualizar indicadores de riesgo para la evaluación de tales personas;

- proporcionar información sobre pautas de viaje y otras tendencias relacionadas con los delitos terroristas y la delincuencia organizada;

- utilizar tal información en investigaciones y procesos penales por delitos de terrorismo y delincuencia organizada.

Las Unidades de Información sobre Pasajeros y las autoridades competentes no tomarán ninguna medida de ejecución exclusivamente sobre la base del tratamiento automatizado de datos PNR.

6. Dos o más Estados miembros podrán establecer o designar a la misma autoridad para que ejerza como su Unidad de Información sobre Pasajeros. Tales Unidades de Información sobre Pasajeros se considerarán la Unidad de Información sobre Pasajeros nacional de todos los Estados miembros en cuestión.

Artículo 4

Autoridades competentes

1. Cada Estado miembro aprobará una lista de autoridades competentes facultadas para recibir datos PNR de las Unidades de Información sobre Pasajeros y tratar dichos datos.

2. Las autoridades competentes serán exclusivamente las autoridades responsables de prevenir o combatir los delitos de terrorismo y la delincuencia organizada.

3. Cada Estado miembro notificará la lista de sus «autoridades competentes» en una declaración a la Comisión y a la Secretaría General del Consejo en el plazo de doce meses a partir de la entrada en vigor de la presente Decisión marco, y podrá actualizar en todo momento su declaración. La Comisión publicará las declaraciones en el Diario Oficial de la Unión Europea.

Artículo 5

Obligaciones de las compañías aéreas

1. Los Estados miembros adoptarán las medidas necesarias para garantizar que las compañías aéreas pongan los datos PNR de los pasajeros de los vuelos internacionales a disposición de la Unidad de Información sobre Pasajeros del Estado miembro en cuyo territorio tenga su punto de destino u origen, o esté en tránsito, el citado vuelo internacional, con arreglo a las condiciones especificadas en la presente Decisión marco.

2. Las compañías aéreas pondrán a disposición de la Unidad de Información sobre Pasajeros los datos PNR especificados en el anexo I en la medida en que hayan sido recabados y tratados en sistemas de reservas de compañías aéreas.

3. Las compañías aéreas pondrán tales datos a disposición por medios electrónicos o, en caso de imposibilidad, por cualquier otro medio apropiado:

(a) por anticipado, 24 horas antes de la salida programada del vuelo

e

(b) inmediatamente después del cierre de vuelo.

La Unidad de Información sobre Pasajeros pertinente podrá exigir a una compañía aérea que ponga los datos PNR a su disposición con anterioridad al plazo de 24 horas antes de la salida programada del vuelo cuando haya datos que indiquen que este acceso precoz es necesario para ayudar a contrarrestar una amenaza específica relacionada con delitos de terrorismo y delincuencia organizada. En el ejercicio de esta facultad discrecional, la Unidad de Información sobre Pasajeros actuará con proporcionalidad.

4. Las compañías aéreas cuyas bases de datos estén establecidas en un Estado miembro de la Unión Europea adoptarán las medidas técnicas necesarias para asegurarse de que los datos PNR se transfieran a las Unidades de Información sobre Pasajeros, o a los intermediarios designados con arreglo al artículo 6, utilizando el método push.

5. Las compañías aéreas cuyas bases de datos no estén establecidas en un Estado miembro de la Unión Europea:

- deberán utilizar el método push para transferir los datos a las Unidades de Información sobre Pasajeros, o a los intermediarios designados con arreglo al artículo 6;

- cuando no posean la arquitectura técnica necesaria para utilizar el método push , deberán permitir que la Unidad de Información sobre Pasajeros, o el intermediario designado con arreglo al artículo 6, extraiga los datos de sus bases con el método pull .

En todos los casos, deberán comunicar a las Unidades de Información sobre Pasajeros y a los intermediarios pertinentes de todos los Estados miembros cuál de los dos métodos utilizarán para transferir los datos.

6. Los Estados miembros garantizarán que las compañías aéreas informen a los pasajeros de los vuelos internacionales del suministro de los datos PNR a la Unidad de Información sobre Pasajeros y, en su caso, al intermediario, del objetivo del tratamiento de dichos datos, del período de conservación y la posible utilización de éstos para prevenir o combatir delitos terroristas o la delincuencia organizada, así como de la posibilidad de intercambiar y compartir los datos.

Artículo 6

Intermediarios

1. Los Estados miembros se asegurarán de que las compañías aéreas que explotan vuelos internacionales puedan designar a un intermediario a quien suministrarán los datos PNR de los pasajeros en vez de ponerlos directamente a disposición de las Unidades de Información sobre Pasajeros, sin perjuicio de lo dispuesto en los apartados 2 a 6.

2. Las compañías aéreas que entablen relaciones contractuales con tales intermediarios notificarán inmediatamente los acuerdos correspondientes a las Unidades de Información sobre Pasajeros de todos los Estados miembros. Los intermediarios actuarán en nombre de la compañía aérea que les haya designado y se considerarán representantes de dicha compañía a efectos de la presente Decisión marco.

3. Los intermediarios designados por las compañías aéreas serán responsables de la recogida de los datos PNR de las compañías aéreas. En la medida en que los datos PNR de un pasajero que se hayan recogido incluyan datos adicionales de los incluidos en el anexo I o categorías especiales de datos personales que puedan revelar el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, la afiliación sindical, o datos relativos a la salud o la vida sexual de la persona afectada, el intermediario borrará tales datos inmediatamente.

4. Asimismo, los intermediarios transmitirán los datos PNR a la Unidad nacional de Información sobre Pasajeros del Estado miembro en cuyo territorio tenga su punto de destino u origen, o esté en tránsito, el vuelo internacional de que se trate, por medios electrónicos o, en caso de imposibilidad, por cualquier otro medio apropiado. La transmisión de tales datos a la Unidad de Información sobre Pasajeros se hará utilizando el método push .

5. Los intermediarios mantendrán sus bases de datos y llevarán a cabo el tratamiento de datos PNR exclusivamente en el territorio de la Unión Europea.

6. Se prohibirá a los intermediarios el tratamiento de los datos obtenidos de las compañías aéreas y transmitidos a la Unidad de Información sobre Pasajeros para cualquier objetivo distinto de los mencionados en el presente artículo; borrarán los datos inmediatamente después de su transmisión a la Unidad de Información sobre Pasajeros pertinente.

Artículo 7

Intercambio de información

1. Los Estados miembros garantizarán que los datos PNR de las personas identificadas por una Unidad de Información sobre Pasajeros en virtud del artículo 3, apartado 3, sean transmitidos por esa Unidad de Información sobre Pasajeros a las Unidades de Información sobre Pasajeros de otros Estados miembros solamente en los casos y en la medida en que dicha transmisión sea necesaria para prevenir y combatir los delitos de terrorismo y la delincuencia organizada. Las Unidades de Información sobre Pasajeros de los Estados miembros receptores conservarán los datos PNR con arreglo al artículo 9 y los transmitirán a sus autoridades competentes designadas con arreglo al artículo 4.

2. La Unidad de Información sobre Pasajeros, o cualesquiera autoridades competentes de un Estado miembro designadas, tendrán derecho a solicitar a la Unidad de Información sobre Pasajeros de cualquier otro Estado miembro que, con arreglo al artículo 9, apartado 1, les facilite datos PNR específicos que se encuentren en una base de datos activa de esta última. La solicitud podrá basarse en uno o varios datos, tal y como considere apropiado la Unidad requirente para prevenir o combatir delitos de terrorismo o de delincuencia organizada. Las Unidades de Información sobre Pasajeros responderán a tales solicitudes en cuanto estén en condiciones de extraer tales datos.

3 Cuando un Estado miembro solicite datos PNR específicos de otro Estado miembro que se conserven en una base de datos inactiva con arreglo al artículo 9, apartado 2, la solicitud se dirigirá a la autoridad que sea responsable de la base de datos que contenga los datos PNR, y se presentará únicamente en circunstancias excepcionales en respuesta a una amenaza específica y real relacionada con la prevención o lucha contra los delitos de terrorismo y la delincuencia organizada. El acceso a estos datos se limitará al personal de las autoridades competentes autorizado de manera específica a tal efecto.

4. En circunstancias excepcionales, cuando haya una indicación de que el acceso precoz es necesario para ayudar a contrarrestar una amenaza específica y real relacionada con la prevención o la lucha contra los delitos de terrorismo y la delincuencia organizada, la Unidad de Información sobre Pasajeros de un Estado miembro o las autoridades competentes designadas tendrán derecho a solicitar a la Unidad de Información sobre Pasajeros de otro Estado miembro que le facilite datos PNR de los vuelos con origen o destino en el territorio de este último con anterioridad al plazo de 24 horas antes de la salida programada del vuelo.

Artículo 8

Transferencia de datos hacia terceros países

1 Además de las condiciones y salvaguardias contenidas en la Decisión marco del Consejo relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal, un Estado miembro solamente podrá solicitar datos PNR a las autoridades represivas de un tercer país si tiene la seguridad de que:

(a) las autoridades del tercer país solamente utilizarán los datos a efectos de la prevención y lucha contra delitos de terrorismo y delincuencia organizada,

(b) el tercer país no transferirá los datos a otro tercer país sin el consentimiento expreso del Estado miembro.

2. Además, estas transmisiones deberán ajustarse al Derecho nacional del Estado miembro afectado y a cualesquiera acuerdos internacionales aplicables.

Artículo 9

Período de conservación de los datos

1. Los Estados miembros se asegurarán de que los datos PNR proporcionados por las compañías aéreas o los intermediarios a la Unidad de Información sobre Pasajeros se mantengan en una base de datos en la Unidad de Información sobre Pasajeros durante un período de cinco años a partir de su transferencia a la Unidad de Información sobre Pasajeros del primer Estado miembro en cuyo territorio tenga su punto de destino u origen, o esté en tránsito, el vuelo internacional.

2. Cuando expire el período de cinco años a partir de la transferencia de los datos PNR a la Unidad de Información sobre Pasajeros a que se refiere el apartado 1, los datos se mantendrán por otro período de ocho años. Durante este período, únicamente se podrá acceder a los datos PNR —y éstos solo podrán ser tratados y utilizados— con la aprobación de la autoridad competente y en circunstancias excepcionales en respuesta a una amenaza o riesgo específico y real relacionado con la prevención y lucha contra los delitos de terrorismo y la delincuencia organizada. El acceso a estos datos se limitará al personal de las autoridades competentes autorizado de manera específica a tal efecto.

3. Los Estados miembros se asegurarán de que los datos PNR se borren de las bases de datos de su Unidad de Información sobre Pasajeros cuando expire el período de ocho años especificado en el apartado 2.

4. No obstante lo dispuesto en los apartados 1, 2 y 3, se permitirá a las Unidades de Información sobre Pasajeros conservar los datos PNR por períodos más largos cuando los datos estén siendo utilizados para una investigación penal de un delito de terrorismo o delincuencia organizada de la que sea objeto o en la que esté implicada la persona afectada. Estos datos se borrarán de todos los registros y expedientes una vez concluida dicha investigación.

Artículo 10

Sanciones

Los Estados miembros garantizarán, de conformidad con su Derecho nacional, que se establezcan sanciones disuasorias eficaces y proporcionadas, que incluirán sanciones pecuniarias, contra las compañías aéreas y los intermediarios que no transmitan datos o transmitan datos incompletos o erróneos o infrinjan de otro modo las disposiciones nacionales adoptadas con arreglo a la presente Decisión marco. En caso de infracciones graves repetidas, estas sanciones incluirán medidas como la inmovilización, el embargo o la incautación de los medios de transporte o la suspensión o retirada de la licencia de explotación.

CAPÍTULO III

PROTECCIÓN DE DATOS PERSONALES

Artículo 11

Protección de datos personales

1. Los Estados miembros garantizarán que la Decisión marco del Consejo relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal (2005/XX/JAI)[13] sea aplicable al tratamiento de datos personales con arreglo a la presente Decisión marco.

2. Los datos que, con arreglo a la presente Decisión marco, reciban las Unidades de Información sobre Pasajeros, los intermediarios y las autoridades competentes designadas de todos los Estados miembros se tratarán exclusivamente a efectos de la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo o de la delincuencia organizada.

3. Las Unidades de Información sobre Pasajeros y las autoridades competentes de los Estados miembros no adoptarán ninguna medida represiva únicamente en razón del tratamiento automatizado de datos PNR ni en razón del origen racial o étnico, las creencias religiosas o filosóficas, las opiniones políticas o la orientación sexual de una persona.

Artículo 12

Seguridad de los datos

Los Estados miembros garantizarán que las Unidades de Información sobre Pasajeros, los intermediarios y las autoridades competentes de cada Estado miembro adopten las medidas de seguridad necesarias con respecto a los datos PNR que se traten con arreglo a la presente Decisión marco, a fin de:

a) proteger físicamente los datos;

b) denegar el acceso de personas no autorizadas a las instalaciones nacionales en las que el Estado miembro almacene los datos (controles en la entrada a la instalación);

c) impedir que los soportes de datos puedan ser leídos, copiados, modificados o retirados por personas no autorizadas (control de los soportes de datos);

d) impedir la inspección, modificación o supresión no autorizada de los datos personales almacenados (control del almacenamiento de datos);

e) impedir el tratamiento no autorizado de los datos (control del tratamiento de datos);

f) garantizar que las personas autorizadas a acceder a los datos sólo tengan acceso a los datos amparados por su autorización de acceso y mediante identificaciones de usuario individuales y únicas y claves de acceso confidenciales (control del acceso a los datos);

g) garantizar que todas las autoridades competentes con acceso a los datos creen perfiles en los que se describan las funciones y responsabilidades de las personas autorizadas a acceder, incorporar, actualizar, borrar y buscar los datos y los pongan inmediatamente a disposición de las autoridades nacionales de supervisión cuando lo soliciten (perfiles del personal);

h) garantizar que se pueda verificar y comprobar a qué organismos pueden transmitirse datos personales mediante equipos de comunicación de datos (control de las comunicaciones);

i) impedir la lectura y la copia no autorizadas de los datos personales durante su transmisión, en especial mediante protocolos comunes apropiados y normas de cifrado (control del transporte);

CAPÍTULO IV

COMITOLOGÍA

Artículo 13

Protocolos comunes y normas de cifrado

1. Hasta que transcurra el plazo mencionado en el apartado 6 del presente artículo, todas las transmisiones de datos PNR a efectos de la presente Decisión marco se efectuarán por medios electrónicos o, en caso de imposibilidad, por cualesquiera otros medios apropiados.

2. Una vez transcurrido el plazo mencionado en el apartado 6 del presente artículo, todas las transmisiones de datos PNR a efectos de la presente Decisión marco se efectuarán por medios electrónicos utilizando métodos seguros comunes a todas las transmisiones a fin de garantizar la seguridad de los datos durante la transmisión y su legibilidad por todas las partes afectadas, lo que incluirá:

a) protocolos comunes, y

b) normas comunes de cifrado.

3. Los protocolos y las normas comunes de cifrado se establecerán y, en su caso, se adaptarán de conformidad con el procedimiento previsto en el artículo 15.

4. En caso de indisponibilidad de la vía de transmisión a que se refieren los apartados 2 y 3, el apartado 1 seguirá siendo aplicable durante el tiempo en que persista esa indisponibilidad.

5. Cada Estado miembro se asegurará de que se lleven a cabo las modificaciones técnicas necesarias para poder utilizar los protocolos y las normas comunes de cifrado para todas las transmisiones de datos PNR realizadas a efectos de la presente Decisión marco. Los Estados miembros notificarán a la Comisión la fecha a partir de la cual podrán llevarse a cabo tales transmisiones. La Comisión informará inmediatamente de ello al Comité que se menciona en el artículo 14.

6. Las modificaciones técnicas mencionadas en el apartado 5 se llevarán a cabo en el plazo de un año a partir de la fecha de adopción de los protocolos comunes y las normas de cifrado.

7. Las medidas necesarias para la aplicación de los apartados 2 y 3 se adoptarán de conformidad con el procedimiento a que se refiere el artículo 15.

Artículo 14

Procedimiento del Comité

1. Asistirá a la Comisión un Comité integrado por representantes de los Estados miembros y presidido por el representante de la Comisión (en adelante «el Comité»).

2. El Comité aprobará su reglamento interno a propuesta de su presidente basándose en el reglamento interno estándar publicado en el Diario Oficial de la Unión Europea.

3. Podrá hacer las recomendaciones que considere adecuadas a sus miembros en cuanto a la adopción de protocolos comunes y normas comunes de cifrado que se utilizarán en todas las transferencias de datos PNR en virtud de la presente Decisión marco, así como sobre los requisitos generales comunes, los métodos y las prácticas que deberán aplicarse a la evaluación del riesgo con arreglo al artículo 3, apartado 3.

Artículo 15

Procedimiento

1. Cuando se haga referencia al presente artículo, el representante de la Comisión presentará al Comité un proyecto de las medidas que deban adoptarse. El Comité emitirá su dictamen sobre dicho proyecto en un plazo que el presidente podrá fijar en función de la urgencia. El dictamen se emitirá según la mayoría prevista en el artículo 205, apartado 2, del Tratado constitutivo de la Comunidad Europea para las decisiones que el Consejo deba adoptar a propuesta de la Comisión. Los votos de los representantes de los Estados miembros en el seno del Comité se ponderarán de la forma establecida en el mencionado artículo. El presidente participará en la votación.

2. La Comisión adoptará las medidas previstas cuando sean conformes al dictamen del Comité.

3. Si las medidas previstas no son conformes al dictamen del Comité o en caso de que no se haya emitido dictamen, la Comisión presentará sin demora al Consejo una propuesta relativa a las medidas que deban adoptarse e informará de ello al Parlamento Europeo.

4. El Consejo se pronunciará por mayoría cualificada sobre la propuesta, en el plazo de tres meses a partir de la fecha en que le sea sometida.

Si dentro de ese plazo el Consejo, por mayoría cualificada, manifiesta que se opone a la propuesta, la Comisión la examinará nuevamente. La Comisión podrá presentar al Consejo una propuesta modificada, volver a presentar su propuesta o presentar una propuesta legislativa basada en el Tratado.

Si transcurrido el plazo el Consejo no adopta el acto de ejecución propuesto ni manifiesta su oposición a la propuesta de medidas de ejecución, la Comisión adoptará el acto de ejecución propuesto.

CAPÍTULO V

DISPOSICIONES FINALES

Artículo 16

Ejecución

1. Los Estados miembros tomarán las medidas necesarias para dar cumplimiento a lo dispuesto en la presente Decisión marco antes del 31 de diciembre de 2010. Para esa misma fecha, los Estados miembros deberán haber transmitido a la Secretaría General del Consejo y a la Comisión el texto de las disposiciones de incorporación a su Derecho nacional de las obligaciones que se desprenden de la presente Decisión marco, así como una tabla de correlación entre esas disposiciones y la Decisión marco.

Cuando los Estados miembros adopten dichas disposiciones, éstas harán referencia a la presente Decisión marco o irán acompañadas de dicha referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de la mencionada referencia.

2. Sobre la base de un informe elaborado a partir de esa información y de un informe escrito de la Comisión, el Consejo deberá verificar antes del 31 de diciembre de 2011 en qué medida los Estados miembros han dado cumplimiento a lo dispuesto en la presente Decisión marco.

Artículo 17

Reconsideración

Sobre la base de la información proporcionada por los Estados miembros, la Comisión procederá al examen de la aplicación de la Decisión marco y, en un plazo de tres años después de la entrada en vigor de la presente Decisión marco, presentará un informe al Consejo. El estudio deberá referirse a todos los elementos de la Decisión marco, dedicándose especial atención a la aplicación del «método push », al grado de observancia de las garantías relativas a la protección de datos, la evaluación del plazo de conservación de estos y la calidad de las evaluaciones de riesgos.

Artículo 18

Datos estadísticos

1. Los Estados miembros se asegurarán de que se pueda disponer de una serie de estadísticas sobre los datos PNR comunicados a las unidades de información sobre pasajeros.

2. Estas estadísticas deberán incluir, como mínimo, por compañía aérea y destino, información cuantitativa sobre los elementos de información, las identificaciones de personas de alto riesgo y las subsiguientes medidas represivas en que se hayan utilizado datos PNR.

3. En estas estadísticas no deberá figurar información personal alguna. Deberán transmitirse anualmente a la Secretaría General del Consejo y a la Comisión.

Artículo 19

Relaciones con otros actos

1. Los Estados miembros podrán seguir aplicando los acuerdos bilaterales o multilaterales u otros acuerdos en vigor cuando se adopte esta Decisión marco, siempre y cuando dichos convenios o acuerdos sean compatibles con los objetivos de la Decisión marco.

2. Los Estados miembros podrán celebrar o poner en vigor acuerdos bilaterales o multilaterales u otros acuerdos después de la entrada en vigor de la presente Decisión marco, siempre y cuando dichos acuerdos sean compatibles con los objetivos de la Decisión marco.

Artículo 20

Entrada en vigor

La presente Decisión marco entrará en vigor el día siguiente al de su publicación en el Diario Oficial de la Unión Europea .

Hecho en Bruselas, el

Por el Consejo

El Presidente

ANEXO I

Datos PNR con arreglo al artículo 2

Datos para todos los pasajeros

1. Código del localizador PNR (registro de nombres de los pasajeros)

2. Fecha de reserva o de emisión del billete

3. Fecha o fechas de viaje previstas

4. Nombres y apellidos

5. Dirección y datos de contacto (número de teléfono, dirección de correo electrónico)

6. Todos los datos de pago y facturación

7. Itinerario de viaje para ciertos datos PNR

8. Información sobre viajeros frecuentes

9. Agencia o agente de viajes

10. Situación de vuelo del pasajero: confirmaciones y paso por el mostrador de facturación, no comparecencia o pasajeros de última hora sin reserva

11. Información PNR escindida/dividida

12. Observaciones generales (información sensible excluida)

13. Información sobre el billete, incluidos el número del billete, la fecha de emisión, los billetes de ida solo y la indicación de la tarifa de los billetes electrónicos (Automatic Ticket Fare Quote, ATFQ)

14. Datos del asiento, incluido el número

15. Información sobre códigos compartidos

16. Toda la información relativa al equipaje

17. Número de viajeros y otros nombres de viajeros que figuran en el PNR

18. Cualquier información recogida en el sistema de información anticipada sobre los pasajeros (sistema API)

19. Todo el historial de cambios de los datos PNR indicados en los números 1 a 18.

Datos adicionales sobre menores de 18 años no acompañados

20. Nombre y sexo del menor

21. Edad

22. Idioma o idiomas que habla

23. Nombre, apellidos y dirección de contacto del acompañante en el aeropuerto de salida y vínculos con el menor

24. Nombre, apellidos y dirección de contacto del acompañante en el aeropuerto de llegada y vínculos con el menor

25. Agente en el lugar de salida y de llegada[pic][pic][pic][pic][pic][pic]

[1] SEC(2007) 1453.

[2] DO

[3] DO

[4] Declaración del Consejo sobre la lucha contra el terrorismo, de 29 de marzo de 2004.

[5] Programa de La Haya - Consolidar la libertad, la seguridad y la justicia en la Unión Europea, apartado 2.2 Terrorismo

[6] Declaración del Consejo sobre la respuesta de la UE a los bombardeos de Londres - apartado 6.

[7] DO L 164 de 22.6.2002, p. 3.

[8] DO

[9] DO L 261 del 6.8.2004, p. 24.

[10] COM(2003) 826 de 16.12.2003.

[11] DO L 164 de 22.6.2002, p. 3.

[12] DO

[13] DO