[pic] | COMISIÓN EUROPEA | Bruselas, 21.9.2010 COM(2010) 492 final COMUNICACIÓN DE LA COMISIÓN sobre el enfoque global de las transferencias de datos de los registros de nombres de los pasajeros (PNR) a los terceros países COMUNICACIÓN DE LA COMISIÓN sobre el enfoque global de las transferencias de datos de los registros de nombres de los pasajeros (PNR) a los terceros países INTRODUCCIÓN Los atentados terroristas de 2001 en los Estados Unidos, 2004 en Madrid y 2005 en Londres condujeron a un nuevo enfoque de las políticas de seguridad internas. Acontecimientos recientes como la tentativa de atentado terrorista en un avión en la Navidad de 2009 y en Times Square, Nueva York, en 2010, muestran que la amenaza terrorista sigue aún presente. Al mismo tiempo, la delincuencia organizada, especialmente las drogas y la trata de seres humanos, está aumentando[1]. Como respuesta a estas amenazas permanentes, la UE y algunos terceros países han adoptado nuevas medidas que incluyen la recogida y el intercambio de datos personales. La Comisión ha expuesto estas medidas en su Panorama general de la gestión de la información en el espacio de libertad, seguridad y justicia[2]. Una de las medidas es la utilización de datos de los registros de nombres de los pasajeros (PNR) para fines represivos. El 16 de enero de 2003, la Comisión publicó la Comunicación al Consejo y al Parlamento sobre la Transferencia de datos de los registros de nombres de los pasajeros (PNR): un enfoque global de la Unión Europea[3], con el objetivo de establecer los elementos de un enfoque global de la UE en materia de PNR. La Comunicación pedía un marco legal seguro para las transferencias PNR al Departamento de Seguridad Interior de los EE.UU. (Department of Homeland Security) y la adopción de una política interior sobre los PNR. También propugnaba el desarrollo de un sistema de transmisión (push) de las transferencias de datos por las compañías aéreas[4] y una iniciativa internacional sobre las transferencias de datos PNR que realiza la Organización de la Aviación Civil Internacional (OACI). La mayoría de las conclusiones de la Comunicación se ha puesto en práctica, mientras que otras están en curso de aplicación. Entre las primeras, la UE firmó un acuerdo con el Departamento de Seguridad Interior de los EE.UU. para la transferencia de datos PNR en interés de la lucha antiterrorista y la delincuencia transnacional grave que garantiza la transferencia de datos PNR al mismo tiempo que regula la protección de datos personales[5]. Además, la Comisión adoptó una propuesta de Decisión marco sobre la utilización de los datos PNR para fines represivos[6]. Actualmente, la Comisión, basándose en una evaluación de impacto, está examinando la posibilidad de sustituir dicha Decisión por una propuesta de Directiva sobre la utilización de datos PNR para fines represivos. La mayoría de las compañías ha desarrollado correctamente el sistema de transmisión de las transferencias de datos, mientras que la OACI ha desarrollado una serie de directrices sobre las transferencias PNR a los gobiernos. Además del acuerdo con los EE.UU., la UE firmó acuerdos similares con Canadá[7] y Australia[8]. Nueva Zelanda, Corea del Sur y Japón también están utilizando datos PNR, pero hasta la fecha del presente informe no han celebrado acuerdos con la UE. En la UE, el Reino Unido dispone de un sistema PNR en funcionamiento, mientras que otros Estados miembros han adoptado la legislación pertinente o están probando la utilización de datos PNR. Estos progresos indican que el uso de datos PNR está aumentando y se considera cada vez más un aspecto fundamental y necesario de la actividad de los servicios represivos. Al mismo tiempo, la utilización de datos PNR implica el tratamiento de datos personales, lo que plantea importantes cuestiones relacionadas con los derechos fundamentales a la protección de la intimidad y la protección de datos personales. En consecuencia, la UE se enfrenta a nuevos desafíos relacionados con las transferencias internacionales de PNR. Es muy probable que el número de países que desarrollan sistemas PNR aumente en los próximos años en el mundo. Además, la UE ha mejorado su conocimiento profundo de la estructura y la utilidad de los sistemas PNR a través de su experiencia de evaluaciones conjuntas de los acuerdos con EE.UU. y Canadá. En consecuencia, la Comisión considera necesario reconsiderar su enfoque global de las transferencias de datos PNR a los terceros países. La revisión de este enfoque debería asegurar unas garantías firmes de protección de datos y el pleno respeto de los derechos fundamentales, así como coincidir con los principios de desarrollo de las políticas que se han definido en el Panorama general de la gestión de la información en el espacio de libertad, seguridad y justicia[9]. Las opiniones que sobre las cuestiones PNR generales sostienen los participantes principales como los Estados miembros, el Parlamento Europeo, el Supervisor europeo de la protección de datos y el Grupo de trabajo de protección de datos del artículo 29, son muy importantes para elaborar el enfoque revisado de los PNR. El objetivo clave de la presente Comunicación es establecer, por primera vez, un conjunto de criterios generales que deberá constituir la base de las negociaciones futuras de los acuerdos PNR con los terceros países. Esto ayudará a la UE a enfrentarse a las tendencias actuales, al mismo tiempo que servirá de método para comunicar a los terceros países, los Estados miembros y los ciudadanos, la forma en que la Comisión Europea se propone definir su política exterior con respecto a los PNR. Las recomendaciones de la Comisión para negociar en el futuro acuerdos PNR con terceros países deberán respetar, como mínimo, los criterios generales establecidos en la Comunicación, mientras que los criterios adicionales podrían establecerse en cada recomendación. TENDENCIAS INTERNACIONALES EN MATERIA DE PNR Los datos PNR y su utilización Los datos PNR son información no verificada que proporcionan los pasajeros y recogen las compañías aéreas para efectuar las reservas y llevar a cabo el proceso de facturación. Se trata de un registro de los requisitos de viaje de cada pasajero que figura en los sistemas de reservas y control de salidas de las compañías. Contiene diversos tipos de información, por ejemplo las fechas y el itinerario de viaje, los datos del billete, datos de contacto como números de teléfono y dirección, la agencia de viajes, información sobre el pago, número de asiento y datos del equipaje. Los datos PNR difieren de la información anticipada sobre los pasajeros (API). Los datos API son información biográfica que figura en la parte de lectura óptica del pasaporte y se refieren al nombre, el lugar de residencia, el lugar del nacimiento y la nacionalidad de la persona. Con arreglo a la Directiva API[10], los datos API que se ponen a disposición de las autoridades de control de fronteras, con el fin de mejorar los controles fronterizos y combatir la inmigración clandestina, son sólo los relativos a los vuelos que entran en el territorio de la UE. Su empleo para otros fines represivos está permitido por la Directiva, pero se trata más de una excepción que de la regla. Los Estados miembros retienen los datos durante 24 horas. Los datos API se utilizan principalmente para realizar los controles de identidad que forman parte de los controles fronterizos y la gestión de fronteras, si bien en algunos casos también son utilizados por los servicios represivos para identificar a sospechosos y personas buscadas. Los datos API se utilizan, por lo tanto, fundamentalmente como un instrumento de gestión de la identidad. La utilización de estos datos se está convirtiendo en algo corriente en todo el mundo, con más de 30 países que los utilizan sistemáticamente y más de 40 países que se encuentran en fase de creación de sistemas API. Además de la transmisión de datos API, algunos países exigen a las compañías aéreas que les transmitan datos PNR. Estos datos son utilizados para la lucha contra el terrorismo y los delitos graves como la trata de seres humanos y el tráfico de drogas. Los datos PNR han sido utilizados durante casi 60 años principalmente por las autoridades aduaneras, pero también por los servicios represivos de todo el mundo. Sin embargo, hasta ahora no ha sido tecnológicamente posible acceder a estos datos electrónicamente y por anticipado, por lo que su utilización se ha limitado únicamente al tratamiento manual de algunos vuelos. Actualmente, los progresos tecnológicos hacen posible la transmisión electrónica anticipada. Los datos PNR se utilizan de forma muy diferente a los datos API, debido en gran parte al hecho de que un PNR contiene tipos de datos muy diferentes. Los PNR se utilizan principalmente como un instrumento de investigación penal más que como instrumento de control de identidad. Los PNR se utilizan principalmente para los fines siguientes: (i) evaluación de riesgos de los pasajeros e identificación de personas «desconocidas», es decir, personas que podrían ser de interés para los servicios represivos y que no eran hasta ahora sospechosas, (ii) disponibilidad anterior a la de los datos API, y ventaja para los servicios represivos consistente en disponer de más tiempo para su tratamiento, análisis y cualquier actividad de seguimiento, (iii) identificación de las personas a las que pertenecen las direcciones, tarjetas de crédito concretas, etc. relacionadas con los delitos, y (iv) comparación de un PNR con otro PNR para identificar a las personas asociadas a los sospechosos, por ejemplo descubriendo a personas que viajan juntas. Los datos de los PNR son únicos por su naturaleza y la utilización que se hace de ellos. Tal utilización puede ser: reactiva (datos históricos): utilización en investigaciones, procesamientos, desmantelamiento de redes tras la comisión de un delito. Para remontarse suficientemente en el tiempo, los servicios represivos necesitan disponer de un periodo de conservación de datos adecuado. En tiempo real (datos actuales): utilización de datos para prevenir un delito, examinar o detener a personas antes de la comisión de un delito o porque un delito ha sido cometido o se está cometiendo. En tales casos, los PNR son necesarios para contrastar determinados indicadores de riesgo basados en hechos, con el fin de identificar a los sospechosos previamente «desconocidos» y contrastar diversas bases de datos de personas y objetos buscados. Proactiva (modelos): utilización para el análisis y la creación de modelos de comportamiento general y de viaje basados en hechos, que luego pueden usarse en tiempo real. Para establecer modelos de comportamiento y de viaje, los analistas de tendencias deben utilizar los datos durante un período de tiempo suficientemente largo. En tales casos, es necesario que los servicios represivos dispongan de un periodo de conservación de datos adecuado. Tendencias actuales Algunos terceros países como los Estados Unidos, Canadá, Australia, Nueva Zelanda y Corea del Sur ya están utilizando datos PNR para fines represivos. Otros terceros países han adoptado normativas en la materia o están experimentando actualmente con la utilización de datos PNR, a saber, Japón, Arabia Saudí, Sudáfrica y Singapur. Algunos terceros países han empezado a considerar la utilización de los PNR, pero todavía no han adoptado ninguna normativa al respecto. En la UE, el Reino Unido ya dispone de un sistema PNR. Francia, Dinamarca, Bélgica, Suecia y los Países Bajos han adoptado normativas en la materia o están experimentando actualmente con la utilización de datos PNR. Otros Estados miembros están considerando establecer sistemas PNR. La Comisión Europea, reconociendo la necesidad de los datos PNR para la prevención y la lucha contra el terrorismo y las formas graves de delincuencia, y de conformidad con la Comunicación de 2003, presentó la propuesta de Decisión marco sobre utilización de datos del registro de nombres de los pasajeros (PNR) con fines represivos. Tras la entrada en vigor del Tratado de Lisboa, la Comisión está considerando sustituir dicha propuesta por una propuesta de Directiva sobre la utilización de datos PNR con fines represivos. El objetivo de esta propuesta será obligar a las compañías aéreas a transmitir datos PNR a los Estados miembros para su utilización en la lucha contra los delitos de terrorismo y las formas graves de delincuencia. A nivel internacional se admite cada vez más que los PNR son un instrumento necesario para la lucha contra el terrorismo y las formas graves de delincuencia. Esta tendencia es el resultado de tres parámetros. En primer lugar, el terrorismo y la delincuencia internacionales son una grave amenaza para la sociedad y es necesario adoptar medidas para abordar estos problemas. El acceso a los datos PNR y su análisis es una de las medidas que se consideran necesarias desde la perspectiva de la acción represiva. En segundo lugar, los progresos tecnológicos recientes han posibilitado dicho acceso y análisis, algo que era inconcebible hace unos años. Los diversos progresos tecnológicos de los últimos años también son utilizados ampliamente por los delincuentes para planificar, preparar y cometer delitos. Por último, con el rápido aumento de los viajes internacionales y del número de pasajeros, el tratamiento electrónico de los datos antes de la llegada de los pasajeros facilita y acelera considerablemente los controles fronterizos de seguridad, ya que el proceso de evaluación de riesgos se realiza antes de la llegada. De este modo, los servicios represivos podrán centrarse únicamente en aquellos pasajeros sobre los que exista una razón probada para creer que pueden entrañar un riesgo real para la seguridad, en lugar de realizar evaluaciones basadas en perfiles o estereotipos preconcebidos o subjetivos. Efectos de las tendencias actuales en la Unión Europea Las normas de protección de datos de la UE no permiten a las compañías aéreas que realizan vuelos desde la UE transmitir datos PNR de sus pasajeros a terceros países que no garanticen un nivel adecuado de protección de datos personales sin proporcionar unas garantías idóneas. En consecuencia, cuando los Estados Unidos, Canadá y Australia pidieron a las compañías que les transmitieran datos PNR sobre vuelos con destino a sus países, las compañías se enfrentaron a una situación muy difícil. La UE decidió intervenir y negoció y firmó acuerdos internacionales separados con cada uno de estos tres países[11], permitiendo así la transferencia de datos PNR fuera de la UE a los servicios de seguridad de estos terceros países. Esto se hizo para ayudar a las compañías a solventar la situación, para asegurar un nivel adecuado de protección de datos de los pasajeros y para reconocer la necesidad e importancia de la utilización de los datos PNR en la lucha contra el terrorismo y las formas graves de delincuencia. Otros países utilizan sistemas PNR, por lo que se espera que se planteará el mismo problema. Además, en el caso de que la Comisión decida presentar una propuesta de Directiva PNR de la UE, la frecuencia de tales peticiones puede intensificarse si los terceros países piden la reciprocidad de la UE. Hasta hoy, la celebración de acuerdos internacionales con terceros países en materia de PNR ha estado dictada por la «demanda» y se ha resuelto en cada caso concreto. Todos los acuerdos tratan de cuestiones comunes y regulan las mismas materias, pero sus disposiciones no son idénticas. En algunos casos, esto ha dado lugar a normas divergentes en relación con las compañías y la protección de datos. Como es probable que la «demanda» aumente en un futuro próximo, una estrategia podría consistir en asistir a la UE para hacer frente a estas demandas de manera más estructurada y reduciendo las divergencias entre los diversos acuerdos. EL ENFOQUE GLOBAL REVISADO DE LA UE SOBRE LOS PNR Razones subyacentes del enfoque global revisado de los PNR En un momento en el que se están aplicando las conclusiones de la Comunicación de 2003 y la UE se enfrenta a nuevas tendencias y desafíos, es importante que la UE tenga debidamente en cuenta estas tendencias y desafíos, para lo que seguirá desarrollando su enfoque global de la transferencia de datos PNR a los terceros países por las siguientes razones: Luchar contra el terrorismo y las formas graves de delincuencia transnacional: la UE tiene la obligación respecto de sí misma y los terceros países de cooperar con éstos en la lucha contra tales amenazas. Una manera de cooperar es el intercambio de datos con los terceros países. Poner a disposición datos PNR para fines represivos es un medio de lucha necesario contra el terrorismo y los delitos transnacionales graves. Tanto la estrategia sobre la dimensión exterior de Justicia y Asuntos de Interior[12], como la estrategia de la UE contra el terrorismo[13] y el programa de Estocolmo[14] se refieren a esa necesidad de estrecha colaboración con los terceros países. Garantizar la protección de datos personales y la intimidad: la UE se ha comprometido a garantizar un elevado nivel de protección efectiva de los datos personales, lo que implica que cualquier transmisión de datos PNR a los terceros países se hace de manera segura y conforme a los requisitos legales de la UE, y que los pasajeros pueden ejercer sus derechos en relación con el tratamiento de sus datos. Necesidad de proporcionar seguridad jurídica y de racionalizar las obligaciones de las compañías aéreas: es importante que la UE proporcione un marco jurídico coherente para la transmisión de datos PNR por las compañías aéreas a los terceros países. Esto es necesario para proteger a las compañías frente a las sanciones y para asegurar que las condiciones y modalidades de transmisión de datos en todo el mundo sean lo más uniformes y armonizadas posible, a fin de reducir los costes para la industria y asegurar unas condiciones de competencia equitativas en el sector. Establecer unas condiciones generales que aseguren la coherencia y seguir desarrollando un enfoque internacional: los acuerdos en materia de PNR que la UE ha firmado con terceros países tienen un objetivo similar, pero los contenidos varían por lo que se refiere a las modalidades de transmisión y a la naturaleza de los compromisos del tercer país. Tal divergencia en los compromisos es admisible en cierta medida, habida cuenta de los diversos requisitos y ordenamientos jurídicos de cada país, pero todos deben respetar ciertos criterios generales (véanse las secciones 3.2 y 3.3 ). A fin de asegurar el trato más uniforme posible a los pasajeros y reducir los costes de la industria, es importante que el contenido y las normas de los futuros acuerdos con terceros países sean lo más parecidos posible. Esto podría ser la base de la próxima medida, que consistiría en un enfoque multilateral más armonizado de los intercambios de datos PNR. Contribuir a la comodidad del pasajero: para hacer frente a las amenazas a la seguridad presentes en nuestras sociedades, los controles de pasajeros en los cruces de frontera se están haciendo cada vez más largos y minuciosos. A esto se añade el aumento actual del número de viajes internacionales, con tiempos de espera más largos en las fronteras. La transmisión electrónica anticipada de PNR antes del cruce de frontera permite controlar anticipadamente a los pasajeros, que pueden así cruzar las fronteras con más facilidad y rapidez, mientras que los servicios represivos podrán centrarse únicamente en las personas de interés identificadas. Consideraciones generales El objetivo del enfoque global revisado de los PNR es proporcionar la base para que la UE decida cómo responder mejor a las peticiones de terceros países sobre la transmisión de datos PNR en el futuro. Además de los principios de desarrollo de las políticas que se han definido en el Panorama general de gestión de la información en el espacio de libertad, seguridad y justicia, pueden hacerse las siguientes consideraciones específicas: Interés común por la seguridad: el terrorismo y las formas graves de delincuencia son de naturaleza internacional. Algunos países están más expuestos a las amenazas crecientes del terrorismo y las formas graves de delincuencia que otros. La UE se ha comprometido a cooperar con ellos y a asistirlos en la lucha contra estas amenazas para la seguridad. Protección de datos de carácter personal: puesto que la transmisión, la utilización y el tratamiento de datos PNR afecta al derecho fundamental de las personas a la protección de sus datos personales, es muy importante que la UE solamente coopere con los terceros países que pueden proporcionar un nivel adecuado de protección de los datos PNR generados en la UE. Relaciones exteriores: también hay que considerar la relación exterior global de la UE con el tercer país. El funcionamiento de la policía y la judicatura y la cooperación con ambas, el Estado de Derecho y el respeto global de los derechos fundamentales, son factores importantes a considerar. Other factors that may be considered are cooperation on trade, migration, and implications on regional cohesion. Normas, contenido y criterios El enfoque global de los PNR debería resumir las normas generales que los acuerdos internacionales entre la UE y los terceros países deben cumplir para lograr la mayor coherencia posible en cuanto a las garantías de protección de datos que deben aplicar esos países y las modalidades de transmisión de datos por las compañías aéreas. Es también esencial proporcionar a la UE los mecanismos para supervisar la aplicación correcta, por ejemplo a través del control regular conjunto de la aplicación de los acuerdos, y de mecanismos efectivos de solución de conflictos. Protección de datos personales La recogida y transferencia de datos PNR a los terceros países afecta a un gran número de personas y sus datos personales. Por ello, hay que prestar especial atención a la protección efectiva de los datos personales. En Europa, los derechos fundamentales al respeto de la vida privada y a la protección de datos personales están consagrados en el artículo 8 del Convenio Europeo de Derechos Humanos (CEDH) y en los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la UE[15]. Estos derechos fundamentales se reconocen a todas las personas, independientemente de la nacionalidad o del lugar de residencia. El Convenio del Consejo de Europa 108 de 1981 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal y su Protocolo adicional 181 de 2001 establecieron nuevas normas de protección de datos. Cualquier limitación del ejercicio de los derechos y libertades reconocidos por la Carta debe ser establecida por ley y respetar el contenido esencial de dichos derechos y libertades. Con arreglo al principio de proporcionalidad, sólo podrán introducirse las limitaciones que sean necesarias y respondan efectivamente a los objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de otras personas. Dado que los regímenes de protección de datos en los terceros países pueden diferir de la protección de datos que prevalece en la UE, es importante que para cualquier transferencia de datos PNR de los Estados miembros de la UE a los terceros países, el tercer país asegure un nivel adecuado de protección de datos basado en un fundamento jurídico firme. Este nivel adecuado de protección de datos puede consagrarse en la legislación del tercer país o proporcionarse en forma de compromisos jurídicamente vinculantes en el acuerdo internacional que regule el tratamiento de datos personales. La idoneidad de un tercer país se evaluará a la vista de todas las circunstancias que concurran en la operación de transferencia de datos. En este contexto, la UE también considerará el cumplimiento por el tercer país de las normas internacionales, su ratificación de los instrumentos internacionales sobre protección de datos y los derechos fundamentales en general. Las decisiones sobre el carácter adecuado de la protección adoptadas por la Comisión Europea servirán de guía sobre lo que puede considerarse adecuado. Los principios de base de la protección de datos personales que debería aplicar el tercer país solicitante son los siguientes: - Limitación a una finalidad específica – utilización de los datos: el alcance de la utilización que el tercer país haga de los datos se debería detallar con la mayor claridad y precisión en el acuerdo, y no debería sobrepasar lo necesario para alcanzar los objetivos previstos. La experiencia extraída de los acuerdos PNR actuales muestra que los datos PNR sólo deberían utilizarse con fines represivos y de seguridad para luchar contra el terrorismo y las formas graves de delincuencia transnacional. Los conceptos clave de terrorismo y formas graves de delincuencia transnacional deberían definirse con arreglo a las definiciones adoptadas en los instrumentos pertinentes de la UE. - Limitación a una finalidad específica – alcance de los datos: el intercambio de datos debería limitarse al mínimo y ser proporcionado. Todo acuerdo debería enumerar exhaustivamente las categorías de datos PNR que deberán transferirse. - Categorías especiales de datos personales (datos sensibles): en principio, no deberían utilizarse datos PNR que revelen orígenes raciales o étnicos, opiniones políticas o creencias religiosas o filosóficas, adhesión a sindicatos, estado de salud o vida sexual, a menos que existan circunstancias excepcionales que supongan una amenaza inminente para la vida y siempre que el tercer país ofrezca garantías adecuadas como, por ejemplo, la utilización de los datos sólo en cada caso concreto, con la autorización de un alto funcionario y estrictamente limitada a los fines de la transferencia original. - Seguridad de los datos: los datos PNR deben ser protegidos contra el uso indebido y el acceso ilegal por todos los medios y procedimientos técnicos y de seguridad necesarios para preservarlos contra los riesgos para la seguridad, la confidencialidad o la integridad de los datos. - Supervisión y responsabilidad: existirá un sistema de supervisión por una autoridad independiente responsable de la protección de datos, con poderes efectivos de intervención y ejecución, que ejercerá la supervisión de las autoridades públicas que utilicen datos PNR. Estas serán responsables de cumplir las normas de protección de datos personales establecidas y tendrán la facultad de resolver las quejas de los ciudadanos relacionadas con el tratamiento de datos PNR. - Transparencia y comunicación: se informará a la persona de, como mínimo, la finalidad del tratamiento de datos personales, quién tratará los datos, en virtud de qué normas o leyes, los tipos de terceros a quienes se revelarán los datos, y cómo y ante quien deberá recurrir. - Acceso, rectificación y supresión: a todas las personas se les permitirá el acceso a sus datos PNR y, en su caso, se les reconocerá el derecho a solicitar la rectificación y la supresión de sus datos PNR. - Recurso: toda persona tendrá derecho a la tutela judicial y administrativa efectiva en el caso de que se vulnere su intimidad o se infrinjan las normas de protección de datos, y ello con carácter no discriminatorio e independientemente de la nacionalidad o el lugar de residencia. Toda vulneración o infracción será objeto de sanciones o recursos adecuados y efectivos. - Decisiones individuales automatizadas: las decisiones que tengan consecuencias o efectos adversos para las personas no podrán basarse exclusivamente en el tratamiento automatizado de datos personales sin intervención humana. - Conservación de los datos: el período de conservación de datos PNR no debería ser superior a lo necesario para la realización de las tareas definidas. El período de conservación debería tener en cuenta las diversas maneras en que se utilizan los datos PNR (véase la sección 1.2.1) y las posibilidades de limitar los derechos de acceso durante el período de conservación, por ejemplo, mediante la anonimización gradual de los datos. - Restricciones de las transferencias posteriores a otras autoridades públicas: los datos PNR sólo deberían revelarse a otras autoridades públicas competentes para luchar contra el terrorismo y las formas graves de delincuencia transnacional, que ofrezcan la misma protección ofrecida por la agencia destinataria en virtud del acuerdo, de conformidad con el compromiso contraído con respecto a esta última. Los datos PNR nunca deberían revelarse en su totalidad, sino solamente caso por caso. - Restricciones de las transferencias posteriores a terceros países: se trata fundamentalmente de restricciones al uso y posterior difusión para evitar que se burle el acuerdo cuando los datos PNR se ponen a disposición de otro tercer país. Estas transferencias posteriores deben estar sujetas a unas garantías adecuadas. En particular, el tercer país receptor sólo debería transferir esta información a una autoridad competente de otro tercer país que se comprometa a tratar los datos con el nivel de protección establecido en el acuerdo, y la transferencia se limitará estrictamente a los fines de la transferencia original de datos. Los datos PNR nunca deberían revelarse en su totalidad, sino caso por caso. Modalidades de transmisión Para proporcionar seguridad jurídica y reducir al mínimo la carga financiera para las compañías aéreas, es importante racionalizar las normas que regulan la transmisión de datos por las compañías a los terceros países. Al tener obligaciones uniformes, se reduciría considerablemente la carga financiera para las compañías, ya que tendrían que realizar menos inversiones para cumplir con sus obligaciones. Con este fin, sería conveniente normalizar al menos las siguientes modalidades de transmisión: - Método de transmisión. Para proteger los datos contenidos en las bases de datos de las compañías y mantener su control sobre los mismos, los datos deberían transmitirse utilizando exclusivamente el sistema de transmisión (push) . - Frecuencia de la transmisión. Debería fijarse un límite razonable al número de veces que el tercer país puede requerir que se le transmitan los datos, lo cual garantiza una mayor seguridad y a la vez reduce los costes de las compañías. - No obligar a las compañías a recoger datos adicionales. No se debería pedir a las compañías que recopilaran más datos de los que ya recopilan ni que recopilaran obligatoriamente determinados tipos de datos, sino únicamente que transmitieran lo que ya han recopilado en el curso de su actividad. Conceptos generales - Duración y revisión: las condiciones de cooperación con los terceros países deberían ser válidas durante un periodo de duración fijo y prever la posibilidad de que cualquiera de las partes ponga fin al acuerdo. Se permitiría revisar las condiciones de la cooperación cuando se considere adecuado. - Control: es esencial que la UE disponga de mecanismos para controlar la correcta aplicación, por ejemplo a través de estudios conjuntos periódicos de la aplicación de todos los aspectos de los acuerdos, incluida la limitación de finalidad, los derechos de los pasajeros y las transferencias ulteriores de datos PNR, así como una evaluación de la proporcionalidad de los datos conservados en función de su utilidad para alcanzar los fines para los que se transfirieron. Las conclusiones de estos estudios conjuntos se presentarían al Consejo y al Parlamento Europeo. - Solución de conflictos: deberían facilitarse unos mecanismos efectivos de solución de conflictos sobre la interpretación, la aplicación y la ejecución de los acuerdos. - Reciprocidad: la reciprocidad debería asegurarse, especialmente a través de la transferencia de información analítica derivada de datos PNR por las autoridades competentes del tercer país receptor a la policía y las autoridades judiciales de los Estados miembros, así como a Europol y Eurojust. PERSPECTIVA A LARGO PLAZO A medida que los datos PNR son utilizados por un número creciente de países, los problemas que tal uso plantea afectan a la comunidad internacional. Aunque el enfoque bilateral que adoptó la UE era el más adecuado a las circunstancias y parece ser el más adecuado para el futuro próximo, puede dejar de serlo si muchos países empiezan a utilizar los PNR. Por lo tanto, la UE debería considerar la posibilidad de establecer normas de transmisión y utilización de datos PNR a nivel internacional. Las Directrices sobre el acceso a los PNR elaboradas por la OACI en 2004 constituyen una sólida base para la armonización de las modalidades de transmisión de datos PNR. No obstante, estas directrices no son vinculantes ni tratan suficientemente las cuestiones de protección de datos. Por lo tanto, no bastan por sí mismas, aunque pueden ser utilizadas como orientación, especialmente en las materias que afectan a las compañías. Sobre esta base, la UE debería considerar la apertura de debates con los socios internacionales que utilizan datos PNR y aquellos que están considerando su utilización, con el fin de determinar si existe un terreno común para tratar las transferencias PNR a nivel multilateral. En el caso de que estos debates fueran fructíferos, la UE iniciaría las negociaciones formales con los socios internacionales interesados en alcanzar una solución multilateral. CONCLUSIÓN La presente Comunicación ha expuesto las tendencias actuales en cuanto a la utilización de datos PNR en la UE y el mundo. Como respuesta a estas tendencias, así como a las amenazas a las que la UE y el mundo siguen enfrentándose, la Comisión ha considerado necesario que la UE revise su enfoque global de los PNR. Para ello, la Comisión ha tenido en cuenta las opiniones de los principales interlocutores sobre las cuestiones PNR de carácter general y los principios de desarrollo de las políticas establecidos en el Panorama general de la gestión de la información en el espacio de libertad, seguridad y justicia. La presente Comunicación establece por primera vez una serie de consideraciones generales que deberán guiar a la UE en la negociación de los acuerdos PNR con los terceros países. La adhesión a estos principios propiciará una mayor coherencia entre los diversos acuerdos PNR, al mismo tiempo que garantizará el ejercicio de los derechos fundamentales al respeto de la vida privada y la protección de datos personales. Al mismo tiempo, la Comunicación es suficientemente flexible y adaptable a las preocupaciones en materia de seguridad y a los ordenamientos jurídicos nacionales de cada uno de los terceros países. Por último, y desde la perspectiva a largo plazo del desarrollo de las políticas PNR en todo el mundo, la presente Comunicación concluye que la UE debería explorar la posibilidad de sustituir a medio plazo los acuerdos bilaterales por un acuerdo multilateral entre todos los países que utilizan datos PNR. [1] Eurostat 36/2009 [2] COM(2010) 385. [3] COM(2003) 826 [4] El sistema de transmisión (push) implica que la compañía aérea transmite los datos al tercer país y no que ésta permita el acceso del tercer país a sus bases de datos. [5] DO L 204 de 4.8.2007, p.16. [6] COM(2007) 654 [7] DO L 91 de 29.3.2006 p.53, DO L 91 de 29.3.2006 p.49 y DO L 82 de 21.3.2006 p.15 [8] DO L 213 de 8.8.2008, p.49. [9] COM(2010) 385. [10] Directiva 2004/82/CE de 29/08/2004 sobre la obligación de los transportistas de comunicar los datos de las personas transportadas [11] Acuerdo PNR CE-EE.UU. de 2004, DO L 183 de 20.5.2004, p. 84 y Decisión de la Comisión de 14 de mayo de 2004, DO L 235 de 6.7.2004, p. 11; Acuerdo PNR UE-EE.UU. de 2006, DO L 298 de 27.10.2006, p. 29 y cartas de acompañamiento, DO C 259 de 27.10.2006, p. 1; Acuerdo PNR UE-EE.UU de 2007, DO L 204 de 4.8.2007, p. 18; Acuerdo PNR UE-Canadá, DO L 82 de 21.3.2006, p. 15 y DO L 91 de 29.3.2006, p. 49 y Acuerdo PNR EU-Australia, DO L 213 de 8.8.2008, p. 47. [12] COM(2005) 491 [13] Documento 14469/4/05 del Consejo de 30.11.2005. [14] Documento nº.17024/09 del Consejo de 2.12.2009. [15] Es importante señalar que principios similares de protección de datos se han establecido en instrumentos internacionales relativos a la protección de la intimidad y los datos personales, tales como el artículo 17 del Pacto Internacional de Derechos Civiles y Políticos, de 16 de diciembre de 1966, las Directrices de la ONU para la regulación de los archivos de datos personales (Resolución 45/95 de la Asamblea General de la ONU de 14 de diciembre de 1990), la Resolución del Consejo de la Organización de Cooperación y Desarrollo Económico (OCDE), relativa a las directrices que rigen la protección de la intimidad y los flujos transfronterizos de datos personales, el Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (ETS n° 108) y el Protocolo adicional de este Convenio (ETS n° 181), que también están abiertos a la adhesión de Estados no europeos.