COMISIÓN EUROPEA
Bruselas, 12.6.2025
COM(2025) 282 final
2025/0144(NLE)
Propuesta de
DECISIÓN DEL CONSEJO
sobre la firma, en nombre de la Unión Europea, de un Acuerdo entre la Unión Europea y el Reino de Noruega relativo a la transferencia de datos del registro de nombres de los pasajeros (PNR) con fines de prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de los delitos graves
EXPOSICIÓN DE MOTIVOS
La presente propuesta se refiere a la firma, en nombre de la Unión Europea, del Acuerdo con el Reino de Noruega (en lo sucesivo, «Noruega») relativo a la transferencia de datos del registro de nombres de los pasajeros (PNR) con fines de prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de los delitos graves (en lo sucesivo, «el Acuerdo»).
1.CONTEXTO DE LA PROPUESTA
•Razones y objetivos de la propuesta
Resulta fundamental reforzar la cooperación internacional de las fuerzas y cuerpos de seguridad y, en concreto, el intercambio de información para hacer frente a las amenazas que plantean el terrorismo y los delitos transancionales graves. El último informe de Evaluación de la amenaza de la delincuencia grave y organizada de la Unión Europea (SOCTA) publicado por Europol 1 muestra la dimensión internacional de las actividades de la delincuencia organizada más grave. Además, su último Informe sobre la situación y las tendencias del terrorismo en la UE (TE-SAT) 2 hace hincapié no solo en la relación directa entre los viajes transnacionales y la organización de actividades terroristas o delitos graves, sino también en la importancia de detectar, investigar y enjuiciar eficazmente otros delitos graves para impedir y detectar los actos terroristas.
Los datos del registro de nombres de los pasajeros (PNR) consisten en información que los pasajeros facilitan y que las compañías aéreas recogen y conservan en sus sistemas de reservas y control de salidas para sus propios fines comerciales. El contenido de los datos del PNR varía en función de la información facilitada durante el proceso de reserva y facturación y puede incluir, por ejemplo, las fechas de viaje y el itinerario de viaje completo del pasajero o del grupo de pasajeros que están viajando juntos, datos de contacto como la dirección y el número de teléfono, información sobre el pago, el número de asiento o información sobre el equipaje.
La recogida y el análisis de los datos del PNR puede proporcionar a las autoridades elementos importantes para la detección de patrones de viaje sospechosos y la identificación de los cómplices de delincuentes y terroristas, en particular aquellos que antes eran desconocidos para las autoridades policiales. En consecuencia, el tratamiento de los datos del PNR se ha convertido en una herramienta policial ampliamente utilizada, dentro y fuera de la UE, para detectar los delitos de terrorismo y otras formas de delincuencia grave, como los delitos relacionados con las drogas, la trata de seres humanos y la explotación sexual de menores, así como para prevenir su comisión. Además, ha demostrado ser una importante fuente de información para apoyar la investigación y el enjuiciamiento de casos en los que se hayan cometido esas actividades ilegales 3 .
Si bien resulta fundamental para combatir el terrorismo y las formas graves de delincuencia, la transferencia de datos del PNR a terceros países y el tratamiento por parte de sus autoridades constituye una injerencia en la protección de los derechos de las personas con respecto a sus datos personales. Por este motivo, esta transferencia de datos del PNR requiere una base jurídica conforme al Derecho de la UE y debe ser necesaria y proporcionada y estar sujeta a limitaciones estrictas y garantías efectivas, tal como reconoce la Carta de los Derechos Fundamentales de la UE, especialmente en sus artículos 6, 7, 8, 21, 47 y 52. La consecución de estos importantes objetivos exige lograr un equilibrio adecuado entre el objetivo legítimo de mantener la seguridad pública y el derecho de toda persona a la protección de sus datos personales y su vida privada.
En 2016, el Parlamento Europeo y el Consejo de la Unión Europea adoptaron la Directiva (UE) 2016/681, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave («Directiva PNR») 4 . Dicha Directiva regula la transferencia y el tratamiento de datos del PNR en la Unión Europea y establece importantes garantías para la protección de los derechos fundamentales, en particular, el derecho a la vida privada y el derecho a la protección de los datos de carácter personal. En junio de 2022, el Tribunal de Justicia de la UE (TJUE) confirmó la validez de esta Directiva y su cumplimiento de la Carta de los Derechos Fundamentales de la UE y de los Tratados de la Unión, en su sentencia en el asunto C-817/19 5 .
Noruega y los Estados miembros de la Unión, Partes contratantes del Convenio Schengen 6 , comparten la responsabilidad de velar por la seguridad interior dentro de un espacio común sin fronteras interiores mediante, entre otros medios, el intercambio de información pertinente. El tratamiento de datos del PNR ha puesto de manifiesto su potencial para mejorar la seguridad del espacio Schengen incrementando la prevención y la detección de delitos graves y de terrorismo en las fronteras exteriores y ofreciendo un enfoque centrado en el riesgo y basado en datos, que los Estados miembros pueden utilizar dentro de dicho espacio Schengen como medida para compensar la ausencia de controles fronterizos interiores 7 .
Noruega adoptó legislación nacional en materia del PNR, y su autoridad competente, designada para recibir y tratar los datos del PNR relativos a vuelos con salida o llegada a sus aeropuertos, comenzó a operar en septiembre de 2022.
De acuerdo con el Derecho de la Unión, solo es posible transferir datos de carácter personal de la Unión a un tercer país si este último asegura un nivel de protección de los datos personales esencialmente equivalente al garantizado con respecto a dichos datos personales dentro de la Unión. A este respecto, cabe señalar que Noruega no es un tercer país según la definición del Reglamento 2016/679 8 , capítulo V, puesto que dicho Reglamento se incorporó con modificaciones al anexo XI del Acuerdo sobre el Espacio Económico Europeo (EEE). No obstante, el marco normativo establecido por dicho Reglamento no se aplica al tratamiento de datos personales, como son los datos del PNR, por parte de las fuerzas o cuerpos de seguridad noruegos para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública. A su vez, puesto que, de conformidad con el Acuerdo de Asociación a Schengen entre la UE y Noruega de 1999, Noruega está vinculada por los actos de la Unión que constituyan un desarrollo de las disposiciones del acervo de Schengen, dicho país debe aplicar la Directiva (UE) 2016/680 de la misma manera que los Estados miembros de la UE. No obstante, la Directiva del PNR no constituye un desarrollo del acervo de Schengen, por lo que Noruega no participa en la ejecución de dicho instrumento jurídico.
En estas circunstancias, especialmente en ausencia de garantías adecuadas con relación al tratamiento específico de datos del PNR, que deben establecerse mediante una base jurídica apropiada tal como exige el Derecho de la Unión, Noruega no puede recibir ni tratar legalmente datos del PNR de vuelos gestionados por operadores entre la Unión y Noruega.
A la luz de estos hechos, el 6 de septiembre de 2023, la Comisión adoptó una Recomendación en la que proponía que el Consejo autorizara la apertura de negociaciones sobre un acuerdo entre la Unión Europea y Noruega relativo a la transferencia de datos del registro de nombres de los pasajeros (PNR) con fines de prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de los delitos graves 9 . Paralelamente, recomendó la apertura de negociaciones relativas a acuerdos similares con la Confederación Suiza 10 e Islandia 11 . El 4 de marzo de 2024, el Consejo dio su autorización para iniciar las negociaciones y adoptó directivas de negociación 12 .
El objetivo del presente Acuerdo es colmar la brecha de seguridad existente en el espacio Schengen y permitir la transferencia de datos del PNR de la Unión a Noruega en reconocimiento de la necesidad de utilizar dichos datos del PNR como herramienta fundamental para combatir el terrorismo y otras formas de delincuencia grave.
Las negociaciones con Noruega, así como con Islandia y la Confederación Suiza, se iniciaron el 21 de marzo de 2024. El 9 de abril de 2025, los negociadores principales rubricaron el texto del acuerdo y, de este modo, concluyeron las negociaciones.
A lo largo de todo el proceso de negociación, se ha ido informando a los colegisladores, a los que se ha consultado en todas las fases, especialmente mediante informes al Grupo «Intercambio de Información sobre Justicia y Asuntos de Interior» (IXIM) del Consejo y a la Comisión de Libertades Civiles, Justicia y Asuntos de Interior (LIBE) del Parlamento Europeo.
•Coherencia con las disposiciones existentes en la misma política sectorial
La Comisión estableció por primera vez las líneas generales de la política exterior de la UE en materia del PNR en una Comunicación 13 de 2003 sobre el enfoque de la UE respecto a la transferencia de datos del PNR de la UE a terceros países, y esas líneas generales se revisaron en una Comunicación adoptada en 2010 14 . En la actualidad, hay tres acuerdos internacionales en vigor entre la UE y terceros países —a saber, Australia 15 , Estados Unidos 16 (2012) y Reino Unido 17 (2020)— relativos a la transferencia y el tratamiento de datos del PNR desde la UE. Tras las negociaciones que siguieron al Dictamen 1/15 del TJUE, de 26 de julio de 2017 18 , el 4 de octubre de 2024 se firmó un nuevo Acuerdo PNR con Canadá 19 .
A nivel internacional, son cada vez más los terceros países que han empezado a desarrollar capacidades para la recogida de datos del PNR procedentes de las compañías aéreas. Esta tendencia se ha visto impulsada por las resoluciones del Consejo de Seguridad de las Naciones Unidas (de 2017 y 2019), en las que se exige a todos los Estados que desarrollen sus capacidades para la recogida y el uso de datos del PNR 20 , sobre la base de las cuales la Organización de Aviación Civil Internacional (OACI) adoptó en 2020 las normas y métodos recomendados internacionales sobre el PNR mediante la enmienda 28 del anexo 9 del Convenio de Chicago, vigentes desde febrero de 2021 21 .
La posición de la Unión, establecida en la Decisión (UE) 2021/121 del Consejo, es la de acoger con satisfacción las normas y métodos recomendados internacionales de la OACI en relación con el PNR, pues establecen garantías ambiciosas en materia de protección de datos y, de ese modo, permiten realizar avances significativos a escala internacional. Al mismo tiempo, dicha Decisión del Consejo consideraba, en lo que se refiere a la obligación de los Estados miembros de notificar cualquier diferencia, que los requisitos derivados del Derecho de la Unión (incluida la jurisprudencia pertinente) son más estrictos que determinadas normas de la OACI y que las transferencias de la UE a terceros países exigen una base jurídica que establezca normas y salvaguardias claras y precisas en relación con el uso de los datos del PNR por parte de las autoridades competentes de un tercer país 22 .
En esta coyuntura, las negociaciones y la celebración del presente Acuerdo forman parte de un esfuerzo más amplio por parte de la Comisión para lograr un enfoque coherente y eficaz en relación con la transferencia de datos del PNR a terceros países, tal como se anunció en la Estrategia para una Unión de la Seguridad 2020-2025 23 , sobre la base de las normas y métodos recomendados de la OACI en materia del PNR y de conformidad con el Derecho y la jurisprudencia de la Unión. El Consejo también exigió dicho enfoque en sus Conclusiones de Junio de 2021 24 .
Mediante el presente Acuerdo, la Comisión también pretende dar respuesta a las peticiones de las compañías aéreas para que se ofrezca una mayor claridad jurídica y previsibilidad con respecto a las transferencias del PNR a terceros países 25 .
2.BASE JURÍDICA, SUBSIDIARIEDAD Y PROPORCIONALIDAD
•Base jurídica
El artículo 218, apartado 5, del Tratado de Funcionamiento de la Unión Europea (TFUE) contempla la adopción de una decisión «por la que se autorice la firma del acuerdo y, en su caso, su aplicación provisional antes de la entrada en vigor». Dado que el objeto de la propuesta es que se conceda la autorización para firmar el Acuerdo, la base jurídica procedimental es el artículo 218, apartado 5, del TFUE.
La propuesta tiene dos objetivos y componentes principales, uno relativo a la necesidad de garantizar la seguridad pública mediante la transferencia de datos del PNR a Noruega y otro relativo a la protección de la vida privada y otros derechos y libertades fundamentales de las personas. La base jurídica de la propuesta son, por tanto, el artículo 16, apartado 2, y el artículo 87, apartado 2, letra a), del Tratado de Funcionamiento de la Unión Europea.
•Proporcionalidad
Los objetivos de la Unión con respecto a la presente propuesta, tal como se ha expuesto anteriormente, solo pueden alcanzarse mediante el establecimiento de una base jurídica válida a escala de la Unión que garantice una protección adecuada de los derechos fundamentales a las transferencias de datos personales desde la Unión. Las disposiciones del Acuerdo se limitan a lo necesario para alcanzar sus objetivos principales y lograr un equilibrio justo entre el objetivo legítimo de mantener la seguridad pública y el derecho de toda persona a la protección de sus datos personales y su vida privada.
•Elección del instrumento
Las salvaguardias adecuadas necesarias para el tratamiento específico de datos del PNR recibidos por Noruega de las compañías aéreas sobre vuelos gestionados por operadores entre la Unión y Noruega deben establecerse mediante una base jurídica adecuada y en consonancia con el Derecho de la UE. El presente Acuerdo constituye la base jurídica para permitir la transferencia de datos del PNR.
•Derechos fundamentales
El intercambio de datos del PNR y su tratamiento por parte de las autoridades de un tercer país constituye una injerencia en los derechos fundamentales a la vida privada y a la protección de datos. No obstante, dicha injerencia también puede justificarse en la medida en que el Acuerdo persigue objetivos legítimos, a saber, la prevención, detección, investigación y enjuiciamiento de delitos graves y actos de terrorismo. El Acuerdo ofrece salvaguardias adecuadas de protección de datos para los datos personales transferidos y tratados de conformidad con el Derecho de la UE, en particular los artículos 7, 8, 47 y 52 de la Carta de los Derechos Fundamentales de la UE.
3.REPERCUSIONES PRESUPUESTARIAS
La propuesta no tiene repercusiones presupuestarias para el presupuesto de la Unión.
4.OTROS ELEMENTOS
•Explicación detallada de las disposiciones específicas de la propuesta
El Acuerdo, plenamente conforme con la Carta de los Derechos Fundamentales de la UE, la jurisprudencia pertinente del Tribunal de Justicia de la UE y las directrices de negociación, ofrece la base jurídica, las condiciones y las salvaguardias necesarias para transferir a Noruega datos del PNR procedentes de compañías aéreas de la Unión y el posterior tratamiento de dichos datos por parte de este país:
El artículo 1 establece el ámbito de aplicación y los objetivos del Acuerdo.
El artículo 2 recoge las definiciones clave del Acuerdo; como, por ejemplo, la «Unidad de Información sobre los Pasajeros» (UIP) de Noruega, designada autoridad competente para encargarse del tratamiento de datos del PNR, o los conceptos «delito grave» y «delito de terrorismo», de conformidad con sus definiciones en otros instrumentos jurídicos pertinentes de la UE.
El artículo 3 determina el método y la frecuencia de las transferencias de datos del PNR por parte de las compañías aéreas a la UIP de Noruega, con el objetivo de asegurar que dichas transferencias de datos del PNR se limiten al mínimo imprescindible y sean proporcionales a los objetivos previstos en el presente Acuerdo.
El artículo 4 prevé una solución técnica común que incluye la posibilidad de que Noruega haga uso del enrutador API-PNR creado de conformidad con el Reglamento (UE) 2025/13 26 y según lo previsto en su artículo 10, letra c).
El artículo 5 determina la limitación de la finalidad, es decir, la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y los delitos graves, de manera exhaustiva en relación con todo el tratamiento de datos del PNR a que se refiere el presente Acuerdo.
El artículo 6 establece tres modalidades específicas para el tratamiento de datos del PNR recibidos en el marco del presente Acuerdo por la UIP noruega.
El artículo 7 proporciona salvaguardias adicionales para llevar a cabo «evaluaciones en tiempo real» y limita el tratamiento automático de los datos del PNR.
El artículo 8 prohíbe el tratamiento de categorías especiales de datos del PNR de conformidad con la definición de este concepto en el acervo de protección de datos de la UE.
El artículo 9 ofrece un elevado nivel de seguridad para los datos del PNR recibidos en el marco del presente Acuerdo y asegura la notificación de los fallos de seguridad de los datos a la autoridad de control de la protección de datos noruega designada.
El artículo 10 prevé el mantenimiento de registros y de documentación relativos a todo el tratamiento del PNR.
El artículo 11 recoge normas para el almacenamiento restringido de datos del PNR con el objetivo de velar por que los datos no se almacenen por más tiempo del necesario y que dicho almacenamiento sea proporcional al objetivo perseguido por el presente Acuerdo. De conformidad con la jurisprudencia pertinente del Tribunal de Justicia de la Unión Europea, esta disposición requiere una relación objetiva entre el hecho de que los datos del PNR se conserven y los objetivos del acuerdo, y deja los períodos de almacenamiento sujetos a revisiones periódicas por parte de la UIP de Noruega.
El artículo 12 exige que la UIP noruega anonimice los datos del PNR transcurridos seis meses a más tardar.
El artículo 13 incluye normas y condiciones sobre la comunicación de datos del PNR dentro de Noruega, por ejemplo limitando dichas comunicaciones a las autoridades con funciones relacionadas con los objetivos del Acuerdo o exigiendo su aprobación previa por parte de una autoridad judicial u otro organismo independiente.
El artículo 14 incluye normas y condiciones para la comunicación de datos del PNR fuera de Noruega y de la UE, por ejemplo, limitando dichas comunicaciones a aquellos terceros países con los que la UE haya celebrado un acuerdo comparable o con respecto a los cuales la UE haya adoptado una decisión de adecuación pertinente, y exigiendo su aprobación previa por parte de una autoridad judicial u otro organismo independiente.
El artículo 15 promueve la cooperación policial y judicial mediante el intercambio de datos del PNR o de resultados del tratamiento de datos del PNR entre la UIP noruega y las UIP de los Estados miembros de la Unión, así como entre la UIP noruega, por un lado, y Europol o Eurojust en el marco de sus respectivas competencias, por otro.
El artículo 16 exige que Noruega aplique los mismos derechos y obligaciones que la Directiva (UE) 2016/680 al tratamiento de datos personales en el marco del presente Acuerdo y que dicho tratamiento sea supervisado por una autoridad independiente creada de conformidad con la aplicación de dicha Directiva por parte de Noruega.
El artículo 17 recoge obligaciones en materia de transparencia e información, incluido el requisito de notificar a los particulares la comunicación de sus datos del PNR.
El artículo 18 prevé la obligación de que Noruega notifique la identidad de su UIP y de la autoridad de supervisión nacional.
El artículo 19 establece la entrada en vigor del Acuerdo.
El artículo 20 prevé mecanismos de resolución de litigios y de suspensión.
El artículo 21 prevé la posibilidad de que cualquiera de las Partes ponga fin al Acuerdo en cualquier momento.
El artículo 22 prevé normas para realizar modificaciones del Acuerdo.
El artículo 23 prevé la evaluación conjunta de la ejecución del Acuerdo.
El artículo 24 recoge una cláusula sobre la aplicación territorial del Acuerdo.
2025/0144 (NLE)
Propuesta de
DECISIÓN DEL CONSEJO
sobre la firma, en nombre de la Unión Europea, de un Acuerdo entre la Unión Europea y el Reino de Noruega relativo a la transferencia de datos del registro de nombres de los pasajeros (PNR) con fines de prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de los delitos graves
EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 16, apartado 2, y su artículo 87, apartado 2, letra a), en relación con su artículo 218, apartado 5,
Vista la propuesta de la Comisión Europea,
Considerando lo siguiente:
(1)El 4 de marzo de 2024, el Consejo autorizó la apertura de negociaciones sobre un Acuerdo entre la Unión Europea y Noruega relativo a la transferencia de datos del registro de nombres de los pasajeros (PNR) con fines de prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de los delitos graves (en lo sucesivo, el «Acuerdo»). Las negociaciones concluyeron con éxito con la rúbrica del Acuerdo el 9 de abril de 2025.
(2)El Acuerdo permite la transferencia de datos del PNR por parte de las compañías aéreas de la Unión al Reino de Noruega respetando plenamente los derechos contemplados en la Carta de los Derechos Fundamentales de la Unión Europea, en particular el derecho a la vida privada y familiar, reconocido en el artículo 7 de la Carta, y el derecho a la protección de datos de carácter personal, reconocido en su artículo 8. En particular, el Acuerdo ofrece salvaguardias adecuadas para la protección de los datos personales transferidos en el marco del mismo.
(3)El Acuerdo fomenta la cooperación policial y judicial entre las autoridades competentes del Reino de Noruega y de los Estados miembros de la Unión así como con Europol y Eurojust, con el objetivo de mejorar sus capacidades para reforzar las fronteras exteriores y velar eficazmente por la seguridad interior en ausencia de controles fronterizos interiores dentro del espacio Schengen.
(4)[De conformidad con los artículos 1 y 2 del Protocolo n.º 21 sobre la posición del Reino Unido y de Irlanda respecto del espacio de libertad, seguridad y justicia, anejo al Tratado de la Unión Europea y al Tratado de Funcionamiento de la Unión Europea, y sin perjuicio del artículo 4 de dicho Protocolo, Irlanda no participa en la adopción de la presente Decisión y no queda vinculada por ella ni sujeta a su aplicación.] O [De conformidad con el artículo 3 del Protocolo n.º 21 sobre la posición del Reino Unido y de Irlanda respecto del espacio de libertad, seguridad y justicia, anejo al Tratado de la Unión Europea y al Tratado de Funcionamiento de la Unión Europea, Irlanda ha notificado [, mediante carta de ...,] su deseo de participar en la adopción y aplicación de la presente Decisión.]
(5)De conformidad con los artículos 1 y 2 del Protocolo n.º 22 sobre la posición de Dinamarca, anejo al Tratado de la Unión Europea y al Tratado de Funcionamiento de la Unión Europea, Dinamarca no participa en la adopción de la presente Decisión y no queda vinculada por ella ni sujeta a su aplicación.
(6)El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42 del Reglamento (UE) 2018/1725, emitió su dictamen [xxx] el [xx.xx.xxxx].
(7)Por tanto, procede firmar el Acuerdo.
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1
Se autoriza la firma, en nombre de la Unión, del Acuerdo entre la Unión Europea y el Reino de Noruega relativo a la transferencia de datos del registro de nombres de los pasajeros (PNR) con fines de prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de los delitos graves, a reserva de la celebración de dicho Acuerdo 27 .
Artículo 2
La presente Decisión entrará en vigor el día de su adopción.
Hecho en Bruselas, el
Por el Consejo
El Presidente / La Presidenta
COMISIÓN EUROPEA
Bruselas, 12.6.2025
COM(2025) 282 final
ANEXO
de la
Propuesta de Decisión del Consejo
relativa a la firma, en nombre de la Unión Europea, de un Acuerdo entre la Unión Europea y el Reino de Noruega relativo a la transferencia de datos del registro de nombres de los pasajeros (PNR) con fines de prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de los delitos graves
ANEXO
ACUERDO ENTRE LA UNIÓN EUROPEA Y EL REINO DE NORUEGA SOBRE LA TRANSFERENCIA DE DATOS DEL REGISTRO DE NOMBRES DE LOS PASAJEROS (PNR) PARA LA PREVENCIÓN, DETECCIÓN, INVESTIGACIÓN Y ENJUICIAMIENTO DE LOS DELITOS DE TERRORISMO Y DE LOS DELITOS GRAVES
LA UNIÓN EUROPEA, en lo sucesivo, la «Unión» o la «UE»,
y
el Reino de Noruega, en lo sucesivo, «Noruega»,
conjuntamente y en lo sucesivo denominadas «las Partes»,
RECONOCIENDO que prevenir, detectar, investigar y enjuiciar los delitos de terrorismo, así como otros delitos graves, respetando al mismo tiempo los derechos humanos y las libertades fundamentales, en particular el derecho a la vida privada y a la protección de datos, son objetivos de interés común;
RECONOCIENDO que el intercambio de información es un componente fundamental de la lucha contra los delitos de terrorismo y la delincuencia grave, y que, en este contexto, el uso de los datos del registro de nombres de los pasajeros (« PNR ») constituye una herramienta esencial para alcanzar estos objetivos;
RECONOCIENDO la importancia de la puesta en común de datos del PNR y de información analítica adecuada y pertinente basada en dichos datos en el marco del presente Acuerdo entre las Partes y con las autoridades judiciales y policiales competentes de Noruega, los Estados miembros de la Unión Europea y Europol como medio para fomentar la cooperación policial y judicial;
CON ÁNIMO de mejorar y alentar la cooperación entre las Partes en torno al PNR mediante el intercambio de información y la cooperación técnica de expertos nacionales de los Estados miembros y las Unidades de Información sobre los Pasajeros (UIP) de los países asociados a Schengen, en particular en relación con el desarrollo de criterios preestablecidos y otros elementos del tratamiento del PNR;
VISTAS las resoluciones del Consejo de Seguridad de las Naciones Unidas 2396 (2017) y 2482 (2019), por las que se insta a todos los Estados a que desarrollen su capacidad para la recogida y el uso de datos del PNR, y las normas y métodos recomendados de la Organización de Aviación Civil Internacional para la recogida, utilización, tratamiento y protección de datos del PNR, adoptados mediante la enmienda 28 del anexo 9 del Convenio sobre Aviación Civil Internacional (Convenio de Chicago);
RECORDANDO que las Partes comparten la responsabilidad de velar por la seguridad interior dentro del espacio Schengen mediante, entre otros medios, el intercambio de información pertinente, y que el presente Acuerdo facilita a las autoridades competentes de las Partes una herramienta adecuada para alcanzar dicho objetivo en ausencia de controles fronterizos interiores;
RECONOCIENDO que el presente Acuerdo no se aplicará a la información anticipada sobre los pasajeros recogida y transmitida por las compañías aéreas a Noruega a efectos del control fronterizo;
TENIENDO PRESENTES los compromisos de la Unión Europea en virtud del artículo 6 del Tratado de la Unión Europea sobre el respeto de los derechos fundamentales, el derecho a la vida privada en relación con el tratamiento de datos personales regulado en el artículo 16 del Tratado de Funcionamiento de la Unión Europea, los principios de proporcionalidad y necesidad relativos al derecho a la vida privada y familiar, el respeto de la vida privada, y la protección de los datos personales conforme a los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea en consonancia con la jurisprudencia pertinente del Tribunal de Justicia de la Unión Europea, el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, el Convenio n.º 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal y su Protocolo adicional 181;
RECONOCIENDO que, en virtud de la legislación noruega, la transferencia de datos del PNR por parte de las compañías aéreas a Noruega es obligatoria;
RECONOCIENDO que la Directiva (UE) 2016/681del Parlamento Europeo y del Consejo relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave constituye la base para que las compañías aéreas transfieran datos del PNR a las autoridades competentes de los Estados miembros y que junto con el Reglamento 2016/679 y la Directiva 2016/680, ofrece un elevado nivel de protección de los derechos fundamentales, en particular, el derecho a la vida privada y el derecho a la protección de los datos de carácter personal;
RECONOCIENDO que Noruega, de conformidad con su Acuerdo de 1999 con el Consejo de la Unión Europea 1 referente a su asociación a la ejecución, la aplicación y el desarrollo del acervo de Schengen, ha aprobado, ejecutado y aplicado la Directiva (UE) 2016/680, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, en la medida en que esta Directiva constituye un desarrollo del acervo de Schengen, y que, además, teniendo en cuenta que la aplicación de la Directiva (UE) 2016/680 por parte de Noruega concierne al tratamiento de los datos personales en el marco de los instrumentos jurídicos que forman parte del acervo de Schengen, es preciso aclarar que la aplicación de la Directiva por parte de Noruega también engloba el tratamiento de datos personales por parte de las autoridades competentes en el marco del presente Acuerdo;
RECONOCIENDO que las compañías aéreas que estén establecidas en la Unión Europea u ofrezcan sus servicios dentro de ella están obligadas a tratar los datos personales respetando el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, y que dicho Reglamento es aplicable también en el Espacio Económico Europeo (EEE), incorporado en el Acuerdo EEE mediante la Decisión n.º 154/2018 del Comité Mixto del EEE de 6 de julio de 2018;
RECORDANDO el derecho de libre circulación de personas en el Espacio Económico Europeo (EEE), previsto en el artículo 1, apartado 2, y los artículos 28 y 31 del Acuerdo EEE, y que todo sistema nacional que requiera la transferencia de datos del PNR por parte de las compañías aéreas y el tratamiento de dichos datos por parte de las autoridades competentes puede interferir en el mencionado derecho de libre circulación de personas, y que, por consiguiente, toda injerencia en el ejercicio de dicha libertad está justificada únicamente cuando se base en consideraciones objetivas y sea proporcionada al objetivo legítimo perseguido,
HAN CONVENIDO EN LO SIGUIENTE:
CAPÍTULO I
DISPOSICIONES GENERALES
ARTÍCULO 1
Objetivo y ámbito de aplicación
1)El objetivo del presente Acuerdo es permitir la transferencia de datos del registro de nombres de los pasajeros (PNR) por parte de compañías aéreas de la Unión a Noruega así como establecer las normas y condiciones por las que debe regirse el tratamiento de dichos datos del PNR por parte de Noruega.
2)El objetivo del presente Acuerdo también es reforzar la cooperación policial y judicial entre la Unión y Noruega en lo relativo a los datos del PNR.
3)El ámbito de aplicación del presente Acuerdo engloba tanto las compañías aéreas que operan vuelos de pasajeros entre la Unión y Noruega como las compañías aéreas que incorporan o almacenan datos en la Unión y operan vuelos con origen o destino en Noruega.
ARTÍCULO 2
Definiciones
A efectos del presente Acuerdo, se entenderá por:
1)«compañía aérea»: empresa de transporte aéreo con una licencia de explotación válida o similar que le permita llevar a cabo el transporte de pasajeros por vía aérea entre la Unión y Noruega;
2)«autoridades competentes»: las autoridades públicas que, en virtud de la legislación nacional noruega, son responsables de la prevención, detección, investigación o enjuiciamiento de los delitos de terrorismo u otros delitos graves;
3)«pasajero»: toda persona, incluidos los pasajeros en tránsito o en conexión y exceptuados los miembros de la tripulación, transportada o que vaya a ser transportada a bordo de una aeronave con el consentimiento de la compañía aérea, lo cual se manifiesta en la inclusión de la persona en la lista de pasajeros;
4)«Unidad de Información sobre los Pasajeros de Noruega» o «UIP noruega»: la autoridad creada para recibir y tratar los datos del PNR o designada por Noruega a tal efecto de conformidad con el artículo 6 del presente Acuerdo;
5)«registro de nombres de los pasajeros» o «PNR»: una relación de los requisitos de viaje impuestos a cada pasajero, que incluye toda la información necesaria para el tratamiento y el control de las reservas por parte de las compañías aéreas que las realizan y participan en el sistema PNR, por cada viaje reservado por una persona o en su nombre, ya estén contenidos en sistemas de reservas, en sistemas de control de salidas utilizado para embarcar a los pasajeros en el vuelo o en sistemas equivalentes que posean las mismas funcionalidades; a efectos del presente Acuerdo, los datos del PNR consistirán específicamente en los elementos enumerados de manera exhaustiva en el anexo I;
6)«delitos graves»: delitos que son punibles con una pena máxima privativa de libertad o un auto de internamiento de una duración no inferior a tres años con arreglo al Derecho nacional de Noruega que tengan un vínculo objetivo, aunque solo sea indirecto, con el transporte aéreo de pasajeros;
7)«delitos de terrorismo»:
a)un acto u omisión cometido con fines, objetivos o motivos políticos, religiosos o ideológicos, con la intención de intimidar al público por lo que respecta a su seguridad, incluida su seguridad económica, o con la intención de obligar a una persona, Gobierno u organización nacional o internacional a hacer o no hacer algo, y que intencionadamente: i) cause la muerte o lesiones corporales graves; ii) ponga en peligro la vida de las personas; iii) provoque un riesgo grave para la salud o la seguridad pública; iv) provoque daños materiales importantes que puedan ocasionar perjuicios contemplados en los incisos i) a iii); o v) cause interferencias o perturbaciones graves de un servicio, dispositivo o sistema esencial que no sea consecuencia de la defensa, legal o ilegal, la protesta, el desacuerdo o el cese del trabajo, como la huelga, que no estén destinadas a causar los perjuicios mencionados en los incisos i) a iii); o
b)actividades constitutivas de delito en el ámbito de los convenios y protocolos internacionales aplicables en materia de terrorismo, y según se define en los mismos; o
c)de manera consciente, participar en cualquier actividad destinada a reforzar la capacidad de una organización terrorista para facilitar o llevar a cabo los actos u omisiones descritos en las letras a) o b), o contribuir a dichas actividades, o instruir a una persona, grupo u organización para llevar a cabo dichas actividades; o
d)la comisión de un delito grave cuando el acto u omisión constitutivo de delito se haya cometido en beneficio de, por instrucción de, o en asociación con una organización terrorista; o
e)la recogida de bienes o la invitación a una persona, un grupo o una organización a proporcionar, suministrar o poner a disposición bienes o servicios financieros o servicios conexos de otra índole para la realización de un acto u omisión descrito en las letras a) o b), o la utilización o posesión de propiedades con el objeto de realizar un acto u omisión descrito en las letras a) o b); o
f)la tentativa o la amenaza de cometer un acto u omisión descrito en las letras a) o b), la conspiración, facilitación, instrucción o asesoramiento en relación con un acto u omisión descrito en las letras a) o b), o la complicidad a posteriori, o el alojamiento u ocultación con el fin de permitir a una organización terrorista facilitar o llevar a cabo un acto u omisión descrito en las letras a) o b). o
g)el viaje con destino u origen en Noruega o un Estado miembro de la Unión con la intención de cometer un delito terrorista en el sentido de las letras a) o b) o de contribuir a su comisión, o con la intención de participar en las actividades de una organización terrorista en el sentido del punto 8 a sabiendas de que su participación contribuirá a las actividades delictivas de dicha organización terrorista;
8)«organización terrorista»: i) una persona, un grupo o una organización que tenga como uno de sus objetivos o actividades facilitar o realizar un acto u omisión descrito en el punto 7, letras a) o b); ii) una persona, un grupo o una organización que a sabiendas actúe en nombre de una persona, grupo u organización contemplados en el inciso i), bajo su dirección o en asociación con estos.
CAPÍTULO II
TRANSFERENCIA DE DATOS DEL PNR
ARTÍCULO 3
Método y frecuencia de la transferencia
1)Noruega velará por que las compañías aéreas transfieran datos del PNR a la UIP noruega únicamente mediante el trasvase de dichos datos a la base de datos de la autoridad solicitante (en adelante, «método de transmisión») y de conformidad con los siguientes procedimientos que las compañías aéreas deben respetar:
a)por medios electrónicos de conformidad con los requisitos técnicos de la UIP noruega o, en caso de fallo técnico, por cualquier otro medio apropiado que garantice un nivel adecuado de seguridad de los datos;
b)mediante un formato de mensajería definido de común acuerdo, y de una forma segura utilizando los protocolos comunes requeridos por la UIP noruega;
c)ya sea directamente o a través de agentes autorizados que actúen en nombre y bajo la responsabilidad de una compañía aérea, a los efectos del presente Acuerdo y en virtud de las condiciones en él establecidas.
2)Noruega no exigirá a las compañías aéreas que faciliten elementos de datos del PNR que no hayan sido obtenidos o recabados previamente por dichas compañías a efectos de la realización de sus reservas o en el transcurso normal de su actividad.
3)Noruega velará por que la UIP noruega elimine todo elemento de datos recibido de una compañía aérea de conformidad con el presente Acuerdo nada más obtenerlo, si dicho elemento de datos no forma parte de la enumeración del Anexo I.
4)Noruega se asegurará de que la UIP noruega exija a las compañías aéreas que transfieran los datos del PNR:
a)de forma programada, por primera vez 48 horas antes de la hora prevista para la salida del vuelo; y
b)en un máximo de cinco veces por cada vuelo.
5)Noruega permitirá que las compañías aéreas limiten la transferencia a que se refiere el apartado 4, letra b), a las actualizaciones de datos del PNR transferidos de conformidad con la letra a) del mismo apartado.
6)Noruega garantizará que la UIP noruega comunique a las compañías aéreas las horas concretas de las transferencias.
7)En casos concretos en los que existan indicios de la necesidad de facilitar un acceso adicional con el fin de responder a una amenaza específica relacionada con los objetivos contemplados en el artículo 5, la UIP noruega podrá exigir a una compañía aérea que facilite datos del PNR antes, entre o después de las transmisiones programadas. En el ejercicio de esta facultad discrecional, Noruega actuará de forma razonable y proporcionada y utilizará el método de transmisión descrito en el apartado 1.
ARTÍCULO 4
Enrutador API-PNR
1)Las Partes podrán decidir que Noruega exija a las compañías aéreas que transfieran los datos del PNR a la UIP noruega mediante el enrutador API-PNR creado de conformidad con el Reglamento (UE) 2025/13 2 . En tal caso, Noruega:
a)no exigirá a las compañías aéreas que transfieran datos del PNR por otros medios;
b)quedará vinculada por las normas sobre el funcionamiento y las condiciones de uso de dicho enrutador según lo previsto en el mencionado Reglamento y no obstante lo dispuesto en el artículo 3, apartados 1, 4 y 6.
2)Noruega comunicará a la Unión su solicitud para utilizar dicho enrutador. La Unión aceptará dicha solicitud por escrito y por vía diplomática.
3)La Unión comunicará a Noruega, por escrito y por vía diplomática, toda modificación del Reglamento (UE) 2025/13 que repercuta en las normas sobre el funcionamiento y las condiciones de uso del enrutador API-PNR. En un plazo de 120 días a partir de la recepción de esta comunicación, Noruega podrá notificar a la Unión, por escrito y por vía diplomática, su intención de interrumpir el uso del enrutador. En tal caso, las Partes celebrarán consultas según lo previsto en el artículo 23, apartado 1, y se aplicará de nuevo el artículo 3, apartados 1, 4 y 6.
CAPÍTULO III
Tratamiento y protección del PNR
ARTÍCULO 5
Objetivos del tratamiento del PNR
Noruega velará por que los datos del PNR recibidos de conformidad con el presente Acuerdo se traten con el propósito exclusivo de prevenir, detectar, investigar o enjuiciar delitos de terrorismo o delitos graves.
ARTÍCULO 6
Modalidades de tratamiento del PNR
La UIP noruega tratará los datos del PNR únicamente por medio de las siguientes modalidades de tratamiento específicas:
a)realizando una evaluación de los pasajeros antes de su llegada o salida programada desde o hacia Noruega, a fin de identificar a toda persona que deba ser examinada de nuevo por las autoridades competentes, ante la posibilidad de que dicha persona pueda estar implicada en un delito de terrorismo o un delito grave de conformidad con el artículo 7 (en adelante, «evaluación en tiempo real»);
b)realizando una búsqueda en la base de datos de los datos del PNR conservados con el objetivo de responder, caso por caso, a una solicitud debidamente justificada enviada conforme a los artículos 13 y 14 y, cuando proceda, comunicar los datos del PNR o los resultados de su tratamiento que resulten pertinentes;
c)analizando los datos del PNR con el fin de actualizar, poner a prueba o establecer nuevos criterios para las evaluaciones realizadas de conformidad con el artículo 7, apartado 1, letra b), a fin de identificar a toda persona que pueda estar implicada en un delito de terrorismo o delito grave.
ARTÍCULO 7
Evaluación en tiempo real
1)Cuando realice una evaluación según lo previsto en el artículo 6, letra a), la UIP noruega podrá:
a)comparar los datos del PNR únicamente con bases de datos de personas u objetos buscados o sobre los que exista algún tipo de aviso, de conformidad con las normas nacionales, internacionales y de la Unión aplicables a dichas bases de datos; y
b)tratar los datos del PNR siguiendo unos criterios preestablecidos.
2)Noruega velará por que las bases de datos previstas en el apartado 1, letra a), no sean discriminatorias, resulten fiables, estén actualizadas y se limiten a las empleadas por las autoridades noruegas competentes en relación con los fines establecidos en el artículo 5 y sean pertinentes para alcanzarlos.
3)Noruega se asegurará de que toda evaluación de los datos del PNR según lo previsto en el apartado 1, letra b), se base en modelos y criterios no discriminatorios, específicos y fiables que permitan a la UIP noruega llegar a resultados que seleccionen a aquellas personas sobre quienes pueda recaer una sospecha razonable de participación en delitos de terrorismo o delitos graves. Noruega velará por que dichos criterios no se basen, bajo ningún concepto, en el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, la salud, ni la vida u orientación sexual de las personas.
4)Noruega se asegurará de que la UIP noruega revise individualmente, por medios distintos a los automáticos, toda coincidencia surgida del tratamiento en tiempo real de los datos del PNR.
ARTÍCULO 8
Categorías especiales de datos
1)Se prohíbe en virtud del presente Acuerdo todo tratamiento de datos del PNR que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas y la afiliación sindical, así como el tratamiento de los datos genéticos, los datos biométricos tratados con el objetivo de identificar de manera unívoca a una persona física, los datos relativos a la salud o los datos relativos a la vida sexual o la orientación sexual de una persona física.
2)En la medida en que los datos del PNR recibidos por la UIP noruega en virtud del presente Acuerdo contengan tales categorías especiales de datos personales, la UIP noruega los eliminará inmediatamente.
ARTÍCULO 9
Seguridad e integridad de los datos
1)Noruega velará por que los datos del PNR recibidos en el marco del presente Acuerdo se traten de un modo que garantice un elevado nivel de seguridad de los datos adecuado a los riesgos que presenten el tratamiento y el carácter de los datos del PNR recibidos en virtud del presente Acuerdo. En particular, la UIP noruega:
a)pondrá en práctica procedimientos y medidas técnicos y organizativos adecuados para velar por dicho nivel de seguridad;
b)aplicará procedimientos de cifrado, autorización y documentación a los datos del PNR;
c)limitará el acceso a los datos del PNR a personal autorizado; y
d)almacenará los datos del PNR en un entorno físico seguro y protegido con controles de acceso.
2)2.Noruega velará por que toda vulneración de la seguridad de los datos, y en particular la que resulte en una destrucción accidental o ilegal o en una pérdida accidental, alteración, divulgación o acceso no autorizados o cualquier forma ilegal de tratamiento conlleve medidas correctivas efectivas y disuasorias que podrán incluir sanciones.
3)3.Noruega notificará toda vulneración de la seguridad de los datos a la autoridad de supervisión nacional creada de conformidad con el artículo 41 de la Directiva (UE) 2016/680.
ARTÍCULO 10
Registro y documentación del tratamiento de los datos del PNR
1)La UIP noruega registrará y documentará todo tratamiento de datos del PNR. Noruega solamente utilizará estos registros o documentos para:
a)controlar y verificar la legalidad del tratamiento de datos;
b)garantizar la adecuada integridad de los datos o la funcionalidad del sistema;
c)garantizar la seguridad del tratamiento de los datos; y
d)garantizar la supervisión y la responsabilidad de la administración pública.
2)Previa solicitud de la autoridad de supervisión nacional, se comunicarán los registros o la documentación conservados de conformidad con el apartado 1; una información que dicha autoridad utilizará únicamente para supervisar la protección de datos y velar por un correcto tratamiento de los mismos así como por su integridad y seguridad.
CAPÍTULO IV
ALMACENAMIENTO Y DIVULGACIÓN DE LOS DATOS DEL PNR
ARTÍCULO 11
Períodos de almacenamiento
1)Noruega velará por que los datos del PNR recibidos en el marco del presente acuerdo se almacenen:
a)únicamente mientras exista una conexión objetiva (aunque esta sea indirecta) entre los datos del PNR almacenados y al menos uno de los objetivos establecidos en el artículo 5; y
b)en cualquier caso por un período que no supere los cinco años.
2)De conformidad con el apartado 1, la UIP noruega solo podrá almacenar datos del PNR de todos sus pasajeros por un período inicial que la legislación nacional debe prever. La duración de dicho período inicial no superará lo estrictamente necesario para que la UIP pueda llevar a cabo las búsquedas previstas en el artículo 6, apartado 1, letra b), a efectos de identificar a aquellas personas sobre las que no haya existido una sospecha previa de participación en delitos de terrorismo o en otros delitos graves sobre la base de la evaluación en tiempo real conforme al artículo 6, apartado 1, letra a).
3)Tras dicho período inicial previsto en el apartado 2, Noruega solo podrá almacenar datos del PNR de aquellos pasajeros con relación a los cuales existan pruebas objetivas que permitan determinar la existencia de un riesgo relacionado con delitos de terrorismo o con otros delitos graves.
4)Noruega velará por que la UIP noruega revise periódicamente la necesidad de seguir almacenando datos del PNR en virtud de los apartados 2 y 3 de dicho artículo.
5)Una vez concluido el período de almacenamiento apropiado, Noruega se asegurará de que los datos del PNR se eliminen irrevocablemente o se anonimicen de tal manera que ya no sea posible identificar a los interesados.
6)No obstante lo dispuesto en el apartado 1, letra b), Noruega podrá permitir el almacenamiento de datos del PNR necesarios para una revisión, investigación, medida de ejecución, procedimiento judicial, enjuiciamiento o ejecución de penas específicos, hasta que el procedimiento pertinente haya concluido.
ARTÍCULO 12
Anonimización
1)La UIP noruega anonimizará los datos del PNR seis meses después de haberlos recibido a más tardar. Para ello, ocultará los siguientes elementos de datos que podrían servir para identificar directamente al pasajero a que se refieren los datos del PNR:
a)nombre(s), incluidos los nombres de otros pasajeros del PNR y el número de pasajeros del PNR que viajan juntos;
b)dirección y datos de contacto;
c)toda información de pago, especialmente la dirección de facturación, en la medida en que contenga información que pueda servir para identificar directamente al pasajero a que se refieren los datos del PNR o a otras personas;
d)información de viajero frecuente;
e)observaciones generales en la medida en que contengan cualquier información que pueda servir para para identificar directamente al pasajero a que se refieren los datos del PNR; y
f)todo dato API recabado.
2)La UIP noruega podrá comunicar los elementos de datos contemplados en el apartado 1 únicamente a los efectos del artículo 5 y de conformidad con las condiciones previstas en los artículos 13 o 14.
ARTÍCULO 13
Divulgación en Noruega
1)Cuando responda a una solicitud debidamente razonada enviada por una autoridad competente de conformidad con el artículo 6, letra b), la UIP noruega comunicará, caso por caso, los datos del PNR o los resultados de su tratamiento únicamente si:
a)dicha divulgación es necesaria para alcanzar alguno de los objetivos establecidos en el artículo 5;
b)se divulga la mínima cantidad posible de datos del PNR necesarios;
c)las autoridades receptoras competentes ofrecen una protección equivalente a las salvaguardias previstas en el presente Acuerdo;
d)una autoridad judicial u otro organismo independiente competente en virtud de la legislación nacional para comprobar si se cumplen las condiciones para divulgar los datos aprueba su divulgación.
2)No obstante lo dispuesto en el apartado 1, letra d), la UIP noruega divulgará datos del PNR sin revisión ni autorización previa en situaciones de urgencia debidamente justificadas. En tales casos, la revisión prevista en el apartado 1, letra b), deberá efectuarse en un plazo breve.
3)Noruega velará por que la autoridad receptora competente no comunique datos del PNR a otra autoridad salvo que la UIP noruega haya autorizado explícitamente dicha divulgación.
ARTÍCULO 14
Divulgación fuera de Noruega y de la UE
1)Cuando responda a una solicitud debidamente razonada enviada por una autoridad competente de un país distinto a los Estados miembros de la Unión Europea de conformidad con el artículo 6, letra b), la UIP noruega divulgará, caso por caso, los datos del PNR o los resultados de su tratamiento únicamente si:
a)dicha divulgación es necesaria para alcanzar alguno de los objetivos establecidos en el artículo 5;
b)se divulga la mínima cantidad posible de datos del PNR necesarios;
c)el país a cuya autoridad vayan a comunicarse los datos del PNR ha celebrado un acuerdo con la Unión que establece una protección de los datos personales comparable al presente Acuerdo, o está sujeto a una decisión de la Comisión Europea conforme al Derecho de la Unión en la que se concluye que dicho tercer país garantiza un nivel adecuado de protección de los datos en el sentido del Derecho de la Unión;
d)una autoridad judicial u otro organismo independiente competente en virtud de la legislación nacional para comprobar si se cumplen las condiciones para divulgar los datos aprueba su divulgación.
2)No obstante lo dispuesto en el apartado 1, letra c), la UIP noruega podrá comunicar los datos del PNR a otro país cuando considera que su divulgación es necesaria para la prevención o investigación de una amenaza grave e inminente para la seguridad pública y si dicho país garantiza por escrito, en virtud de un convenio, acuerdo u otro, que la información se protegerá de conformidad con las salvaguardias establecidas en el presente Acuerdo.
3)No obstante lo dispuesto en el apartado 1, letra d), la UIP noruega divulgará datos del PNR sin revisión ni autorización previa en situaciones de urgencia debidamente justificadas. En tales casos, la revisión prevista en el apartado 1 deberá efectuarse en un plazo breve.
ARTÍCULO 15
Intercambio de información relativa al PNR
1)La UIP noruega comunicará a Europol o Eurojust, en sus respectivos ámbitos de competencia, o a las UIP de los Estados miembros los datos del PNR, los resultados del tratamiento de dichos datos, o la información analítica basada en los datos del PNR tan pronto como sea posible y cuando resulten necesarios en un caso específico para prevenir, detectar, investigar o enjuiciar un delito de terrorismo o un delito grave. La UIP noruega comunicará dicha información bien por iniciativa propia bien previa solicitud de Europol o Eurojust, en sus respectivos ámbitos de competencia, o de las UIP de los Estados miembros.
2)Las UIP de los Estados miembros comunicarán a la UIP noruega los datos del PNR, los resultados del tratamiento de dichos datos, o la información analítica basada en los datos del PNR tan pronto como sea posible y cuando resulten necesarios en un caso específico para prevenir, detectar, investigar o enjuiciar un delito de terrorismo o un delito grave. Las UIP de los Estados miembros comunicarán dicha información por iniciativa propia o previa solicitud de la UIP noruega.
3)Las Partes velarán por que la información contemplada en los apartados 1 y 2 se comparta de conformidad con las normas aplicables a la cooperación policial o al intercambio de información entre Noruega y Europol o Eurojust, o el Estado miembro de que se trate. En particular, el intercambio de información con Europol en virtud del presente artículo tendrá lugar mediante un canal de comunicación seguro para el intercambio de información.
CAPÍTULO V
PROTECCIÓN DE DATOS
ARTÍCULO 16
Derechos y obligaciones en el marco de la Directiva (UE) 2016/680
1)Noruega velará por que, en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes a los efectos del presente Acuerdo, se apliquen los mismos derechos y obligaciones que prevé la Directiva (UE) 2016/680, incluida toda modificación de esta última que haya sido aprobada y ejecutada por Noruega de conformidad con el Acuerdo celebrado con el Consejo de la Unión Europea e Islandia y Noruega en relación con la asociación de estos últimos países a la ejecución, la aplicación y el desarrollo del acervo de Schengen.
2)El tratamiento de los datos personales por parte de la UIP noruega será supervisado por una autoridad de supervisión independiente creada de conformidad con la ejecución y aplicación por parte de Noruega de la Directiva (UE) 2016/680, incluida toda modificación de esta última que haya sido aprobada y ejecutada por Noruega de conformidad con el Acuerdo celebrado con el Consejo de la Unión Europea e Islandia y Noruega en relación con la asociación de estos últimos países a la ejecución, la aplicación y el desarrollo del acervo de Schengen.
3)El presente artículo se entiende sin perjuicio de la aplicación de disposiciones más específicas previstas en el presente Acuerdo con relación al tratamiento de los datos del PNR.
ARTÍCULO 17
Transparencia e información
1)Noruega velará por que la UIP noruega publique la siguiente información en su sitio web:
a)una enumeración de la legislación por la que se autoriza la transferencia de datos del PNR por parte de las compañías aéreas;
b)los motivos para recabar y almacenar datos del PNR;
c)el modo de tratamiento y protección de los datos del PNR;
d)el modo y el alcance en que pueden comunicarse los datos del PNR a otras autoridades competentes; y
e)los datos de contacto para las solicitudes de información.
2)Noruega actuará en estrecha colaboración con las terceras partes interesadas, como la industria de la aviación y el transporte aéreo, para fomentar la transparencia en el momento de realizar las reservas respecto de la recogida, el tratamiento y el uso de datos del PNR, y sobre cómo solicitar el acceso, la corrección y el recurso.
3)Si los datos del PNR conservados de acuerdo con el artículo 11 se han divulgado de conformidad con el artículo 13 o el artículo 14, Noruega lo notificará, mediante un esfuerzo razonable, a los pasajeros afectados por los medios previstos en el artículo 13, apartado 2, letra d), de la Directiva 2016/680 y en un plazo razonable una vez que tal notificación no comprometa las investigaciones de las autoridades públicas de que se trate, en la medida en que la información de contacto del pasajero esté disponible o pueda recuperarse.
CAPÍTULO VI
DISPOSICIONES FINALES
ARTÍCULO 18
Notificaciones
1)Noruega notificará a la Unión, por vía diplomática, la identidad de las siguientes autoridades:
a)la UIP de Noruega a que se refiere el artículo 2, punto 4;
b)la autoridad de supervisión nacional a que se refiere el artículo 9, apartado 3.
2)Noruega notificará sin demora todo cambio en la identidad de las autoridades contempladas en el apartado 1.
3)La Unión pondrá dicha información a disposición del público.
ARTÍCULO 19
Entrada en vigor
1)El presente Acuerdo será aprobado por las Partes de conformidad con sus respectivos procedimientos.
2)El presente Acuerdo entrará en vigor el primer día del mes siguiente a la fecha de recepción de la notificación escrita mediante la cual Noruega haya comunicado la identidad de las autoridades contempladas en el artículo 18, apartado 1, o de las notificaciones mediante las cuales las Partes se hayan comunicado mutuamente, por vía diplomática, que los procedimientos previstos en el apartado 1 se han completado, si esta fecha es posterior.
ARTÍCULO 20
Resolución de conflictos y suspensión
1)Las Partes resolverán todo conflicto que se derive de la interpretación, aplicación o ejecución del presente Acuerdo mediante consultas con vistas a alcanzar una resolución de mutuo acuerdo, que conceda a las Partes la oportunidad de cumplir dicha resolución en un plazo de tiempo razonable.
2)Cualquiera de las Partes podrá suspender en su totalidad o en parte la aplicación del presente Acuerdo mediante notificación escrita por vía diplomática a la otra Parte. Esta notificación escrita no se efectuará hasta que las Partes hayan participado en las consultas un período de tiempo razonable. Dicha suspensión tendrá efecto a los dos meses de la notificación escrita, salvo que las Pastes acuerden lo contrario.
3)La Parte que haya suspendido la aplicación del presente Acuerdo informará inmediatamente a la otra Parte de la fecha en que volverá a aplicarse el presente Acuerdo, una vez que considere que las razones para suspenderlo ya no son válidas. La Parte que haya efectuado la suspensión informará a la otra Parte por escrito.
4)Noruega continuará aplicando los términos del presente Acuerdo a todos los datos del PNR obtenidos antes de la suspensión del mismo.
ARTÍCULO 21
Terminación
1)Cualquiera de las Partes podrá concluir el presente Acuerdo en cualquier momento mediante notificación escrita por vía diplomática. La terminación surtirá efecto tres meses después de la fecha de recepción de la notificación escrita.
2)Si cualquiera de las Partes notifica la terminación del presente Acuerdo, ambas Partes decidirán qué medidas se requieren para garantizar que toda cooperación iniciada en el marco del presente Acuerdo concluya de manera adecuada.
3)Noruega continuará aplicando los términos del presente Acuerdo a todos los datos del PNR obtenidos antes de la terminación del mismo.
ARTÍCULO 22
Modificaciones
1)Las modificaciones del presente Acuerdo podrán realizarse en cualquier momento, de común acuerdo entre las Partes. Las modificaciones del presente Acuerdo entrarán en vigor de conformidad con el artículo 19.
2)El Anexo del presente Acuerdo podrá actualizarse, de común acuerdo entre las Partes comunicado mediante notificación escrita intercambiada por vía diplomática. Dichas actualizaciones entrarán en vigor en la fecha contemplada en el artículo 19, apartado 2.
ARTÍCULO 23
Consulta y evaluación
1)Las Partes llevarán a cabo una consulta sobre las cuestiones relativas al seguimiento de la ejecución del presente Acuerdo. Se asesorarán mutuamente con relación a toda medida que pueda repercutir en el presente Acuerdo.
2)Si lo solicita cualquiera de las Partes y entre ellas lo deciden de común acuerdo, las Partes llevarán a cabo una evaluación conjunta de la ejecución del presente Acuerdo Cuando realicen esta evaluación, las Partes prestarán especial atención a la necesidad y proporcionalidad del tratamiento de los datos del PNR para cada uno de los objetivos establecidos en el artículo 5. Las Partes determinarán de antemano las modalidades de dicha evaluación.
ARTÍCULO 24
Ámbito de aplicación territorial
1)El presente Acuerdo se aplicará en el territorio de la Unión Europea, de conformidad con el Tratado de la Unión Europea y el Tratado de Funcionamiento de la Unión Europea, y en el territorio de Noruega.
2)A más tardar en la fecha de entrada en vigor del presente Acuerdo, la Unión Europea informará a Noruega de los Estados miembros a cuyos territorios se aplica el presente Acuerdo. Posteriormente, podrá notificar en cualquier momento cualquier cambio al respecto.
El presente Acuerdo se redacta por duplicado en lenguas alemana, búlgara, checa, croata, danesa, eslovaca, eslovena, española, estonia, finesa, francesa, griega, húngara, inglesa, irlandesa, italiana, letona, lituana, maltesa, neerlandesa, noruega, polaca, portuguesa, rumana y sueca, siendo cada uno de estos textos igualmente auténtico. En caso de divergencia entre las versiones del presente Acuerdo, prevalecerá el texto en lengua inglesa.
[firmas]
ANEXO
ELEMENTOS DE DATOS DEL REGISTRO DE NOMBRES DE LOS PASAJEROS
A QUE SE REFIERE EL ARTÍCULO 2, PUNTO 5
1. Localizador de registro PNR.
2. Fecha de reserva/emisión del billete.
3. Fecha o fechas de viaje previstas.
4. Nombre(s).
5. Dirección e información de contacto, en concreto, número de teléfono y dirección de correo electrónico de los pasajeros.
6. Información relativa a los métodos de pago del billete de avión y a su facturación.
7. Itinerario completo del viaje para el PNR específico.
8. Datos de viajero frecuente relativo a los pasajeros (estatus y número de viajero frecuente).
9. Agencia de viajes / operador de viajes.
10. Situación de vuelo del pasajero: confirmaciones, facturación, no comparecencia o pasajeros de última hora sin reserva.
11. Información del PNR escindida o dividida.
12. Información relativa a los menores de 18 años no acompañados: nombre, sexo, edad, idioma(s) hablado(s), nombre y datos de contacto del acompañante en el aeropuerto de salida y vínculo con el menor, nombre y datos de contacto del acompañante en el aeropuerto de llegada y vínculo con el menor, nombre del agente en el lugar de salida y de llegada.
13. Información sobre el billete, incluidos el número del billete, la fecha de emisión, los billetes solo de ida y la indicación de la tarifa de los billetes electrónicos.
14. Datos del asiento, incluido el número.
15. Información sobre códigos compartidos.
16. Toda la información relativa al equipaje.
17. Número de viajeros y otros nombres de viajeros que figuran en el PNR.
18. Cualquier información recogida en el sistema de información anticipada sobre los pasajeros (sistema API) a efectos de la reserva.
19. Todo el historial de cambios del PNR indicados en los puntos 1 a 18.