CONCLUSIONES DEL ABOGADO GENERAL
SR. PAOLO MENGOZZI
presentadas el 8 de septiembre de 2016 ( 1 )
Dictamen 1/15
Solicitud de dictamen presentada por el Parlamento Europeo
«Solicitud de dictamen — Admisibilidad — Proyecto de acuerdo entre Canadá y la Unión Europea sobre el tratamiento y la transferencia de datos del registro de nombres de los pasajeros — Datos de los pasajeros aéreos [«Passenger Name Record (PNR)»] — Compatibilidad de dicho proyecto de acuerdo con el artículo 16 TFUE y los artículos 7, 8 y 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea — Base jurídica»
I. Introducción
1. |
Al amparo de lo dispuesto en el artículo 218 TFUE, apartado 11, el Parlamento Europeo ha presentado ante el Tribunal de Justicia una solicitud de dictamen referente al acuerdo previsto entre Canadá y la Unión Europea sobre el tratamiento y la transferencia de datos del registro de nombres de los pasajeros (en lo sucesivo, «acuerdo previsto»), para poder dar curso favorable a la petición del Consejo de la Unión Europea, de julio de 2014, en la que se solicitaba al Parlamento que aprobase la propuesta de Decisión relativa a la conclusión del acuerdo previsto. ( 2 ) |
2. |
De forma esquemática, el acuerdo previsto dispone que los datos del registro de nombres de los pasajeros (Passenger Name Record; en lo sucesivo, «datos del PNR»), que los transportistas aéreos recogen de los pasajeros a efectos de la reserva de vuelos entre Canadá y la Unión Europea se transfieran a las autoridades canadienses competentes para ser posteriormente tratados y utilizados por éstas con el fin de prevenir y detectar delitos de terrorismo u otros delitos graves de carácter transnacional, estableciendo al mismo tiempo una serie de garantías relativas al respeto de la vida privada y a la protección de los datos personales de los pasajeros. |
3. |
La solicitud de dictamen, que se refiere tanto a la compatibilidad del acuerdo previsto con el Derecho primario de la Unión como a la base jurídica adecuada de la decisión del Consejo por la que se celebre el acuerdo previsto, tiene la siguiente redacción: «¿El acuerdo previsto es compatible con las disposiciones de los Tratados (artículo 16 TFUE) y de la Carta de los Derechos Fundamentales de la Unión Europea (artículos 7, 8 y 52, apartado 1) por lo que respecta al derecho de las personas a la protección de sus datos personales? ¿El artículo 82 TFUE, apartado 1, letra d), y el artículo 87 TFUE, apartado 2, letra a), constituyen la base jurídica adecuada del acto del Consejo relativo a la celebración del acuerdo previsto, o debe basarse en el artículo 16 TFUE?» |
4. |
Con independencia de su contenido, la respuesta que dé el Tribunal de Justicia a esta solicitud necesariamente tendrá repercusiones sobre los denominados «acuerdos sobre el PNR», ya en vigor, que obligan a la Unión Europea frente a Australia ( 3 ) y frente a los Estados Unidos de América, ( 4 ) y sobre el futuro «régimen PNR», instaurado dentro de la propia Unión, que fue recientemente aprobado por el Parlamento Europeo, mientras el presente procedimiento aún estaba tramitándose. ( 5 ) |
5. |
La presente solicitud de dictamen requiere analizar cuestiones a la vez inéditas y delicadas. |
6. |
Desde la perspectiva de la determinación de la base jurídica adecuada del acto por el que se celebre el acuerdo previsto, esta solicitud debe conducir al Tribunal de Justicia a examinar por vez primera el alcance del artículo 16 TFUE, apartado 2, que fue introducido como consecuencia de la aprobación del Tratado de Lisboa, así como la articulación de dicha norma con las disposiciones del Tratado relativas al espacio de libertad, seguridad y justicia (en lo sucesivo, «ELSJ»). A este respecto, como demostraré en las presentes conclusiones, ( 6 ) el acuerdo previsto persigue unos objetivos y presenta un contenido que son interdependientes, de modo que el acto de celebración de dicho acuerdo debe basarse, en mi opinión, tanto en el artículo 16 TFUE como en el artículo 87 TFUE, apartado 2, letra a). |
7. |
Es asimismo la primera vez que el Tribunal de Justicia habrá de pronunciarse sobre la compatibilidad de un proyecto de acuerdo internacional con los derechos fundamentales consagrados por la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»), más concretamente con los relativos al respeto de la vida privada y familiar, garantizado por su artículo 7, y a la protección de los datos de carácter personal, garantizado por su artículo 8. El análisis de esta cuestión cuenta indiscutiblemente con las valiosas enseñanzas que se extraen de las sentencias de 8 de abril de 2014, Digital Rights Ireland y otros (C‑293/12 y C‑594/12, EU:C:2014:238), y de 6 de octubre de 2015, Schrems (C‑362/14, EU:C:2015:650). Como explicaré con más detalle, considero que procede seguir la senda marcada por estas sentencias y someter el acuerdo previsto a un estricto control del cumplimiento de los requisitos establecidos por los artículos 7, 8 y 52, apartado 1, de la Carta. Ha de tenerse presente, no obstante, que el proyecto de acuerdo de que conoce el Tribunal de Justicia es el resultado de una negociación internacional con un país tercero, que, de no alcanzarse un acuerdo satisfactorio, podrá renunciar a celebrar el acuerdo previsto y preferirá, como sucede actualmente, aplicar unilateralmente su régimen PNR a las compañías aéreas establecidas en la Unión y que operen rutas con Canadá. |
8. |
Esta observación no significa que el Tribunal de Justicia deba rebajar el grado de cautela de que ha hecho gala en cuanto al respeto de los derechos fundamentales protegidos por el Derecho de la Unión. Es necesario, en efecto, que cuando las modernas tecnologías permiten a los poderes públicos, en aras de la lucha contra el terrorismo y los delitos graves de carácter transnacional, desarrollar métodos extremadamente sofisticados de vigilancia de la vida privada de los individuos y de análisis de sus datos personales, el Tribunal de Justicia se cerciore de que las medidas proyectadas, aunque revistan la forma de acuerdos internacionales que se prevea celebrar, reflejen una ponderación equilibrada entre el legítimo afán de preservar la seguridad pública y el no menos fundamental de que todos puedan gozar de un elevado nivel de protección de su vida privada y de sus propios datos. |
9. |
Como señalaré en mi exposición, es innegable que las partes contratantes han intentado, en ocasiones de forma insuficiente, ponderar estos dos objetivos indisociablemente perseguidos por el acuerdo previsto. Este esfuerzo es, a mi juicio, encomiable. No obstante, sin cuestionar el objeto ni la necesidad del acuerdo previsto, considero, como demostrarán las presentes conclusiones que, para ser compatible con los artículos 7, 8 y 52, apartado 1, de la Carta, el acuerdo previsto deberá ser puntualizado o expurgado de algunas de sus estipulaciones actuales de forma que no exceda de lo estrictamente necesario para la realización de su objetivo de seguridad. |
II. Marco jurídico
10. |
El artículo 16 TFUE declara: «1. Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan. 2. El Parlamento Europeo y el Consejo establecerán, con arreglo al procedimiento legislativo ordinario, las normas sobre protección de las personas físicas respecto del tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la Unión, así como por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del Derecho de la Unión, y sobre la libre circulación de estos datos. El respeto de dichas normas estará sometido al control de autoridades independientes. […]» |
11. |
El artículo 82 TFUE, incluido en el capítulo 4 del título V de la tercera parte de dicho Tratado, capítulo que se titula «cooperación judicial en materia penal», dispone lo siguiente: «1. La cooperación judicial en materia penal en la Unión se basará en el principio de reconocimiento mutuo de las sentencias y resoluciones judiciales e incluye la aproximación de las disposiciones legales y reglamentarias de los Estados miembros en los ámbitos mencionados en el apartado 2 […]. El Parlamento Europeo y el Consejo adoptarán, con arreglo al procedimiento legislativo ordinario, medidas tendentes a: […]
[…]» |
12. |
El artículo 87 TFUE, perteneciente al capítulo 5 del título V de la tercera parte de dicho Tratado, capítulo que se titula «cooperación policial», dispone lo siguiente: «1. La Unión desarrollará una cooperación policial en la que participen todas las autoridades competentes de los Estados miembros, incluidos los servicios de policía, los servicios de aduanas y otros servicios con funciones coercitivas especializados en la prevención y en la detección e investigación de infracciones penales. 2. A los efectos del apartado 1, el Parlamento Europeo y el Consejo podrán adoptar, con arreglo al procedimiento legislativo ordinario, medidas relativas a:
[…]» |
13. |
El artículo 7 de la Carta declara: «Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de sus comunicaciones.» |
14. |
El artículo 8 de la Carta afirma: «1. Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan. 2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que le conciernan y a obtener su rectificación. 3. El respeto de estas normas estará sujeto al control de una autoridad independiente.» |
15. |
El artículo 52 de la Carta, titulado «Alcance e interpretación de los derechos y principios», dispone lo siguiente: «1. Cualquier limitación del ejercicio de los derechos y libertades reconocidos por la presente Carta deberá ser establecida por la ley y respetar el contenido esencial de dichos derechos y libertades. Dentro del respeto del principio de proporcionalidad, sólo podrán introducirse limitaciones cuando sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás. […]» |
16. |
El Protocolo n.o 21 sobre la posición del Reino Unido y de Irlanda respecto del espacio de libertad, seguridad y justicia dispone, en sus artículos 1, 3 y 6 bis, lo siguiente: «Artículo 1 Con sujeción a lo dispuesto en el artículo 3, el Reino Unido e Irlanda no participarán en la adopción por el Consejo de medidas propuestas en virtud del título V de la tercera parte del [TFUE]. Las decisiones del Consejo que deban adoptarse por unanimidad requerirán la unanimidad de los miembros del Consejo, exceptuados los representantes de los gobiernos del Reino Unido y de Irlanda. A efectos del presente artículo, la mayoría cualificada se definirá de conformidad con el apartado 3 del artículo 238 [TFUE]. […] Artículo 3 1. El Reino Unido o Irlanda podrán notificar por escrito al Presidente del Consejo, en un plazo de tres meses a partir de la presentación al Consejo de una propuesta o iniciativa en virtud del título V de la tercera parte del [TFUE], su deseo de participar en la adopción y aplicación de la medida propuesta de que se trate, tras lo cual dicho Estado tendrá derecho a hacerlo. […] Artículo 6 bis Las normas establecidas basándose en el artículo 16 [TFUE] que se refieran al tratamiento de datos de carácter personal por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación de los capítulos 4 ó 5 del título V de la tercera parte de dicho Tratado sólo serán vinculantes para el Reino Unido o Irlanda en la medida en que sean vinculantes para estos Estados normas de la Unión que regulen formas de cooperación judicial en materia penal y de cooperación policial en cuyo marco deban respetarse las disposiciones establecidas basándose en el artículo 16.» |
17. |
El Protocolo n.o 22 sobre la posición de Dinamarca dispone, en sus artículos 1, 2 y 2 bis, lo siguiente: «Artículo 1 Dinamarca no participará en la adopción por el Consejo de medidas propuestas en virtud del título V de la tercera parte del [TFUE]. Las decisiones del Consejo que deban adoptarse por unanimidad requerirán la unanimidad de los miembros del Consejo, exceptuado el representante del Gobierno de Dinamarca. A efectos del presente artículo, la mayoría cualificada se definirá de conformidad con el apartado 3 del artículo 238 [TFUE]. Artículo 2 Ninguna de las disposiciones del título V de la tercera parte del [TFUE], ninguna medida adoptada en virtud de dicho título, ninguna disposición de acuerdo internacional alguno celebrado por la Unión en virtud de dicho título y ninguna decisión del Tribunal de Justicia de la Unión Europea interpretativa de cualquiera de dichas disposiciones o medidas, ni ninguna medida modificada o modificable en virtud de dicho título vinculará a Dinamarca ni le será aplicable; estas disposiciones, medidas o decisiones no afectarán en modo alguno a las competencias, derechos y obligaciones de Dinamarca; dichas disposiciones, medidas o decisiones no afectarán en modo alguno al acervo comunitario o de la Unión, ni formarán parte del Derecho de la Unión, tal y como éstos se aplican a Dinamarca. […] Artículo 2 bis El artículo 2 del presente Protocolo se aplicará igualmente a las normas establecidas sobre la base del artículo 16 [TFUE] que se refieran al tratamiento de datos de carácter personal por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación de los capítulos 4 ó 5 del título V de la tercera parte de dicho Tratado.» |
III. Antecedentes del acuerdo previsto
18. |
El 18 de julio de 2005, el Consejo aprobó el Acuerdo entre la Comunidad Europea y el Gobierno de Canadá sobre el tratamiento de datos procedentes del sistema de información anticipada sobre pasajeros y de los expedientes de pasajeros (en lo sucesivo, «Acuerdo de 2006»). ( 7 ) |
19. |
De conformidad con su preámbulo, el Acuerdo de 2006 se celebró dada la exigencia del Gobierno de Canadá de que las compañías aéreas que transportasen pasajeros con destino a Canadá proporcionasen a las autoridades canadienses competentes datos procedentes del sistema de información anticipada sobre pasajeros (Advance Passenger Information) y de los expedientes de los pasajeros (Passenger Name Record) (en lo sucesivo, «datos API/PNR»), en la medida en que se recopilasen y estuviesen incluidos en los sistemas informatizados de reserva y de control de salidas de las compañías aéreas (Departure Control Systems-DCS). |
20. |
Según el artículo 1 del Acuerdo de 2006, éste tenía «por objeto garantizar que la transmisión de datos API/PNR referentes a personas que efect[uasen] viajes pertinentes se reali[zase] dentro del estricto respeto de los derechos y libertades fundamentales, en particular, el derecho a la intimidad». La autoridad competente en Canadá era, con arreglo al anexo I del Acuerdo de 2006, «la Canada Border Services Agency (CBSA: organismo de servicios fronterizos de Canadá)». |
21. |
Habida cuenta de este compromiso, la Comisión Europea adoptó, basándose en el artículo 25, apartado 2, de la Directiva 95/46/CE, ( 8 ) la Decisión 2006/253/CE, ( 9 ) cuyo artículo 1 disponía que se consideraba que la CBSA ofrecía un nivel adecuado de protección de los datos del PNR que se transferían desde la Comunidad Europea relativos a vuelos con destino a Canadá. Comoquiera que la Decisión 2006/253 expiró en septiembre de 2009 ( 10 ) y el período de validez del Acuerdo de 2006 estaba vinculado al de esta Decisión, ( 11 ) dicho Acuerdo llegó asimismo a su vencimiento en septiembre de 2009. |
22. |
El 5 de mayo de 2010, el Parlamento aprobó una Resolución sobre el inicio de las negociaciones para los acuerdos relativos al registro de nombres de los pasajeros (PNR) con Estados Unidos, Australia y Canadá. ( 12 ) En dicha Resolución, el Parlamento pedía un planteamiento coherente para el uso de los datos del PNR con fines represivos y de seguridad y el establecimiento de un conjunto único de principios que sirviese como base para los acuerdos con terceros países. A tal efecto, solicitaba a la Comisión que presentase una propuesta de modelo único y un proyecto de mandato para las negociaciones con terceros países, al mismo tiempo que enunciaba los requisitos mínimos que debían cumplirse. ( 13 ) |
23. |
El 21 de septiembre de 2010, la Comisión aprobó tres propuestas dirigidas a autorizar la apertura de negociaciones con Estados Unidos, Australia y Canadá. ( 14 ) Posteriormente se firmaron y celebraron acuerdos con Estados Unidos y Australia con la aprobación del Parlamento. ( 15 ) Tales acuerdos entraron en vigor en 2012. |
24. |
Tras la conclusión de las negociaciones con Canadá, la Comisión aprobó, el 19 de julio de 2013, las propuestas de decisiones del Consejo relativas a la firma y la celebración del acuerdo previsto. |
25. |
El Supervisor Europeo de Protección de Datos (SEPD) emitió su dictamen sobre estas propuestas el 30 de septiembre de 2013. ( 16 ) En ese dictamen, el SEPD planteaba una serie de interrogantes en cuanto a la necesidad y la proporcionalidad de los sistemas del PNR y de la transferencia masiva de datos del PNR a países terceros, ponía en duda la base jurídica material elegida y formulaba diversas observaciones y propuestas en cuanto a las diferentes disposiciones del acuerdo previsto. |
26. |
El 5 de diciembre de 2013, el Consejo adoptó una Decisión relativa a la firma del acuerdo previsto sin que se introdujesen modificaciones en éste a raíz del dictamen del SEPD. El acuerdo previsto se firmó el 25 de junio de 2014 a reserva de su celebración en una fecha posterior. |
27. |
Mediante escrito de 7 de julio de 2014, el Consejo solicitó la aprobación del Parlamento sobre el Proyecto de decisión relativa a la celebración, en nombre de la Unión, del acuerdo previsto. Este Proyecto de decisión menciona como bases jurídicas los artículos 82 TFUE, apartado 1, letra d), y 87 TFUE, apartado 2, letra a), en relación con el artículo 218 TFUE, apartado 6, letra a), inciso v). |
28. |
El 25 de noviembre de 2014, el Parlamento decidió solicitar al Tribunal de Justicia el presente dictamen, cuyas preguntas se han reproducido en el punto 3 de las presentes conclusiones. |
IV. Procedimiento ante el Tribunal de Justicia
29. |
Una vez presentada la solicitud por el Parlamento, presentaron observaciones escritas los Gobiernos búlgaro y estonio, Irlanda, los Gobiernos español, francés y del Reino Unido, así como el Consejo y la Comisión. |
30. |
El Tribunal de Justicia formuló una serie de preguntas para su respuesta escrita relativas, entre otros extremos, a determinados aspectos prácticos y fácticos del tratamiento de los datos del PNR, a la base jurídica del acuerdo previsto, a su ámbito de aplicación territorial y a la compatibilidad de sus estipulaciones con las disposiciones del TFUE y de la Carta, a la luz de las enseñanzas que se extraen de la jurisprudencia, en particular de las sentencias de 8 de abril de 2014, Digital Rights Ireland y otros (C‑293/12 y C‑594/12, EU:C:2014:238) y de 6 de octubre de 2015, Schrems (C‑362/14, EU:C:2015:650). Además, al amparo de lo dispuesto en el artículo 24, párrafo segundo, del Estatuto del Tribunal de Justicia de la Unión Europea, el Tribunal de Justicia solicitó al SEPD que respondiese a dichas preguntas. Éste, junto con Irlanda, los Gobiernos español, francés y del Reino Unido, el Parlamento, el Consejo y la Comisión respondieron a las preguntas formuladas dentro de plazo. |
31. |
En la vista celebrada el 5 de abril de 2016 se oyó a los representantes del Gobierno estonio, de Irlanda, de los Gobiernos español, francés y del Reino Unido, a los del Parlamento, del Consejo y de la Comisión, y al representante del SEPD. |
V. Sobre la admisibilidad de la solicitud de dictamen
32. |
Mientras que los Gobiernos búlgaro y estonio y la Comisión comparten la apreciación del Parlamento de que la solicitud de dictamen es plenamente admisible, el Gobierno francés y el Consejo dudan sobre la admisibilidad de la segunda pregunta que figura en la solicitud del Parlamento, relativa a la base jurídica adecuada del proyecto de decisión del Consejo por la que se celebra el acuerdo previsto. |
33. |
En lo sustancial, el Gobierno francés y el Consejo alegan que esta pregunta no trata ni sobre la competencia de la Unión para celebrar el acuerdo previsto ni sobre el reparto de competencias entre ésta y los Estados miembros. Por otra parte, afirman que el posible recurso erróneo a los artículos 82 TFUE y 87 TFUE no tendría consecuencia alguna sobre el procedimiento a seguir para la adopción del acto del Consejo relativo a la celebración del acuerdo previsto. Según ellos, en efecto, tanto la aplicación del artículo 16 TFUE como la de los artículos 82 TFUE y 87 TFUE exigen que se respete el procedimiento legislativo ordinario, en particular la aprobación del Parlamento, con arreglo al artículo 218 TFUE, apartado 6, letra a), inciso v). |
34. |
Yo sugiero al Tribunal de Justicia que declare la solicitud de dictamen admisible en su totalidad. |
35. |
Con carácter general, procede recordar en primer lugar que, con arreglo al artículo 218 TFUE, apartado 11, y a la jurisprudencia del Tribunal de Justicia, puede recabarse el dictamen de éste acerca de si un «acuerdo previsto» ( 17 ) es compatible con las normas de fondo de los Tratados o con las que determinan el alcance de las competencias de la Comisión y sus instituciones, incluidas las cuestiones relativas al reparto de competencias entre la Unión y los Estados miembros para celebrar un determinado acuerdo con Estados terceros, ( 18 ) como lo confirma el artículo 196, apartado 2, del Reglamento de Procedimiento del Tribunal de Justicia. |
36. |
Es pues indudable, como lo admiten por lo demás todas las partes interesadas, que la solicitud de dictamen, en la medida en que trata sobre la compatibilidad del acuerdo previsto con las disposiciones sustantivas del Derecho primario de la Unión, incluidas las disposiciones de la Carta que tienen el mismo valor que los Tratados, es admisible. ( 19 ) |
37. |
Estimo que lo mismo puede decirse respecto de la segunda pregunta, relativa a la determinación de la base jurídica adecuada del acto por el que el Consejo haya de celebrar el acuerdo previsto. |
38. |
Bien es cierto que, como han alegado el Gobierno francés y el Consejo, ninguna de las partes interesadas duda de que, en este caso, la Unión dispone de competencia para aprobar el acuerdo previsto, cuestión que por otra parte no es objeto de la solicitud de dictamen. |
39. |
No obstante, interesa señalar que, al examinar anteriores solicitudes de dictamen, el Tribunal de Justicia ya aceptó responder a la cuestión de la elección de la base jurídica adecuada del acto de celebración de los proyectos de acuerdo en cuestión. ( 20 ) Esta postura ha venido motivada, fundamentalmente, por dos consideraciones esenciales que se hallan íntimamente relacionadas. |
40. |
Por una parte, la elección de la base jurídica adecuada del acto de celebración de un acuerdo internacional reviste «una importancia de naturaleza constitucional» ( 21 ) puesto que la Unión únicamente tiene competencias de atribución y por lo tanto debe poder engarzar los acuerdos internacionales que se supone van a incorporarse a su ordenamiento jurídico en una disposición de los Tratados que la habilite para aprobar tales actos. El recurso a una base jurídica errónea puede, pues, invalidar el propio acto de celebración y, por consiguiente, viciar el consentimiento de la Unión en obligarse por el acuerdo en cuestión. ( 22 ) |
41. |
Por otra parte, no aprovechar la oportunidad de examinar la elección de la base jurídica adecuada del acto de celebración de un proyecto de acuerdo en el marco del procedimiento de dictamen previo del Tribunal de Justicia podría, en definitiva, dar lugar a complicaciones, tanto en el ámbito de la Unión como en el ordenamiento jurídico internacional, si el acto de conclusión del acuerdo fuese posteriormente invalidado como consecuencia de su base jurídica errónea. Pues bien, el objeto del procedimiento preventivo establecido en el artículo 218 TFUE, apartado 11, consiste precisamente en evitar, en interés de las partes contratantes, que puedan surgir tales complicaciones. ( 23 ) |
42. |
Sin negar la existencia de esta jurisprudencia, el Gobierno francés y el Consejo afirman, en lo sustancial, que ninguna de las complicaciones jurídicas evocadas por el Tribunal de Justicia en sus anteriores dictámenes puede presentarse en el presente asunto. Así pues, según estas partes interesadas, en el presente caso, la eventual elección del artículo 16 TFUE como base jurídica material del acuerdo previsto, como propugna el Parlamento en su solicitud de dictamen, no afectaría al reparto de competencias entre la Unión y los Estados miembros ni conduciría a un «procedimiento legislativo distinto» del seguido por el Consejo y la Comisión en este caso, en el sentido de los citados dictámenes. |
43. |
Esta argumentación no resulta convincente. |
44. |
Es preciso señalar que las situaciones puestas de relieve por el Tribunal de Justicia en el apartado 5 del dictamen 2/00, de 6 de diciembre de 2001 (EU:C:2001:664), y en el apartado 110 del dictamen 1/08, de 30 de noviembre de 2009 (EU:C:2009:739), respectivamente, únicamente constituyen ejemplos en los que el recurso a una base jurídica errónea puede viciar el consentimiento de la Unión en obligarse por el acuerdo que ésta ha suscrito o entrañar dificultades jurídicas en el plano interno o en el plano de las relaciones exteriores de la Unión. En efecto, ambas situaciones mencionadas en esos apartados de los dos dictámenes —a saber, por una parte, que la Unión se haya obligado sin que el Tratado le confiera competencia suficiente para ratificar un acuerdo en su conjunto, lo que supondría examinar el reparto de competencias entre la Unión y los Estados miembros, y, por otra parte, que la base jurídica adecuada del acto de celebración prevea un procedimiento legislativo distinto del efectivamente seguido por las instituciones— han sido introducidas por la expresión «esto ocurre, en particular, cuando». Por lo tanto, no pueden excluirse otros supuestos que engendren dificultades jurídicas en el plano interno de la Unión o en el de las relaciones internacionales. |
45. |
Seguidamente, conviene no perder de vista que el procedimiento de dictamen posee un carácter no contencioso y preventivo. ( 24 ) Este carácter justifica, en mi opinión una cierta flexibilidad por parte del Tribunal de Justicia en cuanto al examen de la admisibilidad de una cuestión relativa a la base jurídica adecuada del acto de conclusión de un acuerdo previsto. |
46. |
Por lo tanto, en la fase de la admisibilidad, considero que el Tribunal de Justicia debe simplemente preguntarse si, al declinar responder a la cuestión planteada, existe un riesgo grave de que el acto de celebración del acuerdo pueda ser posteriormente invalidado, basado en un motivo idéntico al evocado en la solicitud de dictamen, originando esta situación dificultades en el plano interno de la Unión o en el de las relaciones exteriores que el procedimiento de dictamen podría haber prevenido. |
47. |
En el presente caso, tengo la convicción de que tal riesgo no puede excluirse. |
48. |
En efecto, como examinaré más adelante en las presentes conclusiones, los motivos expuestos por el Parlamento en apoyo de la tesis de que el artículo 16 TFUE constituye la base jurídica material adecuada del acto de celebración del acuerdo previsto son muy serios, hasta el punto de que los considero parcialmente fundados. |
49. |
Por lo tanto, declinar responder a esta argumentación en el presente procedimiento podría inducir al Parlamento a impugnar la validez del acto de celebración del acuerdo o, en su caso, a un órgano jurisdiccional nacional que conozca de un recurso interpuesto por un particular lesionado por la transferencia de sus datos del PNR a la autoridad competente canadiense, a plantear ante el Tribunal de Justicia una cuestión prejudicial de validez del acuerdo y del acto de celebración de éste. |
50. |
Por otra parte, en mi opinión, el Gobierno francés y el Consejo se equivocan al minimizar las consecuencias de una declaración de invalidez del acto de celebración del acuerdo previsto si a la postre resultase que, como consecuencia de un recurso de anulación o de una cuestión prejudicial de validez, dicho acto habría debido adoptarse, como sostiene el Parlamento, únicamente sobre la base del artículo 16 TFUE. |
51. |
En efecto, como reiteraré posteriormente y como se ha planteado en determinadas observaciones escritas, elegir el artículo 16 TFUE como única base jurídica del acto de celebración del acuerdo previsto alteraría el estatus del Reino de Dinamarca, de Irlanda y del Reino Unido de Gran Bretaña e Irlanda del Norte, puesto que dichos Estados miembros estarían entonces directa y automáticamente obligados por el acuerdo, contrariamente a lo dispuesto en el artículo 29 del acuerdo previsto. Por lo que respecta en particular al Reino de Dinamarca, todo compromiso internacional que hubiera podido suscribir con Canadá, paralelamente al acuerdo previsto, sería entonces ilegal, puesto que dicho Estado miembro no dispondría ya de la competencia necesaria para contraer tal compromiso. |
52. |
Me parece, pues, que, salvando las distancias, por analogía con lo declarado por el Tribunal de Justicia en el apartado 47 del dictamen 1/13, de 14 de octubre de 2014 (EU:C:2014:2303), resulta particularmente oportuno que el Tribunal de Justicia responda a la segunda pregunta de la presente solicitud de dictamen, en especial para evitar las complicaciones jurídicas que podrían originarse en el supuesto de que un Estado miembro asumiese compromisos internacionales sin la habilitación necesaria, pese a que, desde el punto de vista del Derecho de la Unión, ya no dispondría de la competencia necesaria para asumir o cumplir ese compromiso. |
53. |
Por lo tanto, propongo al Tribunal de Justicia que declare admisible la segunda pregunta formulada por el Parlamento en su solicitud de dictamen. |
54. |
Por otra parte, dado que dicha pregunta afecta a la validez formal del acto de celebración y requiere analizar los objetivos y el contenido del acuerdo previsto, sugiero que se trate antes que la relativa a su compatibilidad con las disposiciones del TFUE y con los derechos consagrados por la Carta. |
VI. Sobre la base jurídica adecuada del acto de celebración del acuerdo (segunda pregunta)
A. Síntesis de la argumentación del Parlamento y de las demás partes interesadas
55. |
El Parlamento y todas las partes interesadas que han presentado observaciones coinciden en considerar que, con arreglo a la jurisprudencia del Tribunal de Justicia, la elección de la base jurídica debe basarse en criterios objetivos que puedan ser objeto de control jurisdiccional, criterios objetivos entre los que se cuentan la finalidad y el contenido del acto en cuestión. |
56. |
El Parlamento subraya que el acuerdo previsto persigue dos finalidades enumeradas en su artículo 1. No obstante, la finalidad principal del acuerdo previsto es —afirma— garantizar la protección de los datos personales. En efecto, según el Parlamento, el acuerdo previsto tiene un efecto análogo a una «decisión de adecuación» y su finalidad consiste en sustituir a la Decisión 2006/253 de la Comisión, adoptada en virtud del artículo 25, apartado 6, de la Directiva 95/46, en la que dicha institución hizo constar, en el contexto del Acuerdo de 2006, el adecuado nivel de protección de los datos del PNR transferidos a la CBSA. Además, señala que el acuerdo previsto no tiene por objeto crear una obligación para los transportistas aéreos de transferir datos del PNR a las autoridades policiales canadienses o europeas, lo que haría difícil justificar la elección de los artículos 82 TFUE, apartado 1, letra d), y 87 TFUE, apartado 2, letra a), como bases jurídicas materiales. Con arreglo a la jurisprudencia, tales circunstancias justifican, en opinión del Parlamento, que el acuerdo previsto se fundamente en la base jurídica correspondiente a la finalidad principal del mismo, es decir, en este caso, el artículo 16 TFUE. El contenido del acuerdo previsto confirma, según él, esta apreciación. El Parlamento precisa, por último, que el artículo 16 TFUE permite adoptar normas relativas a la protección de datos personales en todos los ámbitos de aplicación del Derecho de la Unión, incluido el relativo al «[ELSJ]». |
57. |
En respuesta a una pregunta formulada en la vista ante el Tribunal de Justicia, el Parlamento indicó que, en el supuesto de que el Tribunal de Justicia considerase que el acuerdo previsto persigue finalidades indisociables, no veía objeción alguna a que el acto de celebración del acuerdo previsto se basase en los artículos 16 TFUE, 82 TFUE, apartado 1, letra d), y 87 TFUE, apartado 2, letra a). |
58. |
Exceptuando al Gobierno español y al SEPD y, con carácter subsidiario, al Gobierno francés, las demás partes interesadas sostienen que la finalidad del acuerdo previsto consiste en luchar contra el terrorismo y los delitos graves de carácter transnacional, mientras que la protección de datos únicamente constituye, en lo sustancial, un instrumento a través del cual podría alcanzarse esta finalidad. A este respecto, la Comisión recuerda que en la sentencia de 30 de mayo de 2006, Parlamento/Consejo y Comisión (C‑317/04 y C‑318/04, EU:C:2006:346), apartado 56, el Tribunal de Justicia declaró que la transferencia de los datos del PNR a Estados Unidos constituía un tratamiento que tenía por objeto la seguridad pública y las actividades de los Estados miembros en materia penal. Pues bien, según dicha institución, la elección de la base jurídica del acto de celebración del acuerdo previsto debería hacerse respetando este razonamiento. |
59. |
La gran mayoría de esas partes interesadas añade que, si se considerase que la protección de los datos constituye un objetivo del acuerdo previsto, dicho objetivo únicamente sería accesorio con respecto a la finalidad principal, lo que, por tanto, no implicaría consecuencia alguna sobre la elección actual de la base jurídica del acto de celebración. A este respecto, el Consejo y la Comisión precisan que los actos que tengan como finalidad la ejecución de políticas sectoriales que requieran determinados tratamientos de datos personales deben fundamentarse en la base jurídica correspondiente a la política de que se trate y no en el artículo 16 TFUE. |
60. |
En cuanto a la posibilidad de acumular los artículos 16 TFUE, 82 TFUE, apartado 1, letra d), y 87 TFUE, apartado 2, letra a), como bases jurídicas materiales del acto de celebración del acuerdo previsto, el Gobierno francés afirma, con carácter subsidiario, en sus observaciones escritas, que tal acumulación es perfectamente concebible. En cambio, Irlanda y el Consejo sostienen lo contrario. En la vista ante el Tribunal de Justicia, el Consejo precisó que el procedimiento de votación en el Consejo, tal como resulta de las disposiciones de los Protocolos (n.o 21) y (n.o 22), se opone a esta hipótesis. |
B. Análisis
61. |
Según reiterada jurisprudencia, la elección de la base jurídica de un acto de la Unión, incluido el adoptado con vistas a la celebración de un acuerdo internacional, debe basarse en elementos objetivos susceptibles de control jurisdiccional, entre los que figuran la finalidad y el contenido de ese acto. Si el examen de un acto de la Unión muestra que éste persigue un doble objetivo o que tiene un componente doble y si uno de ellos puede calificarse de principal o preponderante, mientras que el otro sólo es accesorio, dicho acto debe fundarse en una sola base jurídica, a saber, aquella que exige el objetivo o componente principal o preponderante. ( 25 ) |
62. |
El Tribunal de Justicia admite no obstante, «excepcionalmente», que un acto pueda basarse, acumulativamente, en las distintas bases jurídicas correspondientes a la pluralidad de objetivos o componentes de ese acto cuando esos objetivos o componentes están vinculados de manera inseparable, sin que uno de ellos sea accesorio del otro. ( 26 ) En tal caso, el Tribunal de Justicia verifica asimismo si el recurso a una pluralidad de bases jurídicas puede excluirse por ser las distintas bases jurídicas incompatibles entre ellas. ( 27 ) |
63. |
Es preciso determinar a la luz de esta jurisprudencia si, atendiendo a la finalidad y al contenido del acuerdo previsto, el acto de celebración de dicho acuerdo debería basarse exclusivamente en los artículos 82 TFUE, apartado 1, letra d), y 87 TFUE, apartado 2, letra a), como bases jurídicas materiales, como indica el proyecto de decisión del Consejo y como sostienen la mayoría de las partes interesadas o si debería basarse en el artículo 16 TFUE, bien de forma exclusiva o bien conjuntamente con los dos artículos antes citados. ( 28 ) |
64. |
Sobre este último punto, quiero aclarar que, contrariamente a lo que ha expuesto el Consejo en sus observaciones escritas, el Tribunal de Justicia me parece perfectamente habilitado, habida cuenta del carácter no contencioso y preventivo del procedimiento de dictamen, para examinar la segunda pregunta formulada por el Parlamento desde la perspectiva de la acumulación de bases jurídicas materiales, aunque el texto de dicha pregunta no lo contemple. Añado que las partes interesadas han tenido ocasión, tanto en la fase escrita del procedimiento como en la vista, de tomar posición sobre este punto. |
65. |
Ello es tanto más importante cuanto que el examen de la finalidad y el contenido del acuerdo previsto debe, en mi opinión, conducir a la conclusión de que éste persigue dos objetivos y tiene dos componentes, sin que, globalmente, ni esos dos objetivos ni esos distintos componentes puedan jerarquizarse y disociarse. Esta conclusión justifica a mi juicio que el acto de celebración del acuerdo previsto tome como bases jurídicas materiales los artículos 16 TFUE y 87 TFUE, apartado 2, letra a), lo que implica que los procedimientos previstos por esos dos artículos puedan coexistir. |
1. Sobre la finalidad y el contenido del acuerdo previsto
66. |
Se desprende del segundo párrafo del preámbulo del acuerdo previsto que las partes contratantes reconocen «la importancia de prevenir, combatir, reprimir y eliminar el terrorismo y los delitos relacionados con el terrorismo, así como otros delitos graves de carácter transnacional, respetando al mismo tiempo los derechos y libertades fundamentales, en particular la intimidad y la protección de los datos personales», mientras que el cuarto párrafo añade que el uso de los datos del PNR constituye una herramienta esencial para alcanzar estos objetivos. |
67. |
La persecución simultánea, por una parte, del objetivo de lucha contra el terrorismo y otros delitos graves de carácter transnacional y, por otra parte, del respeto a la vida privada y de la protección de los datos personales resulta corroborada por el quinto y sexto párrafos del preámbulo que subrayan, respectivamente, la voluntad de las partes contratantes de «salvaguardar la seguridad pública» y el reconocimiento de que «comparten valores comunes por lo que respecta a la protección de datos y de la intimidad». |
68. |
Asimismo, se desprende expresamente del decimoquinto apartado del preámbulo que Canadá se ha comprometido a que su autoridad competente procese «los datos del PNR con el propósito de prevenir, detectar, investigar y enjuiciar delitos de terrorismo y delitos graves de carácter transnacional en estricto cumplimiento de las salvaguardias de privacidad y la protección de datos e información personales, establecidas en el [acuerdo previsto]». |
69. |
El acuerdo previsto tiene, pues, por objeto permitir a Canadá tratar los datos del PNR de los pasajeros transmitidos por las compañías aéreas que operen líneas entre la Unión y Canadá, con el fin de luchar contra el terrorismo y otros delitos graves de carácter transnacional garantizando al mismo tiempo el derecho al respeto de la vida privada y el derecho a la protección de los datos personales en las condiciones prescritas por el propio acuerdo previsto. |
70. |
Esta necesaria conciliación entre esos dos objetivos es corroborada por el artículo 1 del acuerdo previsto, que establece que las partes contratantes estipulan las condiciones de transferencia y utilización de los datos del PNR y la manera en que deben protegerse esos datos para garantizar la protección y seguridad del público en general. |
71. |
El análisis del contenido del acuerdo previsto confirma también que la forma de luchar contra el terrorismo y otros delitos graves de carácter transnacional mediante la transferencia y el tratamiento de los datos del PNR únicamente está autorizada si los datos en cuestión gozan de un nivel de protección adecuado. |
72. |
Así, a tenor, del artículo 3, apartado 1, del acuerdo previsto, Canadá velará por que las autoridades canadienses competentes traten los datos del PNR recibidos «con el propósito exclusivo de prevenir, detectar, investigar y enjuiciar los delitos de terrorismo o los delitos graves de carácter transnacional», subrayando que dicho tratamiento debe realizarse «en virtud del presente Acuerdo». Esta precisión significa, en particular, que, de conformidad con el artículo 5 del acuerdo previsto, «sin perjuicio de lo dispuesto en [éste], las autoridades canadienses competentes deberán garantizar un nivel de protección adecuado, con arreglo a la correspondiente legislación de la UE sobre protección de datos». |
73. |
Asimismo, en el contexto de la conservación de los datos del PNR y de la despersonalización progresiva por enmascaramiento de dichos datos, contempladas en el artículo 16 del acuerdo previsto, el apartado 4 de dicho artículo únicamente autoriza el desenmascaramiento por parte de las autoridades canadienses si «sobre la base de la información disponible, resulta necesario para llevar a cabo investigaciones en el ámbito del artículo 3» del acuerdo previsto. |
74. |
Además, los artículos 18, apartado 1, y 19, apartado 1, del acuerdo previsto únicamente autorizan la divulgación posterior de los datos del PNR a otras autoridades públicas canadienses o de terceros países en supuestos taxativamente enumerados, entre ellos en particular el de que, por una parte, las autoridades en cuestión ejerzan «funciones […] directamente relacionadas con el ámbito de aplicación del artículo 3 [del acuerdo previsto]» y, por otra parte, esas mismas autoridades ofrezcan unas salvaguardias o apliquen unas normas de protección equivalentes a las garantías establecidas en el acuerdo previsto». |
75. |
Sin desmentir la necesidad de conciliar los dos objetivos perseguidos, algunas estipulaciones del acuerdo previsto se refieren sin embargo preferentemente al objetivo de lucha contra el terrorismo y la delincuencia grave de carácter transnacional y otras más al de la necesidad de garantizar una protección adecuada de los datos personales. |
76. |
Así, por ejemplo, por lo que respecta específicamente al primer objetivo, el artículo 6, apartado 2, del acuerdo previsto obliga a Canadá a comunicar, en casos concretos, y a instancias de la Oficina Europea de Policía (Europol), de la Agencia Europea para el refuerzo de la cooperación judicial (Eurojust), en sus respectivos ámbitos de competencia, o de la autoridad judicial o policial de un Estado miembro de la Unión, los datos del PNR o la información analítica obtenida de los datos del PNR en virtud del acuerdo previsto «para prevenir, detectar, investigar o enjuiciar en la Unión Europea un delito terrorista o un delito grave de carácter transnacional». Por otra parte, en virtud del artículo 23, apartado 2, del acuerdo previsto, se dispone que las partes contratantes cooperarán en aras de la coherencia de sus respectivos regímenes de tratamiento de datos del PNR «reforzando de este modo la seguridad de los ciudadanos de Canadá, de la UE y de otros países». |
77. |
En cuanto a las estipulaciones más relacionadas con las garantías que ofrece el acuerdo previsto en materia de protección de datos, éste prevé una serie de normas relativas a la seguridad y a la integridad de los datos (artículo 9 del acuerdo previsto), al acceso, a la corrección y a la rectificación de los datos a instancias de los particulares (artículos 12 y 13 del acuerdo previsto), a la supervisión del tratamiento de los datos del PNR y a los recursos administrativos y judiciales de que disponen los interesados (artículos 10 y 14 del acuerdo previsto). |
78. |
Habida cuenta de la finalidad y del contenido del acuerdo previsto, éste persigue por tanto dos objetivos y posee dos componentes fundamentales, lo que, al fin y al cabo, ha admitido o, cuando menos, concedido la gran mayoría de las partes interesadas. |
79. |
Contrariamente a lo que las partes interesadas han alegado en apoyo de tesis opuestas, resulta muy difícil, en mi opinión, determinar cuál de estos dos objetivos prevalece sobre el otro. |
80. |
En efecto, como pretende demostrar la descripción de la finalidad y el contenido del acuerdo previsto, ambos objetivos deben perseguirse simultáneamente y parecen, en definitiva, indisociables. Por una parte, como he puesto de manifiesto, la transferencia de datos del PNR a la autoridad competente canadiense y su tratamiento por ésta a los fines expuestos en el artículo 3 del acuerdo previsto únicamente están autorizados si esas operaciones van acompañadas de una protección adecuada de los datos con arreglo al Derecho de la Unión en la materia, de conformidad con el artículo 5 del acuerdo previsto. Dicho de otro modo, si esa protección no está garantizada, la transferencia de los datos del PNR contemplada por el acuerdo previsto no puede lícitamente llevarse a cabo. Por otra parte, las garantías establecidas por el acuerdo previsto en términos de protección de los datos personales únicamente son necesarias como consecuencia del hecho de que los datos del PNR han de ser transferidos a la autoridad canadiense competente en virtud de la normativa canadiense y de las estipulaciones del acuerdo previsto. Tal como ilustran diversas disposiciones del acuerdo previsto, como los artículos 16, 18 y 19, dicho acuerdo pretende por tanto conciliar el objetivo de seguridad con el objetivo de protección de los derechos fundamentales de los individuos afectados, y muy especialmente el derecho a la protección de sus datos personales. |
81. |
Al fin y al cabo, considero que ambos objetivos y ambos componentes del acuerdo previsto están indisociablemente unidos, sin que uno de ellos sea secundario e indirecto con respecto al otro. |
82. |
No alcanza a desvirtuar esta apreciación la alegación de la Comisión basada en el apartado 56 de la sentencia de 30 de mayo de 2006, Parlamento/Consejo y Comisión (C‑317/04 y C‑318/04, EU:C:2006:346), a cuyo tenor el Tribunal de Justicia declaró que la transferencia de los datos del PNR a Estados Unidos constituía un tratamiento que tenía por objeto la seguridad pública y las actividades de los Estados miembros en materia penal. |
83. |
En efecto, en primer lugar, el presente procedimiento de dictamen tiene por objeto el acuerdo previsto con Canadá y no el primer acuerdo celebrado con Estados Unidos en 2004 ni la Decisión de la Comisión sobre el carácter adecuado de la protección, adoptada ese mismo año, a las que se referían los recursos de anulación interpuestos por el Parlamento. |
84. |
En segundo lugar, y lo que es más importante, la Comisión hace una lectura descontextualizada de lo declarado por el Tribunal de Justicia en ese apartado de la sentencia de 30 de mayo de 2006, Parlamento/Consejo y Comisión (C‑317/04 y C‑318/04, EU:C:2006:346), sentencia que, he de recordar, fue pronunciada mucho antes de la adopción del Tratado de Lisboa. |
85. |
En efecto, el Parlamento había solicitado al Tribunal de Justicia que determinase, entre otros extremos, si la Comisión estaba facultada para adoptar una decisión, basada en el artículo 25 de la Directiva 95/46, relativa al carácter adecuado de la protección otorgada al tratamiento de los datos personales contenidos en los expedientes del PNR transferidos a Estados Unidos, pese a que el artículo 3, apartado 2, de dicha Directiva excluye expresamente de su ámbito de aplicación los tratamientos que tienen por objeto la seguridad pública y las actividades del Estado en materia penal. El Tribunal de Justicia respondió lógicamente en sentido negativo. En efecto, el tratamiento de los datos del PNR en el contexto del Acuerdo con Estados Unidos no podía vincularse a la realización de una prestación de servicios, sino que se insertaba en el marco instaurado por los poderes públicos y destinado a la seguridad pública, que no pertenecía al ámbito de aplicación de la Directiva 95/46. ( 29 ) |
86. |
Ahora bien, esta apreciación no significa en absoluto que el Tribunal de Justicia se haya pronunciado de forma definitiva acerca del objeto de los acuerdos sobre el PNR, incluido, a efectos de la argumentación, el del acuerdo previsto ni, con mayor motivo, que haya declarado definitivamente que dichos acuerdos tienen como objetivo exclusivo, principal o preponderante la lucha contra el terrorismo y los delitos graves de carácter transnacional, como insinúa equivocadamente la Comisión. |
87. |
La declaración del Tribunal de Justicia en la sentencia de 30 de mayo de 2006, Parlamento/Consejo y Comisión (C‑317/04 y C‑318/04, EU:C:2006:346) tampoco significa evidentemente que, al pronunciarse sobre el ámbito de aplicación material de la Directiva 95/46, haya al mismo tiempo y anticipadamente, establecido los límites del artículo 16 TFUE. |
88. |
En apoyo de su tesis según la cual el objetivo de seguridad del acuerdo previsto es preponderante y por lo tanto justifica la base jurídica elegida, la Comisión intenta, además, establecer una analogía entre el presente asunto y el que dio lugar a la sentencia de 6 de mayo de 2014, Comisión/Parlamento y Consejo (C‑43/12, EU:C:2014:298). |
89. |
En dicho asunto, que trataba sobre la determinación de la base jurídica adecuada de la Directiva 2011/82/UE del Parlamento Europeo y del Consejo, de 25 de octubre de 2011, por la que se facilita el intercambio transfronterizo de información sobre infracciones de tráfico en materia de seguridad vial, ( 30 ) el Tribunal de Justicia declaró, tras haber determinado que el objetivo preponderante de dicho acto consistía en la mejora de la seguridad vial (y por lo tanto de los transportes), que el sistema de intercambio de datos establecido por la Directiva constituía «el instrumento mediante el cual ésta persigue [ese] objetivo». ( 31 ) Por lo tanto, la Directiva 2011/82 debería haberse adoptado no sobre la base del artículo 87 TFUE, apartado 2 (cooperación policial), sino sobre la base del artículo 91 TFUE, apartado 1, letra c), que forma parte del título relativo a la política de transportes. |
90. |
Si bien puedo admitir que existe una analogía parcial entre ambas situaciones, ésta no modifica en absoluto el análisis de que el acuerdo previsto persigue dos objetivos y posee dos componentes indisociables. Por lo tanto, el hecho de que la transferencia de los datos del PNR a la autoridad competente canadiense pueda constituir el instrumento mediante el cual las partes contratantes persiguen el objetivo de seguridad pública del acuerdo previsto no afecta a la conclusión de que el objeto del acuerdo previsto, tal como se describe en particular en el artículo 1 de dicho acuerdo, es doble. Por lo demás, la singularidad del acuerdo previsto, que lo distingue precisamente de la Directiva 2011/82, obedece a que la eficacia máxima buscada del instrumento que constituye la transferencia de los datos del PNR para alcanzar los fines enumerados en el artículo 3 del acuerdo previsto debe ponderarse con las garantías en materia de protección de los datos personales establecidas en dicho acuerdo y que precisamente participan del segundo objetivo perseguido por éste. |
91. |
Por último, tampoco resultan convincentes los argumentos del Parlamento en apoyo de su postura según la cual el «centro de gravedad» del acuerdo previsto se encuentra de manera preponderante en las garantías que sus estipulaciones ofrecen a los pasajeros en materia de protección de sus datos del PNR, postura que, según dicha institución, justifica que la decisión de celebración de dicho acto se base exclusivamente en el artículo 16 TFUE. |
92. |
Por una parte, es inexacto afirmar que el acuerdo previsto no contempla ninguna obligación a cargo de las compañías aéreas de transmitir los datos del PNR a las autoridades canadienses competentes para que esos datos sean tratados con arreglo a los fines enumerados en el artículo 3 del acuerdo previsto. Es cierto, como ha puesto de manifiesto el Parlamento en sus observaciones escritas, que el artículo 4, apartado 1, del acuerdo previsto precisa que la Unión Europea velará únicamente por que «no se impida» a los transportistas aéreos transferir datos del PNR a las autoridades canadienses competentes. No obstante, resulta de la interpretación de dicho artículo, titulado «Garantizar el suministro de los datos del PNR», en relación con los artículos 5, ( 32 ) 20 ( 33 ) y 21 ( 34 ) del acuerdo previsto, como reconoció además el Parlamento en respuesta a una pregunta escrita formulada por el Tribunal de Justicia, que los transportistas aéreos están tanto jurídicamente como en la práctica obligados a facilitar sistemáticamente el acceso a los datos del PNR a las autoridades canadienses competentes a los efectos definidos en el artículo 3 del acuerdo previsto. |
93. |
Por otra parte, el objeto del acuerdo previsto no puede asimilarse fundamentalmente a una decisión de adecuación, semejante a la que adoptó la Comisión bajo los auspicios del Acuerdo de 2006. ( 35 ) Como ya se ha indicado, tanto la finalidad como el contenido del acuerdo previsto demuestran, por el contrario, que éste pretende conciliar los dos objetivos que persigue y que ambos se hallan indisociablemente unidos. |
94. |
¿Cuál es pues la consecuencia de esta conclusión sobre la determinación de la base jurídica del acto de celebración del acuerdo previsto? |
2. Sobre la base jurídica adecuada
95. |
Como ya se ha mencionado, el proyecto de decisión del Consejo destinada a la celebración del acuerdo previsto se basa en los artículos 82 TFUE, apartado 1, letra d), y 87 TFUE, apartado 2, letra a), ambos pertenecientes al título V de la tercera parte del TFUE, relativo al «[ELSJ]». |
96. |
Atendiendo a los dos objetivos y a los dos componentes indisociables del acuerdo previsto antes descritos, estas bases jurídicas sustantivas me parecen ciertamente pertinentes, al menos en parte, pero insuficientes. Considero en efecto que es preciso y es posible, habida cuenta de la jurisprudencia, fundamentar el acto de celebración del acuerdo previsto en el artículo 16 TFUE, apartado 2, párrafo primero. |
a) Sobre la pertinencia de los artículos 82 TFUE, apartado 1, letra d), y 87 TFUE, apartado 2, letra a)
97. |
En cuanto al primer punto, es decir, la pertinencia de los artículos 82 TFUE, apartado 1, letra d), y 87 TFUE, apartado 2, letra a), hemos de convenir en primer lugar en que la construcción de un ELSJ requiere que la Unión pueda ejercitar su competencia externa. |
98. |
Exceptuando la hipótesis de los acuerdos de readmisión, prevista en el artículo 79 TFUE, apartado 3, relativa a la política de inmigración y que no es pertinente en este caso, a la Unión no se le ha concedido una competencia externa explícita, de carácter general, referente al ELSJ. No obstante, el artículo 216 TFUE, apartado 1, permite a la Unión celebrar acuerdos internacionales, inclusive en el ámbito de la cooperación policial y/o judicial en materia penal, en particular cuando sea necesario para alcanzar alguno de los objetivos establecidos en los Tratados. |
99. |
Ninguna de las partes interesadas cuestiona esta posibilidad. No obstante, a mi juicio, el Tribunal de Justicia no debe limitarse a constatar este hecho. Considero que el Tribunal de Justicia debería dedicar algunas consideraciones a esta cuestión en el dictamen que ha de emitir. |
100. |
Admitir la competencia externa de la Unión en el ámbito del ELSJ exige que pueda ligarse el ejercicio de dicha competencia en el ámbito de la cooperación policial y judicial en materia penal con los objetivos perseguidos por el ELSJ. |
101. |
Estos objetivos se enuncian en el artículo 3 TUE, apartado 2, y en el artículo 67 TFUE. La primera de estas disposiciones declara que «la Unión ofrecerá a sus ciudadanos un [ELSJ] sin fronteras interiores, en el que esté garantizada la libre circulación de personas conjuntamente con medidas adecuadas en materia de control de las fronteras exteriores […] y de prevención y lucha contra la delincuencia». El artículo 67 TFUE, que inaugura el capítulo 1 del título V de la tercera parte del TFUE, prevé, en su apartado 3, que la Unión «se esforzará por garantizar un nivel elevado de seguridad mediante medidas de prevención de la delincuencia, el racismo y la xenofobia y de lucha en contra de ellos, medidas de coordinación y cooperación entre autoridades policiales y judiciales y otras autoridades competentes». |
102. |
Como defendió con buen criterio el Abogado General Bot en sus conclusiones de 30 de enero de 2014 en el asunto Parlamento/Consejo (C‑658/11, EU:C:2014:41), puntos 111 y 112, la dimensión externa del ELSJ tiene carácter funcional e instrumental con respecto a los objetivos mencionados en estas disposiciones. De ello se desprende que si la construcción del ELSJ puede necesitar de una acción exterior por parte de la Unión, es preciso, para que un acuerdo se considere relativo al ELSJ, que mantenga una estrecha relación con la libertad, la seguridad y la justicia en el seno de la Unión, es decir, una relación directa entre la finalidad de la seguridad interior de la Unión y la cooperación policial y/o judicial que se desarrolla en el exterior. ( 36 ) |
103. |
En distinto contexto, pero en el mismo sentido, el Tribunal de Justicia, interpretando el artículo 87 TFUE, apartado 2, a la luz del artículo 67 TFUE, precisó que para que un acto de la Unión pueda basarse, atendiendo a su finalidad y su contenido, en el primero de estos artículos, dicho acto debe guardar relación directa con los objetivos enunciados en el artículo 67 TFUE. ( 37 ) |
104. |
Éste es el caso, en mi opinión, del acuerdo previsto. |
105. |
En efecto, en primer lugar, dicho acuerdo se aplica a la transferencia, al tratamiento y a la utilización de datos del PNR que tienen como finalidad la seguridad pública y las actividades del Estado en materia penal, ( 38 ) es decir, más concretamente, la prevención y la detección de delitos de terrorismo y delitos graves de carácter transnacional, incluidos la investigación y el enjuiciamiento de los mismos. Según el artículo 1 del acuerdo previsto, éste tiene por objeto en particular «garantizar la protección y seguridad del público en general», lo que implica evidentemente la protección y seguridad de los ciudadanos de la Unión, en particular los que utilizan las conexiones aéreas entre Canadá y la Unión Europea. ( 39 ) Por otra parte, el artículo 6, apartado 2, del acuerdo previsto obliga a Canadá, a petición de, entre otros, la policía o una autoridad judicial de un Estado miembro, a comunicar, en casos particulares, los datos del PNR o la información analítica obtenida de esos datos en virtud del acuerdo previsto para prevenir o detectar «en la Unión Europea» un delito terrorista o un delito grave de carácter transnacional. |
106. |
En segundo lugar, aunque la recogida y la transferencia inicial de los datos del PNR sean realizadas por los transportistas aéreos, las estipulaciones del acuerdo previsto constituyen un marco jurídico instituido por los poderes públicos con fines represivos. ( 40 ) Como ya se ha mencionado, el acuerdo previsto instaura así normas relativas al acceso por parte de las autoridades canadienses a los datos del PNR o a la información analítica obtenida de esos datos y la posterior transmisión de tales datos a, entre otras, las autoridades policiales y judiciales competentes de la Unión y de sus Estados miembros así como a las de Estados terceros, en particular a los fines enumerados en el artículo 3 del acuerdo previsto. Por otra parte, como se ha puesto claramente de manifiesto en los debates ante el Tribunal de Justicia, la duración de conservación de cinco años de los datos del PNR, establecida en el artículo 16, apartados 1 y 5, del acuerdo previsto, se fijó con la intención de permitir y facilitar la investigación, las acciones y los procedimientos judiciales relativos, en particular, a las redes internacionales de actividades criminales graves. Pues bien, a la luz de la redacción tan amplia del artículo 16, apartado 5, del acuerdo previsto, esa investigación y esas acciones pueden perfectamente incluir las llevadas a cabo por las autoridades policiales y judiciales de los Estados miembros de la Unión. Tales normas pertenecen, en principio, al ámbito cubierto por la cooperación policial y judicial en materia penal. ( 41 ) |
107. |
De ello deduzco, por una parte, que, en la medida en que se refiere a las medidas que pueden establecer el Parlamento y el Consejo relativas a «la recogida, almacenamiento, tratamiento, análisis e intercambio de información pertinente» a los efectos de la cooperación policial «en la prevención y en la detección e investigación de infracciones penales», contemplada en el artículo 87 TFUE, apartado 1, el artículo 87 TFUE, apartado 2, letra a), constituye una base jurídica adecuada para el acto de celebración del acuerdo previsto. Añado, por si resultase de utilidad, que esa cooperación y esos intercambios no han de realizarse necesariamente entre autoridades que puedan calificarse específicamente, en Derecho nacional, de servicios de policía stricto sensu. En efecto, el artículo 87 TFUE, apartado 1, vincula con la cooperación policial, de forma singularmente amplia, a «todas las autoridades competentes de los Estados miembros, incluidos los servicios de policía, los servicios de aduanas y otros servicios con funciones coercitivas […]», ( 42 ) expresión que permite perfectamente, en el contexto de la dimensión externa del ELSJ, la cooperación con la CBSA con el fin de garantizar la seguridad interior de la Unión. |
108. |
En lo que respecta, por otra parte, al aspecto «cooperación judicial en materia penal» del acuerdo previsto, pese a las circunstancias puestas de relieve en los puntos 105 y 106 de las presentes conclusiones, confieso tener ciertas dudas para considerar que el acuerdo previsto pueda constituir una medida que contribuya directamente a «facilitar la cooperación entre las autoridades judiciales o equivalentes de los Estados miembros en el marco del procedimiento penal y de la ejecución de resoluciones», en el sentido del artículo 82 TFUE, apartado 1, letra d). Como admitió el Gobierno del Reino Unido en su respuesta a una de las preguntas escritas formuladas por el Tribunal de Justicia, sólo en determinados casos el acuerdo previsto podría facilitar esa cooperación entre autoridades judiciales de los Estados miembros. Tal cooperación depende, no obstante, de una serie de factores, tanto fácticos como jurídicos, que escapan a las estipulaciones del acuerdo previsto. Por lo tanto, la cooperación entre autoridades judiciales de los Estados miembros no parece ser sino una consecuencia indirecta del marco establecido por el acuerdo previsto. Ciertamente, el hecho de que el artículo 6 del acuerdo previsto no obligue únicamente a la autoridad canadiense competente sino de forma más general «a Canadá» a transmitir datos del PNR o información analítica a las autoridades judiciales de los Estados miembros puede interpretarse en el sentido de que impone igualmente tal obligación a las autoridades judiciales de ese Estado tercero. Suponiendo que esta interpretación sea correcta y que quepa concebir un intercambio de datos del PNR entre autoridades judiciales, no deja de ser cierto que, en el estado actual de su redacción, el acuerdo previsto no parece contribuir verdaderamente a facilitar la cooperación entre autoridades judiciales o equivalentes de los Estados miembros. A mi juicio, el artículo 82 TFUE, apartado 1, letra d), únicamente podría válidamente constituir una base jurídica adicional del acto de celebración de dicho acuerdo si el Tribunal de Justicia adoptase una interpretación más generosa de dicha disposición, en su caso, puesta en relación con el artículo 67 TFUE, apartado 3, según el cual «la Unión se esforzará por garantizar un nivel elevado de seguridad mediante […] medidas de coordinación y cooperación entre autoridades […] judiciales y otras autoridades competentes» o si las partes contratantes modificasen las estipulaciones del acuerdo previsto en el sentido de tener en cuenta de una forma más directa la dimensión judicial del acuerdo previsto. |
109. |
Añado que la apreciación según la cual el artículo 82 TFUE, apartado 1, letra d), no puede válidamente fundamentar el acto de celebración del acuerdo previsto no queda desvirtuada por la circunstancia, mencionada por algunas de las partes interesadas, de que las Decisiones del Consejo por las que se celebraron los acuerdos sobre el PNR con Australia y Estados Unidos, respectivamente, estén basadas en dicha disposición, en relación con el artículo 87 TFUE, apartado 2, letra a). ( 43 ) En efecto, según jurisprudencia reiterada, resulta irrelevante, a efectos del control de la base jurídica del acto por el que se celebra el acuerdo previsto en el presente caso, la base jurídica empleada para la adopción de otros actos de la Unión que puedan presentar características similares. ( 44 ) |
110. |
En tales circunstancias, en el estado actual de la redacción del acuerdo previsto, opino que el artículo 87 TFUE, apartado 2, letra a), constituye una base jurídica adecuada para el acto de celebración del acuerdo previsto. |
111. |
Ello no obstante, esa base jurídica material, válidamente indicada en el proyecto de acto de celebración del acuerdo previsto, me parece insuficiente para permitir a la Unión celebrar dicho acuerdo. |
b) Sobre la necesidad de basar el acto de celebración del acuerdo previsto en el artículo 16 TFUE, apartado 2, párrafo primero
112. |
En efecto, como afirma acertadamente el Parlamento en su solicitud, el artículo 87 TFUE, apartado 2, letra a), no prevé la adopción de normas en materia de protección de datos personales, como tampoco lo hace, por lo demás, de forma general el título V de la tercera parte del TFUE relativo al ELSJ. |
113. |
Ahora bien, como he demostrado antes, uno de los dos objetivos esenciales del acuerdo previsto, como indica su artículo 1, consiste en estipular «la manera en que deben protegerse» los datos del PNR de los pasajeros que utilizan las conexiones aéreas entre Canadá y la Unión Europea. Como ya se ha puesto de relieve, el contenido del acuerdo previsto corrobora este objetivo, en particular las estipulaciones que figuran en el capítulo relativo a las «garantías aplicables al tratamiento de los datos del PNR», que engloba los artículos 7 a 21 del acuerdo previsto. |
114. |
Dentro de este contexto, la acción de la Unión ha de basarse necesariamente, en mi opinión, en el artículo 16 TFUE, apartado 2, párrafo primero, que, recordémoslo, atribuye al Parlamento y al Consejo el establecimiento de las normas sobre protección de las personas físicas respecto del tratamiento de datos de carácter personal por, entre otros, los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del Derecho de la Unión, y sobre la libre circulación de estos datos. Tres razones principales motivan este enfoque. |
115. |
En primer lugar, a semejanza del razonamiento expuesto anteriormente a propósito de la dimensión externa del ELSJ, la Unión debe considerarse habilitada, con arreglo al artículo 216 TFUE, apartado 1, para celebrar un acuerdo internacional con un país tercero que tenga por objeto establecer normas relativas a la protección de datos personales cuando ello sea necesario para realizar alguno de los objetivos contemplados en los Tratados, en este caso los del artículo 16 TFUE. Así sucede con el acuerdo previsto, una de cuyas principales finalidades consiste, en lo sustancial, en prescribir los medios para garantizar la protección de los datos del PNR de los pasajeros que utilicen las conexiones aéreas entre Canadá y la Unión Europea. Por otra parte, no hay duda alguna, a mi juicio, de que las estipulaciones del acuerdo previsto deben calificarse como «normas» relativas a la protección de los datos de personas físicas, en el sentido del artículo 16 TFUE, apartado 2, párrafo primero, cuya finalidad consiste en obligar a las partes contratantes. |
116. |
Seguidamente, y a diferencia de lo que sucedía en el caso del antiguo artículo 286 CE, el artículo 16 TFUE, apartado 2, párrafo primero, que se integra en el título II de la primera parte de este Tratado, titulado «Disposiciones de aplicación general», pretende constituir la base jurídica de todas las normas adoptadas en el ámbito de la Unión relativas a la protección de las personas físicas respecto del tratamiento de sus datos personales, incluidas las que se inscriben en el marco de la adopción de medidas pertenecientes al ámbito de las disposiciones del TFUE relativas a la cooperación policial y judicial en materia penal. En efecto, como especifica el párrafo segundo de ese mismo artículo, únicamente las normas referentes a la protección de datos personales adoptadas en el contexto de la política exterior y de seguridad común deben basarse en el artículo 39 TUE. Esta interpretación del artículo 16 TFUE, apartado 2, párrafo primero, por una parte, resulta confirmada por la omisión de toda referencia a la eventual adopción de disposiciones relativas a la protección de datos personales sobre la base del artículo 87 TFUE, apartado 2, letra a). Pues bien, es preciso recordar que, antes de la entrada en vigor del Tratado de Lisboa, el artículo 30 TUE, apartado 1, letra b), preveía por el contrario que una acción común en el ámbito de la cooperación policial podía incluir, entre otros extremos, el tratamiento, análisis e intercambio de información pertinente «con sujeción a las disposiciones correspondientes en materia de protección de datos personales», redacción que además habilitó al Consejo para adoptar la Decisión marco 2008/977/JAI, de 27 de noviembre de 2008, relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal. ( 45 ) Por otra parte, como reiteraré más adelante, conviene señalar que las disposiciones de los Protocolos (no 21) y (no 22) sí previeron la hipótesis de que pudiesen adoptarse normas basadas en el artículo 16 TFUE, apartado 2, párrafo primero, en el marco del ejercicio de actividades pertenecientes al ámbito de los capítulos del TFUE relativos a la cooperación policial y judicial en materia penal. |
117. |
Por consiguiente, y para disipar toda posible duda habida cuenta de la ambigüedad de la postura defendida por la Comisión en sus observaciones escritas, el artículo 16 TFUE, por una parte, y los artículos 87 TFUE, apartado 2, letra a), y 82 TFUE, apartado 1, letra d), por otra, no pueden mantener relaciones de tipo jerárquico «lex generalis — lex specialis». En efecto, como ilustran en particular los Protocolos antes citados, las Altas Partes Contratantes contemplaron la posibilidad de que un acto de la Unión pudiese basarse de forma concurrente en esos tres artículos, precisamente debido a que dichas disposiciones poseen ámbitos de aplicación distintos. |
118. |
Por último, como han sostenido en particular el Parlamento, la Comisión y el SEPD en sus respectivas respuestas a una pregunta escrita formulada por el Tribunal de Justicia, la pertinencia del artículo 16 TFUE como base jurídica del acto de celebración del acuerdo previsto no puede ponerse en duda por el hecho de que las medidas de protección que dicho artículo permite adoptar se refieran al tratamiento de datos por parte de autoridades de los Estados miembros y no, como en este caso, a la transferencia de datos previamente recogidos por entidades privadas (los transportistas aéreos) a un país tercero. |
119. |
En efecto, por una parte, parafraseando al Abogado General Léger, la obligación que pesa sobre una compañía aérea en virtud de los artículos 4, 5, 20 y 21 del acuerdo previsto, leídos conjuntamente, de transferir directamente una serie de datos del PNR a Canadá no es «fundamentalmente distint[a] de un intercambio directo de datos entre autoridades públicas». ( 46 ) Por otra parte, al haber confirmado el Tribunal de Justicia que la transferencia de datos personales por parte de un operador privado desde un Estado miembro a un país tercero está incluida en la definición de «tratamiento de datos» en el sentido de la Directiva 95/46, ( 47 ) interpretar de forma estrictamente literal la nueva base jurídica que constituye el artículo 16 TFUE, apartado 2, párrafo primero, equivaldría a fraccionar el régimen de protección de los datos personales. Tal interpretación parece hallarse en contradicción con la intención de las Altas Partes Contratantes de crear una base jurídica, en principio, única que habilite expresamente a la Unión para adoptar normas relativas a la protección de los datos personales de las personas físicas. Se trataría, por lo tanto, de un retroceso difícilmente explicable con respecto al régimen anterior basado en las disposiciones del Tratado relativas al mercado interior. Esta interpretación estrictamente literal del artículo 16 TFUE tendría, pues, como consecuencia privar a dicha disposición de buena parte de su efecto útil. |
120. |
Por consiguiente, a la vista de los objetivos y los componentes del acuerdo previsto, que están unidos de forma inseparable, el acto de celebración de dicho acuerdo debe, a mi juicio, basarse en los artículos 16 TFUE, apartado 2, párrafo primero, y 87 TFUE, apartado 2, letra a), como bases jurídicas materiales. |
121. |
Según la jurisprudencia, elegir una pluralidad de bases jurídicas para adoptar un acto de la Unión requiere que los procedimientos previstos por las distintas bases jurídicas sean compatibles. ( 48 ) |
122. |
En el caso de autos, tanto el artículo 16 TFUE, apartado 2, párrafo primero, como el artículo 87 TFUE, apartado 2, letra a), disponen que, para adoptar las medidas previstas por ambos artículos, el Parlamento y el Consejo seguirán el procedimiento legislativo ordinario. Lo mismo sucede, además, con las medidas basadas en el artículo 82 TFUE, apartado 1, letra d), en caso de que el Tribunal de Justicia considerase que dicho artículo constituye una base jurídica material adecuada para el acto de celebración del acuerdo previsto. |
123. |
Por lo tanto, los procedimientos específicamente previstos por dichos artículos son compatibles, en el sentido de la jurisprudencia. Tales procedimientos no se oponen, pues, a que el Tribunal de Justicia declare que el acto de celebración del acuerdo previsto ha de basarse en una pluralidad de bases jurídicas. |
124. |
No obstante, el Consejo, apoyado por Irlanda, ha alegado que es preciso ir más allá de esta observación examinando las modalidades de participación del Reino de Dinamarca, de Irlanda y del Reino Unido en el Consejo, tal como están previstas en las disposiciones de los Protocolos (n.o 21) y (n.o 22), respectivamente. Según estas partes interesadas, tales modalidades se oponen a la aplicación conjunta, como bases jurídicas materiales, del artículo 16 TFUE y del artículo 87 TFUE, apartado 2, letra a). Más concretamente, el Consejo explicó en la vista ante el Tribunal de Justicia, no sin ciertas contradicciones e incoherencias, ( 49 ) que las disposiciones de dichos Protocolos distinguen la cuestión del carácter no vinculante de las normas establecidas sobre la base del artículo 16 TFUE en relación con el tratamiento de datos personales en el ejercicio de actividades pertenecientes al ámbito de la cooperación policial y judicial en materia penal, de la cuestión de la participación de esos tres Estados miembros en la votación en el Consejo cuando éste ha de adoptar tales normas. De ello se desprende, según el Consejo, que, mientras que esos tres Estados miembros no participan en la adopción de las medidas pertenecientes al ámbito de la cooperación policial y judicial en materia penal, salvo en el caso de que Irlanda y el Reino Unido decidiesen ejercitar su derecho al «opt‑in», siguen participando en la adopción de las normas que tomen como base el artículo 16 TFUE, pese a que, en virtud de los respectivos Protocolos, esas medidas no son vinculantes para ellos. |
125. |
Esta argumentación merece cierta atención, aun cuando, en definitiva, considero que debe desestimarse. |
126. |
Recordemos que el Tribunal de Justicia ya declaró que los dos Protocolos en cuestión no pueden tener influencia «de ninguna clase en la determinación de la base jurídica apropiada» para la adopción de un acto de la Unión. ( 50 ) Por lo tanto, en virtud de esta jurisprudencia, si al término del análisis del objetivo y contenido del acuerdo previsto y contrariamente a lo que yo he defendido anteriormente, el acto de celebración de dicho acuerdo hubiese de basarse exclusivamente en el artículo 16 TFUE, apartado 2, párrafo primero, los dos Protocolos en cuestión, pese a la redacción del artículo 29 del acuerdo previsto, no podrían «neutralizar» tal conclusión. En otros términos, los tres Estados miembros en cuestión deberían participar en la adopción del acto de celebración del acuerdo previsto y quedar obligados por éste. |
127. |
La aplicación de esta jurisprudencia en la hipótesis del concurso de dos bases jurídicas, que prevén el mismo procedimiento de adopción (procedimiento legislativo ordinario y voto por mayoría cualificada en el Consejo), pero que afectan de distinta forma a la participación, en el seno del Consejo, de los tres Estados miembros en cuestión a efectos de la adopción del acto controvertido, resulta más delicada. |
128. |
En la medida en que se trata aquí de determinar la base jurídica apropiada de un acto concreto, el acto de celebración del acuerdo previsto, está cuestión no necesita resolverse en lo que respecta a Irlanda y al Reino Unido. En efecto, según ha quedado acreditado, ambos Estados miembros han notificado, conforme al artículo 3 del Protocolo n.o 21, su intención de quedar vinculados por el acuerdo previsto, de forma que participarán en la adopción del acto de celebración de éste. Por lo tanto, ningún argumento de carácter procedimental relativo a esos dos Estados miembros se opone a que el acto de celebración del acuerdo previsto se base conjuntamente en el artículo 16 TFUE, apartado 2, párrafo primero, y en el artículo 87 TFUE, apartado 2, letra a). |
129. |
En cuanto a la posición del Reino de Dinamarca, debe recordarse que, con arreglo al artículo 2 bis del Protocolo n.o 22, el artículo 2 de éste, según el cual ninguna medida ni acuerdo internacional adoptados en virtud del título V de la tercera parte del TFUE vinculará al Reino de Dinamarca, se aplica igualmente a las normas establecidas sobre la base del artículo 16 TFUE que se refieran al tratamiento de datos de carácter personal por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación de los capítulos 4 ó 5 del título V de la tercera parte de dicho Tratado, es decir, que pertenezcan al ámbito de la cooperación policial y judicial en materia penal. |
130. |
Por lo tanto, las estipulaciones del acuerdo previsto no obligarán al Reino de Dinamarca. No obstante, el Consejo sostiene que, al limitarse a remitirse al artículo 2 del Protocolo n.o 22 y no a su artículo 1, que declara que el Reino de Dinamarca no participará en la adopción por el Consejo de medidas propuestas en virtud del título V de la tercera parte del TFUE, el artículo 2 bis de dicho Protocolo implica, a sensu contrario, que el Reino de Dinamarca participaría en la adopción del acto de celebración del acuerdo previsto si éste hubiese de basarse en el artículo 16 TFUE. |
131. |
Este razonamiento no me convence o, cuando menos, no tiene las consecuencias que le atribuye el Consejo en cuanto a la elección de la base jurídica del acto de celebración del acuerdo previsto. |
132. |
En efecto, no creo que las Altas Partes Contratantes tuviesen la intención de permitir al Reino de Dinamarca no quedar vinculado por un acto que tuviese como base jurídica tanto el artículo 16 TFUE como alguna de las disposiciones del TFUE relativas a la cooperación policial y judicial en materia penal, al mismo tiempo que participa en la adopción de dicho acto, con el riesgo inherente de que el Reino de Dinamarca pueda unirse a un grupo de Estados miembros opuestos precisamente a la adopción de dicho acto, impidiendo de este modo que pueda formarse una mayoría en el Consejo. Ello se me antoja contrario al objeto del Protocolo n.o 22, que consiste en buscar un equilibrio entre la necesidad de preservar la posición específica del Reino de Dinamarca y la de permitir a los demás Estados miembros (incluidos, en su caso, Irlanda y el Reino Unido) proseguir su cooperación en el ámbito del ELSJ. |
133. |
A esta interpretación podría ciertamente objetársele que, en virtud del Preámbulo del Protocolo n.o 22, las Altas Partes Contratantes toman nota de que el Reino de Dinamarca no impedirá que los demás Estados miembros sigan desarrollando su cooperación en relación con medidas que no vinculen al Reino de Dinamarca. Así pues, según esta tesis, pese a estar autorizada a participar en la adopción de actos comprendidos en el ámbito de aplicación del artículo 2 bis de dicho Protocolo que no le vinculan, Dinamarca se comprometió a no oponerse nunca a su adopción. |
134. |
Si esta fuese la interpretación correcta de las disposiciones pertinentes del Protocolo n.o 22, la consecuencia sería que el acto de celebración del acuerdo previsto no podría basarse acumulativamente en los artículos 16 TFUE y 87 TFUE, apartado 2, letra a), debido a una supuesta incompatibilidad de los procedimientos de adopción de dicho acto, por la sencilla razón de que Dinamarca participaría de manera meramente formal en la adopción del citado acto. Por consiguiente, esta participación meramente formal del Reino de Dinamarca en la adopción del acto de celebración del acuerdo previsto «neutralizaría» el análisis objetivo de la base jurídica de ese acto, análisis que, debo recordar, se basa en el examen de las finalidades y los componentes de dicho acuerdo. Esta consecuencia chocaría frontalmente con la jurisprudencia según la cual no es el procedimiento el que define la base jurídica de un acto, sino que es la base jurídica de un acto la que determina el procedimiento que ha de seguirse para adoptarlo. ( 51 ) Dicha jurisprudencia se aplica, a mi juicio, con mayor motivo, cuando el procedimiento que supuestamente habría de seguirse implicaría, en el Consejo, una participación meramente formal del Reino de Dinamarca en la adopción de un acto con respecto al cual, de todos modos, dicho Estado miembro no quedaría vinculado. |
135. |
Habida cuenta del conjunto de las consideraciones anteriores, propongo al Tribunal de Justicia que responda a la segunda pregunta formulada por el Parlamento en el sentido de que el acto de celebración del acuerdo previsto, atendiendo a los objetivos y los componentes de dicho acuerdo, que están inseparablemente vinculados, sin que unos sean accesorios de los otros, debe basarse en los artículos 16 TFUE, apartado 2, párrafo primero, y 87 TFUE, apartado 2, letra a), en relación con el artículo 218 TFUE, apartado 6, letra a), inciso v). ( 52 ) |
VII. Sobre la compatibilidad del acuerdo previsto con las disposiciones del TFUE y de la Carta (primera pregunta)
A. Síntesis de la solicitud y de las observaciones del Parlamento y de las demás partes interesadas
1. Síntesis de la solicitud y de las observaciones del Parlamento
136. |
El Parlamento considera que, habida cuenta en particular de la jurisprudencia del Tribunal de Justicia, existe una incertidumbre jurídica acerca de si el acuerdo previsto es compatible con el artículo 16 TFUE y con los artículos 7, 8 y 52, apartado 1, de la Carta. |
137. |
Según el Parlamento, es evidente que la recogida, la transferencia, el análisis, la conservación y la posterior transferencia de datos del PNR contemplados por el acuerdo previsto constituyen diferentes «tratamientos» y diferentes manifestaciones de la injerencia en los derechos fundamentales garantizados por los artículos 7 y 8 de la Carta. Dicha institución afirma que, en sus distintas manifestaciones, esta injerencia es de gran alcance y debe considerarse particularmente grave. ( 53 ) |
138. |
El Parlamento subraya que, con arreglo al artículo 52, apartado 1, de la Carta, tal injerencia sólo puede estar justificada si es «establecida por la ley» y resulta necesaria y proporcionada con respecto a un objetivo de interés general reconocido por la Unión. |
139. |
En cuanto al primer punto, el Parlamento se pregunta, fundamentalmente, si un acuerdo internacional constituye una «ley» en el sentido de la citada disposición y si puede establecer limitaciones al ejercicio de los derechos garantizados por los artículos 7 y 8 de la Carta. Señala que, según la jurisprudencia del Tribunal Europeo de Derechos Humanos (TEDH) relativa a la expresión «establecida por la ley» que figura en el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, firmado en Roma el 4 de noviembre de 1950 (CEDH), cualquier injerencia debe tener una base «en Derecho interno». Ahora bien, según el Parlamento, dado que el Tratado de Lisboa alteró profundamente el ordenamiento jurídico de la Unión introduciendo en él el concepto de «acto legislativo», la expresión «establecida por la ley» coincide, en Derecho de la Unión, con el concepto de «acto legislativo». Un acuerdo internacional no responde, en su opinión, a esta calificación. |
140. |
Por lo que respecta al segundo punto, la necesidad de la injerencia, el Parlamento considera que incumbe al Consejo y a la Comisión demostrar, sobre la base de elementos objetivos, que la celebración del acuerdo previsto es efectivamente necesaria en el sentido del artículo 52, apartado 1, de la Carta. A su parecer, faltan esos elementos objetivos. |
141. |
Por último, en cuanto al tercer punto, que se refiere a la proporcionalidad de la injerencia contemplada en el acuerdo previsto, el Parlamento sostiene que el poder de apreciación del legislador de la Unión resulta limitado, de modo que es preciso llevar a cabo un estricto control de las exigencias establecidas por la Carta, inclusive en el contexto de la celebración de un acuerdo internacional. A este respecto, el acuerdo previsto pertenece, según el Parlamento, a la categoría de los «dispositivos de vigilancia más generales», en el sentido de la jurisprudencia del TEDH, ( 54 ) de modo que el razonamiento seguido por el Tribunal de Justicia en su sentencia de 8 de abril de 2014, Digital Rights Ireland y otros (C‑293/12 y C‑594/12, EU:C:2014:238), también es aplicable en este caso. |
142. |
En primer lugar, en opinión del Parlamento, el acuerdo previsto afecta de manera global a personas que viajan a Canadá, sin que exista una relación entre las personas afectadas, sus datos del PNR y una amenaza para la seguridad pública. |
143. |
En segundo lugar, el Parlamento se interroga acerca de si el acuerdo previsto contempla criterios objetivos que permitan efectivamente delimitar el acceso de las autoridades canadienses a los datos del PNR y su posterior utilización con fines de prevención, detección o enjuiciamiento de delitos que a su vez puedan considerarse suficientemente graves. Pues bien, los criterios enumerados en el proyecto de acuerdo son a su juicio vagos. Por ejemplo, el Parlamento señala que el acuerdo previsto no identifica a la «autoridad canadiense competente» que tiene acceso a los datos y el artículo 3, apartado 3, del acuerdo previsto se remite, con respecto a la expresión «delitos graves», a la legislación canadiense, sin que haya limitaciones reconocidas por el Derecho de la Unión y sin que se concreten las infracciones que se incluyen en dicha expresión. Asimismo, según el Parlamento, el artículo 3, apartado 5, del acuerdo previsto permite el tratamiento de los datos del PNR por «Canadá» en ámbitos distintos del penal y podría permitir la transferencia de los datos del PNR por «la autoridad canadiense competente» a otras autoridades canadienses, e incluso a particulares. Por otra parte, el artículo 16, apartado 2, del acuerdo previsto no precisa el número de personas que tienen acceso a los datos del PNR mientras que el acceso de las autoridades canadienses a esos datos no está supeditado a un control previo efectuado por un órgano jurisdiccional o por un organismo administrativo autónomo. |
144. |
En tercer lugar, el Parlamento pide al Tribunal de Justicia que declare que la duración de conservación de los datos del PNR de cinco años, establecida en el artículo 16, apartado 5, del acuerdo previsto, no está justificada. Afirma que esta duración no está basada en criterios objetivos y que no se ha ofrecido justificación alguna. Además, dicha duración se amplió con respecto a la prevista bajo el régimen del Acuerdo de 2006, sin explicación alguna. |
145. |
En cuarto lugar, el Parlamento expone que el acuerdo previsto no exige que los datos del PNR se conserven dentro del territorio de la Unión, y, por lo tanto, el control por una autoridad independiente del cumplimiento de los requisitos de protección y de seguridad, explícitamente exigido por el artículo 8, apartado 3, de la Carta y el artículo 16 TFUE, apartado 2, no está plenamente garantizado. En este contexto, sostiene que existen serias dudas acerca de si las medidas que hayan de adoptar las autoridades canadienses responderán a las exigencias fundamentales de dichos artículos. En particular, señala que el artículo 10 del acuerdo previsto no garantiza el control por una autoridad canadiense independiente ni precisa suficientemente, conforme a Derecho, las competencias, inclusive de control previo, de que dispone dicha autoridad para poder comprobar si éstas son «adecuadas» con arreglo al Derecho de la Unión. |
146. |
En respuesta a las preguntas escritas formuladas por el Tribunal de Justicia, el Parlamento precisó que las enseñanzas que se extraen de la sentencia de 6 de octubre de 2015, Schrems (C‑362/14, EU:C:2015:650) son aplicables mutatis mutandis a la apreciación de la compatibilidad del acuerdo previsto. Añade que el cumplimiento efectivo de los requisitos materiales y procedimentales para el acceso inicial a los datos personales debería también aplicarse a la transferencia posterior de esos datos y al acceso a los mismos por parte de otras autoridades canadienses o de Estados terceros. Según el Parlamento, no sucede así en el caso de los requisitos establecidos en los artículos 18 y 19 del acuerdo previsto. Por otra parte, en opinión del Parlamento, la redacción del artículo 14, apartado 2, del acuerdo previsto es ambigua. |
2. Síntesis de las observaciones de las demás partes interesadas
147. |
En cuanto a las demás partes interesadas, mientras que, en lo sustancial, el SEPD comparte, en sus respuestas a las preguntas escritas formuladas por el Tribunal de Justicia y en sus observaciones orales, las dudas y preocupaciones manifestadas por el Parlamento, los Gobiernos que han participado en el presente procedimiento así como el Consejo y la Comisión consideran que el acuerdo previsto es compatible con el artículo 16 TFUE y con los artículos 7, 8 y 52, apartado 1, de la Carta. Sus observaciones tratan fundamentalmente sobre la injerencia que suponen las normas establecidas por el acuerdo previsto en el derecho fundamental de las personas a la protección de sus datos personales y sobre el cumplimiento de los requisitos previstos por el artículo 52, apartado 1, de la Carta (una injerencia «establecida por la ley», con el fin de alcanzar un objetivo de interés general reconocido por la Unión y que sea necesaria y proporcionada para alcanzar dicho objetivo). |
148. |
En primer lugar, los Gobiernos estonio y francés admiten explícitamente que las estipulaciones del acuerdo previsto constituyen una injerencia en el derecho fundamental a la protección de los datos de carácter personal, garantizado por el artículo 8 de la Carta. El Gobierno francés aclara, no obstante, que la obligación impuesta a los transportistas aéreos de transferir los datos del PNR no constituye tal injerencia puesto que no la establece el acuerdo previsto, sino la legislación canadiense. Ahora bien, al Tribunal de Justicia no se le puede solicitar un dictamen sobre la compatibilidad de la legislación de un Estado tercero con los Tratados. Por otra parte, ese mismo Gobierno sostiene que las injerencias contenidas en el acuerdo previsto son de menores proporciones que las que originaron el asunto que dio lugar a la sentencia de 8 de abril de 2014, Digital Rights Ireland y otros (C‑293/12 y C‑594/12, EU:C:2014:238). Así, según el Gobierno francés, mediante el acuerdo previsto se transfieren menos datos y se ven afectadas menos personas que mediante la Directiva que fue objeto de controversia en la sentencia antes citada. Dicho Gobierno añade que los datos del PNR no permiten sacar conclusiones muy concretas sobre la vida privada de los pasajeros. Por último, señala que el acuerdo previsto impone, en su artículo 11, una obligación de transparencia, de forma que no puede concluirse que la recogida de los datos del PNR y su posterior utilización puedan generar en las personas afectadas la sensación de que su privada es objeto de vigilancia constante. |
149. |
En segundo lugar, en cuanto a la cuestión de la fuente legal de tal injerencia, el Gobierno estonio, Irlanda, los Gobiernos francés y del Reino Unido, así como el Consejo y la Comisión, estiman que dicha injerencia responde al requisito de ser «establecida por la ley» en el sentido del artículo 52, apartado 1, de la Carta. |
150. |
En tercer lugar, con respecto al objetivo perseguido por esa injerencia, los Gobiernos búlgaro y estonio, Irlanda, los Gobiernos español y francés, así como el Consejo y la Comisión, alegan que la transferencia y posterior utilización de los datos del PNR tienen como finalidad, entre otras, la lucha contra el terrorismo y por ello responden a un objetivo de interés general. |
151. |
En cuarto lugar, en cuanto a la necesidad de tal injerencia, los Gobiernos francés y del Reino Unido así como el Consejo y la Comisión subrayan en primer lugar que existe una creciente demanda de países terceros que consideran necesaria la transferencia de datos del PNR con fines de seguridad pública. La Comisión admite que no existen estadísticas concretas que indiquen la contribución de esos datos a la prevención y la detección de la delincuencia y el terrorismo, ni a su investigación y enjuiciamiento. Sin embargo, señala que la información procedente de países terceros y de Estados miembros que los utilizan ya con fines represivos confirma que su utilización es indispensable. La experiencia adquirida en esos países muestra que la utilización de datos del PNR ha hecho progresar sensiblemente la lucha contra el tráfico de drogas, la trata de seres humanos y el terrorismo y permite comprender mejor la composición y el funcionamiento de las redes terroristas y otras redes criminales. El Gobierno del Reino Unido y la Comisión añaden que la información facilitada por la CBSA demuestra que los datos del PNR contribuyeron decisivamente a la localización e identificación de potenciales sospechosos de actos de terrorismo o delitos graves de carácter transnacional. |
152. |
En quinto lugar, en cuanto a la proporcionalidad de la injerencia en cuestión, el Gobierno estonio, el Consejo y la Comisión recuerdan, primeramente, las exigencias que se extraen de la jurisprudencia del Tribunal de Justicia, y especialmente las indicadas en la sentencia de 8 de abril de 2014, Digital Rights Ireland y otros (C‑293/12 y C‑594/12, EU:C:2014:238). En particular, el Gobierno estonio opina que las enseñanzas de dicha sentencia en cuanto al alcance de la facultad de apreciación del legislador y del control jurisdiccional de los límites de esa facultad son aplicables al presente caso. En cambio, Irlanda alega que hay que tener en cuenta el carácter internacional y paccionado del acto en cuestión, mientras que el Gobierno francés sostiene que la facultad de apreciación del legislador de la Unión no puede limitarse en exceso habida cuenta de que la injerencia de que se trata en el presente caso no es particularmente grave. El Gobierno del Reino Unido estima que la protección y la seguridad públicas suscitan, por su propia naturaleza, cuestiones para las que es preciso reconocer al legislador un «margen de discrecionalidad razonable» a efectos de determinar si una medida es manifiestamente inapropiada. Según dicho Gobierno, el acuerdo previsto no puede calificarse de «dispositivo de vigilancia general», sino que está más bien relacionado con los procedimientos habituales de control en las fronteras. |
153. |
Seguidamente, los Gobiernos búlgaro y estonio, Irlanda, los Gobiernos español, francés y del Reino Unido, así como el Consejo y la Comisión, sostienen también que el acuerdo previsto respeta el principio de proporcionalidad. El Gobierno del Reino Unido alega primero que, sin el acuerdo previsto, las medidas relativas a los pasajeros procedentes de la Unión podrían ser menos selectivas y más intrusivas. Los datos del PNR permiten, según dicho Gobierno, delimitar más efectiva y eficazmente a las «personas de interés» que viajan con destino a acontecimientos o lugares concretos, reduciendo así los controles de seguridad y los tiempos de espera para los demás pasajeros. Asimismo, dichos Gobiernos e instituciones opinan, fundamentalmente, que el acuerdo previsto se distingue de la Directiva que dio origen a la sentencia de 8 de abril de 2014, Digital Rights Ireland y otros (C‑293/12 y C‑594/12, EU:C:2014:238). En particular, alegan que, a diferencia de dicha Directiva, el acuerdo previsto contiene normas estrictas que regulan las condiciones de acceso y de utilización de los datos y normas relativas a la seguridad de los datos y al control por una autoridad independiente. Además, según ellos, el acuerdo previsto contempla la supervisión del cumplimiento de dichas normas, la información a las personas afectadas sobre la transferencia y el tratamiento de sus datos, un procedimiento de acceso a los datos y de rectificación de los mismos y recursos administrativos y judiciales para garantizar el respeto de esos derechos. |
154. |
Con respecto a la alegación del Parlamento de que el acuerdo previsto no exige relación alguna entre los datos del PNR y una amenaza para la seguridad pública, los Gobiernos estonio, francés y del Reino Unido así como la Comisión exponen, en lo sustancial, que la utilización de los datos del PNR tiene por objeto identificar a personas hasta entonces desconocidas por los servicios competentes como potencialmente peligrosas para la seguridad, puesto que las personas conocidas como tales pueden ser identificadas gracias a la información anticipada sobre pasajeros (API). Por lo tanto, el objetivo de prevención no podría lograrse si únicamente se transmitiesen los datos del PNR de personas sospechosas ya identificadas. |
155. |
En tercer lugar, según dichas partes interesadas, las críticas formuladas por el Parlamento y por el SEPD en cuanto a la redacción y a las omisiones del acuerdo previsto deberían también desestimarse. |
156. |
Así, según el Consejo y la Comisión, el hecho de que el artículo 3, apartado 3, del acuerdo previsto se remita al Derecho canadiense no permite concluir que sea excesivamente vago. Alegan que resultaría difícil incluir en un acuerdo internacional una definición de un acto calificable como «delito grave» que sea exclusivamente establecida por el Derecho de la Unión. Asimismo, en cuanto al artículo 3, apartado 5, letra b), del acuerdo previsto, dichas instituciones ponen de relieve que esa disposición refleja la obligación impuesta por la Constitución canadiense a todos los poderes públicos canadienses de acatar una orden judicial. Y añaden que la eventual posibilidad de acceso a los datos del PNR, en un caso semejante, habría sido examinada por la autoridad judicial a la luz de los criterios de necesidad y de proporcionalidad y estaría motivada en la resolución del órgano jurisdiccional. |
157. |
Además, en cuanto a los límites relativos a las autoridades y personas que tienen acceso a los datos del PNR, el Consejo y la Comisión consideran que la falta de identificación de la autoridad canadiense competente en el acuerdo previsto es una cuestión de índole procedimental que no afecta al principio de proporcionalidad. En cualquier caso, indican que la autoridad canadiense competente, en el sentido del artículo 2, letra d), del acuerdo previsto, fue notificada a la Comisión en junio de 2014. Se trata de la CBSA, que es la única autorizada a recibir y tratar datos del PNR. Afirman que el «número limitado de funcionarios específicamente autorizados», a que hace referencia el artículo 16, apartado 2, del acuerdo previsto significa que debe tratarse de funcionarios de la CBSA y que éstos deben estar habilitados para tratar los datos del PNR. Añaden que el artículo 9, apartado 2, letras a) y b), y apartados 4 y 5 del acuerdo previsto contiene garantías adicionales. |
158. |
Por otra parte, en cuanto a la falta de control previo al acceso a los datos del PNR, la Comisión señala que el objeto mismo del acuerdo previsto consiste en permitir la transferencia de datos del PNR a la CBSA a efectos del acceso a esos datos, de modo que tal control previo alteraría ese objeto. Irlanda añade que ese control previo no es obligado, puesto que el acuerdo previsto estipula que se limite a lo estrictamente necesario el número de personas que dispongan de autorización para acceder a los datos controvertidos y para utilizarlos y establece un abanico de garantías adicionales en sus artículos 11 a 14, 16, 18 y 20. |
159. |
Además, en cuanto a la cuestión de la conservación de los datos del PNR, Irlanda pone de manifiesto en primer lugar que, habida cuenta de que con arreglo al artículo 5 del acuerdo previsto las autoridades canadienses competentes deben garantizar un nivel de protección adecuado de los datos del PNR, y de que existe una supervisión por parte de una autoridad independiente, no es necesario, a diferencia del régimen establecido por la Directiva que dio origen a la sentencia de 8 de abril de 2014, Digital Rights Ireland y otros (C‑293/12 y C‑594/12, EU:C:2014:238), que los datos se conserven dentro del territorio de la Unión. Seguidamente, según el Consejo y la Comisión, la duración de conservación de cinco años contemplada en el artículo 16 del acuerdo previsto no va más allá de lo estrictamente necesario atendiendo al objetivo de seguridad pública perseguido y no puede, por lo tanto, apreciarse en abstracto. Según dichas instituciones, la duración de tres años y medio prevista en el Acuerdo de 2006 impidió en buena medida a las autoridades canadienses utilizar de forma efectiva datos del PNR para detectar casos que presentaban un elevado riesgo de terrorismo o de delincuencia organizada debido a que las investigaciones correspondientes requerían tiempo. Por otra parte, según el Consejo, la duración de conservación de los datos del PNR se fijó teniendo en cuenta la duración media de las investigaciones penales, la duración de vida media de las redes de delincuencia grave y el hecho de que las células terroristas pueden convertirse en células durmientes durante una serie de años. El Gobierno estonio, Irlanda y el Gobierno francés añaden que, dada la complejidad y la dificultad de las investigaciones relacionadas con los delitos de terrorismo y otros delitos graves de carácter transnacional, el período transcurrido entre el viaje y el momento en que las autoridades represivas necesitan acceder a los datos del PNR para detectar, buscar y perseguir tales delitos puede a veces dilatarse varios años. En sus respectivas respuestas a las preguntas escritas formuladas por el Tribunal de Justicia, los Gobiernos español y francés aportan también una serie de ejemplos concretos en los que la duración del proceso de verificación y cotejo de información se sitúa en torno a los cinco años y en los cuales los datos del PNR fueron o podrían haber sido de gran utilidad. El Gobierno estonio, Irlanda y el Gobierno francés, así como el Consejo y la Comisión subrayan también, en lo sustancial, que el artículo 16 del acuerdo previsto conlleva estrictos procedimientos en cuanto al enmascaramiento (o despersonalización) y al desenmascaramiento de los datos que tienen como finalidad ofrecer una mayor protección de los datos personales de los pasajeros aéreos. |
160. |
Por último, en lo que se refiere al control del cumplimiento de las normas sobre protección de datos por una autoridad independiente, exigido por el artículo 8, apartado 3, de la Carta y el artículo 16 TFUE, apartado 2, el Consejo y la Comisión estiman que el hecho de que el acuerdo previsto no identifique a la autoridad canadiense competente no cuestiona el carácter adecuado de las medidas que haya de adoptar Canadá. Señalan que la identidad de las autoridades competentes a efectos de los artículos 10 y 14 del acuerdo previsto fue comunicada a la Comisión. Se trata del Comisario canadiense para la protección de la vida privada y de la Dirección de recursos de la CBSA. Según el Consejo y la Comisión, dichas autoridades cumplen el requisito de independencia que permite que ejerzan sus funciones sin estar sujetas a ninguna influencia externa, aun cuando la Dirección de recursos de la CBSA sea una «autoridad administrativa» en el sentido de los artículos 10 y 14 del acuerdo previsto. La Dirección de recursos de la CBSA es, con arreglo a las explicaciones facilitadas por las autoridades canadienses, una autoridad independiente y encargada del examen de las reclamaciones y recursos administrativos interpuestos por los extranjeros que no residan en Canadá. Además, según la Comisión, las resoluciones de esta autoridad pueden ser impugnadas ante el Comisario canadiense para la protección de la vida privada por mediación de una persona residente en Canadá. |
161. |
En sexto lugar, en sus respuestas a las preguntas escritas formuladas por el Tribunal de Justicia y en la vista, el Gobierno del Reino Unido, el Consejo y la Comisión aportaron una serie de precisiones acerca del contenido de las 19 categorías de datos del PNR que figuran en el anexo del acuerdo previsto. En particular, según la Comisión, únicamente el epígrafe 17, titulado «observaciones generales, incluida la información sobre otros servicios (OSI), información sobre servicios especiales (SSI) y sobre servicios especiales solicitados (SSR)» contiene datos sensibles en el sentido del acuerdo previsto. Estos últimos datos sólo se transmitirán con carácter facultativo, puesto que únicamente pueden revelarse en caso de reserva de servicios adicionales solicitados por el pasajero y, según el Gobierno del Reino Unido, únicamente podrán consultarse en circunstancias excepcionales, conforme a las estipulaciones del acuerdo previsto. Además, el Gobierno francés indicó que las enseñanzas de la sentencia de 6 de octubre de 2015, Schrems (C‑362/14, EU:C:2015:650) no son aplicables al examen de la compatibilidad del acuerdo previsto con los Tratados, mientras que Irlanda estima que dicha sentencia proporciona indicaciones importantes acerca del nivel de protección adecuado que debe garantizar un país tercero. En cuanto al Consejo y la Comisión, estas instituciones comparten la opinión de que únicamente los apartados 91 a 93 y 95 de la citada sentencia, que tratan sobre la interpretación de la Carta, son aplicables a la hora de examinar la compatibilidad del acuerdo previsto. En cambio, dichas instituciones opinan que el examen del acuerdo previsto debería conducir a una conclusión distinta de la que alcanzó el Tribunal de Justicia en la referida sentencia. Por último, en relación con la divulgación posterior contemplada en los artículos 18 y 19 del acuerdo previsto, Irlanda, el Consejo y la Comisión recuerdan que dicha divulgación está supeditada a requisitos muy estrictos y al cumplimiento de los fines establecidos en el artículo 3 del acuerdo previsto. Por otra parte, la Comisión subraya que el artículo 19 del acuerdo previsto debe leerse a la luz de la normativa canadiense pertinente. |
B. Análisis
1. Observaciones preliminares
162. |
Antes de abordar el núcleo de la primera cuestión que es objeto de la solicitud de dictamen del Parlamento, creo que deben hacerse tres observaciones preliminares en cuanto al alcance del examen que ha de llevarse a cabo. |
163. |
En primer lugar, como se transluce de sus observaciones, las partes interesadas han hecho referencia en varias ocasiones durante el procedimiento a la normativa y la práctica canadienses, principalmente con el fin de explicitar, o incluso completar, algunas de las estipulaciones del acuerdo previsto. Ahora bien, resulta evidente que a efectos de examinar la compatibilidad de un acuerdo previsto con el Derecho primario de la Unión en el marco del procedimiento establecido en el artículo 218 TFUE, apartado 11, el Tribunal de Justicia no puede pronunciarse sobre la normativa o la práctica de un país tercero. El examen del Tribunal de Justicia únicamente puede recaer sobre las estipulaciones del acuerdo previsto tal como se le han presentado. |
164. |
Por comprensible y lógico que sea este límite material del control jurisdiccional en el marco del procedimiento de dictamen, no deja de plantear ciertas dificultades. Así, pese a que resulta evidente que el acuerdo previsto debe ofrecer a las autoridades canadienses un marco jurídico que permita, gracias al análisis de los datos del PNR, aplicar métodos relativos a la identificación de pasajeros hasta entonces desconocidos de los servicios represivos, sobre la base de patrones de comportamiento «preocupantes» o que revistan «interés», ( 55 ) ninguna de las estipulaciones del acuerdo previsto trata del establecimiento de tales métodos, del derecho de cada pasajero «seleccionado como objetivo» a ser informado de los métodos utilizados y a que se le garantice que tales métodos de «selección» están sujetos a un control administrativo o judicial, cuestiones que parecen depender todas ellas de la sola discreción de las autoridades canadienses. ( 56 ) Ahora bien, resulta legítimo, a mi entender, preguntarse si, desde el punto de vista de la observancia de los artículos 7 y 8 de la Carta, estas cuestiones no deberían ser reguladas por las propias estipulaciones del acuerdo previsto. Este ejemplo muestra que una de las dificultades del presente asunto obedece a que éste implica verificar, a la vista sobre todo del derecho a la protección de los datos personales, no sólo lo que el acuerdo previsto contempla, sino lo que ha omitido contemplar. |
165. |
A continuación, interesa señalar que la solicitud de dictamen del Parlamento se ha limitado a poner de manifiesto una serie de estipulaciones del acuerdo previsto que, según dicha institución, presentan perfiles más o menos claros y marcados de incompatibilidad con el artículo 16 TFUE y los artículos 7, 8 y 52, apartado 1, de la Carta. Habida cuenta de la finalidad preventiva del procedimiento de dictamen y de su carácter no contencioso, el Tribunal de Justicia no puede estar obligado a respetar tal delimitación de la solicitud, sea o no intencional. El dictamen 1/100, de 18 de abril de 2002 (EU:C:2002:231), apartado 1, en el cual el Tribunal de Justicia incluyó en su examen de la compatibilidad de un acuerdo previsto diversas normas de dicho acuerdo que no habían sido expresamente objeto de la solicitud de dictamen presentada por la Comisión, y el dictamen 1/08, de 30 de noviembre de 2009 (EU:C:2009:739), apartados 96 a 105, en el que el Tribunal de Justicia rechazó la sugerencia del solicitante de limitar su examen a determinadas partes del proyecto de acuerdo controvertido que era objeto de la solicitud de dictamen, proporcionan ya excelentes ejemplos. |
166. |
En el presente procedimiento, creo oportuno que el Tribunal de Justicia incluya en su examen la compatibilidad de estipulaciones del acuerdo previsto, como sus artículos 18 y 19, que no han sido objeto de críticas específicas por parte del Parlamento en su solicitud de dictamen, pero que merecen la atención del Tribunal de Justicia. He de añadir que el Parlamento y las demás partes interesadas han tenido ocasión de formular observaciones sobre esos artículos, bien en el marco de sus respuestas a las preguntas escritas formuladas por el Tribunal de Justicia, bien en la vista ante éste. |
167. |
Por último, a la vista de los debates que se han desarrollado ante el Tribunal de Justicia, considero oportuno recordar que, en virtud del artículo 218 TFUE, apartado 11, las normas con respecto a las cuales puede examinarse la compatibilidad del acuerdo previsto únicamente incluyen las del Derecho primario de la Unión, esto es, en el presente caso, los Tratados y los derechos enumerados en la Carta, ( 57 ) con exclusión del Derecho derivado. A este respecto, nada se opone a que el Tribunal de Justicia incluya en su examen de la validez material del acuerdo previsto disposiciones de Derecho primario no mencionadas en la cuestión planteada por el Parlamento, como el artículo 47 de la Carta, si resulta necesario a efectos del procedimiento de dictamen y si las partes interesadas han tenido ocasión de exponer sus observaciones sobre estas disposiciones. Así sucede efectivamente en lo que respecta a la observancia de la tutela judicial efectiva garantizada por el artículo 47 de la Carta. |
168. |
Hechas estas observaciones, la exposición que desarrollaré a continuación se articulará fundamentalmente en torno a los criterios de aplicación de los artículos 7, 8 y 52, apartado 1, de la Carta. Aunque este extremo no sea objeto de controversia en lo fundamental, examinaré si las estipulaciones del acuerdo previsto constituyen una injerencia en los derechos fundamentales a la vida privada y a la protección de los datos de carácter personal y si dicha injerencia puede estar justificada. Es, evidentemente, el examen de la justificación de la injerencia, y muy en particular su proporcionalidad, lo que resulta controvertido. |
2. Sobre la existencia de una injerencia en los derechos garantizados por los artículos 7 y 8 de la Carta
169. |
Sin que sea necesario examinar de manera individual y exhaustiva las 19 categorías de datos del PNR enumeradas en el anexo del acuerdo previsto, consta que se refieren en particular a la identidad, la nacionalidad y la dirección de los pasajeros, a todos los datos (domicilio, dirección de correo electrónico, teléfono) disponibles del pasajero que haya efectuado la reserva, a la información relativa al medio de pago utilizado, incluido en su caso el número de la tarjeta de crédito que se haya empleado para reservar el vuelo, a la información relativa al equipaje, a los hábitos de vuelo de los pasajeros, así como a la relativa a los servicios adicionales solicitados por éstos en relación con sus eventuales problemas de salud, incluso de movilidad, o sus preferencias alimentarias durante el vuelo, que pueden proporcionar indicaciones relativas a, entre otros aspectos, el estado de salud de uno o varios pasajeros, su origen étnico o sus convicciones religiosas. |
170. |
Tales datos, considerados en su globalidad, pertenecen a la esfera de la vida privada, e incluso íntima, de las personas y se refieren, indiscutiblemente, a una o varias «persona(s) física(s) identificada(s) o identificable(s)». ( 58 ) No hay duda alguna, a la vista de la jurisprudencia del Tribunal de Justicia, de que la transmisión sistemática de los datos del PNR a las autoridades públicas canadienses, el acceso a esos datos y su utilización y conservación durante un período de cinco años por esas mismas autoridades públicas así como, en su caso, su transferencia posterior a otras autoridades públicas, incluso de otros países terceros, en virtud de las estipulaciones del acuerdo previsto, son operaciones que entran en el ámbito de aplicación del derecho fundamental al respeto de la vida privada y familiar garantizado por el artículo 7 de la Carta y del derecho, «íntimamente ligado», ( 59 ) pero no obstante distinto, relativo a la protección de los datos de carácter personal garantizado por el artículo 8, apartado 1, de la Carta y constituyen una injerencia en dichos derechos fundamentales. |
171. |
En efecto, el Tribunal de Justicia ya ha declarado, en relación con el artículo 8 del CEDH, en el que se basan los artículos 7 y 8 de la Carta, ( 60 ) que la comunicación de datos personales a un tercero, en este caso a una autoridad pública, presenta el carácter de una injerencia en el sentido de dicho artículo ( 61 ) y que la obligación de conservar los datos impuesta por los poderes públicos y el acceso posterior de las autoridades nacionales competentes a los datos relativos a la vida privada constituyen igualmente, en sí mismos, una injerencia en los derechos garantizados por el artículo 7 de la Carta. ( 62 ) Asimismo, un acto de la Unión que prescriba cualquier forma de tratamiento de los datos de carácter personal constituye una injerencia en el derecho fundamental, enunciado en el artículo 8 de la Carta, a la protección de tales datos. ( 63 ) Esta apreciación se aplica, mutatis mutandis, con respecto a un acto de la Unión que adopte la forma de un acuerdo internacional celebrado por ésta, como el acuerdo previsto, que tiene por objeto, en particular, permitir a una o varias autoridades públicas de un país tercero tratar y conservar los datos personales de pasajeros aéreos. En efecto, la legalidad de dicho acto está condicionada al respeto de los derechos fundamentales protegidos en el ordenamiento jurídico de la Unión, ( 64 ) y en particular de los garantizados por los artículos 7 y 8 de la Carta. |
172. |
La circunstancia, invocada por el Gobierno del Reino Unido, de que las personas afectadas por el acuerdo previsto o al menos la gran mayoría de ellas, no padecen inconveniente alguno debido a esta injerencia carece de relevancia a efectos de demostrar la existencia de tal injerencia. ( 65 ) |
173. |
Del mismo modo, carece de relevancia el hecho de que sea posible que la información comunicada, o, al menos, la mayor parte de ella, no tenga carácter sensible. ( 66 ) |
174. |
Por lo demás, observo que las partes contratantes son perfectamente conscientes de la injerencia que implican la transmisión, la utilización, la conservación y la transferencia posterior de los datos del PNR contemplados en el acuerdo previsto, puesto que, como se desprende expresamente de su preámbulo, precisamente debido a esa injerencia éste pretende conciliar las exigencias relativas a la seguridad pública y el respeto de los derechos fundamentales a la protección de la vida privada y de los datos de carácter personal. |
175. |
Es cierto que la búsqueda de esta conciliación por las partes contratantes puede reducir la intensidad o la gravedad de la injerencia que supone el acuerdo previsto en los derechos fundamentales garantizados por los artículos 7 y 8 de la Carta. |
176. |
No es menos cierto que la magnitud de la injerencia que supone el acuerdo previsto es indudable y su gravedad considerable. En efecto, por una parte, afecta de forma sistemática a todos los pasajeros que utilizan las conexiones aéreas entre Canadá y la Unión Europea, es decir, varias decenas de millones de personas al año. ( 67 ) Por otra parte, como han confirmado la mayoría de las partes interesadas, a nadie se le escapa que la transferencia de grandes cantidades de datos personales de los pasajeros aéreos, entre los cuales figuran datos sensibles, que requieren por definición un tratamiento automatizado, así como la conservación de dichos datos durante un período de cinco años, tienen por objeto permitir una comparación, en su caso retrospectiva, de tales datos con patrones preestablecidos de comportamientos «de riesgo» o «preocupantes», relacionados con actividades terroristas o delitos graves de carácter transnacional, para identificar personas hasta entonces desconocidas por los servicios de policía o no sospechosas. Ahora bien, estas características, aparentemente inherentes al régimen PNR establecido por el acuerdo previsto, pueden provocar la desagradable impresión de que todos los viajeros afectados se convierten en potenciales sospechosos. ( 68 ) |
177. |
Debo señalar, no obstante, que, a diferencia del Parlamento, no considero que esta observación deba hacerse extensiva a la recogida de datos del PNR por los transportistas aéreos. |
178. |
En efecto, el acuerdo previsto no regula la recogida de esos datos, sino que se basa en la presunción de Derecho y de hecho de que los transportistas aéreos recogen de todos modos los datos del PNR para su propio uso comercial. Es ciertamente innegable que determinadas estipulaciones del acuerdo previsto aluden a la recogida de datos del PNR. Por ejemplo, su artículo 4, apartado 2, precisa que Canadá no deberá pedir a los transportistas aéreos que suministren elementos de los datos del PNR distintos de los recogidos y conservados en la actualidad. Asimismo, el artículo 11 del acuerdo previsto impone a Canadá que vele por que la autoridad canadiense competente informe en su sitio web, entre otros extremos, sobre «el motivo de la recogida de datos del PNR». Si bien esta obligación de transparencia podría, a mi juicio, reforzarse oportunamente disponiendo que en el momento de la reserva de los vuelos se facilite sistemáticamente una información individual sobre los motivos de la recogida, no es menos cierto que el acuerdo previsto no regula la operación de recogida propiamente dicha, ni tampoco sus procedimientos específicos, todos ellos competencia de los transportistas aéreos, que deben actuar, en este aspecto, respetando las disposiciones nacionales pertinentes y el Derecho de la Unión. |
179. |
Por lo tanto, la recogida de los datos del PNR no constituye un tratamiento de datos personales que implique una injerencia en los derechos fundamentales garantizados por los artículos 7 y 8 de la Carta que resulte del acuerdo previsto en sí mismo. Habida cuenta de la competencia limitada del Tribunal de Justicia en el marco del procedimiento de dictamen, dicha operación no será por lo tanto objeto de las consideraciones expuestas a continuación. |
180. |
Con independencia de esta observación relativa a la recogida de los datos del PNR, no deja de ser cierto que, por los motivos expuestos en los puntos 170 a 176 de las presentes conclusiones, el acuerdo previsto implica, en mi opinión, una grave injerencia en los derechos fundamentales garantizados por los artículos 7 y 8 de la Carta. Para ser autorizada, esa injerencia debe estar justificada. |
3. Sobre la justificación de la injerencia en los derechos garantizados por los artículos 7 y 8 de la Carta
181. |
Ni el derecho al respeto de la vida privada y familiar ni el derecho a la protección de los datos de carácter personal se presentan como prerrogativas absolutas. |
182. |
Por ello, el artículo 52, apartado 1, de la Carta admite que pueden introducirse limitaciones al ejercicio de derechos como los consagrados en los artículos 7 y 8, apartado 1, de ésta, siempre que esas limitaciones sean establecidas por la ley, respeten el contenido esencial de dichos derechos y, dentro del respeto del principio de proporcionalidad, sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás. |
183. |
Por otra parte, el artículo 8, apartado 2, de la Carta autoriza el tratamiento de los datos de carácter personal «para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley». |
184. |
Observemos, de entrada, a propósito de uno de los requisitos enumerados en el artículo 8, apartado 2, de la Carta, que el acuerdo previsto no pretende fundamentar el tratamiento de los datos del PNR transmitidos a la autoridad competente canadiense en el consentimiento de los pasajeros aéreos. ( 69 ) Habida cuenta de la obligación impuesta a los transportistas aéreos de transmitir las categorías de datos del PNR que figuran en el anexo del acuerdo previsto, esos pasajeros no pueden oponerse a la transferencia de dichos datos si desean viajar por vía aérea a Canadá. Además, la circunstancia, evocada en la vista ante el Tribunal de Justicia, de que determinados datos del PNR que, en su caso, contengan datos sensibles, únicamente puedan ser comunicados al transportista aéreo cuando el pasajero solicita la prestación de servicios específicos no significa en modo alguno que ese pasajero haya dado su consentimiento al tratamiento de esos datos por la autoridad competente canadiense a los efectos del artículo 3 del acuerdo previsto. |
185. |
Por otra parte, no se ha afirmado ante el Tribunal de Justicia ni tampoco creo que la injerencia que entraña el acuerdo previsto pueda vulnerar el «contenido esencial», en el sentido del artículo 52, apartado 1, de la Carta, de los derechos fundamentales consagrados en el artículo 7 y en el artículo 8, apartado 1, de ésta. |
186. |
En efecto, por una parte, la naturaleza de los datos del PNR que son objeto del acuerdo previsto no permiten sacar conclusiones concretas sobre el contenido esencial de la vida privada de las personas afectadas. Se limitan a los hábitos de desplazamiento por vía aérea entre Canadá y la Unión. Además, el acuerdo previsto establece en sus artículos 8, 16, 18 y 19 una serie de garantías relativas al enmascaramiento y la despersonalización progresiva de los datos del PNR que hayan sido comunicados a las autoridades canadienses, utilizados y conservados por éstas y, en su caso, posteriormente transferidos, lo que tiene fundamentalmente por objeto garantizar la preservación de la vida privada. |
187. |
Por otra parte, en lo que respecta al contenido esencial de la protección de los datos de carácter personal, es de señalar que, en virtud del artículo 9 del acuerdo previsto, Canadá debe garantizar «la protección, seguridad, confidencialidad e integridad de los datos» y aplicar «las normas, las disposiciones organizativas y las medidas técnicas adecuadas para proteger los datos del PNR contra el acceso, tratamiento o pérdida accidentales, ilegales o no autorizados». Asimismo, cualquier violación de la seguridad de los datos debe conllevar medidas correctivas eficaces y disuasorias, que podrán incluir sanciones. |
188. |
Procede, pues, verificar si se cumplen los demás requisitos de justificación previstos en el artículo 8, apartado 2, de la Carta y los enunciados en el artículo 52, apartado 1, de ésta, que por otra parte son parcialmente coincidentes. |
189. |
No me detendré en exceso sobre dos de esos requisitos, por una parte, el de que la injerencia debe ser «establecida por la ley» [epígrafe a)] y, por otra parte, responder a un objetivo de interés general (o a un «fundamento legítimo», según la expresión utilizada por el artículo 8, apartado 2, de la Carta) [epígrafe b)] que me parecen cumplirse manifiestamente. Más extenso será, en cambio, el análisis que desarrollaré con respecto a la cuestión de la proporcionalidad de la injerencia [epígrafe c)]. |
a) Una injerencia «establecida por la ley», en el sentido del artículo 52, apartado 1, de la Carta
190. |
En cuanto al primer punto, las dudas fundamentalmente formales expresadas por el Parlamento en cuanto al origen «legal» de la injerencia pueden a todas luces disiparse. Según la jurisprudencia del TEDH, la expresión «establecida por la ley» en el artículo 8, apartado 2, del CEDH significa ante todo que la medida en cuestión tenga una base en Derecho interno ( 70 ) y debe entenderse en su acepción material y no formal. ( 71 ) El TEDH admite, pues, que normas no escritas cumplan este requisito. ( 72 ) Además, el TEDH ya ha declarado que un tratado internacional, incorporado al Derecho interno nacional, responde también a esta exigencia. ( 73 ) |
191. |
A semejanza del TEDH, el Tribunal de Justicia confirma la acepción material y no formal de la expresión «establecida por la ley» que figura en el artículo 52, apartado 1, de la Carta. Por ello, ha considerado que se cumplía este requisito en el caso de restricciones a los derechos garantizados por los artículos 7 y 8 de la Carta introducidas mediante disposiciones de Reglamentos de la Unión, adoptados respectivamente por la Comisión ( 74 ) y el Consejo, ( 75 ) sin que el Parlamento haya participado, por tanto, en calidad de «colegislador», en la adopción de tales actos. |
192. |
En el caso de autos, como es sabido, el acto por el que se celebre el acuerdo previsto únicamente puede ser adoptado por el Consejo si, con arreglo al artículo 218 TFUE, apartado 6, letra a), el acuerdo previsto es aprobado previamente por el Parlamento, puesto que dicho acuerdo abarca ámbitos, a saber, los de la cooperación policial y judicial y la conservación de datos de carácter personal a los que se aplica el procedimiento legislativo ordinario. Una vez completados estos procedimientos, de conformidad con el artículo 216 TFUE, apartado 2, el acuerdo formará parte integrante del ordenamiento jurídico de la Unión y gozará de primacía sobre los actos de Derecho derivado. ( 76 ) De ello se desprende, en mi opinión, que la injerencia que se deriva del acuerdo previsto está efectivamente «establecida por la ley», en el sentido del artículo 52, apartado 1, de la Carta. |
193. |
También a propósito de esta cuestión, quisiera añadir, aunque este extremo no haya sido objeto de debate entre las partes interesadas en el presente procedimiento, que, de forma general, el acuerdo previsto me parece también responder a la segunda faceta que encierra la expresión «establecida por la ley», en el sentido del artículo 8 del CEDH tal como ha sido interpretado por el TEDH, la de la «calidad de la ley». Según la jurisprudencia del TEDH, dicha expresión exige, en lo sustancial, que la medida en cuestión sea accesible y suficientemente previsible, esto es, dicho de otro modo, que utilice términos lo bastante claros para indicar a todos de forma suficiente en qué circunstancias y en qué condiciones habilita a los poderes públicos a recurrir a medidas que afecten a sus derechos protegidos por el CEDH. ( 77 ) Pues bien, una vez celebrado, el acuerdo previsto será íntegramente publicado en el Diario Oficial de la Unión Europea, lo que obviamente responde al criterio de accesibilidad. En cuanto al criterio de previsibilidad, dejando a un lado las consideraciones específicas, bastante numerosas por cierto, relativas al alcance y al grado de precisión y de claridad de diversas estipulaciones del acuerdo previsto, que se detallarán posteriormente, ( 78 ) estimo también que, en conjunto, el acuerdo previsto está redactado de forma lo bastante clara para que todos los afectados puedan comprender suficientemente las condiciones y circunstancias en que los datos del PNR serán transmitidos a las autoridades canadienses, tratados, conservados y, en su caso, posteriormente divulgados por éstas, y puedan adaptar su conducta en consecuencia. Además, el artículo 11 del acuerdo previsto contempla una serie de medidas adicionales que han de ser adoptadas por las partes contratantes y que permiten garantizar la información del público, relativas, en particular, a los motivos de la recogida de los datos del PNR, a su utilización y a su divulgación. |
b) Una injerencia que responde a un objetivo de interés general
194. |
La injerencia que se deriva del acuerdo previsto me parece ciertamente responder a un objetivo de interés general, en el sentido del artículo 52, apartado 1, de la Carta: el de la lucha contra el terrorismo y los delitos graves de carácter transnacional, con el fin de garantizar la seguridad pública, como se indica en el preámbulo y en los artículos 1 y 3 del acuerdo previsto. Ninguna de las partes interesadas ha cuestionado la legitimidad de la persecución de tal objetivo por el acuerdo previsto. Formulado de forma ligeramente diferente, el interés general que reviste ese objetivo a efectos de la aplicación del artículo 52, apartado 1, de la Carta, ha sido ya reconocido, además, por el Tribunal de Justicia en su jurisprudencia. ( 79 ) |
195. |
Es preciso por lo tanto, en este punto, verificar si la injerencia en los derechos garantizados por el artículo 7 y el artículo 8, apartado 1, de la Carta es proporcionada al objetivo legítimo perseguido. |
c) Sobre la proporcionalidad de la injerencia que implica el acuerdo previsto
i) Consideraciones generales
196. |
Según jurisprudencia reiterada, el principio de proporcionalidad exige que los actos de las instituciones de la Unión sean adecuados para lograr los objetivos legítimos perseguidos por la normativa de que se trate y no rebasen los límites de lo que resulta apropiado y necesario para el logro de dichos objetivos. ( 80 ) |
197. |
A este respecto, las partes interesadas han debatido en primer término sobre el alcance del control jurisdiccional del cumplimiento de estos requisitos. Mientras que el Parlamento, el Gobierno estonio y el SEPD defienden la necesidad de un control estricto del cumplimiento de dichos requisitos, a semejanza de lo que admitió el Tribunal de Justicia en las sentencias de 8 de abril de 2014, Digital Rights Ireland y otros (C‑293/12 y C‑594/12, EU:C:2014:238), y de 6 de octubre de 2015, Schrems (C‑362/14, EU:C:2015:650), Irlanda y los Gobiernos francés y del Reino Unido, sobre todo, defienden en lo fundamental la idea de que el Tribunal de Justicia debería limitar el alcance de su control concediendo un margen de apreciación más amplio a las instituciones a la hora de adoptar un acto que se inserte en el contexto de las relaciones internacionales y habida cuenta del carácter limitado de la injerencia que dicho acto implica. |
198. |
La tesis de estas últimas partes interesadas no me convence. |
199. |
Estoy dispuesto a admitir, ciertamente, que el alcance del margen de apreciación de las instituciones puede resultar diferente según que se prevea la adopción de un acto de Derecho derivado de la Unión o la celebración de un acuerdo internacional que implique, por definición, la negociación con uno o varios países terceros. Es evidente que, en el contexto particular de los datos del PNR comunicados a países terceros para su tratamiento, es ciertamente más oportuno celebrar un acuerdo internacional que garantice a los pasajeros aéreos, ciudadanos de la Unión, una protección suficiente de su vida privada y de sus datos personales, lo más acorde posible con las exigencias del Derecho de la Unión, que dejar a cada uno de los países terceros afectados total libertad para aplicar unilateralmente su propia normativa nacional. |
200. |
Si bien estas consideraciones han de tenerse presentes, el Tribunal de Justicia no puede sin embargo renunciar a ejercer un estricto control del cumplimiento de las exigencias derivadas del principio de proporcionalidad, y más concretamente, de la adecuación del nivel de protección de los derechos fundamentales garantizados en la Unión cuando Canadá trata y utiliza datos del PNR en virtud del acuerdo previsto. |
201. |
En efecto, la necesidad de garantizar un control jurisdiccional de esta naturaleza se basa, por una parte, en el importante papel que desempeña la protección de los datos de carácter personal desde la perspectiva del derecho fundamental al respeto de la vida privada y, por otra parte, en la magnitud y la gravedad de la injerencia en dicho derecho, ( 81 ) lo que puede incluir el gran número de personas cuyos derechos fundamentales pueden ser vulnerados en caso de transferencia de datos personales a un país tercero. ( 82 ) Pues bien, como ya he señalado, la magnitud de la injerencia que supone el acuerdo previsto en los derechos garantizados por los artículos 7 y 8 de la Carta me parece indudable y su gravedad considerable. |
202. |
En este mismo orden de ideas, se desprende de la sentencia de 6 de octubre de 2015, Schrems (C‑362/14, EU:C:2015:650), apartados 72 y 78, que las instituciones disponen de una facultad de apreciación limitada en cuanto al carácter adecuado del nivel de protección garantizado por un país tercero al que se transfieran datos personales, lo que implica un estricto control de la continuidad del elevado nivel de protección de los datos personales previsto en el Derecho de la Unión. |
203. |
Si bien, como ya he señalado, el acuerdo previsto no puede limitarse a una decisión por la que se declare que las autoridades canadienses competentes garantizan un nivel de protección adecuado, el artículo 5 del acuerdo previsto sí establece que, siempre que se atengan a lo dispuesto en dicho acuerdo, se considerará que las autoridades canadienses competentes proporcionan un nivel de protección adecuado, en el sentido del Derecho de la Unión en materia de protección de datos, cuando tratan y utilizan datos del PNR. La intención de las partes contratantes es efectivamente garantizar que el elevado nivel de protección de los datos personales alcanzado en la Unión pueda mantenerse cuando los datos del PNR sean transferidos a Canadá. Habida cuenta de esta intención, no veo razón alguna que justifique que el Tribunal de Justicia no efectúe un control estricto de la observancia del principio de proporcionalidad. |
204. |
Ciertamente, a semejanza de lo que admitió el Tribunal de Justicia en el apartado 74 de la sentencia de 6 de octubre de 2015, Schrems (C-362/14, EU:C:2015:650), reconozco que los medios de que se sirva Canadá para garantizar un nivel de protección adecuado pueden ser diferentes de los aplicados en la Unión. Pero no es menos cierto que, como el Tribunal de Justicia precisó en ese mismo apartado de la misma sentencia, tales medios deben ser eficaces en la práctica para garantizar una protección «sustancialmente equivalente» a la garantizada en la Unión. En este sentido, el control del Tribunal de Justicia sobre el carácter «sustancialmente equivalente» del nivel de protección resultante de las estipulaciones del acuerdo previsto al garantizado por el Derecho de la Unión no puede ser limitado. |
ii) Sobre la idoneidad de la injerencia para lograr el objetivo de seguridad pública perseguido por el acuerdo previsto
205. |
Aclarado este punto, no pienso que existan verdaderos obstáculos para reconocer que la injerencia que implica el acuerdo previsto sea apta para lograr el objetivo de seguridad pública, en particular de lucha contra el terrorismo y los delitos graves de carácter transnacional, perseguido por éste. En efecto, como han alegado principalmente el Gobierno del Reino Unido y la Comisión, la transmisión de los datos del PNR con el fin de analizarlos y conservarlos permite a las autoridades canadienses disponer de posibilidades adicionales de identificación de pasajeros hasta ese momento desconocidos y no sospechosos que podrían tener vínculos con otras personas y/o pasajeros implicados en una red terrorista o que participen en actividades delictivas graves de carácter transnacional. Esos datos, como ponen de manifiesto las estadísticas comunicadas por el Gobierno del Reino Unido y la Comisión en relación con la práctica anterior de las autoridades canadienses, constituyen herramientas útiles para las investigaciones penales, ( 83 ) que pueden asimismo favorecer, en particular desde el punto de vista de la cooperación policial instaurada por el acuerdo previsto, la prevención y la detección de un delito de terrorismo o un delito grave de carácter transnacional dentro del territorio de la Unión. |
206. |
Si bien la no participación del Reino de Dinamarca puede mermar la aptitud de las medidas contempladas en el acuerdo previsto para contribuir a reforzar la seguridad en la Unión, no parece capaz por sí sola de hacer que la injerencia deje de ser apta para alcanzar el objetivo de seguridad pública perseguido por dicho acuerdo. En efecto, por una parte, todos los transportistas aéreos que operen líneas con Canadá están sujetos a la obligación de transmitir a las autoridades competentes canadienses los datos del PNR que recojan ( 84 ) y, por otra parte, las autoridades competentes canadienses están habilitadas, en virtud del artículo 19 del acuerdo previsto, para transferir a terceros países, siempre que se cumplan estrictas condiciones, datos del PNR, caso por caso, a autoridades públicas cuyas funciones estén directamente relacionadas con la finalidad contemplada en el artículo 3 de dicho acuerdo. ( 85 ) |
iii) Sobre el carácter estrictamente necesario de la injerencia
207. |
En cuanto al carácter estrictamente necesario de la injerencia que implica el acuerdo previsto, su apreciación debe, a mi juicio, llevar a comprobar si las partes contratantes «ponderaron equilibradamente», por un lado, el objetivo de lucha contra el terrorismo y los delitos graves de carácter transnacional y, por otro lado, el de la protección de los datos personales dentro del respeto de la vida privada de las personas afectadas. ( 86 ) |
208. |
Esta ponderación equilibrada debe poder reflejarse, a mi entender, en las estipulaciones del acuerdo previsto. Dichas estipulaciones deben pues establecer normas claras y precisas que regulen el alcance y la aplicación de una medida que establezca una injerencia en los derechos garantizados por los artículos 7 y 8 de la Carta e imponer unas exigencias mínimas de suerte que las personas afectadas dispongan de garantías suficientes para proteger eficazmente sus datos contra los riesgos de abusos y contra cualesquiera acceso y utilización ilícitas de esos datos. ( 87 ) Las estipulaciones del acuerdo previsto deben asimismo consistir en medidas lo menos lesivas posible de los derechos reconocidos por los artículos 7 y 8 de la Carta, sin por ello dejar de contribuir eficazmente al objetivo de seguridad pública perseguido por el acuerdo previsto. ( 88 ) Esta observación implica que no basta con imaginar, en abstracto, la existencia de medidas alternativas menos intrusivas en los derechos fundamentales de que se trata; es necesario además que dichas medidas sean suficientemente eficaces, ( 89 ) es decir, que tengan, en mi opinión, una eficacia comparable a las establecidas por el acuerdo previsto, con el fin de realizar el objetivo de seguridad pública perseguido por éste. |
209. |
A este respecto, las partes interesadas han debatido tanto sobre el carácter estrictamente necesario de los acuerdos relativos al PNR en general como sobre determinadas estipulaciones del acuerdo previsto. Como quiera que ambos aspectos están, a mi juicio, intrínsecamente relacionados, considero que procede abordarlos al examinar las distintas partes del acuerdo previsto. |
210. |
Así pues, me concentraré en los ocho puntos siguientes, que han sido específicamente objeto de la solicitud de dictamen o han sido debatidos entre las partes interesadas en el curso del procedimiento ante el Tribunal de Justicia, a saber: las categorías de datos del PNR contempladas en el acuerdo previsto, el carácter suficientemente preciso de la finalidad para la que se autoriza el tratamiento de los datos del PNR, la identificación de la autoridad competente encargada del tratamiento de los datos del PNR, el tratamiento automatizado de los datos del PNR, el acceso a los datos del PNR, la transferencia posterior de los datos del PNR y, por último, las medidas de supervisión y de control jurisdiccional establecidas en el acuerdo previsto. |
– Sobre las categorías de datos del PNR contempladas en el acuerdo previsto
211. |
Como ya se ha mencionado, el acuerdo previsto contempla la transmisión a las autoridades competentes canadienses de 19 categorías de datos del PNR recogidas por los transportistas aéreos con motivo de la reserva de vuelos, categorías que se enumeran en el anexo de dicho acuerdo. |
212. |
Ante el Tribunal de Justicia, las partes interesadas han presentado observaciones sobre el significado de algunas de estas categorías, sobre su posible duplicación con los datos recogidas por las autoridades a efectos del control fronterizo o, desde el 15 de marzo de 2016, para expedir una autorización de viaje electrónica (en lo sucesivo, «AVE»), y sobre la identificación de los datos del PNR que pueden contener información sensible. A este respecto, durante el procedimiento ante el Tribunal de Justicia, la Comisión ha afirmado que únicamente el epígrafe 17, que figura en el anexo del acuerdo previsto, titulado «observaciones generales, incluida la información sobre otros servicios (OSI), información sobre servicios especiales (SSI) y sobre servicios especiales solicitados (SSR)» puede contener datos sensibles, en el sentido del acuerdo previsto. Además, se desprende de los debates ante el Tribunal de Justicia que la información incluida en el epígrafe 17 únicamente se transmitía cuando la persona que efectuaba la reserva de un vuelo solicitaba determinados servicios a bordo, tales como servicios de asistencia, relacionados en su caso con problemas de salud o de movilidad o a exigencias alimentarias particulares, que pueden quizás proporcionar indicaciones sobre el estado de salud o revelar el origen étnico o las convicciones religiosas de dicha persona o de los pasajeros que la acompañan. |
213. |
Ha quedado acreditado que las 19 categorías de datos del PNR cuya transmisión a las autoridades competentes canadienses contempla el acuerdo previsto se corresponden con las categorías que aparecen en los sistemas de reserva de las compañías aéreas. Estas categorías se corresponden también con los datos del PNR enumerados el anexo I de las Directrices sobre los datos del registro de nombres de los pasajeros adoptadas por la Organización de Aviación Civil Internacional (OACI) y publicadas en 2010. ( 90 ) Por lo tanto, los datos contenidos en estas categorías son perfectamente conocidos por los operadores activos en el sector aéreo. Estos datos se refieren, en definitiva, a toda la información necesaria para efectuar la reserva de un trayecto por vía aérea, ya se trate de los procedimientos de reserva y de los medios de pago utilizados, del itinerario escogido o de los servicios eventualmente solicitados a bordo. |
214. |
Por otra parte, como han puesto de relieve Irlanda, el Gobierno del Reino Unido y la Comisión, los datos del PNR, globalmente considerados, incluyen información adicional con respecto a los datos recogidos a efectos de control fronterizo por las autoridades canadienses competentes en materia de inmigración. En efecto, la información anticipada sobre el pasajero (API), de carácter biográfico y relativa al trayecto utilizado, recogida por los transportistas aéreos tiene como finalidad principal facilitar y acelerar los controles de identidad de los pasajeros en la frontera, permitiendo, en su caso, evitar el embarque de personas sobre las que pesa, por ejemplo, una prohibición de entrada o someter a determinados pasajeros ya identificados a un control reforzado en la frontera. ( 91 ) Asimismo, en Canadá, el nuevo requisito de una AVE se inscribe dentro de la perspectiva de la preservación del programa de inmigración de dicho país, puesto que exige a todo aquél que desee viajar por vía aérea a Canadá y que no esté sujeto a la obligación de visado obtener por vía electrónica, sobre la base de datos biográficos y relativos a la admisión y estancia en Canadá, una autorización previa de viaje cuyo período de validez es de cinco años como máximo. ( 92 ) Este tipo de datos no permite, sin embargo, obtener información sobre los procedimientos de reserva, los medios de pago utilizados ni sobre los hábitos de viaje, cuyo cotejo presenta una indudable utilidad en la lucha contra el terrorismo y los demás delitos graves de carácter transnacional. Con independencia de los métodos utilizados para tratar estos datos, los datos API y los exigidos para la expedición de una AVE no son, por lo tanto, suficientes para lograr con una eficacia comparable el objetivo de seguridad pública perseguido por el acuerdo previsto. |
215. |
Es cierto que estas categorías de datos del PNR se transmiten a las autoridades canadienses con respecto a todos los pasajeros que utilizan una conexión aérea entre Canadá y la Unión, sin que exista un indicio de que el comportamiento de esos pasajeros pueda estar relacionado con una actividad terrorista o una actividad delictiva grave de carácter transnacional. |
216. |
No obstante, como han explicado las partes interesadas, el interés mismo de los sistemas del PNR, tanto si se adoptan de forma unilateral como si son objeto de un acuerdo internacional, consiste precisamente en garantizar la transmisión masiva de datos que permitan a las autoridades competentes identificar, con la ayuda de herramientas de tratamiento automatizado y de escenarios o criterios de evaluación preestablecidos, a individuos, desconocidos por los servicios represivos, pero que parezcan revestir un «interés» o un riesgo para la seguridad pública y que puedan, por lo tanto, ser sometidos posteriormente a controles individuales más exhaustivos. |
217. |
Dicho esto, tengo serias dudas acerca del carácter suficientemente claro y preciso de la redacción de algunas categorías de datos del PNR que figuran en el anexo del acuerdo previsto. En efecto, algunas de ellas están formuladas de forma muy abierta, excesivamente incluso, sin que una persona razonablemente informada pueda determinar la naturaleza o el alcance de los datos personales que esas categorías pueden contener. En este sentido, estoy pensando sobre todo en el epígrafe 5 relativo a la «información sobre viajeros frecuentes y ventajas correspondientes (billetes gratuitos, paso a la categoría superior, etc.)», en el epígrafe 7, titulado «toda la información de contacto disponible (incluida la información del expedidor)», y en el epígrafe 17, ya mencionado, relativo a las «observaciones generales». Las explicaciones facilitadas por la Comisión en sus respuestas a las preguntas escritas formuladas por el Tribunal de Justicia no han permitido disipar tales dudas. En particular, en relación con el epígrafe 7, dicha institución ha admitido que se trataba, de manera no exhaustiva, de «todos los datos relativos a la reserva, entre ellos, la dirección de correo postal o de correo electrónico, el número de teléfono del pasajero, o de la persona o incluso de la agencia que haya reservado el vuelo». Asimismo, en lo que respecta al epígrafe 17, la Comisión ha indicado que se refiere a todos «los datos adicionales, aparte de los ya enumerados en otro lugar del anexo del acuerdo previsto». |
218. |
El acuerdo previsto establece ciertas garantías con el fin de que los datos transmitidos no excedan del catálogo enumerado en el anexo del acuerdo previsto, en poder de los transportistas aéreos. Se desprende en efecto del artículo 4, apartado 3, del acuerdo previsto que no puede transmitirse ningún otro dato a la autoridad canadiense competente, puesto que Canadá debe suprimir, nada más recibirlo, cualquier dato que le haya sido transferido sin que figure en la lista de categorías del anexo del acuerdo previsto. Por ello, si bien con arreglo a lo indicado en el epígrafe 8 de dicho anexo, la información disponible relativa al pago del vuelo debe transferirse a las autoridades competentes canadienses, esa información no puede incluir la relativa a los medios de pago de otros servicios no directamente relacionados con el vuelo, como el alquiler de un vehículo a la llegada. |
219. |
No obstante, a la vista del carácter muy abierto, excesivamente abierto incluso, de algunos epígrafes, resulta particularmente difícil entender qué datos se considerarán no transferibles a Canadá y deberán, en consecuencia, ser suprimidos por éste, en aplicación del artículo 4, apartado 3, del acuerdo previsto. Añadiré que resulta verosímil que un transportista aéreo elija, en aras de la simplificación y la reducción de costes, transferir todos los datos que previamente haya recogido, figuren o no dentro de las categorías enumeradas en el anexo del acuerdo previsto. |
220. |
Por lo tanto, considero que, con el fin de garantizar la seguridad jurídica de las personas cuyos datos personales sean transferidos y tratados en virtud del acuerdo previsto, y dada la necesidad de establecer reglas claras y precisas que regulen el alcance material de dicho acuerdo, las categorías de datos que figuran en el anexo del acuerdo deberían redactarse de forma más concisa y precisa, sin que pueda dejarse margen de apreciación alguno ni a los transportistas aéreos ni a las autoridades competentes canadienses en cuanto al alcance concreto de tales categorías. |
221. |
Por último, considero que el acuerdo previsto excede de lo estrictamente necesario al incluir en su ámbito de aplicación la transferencia de datos del PNR que pueden contener datos sensibles susceptibles de proporcionar, in concreto, indicaciones sobre el estado de salud o revelar el origen étnico o las convicciones religiosas del pasajero afectado o de aquellos que le acompañan. |
222. |
A este respecto, se desprende de la información transmitida al Tribunal de Justicia que los datos del PNR que pueden contener tales datos sensibles únicamente se comunican de manera facultativa, es decir, sólo cuando un pasajero solicita un servicio adicional a bordo. Ahora bien, me parece evidente que una persona, aún no «identificada», pero que colabore con una red terrorista o de delincuencia grave internacional o forme parte de ella, evitará por prudencia utilizar estos servicios que podrían normalmente proporcionar información sobre su origen étnico o sus convicciones religiosas. Los métodos de investigación modernos utilizados por las autoridades competentes canadienses que consisten, según lo explicado al Tribunal de Justicia, en confrontar los datos del PNR obtenidos con escenarios o perfiles tipo de individuos de riesgo y que podrían basarse en tales datos sensibles, puesto que el acuerdo previsto no lo prohíbe, únicamente permitirán, en definitiva, tratar los datos sensibles de personas que han solicitado legítimamente alguno de esos servicios de asistencia a bordo y sobre las que no pesa ni probablemente seguirá pesando ninguna sospecha. Pues bien, el riesgo de estigmatizar a un gran número de individuos, no sospechosos sin embargo, de infracción alguna, que implica la utilización de tales datos sensibles me parece particularmente preocupante y me incita a proponer al Tribunal de Justicia que excluya esos datos del ámbito de aplicación del acuerdo previsto. Además, quisiera observar que el artículo 8 del acuerdo sobre el PNR celebrado con Australia prohíbe cualquier tratamiento de datos del PNR sensibles. Esta observación hace pensar, a falta de una explicación más fundamentada en el acuerdo previsto sobre la estricta necesidad de tratar los datos sensibles, que el objetivo de lucha contra el terrorismo y contra los delitos graves de carácter transnacional puede alcanzarse de forma igualmente eficaz sin que tales datos sean siquiera transferidos a Canadá. |
223. |
Añado que las garantías que ofrece el artículo 8 del acuerdo previsto, relativo al «uso de datos sensibles», me parecen insuficientes para justificar otro planteamiento distinto que el consistente en proponer la exclusión de los datos sensibles del ámbito de aplicación del acuerdo previsto. |
224. |
En efecto, pese a las medidas contempladas en el artículo 8, apartados 1 a 4, del acuerdo previsto, el apartado 5, in fine, de dicho artículo autoriza a «Canadá» (y no exclusivamente a la autoridad competente canadiense) a conservar los datos sensibles de conformidad con el artículo 16, apartado 5, del acuerdo previsto. Pues bien, se desprende de esta última disposición que tales datos pueden ser conservados durante un período no superior a cinco años cuando sean «necesarios para una acción, revisión, investigación, medida de ejecución, procedimiento judicial, enjuiciamiento o ejecución de penas específicos, hasta que concluyan». El artículo 16, apartado 5, del acuerdo previsto no hace, además, referencia alguna a las finalidades indicadas en el artículo 3 del mismo, contrariamente al apartado inmediatamente anterior. Resulta de ello que los datos sensibles de un ciudadano de la Unión que haya tomado un vuelo con destino a Canadá podrían ser conservados durante cinco años (y, en su caso, desenmascarados y analizados durante ese período) por cualquier autoridad pública canadiense, para cualquier «acción» o «revisión» o «procedimiento judicial», sin relación alguna con el objetivo perseguido por el acuerdo previsto, por ejemplo, como ha alegado el Parlamento, en el caso de un procedimiento relativo a Derecho contractual o a Derecho de familia. La posibilidad de que se presente un supuesto como éste me induce a concluir que las partes contratantes no han efectuado, en este punto, una ponderación equilibrada de los objetivos perseguidos por el acuerdo previsto. |
225. |
A la vista de estas consideraciones, estimo que las categorías de datos del PNR enumeradas en el anexo del acuerdo previsto deberían redactarse de forma más clara y precisa y que, en cualquier caso, los datos sensibles deberían excluirse del ámbito de aplicación del acuerdo previsto. Por consiguiente, el uso de los datos sensibles contemplado en el artículo 8 del acuerdo previsto es, en mi opinión, incompatible con los artículos 7, 8 y 52, apartado 1, de la Carta. |
– Sobre el carácter suficientemente preciso de la finalidad para la que se autoriza el tratamiento de datos del PNR
226. |
Como ya se ha indicado, el artículo 3, apartado 1, del acuerdo previsto establece que las autoridades competentes canadienses tratarán los datos del PNR recibidos en virtud de dicho acuerdo con el propósito exclusivo de prevenir, detectar, investigar y enjuiciar los delitos de terrorismo o los delitos graves de carácter transnacional. |
227. |
El artículo 3, apartado 2, letra a), del acuerdo previsto ofrece una definición precisa de la expresión «delitos de terrorismo», mientras que el apartado 3 de dicho artículo define los «delitos graves de carácter transnacional» como «todo delito castigado en Canadá con una pena máxima de privación de libertad no inferior a cuatro años o una pena más grave, tal como se definen en la legislación canadiense, si el delito es de carácter transnacional». Los requisitos para que un delito posea tal carácter se enumeran asimismo en el artículo 3, apartado 3, letras a) a e), del acuerdo previsto. |
228. |
El artículo 3, apartado 5, del acuerdo previsto concede a Canadá el derecho a tratar los datos del PNR, en casos concretos, bien para garantizar la supervisión o la determinación de la responsabilidad de la Administración pública [apartado 5, letra a)] o bien para el cumplimiento de una citación o exhorto, o de una orden de un tribunal [apartado 5, letra b)]. |
229. |
En su solicitud, el Parlamento reconoce que el artículo 3 del acuerdo previsto ofrece algunos criterios objetivos, pero considera que la remisión a la legislación de un país tercero en su apartado 3 y la posibilidad de tratamiento adicional concedida por su apartado 5 generan incertidumbre acerca de si el acuerdo se limita a lo estrictamente necesario. |
230. |
Únicamente suscribo parcialmente esta argumentación. |
231. |
En primer lugar, estimo que, contrariamente a lo que sucedía en el caso del acto controvertido en la sentencia de 8 de abril de 2014, Digital Rights Ireland y otros (C‑293/12 y C‑594/12, EU:C:2014:238), el artículo 3 del acuerdo previsto establece criterios objetivos relativos a la naturaleza y a la gravedad de las infracciones que autorizan a las autoridades canadienses a tratar los datos del PNR. Así, los delitos de terrorismo se definen directamente en el artículo 3, apartado 2, del acuerdo previsto, que se remite asimismo a las actividades definidas como tales en los convenios y protocolos internacionales aplicables en materia de terrorismo. La naturaleza y gravedad de los «delitos graves de carácter transnacional» se desprende también perfectamente del artículo 3, apartado 3, del acuerdo previsto, puesto que se trata de delitos que afectan a más de un país y castigados en Canadá con una pena de privación de libertad no inferior a cuatro años. Queda claro que no se trata de delitos leves o cuya gravedad podría variar, como sucedía en el caso del acto que dio lugar a la sentencia de 8 de abril de 2014, Digital Rights Ireland y otros (C‑293/12 y C‑594/12, EU:C:2014:238), en función del Derecho interno de una pluralidad de Estados, haciendo por lo tanto imposible considerar que la injerencia en los derechos fundamentales garantizados por los artículos 7 y 8 de la Carta se limitase a lo estrictamente necesario. |
232. |
No obstante, admito que la remisión al Derecho interno canadiense no permite identificar qué delitos concretos pueden estar comprendidos dentro del ámbito de aplicación del artículo 3, apartado 3, del acuerdo previsto, si además poseen un carácter transnacional. |
233. |
A este respecto, la Comisión ha comunicado al Tribunal de Justicia un documento transmitido por las autoridades canadienses que aporta una lista no exhaustiva de los delitos comprendidos dentro de la definición establecida en el artículo 3, apartado 3, del acuerdo previsto que, según dichas autoridades, refleja la mayor parte de los delitos que pueden incluirse dentro de esa definición. |
234. |
Esta lista demuestra claramente la gravedad de los delitos de que se trata, relacionados con el tráfico de armas, de municiones, de explosivos y de seres humanos, la posesión o distribución de pornografía infantil, el blanqueo del fruto de las actividades delictivas, la falsificación de moneda y de divisas, el homicidio, el secuestro, el sabotaje, la toma de rehenes o el secuestro de aeronaves. |
235. |
No obstante, para limitar a lo estrictamente necesario los delitos por los que pueda autorizarse el tratamiento de datos del PNR y para garantizar la seguridad jurídica de los pasajeros cuyos datos se transmitan a las autoridades canadienses, considero que los delitos incluidos en la definición del artículo 3, apartado 3, del acuerdo previsto deberían estar enumerados taxativamente, por ejemplo, en un anexo del propio acuerdo previsto. |
236. |
Además, comparto las inquietudes del Parlamento en cuanto a la redacción del artículo 3, apartado 5, letra b), del acuerdo previsto, que implica una ampliación de las finalidades para las que se autoriza el tratamiento de los datos del PNR. En efecto, según dicho artículo, el tratamiento de los datos del PNR «también» está autorizado, en casos concretos, a efectos del cumplimiento de una citación o exhorto, o de una orden de un tribunal, sin que se especifique que ese tribunal actúe dentro del contexto de las finalidades del acuerdo previsto. Este artículo parece por lo tanto permitir el tratamiento de datos del PNR para fines ajenos a los perseguidos por el acuerdo previsto o eventualmente en relación con situaciones, conductas o delitos que no estén comprendidos en el ámbito de aplicación de dicho acuerdo. |
237. |
A la vista de estas consideraciones, estimo que, para limitarse a lo estrictamente necesario y garantizar la seguridad jurídica de los pasajeros, en particular de los ciudadanos de la Unión, el acuerdo previsto debe ir acompañado de una lista exhaustiva de los delitos que se incluyen en la definición de «delitos graves de carácter transnacional» establecida en el artículo 3, apartado 3, de dicho acuerdo. Además, en el estado actual de su redacción, el artículo 3, apartado 5, del acuerdo previsto es incompatible con los artículos 7, 8 y 52, apartado 1, de la Carta, por cuanto permite, más allá de lo estrictamente necesario, ampliar las posibilidades de tratamiento de datos del PNR, con independencia de las finalidades perseguidas por el acuerdo previsto. |
– Sobre el ámbito de aplicación personal del acuerdo previsto
238. |
Es pacífico que los datos del PNR transmitidos en el marco del acuerdo previsto se refieren al conjunto de los pasajeros que utilizan conexiones aéreas entre Canadá y la Unión, sin que existan indicios que puedan hacer pensar que el comportamiento de esos pasajeros pueda estar relacionado con una actividad terrorista o una actividad delictiva grave de carácter transnacional. La transferencia de esos datos a las autoridades canadienses competentes, su tratamiento automatizado y su conservación posterior se aplican por tanto sin establecer distinción alguna en función del posible riesgo que podrían presentar algunas categorías de pasajeros. |
239. |
En la sentencia de 8 de abril de 2014, Digital Rights Ireland y otros (C‑293/12 y C‑594/12, EU:C:2014:238), lo que el Tribunal de Justicia consideró que iba más allá de lo estrictamente necesario fue muy especialmente el carácter indiscriminado y generalizado de la conservación de los datos de cualquier persona que hiciese uso de servicios de comunicaciones electrónicas dentro de la Unión, con independencia del objetivo, perseguido por la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE, ( 93 ) de lucha contra los delitos graves. |
240. |
Si bien la injerencia que supone el acuerdo previsto es de menor amplitud que la contemplada en la Directiva 2006/24, siendo también menos intrusiva en la vida diaria de las personas, su carácter indiscriminado y generalizado plantea interrogantes. |
241. |
No obstante, como ya he puesto de manifiesto en el punto 216 de las presentes conclusiones, el interés mismo de los sistemas del PNR consiste en garantizar la transmisión masiva de datos que permitan a las autoridades competentes identificar, con la ayuda de herramientas de tratamiento automatizado y de escenarios o criterios preestablecidos, a individuos, hasta entonces desconocidos por los servicios represivos, pero que parezcan revestir un «interés» o un riesgo para la seguridad pública y que puedan, por lo tanto, ser sometidos posteriormente a controles individuales más exhaustivos. Esos controles deben también poder efectuarse durante un determinado período de tiempo después de que los pasajeros en cuestión hayan viajado. |
242. |
Además, contrariamente a las personas cuyos datos eran objeto del tratamiento previsto por la Directiva 2006/24, todas las comprendidas en el ámbito de aplicación del acuerdo previsto utilizan voluntariamente un medio de transporte internacional con destino a un país tercero o procedente de él, medio de transporte que es a su vez, por desgracia de forma recurrente, vector o víctima de actos de terrorismo o de delitos graves de carácter transnacional, lo que exige la adopción de medidas que garanticen un elevado nivel de seguridad del conjunto de los pasajeros. |
243. |
Es ciertamente posible concebir un régimen de transferencia y de tratamiento de los datos del PNR que distinga a los pasajeros en función, por ejemplo, de zonas de procedencia geográfica (en caso de escala en la Unión) o según su edad, ya que los menores, por ejemplo, pueden suponer a priori un riesgo inferior para la seguridad pública. No obstante, y siempre que se considerase que no implican una discriminación prohibida, tales medidas conllevarían el riesgo, una vez conocidas, de provocar que se soslayaran las estipulaciones del acuerdo previsto, lo que perjudicaría de todos modos a la realización eficaz de uno de sus objetivos. |
244. |
Ahora bien, como ya se ha señalado, no basta con imaginar in abstracto medidas alternativas menos restrictivas de los derechos fundamentales de las personas. Haría falta además, a mi entender, que tales medidas ofreciesen garantías de eficacia comparables a las que se pretende adoptar en aras de la lucha contra el terrorismo y los delitos graves de carácter transnacional. No se ha puesto en conocimiento del Tribunal de Justicia en el marco del presente procedimiento ninguna otra medida que, limitando el número de personas cuyos datos del PNR sean tratados automáticamente por las autoridades competentes canadienses, pueda alcanzar con una eficacia comparable el objetivo de seguridad pública perseguido por las partes contratantes. |
245. |
Por lo tanto, a fin de cuentas, me parece que, de modo general, no puede reducirse más el ámbito de aplicación personal del acuerdo previsto sin que ello perjudique al objeto mismo de los sistemas del PNR. |
– Sobre la identificación de la autoridad competente encargada del tratamiento de los datos del PNR
246. |
Según el artículo 5 del acuerdo previsto, únicamente se considera respecto de «las autoridades canadienses competentes» que éstas garantizan un nivel de protección adecuado a la hora de tratar y utilizar datos del PNR, siempre que se atengan al acuerdo previsto. |
247. |
Como ha señalado el Parlamento, la identidad de esta autoridad no se menciona en el acuerdo previsto. No obstante, resulta indudable, a la vista del Acuerdo de 2006, y como lo confirma el escrito de la Representación permanente de Canadá ante la Unión Europea de 25 de junio de 2014, notificado a la Comisión conforme a lo dispuesto en el artículo 30, apartado 2, letra a), del acuerdo previsto y transmitido al Tribunal de Justicia en el marco del presente procedimiento, que se trata de la CBSA. |
248. |
Más que la identidad de dicha autoridad, es el carácter a menudo impreciso de las estipulaciones del acuerdo previsto lo que, desde el punto de vista de la observancia del principio de proporcionalidad, suscita dudas acerca de las autoridades que pueden tratar los datos del PNR. |
249. |
Diversas estipulaciones del acuerdo previsto se refieren, en efecto, genéricamente a «Canadá» y no a «la autoridad canadiense competente», única autoridad, sin embargo, respecto de la cual se considera que garantiza un nivel de protección adecuado a efectos del tratamiento y la utilización de los datos del PNR, con arreglo al acuerdo previsto. Así sucede en el caso del artículo 3, apartado 5, del acuerdo previsto, que amplía además, como he analizado anteriormente, ( 94 ) las finalidades para las que pueden tratarse los datos del PNR; en el del artículo 8 del acuerdo previsto; en el del artículo 12, apartado 3, del acuerdo previsto, relativo a la divulgación a cualquier persona, y en el del artículo 16 del acuerdo previsto, que trata sobre la conservación de los datos del PNR. ( 95 ) |
250. |
Contrariamente a lo que la Comisión alegó en la vista, la sustitución de la expresión «la autoridad canadiense competente» por la denominación genérica «Canadá» suscita dudas en cuanto al número de autoridades autorizadas a tratar los datos, más aún cuando el artículo 18 del acuerdo previsto autoriza, en las condiciones que dicho artículo enumera, a la autoridad canadiense competente a divulgar datos del PNR a otras autoridades públicas de Canadá. ( 96 ) |
251. |
Las estipulaciones del acuerdo previsto no me parecen, por lo tanto, suficientemente claras y precisas en cuanto a la identificación de la autoridad encargada del tratamiento de los datos del PNR para que se garanticen la protección y la seguridad de dichos datos. |
– Sobre el tratamiento automatizado de los datos del PNR
252. |
Se desprende de las observaciones presentadas ante el Tribunal de Justicia que el principal valor añadido del tratamiento de los datos del PNR es la confrontación de los datos recogidos con escenarios o criterios de evaluación preestablecidos de riesgo o con bases de datos que permitan, gracias al tratamiento automatizado, identificar «objetivos» que puedan ser a posteriori objeto de un control más exhaustivo. En la práctica, según los datos comunicados por la CBSA a la Comisión y al Gobierno del Reino Unido y que han sido transmitidos al Tribunal de Justicia por dichas partes interesadas, la aplicación de esas técnicas ha permitido identificar unos 9500 «objetivos», gracias al tratamiento automatizado de los datos del PNR, de entre los 28 millones de pasajeros que tomaron un vuelo entre Canadá y la Unión entre abril de 2014 y marzo de 2015. |
253. |
No obstante, ninguna estipulación del acuerdo previsto se refiere específicamente a esas bases de datos ni a esos escenarios o criterios de evaluación, que las autoridades canadienses deberían por lo tanto seguir determinando y utilizando a su entera discreción. |
254. |
Es cierto que, según lo estipulado en el acuerdo previsto, Canadá garantizará que las salvaguardias aplicables al tratamiento de los datos del PNR se apliquen a todos los pasajeros en igualdad de condiciones y evitando toda discriminación contraria a Derecho (artículo 7 del acuerdo previsto) y que no tomará decisiones que afecten gravemente a un pasajero únicamente en razón del tratamiento automático de los datos del PNR (artículo 15 del acuerdo previsto). |
255. |
No obstante, tengo el convencimiento de que, atendiendo a la ponderación equilibrada entre los dos objetivos perseguidos por el acuerdo previsto y a la considerable importancia práctica de este aspecto, puesto que la confrontación de los datos del PNR con esos escenarios o esos criterios de evaluación preestablecidos puede conducir, como han admitido algunas partes interesadas, a identificar falsos «objetivos» positivos, el acuerdo previsto debería contener una serie de principios y reglas explícitas en lo que se refiere tanto a los escenarios o los criterios de evaluación preestablecidos como a las bases de datos con las que se confrontan los datos del PNR. |
256. |
La delimitación y la determinación precisas de los escenarios y los criterios de evaluación preestablecidos deben poder conducir, en buena medida, a resultados que seleccionen individuos sobre los que podría pesar una «sospecha razonable» de participación en actividades terroristas o delitos graves de carácter transnacional. ( 97 ) |
257. |
No es estrictamente necesario que el Tribunal de Justicia indique los principios que deberían regir la determinación de los citados escenarios y criterios de evaluación ni las bases de datos con las que se confronten los datos del PNR. |
258. |
Por mi parte, considero que sería necesario, como mínimo, que el acuerdo previsto estipulase expresamente que ni los escenarios o criterios de evaluación preestablecidos ni las bases de datos utilizadas pueden basarse en el origen racial o étnico de una persona, en sus opiniones políticas, en su religión o sus convicciones filosóficas, su pertenencia a un sindicato, su estado de salud o su orientación sexual. Por otro lado, los criterios, escenarios y bases de datos deberían circunscribirse de modo expreso a los fines y a los delitos previstos en el artículo 3 del acuerdo previsto. |
259. |
Además, el acuerdo previsto debería a mi juicio especificar con mayor claridad que el actual artículo 15 que, en el supuesto de que la confrontación de los datos del PNR con los criterios y escenarios preestablecidos condujese a un resultado positivo, dicho resultado debería ser examinado por medios no automatizados. Esta garantía podría permitir reducir el número de personas que pudiesen ser objeto de un control físico posterior más exhaustivo. |
260. |
Además, para limitarse al mínimo necesario, esos criterios, escenarios y bases de datos pertinentes, así como su revisión, deberían en mi opinión estar sujetos a un control por parte de la autoridad pública independiente a que se refiere el acuerdo previsto, el Comisario canadiense para la protección de la vida privada, ( 98 ) y ser objeto de un informe sobre su aplicación, que se transmitiese a las instituciones y organismos competentes de la Unión, en el contexto del artículo 26 del acuerdo previsto, que regula la revisión y la evaluación conjuntas de la ejecución de éste. |
261. |
Por consiguiente, considero que al no establecer principios y reglas explícitos referentes al establecimiento y la utilización de los escenarios y criterios preestablecidos y las bases de datos con las que se confrontan los datos del PNR mediante tratamiento automatizado, las partes contratantes no han efectuado una ponderación equilibrada de los dos objetivos perseguidos por el acuerdo previsto. |
– Sobre el acceso a los datos del PNR
262. |
Se desprende de las explicaciones facilitadas al Tribunal de Justicia que, una vez identificados los pasajeros cuyos datos del PNR hayan sido objeto de un tratamiento automatizado y que presenten un perfil acorde con los escenarios o criterios preestablecidos, los funcionarios de la CBSA acceden a los datos de esos pasajeros para determinar si procede someterlos a un control más exhaustivo. En la práctica, según la información comunicada por el Gobierno del Reino Unido y la Comisión, de los 9500 «objetivos» identificados entre abril de 2014 y mayo de 2015, 1765 personas fueron objeto de un control exhaustivo por motivos relacionados con la seguridad pública nacional o con un delito grave de carácter transnacional. De entre esas personas, 178 fueron detenidas por un delito grave de carácter transnacional, en particular relacionado con el tráfico de estupefacientes. |
263. |
En la sentencia de 8 de abril de 2014, Digital Rights Ireland y otros (C‑293/12 y C‑594/12, EU:C:2014:238), apartados 62 y 66, el Tribunal de Justicia señaló, por una parte, que la Directiva 2006/24 no establecía ningún criterio objetivo que permitiese limitar el número de personas autorizadas a acceder a los datos personales en cuestión y no supeditaba el acceso a esos datos a ningún control previo efectuado por un órgano jurisdiccional o por un organismo administrativo autónomo. Por otra parte, dicho acto no contemplaba tampoco normas contra los riesgos de abuso ni contra el acceso o utilización ilícitos de esos datos. |
264. |
En cambio, procede observar que las estipulaciones del acuerdo previsto cumplen en parte estas exigencias. |
265. |
Como ya se ha señalado, el artículo 9, apartados 1 y 2, del acuerdo previsto exige que Canadá establezca normas, disposiciones organizativas y medidas técnicas para proteger los datos del PNR contra el acceso, tratamiento o pérdida accidentales, ilegales o no autorizados y garantice, entre otros aspectos, la seguridad, la confidencialidad y la integridad de los datos, aplicando en particular procedimientos de cifrado y de conservación de los datos en un entorno físico seguro y protegido con controles de acceso. |
266. |
Además, tanto el artículo 9, apartado 2, letra b), como el artículo 16, apartado 2, del acuerdo previsto contemplan que Canadá restrinja el acceso a los datos del PNR a un número de funcionarios específicamente autorizados. En materia de conservación de los datos del PNR, el artículo 16, apartado 4, del acuerdo previsto estipula asimismo que los datos despersonalizados mediante enmascaramiento únicamente pueden ser desenmascarados si resulta necesario llevar a cabo investigaciones en el ámbito del artículo 3 del acuerdo y, en función del período de conservación de los datos del PNR de que se trate, bien por un número limitado de funcionarios expresamente autorizados, bien únicamente con el permiso previo del Director de la autoridad canadiense competente o de un alto funcionario específicamente autorizado por éste. |
267. |
No obstante, a semejanza de la Directiva 2006/24, el acuerdo previsto no especifica los criterios objetivos que sirven de base para determinar los funcionarios que tienen acceso a los datos del PNR ni si esos funcionarios pertenecen todos a la CBSA. Estas indicaciones parecen tanto más importantes cuanto que el grupo de funcionarios que tienen acceso a dichos datos en el contexto del artículo 9, apartado 2, del acuerdo previsto es, al parecer, más amplio que el calificado de «limitado» que puede acceder a los datos conservados más allá de 30 días en el contexto de la aplicación del artículo 16, apartado 2, de dicho acuerdo. Los criterios que permiten diferenciar ambos grupos de funcionarios autorizados para acceder a los datos del PNR no se desprenden sin embargo de las estipulaciones del acuerdo previsto y se dejan por lo tanto a la entera discreción de Canadá. Esta libertad no me parece responder al requisito establecido por la sentencia de 8 de abril de 2014, Digital Rights Ireland y otros (C‑293/12 y C‑594/12, EU:C:2014:238), recordado en el punto 263 de las presentes conclusiones. |
268. |
Asimismo, debe ponerse de relieve que el acuerdo previsto no dispone en modo alguno que el acceso a los datos del PNR esté supeditado a un control previo de una autoridad independiente como el Comisario canadiense para la protección de la vida privada, ( 99 ) ni de un órgano jurisdiccional cuya resolución pudiera restringir el acceso a los datos o su utilización y que recayese a instancia motivada de la CBSA. |
269. |
La adecuada ponderación entre la persecución eficaz de la lucha contra el terrorismo y los delitos graves de carácter transnacional y el respeto de un elevado nivel de protección de los datos personales de los pasajeros aéreos no exige necesariamente, sin embargo, que se establezca un control previo del acceso a los datos del PNR. |
270. |
En efecto, sin necesidad de dilucidar siquiera si tal control previo podría plantearse en la práctica y si sería suficientemente efectivo, habida cuenta en particular de la cantidad de datos que habrían de analizarse y de los recursos con que cuentan las autoridades independientes de control, observo que, dentro del contexto del respeto al artículo 8 del CEDH por los poderes públicos que establecieron medidas de intercepción y de vigilancia de comunicaciones privadas, el TEDH admitió que, salvo en circunstancias particulares relacionadas, señaladamente, con la confidencialidad de las fuentes de información de los periodistas o con las comunicaciones de los abogados con sus clientes, un control ex ante de esas medidas por una autoridad independiente o un magistrado no constituye una exigencia absoluta, siempre que se garantice, a posteriori, un amplio control jurisdiccional de dichas medidas. ( 100 ) |
271. |
A este respecto, con independencia de las dudas que suscita el reparto de las competencias de supervisión y control de la CBSA entre la «autoridad pública independiente» y la «autoridad administrativa que ejerza sus funciones de manera imparcial y que tenga un historial acreditado de autonomía», sobre las que volveré posteriormente, ( 101 ) interesa señalar que el artículo 14, apartado 2, del acuerdo previsto establece que Canadá velará por que toda persona que estime que sus derechos han sido violados por una decisión o una acción en relación con sus datos del PNR, pueda obtener reparación de conformidad con la legislación canadiense interponiendo un recurso jurisdiccional. Es indudable, habida cuenta de la redacción del artículo 14, apartado 1, del acuerdo previsto y de las explicaciones facilitadas por las partes interesadas, que dicho recurso puede interponerse contra cualquier decisión relativa al acceso a los datos del PNR de las personas afectadas, independientemente de su nacionalidad, su domicilio o su presencia en el territorio canadiense. En el marco del presente procedimiento de examen preventivo de la compatibilidad de las estipulaciones del acuerdo previsto con los artículos 7 y 8 de la Carta, la garantía de tal recurso, cuya eficacia no ha puesto en duda ninguna de las partes interesadas, me parece satisfacer el requisito establecido por dichas disposiciones, leídas a la luz de la interpretación que hizo el TEDH del artículo 8 del CEDH. |
272. |
Por consiguiente, considero que el hecho de que el acuerdo previsto no haya dispuesto que el acceso a los datos del PNR por parte de los funcionarios autorizados de la CBSA esté supeditado a un control previo a cargo de una autoridad administrativa independiente o un órgano jurisdiccional no es incompatible con los artículos 7, 8 y 52, apartado 1, de la Carta, siempre que, como en este caso, el acuerdo previsto obligue a Canadá a garantizar a cualquier persona afectada el derecho a un control jurisdiccional efectivo a posteriori de las decisiones o de las medidas relativas al acceso a sus datos del PNR. |
273. |
En cambio, considero que, para limitarse a lo estrictamente necesario, el acuerdo previsto debe especificar claramente que únicamente los funcionarios de la CBSA están autorizados para acceder a dichos datos y establecer criterios objetivos que permitan concretar su número, habida cuenta de las distintas situaciones previstas en los artículos 9 y 16 del acuerdo previsto. |
– Sobre la conservación de los datos del PNR
274. |
Ante el Tribunal de Justicia, las partes interesadas debatieron ampliamente sobre las consecuencias que han de extraerse de la sentencia de 8 de abril de 2014, Digital Rights Ireland y otros (C‑293/12 y C‑594/12, EU:C:2014:238) en cuanto al carácter estrictamente necesario del régimen de conservación de los datos del PNR establecido en el artículo 16 del acuerdo previsto. |
275. |
Por una parte, en dicha sentencia, el Tribunal de Justicia censuró al legislador de la Unión por no haber establecido obligatoriamente que los datos de que se trataba en dicho asunto se conservasen dentro del territorio de la Unión, con la consecuencia de que el control del cumplimiento de los requisitos de protección y seguridad de los datos por parte de una autoridad independiente, expresamente exigido por el artículo 8, apartado 3, de la Carta, no se hallaba plenamente garantizado. ( 102 ) |
276. |
Por otra parte, en cuanto al período de conservación de dos años como máximo previsto por la Directiva 2006/24, el Tribunal de Justicia criticó el hecho de que ésta no establecía distinción alguna entre las categorías de datos en función de su utilidad a efectos del objetivo perseguido o de las personas afectadas y de que dicho período no se determinaba sobre la base de criterios objetivos. ( 103 ) |
277. |
En cuanto al primer punto, es evidente que los datos del PNR objeto de las estipulaciones del acuerdo previsto no se conservarán en el territorio de la Unión. Esta observación no basta sin embargo por sí sola para invalidar el régimen de conservación establecido en el artículo 16 del acuerdo previsto, a menos que dicho acuerdo no garantice plenamente el control de los requisitos de protección y seguridad por una autoridad independiente. Pues bien, como analizaré posteriormente, mientras que la intención de las partes contratantes es respetar plenamente la exigencia impuesta por el artículo 8, apartado 3, de la Carta, el artículo 10, apartado 1, del acuerdo previsto está redactado en términos demasiado ambiguos para garantizar, en cualquier circunstancia, la existencia de tal control. ( 104 ) |
278. |
En cuanto al período de conservación de los datos del PNR, se desprende del artículo 16, apartado 1, del acuerdo previsto que éste es de cinco años como máximo desde la fecha de su recepción, ( 105 ) a cuya expiración el apartado 6 de dicho artículo obliga a Canadá a destruir los datos del PNR. |
279. |
Es cierto que el período de conservación ha sido prolongado en un año y medio con respecto al previsto en el Acuerdo de 2006. Por otra parte, exceptuando las explicaciones y ejemplos proporcionados por algunas partes interesadas durante el procedimiento ante el Tribunal de Justicia, relacionados fundamentalmente con la duración de vida media de las redes internacionales de delincuencia grave y con la duración y complejidad de las investigaciones relativas a dichas redes, el acuerdo previsto no indica las razones objetivas que impulsaron a las partes contratantes a ampliar el período de conservación de los datos del PNR a cinco años como máximo. |
280. |
Estimo que esas razones objetivas deben indicarse en el acuerdo previsto, lo que permitiría a priori garantizar que dicho período es necesario a los efectos perseguidos por el acuerdo previsto. Para ser totalmente claro en este punto, esta consideración vale igualmente en lo que respecta al artículo 16, apartado 5, del acuerdo previsto, cuyo alcance, como ya he indicado en mis consideraciones relativas a los datos sensibles que deben excluirse del ámbito de aplicación de dicho acuerdo, debería, en lo que respecta a la conservación de los otros datos del PNR por un período máximo de cinco años, circunscribirse a la finalidad descrita en el artículo 3 del acuerdo previsto. ( 106 ) |
281. |
Procede, por lo tanto, observar que las partes contratantes no han justificado la necesidad de conservar todos los datos del PNR por un período máximo de cinco años. |
282. |
En el marco del presente procedimiento, el Tribunal de Justicia podría limitarse a esta observación, sin tener que verificar por lo tanto si el período de conservación de cinco años de todos los datos del PNR del conjunto de los pasajeros aéreos que se desplazan entre Canadá y la Unión no excede de lo estrictamente necesario para lograr el objetivo de seguridad del acuerdo previsto. |
283. |
En el supuesto de que el Tribunal de Justicia considerase oportuno, no obstante, dedicar algunas disquisiciones a esta cuestión, me permito hacer las siguientes observaciones. |
284. |
En primer lugar, en cuanto a la cantidad de datos del PNR que se conservan, resulta legítimo a mi juicio preguntarse si, al cabo de varios años, está justificado conservar determinadas categorías de esos datos, puesto que la autoridad canadiense competente dispone o puede disponer mediante desenmascaramiento, en las condiciones establecidas en el artículo 16, apartado 3, del acuerdo previsto, de los datos del PNR del expediente PNR que revelen la información esencial relativa a la identidad del o de los pasajeros, a la fecha del viaje, a los medios de pago utilizados, a todos los datos de contacto disponibles, al itinerario del viaje, a los datos de contacto de la agencia o del agente de viajes y al equipaje. En particular, me pregunto si la información sobre los viajeros frecuentes y las ventajas correspondientes (epígrafe 5 del anexo del acuerdo previsto), sobre la situación de vuelo del viajero (epígrafe 5 del anexo), sobre el billete y el precio del billete (epígrafe 14 del anexo) y sobre los códigos compartidos (epígrafe 11 del anexo), que, según la Comisión, únicamente aporta datos sobre el transportista efectivo, sigue teniendo, después de una serie de años de conservación, un verdadero valor añadido con respecto a los otros datos del PNR que también se conservan y que pueden ser desenmascarados con el fin de luchar contra el terrorismo y los delitos graves de carácter transnacional. |
285. |
Seguidamente, más allá de las dudas que pueda suscitar el carácter estrictamente necesario del período de conservación de todos los datos del PNR establecido por el acuerdo previsto, las garantías ofrecidas por el artículo 16, apartado 3, de éste en materia de «despersonalización» mediante enmascaramiento me parecen, en cualquier caso, insuficientes para garantizar la protección y la seguridad de los datos de carácter personal de los pasajeros afectados. |
286. |
Es cierto que dicho artículo contempla un enmascaramiento de los datos de todos los pasajeros 30 días después de su recepción. Precisa asimismo que los elementos de los datos del PNR de las categorías 6, 7, 17 y 18, enumeradas en el anexo del acuerdo previsto, ( 107 ) se enmascaran dos años después de la recepción de esos datos, si, en lo que respecta a esas dos últimas categorías, permiten identificar a una persona física. |
287. |
Es precisamente el carácter exhaustivo de esta enumeración lo que parece preocupante. En efecto, otros epígrafes del anexo del acuerdo previsto pueden asimismo identificar directamente a una persona física, sin que figuren en la lista del artículo 16, apartado 3, del acuerdo previsto. Pienso sobre todo, a este respecto, en la información disponible sobre viajeros frecuentes y ventajas correspondientes (epígrafe 5 del anexo) y en todos los datos disponibles sobre pago y facturación (epígrafe 8), que incluyen, entre otros, los detalles relativos al medio o a los medios de pago utilizados. |
288. |
Por consiguiente, considero que, al no garantizar la «despersonalización» mediante enmascaramiento de todos los datos del PNR que permiten identificar directamente a un pasajero, las partes contratantes no han efectuado una ponderación equilibrada de los objetivos perseguidos por el acuerdo previsto. |
289. |
Por último, en cuanto a las normas y procedimientos relativos al desenmascaramiento de los datos del PNR, interesa recordar que el artículo 16, apartado 4, del acuerdo previsto precisa que tal operación únicamente puede efectuarse si, sobre la base de la información disponible, resulta necesario para llevar a cabo investigaciones en el ámbito del artículo 3, o bien, hasta dos años después de la recepción inicial de los datos del PNR, por un número limitado de funcionarios expresamente autorizados, o bien, de dos a cinco años después de la recepción inicial, solo con el permiso previo del director de la autoridad canadiense competente, o de un alto funcionario específicamente autorizado por el director. |
290. |
Dejando a salvo las observaciones anteriormente formuladas en cuanto a los criterios objetivos que permiten determinar los funcionarios habilitados para acceder a los datos ( 108 ) y las que seguirán relativas a la supervisión de la autoridad canadiense competente por una autoridad pública independiente, ( 109 ) considero que, en sí, el artículo 16, apartado 4, del acuerdo previsto no excede de lo estrictamente necesario. |
– Sobre la divulgación y la transferencia posterior de los datos del PNR
291. |
Los artículos 12, 18 y 19 del acuerdo previsto afectan directamente a la divulgación de los datos del PNR. |
292. |
El artículo 12 del acuerdo previsto, titulado «acceso de las personas» parece a primera vista libre de toda crítica, puesto que tiene por objeto garantizar el acceso de cualquier persona a sus propios datos del PNR. |
293. |
El apartado 3 de dicho artículo me parece no obstante ampliar en exceso las posibilidades de acceso a los datos del PNR y a la información extraída de ellos, a cualquier persona, sin que se establezcan garantías concretas. El artículo 12, apartado 3, del acuerdo previsto confiere, en efecto, a Canadá el derecho a divulgar cualquier información, siempre que se someta «a requisitos y limitaciones legales razonables […], teniendo debidamente en cuenta los intereses legítimos de la persona interesada». Ahora bien, ni los destinatarios de esa «información» ni el uso que se haga de ella se restringen en el acuerdo previsto. Por lo tanto, resulta perfectamente posible que dicha información pueda comunicarse a cualquier persona física o jurídica, como, por ejemplo, una entidad bancaria, siempre que Canadá considere que la divulgación de tal información no excede de las limitaciones legales «razonables», que, por añadidura, no se definen en el acuerdo previsto. |
294. |
Habida cuenta principalmente del carácter particularmente vago y amplio de su redacción, el artículo 12, apartado 3, del acuerdo previsto me parece, pues, exceder de lo estrictamente necesario para realizar el objetivo de seguridad pública que persigue el acuerdo previsto. |
295. |
En cuanto a los artículos 18 y 19 del acuerdo previsto, se refieren, respectivamente, a la comunicación por la autoridad canadiense competente de datos del PNR a otras autoridades públicas de Canadá y a otras autoridades públicas de países que no son miembros de la Unión. |
296. |
Al igual que el Parlamento, considero que, en la medida en que el «nivel de protección adecuado», que se considera se ajusta al garantizado en Derecho de la Unión, únicamente se refiere al cumplimiento por la autoridad canadiense competente de las estipulaciones del acuerdo previsto, las partes contratantes deben garantizar que ese nivel de protección no pueda eludirse mediante la transferencia de datos personales a otras autoridades públicas canadienses o a terceros países. ( 110 ) |
297. |
Resulta innegable que los artículos 18 y 19 del acuerdo previsto supeditan la transferencia posterior de tales datos o de la información analítica que contenga datos del PNR a estrictos requisitos acumulativos, cuatro de los cuales son idénticos. Así, esos datos y esa información sólo se comunican si las autoridades públicas en cuestión poseen funciones directamente relacionadas con el ámbito de aplicación del artículo 3 del acuerdo previsto, únicamente caso por caso y siempre que con arreglo a circunstancias particulares la comunicación sea necesaria para los fines enunciados en el artículo 3. Además, se especifica que únicamente se comunicará la mínima cantidad de datos del PNR posible. ( 111 ) |
298. |
Las garantías ofrecidas por esas dos estipulaciones difieren sin embargo en cuanto a los demás requisitos. |
299. |
En primer lugar, mientras que según el artículo 18 del acuerdo previsto, las demás autoridades públicas canadienses receptoras de datos del PNR deben aplicar «unas salvaguardias equivalentes o comparables a las previstas en el [acuerdo]», el artículo 19, apartado 1, letra e), de dicho acuerdo declara que la autoridad canadiense competente «se asegurará» de que la autoridad extranjera destinataria aplique o bien normas de protección de los datos del PNR equivalentes a las establecidas en el acuerdo previsto, de conformidad con los acuerdos y las disposiciones que incorporan dichas normas, o bien las normas de protección de los datos del PNR que haya acordado con la Unión. |
300. |
En ambos supuestos, resulta claro que incumbe exclusivamente a la autoridad canadiense competente, la CBSA, verificar el carácter adecuado de la protección ofrecida por la autoridad pública destinataria. Ni el examen de la CBSA ni la decisión de divulgación de los datos del PNR eventualmente adoptada están sometidos a un control ex ante a cargo de una autoridad independiente o de un magistrado. Además, el acuerdo previsto no contempla en absoluto que la intención de transferir datos del PNR de un nacional de un Estado miembro de la Unión sea objeto, cuando menos, de una notificación previa a las autoridades competentes del Estado miembro en cuestión o a la Comisión antes de su comunicación efectiva. En efecto, el artículo 18 del acuerdo previsto guarda silencio sobre esta última posibilidad, mientras que el artículo 19, apartado 2, de éste únicamente contempla una notificación a posteriori«cuanto antes» a las autoridades competentes del Estado miembro de que se trate. |
301. |
Pues bien, las garantías adicionales evocadas en el punto anterior deberían, en mi opinión, estar aseguradas. |
302. |
Por una parte, un mero control a posteriori de la divulgación de esos datos no permitirá subsanar una apreciación errónea del nivel de protección ofrecido por la autoridad pública destinataria ni restaurar el carácter privado y confidencial de dichos datos una vez que hayan sido transmitidos a la autoridad pública destinataria y utilizados por ésta. ( 112 ) Esta conclusión es particularmente cierta en lo que respecta a la divulgación de datos a un país tercero, cuya utilización posterior escapará incluso a la competencia y al control ex post de las autoridades y órganos jurisdiccionales canadienses. |
303. |
Por otra parte, la notificación previa a la Comisión y a las autoridades competentes del Estado miembro del que sea nacional la persona cuyos datos del PNR hayan sido objeto de transferencia permitirá garantizar que el examen del «nivel de protección equivalente» se ha llevado a cabo. Además, desde otra perspectiva, tal notificación previa, habida cuenta de que la transferencia de datos del PNR en virtud de los artículos 18 y 19 del acuerdo previsto únicamente podrá realizarse en casos particulares y en circunstancias específicas debidamente motivadas y por tanto en situaciones en que quepa suponer que sobre la persona afectada pesan graves sospechas, puede contribuir a reforzar la cooperación entre las autoridades competentes de Canadá, de la Unión y de sus Estados miembros, en consonancia con el objetivo de prevención de delitos de terrorismo y delitos graves de carácter transnacional que persigue el acuerdo previsto. |
304. |
Seguidamente, procede señalar que el artículo 18, apartado 1, letra f), del acuerdo previsto prohíbe a la autoridad pública canadiense destinataria comunicar posteriormente los datos del PNR a otra entidad, a menos que haya sido autorizada para ello por la CBSA, respetando las condiciones establecidas en el mismo apartado. En cambio, el artículo 19 del acuerdo previsto no impone en absoluto a esta última autoridad cerciorarse previamente a cualquier transferencia de datos del PNR de que la autoridad pública destinataria de un país tercero no pueda a su vez comunicar posteriormente dichos datos a otra entidad, en su caso, de otro país tercero. |
305. |
Pues bien, al no poder excluirse el riesgo de que tal situación pudiera producirse, lo que tendría como efecto eludir el nivel garantizado por el Derecho de la Unión en materia de protección de los datos de carácter personal, procede observar que el artículo 19 del acuerdo previsto autoriza injerencias injustificadas en los derechos fundamentales garantizados por los artículos 7 y 8 de la Carta. ( 113 ) |
– Sobre las medidas de supervisión y de control administrativo y jurisdiccional
306. |
Exigido tanto por el artículo 8, apartado 3, de la Carta como por el artículo 16 TFUE, apartado 2, párrafo segundo, el control por una autoridad independiente constituye un elemento esencial del respeto a la protección de las personas físicas respecto del tratamiento de datos de carácter personal en la Unión. ( 114 ) |
307. |
Se desprende de las estipulaciones del acuerdo previsto que las partes contratantes son conscientes de esta exigencia, aun cuando, como expondré posteriormente, el acuerdo previsto no la cumple plenamente. |
308. |
Con el objetivo de asegurar que el nivel de protección ofrecido por la autoridad canadiense competente al tratar y utilizar datos del PNR sea, conforme al artículo 5 del acuerdo previsto, «adecuado, con arreglo a la correspondiente legislación de la [Unión] sobre protección de datos», aquélla debe atenerse a las medidas establecidas en el artículo 10 del acuerdo previsto, es decir, al control por una «autoridad de supervisión». Dicha autoridad debe disponer de «poderes efectivos para investigar el cumplimiento de las normas relativas a la recogida, utilización, comunicación, retención o eliminación de los datos del PNR». Tales poderes incluyen también los de revisar el cumplimiento, hacer recomendaciones a la autoridad canadiense competente y someter las violaciones de la ley relacionadas con el acuerdo previsto para su enjuiciamiento o acción disciplinaria. En virtud del artículo 14, apartado 1, del acuerdo previsto, la autoridad de supervisión recibe, investiga y da respuesta a las denuncias presentadas por cualquier persona en relación con su solicitud de acceso, corrección o rectificación de sus datos del PNR. |
309. |
De ello se desprende que la intención de las partes contratantes es efectivamente garantizar que el tratamiento de los datos personales efectuado por la CBSA esté sujeto a un mecanismo eficaz de detección y control de posibles infracciones de las normas del acuerdo previsto que asegure la protección de la vida privada y los datos personales de los pasajeros, con el fin de garantizar un nivel de protección que se pretende sea «sustancialmente equivalente» al nivel de que gozarían esas personas si sus datos fuesen tratados y conservados en el territorio de la Unión. |
310. |
Por consiguiente, el control por una autoridad independiente, exigido, entre otras disposiciones, por el artículo 8, apartado 3, de la Carta, se aplica plenamente en este caso. |
311. |
Ahora bien, la particularidad de la autoridad de supervisión establecida en el acuerdo previsto, que aviva las críticas del Parlamento y del SEPD en cuanto a su plena independencia, es que resulta ser bicéfala. El artículo 10 del acuerdo previsto presenta, en efecto, a dicha autoridad como o bien«una autoridad pública independiente»o bien«una autoridad administrativa que ejerza sus funciones de manera imparcial y que tenga un historial acreditado de autonomía». |
312. |
La primera de estas autoridades, como se desprende del escrito de 25 de junio de 2014 de la Representación permanente de Canadá ante la Unión Europea ( 115 ) y de las explicaciones de la Comisión durante el procedimiento ante el Tribunal de Justicia, designa al Comisario canadiense para la protección de la vida privada, cuyo estatuto, modo de designación, duración del mandato, de siete años improrrogables, y poderes de investigación, incluso por iniciativa propia, y de recomendación se precisan en la Ley canadiense de 1985 sobre protección de los datos personales. ( 116 ) Cabe señalar que ninguna de las partes interesadas ha puesto en duda el hecho de que el Comisario canadiense para la protección de la vida privada, que informa exclusivamente a las Cámaras del Parlamento canadiense, goza de una imparcialidad y una independencia que le permitan ejercer sus funciones sin estar sujeto a ninguna influencia o instrucción externas, en particular del Ejecutivo. ( 117 ) |
313. |
Se desprende de las explicaciones facilitadas al Tribunal de Justicia que, en virtud de la Ley sobre protección de los datos personales, las competencias del Comisario canadiense para la protección de la vida privada se extienden a las quejas de cualquier individuo contra una infracción de las normas sobre la vida privada y la protección de los datos personales por una institución pública federal de Canadá. |
314. |
No obstante, la formulación alternativa del artículo 10, apartado 1, del acuerdo previsto da a entender que el control ejercido sobre el tratamiento de los datos del PNR por la CBSA podría ser íntegramente asumido por la «autoridad administrativa que ejerza sus funciones de manera imparcial y que tenga un historial acreditado de autonomía», es decir, por la Dirección de recursos de la CBSA, que fue creada bajo el régimen del Acuerdo de 2006. |
315. |
Ahora bien, con independencia de las garantías indicadas en el escrito de 25 de junio de 2014 de la Representación permanente de Canadá ante la Unión Europea, según las cuales la Dirección de Recursos de la CBSA no recibirá instrucción alguna de los demás organismos operativos de ésta, aquélla sigue estando, como todos los demás organismos de la CBSA, directamente subordinada al Ministerio que la tutela, del que puede recibir instrucciones. ( 118 ) Al poder estar sujeta a influencias, en particular de carácter político, por parte de la autoridad que la tutela o en general del Ejecutivo, la Dirección de Recursos de la CBSA no puede considerarse una autoridad de control independiente en el sentido del artículo 8, apartado 3, de la Carta. |
316. |
Por consiguiente, en la medida en que el artículo 10 del acuerdo previsto dispone, en lo sustancial, que la autoridad de supervisión puede ser, alternativamente, o bien el Comisario canadiense para la protección de la vida privada, o bien la Dirección de recursos de la CBSA, dicha disposición no constituye una norma clara y precisa que garantice de forma sistemática un control por una autoridad independiente, en el sentido del artículo 8, apartado 3, de la Carta, del respecto de la vida privada y de la protección de los datos de carácter personal de los individuos afectados por el tratamiento de los datos del PNR contemplado en el acuerdo previsto. Corresponde a las partes contratantes disipar la ambigüedad resultante de la redacción del artículo 10, apartado 1, de dicho acuerdo y hacer que el control del respeto de los derechos fundamentales garantizados por los artículos 7 y 8 de la Carta se encomiende a una autoridad de control independiente en el sentido del apartado 3 de esta última disposición. |
317. |
En cuanto al artículo 14, apartado 1, del acuerdo previsto, relativo a los recursos administrativos, se desprende de las explicaciones de la Comisión que, en virtud de la Ley canadiense de 1985 sobre protección de los datos personales, el Comisario canadiense para la protección de la vida privada no es competente para conocer de las solicitudes de acceso a los datos del PNR, de corrección o de rectificación por parte de personas que no se encuentran en territorio canadiense, es decir, de las solicitudes formuladas por esas personas sobre la base de los artículos 12 y 13 del acuerdo previsto. |
318. |
Según las explicaciones facilitadas por la Comisión, la instrucción de las solicitudes de acceso, de corrección o de rectificación, así como las respuestas a tales solicitudes cuando sean presentadas por individuos que no se encuentren en Canadá, lo que significa indudablemente la mayoría de los ciudadanos de la Unión, incumbe a la Dirección de Recursos de la CBSA. |
319. |
En sus observaciones y en sus respuestas a las preguntas formuladas por el Tribunal de Justicia, la Comisión indicó que una persona cuya solicitud de acceso, de corrección o de rectificación de sus datos del PNR haya sido denegada por la Dirección de recursos de la CBSA podría presentar una queja ante el Comisario canadiense para la protección de la vida privada a través de un mandatario que se encontrase en territorio canadiense. |
320. |
La existencia de este recurso administrativo ante el Comisario canadiense para la protección de la vida privada no consta sin embargo en el acuerdo previsto ni se desprende de ninguna disposición de Derecho canadiense que haya sido puesta en conocimiento del Tribunal de Justicia. Si efectivamente existe, considero que esa posibilidad debería indicarse claramente en el acuerdo previsto, de forma que todos puedan conocer el alcance de los derechos procesales que les reconoce dicho texto. Si la existencia de esa posibilidad resulta ser, en definitiva, inexacta, el Comisario canadiense para la protección de la vida privada debería, a mi juicio, poder asumir directamente la responsabilidad de responder a cualquier solicitud de acceso, de corrección o de rectificación presentada por un particular que no se encuentre en territorio canadiense. En efecto, de contemplarse ninguna de estas opciones, no habría ninguna autoridad de control independiente que fuese competente para examinar ese tipo de solicitudes, pese a que se trata precisamente de solicitudes que serán exclusivamente formuladas por ciudadanos de la Unión con respecto a sus propios datos de carácter personal. La posibilidad de que se presente tal supuesto significaría, en mi opinión, que las partes contratantes no han efectuado una ponderación equilibrada entre los dos objetivos perseguidos por el acuerdo previsto. |
321. |
En cualquier caso, el artículo 14, apartado 1, del acuerdo previsto debería claramente precisar que las solicitudes de acceso, de corrección o de rectificación formuladas por pasajeros que no se encuentren en territorio canadiense pueden presentarse, o bien directamente, o bien por la vía de un recurso administrativo, ante una autoridad pública independiente. |
322. |
En cambio, y en un afán de exhaustividad, no me parecen fundadas las críticas expuestas por el Parlamento según las cuales el artículo 14, apartado 2, del acuerdo previsto podría infringir el artículo 47 de la Carta. |
323. |
El artículo 14, apartado 2, del acuerdo previsto dispone en efecto que Canadá velará por que toda persona que estime que sus derechos han sido violados por una decisión o una acción en relación con sus datos del PNR, pueda obtener reparación de conformidad con la legislación canadiense interponiendo un recurso jurisdiccional o cualquier otra acción que pueda dar lugar a una indemnización. |
324. |
Como ha alegado el Consejo, esta disposición garantiza que los particulares, independientemente de su nacionalidad, de su domicilio, o de que se encuentren o no en territorio canadiense, puedan disponer de una tutela judicial efectiva, en el sentido del artículo 47 de la Carta. El hecho de que el artículo 14, apartado 2, del acuerdo previsto establezca que la «reparación» pueda revestir la forma no sólo de un recurso jurisdiccional, sino también de una acción de indemnización da a entender que Canadá se compromete a garantizar que todas las personas afectadas puedan ejercer efectivamente un recurso. |
325. |
Añado que del artículo 14, apartado 1, del acuerdo previsto se desprende que la autoridad que haya denegado una solicitud de acceso, de corrección o de rectificación debe informar al denunciante las vías de recurso judicial contempladas en el apartado 2 de dicho artículo, lo que garantiza una información adecuada e individual de los ciudadanos de la Unión afectados. |
326. |
Contrariamente a lo que insinúa el Parlamento en referencia al apartado 95 de la sentencia de 6 de octubre de 2015, Schrems (C‑362/14, EU:C:2015:650), tal situación no es comparable a la que condujo al Tribunal de Justicia a declarar, en dicho asunto, que se había vulnerado el contenido esencial del derecho fundamental a la tutela judicial efectiva. En efecto, en dicho asunto se trataba de la normativa de un país tercero, con respecto a la cual la Comisión había considerado que garantizaba un nivel de protección de los derechos fundamentales adecuado, pero que, a la vista de la información obtenida posteriormente, no preveía ninguna posibilidad para el justiciable de ejercitar un recurso para acceder a sus propios datos personales o hacer que se rectificasen o se suprimiesen tales datos. |
327. |
El acuerdo previsto, que constituye un compromiso internacional para Canadá, sí obliga a dicho Estado a garantizar que tales recursos se establezcan y sean efectivos. Por ello, y habida cuenta de la naturaleza preventiva del procedimiento de dictamen, esta constatación es suficiente, a mi entender, para concluir que el artículo 14, apartado 2, del acuerdo previsto es compatible con el artículo 47 de la Carta. ( 119 ) |
VIII. Conclusión
328. |
Habida cuenta de todo lo anterior, propongo al Tribunal de Justicia que responda a la solicitud de dictamen del Parlamento del siguiente modo:
|
( 1 ) Lengua original: francés.
( 2 ) Propuesta de Decisión del Consejo sobre la celebración del Acuerdo entre Canadá y la Unión Europea sobre el tratamiento y la transferencia de datos del registro de nombres de los pasajeros, COM(2013) 528 final.
( 3 ) Véase la Decisión 2012/381/UE del Consejo, de 13 de diciembre de 2011, relativa a la celebración del Acuerdo entre la Unión Europea y Australia sobre el tratamiento y la transferencia de datos del registro de nombres de los pasajeros (PNR) por los transportistas aéreos al Servicio de Aduanas y de Protección de las Fronteras de Australia (DO 2012, L 186, p. 3).
( 4 ) Véase la Decisión 2012/472/UE del Consejo, de 26 de abril de 2012, relativa a la celebración del Acuerdo entre los Estados Unidos de América y la Unión Europea sobre la utilización y la transferencia de los registros de nombres de los pasajeros al Departamento de Seguridad del Territorio Nacional de los Estados Unidos (DO 2012, L 215, p. 4).
( 5 ) Véase la Posición del Parlamento Europeo aprobada en primera lectura el 14 de abril de 2016 con vistas a la adopción de la Directiva (UE) 2016/... del Parlamento Europeo y del Consejo relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave [EP-PETC1-COD(2011)0023].
( 6 ) Véanse los puntos 66 a 135 de las presentes conclusiones. Cabe señalar que, tras la resolución del Tribunal de Justicia, será también la primera vez que ésta cuente con «conclusiones», presentadas y publicadas antes de que el Tribunal de Justicia emita su dictamen.
( 7 ) Véase la Decisión 2006/230/CE del Consejo, de 18 de julio de 2005, relativa a la celebración de un Acuerdo entre la Comunidad Europea y el Gobierno de Canadá sobre el tratamiento de datos API/PNR (DO 2006, L 82, p. 14).
( 8 ) Directiva del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31).
( 9 ) Decisión de la Comisión, de 6 de septiembre de 2005, relativa al carácter adecuado de la protección de los datos personales incluidos en los registros de nombres de los pasajeros (Passenger Name Records, PNR) que se transfieren a la Canada Border Services Agency (Agencia de Servicios de Fronteras de Canadá) (DO 2006, L 91, p. 49).
( 10 ) En virtud de su artículo 7, la Decisión 2006/253 expiró tres años y seis meses después de la fecha de su notificación. Podría haber sido prorrogada con arreglo al procedimiento previsto en el artículo 31, apartado 2, de la Directiva 95/46, lo que sin embargo no sucedió.
( 11 ) Véase el artículo 5 del Acuerdo de 2006.
( 12 ) DO 2011, C 81 E, p. 70.
( 13 ) Véanse los apartados 7 y 9 de la Resolución.
( 14 ) SEC(2010) 1082, SEC(2010) 1083 y SEC(2010) 1084, respectivamente.
( 15 ) Véanse las notas 3 y 4 de las presentes conclusiones, respectivamente.
( 16 ) El texto completo del dictamen del SEPD en inglés, francés y alemán está disponible en la siguiente dirección de Internet: https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2013/13-09-30_Canada_FR.pdf
( 17 ) Aunque no haya controversia alguna sobre este extremo, quiero precisar, por si fuera necesario, que el objeto de la solicitud de dictamen es un «acuerdo previsto» en el sentido del artículo 218 TFUE, apartado 11, puesto que el acuerdo aquí enjuiciado, si bien ya había sido firmado por el Consejo antes de solicitar el dictamen del Tribunal de Justicia, aún no se ha celebrado: véase, a este respecto, el dictamen 3/94, de 13 de diciembre de 1995 (EU:C:1995:436), apartados 18 y 19.
( 18 ) Véanse, en particular, los dictámenes 1/75, de 11 de noviembre de 1975 (EU:C:1975:145), 1/08, de 30 de noviembre de 2009 (EU:C:2009:739), apartados 108 y 109, y 1/13, de 14 de octubre de 2014 (EU:C:2014:2303), apartado 43.
( 19 ) Sin que haya controversia sobre este punto, añado, por si fuera necesario, que el Tribunal de Justicia ya ha declarado que el hecho de que el acto de la firma del acuerdo no haya sido objeto de un recurso de anulación no determina la inadmisibilidad de una solicitud de dictamen que plantee la cuestión de la compatibilidad de un acuerdo previsto con el Derecho primario de la Unión. Véase, en este sentido, el dictamen 2/00, de 6 de diciembre de 2001 (EU:C:2001:664), apartado 11.
( 20 ) Véanse el dictamen de 2/00, de 6 de diciembre de 2001 (EU:C:2001:664), y el dictamen 1/08, de 30 de noviembre de 2009 (EU:C:2009:739).
( 21 ) Dictamen 2/00, de 6 de diciembre de 2001 (EU:C:2001:664), apartado 5, y dictamen 1/08, de 30 de noviembre de 2009 (EU:C:2009:739), apartado 110.
( 22 ) Véanse, en este sentido, el dictamen 2/00, de 6 de diciembre de 2001 (EU:C:2001:664), apartado 5, y el dictamen 1/08, de 30 de noviembre de 2009 (EU:C:2009:739), apartado 110.
( 23 ) Véase, en este sentido, el dictamen 2/00, de 6 de diciembre de 2001 (EU:C:2001:664), apartado 6.
( 24 ) Véase el dictamen 1/75, de 11 de noviembre de 1975 (EU:C:1975:145) p. 1362.
( 25 ) Véase la sentencia de 11 de junio de 2014, Comisión/Consejo (C‑377/12, EU:C:2014:1903), apartado 34 y jurisprudencia citada.
( 26 ) Véanse, en particular, las sentencias de 6 de noviembre de 2008, Parlamento/Consejo (C‑155/07, EU:C:2008:605), apartado 36, de 19 de julio de 2012, Parlamento/Consejo (C‑130/10, EU:C:2012:472), apartado 44, y de 24 de junio de 2014, Parlamento/Consejo (C‑658/11, EU:C:2014:2025), apartado 43. Es de señalar que, en este punto, la jurisprudencia del Tribunal de Justicia no parece totalmente uniforme, puesto que algunas sentencias se limitan, curiosamente, a mencionar la persecución de varios objetivos vinculados de manera inseparable sin hacer referencia a los componentes del acto examinado. Véanse, por ejemplo, las sentencias de 29 de abril de 2004, Comisión/Consejo (C‑338/01, EU:C:2004:253), apartado 56, y de 11 de junio de 2014, Comisión/Consejo (C‑377/12, EU:C:2014:1903), apartado 34.
( 27 ) Véanse, en particular, las sentencias de 6 de noviembre de 2008, Parlamento/Consejo (C‑155/07, EU:C:2008:605), apartados 76 a 79, y de 19 de julio de 2012, Parlamento/Consejo (C‑130/10, EU:C:2012:472), apartados 45 a 49.
( 28 ) La base jurídica procedimental elegida, el artículo 218 TFUE, apartado 6, letra a), inciso v), que exige que el Consejo no pueda adoptar la decisión de celebración de un acuerdo internacional sin la previa aprobación del Parlamento cuando dicho acuerdo se refiera a «ámbitos a los que se aplique el procedimiento legislativo ordinario […]» no es objeto de la solicitud presentada por el Parlamento y no es objeto de controversia entre las partes interesadas. Esta disposición parece en efecto la base jurídica procedimental adecuada del acto de conclusión del acuerdo previsto.
( 29 ) Véase la sentencia de 30 de mayo de 2006, Parlamento/Consejo y Comisión (C‑317/04 y C‑318/04, EU:C:2006:346), apartados 57 a 59.
( 30 ) DO 2011, L 288, p. 1.
( 31 ) Sentencia de 6 de mayo de 2014, Comisión/Parlamento y Consejo (C‑43/12, EU:C:2014:298), apartado 42.
( 32 ) Según la segunda frase de este artículo del acuerdo previsto, «se considerará que las compañías que han suministrado los datos del PNR a Canadá en cumplimiento del presente Acuerdo, han cumplido los requisitos legales aplicables en la Unión Europea para la transmisión de datos del PNR de la Unión Europea a Canadá».
( 33 ) El artículo 20 del acuerdo previsto precisa que las partes contratantes «deberán garantizar que los transportistas aéreos transfieren a la autoridad canadiense competente los datos del PNR exclusivamente mediante el método “push” […]» (el subrayado es mío).
( 34 ) El artículo 21, apartado 1, del acuerdo previsto, relativo a la frecuencia de la transmisión de datos del PNR estipula que «Canadá garantizará que la autoridad canadiense competente exija que los transportistas aéreos transfieran los datos del PNR […]» (el subrayado es mío).
( 35 ) Véase el punto 21 de las presentes conclusiones.
( 36 ) Véanse, asimismo, en sentido análogo, las conclusiones de la Abogado General Kokott en el asunto Parlamento/Consejo (C‑263/14, EU:C:2015:729), punto 67.
( 37 ) Véase la sentencia de 6 de mayo de 2014, Comisión/Parlamento y Consejo (C‑43/12, EU:C:2014:298), apartados 48 y 49.
( 38 ) Véase, por analogía, la sentencia de 30 de mayo de 2006, Parlamento/Consejo y Comisión (C‑317/04 y C‑318/04, EU:C:2006:346), apartado 56.
( 39 ) El artículo 23, apartado 2, del acuerdo previsto confirma la importancia concedida a la seguridad de los ciudadanos de la Unión subrayando que las partes contratantes cooperarán en aras de la coherencia de sus regímenes de tratamiento de datos del PNR, «reforzando de este modo la seguridad de los ciudadanos de Canadá [y] de la Unión Europea».
( 40 ) Véase, en este sentido, por analogía, la sentencia de 30 de mayo de 2006, Parlamento/Consejo y Comisión (C‑317/04 y C‑318/04, EU:C:2006:346), apartado 59.
( 41 ) Véase, en este sentido, la sentencia de 10 de febrero de 2009, Irlanda/Parlamento y Consejo (C‑301/06, EU:C:2009:68), apartado 83.
( 42 ) El subrayado es mío.
( 43 ) Véanse los preámbulos de la Decisión 2012/381 y de la Decisión 2012/472, citadas en las notas 3 y 4, respectivamente, de las presentes conclusiones.
( 44 ) Véanse, entre otras, las sentencias de 10 de enero de 2006, Comisión/Consejo (C‑94/03, EU:C:2006:2), apartado 50, de 24 de junio de 2014, Parlamento/Consejo (C‑658/11, EU:C:2014:2025), apartado 48, y de 18 de diciembre de 2014, Reino Unido/Consejo (C‑81/13, EU:C:2014:2449), apartado 36.
( 45 ) DO 2008, L 350, p. 60.
( 46 ) Véanse las conclusiones del Abogado General Léger de 22 de noviembre de 2005 en los asuntos Parlamento/Consejo y Comisión (C‑317/04 y C‑318/04, EU:C:2005:710), punto 160.
( 47 ) Véase la sentencia de 6 de octubre de 2015, Schrems (C‑362/14, EU:C:2015:650), apartados 28 y 45 y jurisprudencia citada.
( 48 ) Véase la jurisprudencia citada en la nota 27 de las presentes conclusiones.
( 49 ) Así, durante la vista, en respuesta a una serie de preguntas formuladas por el Tribunal de Justicia, el representante del Consejo admitió que los tres Estados miembros en cuestión no podrían votar sobre la adopción de un acto que no sería vinculante para ellos. Por otra parte, encuentro incoherente por parte de dicha institución defender, como he puesto de manifiesto anteriormente, la inadmisibilidad de la segunda pregunta de la solicitud de dictamen alegando que la elección del artículo 16 TFUE como base jurídica material del acto de celebración del acuerdo previsto no tendría repercusión alguna puesto que el procedimiento de adopción de las medidas basadas en dicha disposición es idéntico a los previstos por los artículos 82 TFUE, apartado 1, letra a), y 87 TFUE, apartado 2, letra d), y sostener, en lo que respecta al examen del fondo de esta cuestión, la incompatibilidad de esos mismos procedimientos.
( 50 ) Véanse las sentencias de 22 de octubre de 2013, Comisión/Consejo (C‑137/12, EU:C:2013:675), apartado 73, y de 18 de diciembre de 2014, Reino Unido/Consejo (C‑81/13, EU:C:2014:2449), apartado 37.
( 51 ) Véase la sentencia de 29 de julio de 2012, Parlamento/Consejo (C‑130/10, EU:C:2012:472), apartado 80.
( 52 ) Sobre este último artículo, véase la nota 28 de las presentes conclusiones.
( 53 ) El Parlamento establece, en este aspecto, un paralelismo con el enfoque adoptado en la sentencia de 8 de abril de 2014, Digital Rights Ireland y otros (C‑293/12 y C‑594/12, EU:C:2014:238), apartado 37.
( 54 ) TEDH, sentencia de 1 de julio de 2008, Liberty y otros c. Reino Unido (CE:ECHR:2008:0701JUD005824300), apartado 63.
( 55 ) Expresiones utilizadas por Irlanda y el Gobierno del Reino Unido, respectivamente, en sus respuestas a las preguntas escritas formuladas por el Tribunal de Justicia.
( 56 ) Asimismo, la comprobación del grado de independencia de la «autoridad de supervisión» establecida por el acuerdo previsto exige tomar en consideración la normativa canadiense. Véanse los puntos 311 a 316 de las presentes conclusiones.
( 57 ) Recordemos que, con arreglo al artículo 6 TUE, apartado 1, la Carta posee «el mismo valor jurídico que los Tratados».
( 58 ) Véanse, respecto a este criterio de aplicación de los artículos 7 y 8 de la Carta, las sentencias de 9 de noviembre de 2010, Volker und Markus Schecke y Eifert (C‑92/09 y C‑93/09, EU:C:2010:662), apartado 52, de 24 de noviembre de 2011, Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 y C‑469/10, EU:C:2011:777), apartado 42, y de 17 de octubre de 2013, Schwarz (C‑291/12, EU:C:2013:670), apartado 26.
( 59 ) Véanse, en particular, la sentencia de 9 de noviembre de 2010, Volker und Markus Schecke y Eifert (C‑92/09 y C‑93/09, EU:C:2010:662), apartado 47, y de 24 de noviembre de 2011, Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 y C‑469/10, EU:C:2011:777), apartado 41.
( 60 ) Según las explicaciones relativas a la Carta de los Derechos Fundamentales (DO 2007, C 303, p. 17), los derechos garantizados por el artículo 7 de la Carta «corresponden» a los que garantiza el artículo 8 del CEDH, mientras que el artículo 8 de la Carta está «basado» tanto en el artículo 8 del CEDH como en el Convenio (n.o 108) del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, de 28 de enero de 1981, ratificado por todos los Estados miembros.
( 61 ) Sentencia de 20 de mayo de 2003, Österreichischer Rundfunk y otros (C‑465/00, C‑138/01 y, EU:C:2003:294), apartado 74.
( 62 ) Sentencia de 8 de abril de 2014, Digital Rights Ireland y otros (C‑293/12 y C‑594/12, EU:C:2014:238), apartados 34 y 35.
( 63 ) Sentencia de 8 de abril de 2014, Digital Rights Ireland y otros (C‑293/12 y C‑594/12, EU:C:2014:238), apartados 29 y 36.
( 64 ) Véase, en ese sentido, la sentencia de 3 de septiembre de 2008, Kadi y Al Barakaat International Foundation/Consejo y Comisión (C‑402/05 P y C‑415/05 P, EU:C:2008:461), apartados 284 y 285.
( 65 ) Véanse, en este sentido, las sentencias de 20 de mayo de 2003, Österreichischer Rundfunk y otros (C‑465/00, C‑138/01 y C‑139/01, EU:C:2003:294), apartado 75; de 8 de abril de 2014, Digital Rights Ireland y otros (C‑293/12 y C‑594/12, EU:C:2014:238), apartado 33, y de 6 de octubre de 2015, Schrems (C‑362/14, EU:C:2015:650), apartado 87.
( 66 ) Véanse, en este sentido, las sentencias de 20 de mayo de 2003, Österreichischer Rundfunk y otros (C‑465/00, C‑138/01 y C‑139/01, EU:C:2003:294), apartado 75; de 8 de abril de 2014, Digital Rights Ireland y otros (C‑293/12 y C‑594/12, EU:C:2014:238), apartado 33, y de 6 de octubre de 2015, Schrems (C‑362/14, EU:C:2015:650), apartado 87.
( 67 ) Según los datos facilitados al Tribunal de Justicia, entre abril de 2014 y marzo de 2015, 28 millones de pasajeros utilizaron conexiones aéreas entre Canadá y la Unión Europea.
( 68 ) Téngase en cuenta que, en la sentencia de 8 de abril de 2014, Digital Rights Ireland y otros (C‑293/12 y C‑594/12, EU:C:2014:238), apartado 37, el Tribunal de Justicia consideró que las impresiones o sensaciones generadas en el público afectado por una normativa relativa al tratamiento y la conservación de datos de carácter personal tenían cierta importancia a la hora de apreciar la gravedad de la injerencia en los derechos fundamentales garantizados por los artículos 7 y 8, apartado 1, de la Carta.
( 69 ) Como ya se ha señalado, el artículo 11, apartado 1, del acuerdo previsto únicamente hace referencia a información expuesta en el sitio web de la autoridad canadiense competente, mientras que su apartado 2 menciona una obligación relativamente vaga de colaborar para fomentar la transparencia, preferiblemente en el momento de la reserva, consistente en informar a los pasajeros, entre otros extremos, de las razones de la recogida y la utilización de los datos del PNR.
( 70 ) Véanse, en particular, TEDH, sentencias de 24 de abril de 1990, Kruslin c. Francia (CE:ECHR:1990:0424JUD001180185), apartado 27, y de 1 de julio de 2008, Liberty y otros c. Reino Unido (CE:ECHR:2008:0701JUD005824300), apartado 59.
( 71 ) Véase TEDH, sentencia de 1 de diciembre de 2015, Brito Ferrinho Bexiga Villa‑Nova c. Portugal (CE:ECHR:2015:1201JUD006943610), apartado 47.
( 72 ) Véase TEDH, sentencia de 2 de agosto de 1984, Malone c. Reino Unido (CE:ECHR:0802JUD000869179), apartado 66.
( 73 ) Véanse TEDH, sentencias de 6 de julio de 2010, Neulinger y Shuruk c. Suiza (CE:ECHR:2010:0706JUD004161507), apartado 99, y de 12 de junio de 2014, Fernández Martínez c. España (CE:ECHR:2014:0612JUD005603007), apartado 118.
( 74 ) Sentencia de 9 de noviembre de 2010, Volker und Markus Schecke y Eifert (C‑92/09 y C‑93/09, EU:C:2010:662), apartado 66.
( 75 ) Sentencia de 17 de octubre de 2013, Schwarz (C‑291/12, EU:C:2013:670), apartado 35.
( 76 ) Véanse, en particular, las sentencias de 3 de junio de 2008, Intertanko y otros (C‑308/06, EU:C:2008:312), apartado 42, y de 13 de enero de 2015, Consejo y otros/Vereniging Milieudefensie y Stichting Stop Luchtverontreiniging Utrecht (C‑401/12 P a C‑403/12 P, EU:C:2015:4), apartado 52.
( 77 ) Véase, en particular, en este sentido, TEDH, sentencia de 12 de junio de 2014, Fernández Martínez c. España (CE:ECHR:2014:0612JUD005603007), apartado 117 y jurisprudencia citada.
( 78 ) Véanse, de forma general, las consideraciones expuestas en los puntos 217 a 320 de las presentes conclusiones.
( 79 ) Véase la sentencia de 8 de abril de 2014, Digital Rights Ireland y otros (C‑293/12 y C‑594/12, EU:C:2014:238), apartado 42.
( 80 ) Véanse, en particular, las sentencias de 9 de noviembre de 2010, Volker und Markus Schecke y Eifert (C‑92/09 y C‑93/09, EU:C:2010:662), apartado 74, y de 8 de abril de 2014, Digital Rights Ireland y otros (C‑293/12 y C‑594/12, EU:C:2014:238), apartado 46.
( 81 ) Véase la sentencia de 8 de abril de 2014, Digital Rights Ireland (C‑293/12 y C‑594/12, EU:C:2014:238), apartado 48.
( 82 ) Véase la sentencia de 6 de octubre de 2015, Schrems (C‑362/14, EU:C:2015:650), apartado 78.
( 83 ) Véase, por analogía, la sentencia de 8 de abril de 2014, Digital Rights Ireland y otros (C‑293/12 y C‑594/12, EU:C:2014:238), apartado 49.
( 84 ) Según las partes interesadas, únicamente Air Canada opera líneas aéreas entre Dinamarca y Canadá.
( 85 ) El Reino de Dinamarca no participa en el acuerdo previsto, por lo que, a efectos de éste, debe considerarse un país tercero, rigiéndose las relaciones de cooperación entre las autoridades competentes canadienses y sus propias autoridades por el artículo 19 del acuerdo previsto.
( 86 ) Véase, en este sentido, por analogía, la sentencia de 9 de noviembre de 2010, Volker und Markus Schecke y Eifert (C‑92/09 et C‑93/09, EU:C:2010:662), apartado 77.
( 87 ) Véanse, en este sentido, las sentencias de 8 de abril de 2014, Digital Rights Ireland y otros (C‑293/12 y C‑594/12, EU:C:2014:238), apartado 54, y de 6 de octubre de 2015, Schrems (C‑362/14, EU:C:2015:650), apartado 91.
( 88 ) Véanse, en este sentido, las sentencias de 9 de noviembre de 2010, Volker und Markus Schecke y Eifert (C‑92/09 y C‑93/09, EU:C:2010:662), apartado 86, y de 17 de octubre de 2013, Schwarz (C‑291/12, EU:C:2013:670), apartado 46.
( 89 ) Véase, en este sentido, la sentencia de 17 de octubre de 2013, Schwarz (C‑291/12, EU:C:2013:670), apartado 53.
( 90 ) Véase el documento 9944, aprobado por el Secretario General de la OACI y publicado bajo su autoridad. La versión en inglés de dicho documento está disponible en la siguiente dirección de Internet: www.iata.org/iata/passenger-data-toolkit/assets/doc_library/04-pnr/New Doc 9944 1st Edition PNR.pdf
( 91 ) Véase, a este respecto, el punto 3.8 de las Guidelines on Advance Passenger Information (API) adoptadas en 2010 bajo los auspicios de la Organización Mundial de Aduanas, de la Asociación Internacional del Transporte Aéreo y de la OACI, disponibles en la siguiente dirección de Internet: http://www.icao.int/Security/FAL/Documents/2010 %20API %20Guidelines %20Final %20Version.ICAO.2011 %20full %20x2.pdf. En la Unión, la recogida de los datos del PNR se rige por la Directiva 2004/82/CE del Consejo, de 29 de abril de 2004, sobre la obligación de los transportistas de comunicar los datos de las personas transportadas (DO 2004, L 261, p. 24).
( 92 ) Véase, en particular, la información que figura en el sitio web del Ministerio de ciudadanía e inmigración canadiense (Citizenship and Immigration Canada): www.cic.gc.ca/francais/visiter/demande-qui.asp
( 93 ) DO 2006, L 105, p. 54.
( 94 ) Véase el punto 236 de las presentes conclusiones.
( 95 ) Examinaré las dos últimas disposiciones con más detalle posteriormente. Véanse los puntos 292 a 294 y 274 a 290 de las presentes conclusiones, respectivamente.
( 96 ) Sobre el artículo 18 del acuerdo previsto, véanse los puntos 295 a 304 de las presentes conclusiones.
( 97 ) En el contexto de la aplicación del artículo 8 del CEDH, el TEDH adopta el criterio de la existencia de una «sospecha razonable» que pueda justificar la intercepción de las comunicaciones privadas de las personas por motivos relacionados con la salvaguardia de la seguridad pública. Véase, a ese respecto, TEDH, sentencia de 4 de diciembre de 2015, Zakharov c. Rusia (CE:ECHR:2015:1204JUD004714306), apartado 260.
( 98 ) Véanse, acerca de esta autoridad, los puntos 311 a 313 de las presentes conclusiones.
( 99 ) Sobre esta autoridad, véanse los puntos 311 a 313 de las presentes conclusiones.
( 100 ) Véase TEDH, sentencia de 12 de enero de 2016, Szabó y Vissy c. Hungría (CE:ECHR:2016:0112JUD003713814), apartado 77 y jurisprudencia citada.
( 101 ) Véanse los puntos 306 a 321 de las presentes conclusiones.
( 102 ) Sentencia de 8 de abril de 2014, Digital Rights Ireland y otros (C‑293/12 y C‑594/12, EU:C:2014:238), apartado 68.
( 103 ) Sentencia de 8 de abril de 2014, Digital Rights Ireland y otros (C‑293/12 y C‑594/12, EU:C:2014:238), apartados 62 a 64.
( 104 ) Véanse, más adelante, los puntos 306 a 316 de las presentes conclusiones.
( 105 ) Obsérvese sin embargo que el artículo 16, apartado 5, letra b), del acuerdo previsto dispone que la conservación puede prolongarse «por un período adicional de dos años solamente para garantizar la supervisión o determinación de responsabilidad de la administración pública a fin de que puedan revelarse a los pasajeros en caso de que lo soliciten». Esta ampliación del período de conservación, que no ha suscitado observaciones de las partes interesadas, no parece plantear, como tal, problemas particulares, puesto que tiene exclusivamente por objeto proteger los derechos de los pasajeros afectados por el tratamiento de sus datos del PNR.
( 106 ) Véase el punto 224 de las presentes conclusiones.
( 107 ) A saber, respectivamente, «otros nombres recogidos en el PNR, incluido el número de viajeros del PNR», «toda la información de contacto disponible (incluida la información del expedidor)», las «observaciones generales, incluida otra información adicional (OSI), la información sobre servicios especiales (SSI) y la información sobre servicios especiales solicitados (SSR), en la medida en que incluyan cualquier información que permita identificar a una persona física » y «cualquier dato del sistema de información anticipada sobre los pasajeros (sistema API), en la medida en que incluya información que permita identificar a una persona física».
( 108 ) Véase el punto 267 de las presentes conclusiones.
( 109 ) Véanse los puntos 306 a 316 de las presentes conclusiones.
( 110 ) Véase, por analogía, la sentencia de 6 de octubre de 2015, Schrems (C‑362/14, EU:C:2015:650), apartado 73.
( 111 ) Véanse, respectivamente, el artículo 18, apartado 1, letras a) a d), y el artículo 19, apartado 1, letras a) a d), del acuerdo previsto. Se desprende del artículo 18, apartado 2, y del artículo 19, apartado 3, del acuerdo previsto que las garantías establecidas por dichas disposiciones se aplican también a la información analítica que contenga datos del PNR.
( 112 ) Véase, por analogía, TEDH, sentencia de 12 de enero de 2016, Szabó et Vissy c. Hungría, (CE:ECHR:2016:0112JUD003713814), apartado 77.
( 113 ) Cabe señalar que el artículo 19, apartado 1, letra h), del acuerdo sobre el PNR celebrado con Australia estipula que la transferencia caso por caso de datos del PNR a una autoridad de un país tercero únicamente puede efectuarse si el servicio australiano de aduanas y de protección de fronteras ha podido asegurarse de que la autoridad destinataria ha aceptado no transferir posteriormente los datos del PNR.
( 114 ) Véanse, en este sentido, las sentencias de 16 de octubre de 2012, Comisión/Austria (C‑614/10, EU:C:2012:631), apartados 36 y 37, de 8 de abril de 2014, Comisión/Hungría (C‑288/12, EU:C:2014:237), apartados 47 y 48, y de 6 de octubre de 2015, Schrems (C‑362/14, EU:C:2015:650), apartado 41.
( 115 ) Este escrito constituye, conforme al artículo 30, apartado 2, letra b), del acuerdo previsto, la notificación por vía diplomática de la identidad de las dos autoridades a que se refieren los artículos 10 y 14, apartado 1, de dicho acuerdo.
( 116 ) L.R.C., 1985, ch. P-21. La versión consolidada de dicha Ley, actualizada a 16 de marzo de 2016, está disponible en el sitio web del Ministerio de Justicia canadiense: http://lois-laws.justice.gc.ca.
( 117 ) En el contexto de la aplicación del artículo 8 del CEDH, el TEDH insiste sobre la independencia de que debe gozar la autoridad de control frente al Ejecutivo: véase, a propósito del control de las intercepciones de comunicaciones privadas, TEDH, sentencia de 4 de diciembre de 2015, Zakharov c. Rusia (CE:ECHR:2015:1204JUD004714306), puntos 278 y 279.
( 118 ) Se desprende así de las disposiciones de la Ley sobre sobre la Agencia de servicios fronterizos de Canadá (L.C 2005, ch. 38), que el Ministro es responsable de la CBSA (artículo 6, apartado 1), que el Presidente de la CBSA se encarga de su gestión «bajo la dirección del Ministro» (artículo 8, apartado 1) y que la CBSA ejerce las competencias relativas a la normativa en materia de fronteras conferidas por la ley «sin perjuicio de las instrucciones que pueda dar el Ministro» (artículo 12, apartado 1). Ninguna disposición de la citada Ley menciona a la Dirección de recursos de la CBSA ni, a fortiori, le atribuye un estatuto especial dentro de la CBSA. El texto de la Ley, actualizado a 16 de marzo de 2016, puede consultarse en el sitio web del Ministerio de Justicia canadiense: http://lois‑laws.justice.gc.ca
( 119 ) Añadiré que, una vez celebrado el acuerdo previsto, el artículo 26 del mismo contempla una revisión conjunta de su ejecución un año después de su entrada en vigor y, posteriormente, a intervalos regulares, y, en cualquier caso, a los cuatro años de su entrada en vigor. Si la ejecución del artículo 14, apartado 2, del acuerdo plantease dificultades, éstas podrían ser evaluadas por las partes contratantes y, en su caso, resueltas con arreglo al artículo 25, apartado 1, de dicho acuerdo o, de lo contrario, podrían conducir a la Unión a suspender la aplicación del acuerdo, de conformidad con el procedimiento previsto en el artículo 25, apartado 2, del acuerdo previsto. Por otra parte, una vez incorporado el acuerdo previsto al ordenamiento jurídico de la Unión, ninguno de estos procedimientos afectaría, en mi opinión, a la posibilidad de que un órgano jurisdiccional nacional de un Estado miembro que conociese de un litigio relativo a la aplicación de dicho acuerdo, plantease ante el Tribunal de Justicia una cuestión prejudicial de validez de la decisión de celebración de dicho acuerdo, a la luz del artículo 5 de éste y de las circunstancias sobrevenidas con posterioridad a dicha decisión, por analogía con lo que admitió el Tribunal de Justicia en el apartado 77 de la sentencia de 6 de octubre de 2015, Schrems (C‑362/14, EU:C:2015:650) con respecto al examen de la validez de una decisión de adecuación de la Comisión. La cuestión de cuál sería la influencia del dictamen que el Tribunal de Justicia emitirá en el presente asunto sobre la respuesta que hubiere de darse a esa cuestión prejudicial de validez rebasa el ámbito de las presentes conclusiones.