|
20.3.2004 |
ES |
Diario Oficial de la Unión Europea |
CE 70/157 |
(2004/C 70 E/164)
PREGUNTA ESCRITA P-2893/03
de Ole Krarup (GUE/NGL) a la Comisión
(23 de septiembre de 2003)
Asunto: Violación de las normas de protección de datos
¿Podría decirnos la Comisión exactamente qué partes de las normas comunitarias en materia de protección de datos se están vulnerando a raíz de la petición cursada por los Estados Unidos a las compañías aéreas para que se les transmitan los datos personales de los pasajeros de vuelos transatlánticos?
¿Podría decirnos la Comisión cuándo y de qué forma se pondrá fin a esta práctica?
Respuesta del Sr. Bolkestein en nombre de la Comisión
(6 de noviembre de 2003)
En primer lugar, es necesario mencionar que la Directiva 95/46/CE sobre protección de datos (1) no se aplica al tratamiento de datos en el ámbito de la seguridad pública, la defensa, la seguridad del Estado y las actividades del Estado en el ámbito penal, como el tratamiento de datos personales realizado directamente por la policía. Cuando el tratamiento de datos personales está comprendido en dichos ámbitos de aplicación, como en el caso del tratamiento de los nombres de los pasajeros registrados por las compañías aéreas y por los sistemas de reserva informáticos, la Directiva sobre protección de datos impone a los Estados miembros la obligación de adoptar medidas de aplicación que deben cumplir determinadas condiciones, incluidos los principios relativos a que los datos deben ser tratados de manera leal y lícita, y a que la transferencia de datos personales a un tercer país únicamente puede efectuarse cuando el tercer país de que se trate garantice un nivel de protección adecuado. Protección «adecuada» significa que se aplican diversos principios de protección de datos y que existen suficientes mecanismos en el país de destino para garantizar el respeto de dichos principios. La Directiva prevé diversas excepciones, por ejemplo, puede efectuarse la transferencia de datos cuando sea legalmente exigida para la salvaguardia de un interés público importante. Dicha obligación jurídica puede derivarse de la legislación nacional o de un acuerdo internacional. Asimismo, tales instrumentos jurídicos pueden autorizar excepciones que limiten el ámbito de aplicación de determinados derechos y obligaciones previstos en la Directiva, en particular el principio de que los datos deben ser utilizados con fines compatibles con los que se recogieron. En estos casos, es necesario adoptar medidas legislativas. Asimismo, dicha limitación debe constituir una medida necesaria para salvaguardar intereses públicos importantes (tales como la seguridad del Estado, la seguridad pública, la prevención, investigación, detección y represión de infracciones penales) o para salvaguardar una función de control, de inspección o reglamentaria relacionada, aunque sólo sea ocasionalmente, con las citadas medidas de salvaguardia.
Al permitir a las autoridades de Estados Unidos acceder la totalidad de los registros de datos relativos a todos los pasajeros con destino a Estados Unidos o procedentes de este país en las condiciones actuales, las compañías aéreas deben cumplir la legislación nacional adoptada con arreglo a la Directiva. En caso de incumplimiento de dicha normativa, pueden estar sujetas a acciones represivas por parte de las autoridades de control de los Estados miembros.
Tal como expuso el Comisario responsable de Mercado Interior el 9 de septiembre de 2003 ante la comisión de Libertades y Derechos de los Ciudadanos, Justicia y Asuntos Interiores del Parlamento (comisión LIBE), la Comisión está negociando con las autoridades de Estados Unidos una mejora del tratamiento de los datos personales por parte de dicho país que permita a la Comisión adoptar una resolución formal, con arreglo al apartado 6 del artículo 25 de la Directiva sobre protección de datos, en la que se reconozca que la protección ofrecida es «adecuada».
Actualmente, los esfuerzos de mejora están centrados en los cuatro ámbitos principales siguientes:
|
1) |
limitación de la finalidad: hasta ahora, Estados Unidos se niega a limitar la utilización de los datos del registro del nombre del pasajero (Passenger Name Record — PNR) a la lucha contra el terrorismo, sino que desean ampliar dicha utilización a «otras formas graves de delincuencia»; |
|
2) |
ámbito de los datos solicitados: Estados Unidos solicita 39 diferentes elementos del PNR, lo que parece ir más allá de lo necesario y proporcionado para la consecución del objetivo; |
|
3) |
el período de conservación de los datos es demasiado largo (siete años); y |
|
4) |
el hecho de que las garantías ofrecidas por Estados Unidos no sean tan jurídicamente vinculantes como sería necesario; dado que los mecanismos extrajudiciales de recurso no son completamente independientes, debemos insistir en que los derechos puedan defenderse ante los tribunales de Estados Unidos. |
No será posible adoptar una decisión que reconozca dicha «adecuación» si Estados Unidos no está dispuesto a mejorar de manera significativa las citadas garantías. De no adoptarse una decisión de este tipo, un acuerdo internacional bilateral podría constituir un marco adecuado para garantizar la seguridad jurídica de la transferencia de datos. Sin embargo, un acuerdo de esta naturaleza sólo sería viable si Estados Unidos mejorara considerablemente las actuales garantías en materia de protección de los datos transferidos.
La Comisión ha informado a Estados Unidos que es necesario encontrar una solución antes de diciembre de 2003, y Estados Unidos está de acuerdo con este calendario.
(1) Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, DO L 281 de 23.11.1995.