1.5.2008   

ES

Diario Oficial de la Unión Europea

C 110/1

1.

De conformidad con el artículo 28.2 del Reglamento (CE) no 45/2001 (denominado en lo sucesivo «el Reglamento»), la Comisión ha remitido al SEPD, para consulta, la propuesta de Decisión marco del Consejo sobre utilización de datos del registro de nombres de los pasajeros (Passenger Name Record — PNR) con fines represivos (en lo sucesivo denominada «la propuesta»).

2.

La propuesta se refiere al tratamiento de datos del PNR dentro de la UE, y está estrechamente relacionada con otros sistemas de recogida y utilización de datos de los viajeros, en particular el acuerdo que la UE y Estados Unidos celebraron en julio de 2007. Estos sistemas revisten gran interés para el SEPD, que ya ha tenido ocasión de remitir algunas observaciones preliminares sobre el cuestionario que la Comisión envió a las partes interesadas (3) en diciembre de 2006 en relación con el sistema PNR previsto para la UE. El SEPD se congratula de la consulta de la Comisión, y considera que el presente dictamen debería mencionarse en el preámbulo de la Decisión del Consejo.

3.

La propuesta tiene por objeto armonizar las disposiciones que regulan en los Estados miembros las obligaciones de las compañías aéreas que vuelan hacia o desde el territorio de uno o varios Estados miembros en materia de transmisión de datos del PNR a las autoridades competentes, con el fin de prevenir y combatir el terrorismo y la delincuencia organizada.

4.

La UE ha celebrado ya acuerdos de transmisión de datos del PNR con fines similares, tanto con Estados Unidos como con Canadá. El primer acuerdo, celebrado con Estados Unidos en mayo de 2004, fue sustituido por otro nuevo en julio de 2007 (4), y en julio de 2005 se celebró un acuerdo similar con Canadá (5). La UE proyecta iniciar negociaciones con Australia para celebrar un acuerdo sobre el intercambio de datos del PNR; también Corea del Sur está pidiendo que se le transmitan datos del PNR de los vuelos hacia su territorio, aunque no hay previstas aún negociaciones al respecto a escala europea.

5.

Dentro de la UE, la propuesta viene a añadirse a la Directiva 2004/82/CE del Consejo (6) sobre la obligación de los transportistas de comunicar los datos procedentes del sistema de información anticipada sobre pasajeros (datos API), con el fin de combatir la inmigración ilegal y de mejorar el control de fronteras. Esta Directiva debería haberse incorporado al ordenamiento jurídico interno de los Estados miembros a más tardar el 5 de septiembre de 2006, pero su aplicación no está aún garantizada en todos los Estados miembros.

6.

Contrariamente a lo que ocurre con los datos procedentes del sistema de información anticipada sobre pasajeros (API), cuya finalidad es ayudar a identificar a los viajeros, los datos del PNR mencionados en la propuesta que nos ocupa se emplearían para realizar evaluaciones del riesgo que presentan las personas, obtener información analítica y establecer relaciones entre personas conocidas y desconocidas.

7.

Los elementos principales de la propuesta son los siguientes:

8.

La propuesta sobre la cual se ha consultado al SEPD representa un paso más dentro de la tendencia a recoger de forma habitual datos de personas que, en principio, no son sospechosas de haber cometido infracción alguna. Como se ha indicado antes, esta evolución se está produciendo tanto a escala internacional como europea.

9.

El SEPD observa que también el Grupo de Trabajo del artículo 29 y el Grupo «Policía y Justicia» han presentado sobre esta propuesta un dictamen conjunto (8) que el SEPD apoya. El presente dictamen hace hincapié en varios aspectos adicionales y los desarrolla.

10.

El SEPD analizará en el presente dictamen todos los aspectos pertinentes de la propuesta, pero centrándose de manera especial en cuatro grandes cuestiones:

11.

En la parte final se hará referencia a otras cuestiones importantes, como las medidas positivas de protección de datos o los motivos adicionales de inquietud que supone la propuesta.

12.

Para analizar la legitimidad de las medidas propuestas de conformidad con los principios fundamentales de protección de datos, en particular el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea y los artículos 5 a 8 del Convenio no 108 del Consejo de Europa (9), es necesario determinar claramente la finalidad del tratamiento de datos previsto por la propuesta y evaluar su necesidad y su proporcionalidad. Es preciso garantizar que no existan otros medios menos invasivos para alcanzar el objetivo perseguido.

13.

Del enunciado de la propuesta y de la evaluación de su impacto se desprende que la finalidad de la propuesta no consiste simplemente en identificar a terroristas conocidos o delincuentes conocidos del mundo de la delincuencia organizada mediante la comparación de sus nombres con los de las listas gestionadas por las autoridades represivas. Antes bien, se trata de reunir información analítica sobre el terrorismo y la delincuencia organizada y, más concretamente, «proceder a evaluaciones del riesgo que puedan entrañar las personas, obtener información y establecer vínculos entre personas conocidas y desconocidas» (10). En este sentido, el objetivo enunciado en el artículo 3.5 de la propuesta consiste, en primer lugar, en «identificar a las personas que estén o puedan estar implicadas en un delito de terrorismo o de delincuencia organizada, así como a sus cómplices».

14.

Ésta es la razón alegada para explicar que los datos del sistema de información anticipada sobre pasajeros (API) no bastan para alcanzar el objetivo perseguido. En efecto, como ya se ha señalado, los datos del API deben servir, en principio, para ayudar a identificar a los viajeros, mientras que los datos del PNR no tienen por objeto la identificación, sino ayudar a realizar evaluaciones del riesgo que presentan las personas, obtener información analítica y establecer relaciones entre personas conocidas y desconocidas.

15.

Las medidas previstas no persiguen únicamente la captura de personas conocidas, sino también la localización de personas que puedan cumplir los criterios de la propuesta.

El análisis de riesgos y la determinación de pautas de comportamiento son el instrumento fundamental que el proyecto propone para la identificación tales personas. El considerando 9 de la propuesta indica expresamente que estos datos han de conservarse «durante un período suficiente para que puedan elaborarse indicadores de riesgo y diseñarse esquemas de desplazamiento y de comportamiento».

16.

La finalidad de la propuesta puede describirse, pues, a dos niveles: el primero se refiere al objetivo global de combatir el terrorismo y la delincuencia organizada, mientras que el segundo abarca los medios y medidas inherentes a la consecución de dicho objetivo. Si la lucha contra el terrorismo y la delincuencia organizada es un fin claro y legítimo, los medios empleados para alcanzarlo son discutibles.

17.

La propuesta no contiene indicaciones sobre la forma en que se determinarán las pautas de comportamiento y se evaluarán los riesgos. En lo que se refiere a la forma en que se emplearán los datos del PNR, la evaluación de impacto precisa que se compararán los datos de los viajeros «con una combinación de características y pautas de comportamiento, a fin de realizar una evaluación de riesgo. Si un pasajero encaja en una evaluación de riesgos determinada, puede ser identificado como un pasajero de alto riesgo» (11).

18.

La determinación de las personas sospechosas podría hacerse sobre la base de elementos concretos que justifiquen una sospecha y que formen parte de sus datos en el PNR (por ej., contacto con una agencia de viajes sospechosa, referencia de una tarjeta de crédito robada), y sobre la base de unas pautas o de un perfil abstracto. En efecto, se podrían construir diferentes perfiles estándar en función de las pautas de viaje, para «viajeros normales» o «viajeros sospechosos». Estos perfiles permitirían realizar una investigación más detenida de aquellos viajeros que no pertenezcan a la «categoría de viajeros normales», en particular si su perfil está asociado a otros elementos sospechosos como una tarjeta de crédito robada.

19.

Aunque no se puede dar por sentado que los pasajeros vayan a ser seleccionados en función de su religión o de otros datos sensibles, sí parece que serían objeto de investigación sobre la base de una combinación de elementos de información concretos y abstractos, entre ellos pautas estándar y perfiles abstractos.

20.

La posibilidad de calificar semejante tipo de investigación de «caracterización de perfiles» es discutible. La caracterización de perfiles podría definirse como en «un método informatizado que, mediante la prospección en un gran banco de datos, permita o tenga por objeto permitir clasificar a una persona en una categoría determinada, con cierta probabilidad (y por tanto, con cierto margen de error), a fin de tomar respecto de ella decisiones individualizadas» (12).

21.

El SEPD es consciente de que la definición del concepto de caracterización de perfiles está siendo actualmente objeto de debate. El que se reconozca o no oficialmente que la propuesta tiene por objetivo la caracterización de los perfiles de los viajeros es secundario, ya que lo que nos ocupa aquí no es un problema de definiciones, sino de repercusiones en las personas.

22.

El aspecto más inquietante para el SEPD es el hecho de que se adopten, sobre la base de pautas y criterios establecidos utilizando los datos del conjunto de los pasajeros, decisiones que afectarán a personas: se podrá adoptar una decisión sobre una persona tomando como referencia (al menos parcialmente) pautas derivadas de los datos de otras personas. Las decisiones se tomarán, pues, en relación con un contexto abstracto, lo cual puede afectar sobremanera a los interesados, que encontrarán además enormes dificultades para defenderse de tales decisiones.

23.

Por otra parte, la evaluación de riesgos se realizará sin que existan principios uniformes de identificación de sospechosos. El SEPD tiene serias dudas sobre la seguridad jurídica de todo el proceso de filtrado, dada la indefinición de los criterios que se aplicarán para el examen de cada viajero.

24.

EL SEPD recuerda que, según la jurisprudencia del Tribunal Europeo de Derechos Humanos, la legislación nacional debe ser suficientemente precisa como para indicar al ciudadano las circunstancias y condiciones que facultan a las autoridades públicas para almacenar y utilizar datos sobre su vida privada. La legislación debe «ser accesible para el interesado y sus efectos han de ser previsibles». Una norma es previsible «si está formulada con suficiente precisión como para que cualquier persona pueda regular su conducta, si es preciso con el asesoramiento adecuado» (13).

25.

En conclusión, la propuesta que nos ocupa requiere un examen detenido sobre todo por los tipos de riesgo mencionados. El objetivo general de combatir el terrorismo y la delincuencia organizada es, en sí mismo, claro y legítimo, pero los elementos fundamentales del tratamiento que han de implantarse no parecen estar suficientemente circunscritos y justificados. El SEPD insta pues al legislador de la UE a tratar con claridad esta cuestión antes de que se adopte la Decisión marco.

26.

Las consideraciones anteriores muestran que las medidas son claramente invasivas; sin embargo, su utilidad no está en modo alguno demostrada.

27.

La evaluación del impacto de la propuesta está centrada en la mejor manera de establecer un PNR de la Unión Europea, más que en la necesidad de dotarse de semejante registro. Se hace alusión en dicha evaluación (14) a los registros de nombres de los pasajeros existentes en otros países, concretamente Estados Unidos y el Reino Unido. Cabe lamentar, sin embargo, la ausencia de hechos y cifras precisos sobre tales registros. Se indica que se han realizado «numerosas detenciones» en relación con «diversos delitos» en el marco del sistema Semaphore del Reino Unido, pero no se precisa el vínculo entre tales detenciones y el terrorismo o la delincuencia organizada. Tampoco se dan precisiones acerca del programa estadounidense, salvo que «la UE ha podido evaluar la utilidad de los datos del PNR y darse cuenta de las posibilidades que ofrece a efectos represivos».

28.

No es sólo en la propuesta donde falta información precisa sobre los resultados concretos de los sistemas PNR, sino también en los informes publicados por otros organismos, como la oficina del Congreso estadounidense encargada de fiscalizar al Gobierno —Government Accountability Office (GAO)—, que no confirman de momento la eficacia de las medidas (15).

29.

El SEPD considera que las técnicas encaminadas a evaluar el riesgo que presenta una persona utilizando herramientas de prospección de datos y pautas de comportamiento requieren una valoración más detenida, y que su utilidad debe demostrarse claramente en el marco de la lucha contra el terrorismo antes de que puedan emplearse a tan gran escala.

30.

Para determinar si hay equilibrio entre la intrusión que la medida supone en la vida privada del interesado y la necesidad de la medida (16) se tienen en cuenta los siguientes elementos:

31.

El respeto del principio de proporcionalidad no implica sólo que la medida propuesta sea eficaz, sino también que la finalidad perseguida no pueda alcanzarse por medios que supongan una menor injerencia en la intimidad. La eficacia de las medidas propuestas no se ha demostrado. Es preciso estudiar cuidadosamente si existen alternativas antes de que puedan implantarse medidas adicionales o nuevas de tratamiento de datos personales. A juicio del SEPD, no se ha realizado ese análisis global.

32.

El SEPD recuerda que existen ya, dentro de la UE o en sus fronteras, otros sistemas de gran alcance para el control de los movimientos de las personas, algunos de los cuales están ya en funcionamiento o a punto de ser implantados, en particular el Sistema de Información de Visados (17) y el Sistema de Información de Schengen (18). Aunque el objetivo principal de estos instrumentos no es la lucha contra el terrorismo o la delincuencia organizada, las autoridades policiales y judiciales tienen o tendrán en cierta medida acceso a ellos en el marco más general de la lucha contra la delincuencia (19).

33.

El Tratado de Prüm, que se firmó en mayo de 2005 y que se está haciendo extensivo a todos los Estados miembros de la UE, permite también, por ejemplo, acceder a los datos personales (en especial en lo que respecta a los datos biométricos) incluidos en las bases de datos policiales nacionales (20).

34.

Todos estos instrumentos tienen un punto en común, a saber, que permiten un control global, desde diferentes perspectivas, de los movimientos de las personas. Su posible contribución a la lucha contra determinados tipos de delitos, entre ellos el terrorismo, debe ser analizada en profundidad y de forma exhaustiva antes de decidir establecer nuevas formas de investigación sistemática de todas las personas que entran o salen de la UE en avión. El SEPD recomienda que la Comisión realice ese análisis, que es un paso necesario dentro del proceso legislativo.

35.

En vista de lo que antecede, la conclusión del SEPD acerca de la legitimidad de las medidas propuestas es la siguiente: la acumulación de diferentes bases de datos sin una visión global de sus resultados y carencias concretos:

36.

Indudablemente, la lucha contra el terrorismo puede constituir un motivo legítimo para aplicar excepciones a los derechos fundamentales a la intimidad y la protección de datos. Sin embargo, para que tales excepciones sean válidas, la necesidad de la injerencia debe estar justificada por elementos claros e indiscutibles, y debe demostrarse la proporcionalidad del tratamiento de datos propuesto. Estos requisitos son especialmente necesarios en el caso de una injerencia generalizada en la intimidad de las personas como la prevista en la propuesta.

37.

Estos elementos justificativos no están presentes en la propuesta, que no supera tampoco las pruebas de necesidad y proporcionalidad.

38.

El SEPD insiste en que las pruebas de necesidad y proporcionalidad desarrolladas supra son esenciales: constituyen una condición indispensable para la entrada en vigor de esta propuesta. Todas las demás observaciones formuladas por el SEPD en el presente dictamen deben apreciarse a la luz de esta condición preliminar.

39.

El análisis que figura a continuación está centrado en tres puntos:

40.

Según el artículo 11 de la propuesta «Los Estados miembros garantizarán que la Decisión marco […] del Consejo relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal sea aplicable al tratamiento de datos personales con arreglo a la presente Decisión marco».

41.

Ahora bien, a pesar de esta disposición, no está claro en qué medida la Decisión marco relativa a la protección de datos —un instrumento del tercer pilar del Tratado de la UE— será aplicable a los datos tratados por las compañías aéreas, recogidos por las Unidades de Información sobre Pasajeros y utilizados a continuación por otras autoridades competentes.

42.

La primera etapa del tratamiento de datos personales previsto en la propuesta la efectúan las compañías aéreas, que están obligadas a facilitar a las Unidades de Información sobre Pasajeros los datos del PNR, en general mediante un sistema de exportación de los datos («sistema push»). De la formulación de la propuesta y la evaluación de impacto (22) se desprende que las compañías aéreas también pueden transmitir los datos en bloque a los intermediarios. Las compañías aéreas trabajan principalmente en un contexto comercial y están sujetas a la legislación nacional de protección de datos por la que se incorpora al ordenamiento jurídico interno la Directiva 95/46/CE (23). Cuando los datos recopilados se utilicen para fines represivos, se plantearán problemas en lo que se refiere a la legislación aplicable (24).

43.

Los datos serían filtrados a continuación por un intermediario (a fin de formatearlos y de excluir los datos del PNR que no figuren en la lista de datos exigidos por la propuesta) o bien enviados directamente a las Unidades de Información sobre Pasajeros. Los intermediarios podrían también ser agentes del sector privado, como ocurre en el caso de la sociedad SITA, que es la que desempeña estas funciones en el marco del Acuerdo PNR con Canadá.

44.

Cuando los datos llegan a las Unidades de Información sobre Pasajeros, que han de realizar la evaluación de riesgo de la totalidad de los datos, no está claro a quién incumbe la responsabilidad del tratamiento, en el que podrían participar las autoridades aduaneras y fronterizas, y no necesariamente las autoridades policiales o judiciales.

45.

La posterior transmisión de los datos filtrados a las autoridades «competentes» se produciría probablemente en un contexto represivo. La propuesta establece que las «autoridades competentes serán exclusivamente las autoridades responsables de prevenir o combatir los delitos de terrorismo y la delincuencia organizada».

46.

A medida que se va avanzando de una etapa del proceso de tratamiento a otra, va estrechándose también el vínculo de los agentes que intervienen y de la finalidad perseguida con la cooperación policial y judicial en materia penal. Sin embargo, la propuesta no indica expresamente a partir de qué momento es aplicable la Decisión marco relativa a la protección de datos. Su formulación podría incluso llevar a pensar que ésta se aplica a la totalidad del proceso de tratamiento, incluidas las compañías aéreas (25). Sin embargo, la Decisión marco relativa a la protección de datos personales adolece en sí misma de ciertas limitaciones.

47.

En este contexto, el SEPD pone en entredicho fundamentalmente que el título VI del Tratado de la UE pueda utilizarse como base jurídica para imponer obligaciones jurídicas, de forma habitual y para fines represivos, a agentes del sector privado. Por otra parte, es procedente preguntarse si el título VI del Tratado de la UE puede servir de base jurídica para la imposición de obligaciones jurídicas a autoridades públicas que, en principio, están fuera del marco de la cooperación policial y judicial. Estas cuestiones se desarrollan más adelante.

48.

El texto de la propuesta de Decisión marco del Consejo relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal adolece al menos de dos limitaciones que son pertinentes por lo que respecta a su ámbito de aplicación.

49.

En primer lugar, el ámbito de aplicación de la propuesta de Decisión marco del Consejo relativa a la protección de datos se define claramente en su texto: se aplica exclusivamente «a los datos recogidos y tratados por las autoridades competentes para la prevención, la investigación, la detección y la represión de infracciones penales y la ejecución de sanciones penales» (26).

50.

En segundo lugar, dicha Decisión marco no está concebida para aplicarla a los datos objeto de tratamiento a escala exclusivamente nacional, sino que se limita a los datos intercambiados entre Estados miembros y transmitidos a terceros países (27).

51.

La Decisión marco relativa a la protección de datos presenta también ciertos inconvenientes, comparada con la Directiva 95/46/CE, en particular una excepción de gran alcance al principio de limitación de la finalidad del tratamiento de datos. En lo que se refiere a este principio de finalidad, la propuesta limita claramente la finalidad del tratamiento a la lucha contra el terrorismo y la delincuencia organizada. Sin embargo, permite el tratamiento para fines más generales. En tales casos, la lex specialis (la propuesta que nos ocupa) debe prevalecer sobre la lex generalis (la Decisión marco relativa a la protección de datos) (28). Este extremo debería indicarse expresamente en el texto de la propuesta.

52.

Por esta razón, el SEPD recomienda que se añada a la propuesta la disposición siguiente: «Los datos personales transmitidos por las compañías aéreas en virtud de la presente Decisión marco no podrán ser objeto de tratamiento para fines distintos de la lucha contra el terrorismo y la delincuencia organizada. No serán de aplicación las excepciones al principio de finalidad previstas en la Decisión marco del Consejo relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal.».

53.

En conclusión, el SEPD señala que existe una grave inseguridad jurídica en lo que respecta al régimen de protección de datos aplicable a los diferentes agentes que intervienen en el tratamiento según la propuesta, en particular las compañías aéreas y demás agentes del primer pilar: pueden aplicarse bien las normas de la propuesta, bien las normas de la Decisión marco relativa a la protección de datos, o bien la legislación nacional de aplicación de la Directiva 95/46/CE. El legislador debe aclarar en qué etapa precisa del tratamiento se aplican estas diferentes normas.

54.

El SEPD tiene serias dudas de que un instrumento del tercer pilar pueda crear obligaciones jurídicas, de forma habitual y para fines represivos, aplicables a agentes del sector público o privado que, en principio, están al margen de la cooperación policial y judicial.

55.

Podría establecerse una comparación con otros dos casos de intervención del sector privado en la conservación o transmisión de datos a efectos represivos:

56.

En la propuesta que nos ocupa, las compañías aéreas tienen que facilitar sistemáticamente datos del PNR relativos a todos los pasajeros. Sin embargo, estos datos no se transfieren directamente y en bloque a las autoridades policiales y judiciales: pueden ser transmitidos a un intermediario, y son evaluados por un tercero, cuya condición jurídica no está clara, antes de que la información seleccionada sea remitida a las autoridades competentes.

57.

La parte principal del proceso de tratamiento se produce en una zona gris que está relacionada a la vez con el primer y el tercer pilar. Como se verá en la sección IV del presente dictamen, la naturaleza de los agentes que se ocupan del tratamiento de los datos no está clara. Lo que sí está claro es que las compañías aéreas no son autoridades con funciones represivas, y que los intermediarios pueden ser agentes del sector privado. Incluso en lo que se refiere a las Unidades de Información sobre Pasajeros, que serían autoridades públicas, es importante destacar que no todas las autoridades públicas tienen la condición jurídica y las competencias necesarias para realizar de forma rutinaria funciones de carácter represivo.

58.

Hasta la fecha, ha existido siempre una separación clara entre las actividades del sector privado y las de las autoridades represivas: estas últimas son realizadas por autoridades específicamente designadas para ello, en particular la policía, pudiéndose pedir a los agentes del sector privado que, en función de las circunstancias de cada caso, comuniquen datos personales a las autoridades represivas. Se observa actualmente una tendencia a imponer de forma sistemática a los agentes del sector privado obligaciones de cooperación para fines represivos, tendencia que plantea la cuestión de cuál es el régimen de protección de datos (primer o tercer pilar) que regula las condiciones de tal cooperación: ¿deben basarse las normas en la naturaleza del responsable del tratamiento de los datos (sector privado) o en la finalidad del tratamiento (represiva)?

59.

El SEPD ha mencionado ya el riesgo de que se produzca un vacío jurídico entre las actividades del primer y el tercer pilar (31). En efecto, no está nada claro si las actividades de las empresas privadas que están conectadas de alguna manera con la aplicación del Derecho penal se encuentran dentro del ámbito de actuación del legislador de la Unión Europea según los artículos 30, 31 y 34 del Tratado de la UE.

60.

Si no se aplicara el régimen general (primer pilar), los proveedores de servicios se verían obligados a establecer complejas distinciones dentro de sus bases de datos. Con arreglo al régimen actual, está claro que el responsable del tratamiento de los datos debe respetar las mismas normas de protección de datos para todos los interesados, con independencia de los fines que motiven la conservación de los datos. Debería evitarse por ello toda situación que dé lugar a la aplicación de diferentes regímenes de protección de datos a las operaciones de tratamiento de datos realizadas con distintos fines por los proveedores de servicios.

61.

Los diferentes regímenes jurídicos que se apliquen a escala nacional tendrían consecuencias importantísimas principalmente en el ejercicio de los derechos del interesado.

62.

En el preámbulo de la propuesta se indica que los derechos de información, acceso, rectificación, supresión y bloqueo de los datos, y los derechos de indemnización y recurso judicial deben ser los que establece la Decisión marco relativa a la protección de datos. Sin embargo, tal indicación no permite determinar a quién corresponde atender a las peticiones del interesado.

63.

La información sobre el tratamiento podría ser comunicada por las compañías aéreas, pero el acceso y la rectificación de los datos resultan más complejos, ya que estos derechos están restringidos con arreglo a la Decisión marco relativa a la protección de datos. Como se ha indicado antes, es dudoso que se pueda obligar a un proveedor de servicios como una compañía aérea a otorgar, en función de la finalidad perseguida (comercial o represiva), derechos diferenciados de acceso a los datos que conserva y de rectificación de éstos. Cabría aducir que tales derechos han de ejercerse ante la Unidad de Información sobre Pasajeros o ante las autoridades competentes designadas. Sin embargo, la propuesta no da indicaciones a este respecto y, como se ha señalado ya, tampoco está claro que las mencionadas autoridades (al menos las Unidades de Información sobre Pasajeros) vayan a ser autoridades con funciones represivas, que son las que se encargan normalmente de los procedimientos de acceso restringidos (y quizá indirectos).

64.

Por otra parte, el interesado puede tener que enfrentarse al problema de que haya más de un destinatario de sus datos, en lo que se refiere a las Unidades de Información sobre Pasajeros: en efecto, los datos son remitidos a las unidades del país de salida y de llegada de los vuelos, pero pueden remitirse también, en determinados casos, a las unidades de otros Estados miembros. Por lo demás, es posible que varios Estados miembros decidan establecer o designar a una sola Unidad de Información sobre Pasajeros común. En tal caso, el interesado podría tener que ejercer su derecho de reparación ante una autoridad de otro Estado miembro. Una vez más, no está claro si se aplicarían las normas nacionales de protección de datos (que, en principio, deberían estar armonizadas dentro de la UE), o si habría que tener en cuenta una legislación específica en materia policial o judicial (dado que, en el tercer pilar, no hay una armonización global a escala nacional).

65.

El mismo problema se plantea en lo que respecta al acceso a los datos tratados por los intermediarios, cuya condición jurídica no está clara, y podría darse también con las compañías aéreas de diferentes países de la UE.

66.

El SEPD lamenta la incertidumbre de que adolece la propuesta en lo que se refiere al ejercicio de estos derechos fundamentales del interesado. Destaca que esta situación se debe principalmente al hecho de que se hayan encomendado semejantes responsabilidades a agentes que no tienen como función principal el mantenimiento de la ley.

67.

El SEPD considera que la propuesta debería aclarar qué régimen jurídico se aplica en cada etapa del tratamiento de datos y especificar ante qué agente o autoridad se ejercerán los derechos de acceso y reparación. Recuerda que, con arreglo al artículo 30.1, letra b) del Tratado de la UE, las disposiciones sobre protección de datos deberían ser adecuadas y aplicarse a la totalidad de las operaciones de tratamiento que establece la propuesta. No basta con hacer una simple referencia a la Decisión marco relativa a la protección de datos porque ésta tiene un ámbito de aplicación limitado y prevé restricciones de los derechos que establece. En lo que respecta a las autoridades policiales y judiciales, las normas de la mencionada Decisión marco deberían aplicarse, como mínimo, al conjunto de las operaciones de tratamiento previstas en la propuesta, a fin de garantizar la coherencia con la aplicación de los principios de protección de datos.

68.

El SEPD observa que la propuesta no contiene indicación alguna acerca de la naturaleza de los destinatarios de los datos personales recopilados por las compañías aéreas, ya se trate de los intermediarios, de las Unidades de Información sobre Pasajeros o de las autoridades competentes. Hay que destacar que la naturaleza del destinatario está directamente relacionada con el tipo de garantías de protección de datos que se aplica al destinatario. Se ha hecho referencia ya a la diferencia entre las garantías previstas por las normas del primer y del tercer pilar. Es indispensable que el régimen aplicable esté claro para todos los agentes que intervienen en el proceso, incluidos los gobiernos nacionales, los servicios con funciones represivas, las autoridades de protección de datos, los responsables del tratamiento y los titulares de los datos.

69.

La propuesta no contiene indicación alguna acerca de la naturaleza de los intermediarios (32). Tampoco especifica cuál es su función como responsables del tratamiento o encargados del tratamiento. Por experiencia, parece que no habría problema alguno en asignar a una entidad del sector privado (ya se trate de un sistema informatizado de reservas o de otra entidad) el cometido de recopilar los datos del PNR directamente a partir de las compañías aéreas y de transmitirlos a las Unidades de Información sobre Pasajeros. Ésa es, en efecto, la forma en que se efectúa el tratamiento de datos con arreglo al Acuerdo PNR con Canadá: SITA (33) es la empresa encargada del tratamiento de la información. La función del intermediario es decisiva, ya que podría ser responsable de filtrar los datos que transmiten en bloque las compañías aéreas o de cambiar su formato (34). Incluso si los intermediarios están obligados a suprimir la información tratada después de transmitirla a las Unidades de Información sobre Pasajeros, el proceso de tratamiento es en sí muy delicado: una consecuencia de la intervención de intermediarios es la creación de una base de datos adicional con cantidades ingentes de datos que, según la propuesta, pueden comprender incluso datos sensibles (que los intermediarios deben suprimir después). Por estas razones, el SEPD recomienda que ningún intermediario intervenga en el proceso de tratamiento de los datos de los viajeros, a menos que su naturaleza y su cometido estén estrictamente especificados.

70.

Estas unidades desempeñan un papel fundamental en la identificación de personas que están o pueden estar implicadas en delitos de terrorismo o de delincuencia organizada o ser cómplices en ellos. Según la propuesta, se encargarán de crear indicadores de riesgo y de facilitar información sobre pautas de viaje (35). Cuando la evaluación del riesgo se basa en pautas de viaje estandarizadas y no en pruebas materiales vinculadas a un caso concreto, el análisis que realizan puede considerarse una investigación anticipatoria. El SEPD insiste que este tipo de tratamiento está, en principio, estrictamente regulado (cuando no prohibido) por la legislación de los Estados miembros, y que su realización corresponde a autoridades públicas específicas cuyo funcionamiento está también estrictamente regulado.

71.

Las Unidades de Información sobre Pasajeros se encargan, pues, de un proceso de tratamiento de datos muy delicado, sin que la propuesta precise su naturaleza ni las condiciones en las que ejercerían esta competencia. Aunque es probable que esta tarea sea realizada por un órgano público (como la administración aduanera o los servicios de control de fronteras), la propuesta no impide expresamente que los Estados miembros encomienden su ejecución a servicios de inteligencia o incluso a cualquier tipo de entidad de tratamiento de datos. El SEPD destaca que la transparencia y las garantías exigidas a los servicios de inteligencia no son siempre idénticas a las que se aplican a los servicios represivos tradicionales. Es indispensable que se precise la naturaleza de las Unidades de Información sobre Pasajeros, porque tendrá consecuencias directas en el régimen jurídico aplicable y en las condiciones de supervisión. El SEPD considera que la propuesta debe incluir disposiciones adicionales sobre las particularidades de dichas unidades.

72.

Del artículo 4 de la propuesta se desprende que cualquier autoridad responsable de prevenir o combatir el terrorismo y la delincuencia organizada puede recibir los datos. La finalidad está claramente definida, pero no hay precisiones sobre la naturaleza de estas autoridades. La propuesta no establece en ningún momento que los destinatarios de los datos sólo puedan ser autoridades con funciones represivas.

Como se ha indicado ya en lo que se refiere a las Unidades de Información sobre Pasajeros, es fundamental que el tratamiento de la información sensible de que se trata se realice en un entorno jurídico claro. Esta claridad es siempre mucho mayor en el caso de las autoridades con funciones represivas que en lo tocante a los servicios de inteligencia. Si se tienen en cuenta los elementos de prospección de datos y de investigación anticipatoria que contiene la propuesta, no cabe excluir que tales servicios de inteligencia u otros tipos de autoridades participen en el tratamiento de datos.

73.

Como observación general, el SEPD señala que la implantación de un registro de nombres de pasajeros de la UE se ve aún más dificultada por el hecho de que las autoridades represivas tienen competencias diferentes según la legislación nacional de cada Estado miembro, con independencia de que se incluya o no en esta categoría de autoridades a los servicios de inteligencia, la administración aduanera, los servicios de inmigración o la policía. Ésta es, sin embargo, una razón más para recomendar que la propuesta sea mucho más precisa en lo que respecta a la naturaleza de los agentes mencionados y a las garantías de control de la ejecución de sus funciones. Habría que añadir a la propuesta disposiciones que especifiquen de manera rigurosa las competencias y obligaciones jurídicas de los intermediarios, las Unidades de Información sobre Pasajeros y las demás autoridades competentes.

74.

La propuesta establece algunas salvaguardias en relación con la transmisión de los datos del PNR a terceros países (36). En particular, dispone expresamente que este tipo de transferencias está sujeto a la Decisión marco relativa a la protección de datos, limita de manera expresa los fines para los cuales pueden emplearse los datos y estipula que el Estado miembro que transfirió los datos debe dar su consentimiento para que éstos puedan transferirse a otro país tercero, además de establecer que la transferencia debe cumplir las disposiciones de la legislación nacional del Estado miembro de que se trate y las de cualesquiera acuerdos internacionales aplicables.

75.

Sin embargo, quedan abiertas muchas cuestiones, en particular en relación con la forma del consentimiento, las condiciones de aplicación de la Decisión marco relativa a la protección de datos y la cuestión de la «reciprocidad» en las transferencias de datos a terceros países.

76.

El Estado miembro de origen debe dar su consentimiento expreso para que los datos puedan ser transferidos de un país tercero a otro. La propuesta no especifica en qué condiciones debe darse este consentimiento y a quién corresponde darlo, ni indica si las autoridades nacionales de protección de datos deben intervenir en la decisión. El SEPD considera que la forma en que se dará el consentimiento debe ser, como mínimo, conforme con las leyes nacionales que regulen las condiciones de transmisión de datos personales a terceros países.

77.

Por otra parte, el consentimiento del Estado miembro no debe prevalecer sobre el principio de que el país destinatario de los datos ha de garantizar un nivel adecuado de protección para el tratamiento de que se trate. Estas condiciones deben ser acumulativas, como ocurre en la Decisión marco relativa a la protección de datos (artículo 14). El SEPD sugiere por ello que se añada en el artículo 8.1 una letra c) con el siguiente texto: «y c) el país tercero garantiza un nivel adecuado de protección para el tratamiento de datos previsto». El SEPD recuerda, a este respecto, que deben implantarse mecanismos que garanticen la existencia de normas comunes y decisiones coordinadas en lo que respecta a la idoneidad de la protección (37).

78.

La propuesta remite a las condiciones y garantías contenidas en la Decisión marco relativa a la protección de datos, al tiempo que precisa expresamente ciertas condiciones, en particular el consentimiento antes mencionado del Estado miembro del que proceden los datos, y limita la finalidad del tratamiento de los datos a la prevención y lucha contra el terrorismo y la delincuencia organizada.

79.

La Decisión marco relativa a la protección de datos supedita la transferencia de datos personales a terceros países a una serie de condiciones, entre ellas la limitación de la finalidad del tratamiento, la naturaleza de los destinatarios, el consentimiento del Estado miembro y el principio de idoneidad. Sin embargo, prevé también excepciones a estas condiciones de transmisión: la existencia de intereses superiores legítimos, en particular intereses públicos importantes, puede ser motivo suficiente para que los datos se transfieran aunque no se cumplan las condiciones mencionadas.

80.

Como se ha indicado en la sección III del presente dictamen, el SEPD considera que es necesario estipular expresamente en el texto de la propuesta que las garantías más precisas de ésta prevalecen sobre las condiciones —y excepciones— generales de la Decisión marco relativa a la protección de datos, cuando ésta sea de aplicación.

81.

La propuesta aborda la posibilidad de que un país pida a la UE, a título de «represalia», datos del PNR sobre vuelos que se dirigen a su territorio desde la UE. Cuando la UE solicita información de las bases de datos de las compañías aéreas de tales países terceros respecto de un vuelo que sale de la UE o se dirige a la UE, este tercer país podría pedir la misma información (incluidos datos de ciudadanos de la UE) de compañías aéreas establecidas en la UE. La Comisión considera que esta posibilidad es «muy remota», pero la ha previsto. La propuesta señala a este respecto que los acuerdos celebrados con Estados Unidos y Canadá establecen esta reciprocidad, «que puede aplicarse automáticamente» (38). El SEPD tiene dudas acerca de la relevancia de esta reciprocidad automática y de la aplicación de salvaguardias a tales transferencias, teniendo en cuenta, en particular, la existencia de un nivel adecuado de protección en los países en cuestión.

82.

Debería establecerse una distinción entre los países terceros que han celebrado ya un acuerdo con la UE y los que no lo han hecho.

83.

El SEPD observa que la reciprocidad puede dar lugar a la transmisión de datos personales a países en los que no hay garantías de aplicación de normas democráticas ni niveles adecuados de protección.

84.

La evaluación de impacto ofrece más elementos de juicio acerca de las condiciones de la transmisión de datos a terceros países: se hace hincapié en las ventajas del sistema PNR de la UE, en el que los datos son filtrados por las Unidades de Información sobre Pasajeros; sólo los datos seleccionados de personas sospechosas (y no los datos en bloque) se transmitirían a las autoridades competentes de los Estados miembros y, es de suponer, de terceros países (39). El SEPD recomienda que se aclare este punto en el texto de la propuesta. Una simple indicación en la evaluación de impacto no proporciona la protección necesaria.

85.

Si bien la selección de datos contribuiría a minimizar la repercusión de la propuesta en la intimidad de los pasajeros, debe recordarse que los principios de protección de datos van mucho más allá de la minimización de las transferencias de datos e incluyen principios como la necesidad, la transparencia y el ejercicio de los derechos del interesado, todos los cuales deben tenerse en cuenta a la hora de determinar si un país tercero proporciona un nivel adecuado de protección.

86.

La evaluación de impacto indica que el proceso de tratamiento elegido dará a la UE la posibilidad «de insistir en determinadas normas y de velar por la coherencia en estos acuerdos bilaterales con terceros países. Permitirá asimismo pedir un trato de reciprocidad a países terceros con los que la UE tiene un acuerdo, cosa que no es posible hoy por hoy» (40).

87.

Estas observaciones llevan a plantearse cuáles serán las repercusiones de la propuesta en los acuerdos existentes con Canadá y Estados Unidos. Las condiciones de acceso a los datos previstas en esos acuerdos son, en efecto, mucho menos estrictas, dado que los datos no son objeto de un proceso de selección similar antes de su transmisión a dichos países.

88.

La evaluación de impacto indica que «si la UE ha celebrado acuerdos internacionales con terceros países para intercambiar con ellos o transmitirles datos del PNR, es necesario tener debidamente en cuenta tales acuerdos. Las compañías aéreas deberían enviar datos del PNR a las Unidades de Información sobre Pasajeros aplicando las prácticas normales con arreglo a las medidas vigentes. La Unidad de Información sobre Pasajeros que reciba tales datos los transmitirá a la autoridad competente del país tercero con el que se haya celebrado el acuerdo» (41).

89.

Aunque la propuesta parece encaminada a que sólo se transfieran datos seleccionados a las autoridades competentes (de dentro y fuera de la UE), tanto la evaluación de impacto como la propia propuesta, en su preámbulo (considerando 21) y en su artículo 11, recuerdan que los acuerdos existentes deben tenerse debidamente en cuenta. Esto podría llevar a la conclusión de que el filtrado sólo sería una medida válida para los acuerdos que se celebren en el futuro. De ello podría inferirse que la norma de acceso de las autoridades estadounidenses, por ejemplo, a los datos del PNR seguirá siendo el acceso a los datos en bloque, de conformidad con lo dispuesto en el acuerdo entre la UE y Estados Unidos, pero que, paralelamente a esta norma y en función de las circunstancias de cada caso, se podría transferir a Estados Unidos información específica determinada por las Unidades de Información sobre Pasajeros que contenga otros datos además de los relacionados con vuelos con destino en Estados Unidos.

90.

El SEPD lamenta que este aspecto crucial de la propuesta no esté claro. Considera que es de capital importancia que las condiciones de transferencia de datos del PNR a terceros países sean coherentes y que se aplique a este respecto un nivel armonizado de protección. Por otra parte, por razones de seguridad jurídica, habría que incluir en la propuesta (y no sólo en la evaluación de impacto, como ocurre actualmente) precisiones sobre las garantías aplicables a la transferencia de datos.

91.

El SEPD observa que la propuesta excluye expresamente la posibilidad de que las Unidades de Información sobre Pasajeros y las autoridades competentes de los Estados miembros tomen medidas represivas basadas únicamente en los resultados del tratamiento automatizado de los datos del PNR o en el origen racial o étnico de una persona, sus convicciones religiosas o filosóficas, sus opiniones políticas o su orientación sexual (42).

92.

El SEPD se congratula de estas precisiones, ya que limitan el riesgo de que se tomen medidas arbitrarias contra personas. Sin embargo, observa que estas precisiones se limitan a las medidas represivas de las Unidades de Información sobre Pasajeros y de las autoridades competentes. No se aplican, según el enunciado actual, al filtrado automatizado de los datos de las personas en función de perfiles estándar, ni impiden que se confeccionen de forma automatizada listas de sospechosos a los que se apliquen medidas de vigilancia especial, por ejemplo, siempre y cuando tales medidas no se consideren «represivas».

93.

El SEPD considera que el concepto de medida represiva es demasiado impreciso y que, por principio, el tratamiento automatizado de los datos de una persona, por sí solo, no debería permitir tomar decisión alguna sobre ella (43). El SEPD recomienda que se modifique el texto en consecuencia.

94.

El artículo 5.2 de la propuesta ofrece una precisión importante, a saber, que las compañías aéreas no están obligadas a recoger o conservar más datos que los que recopilen en el contexto de su actividad comercial normal.

95.

Sin embargo, varios aspectos del tratamiento de estos datos merecen observaciones adicionales:

El SEPD apoya las observaciones formuladas a este respecto por el Grupo de Trabajo del artículo 29.

96.

Las compañías aéreas establecidas fuera de la UE están obligadas a emplear el método de exportación («método push») para transmitir los datos a las Unidades de Información sobre Pasajeros o a los intermediarios, siempre y cuando dispongan de los medios técnicos necesarios para ello. De lo contrario, deben permitir que los datos se obtengan por extracción («método pull»).

97.

La coexistencia de métodos diferentes de comunicación de los datos en función de las compañías aéreas sólo hará que resulte más complejo controlar el cumplimiento de las normas de protección de datos durante las transferencias de datos del PNR. Además, esa coexistencia podría distorsionar la competencia entre las compañías aéreas de la UE y las demás.

98.

El SEPD recuerda que el método de exportación de los datos, que permite a las compañías aéreas conservar el control sobre la idoneidad de los datos que se transfieren y las circunstancias de su transmisión, es el único admisible si se quiere respetar el principio de proporcionalidad del tratamiento de los datos. Por otra parte, la transmisión debe realizarse mediante una exportación efectiva, es decir, los datos no deben enviarse en bloque al intermediario, sino filtrados ya en esta primera etapa del proceso de tratamiento. No es admisible que se transmitan a terceros datos innecesarios (ni datos que no figuren en el anexo I de la propuesta), aunque vayan a ser suprimidos inmediatamente por sus destinatarios.

99.

El artículo 9 de la propuesta dispone que los datos del PNR se conserven durante un periodo de 5 años, al que se añade otro periodo de 8 años durante el cual los datos permanecerán en una base de datos inactiva, a la que se podrá acceder sólo en determinadas condiciones.

100.

El SEPD considera discutible la diferencia entre estos dos tipos de bases de datos: es discutible que la base de datos inactiva constituya un archivo real, con métodos diferentes de almacenamiento y recuperación de los datos. En efecto, la mayoría de las condiciones a las que está supeditado el acceso a la base de datos inactiva corresponden a requisitos de seguridad que podrían aplicarse igualmente al periodo de conservación de 5 años.

101.

La duración total del periodo de almacenamiento (13 años) es en cualquier caso excesiva. Se ha justificado en la evaluación de impacto aludiendo a la necesidad de elaborar indicadores de riesgo y establecer pautas de viaje y de comportamiento (46); la eficacia de tales indicadores y pautas está aún por demostrar. Si bien es obvio que los datos pueden conservarse tanto tiempo como sea necesario en casos concretos, mientras se realizan las investigaciones correspondientes, no hay motivo alguno que permita justificar la conservación de los datos de todos los viajeros durante 13 años cuando no existe sospecha alguna.

102.

El SEPD observa asimismo que este periodo de conservación no concuerda con las respuestas de los Estados miembros al cuestionario de la Comisión, ya que éstos consideraron que el periodo medio de conservación necesario sería de 3,5 años (47).

103.

Por otra parte, este periodo de 13 años es similar al periodo de conservación que se fijó en el último acuerdo celebrado con Estados Unidos (15 años). Ahora bien, el SEPD tenía entendido que ese largo periodo se había aceptado únicamente debido a las fuertes presiones del gobierno estadounidense, que quería un periodo muy superior a 3,5 años, y no porque lo hubieran defendido en ningún momento el Consejo o la Comisión. No hay razón para incorporar a un instrumento jurídico interno de la UE esta transacción, que se ha presentado siempre como un resultado necesario de las negociaciones.

104.

El Comité de Estados miembros al que se refiere el artículo 14 de la propuesta será competente para tratar cuestiones de seguridad, como protocolos y normas de cifrado de los datos del PNR, pero también para dar orientaciones sobre los requisitos generales comunes, los métodos y las prácticas relacionados con la evaluación del riesgo.

105.

Aparte de estas indicaciones, la propuesta no contiene ningún elemento o criterio relativo a las condiciones concretas o al contexto del proceso de evaluación del riesgo. La evaluación de impacto indica que los criterios dependerán en última instancia de la información analítica de que disponga cada Estado miembro, y ésta no es un dato constante. La evaluación de riesgo se realizará sin normas uniformes de identificación de sospechosos. Es discutible, pues, que el Comité de Estados miembros pueda desempeñar un papel a este respecto.

106.

La propuesta detalla una serie de medidas de seguridad (48) que han de tomar las Unidades de Información sobre Pasajeros, los intermediarios y otras autoridades competentes a fin de proteger los datos. Dada la importancia de la base de datos y los problemas que plantea el tratamiento de éstos, el SEPD considera que, además de las medidas previstas, habría que obligar a la entidad que realice el tratamiento a notificar oficialmente todo quebrantamiento de la seguridad.

107.

El SEPD está al tanto del proyecto de establecer un procedimiento de notificación de esta índole en el sector de las comunicaciones electrónicas a escala europea. Recomienda que se incluya esta salvaguardia en la propuesta, y remite a este respecto al sistema establecido por Estados Unidos para combatir el quebrantamiento de la seguridad en sus organismos oficiales (49). Pueden darse problemas de seguridad en cualquier ámbito de actividad, tanto en el sector público como en el privado, como demuestra, por poner un ejemplo reciente, la pérdida por la administración del Reino Unido de una base de datos completa sobre los ciudadanos británicos (50). Este tipo de sistemas de alerta debe aplicarse prioritariamente a las bases de datos de gran envergadura, como la prevista en la propuesta.

108.

El SEPD toma nota de que la Decisión marco que nos ocupa debe ser examinada, a los tres años de su entrada en vigor, sobre la base de un informe elaborado por la Comisión. Reconoce que en ese examen, basado en la información facilitada por los Estados miembros, se prestará especial atención a las garantías de protección de datos, a la aplicación del método de exportación de datos, a la conservación de éstos y a la calidad de la evaluación de riesgos. Para ser exhaustivo, este examen debería incluir los resultados de un análisis de los datos estadísticos elaborados a partir del tratamiento de la información del PNR. Tales estadísticas deberían incluir, además de los elementos mencionados en el artículo 18 de la propuesta, datos estadísticos sobre la identificación de personas de alto riesgo, como los criterios para tal identificación y los resultados concretos de las medidas represivas adoptadas como consecuencia de la identificación.

109.

El SEPD ha insistido ya en el presente dictamen en la ausencia de elementos concretos que demuestren la necesidad del sistema propuesto. No obstante, considera que, en caso de que la Decisión marco tuviera que entrar en vigor, debería completarse, como mínimo, con una cláusula de extinción. Al final del periodo de tres años, la Decisión marco debería ser derogada si no ha aparecido ningún elemento que demuestre la conveniencia de que siga vigente.

110.

En sus disposiciones finales, la propuesta supedita la continuación de la aplicación de los acuerdos o convenios bilaterales o multilaterales ya existentes a la condición de que sean compatibles con los objetivos de la Decisión marco propuesta.

111.

El SEPD tiene dudas sobre el alcance de esta disposición. Como ya se ha mencionado en la sección V en relación con la reciprocidad, no está claro qué repercusiones tendrá esta disposición en el contenido de acuerdos con terceros países como el celebrado con Estados Unidos. Por otra parte, tampoco está claro si esta disposición puede influir en las condiciones de aplicación de instrumentos cuyo ámbito de aplicación es mayor, como el Convenio no 108 del Consejo de Europa. Es importante evitar todo riesgo de malinterpretación, por improbable que pueda parecer dado que se trata de agentes y contextos institucionales diferentes; para ello, debe aclararse en la propuesta que ésta no afecta en modo alguno a los instrumentos que tienen un ámbito de aplicación más amplio, en particular los que tienen por objeto la protección de los derechos fundamentales.

112.

El SEPD destaca que la propuesta tendrá enormes repercusiones en la protección de datos. Se ha centrado en su análisis en los cuatro problemas principales que suscita la propuesta, e insiste en que las cuestiones que se han planteado deben resolverse de forma global. En las circunstancias actuales, la propuesta vulnera ciertos derechos fundamentales, en particular el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea, y no debe ser adoptada.

113.

Para solventar los problemas mencionados supra, especialmente la prueba de legitimidad, se han formulado en el presente dictamen algunas propuestas de redacción que el legislador debería tener en cuenta. Se trata, concretamente, de las indicadas en los apartados 67, 73, 77, 80, 90, 93, 106, 109 y 111 del dictamen.

114.

Si bien el objetivo general de combatir el terrorismo y la delincuencia organizada es en sí mismo claro y legítimo, los aspectos fundamentales del tratamiento de datos que debe implantarse no están suficientemente circunscritos y justificados.

115.

El SEPD considera que, antes de que puedan aplicarse a gran escala técnicas encaminadas a evaluar el riesgo que representa una persona sobre la base de instrumentos de prospección de datos y pautas de comportamiento, es preciso aquilatarlas mejor y demostrar claramente su utilidad en el marco de la lucha contra el terrorismo.

116.

La acumulación de diferentes bases de datos sin una visión global de sus resultados concretos y sus carencias:

117.

Indudablemente, la lucha contra el terrorismo puede constituir un motivo legítimo para aplicar excepciones a los derechos fundamentales a la intimidad y la protección de datos. Sin embargo, para que tales excepciones sean válidas, la necesidad de la injerencia debe basarse en elementos claros e indiscutibles, y debe demostrarse la proporcionalidad del tratamiento de datos propuesto. Estos requisitos son especialmente necesarios en el caso de una injerencia generalizada en la intimidad de las personas como la prevista en la propuesta.

118.

Estos elementos justificativos no están presentes en la propuesta, que no supera tampoco las pruebas de necesidad y proporcionalidad.

119.

El SEPD insiste en que las pruebas de necesidad y proporcionalidad desarrolladas supra son esenciales: constituyen una condición indispensable para la entrada en vigor de esta propuesta.

120.

El SEPD señala que existe una grave inseguridad jurídica en lo que respecta al régimen de protección de datos aplicable a los diferentes agentes que intervienen en el tratamiento según la propuesta, en particular las compañías aéreas y demás agentes del primer pilar. A estos agentes se les pueden aplicar bien las normas de la propuesta, bien las normas de la Decisión marco relativa a la protección de datos, o bien la legislación nacional de aplicación de la Directiva 95/46/CE. El legislador debe aclarar en qué etapa precisa del tratamiento se aplican estas diferentes normas.

121.

La tendencia actual a imponer de forma sistemática a los agentes del sector privado obligaciones de cooperación para fines represivos plantea la cuestión de cuál es el régimen de protección de datos (primer o tercer pilar) que regula las condiciones de tal cooperación: no está claro si las normas deben basarse en la naturaleza del responsable del tratamiento de los datos (sector privado) o en la finalidad del tratamiento (represiva).

122.

El SEPD ha mencionado ya el riesgo de que se produzca un vacío jurídico entre las actividades del primer y el tercer pilar (51). En efecto, no está nada claro si las actividades de las empresas privadas que están conectadas de alguna manera con la aplicación del Derecho penal se encuentran dentro del ámbito de actuación del legislador de la Unión Europea según los artículos 30, 31 y 34 del Tratado de la UE.

123.

Debe evitarse toda situación que dé lugar a la aplicación de diferentes regímenes de protección de datos a las operaciones de tratamiento de datos realizadas con distintos fines por los proveedores de servicios, sobre todo por las dificultades que semejante situación supondría para el ejercicio de los derechos de los interesados.

124.

La propuesta debe especificar la naturaleza de los destinatarios de los datos personales recopilados por las compañías aéreas, ya se trate de los intermediarios, de las Unidades de Información sobre Pasajeros o de las autoridades competentes.

125.

La naturaleza del destinatario, que puede ser en ciertos casos un agente del sector privado, está directamente relacionada con el tipo de garantías de protección de datos que se aplica al destinatario. Es indispensable que el régimen aplicable esté claro para todos los agentes que intervienen en el proceso, incluidos el legislador, las autoridades de protección de datos, los responsables del tratamiento y los titulares de los datos.

126.

El SEPD destaca la necesidad de asegurarse de que el país destinatario de los datos garantice un nivel adecuado de protección. Cuestiona asimismo la pertinencia del principio de reciprocidad mencionado en la propuesta, y su aplicación a países ya vinculados por un acuerdo con la UE, como Canadá o Estados Unidos. Considera que es de capital importancia que las condiciones de transferencia de datos del PNR a terceros países sean coherentes y que se aplique a este respecto un nivel armonizado de protección.

127.

El SEPD señala también a la atención del legislador varios aspectos específicos de la propuesta que requieren mayor precisión o una consideración más adecuada del principio de protección de datos. Se trata, en particular, de los siguientes:

128.

El SEPD observa que la propuesta de que se trata se presenta en un momento en que la arquitectura institucional de la Unión Europea está a punto de sufrir profundas modificaciones. Las consecuencias del Tratado de Lisboa en el proceso decisorio serán fundamentales, en particular en lo que se refiere a la función del Parlamento Europeo.

129.

Considerando que la propuesta tendrá unas repercusiones sin precedentes en lo tocante a los derechos fundamentales, el SEPD recomienda que, en lugar de adoptarla en el marco del Tratado vigente, se vele por que se le aplique el procedimiento de codecisión establecido en el nuevo Tratado. Este proceder permitirá reforzar los fundamentos jurídicos en los que se basaría la adopción de las decisivas medidas que prevé la propuesta.

1)

para la protección de la seguridad del Estado, de la seguridad pública, para los intereses monetarios del Estado o para la represión de infracciones penales;

2)

para la protección de la persona concernida y de los derechos y libertades de otras personas.».

1.5.2008   

ES

Diario Oficial de la Unión Europea

C 110/16

1.5.2008   

ES

Diario Oficial de la Unión Europea

C 110/17

—

en el sitio web de la DG Competencia del servidor Europa (http://ec.europa.eu/comm/competition/mergers/cases/). Este sitio web proporciona diversos métodos de búsqueda de las decisiones sobre concentraciones, en particular por nombre de la empresa, número de asunto, fecha de la decisión e índices sectoriales,

—

en formato electrónico en el sitio web EUR-Lex por número de documento 32008M5084. CELEX es el sistema de acceso informático a la legislación comunitaria (http://eur-lex.europa.eu).

1.5.2008   

ES

Diario Oficial de la Unión Europea

C 110/17

—

en el sitio web de la DG Competencia del servidor Europa (http://ec.europa.eu/comm/competition/mergers/cases/). Este sitio web proporciona diversos métodos de búsqueda de las decisiones sobre concentraciones, en particular por nombre de la empresa, número de asunto, fecha de la decisión e índices sectoriales,

—

en formato electrónico en el sitio web EUR-Lex por número de documento 32008M5104. CELEX es el sistema de acceso informático a la legislación comunitaria (http://eur-lex.europa.eu).

1.5.2008   

ES

Diario Oficial de la Unión Europea

C 110/18

—

en el sitio web de la DG Competencia del servidor Europa (http://ec.europa.eu/comm/competition/mergers/cases/). Este sitio web proporciona diversos métodos de búsqueda de las decisiones sobre concentraciones, en particular por nombre de la empresa, número de asunto, fecha de la decisión e índices sectoriales,

—

en formato electrónico en el sitio web EUR-Lex por número de documento 32008M4784. CELEX es el sistema de acceso informático a la legislación comunitaria (http://eur-lex.europa.eu).

1.5.2008   

ES

Diario Oficial de la Unión Europea

C 110/18

—

en el sitio web de la DG Competencia del servidor Europa (http://ec.europa.eu/comm/competition/mergers/cases/). Este sitio web proporciona diversos métodos de búsqueda de las decisiones sobre concentraciones, en particular por nombre de la empresa, número de asunto, fecha de la decisión e índices sectoriales,

—

en formato electrónico en el sitio web EUR-Lex por número de documento 32008M5092. CELEX es el sistema de acceso informático a la legislación comunitaria (http://eur-lex.europa.eu).

1.5.2008   

ES

Diario Oficial de la Unión Europea

C 110/19

—

en el sitio web de la DG Competencia del servidor Europa (http://ec.europa.eu/comm/competition/mergers/cases/). Este sitio web proporciona diversos métodos de búsqueda de las decisiones sobre concentraciones, en particular por nombre de la empresa, número de asunto, fecha de la decisión e índices sectoriales,

—

en formato electrónico en el sitio web EUR-Lex por número de documento 32008M5061. CELEX es el sistema de acceso informático a la legislación comunitaria (http://eur-lex.europa.eu).

1.5.2008   

ES

Diario Oficial de la Unión Europea

C 110/20

1.5.2008   

ES

Diario Oficial de la Unión Europea

C 110/21

1.5.2008   

ES

Diario Oficial de la Unión Europea

C 110/22

Gobierno de Navarra

Departamento de Desarrollo Rural y Medio Ambiente

C/ Tudela, 20

E-31003 Pamplona (Navarra)

Dirección General de Desarrollo Rural

C/ Tudela, 20

E-31003 Pamplona

Tlf: (34-848) 42 29 33

E-mail: izabalzv@cfnavarra.es

Gobierno de Navarra

Departement Landbouw en Visserij

Duurzame Landbouwontwikkeling

Ellips, 6e verdieping

Koning Albert II laan 35, bus 40

B-1030 Brussel

—

Artículo 4 del Reglamento (CE) no 1857/2006

—

Code général des collectivités territoriales (partie législative): articles L 1511-1 et L 1511-2

—

Délibération de la commission permanente régionale du 12 octobre 2007

a)

la construcción, adquisición o mejora de inmuebles;

b)

la compra o arrendamiento-compra de materiales y equipos nuevos, incluidos los soportes lógicos de ordenador, hasta el valor comercial del bien;

c)

los costes generales relacionados con los gastos contemplados en las letras a) y b), por ejemplo, honorarios de arquitectos, ingenieros y expertos, estudios de viabilidad, adquisición de patentes y licencias

Conseil régional du Centre

9, rue St Pierre Lentin

F-45041 Orléans cedex 1

Tél.: (33) 02 38 70 30 30

Fax: (33) 02 38 70 31 18

E-mail: Amanda.Tibble@regioncentre.fr

Departamento de Agricultura, Alimentación y Acción Rural

Generalitat de Catalunya

Gran Via de les Corts Catalanes, 612-614

E-08007 Barcelona

2007: 70 000 EUR

2008: 66 750 EUR

2009: 67 500 EUR

2010: 67 875 EUR

2011: 68 250 EUR

2012: 68 625 EUR

2013: 69 000 EUR

—

hasta el 50 % de los costes subvencionables en zonas desfavorecidas, hasta el 40 % de los costes subvencionables en otras zonas.

—

hasta el 100 % de los costes reales en el caso de inversiones en instalaciones de finalidad no productiva,

—

hasta el 60 % de los costes reales, o el 75 % en zonas desfavorecidas, en el caso de inversiones en bienes de producción de las explotaciones, siempre que la inversión no conduzca a un aumento de la capacidad de producción de la explotación,

—

podrá concederse una ayuda complementaria que cubra hasta el 100 % de los costes adicionales generados por la utilización de materiales tradicionales necesarios para mantener aspectos culturales de los edificios.

—

el importe de la ayuda municipal es la diferencia entre el importe de la cofinanciación de primas de seguro a partir del presupuesto nacional y hasta el 50 % de los costes subvencionables de primas para asegurar cultivos y productos y contra las enfermedades del ganado.

—

hasta el 100 % de los costes reales judiciales y administrativos incurridos.

—

hasta el 100 % de los costes reales incurridos; la ayuda se concederá en forma de servicios subvencionados y no podrá consistir en pagos directos en metálico a los productores.

—

hasta el 100 % de los costes de educación y formación de trabajadores agrícolas, servicios de asesoría, gastos resultantes de la organización de foros, concursos, exhibiciones y ferias, elaboración de catálogos y publicaciones, difusión de conocimientos científicos y costes de servicios de sustitución. La ayuda se concederá en forma de servicios subvencionados y no podrá consistir en pagos directos en metálico a los productores

Občina Žužemberk

Grajski trg 33

SLO-8360 Žužemberk

1.5.2008   

ES

Diario Oficial de la Unión Europea

C 110/27

1.5.2008   

ES

Diario Oficial de la Unión Europea

C 110/28

Block C, Sector 45

Greenwood City

Gurgaon 122003

Haryana

India

Express Building 9-10

Bahadur Shah Zaraf Marg

New Delhi 110002

India

1.5.2008   

ES

Diario Oficial de la Unión Europea

C 110/29