La conservación de datos de los pasajeros solo se justifica ante una amenaza grave, según el abogado general del TJUE

La conservación generalizada e indiferenciada de los datos del registro de nombres de los pasajeros (PNR) no anonimizada solo se justifica frente a una amenaza grave, real y actual o previsible para la seguridad de los Estados miembros, y a condición de que la duración de esa conservación se limite a lo estrictamente necesario, según el dictamen del abogado general del Tribunal de Justicia de la Unión Europea (TJUE) por Italia, Giovanni Pitruzzella.

El abogado general, que opera a modo de asesor al tribunal del caso –es una figura que procede del sistema legal francés y que no tiene España– hace esta precisión tras apuntar que la transferencia y el tratamiento automatizado generalizado e indiferenciado de los datos es compatible con los derechos fundamentales al respeto de la vida privada y a TJUE abogado generalla protección de los datos de carácter personal.

Y es que la utilización de los datos del registro de pasajeros constituye un elemento importante de la lucha contra el terrorismo y la delincuencia grave.

A tal fin, la Directiva PNR establece el tratamiento sistemático de un número considerable de datos de los pasajeros aéreos a la entrada y salida de la Unión. Además, prevé la posibilidad de que los Estados miembros puedan aplicarla también a los vuelos interiores de la Unión Europea.

La Liga de Derechos Humanos (LDH) es una asociación belga sin ánimo de lucro que, en julio de 2017, interpuso ante el Tribunal Constitucional belga un recurso de anulación contra la Ley de 25 de diciembre de 2016 que transponía al Derecho belga las Directivas PNR y la Directiva API, sobre la obligación de los transportistas de comunicar los datos de las personas transportadas.

Según la asociación, esta Ley vulnera el derecho al respeto de la vida privada y a la protección de los datos personales garantizado por el Derecho belga y por el Derecho de la Unión. Critica, por un lado, el carácter muy amplio de los datos PNR y, por otro lado, el carácter general de la recogida, la transferencia y el tratamiento de dichos datos.

A su juicio, la Ley menoscaba asimismo la libre circulación de personas, por cuanto restablece indirectamente controles en las fronteras al extender el sistema PNR a los vuelos interiores de la UE.

En octubre de 2019, el Tribunal Constitucional planteó al TJUE diez cuestiones prejudiciales relativas a la validez y la interpretación de las Directivas PNR y API, así como a la interpretación del Reglamento General de Protección de Datos (RGPD).

En sus conclusiones, el abogado general precisa que, cuando unas medidas que conllevan injerencias en los derechos fundamentales reconocidos en la Carta de los Derechos Fundamentales de la Unión Europea, emanan de un acto legislativo de la Unión, incumbe al legislador de la Unión fijar los elementos esenciales que definen el alcance de esas injerencias.

Recuerda que aquellas disposiciones que impongan o permitan la comunicación de datos personales de personas físicas a un tercero, como una autoridad pública, deben calificarse, a falta de consentimiento de tales personas físicas y cualquiera que sea el uso posterior que se haga de los datos en cuestión, de injerencia en su vida privada, así como de injerencia en el derecho fundamental a la protección de los datos de carácter personal.

Esas injerencias solo pueden justificarse si están previstas por la ley, respetan el contenido esencial de dichos derechos y, dentro del respeto del principio de proporcionalidad, son necesarias y responden efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás.

Hay que tener en cuenta que sus conclusiones son una propuesta, por lo que no vinculan al Tribunal de Justicia. Una vez conocida la solución jurídica que plantea el abogado general, el TJUE comienza sus deliberaciones antes de dictar sentencia en ese asunto C-817/19.

Concluye que el anexo I, punto 12, de esta Directiva es inválido, en la medida en que dicha disposición incluye, entre las categorías de datos que se han de transferir, la rúbrica ‘observaciones generales’, que abarca toda la información recogida por los transportistas aéreos en el marco de su actividad de prestación de servicios, además de las expresamente enumeradas en los demás puntos de ese anexo I.

La Directiva PNR enuncia una prohibición general de tratamiento de datos sensibles, incluida igualmente su recogida

Por lo demás, el abogado general subraya que los datos que los transportistas aéreos están obligados a transferir a las UIP conforme a la Directiva PNR son pertinentes, adecuados y no excesivos en relación con los objetivos perseguidos por esa Directiva, y que su alcance no excede de lo estrictamente necesario para la consecución de tales objetivos.

Asimismo, considera que esa transferencia está acompañada de garantías suficientes para, por un lado, velar por que únicamente se transfieran los datos expresamente referidos y, por otro lado, garantizar la seguridad y la confidencialidad de los datos transferidos.

El abogado general recuerda, además, que la Directiva PNR enuncia una prohibición general de tratamiento de datos sensibles, incluida igualmente su recogida, de modo que el sistema PNR prevé garantías suficientes que permiten excluir, en cada etapa del tratamiento de los datos recogidos, que dicho tratamiento pueda tener en cuenta, directa o indirectamente, características protegidas.

A su juicio, la adopción de un sistema de tratamiento de los datos PNR armonizado a escala de la Unión, en lo que atañe tanto a los vuelos exteriores de la UE como a los vuelos interiores de la UE, permite garantizar que el tratamiento de esos datos se realice respetando el elevado nivel de protección de los derechos fundamentales contemplados en la Carta.

Asimismo, subraya la importancia fundamental que, dentro del sistema de garantías establecido por la Directiva PNR, reviste la supervisión ejercida por una autoridad de control independiente, dotada de la facultad de verificar la licitud de ese tratamiento, de realizar investigaciones, inspecciones y auditorías, y de tratar las reclamaciones presentadas por toda persona afectada.

Por otro lado, propone interpretar la Directiva PNR, conforme a la Carta, en el sentido de que la conservación de los datos PNR suministrados por los transportistas aéreos a la UIP durante un período de cinco años únicamente está permitida, una vez efectuada la evaluación anticipada, en la medida en que consta, sobre la base de criterios objetivos, una relación entre esos datos y la lucha contra el terrorismo o la delincuencia grave.

Y es que, concluye que una conservación generalizada e indiferenciada de los datos PNR de forma no anonimizada solo puede justificarse frente a una amenaza grave para la seguridad de los Estados miembros que resulte real y actual o previsible, relacionada, por ejemplo, con actividades de terrorismo, y a condición de que la duración de esa conservación se limite a lo estrictamente necesario.

Noticias Relacionadas:

Sacyr, multado con 15.000 euros por enviar un email a la cuenta personal de una empleada sin copia oculta

«Es de chiste»: la rampa del local de Pablo Iglesias, la Taberna Garibaldi, vulnera por completo la normativa

El cartel de «solo en efectivo»: cada vez más frecuente y legal

Un restaurante, multado con 10.000 euros por difundir imágenes del torso semidesnudo de un cliente

La AEPD multa con 200.000 euros al Burgos CF por irregularidades al pedir la huella dactilar a sus socios

El Supremo anula parte del Real Decreto que limita la publicidad de las apuestas online