El pasado 16 de Diciembre de 2003 la Comisión Europea emitió
un comunicado para el Consejo y el Parlamento Europeos, sobre la transferencia
de los llamados “Passenger Name Record” (PNR) a las autoridades aduaneras de los
Estados Unidos, por las compañías aéreas. Estas transferencias se vienen
realizando desde el mes de Marzo, obligatoriamente y bajo la amenaza de fuertes
sanciones, de una forma indiscriminada y genérica, a pesar de que el país
receptor no cumple las exigencias de “protección adecuada” de los datos
personales, recogidas en la Directiva 95/46/CE. Esta circunstancia vulnera
además las previsiones que sobre Derechos Fundamentales recogen documentos como
la Convención Europea de Derechos Humanos (Viena, 1950) en su artículo 8, o la
Carta de Derechos Fundamentales de la UE (2000) en sus artículos 7 y 8.
La dificultad de enmarcar estas actuaciones en la legalidad de la normativa
europea, está siendo objeto de numerosos intercambios de información y
negociaciones entre las autoridades estadounidenses y las europeas. Según la
Comisión de Libertades e Informática, los dictámenes y opiniones que sobre esta
materia ha emitido el Grupo de Trabajo creado por el Artículo 29 de la Directiva
95/46/CE, están sirviendo de encuentro entre las dos partes negociadoras, pero a
pesar de ello, queda mucho por hacer hasta llegar a una decisión coherente y
definitiva en materia de transferencia de datos personales a los Estados Unidos.
En este sentido, la Comisión de Libertades e Informática, en defensa de los
Derechos Fundamentales que puedan resultar menoscabados por el mal uso de las
Nuevas Tecnologías, especialmente la Protección de Datos Personales, considera
que una postura conciliadora entre EEUU y la Unión Europea, ha de basarse en el
efectivo respeto de las normas protectoras de Derechos Fundamentales que rigen
en la UE.
SITUACIÓN ACTUAL
En el acuerdo a que se ha llegado con Estados Unidos, se
especifican las «obligaciones de las compañías aéreas que transportan a
ciudadanos de países terceros al territorio de los Estados miembros de la Unión
Europea», incluyendo la transmisión de hasta 34 datos de carácter personal de
los pasajeros: «número y tipo de título de transporte utilizado, nacionalidad,
nombre completo, fecha de nacimiento, punto de entrada en territorio de la UE,
código de transporte, hora de salida y de llegada del vuelo, número total de
pasajeros transportado y punto inicial de embarque» entre otros, y aunque la
Comisión Europea ha
afirmado que sólo serán transferidos entre 10 y 15 datos, en teoría los más
pertinentes, aún no existen las garantías legales que exige la Directiva
95/46/CE. Se permite también almacenar los datos obtenidos hasta tres años y
medio, salvo los concernientes a creencias religiosas o políticas y a la raza de
los pasajeros que deberán destruirse «en 24 horas», salvo en aquellos casos
concretos en que lo requieran las autoridades de inmigración.
La obligación de transferir determinados datos personales de todo aquel que
necesite visa para su estancia en EEUU, en especial datos biométricos (color del
pelo, de ojos, raza... etc.) y otros de carácter sensible, o de darlos en la
propia frontera a petición de las autoridades aduaneras), implica un gran riesgo
si se hace sin las precauciones necesarias. Es más, en vista de la gran cantidad
y variedad de datos afectados, no se pueden considerar adecuados, pertinentes ni
imprescindibles en cuanto a los fines que se persiguen al recogerlos y /o
tratarlos posteriormente, tal y como se estipula en el artº 6. 1. c) de la
Directiva 95/46/CE. Esto ha llevado a la Comisión de Libertades e Informática,
ha solicitar por escrito a las Embajadas de EEUU en España, y la de España en
EEUU, información sobre cómo se van a producir estas actuaciones, bajo qué
responsables y garantías, puesto que no puede justificarse en ningún caso el
exhaustivo seguimiento, vigilancia o control que pretenden realizar almacenando
datos como el número de maletas, la comida que se elige en el viaje, la
indumentaria, el color de ojos, de piel...etc.
En primer lugar, no se ha demostrado la necesidad de realizar dicha
transferencia ya que combatir el terrorismo y actos criminales relacionados con
ello, no es motivo suficiente para que exista semejante colisión entre seguridad
y libertades. En segundo lugar, no parece aceptable que una decisión unilateral,
tomada por un tercer país por motivos que tan solo obedecen a sus propios
intereses públicos, lleve a efectuar de manera periódica, generalizada y
sistemática las transferencias de datos protegidos mediante la Directiva
95/46/CE. Y en tercer lugar, y más importante, el respaldo legal está previsto
en la Directiva y hay que respetarla: el tercer Estado, el responsable del
tratamiento, ofrezca garantías suficientes respecto de la protección de la vida
privada, de los derechos y libertades fundamentales de las personas, así como
respecto al ejercicio de los respectivos derechos (...) .
INFORMACIÓN AL USUARIO Y CONSENTIMIENTO
La información al pasajero sobre el tratamiento que de sus
datos personales se vaya a hacer, así como de la finalidad y estado de la
transferencia, correrá a cargo de las compañías aéreas, que deberán detallar
todos los aspectos relevantes que le conciernan como principal interesado de
forma que sea una información correcta, completa y previa a la compra del
billete. Solo así, el individuo tendrá realmente opción para elegir si consiente
o no a la transferencia y manipulación de sus datos personales por un tercer
Estado que aún no reúne la característica de la “adecuación”.
El consentimiento del interesado está siendo objeto de debate por varios
motivos, el primero es que la Directiva 95/46/CE lo prevé para la transferencia
de datos a países que no reúnan las características de protección que se exigen
en esta norma, en el artº 26.1. a)., pero no como conditio sine qua non, ya que
hay otras posibilidades previstas (excepciones al artº 25). Por eso, la Comisión
Europea, a pesar de considerar que el consentimiento es una parte
fundamental de su programa de colaboración con Estados Unidos, cree que no debe
entorpecer el funcionamiento del programa marco en que se pretende establecer el
acuerdo final. Según el criterio de la CLI, el consentimiento no debe ser
obviado sin una justificación lo suficientemente rotunda, como para privar al
interesado (de forma “legal”) del derecho a decidir sobre el destino de sus
datos personales.
Otra información relevante, que sigue al principio del “consentimiento
informado” es la relativa al ejercicio de los derechos de acceso y
rectificación, para lo cual deberá preverse un procedimiento sencillo y gratuito
que permita al ciudadano actualizar y conocer en todo momento la situación de
sus datos personales.
Las compañías aéreas que vuelan a Estados Unidos, tienen la obligación de
cumplir con estos nuevos requerimientos de los programas APIS y US-VISIT del “US
Homeland Security Departament”, con el propósito aumentar la seguridad del
transporte aéreo. A día de hoy la Comisión Europea ya ha informado de que ha
recibido garantías de la Administración de Estados Unidos sobre el uso apropiado
de dicha información, y la compatibilidad del “Push System” en que se basa (no
acceso directo a los datos, sino transferencias previa petición), con la
normativa Europea, pero se hace necesaria una delimitación regulada de las
competencias de las autoridades estadounidenses, en el respeto del Derecho
Comunitario.
INTENCIONES DE FUTURO
Según las previsiones de la agenda de trabajo de la Comisión
Europea, en Marzo de 2004, habrá adoptado una decisión bajo el artículo 25.6 de
la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de
1995, relativa a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos, para
llegar a un acuerdo internacional que sirva de marco legal multilateral. Además,
en la Unión Europea se está actualmente trabajando en el borrador de una
Directiva que, basándose en los acuerdos alcanzados con Estados Unidos, pretende
establecer una norma similar para todos los pasajeros de terceros países que
lleguen a un aeropuerto europeo. Este documento se centrará también en la «lucha
contra la inmigración ilegal» y la «mejora de los controles fronterizos» para
combatir el terrorismo internacional.
La necesidad de un acuerdo entre las autoridades estadounidenses y las europeas,
es indudable, pues entendemos la situación de inseguridad que los atentados del
11 de Septiembre crearon en el panorama, no sólo de Estados Unidos, sino a nivel
mundial. Pero esto no justifica la violación de las normas aprobadas por el
Parlamento Europeo, y mucho menos de los Derechos Fundamentales reconocidos por
la gran mayoría de los Estados.
Ha de reconocerse a la Unión Europea su independencia, y su capacidad para
legislar y proteger a sus ciudadanos, por eso no puede pasarse por alto en la
materia que nos ocupa, la redacción del artículo 4 de la Directiva 95/46/CE o
del Considerando nº 20, que estipula «que el hecho de que el responsable del
tratamiento de datos esté establecido en un país tercero no debe obstaculizar la
protección de las personas contemplada en la presente Directiva; que en estos
casos el tratamiento de datos debe regirse por la legislación del Estado miembro
en el que se ubiquen los medios utilizados y deben adoptarse garantías para que
se respeten en la práctica los derechos y obligaciones contempladas en la
presente Directiva».
La Comisión de Libertades e Informática sigue de cerca estas iniciativas para
velar por los intereses de los ciudadanos europeos, y por el respeto a sus
Derechos y Libertades Fundamentales. En este sentido, iniciaremos una campaña de
información a los ciudadanos y de sensibilización a los grupos políticos,
sindicatos y otras organizaciones sociales y de protección al consumidor.
-------------------------------------
Forman parte de la CLI: APDHE: Asociación Pro Derechos Humanos de España, CECU:
Confederación de Consumidores y Usuarios, FADSP: Federación de Asociaciones de
Defensa de la Sanidad Pública, UGT: Unión General de Trabajadores, CCOO:
Comisiones Obreras, ALI: Asociación de Doctores, Licenciados e Ingenieros en
Informática. AI : Asociación de Internautas.
|