Varios medios de comunicación (Diario de Navarra, El Mundo) publicaban ayer que el Tribunal de Justicia de las Comunidades Europeas ha anulado la Decisión 2004/496/CE del Consejo, de 17 de mayo de 2004 (pdf), relativa a la celebración de un Acuerdo entre la Comunidad Europea y los Estados Unidos de América sobre el tratamiento y la transferencia de los datos de los expedientes de los pasajeros por las compañías aéreas al Departamento de seguridad nacional, Oficina de aduanas y protección de fronteras, de los Estados Unidos, así como la Decisión 2004/535/CE de la Comisión, de 14 de mayo de 2004 (pdf), relativa al carácter adecuado de la protección de los datos personales incluidos en los registros de nombres de los pasajeros que se transfieren al Servicio de aduanas y protección de fronteras de los Estados Unidos (Bureau of Customs and Borders Protection).
Dichas decisiones, junto con el Acuerdo (pdf) al que se hace referencia en la primera de ellas, constituían el paraguas legal que permitía que las compañías aéreas cedieran los datos de los registros de nombres de pasajeros (PNR, Passenger Name Records) en los vuelos con origen o destino a EE.UU.. Dado que dicha cesión constituía una transferencia internacional de datos a un país que en principio no proporciona un nivel de protección equiparable al de la Unión Europea, sujeta a un incómodo régimen que obliga a pedir autorizaciones, hacía falta una norma que permitiera dicho tráfico. En palabras del propio Consejo, según se señala en la Sentencia del TJCCEE, «la lucha contra el terrorismo, que justifica las medidas propuestas, constituye una prioridad esencial de la Unión Europea, [que] en la actualidad las compañías aéreas y los pasajeros se encuentran en una situación de incertidumbre que es preciso remediar con urgencia [y que], además, es fundamental proteger los intereses financieros de las partes afectadas». Los intereses a los que se refería eran los de las compañías aéreas, ya que aún antes de firmarse el Acuerdo las autoridades estadounidenses les sancionaban por incumplir la obligación de remitirles los datos que establecía unilateralmente, y en contra de la normativa europea, la legislación americana.
La concreción de los datos que se cedían era tan precisa como «toda la información necesaria para que sea posible la tramitación y control de reservas por parte de las compañías aéreas de la reserva y de las compañías aéreas participantes respectivamente», sin que además del contenido tampoco se detallara cómo se gestionarían dichos datos (acceso, modificación, cancelación, almacenamiento, cesiones previstas,…). El PNR contiene los datos de quien formula la reserva (no de quien vuela) y puede ser más o menos básico, pero también puede incluir información sobre otros servicios contratados junto con el vuelo, el nombre del agente o acompañantes del pasajero.
Con todo, el Acuerdo se firmó, pero el Parlamento Europeo, junto con el Supervisor Europeo de Protección de Datos, presentó dos recursos de anulación contra dichas Decisiones. El motivo de dicha anulación es que éstas infringen el ámbito de aplicación de la Directiva 95/46/CE, de 24 de octubre, que claramente excluye (artículo 3) el tratamiento de datos personales que tengan por objeto la seguridad pública, la defensa, la seguridad del Estado y las actividades del Estado en materia penal, pues los datos de los PNR se utilizan únicamente para los fines de «prevención y lucha contra el terrorismo y delitos conexos, otros delitos graves, incluida la delincuencia organizada, que tengan un carácter transnacional y la fuga en caso de orden de arresto o detención por estos delitos», encontrándose por tanto dicha autorización para la cesión de datos fuera del marco legal y sin efecto alguno.
La solución es satisfactoria para los usuarios pero plantea a las compañías aéreas el dilema de elegir entre ser sancionadas por el Departamento de Seguridad de EE.UU. o por las autoridades correspondientes en materia de protección de datos de los países de la Unión, considerando claro que éstas últimas no avalen estas cesiones de datos.
ACTUALIZACIÓN (12-09-2006): El Diario Oficial de la Unión Europea publica hoy la comunicación de la denuncia (pdf) del Consejo y la Comisión a EE.UU. por la que se acuerda la derogación del mencionado acuerdo con efectos desde el 30 de septiembre.
Sé el primero en comentar