Dictamen del EDPS sobre la recogida y cesión de información anticipada sobre los pasajeros

El pasado mes de diciembre, la Comisión Europea publicó dos propuestas de reglamento relativas a la recogida y cesión de información anticipada sobre los pasajeros o Advance Passenger Information (conocida como “API”).

A este respecto, el European Data Protection Supervisor (“EDPS”) ha emitido su Dictamen 6/2023 que analiza la implicación desde el punto de vista de la protección de datos de:

• La Propuesta de Reglamento relativa a la recogida y la transferencia de información anticipada sobre los pasajeros (conocido como “API Border Management Proposal”) y

• La Propuesta de Reglamento a la recogida y la transferencia de información anticipada sobre los pasajeros para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave (conocido como “API Law Enforcement Proposal”).

En primer lugar, cabe decir que la preocupación que motiva la emisión del Dictamen 6/2023 no guarda relación con el tratamiento de datos de API pues, como se aclara en el mismo documento, este tratamiento se venía haciendo hasta la fecha en aplicación de normativa comunitaria.

No obstante, el EDPS resalta la importancia de tener en cuenta la Sentencia del Tribunal de Justicia de la Unión Europea sobre el Asunto C-817/19 (“Asunto C-817/19”) sobre la validez de Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave (“Directiva PNR”).

A este respecto, cabe decir que, si bien la API Law Enforcement Proposal derogará la Directiva PNR el régimen jurídico es similar y, por tanto, debe tenerse en cuenta las clarificaciones y limitaciones del TJUE en el Asunto C-817/19 y, especialmente, las relativas al tratamiento de datos API de vuelos intracomunitarios.

En relación con todo lo anterior, destacamos los siguientes puntos del Dictamen 6/2023 por resultar, a nuestro parecer, los más interesantes:

•  En términos generales el EDPS considera que la solución propuesta para los vuelos intracomunitarios es suficiente para garantizar el cumplimiento del Asunto C-817/19, pero invita a estudiar la posibilidad de elaborar nuevos criterios armonizados para la selección de los vuelos intracomunitarios.

• En relación con la seguridad de los datos API, el Dictamen 6/2023 señala que la API Law Enforcement Proposal es muy genéricas y no ofrece medidas específicas. Por ello, recomienda que se modifique la redacción para prever medidas específicas que garanticen la seguridad de los datos de la API tratados y, en concreto, anima a que se tenga en cuenta el uso de la seudonimización y/o encriptación de los datos API.

• Tendrán la consideración de responsables del tratamiento de los datos API las compañías aéreas en relación con su recogida y cesión al encaminador y, a su vez, las autoridades transfronterizas competentes de los datos cedidos a traves del encaminador. Por su lado, la Agencia de la Unión Europea para la Gestión Operativa de Sistemas Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia, que es la autoridad competente de desarrollar y gestionar el encriptador, tendrá la consideración de encargado del tratamiento.

• Por último, el EDPS hace especial hincapié en el artículo 12 de la API Border Management Proposal y anima a modificar dicho artículo para que se incluya la obligación de suprimir aquellos datos API que no sean estrictamente necesarios o, en caso de imposibilidad técnica del encriptador, suprimir inmediatamente estos datos.

Ahora corresponde al Parlamento Europeo y al Consejo examinar las Propuestas. Una vez adoptadas, las normas serán directamente aplicables en toda la Unión Europea. Está previsto que las nuevas normas sobre recogida y transferencia de datos API se apliquen plenamente a partir de 2028. Una vez desarrollado el enrutador, lo que está previsto para 2026, las autoridades públicas y las compañías aéreas dispondrán de dos años para adaptarse a los nuevos requisitos y probar el enrutador, antes de que sea obligatorio.