Acuerdos PNR entre la Unión Europea y Estados Unidos

Los Acuerdos PNR (Passenger Name Record, por sus siglas en inglés) son una serie de acuerdos internacionales firmados desde 2004 entre la Unión Europea y Estados Unidos cuya finalidad es compartir determinados datos pertenecientes a pasajeros de vuelos comerciales entre Europa y Norteamérica. El objetivo de estos acuerdos es la prevención, detección, investigación y persecución de actividades terroristas y determinados crímenes transnacionales.

Sede de la Comisión Europea

El registro de datos PNR está compuesto por la información que los propios pasajeros facilitan a las aerolíneas en el momento de adquirir un billete (nombre, fecha de nacimiento, número de teléfono, medio de pago, itinerario…) y que estas recogen y almacenan con fines comerciales. El uso de estos registros de forma manual por parte de servicios de aduanas y autoridades policiales de todo el mundo ha sido una práctica habitual desde hace más de medio siglo, sin embargo, los recientes desarrollos tecnológicos, unidos a la globalización de la lucha antiterrorista derivada de los atentados del 11 de septiembre de 2001, han puesto de manifiesto la necesidad de crear un marco legal que permita compartir los datos PNR de forma efectiva y sistematizada, garantizando al mismo tiempo los derechos y libertades civiles de los pasajeros. Es precisamente en este nuevo marco legal donde se encuadran los Acuerdos PNR entre la Unión Europea y los Estados Unidos.

Acuerdo PNR 2004 y Acuerdo provisional de 2006

Como consecuencia de los ataques del 11 de septiembre de 2001, las autoridades estadounidenses impusieron a todas las aerolíneas comerciales que operaban con origen o destino en dicho país la obligatoriedad de transmitir al Departamento de Seguridad Nacional los datos de pasajeros recogidos por sus sistemas PNR, datos tales como el nombre completo, número de teléfono, dirección postal y de correo electrónico, número de pasaporte, número de tarjeta de crédito y medio de pago o solicitudes especiales relativas al regímenes particulares de alimentación y preferencias de asientos durante el vuelo. De no cumplir esta exigencia las aerolíneas se enfrentarían a cuantiosas sanciones pecuniarias e incluso podrían perder sus derechos de despegue y aterrizaje en los Estados Unidos. Esta obligación iba en contra de lo establecido en la Directiva 94/46/CE^[1]​ relativa a la protección de datos, en la que se exigía «un nivel de protección adecuado» para transferir datos personales a terceros países. La incompatibilidad del Derecho comunitario con las demandas de los Estados Unidos sumió a las aerolíneas comerciales europeas en una situación de incertidumbre y riesgo, por lo que la Comisión Europea inició un proceso de negociación con las autoridades estadounidenses.

 

Aviones de una aerolínea comercial europea.

La cuestión de la protección de datos se solucionó, aunque solo de forma temporal, mediante la Decisión de la Comisión de 14 de mayo de 2004,^[2]​ relativa a la Directiva sobre protección de datos. En este texto se establecía que las autoridades estadounidenses utilizarían los datos PNR únicamente con una triple finalidad, prevención y lucha contra el terrorismo y delitos conexos; otros delitos graves, incluida la delincuencia organizada, que tuvieran carácter transnacional y la fuga en caso de orden de arresto o detención por estos delitos señalados. En esta misma Decisión, la Comisión estimaba que la protección de datos PNR por parte de las autoridades estadounidenses resultaba compatible con las disposiciones de la Directiva 94/46/CE. Consecuentemente, el primer Acuerdo PNR fue firmado en Washington D. C. el 28 de mayo de 2004.^[3]​

Sin embargo el 27 de junio, solo un mes después de la firma, el Parlamento Europeo presentó dos recursos ante el Tribunal de Justicia de las Comunidades Europeas (hoy Tribunal de Justicia de la Unión Europea), uno contra la Decisión de la Comisión en la que la transmisión de datos PNR a Estados Unidos se declaraba compatible con la Directiva 94/46/CE y otro contra la decisión del Consejo de la UE mediante la que se había firmado el Acuerdo. El Tribunal de Justicia anuló ambos actos, considerando que la Comunidad no tenía competencia para firmar el Acuerdo y dando así la razón al Parlamento.^[4]​

La justificación dada por la Corte se basó en el antiguo artículo 45 de los Tratados de Roma y en el artículo 25 de la Directiva 95/46/CE. En opinión del Tribunal, la transmisión de datos PNR con fines comerciales (para vender billetes a cambio de los cuales se prestarían determinados servicios) sí estaba dentro del ámbito del Derecho comunitario, sin embargo, el tratamiento de estos datos tal y como se presentaba en la Decisión de la Comisión no perseguía un fin comercial sino una finalidad represiva con el objeto de salvaguardar la seguridad pública. A pesar de anular las decisiones de la Comisión y del Consejo, el Tribunal de Justicia decidió prorrogar los efectos del Acuerdo PNR hasta el 30 de septiembre de 2006.

Tras la decisión del Tribunal, la negociación de un nuevo acuerdo ya no podría hacerse desde la lógica comunitaria (primer pilar) sino desde la lógica intergubernamental (tercer pilar), lo que implicaría limitar el papel del Parlamento hasta darle una capacidad meramente consultiva y haría obligatoria la unanimidad en el seno del Consejo. Este método de negociación resultaba mucho más complejo, por lo que, ante la necesidad de alcanzar un acuerdo lo antes posible se decidió adoptar un Acuerdo provisional. De este modo, el 11 de octubre de 2006 el Consejo adoptó una decisión mediante la que autorizaba a la Presidencia Finlandesa a firmar un Acuerdo provisional con las autoridades estadounidenses para continuar transfiriendo datos PNR.^[5]​

Las disposiciones del nuevo Acuerdo provisional (respecto al cual el Parlamento, en su papel consultivo, expresó numerosas reticencias) eran muy similares a las del Acuerdo de 2004. Las autoridades estadounidenses tendrían acceso a los datos PNR para combatir el terrorismo y otros crímenes transnacionales. El método para la obtención de estos datos por parte del Departamento de Seguridad Nacional continuaría siendo el conocido como «método pull», mediante el cual era la agencia receptora de los datos la que iniciaba la solicitud de transmisión accediendo directamente al sistema de reservas de las aerolíneas. Una novedad de este nuevo Acuerdo respecto al anterior sería el mayor número de agencias de seguridad norteamericanas que tendrían acceso a los datos PNR de las aerolíneas europeas. Con el Acuerdo provisional PNR de 2006 cualquier agencia de seguridad estadounidense que tuviera como función luchar contra el terrorismo tendría acceso a estos datos, además, el Departamento de Seguridad Nacional podría ampliar el número de campos exigidos (inicialmente serían 34) y estos podrían ser almacenados durante periodos superiores a tres años y medio.

Acuerdo PNR 2007

Dado el carácter provisional del Acuerdo de 2006 y la necesidad de un Acuerdo permanente que regulara la transmisión de datos PNR, la Unión Europea negoció, una vez más desde la perspectiva del tercer pilar, un nuevo convenio cuya firma se produciría el 29 de junio de 2007.^[6]​ Este acuerdo, que a la espera de ser ratificado por los Estados miembros se aplicaría de forma provisional desde el momento de su firma, se basaba en los antiguos artículos 24 y 38 TUE. Una vez más el Parlamento Europeo, desde su capacidad meramente consultiva, hizo constar su preocupación con respecto a la protección que las autoridades estadounidenses darían a los datos transferidos.^[7]​ De este modo, hizo saber al resto de instituciones que el nuevo Acuerdo no respetaba los estándares sobre protección de datos en la UE, además de no prever una autoridad independiente para que supervisara la transferencia ni vías de recurso adecuadas.

El Acuerdo PNR 2007 preveía, entre otras disposiciones, un cambio en el método para la obtención de los datos, pasando del método push al método pull antes del 1 de enero de 2008, lo que implicaba que serían las propias aerolíneas las que transmitirían los datos PNR al Departamento de Seguridad Nacional sin necesidad de que este accediera a su sistema de reservas, sin embargo esta disposición nunca llegó a aplicarse.

Respecto a la composición del nuevo acuerdo conviene señalar que resultó considerablemente más compleja que la de los dos anteriores. El texto firmado por ambas partes iba acompañado de dos cartas anejas, la primera era una declaración en la que los Estados Unidos garantizaban que tratarían los datos PNR de forma adecuada y los utilizarían únicamente para luchar contra el terrorismo, contra otros delitos de carácter transnacional y contra la fuga en caso de orden de arresto o detención por dichos delitos. El Departamento de Seguridad Nacional conservaría además los datos durante un periodo total de 15 años, pasando los últimos ocho a un sistema de almacenamiento no operativo. El segundo anejo era una declaración en la que la UE confirmaba que, sobre la base de las garantías ofrecidas por los Estados Unidos, consideraba que la protección de datos PNR ofrecida por el Departamento de Seguridad Nacional era la adecuada para los niveles de protección europeos. El hecho de que muchas de las disposiciones del Acuerdo estuvieran contenidas en estas cartas despertó numerosas críticas por parte de algunos autores, que consideraron que constituían un peligro desde la perspectiva de la protección de datos.^[8]​

Acuerdo PNR 2011

Con la entrada en vigor del Tratado de Lisboa (1 de diciembre de 2009) el Parlamento Europeo adquirió una serie de poderes relativos a la conclusión de acuerdos internacionales que resultarían decisivos para el nuevo Acuerdo PNR 2011. Este nuevo marco legal, implementado mediante el Acuerdo marco sobre las relaciones entre el Parlamento Europeo y la Comisión Europea,^[9]​ pretendía reforzar la legitimidad democrática de la Unión también en el plano de la política exterior. El Parlamento tendría ahora la capacidad de aprobar o rechazar cualquier acuerdo internacional entre la UE y uno o varios terceros estados, siempre que dicho acuerdo cumpliera ciertos requisitos (artículo 218 TFUE). También podría proponer enmiendas o modificaciones y debería ser informado de forma regular sobre las diferentes etapas del proceso de negociación.

Con esta nueva capacidad, y teniendo en cuenta que el Acuerdo PNR 2007 venía aplicándose de forma provisional desde hacía varios años, el Parlamento, mediante una Resolución, exigió que se negociaran nuevos acuerdos para la transmisión de datos PNR no solo con Estados Unidos, sino también con Australia y Canadá, con quienes ya existían acuerdos desde 2008 y 2006 respectivamente.^[10]​ El Parlamento señaló además que estos nuevos acuerdos deberían cumplir una serie de requisitos mínimos, como limitar la transmisión de datos PNR a la lucha contra el terrorismo y crímenes transnacionales (siguiendo la definición de estos dada por el Consejo^[11]​); el método para la obtención de datos debería ser únicamente el método push; la información obtenida del procesamiento de los datos debería compartirse con las autoridades de la UE y de sus Estados miembros; además los acuerdos debían prever mecanismos de control democrático y autoridades de supervisión independientes.

 

Cecilia Malmström, comisaria de Asuntos de Interior durante la negociación y firma de los acuerdos.

Siguiendo lo establecido en los artículos 216 y siguientes del TFUE relativos a la conclusión de acuerdos internacionales, el proceso de negociación entre la Comisión Europea y las autoridades estadounidenses finalizó con la firma del nuevo Acuerdo PNR por parte del Consejo de la UE el 13 de diciembre de 2011, tras lo cual el texto fue enviado al Parlamento Europeo a la espera de que este lo ratificara. A pesar de que la aprobación del Acuerdo en el seno de la Comisión Parlamentaria de Libertades Civiles resultó de una votación bastante ajustada (31 votos a favor y 23 en contra), el Parlamento Europeo reunido en pleno aprobaría el texto final por 409 votos a favor y 226 en contra.^[12]​

Tras la entrada en vigor del nuevo Acuerdo PNR puede decirse que la transmisión de datos de ciudadanos europeos al Departamento de Seguridad Nacional presenta un nuevo marco legal más claro y definido que ofrece más garantías en lo concerniente a la protección de datos, dando al mismo tiempo un paso más en la lucha contra el terrorismo a nivel global y en la protección de la ciudadanía a ambos lados del Atlántico. En palabras de Cecilia Malmström, comisaria de Asuntos de Interior, «supone una mejora considerable respecto al Acuerdo de 2007. El nuevo Acuerdo PNR contiene sólidas garantías respecto a la privacidad de los ciudadanos europeos sin socavar su efectividad en términos de seguridad».^[13]​ A pesar de que este texto fue aprobado por el Parlamento, conviene señalar que también ha despertado numerosas críticas por parte de diversas organizaciones que consideran que la protección de datos PNR ofrecida por las autoridades estadounidenses continúa siendo insuficiente.

Entre las numerosas disposiciones del nuevo Acuerdo, cabe destacar las siguientes:

• El texto contiene una descripción más clara de la finalidad para la que pueden usarse los datos PNR: prevención, detección, investigación y persecución de actividades terroristas y otros crímenes transnacionales. Estos crímenes se definen como ofensas sancionables con tres o más años de prisión según la legislación de los Estados Unidos. Quedarán excluidos de esta lista delitos menores, aunque los datos PNR podrán utilizarse igualmente para hacer frente a delitos graves como tráfico de drogas o de seres humanos. Además, de ser solicitados por un tribunal estadounidense, los datos PNR también podrán utilizarse para proteger intereses vitales de los pasajeros, como por ejemplo protección frente a enfermedades contagiosas.
• Los datos PNR podrán almacenarse durante un periodo de tiempo limitado. Los datos serán «despersonalizados» seis meses después de ser enviados a las autoridades estadounidenses y serán retenidos por un periodo de 15 años. Al término de los primeros cinco años serán trasladados a una base de datos no operativa donde su acceso quedará restringido mediante controles adicionales y condiciones más estrictas, lo que supone una novedad respecto al Acuerdo de 2007.
• El método para la transmisión de los datos será exclusivamente el método push. Esto supone otra novedad respecto al anterior Acuerdo, pues el Acuerdo PNR 2011 contempla únicamente dos supuestos en los que se podrá recurrir al método pull: en caso de fallo técnico que impida a la aerolínea transmitir los datos y cuando sea estrictamente necesario para prevenir una amenaza urgente.
• Los datos PNR de todos los pasajeros de vuelos entre la UE y los Estados Unidos se transmitirán al Departamento de Seguridad Nacional. El Acuerdo contempla 19 campos de datos.
• Los pasajeros podrán tener acceso a sus propios datos, tendrán derecho a solicitar que estos sean modificados o borrados y podrán interponer recursos según lo dispuesto en la legislación estadounidense. Determinados datos especialmente sensibles tales como información referente a la salud se almacenarán en un archivo diferente y serán borrados a los 30 días.

• La supervisión del procesamiento de datos se llevará a cabo a través de entidades independientes, como el Congreso estadounidense o la Oficina Pública de Contabilidad (US Government Accountability Office).
• Los datos PNR únicamente podrán transmitirse a terceros estados tras una autorización caso por caso, ofreciendo un grado elevado de protección y solo para luchar contra el terrorismo y crímenes transnacionales.
• El Acuerdo tendrá una validez de 7 años y será renovado automáticamente. Cualquiera de las dos partes podrá ponerle fin, en el caso de la UE la Comisión deberá emitir una propuesta que tendrá que ser adoptada por el Consejo tras la aprobación del Parlamento.

PNR Europeo

En este mismo contexto debe señalarse que la Unión Europea, dentro de la «Estrategia de seguridad interior de la Unión Europea en acción»^[14]​ presentada por la Comisión en noviembre de 2010, también pretende crear un sistema de transmisión de datos PNR en el que las compañías que operen vuelos con origen o destino en uno de los 28 estados de la Unión deberán transmitir dicha información a las autoridades estatales. Como cabía esperar, la propuesta de Directiva ha sido objeto de un acalorado debate en el Parlamento Europeo, especialmente en el seno de la Comisión de Libertades Civiles, donde obtuvo 30 votos en contra y 25 a favor. El principal argumento de quienes se posicionan en contra del texto propuesto por la Comisión Europea es que este no respeta el principio de proporcionalidad y contradice lo establecido en el artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea y en el artículo 16 del TFUE. Por el contrario, la posición de quienes defienden la implementación de este sistema se basa en el valor añadido que este supondría a nivel europeo, pues, teniendo en cuenta que algunos miembros como el Reino Unido o Francia ya utilizan un sistema similar a título individual, la transmisión de datos PNR de forma unitaria en toda la UE constituiría una herramienta mucho más eficaz en la lucha contra el terrorismo y en la protección de los ciudadanos.

Referencias

1. Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos DO 1995, L 281.
2. Decisión de la Comisión de 14 de mayo de 2004 relativas al carácter adecuado de la protección de los datos personales incluidos en los registros de nombres de los pasajeros que se transfieren al Servicio de aduanas y protección de fronteras de los Estados Unidos (Bureau of Customs and Border Protection) DO 2004, L 235/11.
3. Acuerdo entre la Comunidad Europea y los estados Unidos de América sobre el tratamiento y la transferencia de los datos de los expedientes de los pasajeros por las compañías aéreas al Departamento de seguridad nacional, Oficina de aduanas y protección de fronteras, de los Estados Unidos. DO 2004, L 183/84.
4. Sentencia del Tribunal de Justicia de 30 de mayo de 2006 en los asuntos acumulados C-317/04 y C-318/04, Parlamento contra Consejo.
5. Decisión 2006/729/PESC/JAI del Consejo, de 16 de octubre de 2006, relativa a la firma, en nombre de la Unión Europea, de un Acuerdo entre la Unión Europea y los Estados Unidos de América sobre el tratamiento y la transferencia de datos del registro de nombres de los pasajeros (PNR) por las compañías aéreas al Departamento de Seguridad del Territorio Nacional de los Estados Unidos. DO 2006, L 298.
6. Acuerdo entre la Unión Europea y los Estados Unidos de América sobre el tratamiento y la transferencia de datos del registro de nombres de los pasajeros (PNR) por las compañías aéreas al Departamento de Seguridad Nacional de los Estados Unidos. DO 2007, L 204/18.
7. Resolución del Parlamento Europeo de 12 de julio de 2007 sobre el acuerdo PNR con los Estados Unidos de América. P6_TA(2007)0347.
8. Ver V. Papakonstantinou y P. de Hert. “The PNR Afreement and transatlantic anti-terrorism co-operation: no firm human rights framework on either side of the Atlantic”. Common Market Law Review 2009, nº 46, p885-906.
9. Acuerdo marco sobre las relaciones entre el Parlamento Europeo y la Comisión Europea, de 20 de octubre de 2010. DO 2010, L 304/47.
10. Resolución del Parlamento Europeo de 5 de mayo de 2010 sobre el inicio de las negociaciones para los acuerdos relativos al registro de nombres de los pasajeros (PNR) con los Estados Unidos, Australia y Canadá. TA(2010)0144.
11. Decisión marco 2008/919/JAI del Consejo, de 28 de noviembre de 2008, por la que se modifica la Decisión marco 2002/475/JAI sobre la lucha contra el terrorismo. DO, 2008 L 330.
12. Ver http://www.infosecurity-magazine.com/view/25284/european-parliament-approves-the-controversial-euus-pnr-agreement/
13. Comisión Europea, comunicado de prensa de 17 de noviembre de 2011, IP/11/1368. Disponible en http://europa.eu/rapid/press-release_IP-11-1368_en.htm?locale=en
14. Comisión Europea, Comunicado de prensa de 22 de noviembre de 2010, MEMO/10/598. Disponible en http://europa.eu/rapid/press-release_MEMO-10-598_en.htm?locale=en

Bibliografía

• J.L. Pérez Francesch, T. Gil Márquez, y A. Gacitúa Espósito. “Informe sobre el PNR. La utilización de datos personales contenidos en el registro de nombres de pasajeros: ¿fines represivos o preventivos?”, Institut de Ciències Polítiques i Socials (Working paper nº 297).

• J. Santos Vara y E. Fahey. “Transatlantic relations and the operation of FASJ flexibility”. En: Steven Blockmans (ed.). Diferentiated integration in the EU, from the inside looking out. Brussels: Centre for European Political Studies, p. 103-125.

• J. Santos Vara, “The role of the European Parliament in the conclusion of the Transatlantic Agreements on the transfer of personal data after Lisbon”, Centre for the law of EU external relations (Working paper 2013/2).

• V.Papakonstantinou y P. de Hert. “The PNR Agreement and transatlantic anti-terrorism co-operation: no firm human rights framework on either side of the Atlantic”. Common Market Law Review 2009, nº46, p. 885-906.