Estrenada la LO 1/2020: tratamiento de datos sobre pasajeros aéreos y prevención de delitos de terrorismo y otros delitos graves

Mediante esta LO se incorpora al Derecho español la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave.

Esta ley orgánica se estructura en 3 capítulos, 34 artículos, 6 disposiciones adicionales y 4 disposiciones finales.

Capítulo I: disposiciones generales

Su objeto es regular, en primer lugar, la transferencia de los datos PNR («Passenger Name Record» o Registro de Nombres de Pasajeros) por parte de las compañías aéreas y otras entidades obligadas; en segundo lugar, la recogida, el tratamiento y la protección de esos datos, su transmisión a las autoridades competentes y el intercambio de dichos datos con otros Estados miembros, Europol y terceros Estados; en tercer lugar, la designación de la Unidad de Información sobre Pasajeros española; y, por último, el régimen sancionador.

Los fines para los que pueden ser utilizados los datos PNR, se limitan únicamente a prevenir, detectar, investigar y enjuiciar delitos de terrorismo y delitos graves.

El ámbito de aplicación abarca todos los vuelos internacionales que tengan origen, destino o tránsito en España, tanto de carácter comercial como privados, con una serie de excepciones basadas en el tipo de los vuelos.

Excepcionalmente, como medida extraordinaria y siempre que existan indicios suficientes de una contrastada situación de riesgo, se podrán sujetar rutas o vuelos concretos de ámbito nacional a lo dispuesto en esta LO.

Asimismo, se definen en el art. 3 los sujetos obligados, diferenciando las compañías áreas de las entidades de gestión de reservas de vuelos.

Se determinan en el siguiente artículo los delitos de terrorismo y los demás delitos graves cuya prevención, detección, investigación o enjuiciamiento justifica la recogida de los datos PNR:

– Los delitos de terrorismo son los contemplados en la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, como delitos de las organizaciones y grupos terroristas y delitos de terrorismo.

– En cuanto a los demás delitos graves, se considera como tales, a los efectos de esta ley, aquellos castigados con una pena de prisión igual o superior a tres años por ser constitutivos de algunos de los enumerados en el anexo II de la Directiva (UE) 2016/681 arriba citada.

En el art. 5 se definen qué son los datos PNR: conjunto de datos relativos al viaje de un pasajero, reservado por él o en su nombre, que recoge la información necesaria para la gestión de la reserva.

Asimismo, se especifican los datos de los pasajeros que deben ser enviados a la Unidad de Información sobre Pasajeros, de entre los recopilados por parte de los sujetos obligados para sus propios fines comerciales en el transcurso normal de su actividad. Entre estos figuran los datos contenidos en el sistema de información anticipada sobre pasajeros (sistema API), algunos de los cuales, a diferencia de los anteriores, han sido contrastados con los documentos oficiales de identificación.

Deberá enviarse también cierta información sobre la tripulación correspondiente a los datos API. Asimismo, en el caso de los vuelos privados se deberán enviar dichos datos tanto de los pasajeros como de los tripulantes.

Capítulo II: tratamiento de los datos PNR

En su primer art. 6 se define la Unidad de Información sobre Pasajeros española (UIP), incardinada en la estructura del Centro de Inteligencia contra el Terrorismo y el Crimen Organizado dependiente de la Secretaría de Estado de Seguridad, órgano con experiencia en materia de coordinación y en la recepción y análisis de la información estratégica disponible en la lucha contra todo tipo de terrorismo y delincuencia organizada.

En su siguiente precepto se determinan las funciones de la UIP, referidas tanto a la recepción, tratamiento y análisis de los datos PNR, como a las comunicaciones e intercambios de estos con las autoridades competentes nacionales y unidades análogas de otros Estados miembros, terceros países y Europol.

El art. 8 prevé la figura del responsable de protección de datos, cuyo principal cometido será el de garantizar la rigurosa observancia de la legislación vigente en materia de protección de datos de carácter personal durante todo el proceso de recepción, tratamiento, transmisión, conservación y supresión de los datos PNR.

En relación a las obligaciones de transmisión de datos (art. 9) esta se llevará a cabo utilizando los formatos determinados y los protocolos definidos en la Decisión de Ejecución de la Comisión UE 2017/759, de 28 de abril de 2017, relativa a los protocolos comunes y los formatos de datos que deberán utilizar las compañías aéreas para la transmisión de los datos PNR a las Unidades de Información sobre Pasajeros.

El art. 10 distingue los momentos de la transmisión de datos: el primero entre las cuarenta y ocho y las veinticuatro horas anteriores a la salida programada del vuelo, y el segundo se producirá una vez cerrado el vuelo, es decir, en el momento a partir del cual nadie puede entrar en el avión ni abandonarlo. Si durante el vuelo se produce alguna modificación en el destino, también deberá ser transmitida.

El siguiente precepto se refiere al régimen jurídico aplicable al tratamiento de datos PNR. En concreto, en relación con el tratamiento de los datos de carácter personal por parte de las autoridades competentes, estas estarán sujetas al deber de proporcionar o poner a disposición del interesado la información y facilitar el ejercicio de los derechos de estos contemplados en la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y en la LO que la incorpore a nuestro ordenamiento interno

Sin perjuicio de las obligaciones establecidas en esta LO, los tratamientos de datos de carácter personal realizados por los sujetos obligados se regirán por lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por la legislación interna que se dicte en uso de la habilitación contenida en aquel.

En el art. 12 se definen los propósitos para los que la UIP realizará el tratamiento de los datos PNR mediante la utilización de una definida metodología: Evaluar a las personas a bordo de la aeronave a fin de identificar a aquellas que pudieran tener relación con delitos de terrorismo o delitos graves; revisar individualmente los resultados de dicha evaluación previa automatizada; responder peticiones de las autoridades competentes o de Europol y establecer criterios predeterminados a utilizar en esas evaluaciones.

Para ello, la UIP cotejará los datos PNR con las bases de datos disponibles y pertinentes a los efectos de la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves, y tratará los datos de acuerdo con los criterios predeterminados. Se realizará una verificación automática a priori, que, en el caso de ofrecer un resultado positivo, requerirá necesariamente una comprobación manual por parte de un especialista de la propia UIP.

En el art. 14 se precisa cuáles son las autoridades competentes que pueden solicitar o recibir datos PNR o el resultado del tratamiento de dichos datos por la UIP, con el objetivo de seguir examinando dicha información o adoptar las medidas adecuadas para prevenir, detectar, investigar y enjuiciar delitos de terrorismo y delitos graves.

Las peticiones de las autoridades competentes allí citadas serán debidamente motivadas y con suficiente base. En ningún caso se admitirán peticiones masivas y no fundamentadas. Como es lógico, todo tratamiento que lleven a cabo aquellas autoridades competentes sobre los datos recibidos de la UIP, lo será para los fines propios de la lucha contra los delitos de terrorismo y los delitos graves.

El art. 16 cumple con el mandato de intercambio de información entre los Estados miembros de la Unión. En concreto, la colaboración y cooperación entre aquellos cobra una especial relevancia en una Europa concebida como espacio de libertad, seguridad y justicia. Y dentro de esa cooperación, los aspectos relativos a la seguridad se han tornado fundamentales en los últimos años en la lucha contra el terrorismo y la criminalidad organizada. En esa línea de colaboración, España podrá enviar datos PNR o el resultado de su tratamiento a otros Estados miembros, de oficio o atendiendo una solicitud concreta. Las peticiones entre Estados han de ser motivadas y siempre orientadas al cumplimiento de los fines previstos en esta LO.

Se contempla la posibilidad de que una autoridad competente española pueda dirigirse directamente a la Unidad de Información sobre Pasajeros de otro Estado miembro para una solicitud de información, siempre que se den conjuntamente las circunstancias de urgencia e imposibilidad de comunicación con la UIP nacional. En todo caso se remitirá copia de la petición a la UIP española.

Respecto a la posible transferencia de datos a Europol, el art. 17 señala que esta se llevará a cabo electrónicamente y de forma motivada, siempre que entre dentro del ámbito de sus competencias y sea necesaria para el ejercicio de sus funciones.

En lo referente a las transferencias de datos a terceros países no miembros de la UE, la UIP podrá realizar tal tarea, en los casos concretos y concurriendo los requisitos previstos en el art. 18.

El periodo de conservación de los datos y despersonalización, según el art. 19, será de 5 años a partir de la fecha de su transmisión a la UIP. Una vez transcurridos seis meses desde su recepción, los datos PNR que permitan la identificación directa del pasajero serán despersonalizados mediante enmascaramiento, y solo se permitirá el acceso a la totalidad de los mismos previa aprobación por la autoridad judicial o por la persona titular de la Secretaría de Estado de Seguridad.

Por último, el art. 20 regula las competencias de la Agencia Española de Protección de Datos en su condición de autoridad nacional de control de datos PNR.

Capítulo III: régimen sancionador

El capítulo III, que regula el régimen sancionador, se limita a establecer las especialidades estrictamente necesarias por razón de la materia, aplicándose en lo demás el régimen general previsto en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

Así, se definen los sujetos responsables (art. 21 y 22), los regímenes especiales de responsabilidad (art. 23) y el concurso de normas (art. 24); se tipifican las infracciones que se clasifican en muy graves, graves y leves (art. 25, 26, 27, y 28); se determinan las sanciones según la infracción de que se trate (art. 29), para cuya graduación (art. 30) se tendrá en cuenta la repercusión en la seguridad pública, la gravedad, o el beneficio obtenido, entre otras circunstancias; se determina la competencia sancionadora (art. 31); y, finalmente, se incluyen las normas procedimentales especiales sobre los gastos derivados de la adopción de posibles medidas provisionales por parte del órgano competente para resolver, así como sobre la caducidad del procedimiento (art. 32, 33 y 34).

Entrada en vigor

La LO 1/2020, de 16 de septiembre, entrará en vigor el próximo 17 de noviembre de 2020, a los dos meses de su publicación en el Boletín Oficial del Estado, excepto la disposición adicional primera, que fija el plazo para comunicar los formatos de datos y protocolos de transmisión por parte de las compañías aéreas, la cual entró en vigor el pasado viernes 18 de septiembre de 2020, al día siguiente de dicha publicación.