Desde la Comisión de Libertades e Informática, velamos por los intereses de los ciudadanos españoles, dentro y fuera de nuestras fronteras, en materia de tratamiento automatizado de datos de carácter personal y cualesquiera otras actuaciones que, a través de las Nuevas Tecnologías, puedan menoscabar los Derechos Fundamentales que nuestra legislación protege.
ANTECEDENTES
El 16 de Diciembre de 2003 la Comisión Europea emitió un comunicado para el Consejo y el Parlamento Europeos, sobre la transferencia de los llamados Passenger Name Record (PNR en adelante) a las autoridades aduaneras de los Estados Unidos, por las compañías aéreas. Estas transferencias se venían realizando desde el mes de Marzo 2003, obligatoriamente y bajo la amenaza de fuertes sanciones, de una forma indiscriminada.
De entrada, la Comisión de Libertades e Informática consideró que una postura conciliadora entre EEUU y la Unión Europea, ha de basarse en el efectivo respeto de las normas protectoras de los Derechos Fundamentales que rigen en la UE.
SITUACIÓN hasta hoy
Muy en síntesis, el US-VISIT es un programa que el Gobierno de EEUU estableció para mejorar el control del sistema de entrada y salida en Estados Unidos. Permite que se verifique efectivamente la identidad de los visitantes entrantes.
La iniciativa involucra la recopilación de información sobre el viaje y datos tan sensibles como los identificadores biométricos (tales como huellas dactilares utilizando un simple dispositivo sin tinta) de los visitantes, obligatorio a partir de mediados de este año, para ayudar a los oficiales de la guardia fronteriza a tomar decisiones sobre las admisiones.
La gravedad de la situación descrita estriba también en que no todos sus aspectos respetan la legislación europea, partiendo de los derechos y libertades que sobre la intimidad y la privacidad que recogen la Convención Europea de Derechos Humanos (Viena, 1950) en su artículo 8; la Declaración Universal de Derechos Humanos (ONU, 1948) en su artículo 12 y la Carta de Derechos Fundamentales de la UE (18/12/2000) en sus artículos 7 y 8. Las autoridades aduaneras estadounidenses se están excediendo en sus competencias y están interfiriendo en las potestades de las autoridades judicial y de inmigración europeas.
OBJETIVO DE LA CLI :ASEGURAR EL NIVEL DE PROTECCIÓN
La transferencia de datos personales por un Estado Miembro a un tercer Estado, debe fundarse en el artículo 25.6 de la Directiva 95/46/CE, y garantizar un nivel de protección adecuado en el tratamiento que se vaya a hacer de esos datos. Se deben por tanto respetar las leyes vigentes en esta materia en el país de procedencia, y en ningún caso establecer de forma unilateral medidas o normas que puedan vulnerar los derechos fundamentales de las personas titulares de los datos.
Si bien es cierto que existen excepciones, previstas en el artículo 26, y los Estados miembros podrán disponer que pueda efectuarse una transferencia de datos personales a un país tercero que no garantice un nivel de protección adecuado con arreglo a lo establecido, siempre y cuando, (destacando entre otras cosas), el interesado haya dado su consentimiento inequívocamente a la transferencia prevista, o la transferencia sea necesaria o legalmente exigida para la salvaguardia de un interés público importante, (...).
En primer lugar, no se ha demostrado la necesidad de realizar dicha transferencia ya que combatir el terrorismo y actos criminales relacionados con ello, no es motivo suficiente para que exista semejante colisión entre seguridad y libertades. En segundo lugar, no parece aceptable que una decisión unilateral, tomada por un tercer país por motivos que tan solo obedecen a sus propios intereses públicos, lleve a efectuar de manera periódica, generalizada y sistemática las transferencias de datos protegidos mediante la Directiva.
Otra posibilidad que se prevé en la Directiva, es la de que el tercer Estado, el responsable del tratamiento, ofrezca garantías suficientes respecto de la protección de la vida privada, de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los respectivos derechos (...) . Es evidente que desde Marzo de 2003 se están haciendo estas transferencias de datos por las compañías aéreas, obligadas por la amenaza de fuertes sanciones, y sin haber tenido garantía alguna de que se va a dar la protección adecuada respetando la normativa europea.
Normativa aplicable.
La necesidad de un acuerdo entre las autoridades estadounidenses y las europeas, es indudable, pues entendemos la situación de inseguridad que los distintos atentados terroristas crearon en el panorama, no sólo en Estados Unidos, sino a nivel mundial. Pero esto no justifica la violación de las normas aprobadas por el Parlamento Europeo, y mucho menos de los derechos fundamentales reconocidos por la gran mayoría de los Estados.
Ha de reconocerse a la Unión Europea su independencia, y su capacidad para legislar y proteger a sus ciudadanos. Por eso no puede pasarse por alto en la materia que nos ocupa, la redacción del artículo 4 de la Directiva 95/46/CE o del Considerando nº 20, que estipula «que el hecho de que el responsable del tratamiento de datos esté establecido en un país tercero no debe obstaculizar la protección de las personas contemplada en la presente Directiva; que en estos casos el tratamiento de datos debe regirse por la legislación del Estado miembro en el que se ubiquen los medios utilizados y deben adoptarse garantías para que se respeten en la práctica los derechos y obligaciones contempladas en la presente Directiva».
En un intento de conciliar posturas legales, el llamado Grupo de Trabajo del Artículo 29, ha emitido, entre otros documentos, dos que queremos destacar por sus importantes aportaciones a los trabajos y debates de la Comisión Europea en el tema que nos ocupa: el Dictamen 6/2002 de 24 de Octubre de 2002, y la Opinión 4/2003 de 13 de Junio de 2003. Ambos han tenido su reflejo en el Comunicado que la Comisión envió el pasado 16 de Diciembre al Parlamento y el Consejo Europeo, sobre las conversaciones entre la UE y EEUU , donde se recogen algunas de las garantías y límites que este último está dispuesto a ofrecer y respetar respectivamente, pero que a nuestro juicio no son suficientes en dos capítulos: Procedimiento de transferencias y Datos de Carácter Personal. En lo que respecta a estos últimos, el US-VISIT cataloga hasta 34 datos que pueden desvelar circunstancias especialmente protegidas por la UE (salud, raza, religión).
Más allá del conjunto de datos que los pasajeros proporcionan normalmente en relación
con la organización del viaje, todo lo que exceda de esta información personal, está fuera de la finalidad o justo motivo que EEUU ha alegado para poner en práctica estas medidas de estricta seguridad. Si bien es cierto el PNR sólo se demandará, para pasajeros europeos, en caso de que necesiten visa (estancias de 90 días), no se puede justificar en ningún caso el exhaustivo seguimiento, vigilancia o control que pretenden realizar almacenando datos como el número de maletas, la comida que se elige en el viaje, la indumentaria, el color de ojos, de piel...etc. En vista de la gran cantidad y variedad de datos afectados, estos no se pueden considerar adecuados, pertinentes ni imprescindibles en cuanto a los fines que se persiguen al recogerlos y/o tratarlos posteriormente, tal y como se estipula en el punto c) del apartado 1 del artículo 6 de la Directiva 95/46/CE.
La Comisión Europea informó de que tan sólo entre 10 y 15 datos, de los 34, serán enviados a las autoridades aduaneras estadounidenses (los más pertinentes para la prevención del terrorismo, en teoría) y que se tratarán con la debida protección, pero ya dijimos que no bastaba con esto. A pesar del compromiso de borrar los datos sensibles que se reciban, en 24 horas, salvo cuando lo requieran las autoridades de inmigración, era imprescindible, dijimos, delimitar el alcance de las competencias de las autoridades estadounidenses en la recogida de datos cómo son datos biométricos, y su responsabilidad en caso de un tratamiento inadecuado.
INFORMACIÓN AL PASAJERO Y CONSENTIMIENTO
Según el criterio de la CLI, la información y el consentimiento tampoco debían haber sido obviados sin una justificación lo suficientemente rotunda, como para privar al interesado (de forma legal) del derecho a decidir sobre el destino de sus datos de carácter personal.
Otra información relevante, que sigue al principio del consentimiento informado es la relativa al ejercicio de los derechos de acceso y rectificación, para lo cual deberá preverse un procedimiento sencillo y gratuito que permita al ciudadano actualizar y conocer en todo momento la situación de sus datos de carácter personal.
TRATAMIENTO DE LOS DATOS
Conforme a lo dispuesto por la Directiva, en los artículos 6 y 7, el tratamiento de los datos no puede realizarse de forma incompatible con la finalidad para la que fueron recogidos, y cuando esta finalidad desaparezca como objetivo real, deben ser suprimidos. Siendo así, el tratamiento de datos de carácter personal por las autoridades aduaneras estadounidenses, debería ceñirse a la finalidad única de control de pasajeros y visitantes y su continuación como tales visitantes.
Aún así, a nuestro juicio, las excepciones del artículo 13 no justifican en ningún caso el trasvase generalizado de los datos de carácter personal de todos y cada uno de los viajeros que pasen por Estados Unidos o pretendan estar más de 90 días en su territorio. Esto sólo podría tener sentido, si este país estuviera en una alerta roja permanente.
La CLI estableció relaciones con la Comisión de Libertades del Parlamento UE.
En Marzo de 2004, la Comisión adoptó una decisión y posteriormente cerró un acuerdo con los EEUU. El Tribunal de la UE, sensible a la posición de la Comisión de Libertades del Parlamento Europeo y al Grupo de Trabajo del Art. 29, ha venido estudiando la denuncia presentada por aquellos y ha adoptado hoy esta decisión, entendemos que histórica.
La Comisión de Libertades e Informática se felicita por haber seguido de cerca estas iniciativas para velar por los intereses de los ciudadanos europeos, y por el respeto a sus Derechos y Libertades Fundamentales. En este sentido, efectuamos una campaña de información a los ciudadanos y de sensibilización a los grupos políticos, sindicatos y otras organizaciones sociales.
La conclusión es que con esta Sentencia de la UE se refuerzan los Derechos Fundamentales de los ciudadanos de la Unión Europea y, esperamos, que sirva también para que los Gobiernos de la UE se muestren más sensibles hacia todo lo referido a la protección de datos de carácter personal.
ANTECEDENTES
El 16 de Diciembre de 2003 la Comisión Europea emitió un comunicado para el Consejo y el Parlamento Europeos, sobre la transferencia de los llamados Passenger Name Record (PNR en adelante) a las autoridades aduaneras de los Estados Unidos, por las compañías aéreas. Estas transferencias se venían realizando desde el mes de Marzo 2003, obligatoriamente y bajo la amenaza de fuertes sanciones, de una forma indiscriminada.
De entrada, la Comisión de Libertades e Informática consideró que una postura conciliadora entre EEUU y la Unión Europea, ha de basarse en el efectivo respeto de las normas protectoras de los Derechos Fundamentales que rigen en la UE.
SITUACIÓN hasta hoy
Muy en síntesis, el US-VISIT es un programa que el Gobierno de EEUU estableció para mejorar el control del sistema de entrada y salida en Estados Unidos. Permite que se verifique efectivamente la identidad de los visitantes entrantes.
La iniciativa involucra la recopilación de información sobre el viaje y datos tan sensibles como los identificadores biométricos (tales como huellas dactilares utilizando un simple dispositivo sin tinta) de los visitantes, obligatorio a partir de mediados de este año, para ayudar a los oficiales de la guardia fronteriza a tomar decisiones sobre las admisiones.
La gravedad de la situación descrita estriba también en que no todos sus aspectos respetan la legislación europea, partiendo de los derechos y libertades que sobre la intimidad y la privacidad que recogen la Convención Europea de Derechos Humanos (Viena, 1950) en su artículo 8; la Declaración Universal de Derechos Humanos (ONU, 1948) en su artículo 12 y la Carta de Derechos Fundamentales de la UE (18/12/2000) en sus artículos 7 y 8. Las autoridades aduaneras estadounidenses se están excediendo en sus competencias y están interfiriendo en las potestades de las autoridades judicial y de inmigración europeas.
OBJETIVO DE LA CLI :ASEGURAR EL NIVEL DE PROTECCIÓN
La transferencia de datos personales por un Estado Miembro a un tercer Estado, debe fundarse en el artículo 25.6 de la Directiva 95/46/CE, y garantizar un nivel de protección adecuado en el tratamiento que se vaya a hacer de esos datos. Se deben por tanto respetar las leyes vigentes en esta materia en el país de procedencia, y en ningún caso establecer de forma unilateral medidas o normas que puedan vulnerar los derechos fundamentales de las personas titulares de los datos.
Si bien es cierto que existen excepciones, previstas en el artículo 26, y los Estados miembros podrán disponer que pueda efectuarse una transferencia de datos personales a un país tercero que no garantice un nivel de protección adecuado con arreglo a lo establecido, siempre y cuando, (destacando entre otras cosas), el interesado haya dado su consentimiento inequívocamente a la transferencia prevista, o la transferencia sea necesaria o legalmente exigida para la salvaguardia de un interés público importante, (...).
En primer lugar, no se ha demostrado la necesidad de realizar dicha transferencia ya que combatir el terrorismo y actos criminales relacionados con ello, no es motivo suficiente para que exista semejante colisión entre seguridad y libertades. En segundo lugar, no parece aceptable que una decisión unilateral, tomada por un tercer país por motivos que tan solo obedecen a sus propios intereses públicos, lleve a efectuar de manera periódica, generalizada y sistemática las transferencias de datos protegidos mediante la Directiva.
Otra posibilidad que se prevé en la Directiva, es la de que el tercer Estado, el responsable del tratamiento, ofrezca garantías suficientes respecto de la protección de la vida privada, de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los respectivos derechos (...) . Es evidente que desde Marzo de 2003 se están haciendo estas transferencias de datos por las compañías aéreas, obligadas por la amenaza de fuertes sanciones, y sin haber tenido garantía alguna de que se va a dar la protección adecuada respetando la normativa europea.
Normativa aplicable.
La necesidad de un acuerdo entre las autoridades estadounidenses y las europeas, es indudable, pues entendemos la situación de inseguridad que los distintos atentados terroristas crearon en el panorama, no sólo en Estados Unidos, sino a nivel mundial. Pero esto no justifica la violación de las normas aprobadas por el Parlamento Europeo, y mucho menos de los derechos fundamentales reconocidos por la gran mayoría de los Estados.
Ha de reconocerse a la Unión Europea su independencia, y su capacidad para legislar y proteger a sus ciudadanos. Por eso no puede pasarse por alto en la materia que nos ocupa, la redacción del artículo 4 de la Directiva 95/46/CE o del Considerando nº 20, que estipula «que el hecho de que el responsable del tratamiento de datos esté establecido en un país tercero no debe obstaculizar la protección de las personas contemplada en la presente Directiva; que en estos casos el tratamiento de datos debe regirse por la legislación del Estado miembro en el que se ubiquen los medios utilizados y deben adoptarse garantías para que se respeten en la práctica los derechos y obligaciones contempladas en la presente Directiva».
En un intento de conciliar posturas legales, el llamado Grupo de Trabajo del Artículo 29, ha emitido, entre otros documentos, dos que queremos destacar por sus importantes aportaciones a los trabajos y debates de la Comisión Europea en el tema que nos ocupa: el Dictamen 6/2002 de 24 de Octubre de 2002, y la Opinión 4/2003 de 13 de Junio de 2003. Ambos han tenido su reflejo en el Comunicado que la Comisión envió el pasado 16 de Diciembre al Parlamento y el Consejo Europeo, sobre las conversaciones entre la UE y EEUU , donde se recogen algunas de las garantías y límites que este último está dispuesto a ofrecer y respetar respectivamente, pero que a nuestro juicio no son suficientes en dos capítulos: Procedimiento de transferencias y Datos de Carácter Personal. En lo que respecta a estos últimos, el US-VISIT cataloga hasta 34 datos que pueden desvelar circunstancias especialmente protegidas por la UE (salud, raza, religión).
Más allá del conjunto de datos que los pasajeros proporcionan normalmente en relación
con la organización del viaje, todo lo que exceda de esta información personal, está fuera de la finalidad o justo motivo que EEUU ha alegado para poner en práctica estas medidas de estricta seguridad. Si bien es cierto el PNR sólo se demandará, para pasajeros europeos, en caso de que necesiten visa (estancias de 90 días), no se puede justificar en ningún caso el exhaustivo seguimiento, vigilancia o control que pretenden realizar almacenando datos como el número de maletas, la comida que se elige en el viaje, la indumentaria, el color de ojos, de piel...etc. En vista de la gran cantidad y variedad de datos afectados, estos no se pueden considerar adecuados, pertinentes ni imprescindibles en cuanto a los fines que se persiguen al recogerlos y/o tratarlos posteriormente, tal y como se estipula en el punto c) del apartado 1 del artículo 6 de la Directiva 95/46/CE.
La Comisión Europea informó de que tan sólo entre 10 y 15 datos, de los 34, serán enviados a las autoridades aduaneras estadounidenses (los más pertinentes para la prevención del terrorismo, en teoría) y que se tratarán con la debida protección, pero ya dijimos que no bastaba con esto. A pesar del compromiso de borrar los datos sensibles que se reciban, en 24 horas, salvo cuando lo requieran las autoridades de inmigración, era imprescindible, dijimos, delimitar el alcance de las competencias de las autoridades estadounidenses en la recogida de datos cómo son datos biométricos, y su responsabilidad en caso de un tratamiento inadecuado.
INFORMACIÓN AL PASAJERO Y CONSENTIMIENTO
Según el criterio de la CLI, la información y el consentimiento tampoco debían haber sido obviados sin una justificación lo suficientemente rotunda, como para privar al interesado (de forma legal) del derecho a decidir sobre el destino de sus datos de carácter personal.
Otra información relevante, que sigue al principio del consentimiento informado es la relativa al ejercicio de los derechos de acceso y rectificación, para lo cual deberá preverse un procedimiento sencillo y gratuito que permita al ciudadano actualizar y conocer en todo momento la situación de sus datos de carácter personal.
TRATAMIENTO DE LOS DATOS
Conforme a lo dispuesto por la Directiva, en los artículos 6 y 7, el tratamiento de los datos no puede realizarse de forma incompatible con la finalidad para la que fueron recogidos, y cuando esta finalidad desaparezca como objetivo real, deben ser suprimidos. Siendo así, el tratamiento de datos de carácter personal por las autoridades aduaneras estadounidenses, debería ceñirse a la finalidad única de control de pasajeros y visitantes y su continuación como tales visitantes.
Aún así, a nuestro juicio, las excepciones del artículo 13 no justifican en ningún caso el trasvase generalizado de los datos de carácter personal de todos y cada uno de los viajeros que pasen por Estados Unidos o pretendan estar más de 90 días en su territorio. Esto sólo podría tener sentido, si este país estuviera en una alerta roja permanente.
La CLI estableció relaciones con la Comisión de Libertades del Parlamento UE.
En Marzo de 2004, la Comisión adoptó una decisión y posteriormente cerró un acuerdo con los EEUU. El Tribunal de la UE, sensible a la posición de la Comisión de Libertades del Parlamento Europeo y al Grupo de Trabajo del Art. 29, ha venido estudiando la denuncia presentada por aquellos y ha adoptado hoy esta decisión, entendemos que histórica.
La Comisión de Libertades e Informática se felicita por haber seguido de cerca estas iniciativas para velar por los intereses de los ciudadanos europeos, y por el respeto a sus Derechos y Libertades Fundamentales. En este sentido, efectuamos una campaña de información a los ciudadanos y de sensibilización a los grupos políticos, sindicatos y otras organizaciones sociales.
La conclusión es que con esta Sentencia de la UE se refuerzan los Derechos Fundamentales de los ciudadanos de la Unión Europea y, esperamos, que sirva también para que los Gobiernos de la UE se muestren más sensibles hacia todo lo referido a la protección de datos de carácter personal.