El anteproyecto de ley orgánica que regulará la recogida y almacenamiento de los datos del Registro de Nombres de los Pasajeros de vuelos (Passenger Name Record o PNR) merece un juicio negativo al Consejo General del Poder Judicial en algunos aspectos relevantes. Así se desprende del informe que tiene previsto debatir este miércoles el órgano de gobierno de los jueces, que cuestiona el texto del Ministerio del Interior por una "inconcreción e indefinición" que podría dar lugar a una "interpretación excesivamente amplia" de lo que la Policía puede hacer con los datos de los millones de ciudadanos que son usuarios de servicios aéreos.
La ley orgánica que se proyecta traspone una directiva aprobada por el Parlamento Europeo en abril de 2016 y debería estar aprobada antes del próximo 25 de mayo. Esta premura (el Gobierno no dio luz verde al anteproyecto hasta el pasado 9 de febrero) lleva al Consejo General del Poder Judicial a reclamar una "reflexión sobre los tiempos de trasposición de directivas a nuestro ordenamiento interno a fin de abordar esta importante y necesaria función sin precipitación".
En este caso se trata de una directiva que ha nacido rodeada de polémica. La creación de un registro europeo de datos de pasajeros aéreos venía barajándose desde 2007 y el borrador de la directiva se remonta a 2011. La Eurocámara lo bloqueó durante años por el riesgo de que vulnerase los derechos fundamentales a la privacidad y a la protección de datos (artículos 7 y 8 de la Carta de Derechos Fundamentales de la Unión Europea), pero se reactivó tras los atentados yihadistas en Francia y Bélgica. Izquierda Unitaria y los Verdes votaron en contra por considerar que el registro PNR es "una falsa solución basada en la errónea obsesión política con la vigilancia masiva”.
El anteproyecto sometido a informe del CGPJ regula la recogida y tratamiento de datos tanto de los pasajeros como de la tripulación y de cualquier otra persona que viaje a bordo de un avión con el objetivo de intercambiarlos con otros Estados miembros de la UE, terceros Estados y Europol para "prevenir, detectar, investigar y enjuiciar los delitos de terrorismo y delitos graves".
Los datos que se recogerán se referirán a todos los vuelos de entrada, salida o que hagan escala en España. Incluirán no sólo la información del vuelo y la identidad de cada pasajero sino también sus datos de contacto (teléfono, e-mail); todos los datos de pago, incluida la dirección de facturación y las tarjetas bancarias utilizadas; el itinerario completo del viaje; si se trata de un viajero asiduo; la agencia de viajes que haya utilizado; el paso por el mostrador de facturación, la no comparecencia o si es una reserva de última hora; información sobre el equipaje y sobre los viajeros que le acompañan, entre otros elementos.
El peligro de los datos
La propuesta de informe del CGPJ, de la que son ponentes los vocales Enrique Lucas y Victoria Cinto, recuerda que, tal como indicó en julio de 2017 el Tribunal de Justicia de la Unión (que tumbó el acuerdo suscrito entre la UE y Canadá para transferir los datos de los pasajeros aéreos), “aun cuando algunos de los datos del PNR, aisladamente considerados, no parezcan poder revelar información importante sobre la vida privada de las personas afectadas, no deja de ser cierto que, conjuntamente considerados, dichos datos pueden revelar, entre otros extremos, un itinerario de viaje completo, hábitos de viaje, relaciones existentes entre dos o varias personas así como información sobre la situación económica de los pasajeros aéreos, sus hábitos alimentarios o su estado de salud, y podrían incluso proporcionar datos sensibles sobre dichos pasajeros”.
El informe -preceptivo, pero no vinculante- señala que los fines genéricos del anteproyecto (los mismos que señala la directiva: "prevenir, detectar, investigar y enjuiciar delitos de terrorismo y delitos graves") deberían ser "mejor especificados".
"Ha de exigirse, por ejemplo, que el tratamiento se realice únicamente 'en el curso de una investigación penal, cuando exista una orden judicial que avale la utilidad de dichos datos para el esclarecimiento de un delito de terrorismo o delincuencia internacional….'. De otro modo, se mantendrá el mismo grado de inconcreción e indefinición de la directiva y se podrá dar lugar a una interpretación excesivamente amplia por las autoridades policiales contraria al artículo 8 de la Carta de Derechos Fundamentales de la UE".
Además, considera que existe imprecisión en los "delitos graves" cuya persecución justifica el registro PNR. "A diferencia de los delitos de terrorismo, respecto de los que se entiende que existe una definición clara y precisa", explica, "no ocurre lo mismo con los delitos graves, con respecto a los cuales el anteproyecto se contenta con reproducir los 26 apartados de que consta el anexo II de la directiva" (pertenencia a organización delictiva, trata de seres humanos, tráfico de drogas y armas, corrupción..).
Esa mera reproducción del listado de la directiva, señala el Consejo, "no atiende a la necesidad, reiterada por la jurisprudencia, de que en esta materia las normas sean claras, precisas y limitadas estrictamente a lo necesario. Es preciso, por lo tanto, que el anteproyecto establezca la correspondencia exacta entre el listado del anexo II y los tipos recogidos en el Código Penal" español.
Otra inconcreción que, a juicio del CGPJ, sería preciso corregir se refiere a la previsión de que los datos PNR puedan ser cruzados o comparados con "las bases de datos pertinentes". Para el órgano de gobierno del Poder Judicial, es preciso "concretar una lista de bases de datos que se consideren pertinentes para la consecución del objetivo de la directiva, pues su genérica mención no es suficientemente clara y precisa, como ha señalado por el TJUE" en su resolución sobre el acuerdo con Canadá.
Vuelos interiores
El dictamen también destaca que el anteproyecto de Interior amplía la recogida y tratamiento de datos de los pasajeros en las rutas o los vuelos concretos de carácter nacional, que tengan su origen o destino programado en territorio español y que no efectúen escalas en ningún otro país "cuando exista una clara, cierta y contrastada situación de riesgo" y faculta al secretario de Estado de Seguridad para determinar a qué vuelos o rutas afectará esa previsión.
Para el CGPJ, "el criterio de selección de los vuelos debería quedar establecido en el propio anteproyecto de ley de forma clara, precisa y restrictiva, pues es imperativo que las limitaciones a los derechos fundamentales no solo estén bien justificadas sino, también, correctamente articuladas de acuerdo con los principios de necesidad y
proporcionalidad. Solo en el marco de una predeterminación normativa como la indicada, que defina debidamente la facultad de concretar dichas rutas o vuelos, podrá hacerse la atribución de la misma a un órgano específico del poder ejecutivo. Aun así, dada la importancia de la medida y la responsabilidad que implica, lo propio sería que esa competencia se atribuyera al Gobierno o, en su caso, al ministro del Interior, no a un secretario de Estado".
El órgano de gobierno de los jueces tiene un juicio negativo de las atribuciones que el anteproyecto residencia en el CITCO (el Centro de Inteligencia contra el Terrorismo y el Crimen Organizado, dependiente del secretario de Estado de Seguridad). "Hemos de afirmar tajantemente", señala el CGPJ, "que si bien el CITCO podría ser una de las autoridades competentes parta solicitar o recibir datos PNR o el resultado del tratamiento de los mismos por la Unidad de Información sobre los Pasajeros, no puede ser él mismo la UIP".
El poder del CITCO
En el esquema de la directiva PNR, la Unidad de Información sobre los Pasajeros desempeña un papel esencial. Es la autoridad designada en cada país para recoger los datos PNR de las compañías aéreas, almacenarlos, procesarlos y transferirlos a las autoridades competentes de cada Estado, a otros Estados o a Europol.
La propuesta de informe del CGPJ destaca que la UIP "actúa como órgano de garantía en la recogida y tratamiento de los datos" y debe designar a un responsable de la protección de datos precisamente para "controlar el tratamiento" que se hace de la información sobre los pasajeros "y aplicar las garantías oportunas". Por otro lado están las autoridades que tendrán competencia para solicitar a la UIP datos y emplearlos para los fines de lucha contra el terrorismo y la delincuencia grave.
"Lo que, a nuestro juicio, no cabe es que el CITCO se haga cargo de las dos funciones ya que no está investido de la independencia propia de la autoridad judicial ni cuenta con la autonomía que requiere la figura de la UIP" para realizar "la señalada función de garante del correcto tratamiento de los datos", señala el CGPJ.
"Obviamente", añade, "no corresponde a este Consejo determinar cómo ha de configurarse ni en qué órgano ha de recaer la designación de UIP, pero sí advertir acerca de los límites que, de acuerdo con el Derecho de la Unión, tiene el legislador español".
"La UIP que prevé el anteproyecto está desprovista no ya de independencia sino de la más mínima autonomía orgánica y funcional", insiste el CGPJ, que considera "inexcusable" que la futura ley "confiera un estatus al responsable del tratamiento de datos en la UIP que lo sustraiga de cualquier clase de dependencia jerárquica, sea esta orgánica o funcional, y garantice su inamovilidad e independencia efectivas en unos términos aún más estrictos que los establecidos para el Delegado de Protección de Datos".
Deber de información
El dictamen propuesto subraya también que en la futura ley "debe quedar claro que recae en el Estado miembro, y no en la compañía aérea o en el piloto, la obligación de informar a los pasajeros aéreos de la limitación de su derecho a la protección de datos personales como resultado de la Directiva PNR, así como de las forma en la que serán tratados y de las consecuencias de ser señalado por el registro".
Esa información, añade, "debe proporcionarse de manera completa y clara para satisfacer las exigencias de predictibilidad y accesibilidad de la norma para las personas que son objeto de la restricción de sus derechos. Deben saber que se recogen sus datos, para qué, cómo y qué puede ocurrir como consecuencia de su señalamiento por el sistema PNR".