El 13 de marzo de 2025, el Comité Europeo de Protección de Datos (CEPD, en inglés European Data Protection Board – EDPB) emitió la Declaración 2/2025 en relación con la aplicación de la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo de 27 de abril de 2016 sobre el uso de los datos del registro de nombres de los pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves (en adelante, Directiva PNR).
Esta declaración responde a la interpretación dada por el Tribunal de Justicia de la Unión Europea (TJUE) en su sentencia de 21 de junio de 2022 en el asunto Ligue des droits humains c. Conseil des ministres (C-817/19), que estableció limitaciones al uso de estos datos en base a la Carta de los Derechos Fundamentales de la Unión Europea.
En concreto, el TJUE en su sentencia en el asunto Ligue des droits humains c. Conseil des ministres subrayó la la necesidad de equilibrar la seguridad pública con la protección de los derechos fundamentales. A juicio del TJUE, los Estados miembros deben asegurarse de que la implementación de la Directiva PNR se realice de manera que respete la privacidad y los datos personales de los individuos, limitando el uso de estos datos a lo estrictamente necesario para combatir delitos graves y terrorismo. Y aclaró que la Directiva es válida, que el uso de sistemas de PNR es válido pero solo si existe una amenaza real y actual, que no cabe un procedimiento exclusivamente automatizado sin control humano, que el periodo de conservación de datos debe ser de 6 mseses, así como que el acceso a los datos PNR por parte de las autoridades competentes debe estar sujeto a una supervisión previa por una autoridad judicial o administrativa independiente, asegurando que se respeten los derechos fundamentales en cada caso.
Pues bien, en vista de lo anterior, las principales recomendaciones del CEPD en relacion a esta cuestión son:
1. Limitación a las categorías de personas afectadas
Los datos personales de terceros solo pueden ser tratados si tienen una relación directa con el vuelo y el pasajero, como información de pago de quien adquirió el billete o datos de contacto de un tutor de un menor no acompañado.
2. Exigencia de un vínculo objetivo con el transporte aéreo
La recopilación y el procesamiento de datos PNR deben limitarse a la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves con una relación objetiva, aunque sea indirecta, con el transporte aéreo.
3. Restricciones para vuelos intra-UE
Los datos de pasajeros en vuelos dentro de la Unión Europea solo podrán ser recolectados si existe una amenaza real y actual que lo justifique, de acuerdo con la interpretación del TJUE.
4. Garantía de los derechos de los sujetos de datos
Se deben proporcionar mecanismos efectivos para que los pasajeros puedan ejercer sus derechos, incluyendo el derecho de acceso, rectificación y supresión de sus datos personales, además de garantizar recursos judiciales efectivos.
5. Control previo por una autoridad independiente
Cualquier acceso a los datos del Registro de Nombres de Pasajeros después de su recopilación debe estar sujeto a una revisión independiente previa realizada por una autoridad administrativa o judicial distinta de la que lleva a cabo la investigación criminal.
6. Período de retención limitado
Los datos PNR no deben ser conservados por más de seis meses, salvo que exista una relación objetiva y justificada con los fines de la Directiva PNR.
En síntesis, el Comité Europeo de Protección de Datos insta a los Estados miembros a revisar sus leyes nacionales para adaptarlas a la interpretación del Tribunal de Justicia de la Unión Europea y garantizar que el uso de los datos PNR cumpla con los principios de proporcionalidad y necesidad establecidos en la Carta de los Derechos Fundamentales de la Unión Europea.
Para más detalles, puedes consultar el documento original de la Declaración 2/2025 del CEPD aquí:
