CAPÍTULO II · Tratamiento de los datos PNR
Artículo 6. Unidad de Información sobre Pasajeros
1. La Unidad de Información sobre Pasajeros española (UIP) se integra orgánicamente en el Centro de Inteligencia contra el Terrorismo y el Crimen Organizado, dependiente de la Secretaría de Estado de Seguridad del Ministerio del Interior. 2. La UIP es la responsable del tratamiento de los datos PNR.
Artículo 7. Funciones y facultades
1. La UIP realizará exclusivamente las siguientes funciones: b) Intercambiar tanto los datos PNR como el resultado de su tratamiento con las Unidades de Información sobre Pasajeros de otros Estados miembros de la Unión Europea, con Europol y con terceros países. b) Establecer y actualizar criterios útiles para identificar a las personas que puedan estar implicadas en delitos de terrorismo y delitos graves, en cooperación, en su caso, con las autoridades competentes. c) Elaborar informes de inteligencia estratégica y de análisis de riesgo. d) Colaborar con las autoridades competentes encargadas de las investigaciones y actuaciones operativas, así como elaborar los protocolos de actuación pertinentes en colaboración con las mismas. e) Poner los hechos que puedan ser constitutivos de las infracciones previstas en esta ley orgánica en conocimiento del órgano competente para sancionarlas. f) Elaborar estadísticas anuales sobre su actividad, incluyendo el número total de personas cuyos datos PNR hayan sido recopilados e intercambiados, así como el número de personas identificadas para un examen ulterior. 4. Cuando fuere preciso para el desarrollo de sus funciones, el personal al servicio de las autoridades competentes enumeradas en el artículo 14 podrá prestar servicios en la UIP. Dicho personal continuará en servicio activo en su Cuerpo dependiendo orgánica, funcional y retributivamente de su Administración de origen, sin perjuicio de que en el desarrollo de sus funciones en la UIP haya de atenerse a lo preceptuado para la misma respecto a su organización y funcionamiento.
Artículo 8. Responsable de protección de datos
1. La UIP designará una persona como responsable de protección de los datos PNR que velará por que se adopten las medidas oportunas para controlar el tratamiento de estos datos y por que se apliquen las garantías en materia de protección de datos. El responsable de protección de datos actuará como punto de contacto único, al que cualquier interesado tendrá derecho a dirigirse para todas las cuestiones relativas al tratamiento de sus datos PNR. 2. La persona designada lo será atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos personales, y a su capacidad para desempeñar las funciones contempladas en esta ley orgánica. Deberá contar con los medios necesarios para el desempeño de sus funciones de manera eficaz e independiente. 3. La persona responsable de la protección de datos tendrá acceso a todos los datos PNR tratados por la UIP. Si considerase que el tratamiento de un dato no ha sido lícito, lo pondrá en conocimiento del responsable del tratamiento para que se adopten las medidas correctoras necesarias y, si lo estima oportuno, podrá remitir el asunto a la autoridad nacional de control. 4. En lo no previsto en esta ley orgánica se regirá por lo regulado para los delegados de protección de datos en la legislación que transponga la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, y hasta ese momento por las normas que regulen en Derecho español el tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección y enjuiciamiento de infracciones penales o de ejecución de sanciones penales.
Artículo 9. Obligaciones de transmisión de datos
1. Las compañías aéreas enviarán los datos PNR correspondientes a los vuelos comprendidos en el artículo 2 que hayan recopilado en el transcurso normal de su actividad, a la base de datos de la UIP. En el caso de los vuelos privados, el operador asumirá la responsabilidad de que la información prevista en el artículo 5.3 sea remitida a la UIP. En el caso de que existan varias compañías aéreas relacionadas con un mismo vuelo, la obligación de transmitir los datos recaerá en la compañía aérea que actúe como operadora del mismo. 2. Las entidades de gestión de reservas de vuelos introducirán en el PNR los datos que hayan recopilado en el transcurso normal de su actividad respecto a los vuelos comprendidos en el artículo 2. 3. En el cumplimiento de sus obligaciones de información, y sin perjuicio de lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y en la legislación interna que se dicte en uso de la habilitación contenida en aquel, los sujetos obligados informarán a las personas a las que se refieran los datos PNR del motivo de su recogida y de su destinatario, la Unidad de Información sobre Pasajeros, ante cuyo responsable de protección de datos podrán dirigirse para todas las cuestiones relativas al tratamiento de sus datos PNR. 4. Las compañías aéreas enviarán los datos PNR a la UIP, utilizando en todo caso medios electrónicos que ofrezcan garantías suficientes en relación con las medidas de seguridad técnicas y las medidas organizativas que rigen el tratamiento de datos que se va a llevar a cabo. Esta transmisión se realizará con arreglo a uno de los formatos de datos y mediante uno de los protocolos de transmisión establecidos en la Decisión de Ejecución de la Comisión (UE) 2017/759, de 28 de abril de 2017, relativa a los protocolos comunes y los formatos de datos que deberán utilizar las compañías aéreas para la transmisión de los datos PNR a las Unidades de Información sobre Pasajeros. En el caso de que transmitan datos API sobre los pasajeros de manera separada respecto del resto de los datos PNR para el mismo vuelo, deberán utilizar, para su envío a la UIP, el formato específico de datos que contempla la Decisión de Ejecución de la Comisión (UE) 2017/759, de 28 de abril de 2017. En caso de fallo técnico o imposibilidad sobrevenida, realizarán la transmisión de los datos PNR, en el plazo más breve posible, por cualquier otro medio apropiado que garantice un nivel adecuado de seguridad de dichos datos. 5. Las compañías aéreas que no operen vuelos con arreglo a un calendario concreto y público y que no dispongan de la infraestructura técnica necesaria para usar los formatos de datos y los protocolos de transmisión incluidos en la Decisión de Ejecución de la Comisión (UE) 2017/759, de 28 de abril de 2017, utilizarán, para la transmisión de los datos PNR, los formatos y los medios electrónicos que se acuerden de forma bilateral entre la compañía aérea y el Ministerio del Interior, siempre que ofrezcan garantías suficientes respecto de las medidas de seguridad técnicas. Este régimen será el aplicable en todo caso a los vuelos privados.
Artículo 10. Momentos de la transmisión de datos
1. Los momentos en los que las compañías aéreas deben transmitir los datos PNR a la UIP serán los siguientes: b) inmediatamente después del cierre del vuelo, una vez que los pasajeros hayan embarcado en el avión en preparación de la salida y no sea posible embarcar o desembarcar. 3. Además, cuando sea necesario acceder a los datos PNR para responder a una amenaza real y concreta relacionada con delitos de terrorismo o con delitos graves, en momentos distintos de los previstos en el apartado 1, todos los sujetos obligados, caso por caso, deberán transmitir a la UIP dichos datos con carácter inmediato al requerimiento recibido.
Artículo 11. Régimen jurídico aplicable al tratamiento de datos PNR
1. Los tratamientos de datos de carácter personal que lleven a cabo la UIP y las autoridades competentes referidas en el artículo 14 se regirán por esta ley orgánica y supletoriamente por la legislación que transponga la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y hasta ese momento por las normas que regulen en Derecho español el tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección y enjuiciamiento de infracciones penales o de ejecución de sanciones penales. En este régimen jurídico se incluye la protección de los datos personales de los pasajeros y sus derechos de acceso, rectificación, supresión, limitación del tratamiento, indemnización y recurso judicial. 2. Sin perjuicio de las obligaciones establecidas en esta ley orgánica, los tratamientos de datos de carácter personal realizados por los sujetos obligados referidos en el artículo 3 se regirán por lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y por la legislación interna que se dicte en uso de la habilitación contenida en aquel.
Artículo 12. Tratamiento de los datos PNR
1. Los datos PNR serán recogidos por la UIP. Si la información transmitida incluyera datos distintos de los relacionados en esta ley orgánica, la UIP los suprimirá inmediatamente y de manera definitiva en el momento de su recepción. 2. La UIP tratará los datos PNR solo para los siguientes propósitos: b) Responder en cada caso particular a las peticiones de las autoridades competentes, debidamente motivadas y con suficiente base, para que les transfieran datos PNR en supuestos específicos a efectos de prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves, así como el resultado de su tratamiento. c) Analizar los datos PNR con el fin de establecer o actualizar criterios que deben utilizarse en las evaluaciones realizadas en virtud del apartado 3.b), con el objeto de identificar a las personas que puedan estar implicadas en delitos de terrorismo o delitos graves. 3. Al realizar la evaluación a que se refiere el apartado 2.a), la UIP podrá someter los datos PNR a las siguientes operaciones: b) Tratará los datos PNR de acuerdo con los criterios predeterminados establecidos para identificar a las personas que puedan estar implicadas en delitos de terrorismo o en delitos graves.
Artículo 13. Consecuencias de la evaluación
Las consecuencias de las evaluaciones de los pasajeros a las que se refiere el apartado 2.a) del artículo anterior, no perjudicarán el derecho de entrada en España de las personas que gocen del derecho de libre circulación en la Unión Europea. Cuando estas evaluaciones se efectúen en relación con pasajeros de vuelos interiores de la Unión Europea a los que sea aplicable el Reglamento (UE) 2016/399 del Parlamento Europeo y del Consejo, de 9 de marzo de 2016, por el que se establece un Código de normas de la Unión para el cruce de personas por las fronteras, las consecuencias se ajustarán a lo previsto en dicho reglamento.
Artículo 14. Autoridades competentes
1. Las autoridades competentes para solicitar o recibir de la UIP datos PNR o el resultado del tratamiento de dichos datos a fin de seguir examinando esa información o de adoptar las medidas adecuadas para prevenir, detectar, investigar y enjuiciar delitos de terrorismo y delitos graves, serán las siguientes: b) La Dirección General de la Guardia Civil. c) El Centro Nacional de Inteligencia. d) La Dirección Adjunta de Vigilancia Aduanera. e) El Ministerio Fiscal. f) Las correspondientes de las Comunidades Autónomas que hayan asumido estatutariamente competencias para la protección de personas y bienes y para el mantenimiento de la seguridad ciudadana, y cuenten con un cuerpo de policía propio. 3. Las autoridades competentes colaborarán con la UIP, en el ámbito de sus competencias, para el cumplimiento de los fines de esta ley orgánica. 4. A los Jueces y Tribunales, que tendrán la consideración de autoridades competentes, no les serán de aplicación los apartados 2 y 3, en atención al principio constitucional de independencia del poder judicial, rigiéndose en cuanto a las peticiones de datos y a la colaboración con la UIP por lo que establezca la legislación aplicable al ejercicio de la función jurisdiccional. 5. Los datos remitidos por la UIP a las autoridades competentes podrán ser objeto de tratamiento posterior por estas, únicamente con los fines específicos de prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves, sin perjuicio de las acciones o procedimientos que puedan realizarse o iniciarse en el caso de que, como consecuencia del tratamiento de dichos datos, se detecten otros delitos o indicios de ellos. 6. Las autoridades competentes no adoptarán ninguna decisión que produzca efectos jurídicos adversos para una persona o que afecte negativamente a una persona únicamente en razón del tratamiento automatizado de datos PNR.
Artículo 15. Protección de los datos de carácter personal
1. La UIP no podrá tratar datos PNR que revelen el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, la pertenencia a un sindicato o partido político, la salud, la vida o la orientación sexual de la persona. En el caso de que reciba datos PNR que revelen tal información, los suprimirá inmediatamente. 2. La UIP conservará la documentación relativa a todos los sistemas y procedimientos de tratamiento bajo su responsabilidad. Dicha documentación constará como mínimo de los siguientes elementos: b) las solicitudes cursadas por las autoridades competentes y por las Unidades de Información sobre Pasajeros de otros Estados miembros y; c) todas las solicitudes y transmisiones de datos PNR a un tercer país o a Europol. 3. La UIP llevará registros, al menos, de las operaciones de recogida, consulta, transferencia y supresión de los datos. Los registros de consulta y transferencia mostrarán, en particular, la finalidad, la fecha y la hora de tales operaciones y, en la medida de lo posible, la identidad de la persona que consultó o transmitió los datos PNR y la identidad de los receptores de dichos datos. Los registros se utilizarán exclusivamente a efectos de verificación, autocontrol, y garantía de la integridad de los datos y de su seguridad o de auditoría. Dichos registros se conservarán por un período de cinco años. La UIP pondrá los registros a disposición de la autoridad nacional de control a petición de esta, de acuerdo con la legislación aplicable. 4. Cuando sea probable que una violación de los datos personales dé lugar a un elevado riesgo para la protección de estos o afecte negativamente a la intimidad del interesado, la UIP comunicará, sin demora injustificada, dicha violación al interesado y a la autoridad nacional de control. 5. La UIP aplicará las medidas y los procedimientos técnicos y organizativos adecuados para garantizar un elevado nivel de seguridad correspondiente a los riesgos que entrañen el tratamiento y las características de los datos PNR.
Artículo 16. Intercambio de información entre Estados miembros de la Unión Europea
1. La UIP transmitirá los datos PNR pertinentes y necesarios o el resultado de su tratamiento, relativos a las personas identificadas por la misma como personas que puedan estar implicadas en un delito de terrorismo o en un delito grave, a las Unidades de Información sobre Pasajeros de los otros Estados miembros. Dicha transmisión sólo se llevará a cabo tras un análisis de cada caso y, en supuestos de tratamiento automatizado de los datos PNR, tras una revisión individualizada por medios no automatizados. En caso de que la UIP reciba datos PNR o el resultado de su tratamiento de la Unidad de Información sobre Pasajeros de otro Estado miembro deberá proporcionar todos los datos pertinentes y necesarios, a las autoridades competentes correspondientes, tras una revisión individualizada. 2. La UIP tendrá derecho a solicitar, en cada caso concreto, para la prevención, detección, investigación o enjuiciamiento de delitos de terrorismo o delitos graves, a la Unidad de Información sobre Pasajeros de cualquier otro Estado miembro, que le suministre los datos PNR almacenados en su base de datos y que no hayan sido despersonalizados mediante enmascaramiento de elementos de los datos, así como, si fuera necesario, el resultado de cualquier tratamiento de los mismos. La solicitud deberá ser debidamente motivada. En el caso de que hayan sido despersonalizados mediante enmascaramiento de elementos de datos, la transmisión tendrá lugar de conformidad con el derecho nacional aplicable en el Estado miembro de la Unidad de Información sobre Pasajeros requerida. 3. A su vez, la Unidad de Información sobre Pasajeros de cualquier Estado miembro podrá solicitar directamente a la UIP datos PNR o el resultado de su tratamiento, bajo las mismas condiciones previstas en el apartado anterior. En ese caso, la UIP proporcionará la información solicitada lo antes posible. En el supuesto de que los datos requeridos hayan sido despersonalizados mediante enmascaramiento, la UIP únicamente proporcionará los datos completos o el resultado de su tratamiento ante casos específicos cuando sea necesario para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves, y sólo cuando lo haya autorizado la autoridad judicial o la persona titular de la Secretaría de Estado de Seguridad. 4. Las autoridades competentes que requieran datos PNR recabados por un Estado miembro de la Unión Europea canalizarán sus solicitudes de forma motivada a través de la UIP. Únicamente cuando no sea posible dirigir sus peticiones a través de la UIP y en caso de urgencia, y siempre que la solicitud cumpla con las condiciones establecidas en el apartado 2, las autoridades competentes podrán solicitar dichos datos directamente a la Unidad de Información sobre Pasajeros de otro Estado miembro. De estas solicitudes directas y urgentes se remitirá copia a la UIP, al mismo tiempo que a la Unidad de Información sobre Pasajeros del Estado miembro de que se trate, que deberá acompañarse, lo antes posible, de una motivación de la remisión directa. 5. De manera excepcional, cuando sea necesario acceder a los datos PNR para responder a una amenaza concreta y real relacionada con delitos de terrorismo o delitos graves, la UIP solicitará a la Unidad de Información sobre Pasajeros del Estado miembro correspondiente que acceda a los datos PNR fuera de los momentos ordinarios de transmisión establecidos en el artículo 10 y que se los transmita. Del mismo modo, la UIP responderá lo antes posible a las solicitudes que reciba de otros Estados miembros en los supuestos previstos en el párrafo anterior. 6. El intercambio de información previsto en este artículo podrá realizarse utilizando cualquiera de las vías existentes de cooperación entre las autoridades competentes de los Estados miembros.
Artículo 17. Transferencia de datos a Europol
1. La UIP transferirá los datos PNR específicos o el resultado de su tratamiento solicitados por Europol, caso por caso, de forma electrónica y debidamente motivada, cuando sea estrictamente necesario para apoyar y reforzar la acción de un Estado miembro de la Unión Europea a efectos de prevenir, detectar, investigar o enjuiciar delitos de terrorismo o delitos graves, siempre que el delito entre dentro del ámbito de competencias de Europol y para el desempeño de sus funciones. 2. La solicitud indicará las causas razonables por las que Europol considera que la transmisión de los datos PNR o de los resultados de su tratamiento va a contribuir significativamente a prevenir, detectar o investigar la infracción penal en cuestión. 3. Europol informará al responsable de la protección de datos de cada uno de los intercambios de información en virtud de este artículo. 4. El intercambio de información se realizará a través de la Red de Intercambio Seguro de Información (SIENA).
Artículo 18. Transferencias de datos a terceros países no miembros de la Unión Europea
1. La UIP podrá transferir a terceros países no miembros de la UE datos PNR, así como el resultado de su tratamiento, en casos concretos y si se cumplen concurrentemente los siguientes requisitos: b) La transmisión resulta necesaria para los fines señalados en el artículo 1.2. c) El tercer país se compromete a transmitir los datos PNR a otro tercer país sólo si fuera estrictamente necesario para los fines de esta ley orgánica y siempre contando con la autorización expresa de la UIP. d) Los previstos en el artículo 16. b) el consentimiento previo no pudo obtenerse a su debido tiempo. 3. Cada vez que la UIP transfiera datos PNR a terceros países en virtud de lo previsto en este artículo, su responsable de protección de datos será informado. 4. La UIP exclusivamente transmitirá datos PNR a las autoridades competentes de terceros países tras asegurarse de que se ajustan a un estándar de condiciones y garantías equivalente al de esta ley orgánica y de que la utilización de los datos PNR prevista por los receptores se ajusta a dichas condiciones y garantías.
Artículo 19. Período de conservación de los datos y despersonalización
1. Los datos PNR proporcionados a la UIP por los sujetos obligados se conservarán en una base de datos de la Unidad durante un plazo de cinco años a partir de la fecha de su transmisión a la UIP. 2. Transcurrido un plazo de seis meses desde la transmisión a la que se refiere el apartado 1, todos los datos PNR deberán ser despersonalizados mediante enmascaramiento, de manera que resulten invisibles para un usuario los siguientes elementos que servirían para identificar directamente a los afectados: b) dirección y datos de contacto; c) todos los datos sobre el pago, incluida la dirección de facturación, en la medida en que contengan información que pueda servir para identificar directamente al pasajero al que se refiere el registro PNR, o a cualquier otra persona; d) información sobre viajeros frecuentes; e) observaciones generales, en la medida en que contengan información que pueda servir para identificar directamente al pasajero al que se refiere el registro, y f) todos los datos API sobre los pasajeros. b) Que haya sido aprobada por una autoridad judicial o por la persona titular de la Secretaría de Estado de Seguridad. En este último caso, se informará de la transmisión al responsable de protección de datos de la UIP, y estará sujeta a la revisión, 5. Los resultados del tratamiento a que se refiere el artículo 12.2.a) serán conservados por la UIP durante el tiempo necesario para informar de un resultado positivo a las autoridades competentes y a las Unidades de Información sobre Pasajeros de otros Estados miembros. Cuando el resultado de un tratamiento automatizado, tras un examen individual por medios no automatizados, arroje un resultado negativo, se podrá almacenar para evitar falsos resultados positivos posteriores, mientras los datos de base no se hayan eliminado según el apartado 4.
Artículo 20. Competencias de la Agencia Española de Protección de Datos
Además de las competencias que le otorga su normativa específica, la Agencia Española de Protección de Datos, en su condición de autoridad nacional de control de datos PNR a los efectos previstos en esta ley orgánica, ejercerá las siguientes competencias: b) Conocer de las reclamaciones presentadas contra los tratamientos realizados al amparo de esta ley orgánica y dar respuesta a las mismas en un plazo de tiempo razonable. c) Verificar la legalidad de los tratamientos, por propia iniciativa o como consecuencia de una reclamación, para lo cual podrá realizar investigaciones, inspecciones y auditorías, de acuerdo con lo dispuesto en su normativa reguladora, sin perjuicio de las funciones que corresponden al Consejo General del Poder Judicial como autoridad de control de los tratamientos de datos vinculados al ejercicio de la función jurisdiccional.