El Parlamento Europeo,

–  Vista la declaración de la Comisión durante el debate de 21 de octubre de 2008, tras la pregunta oral (B6-0476/2008), sobre la propuesta de Decisión marco del Consejo sobre utilización de datos del registro de nombres de los pasajeros (Passenger Name Record – PNR) con fines represivos (COM(2007)0654),

–  Vistos los debates actuales en el seno del Consejo, a nivel ministerial y de grupos de trabajo, sobre la propuesta de referencia,

–  Vistos los dictámenes emitidos por la Agencia Europea de Derechos Fundamentales, el Supervisor Europeo de Protección de Datos, el Grupo del artículo 29 y el Grupo "Policía y Justicia",

–  Vistas sus anteriores Resoluciones(1) sobre el Acuerdo UE-EE.UU. sobre el PNR(2), el Acuerdo UE-Canadá sobre el PNR(3) y el Acuerdo UE-Australia sobre el PNR(4),

–  Visto el apartado 5 del artículo 108 de su Reglamento,

A.  Recordando que los principios de protección de datos que deben respetar las instituciones y los Estados miembros de la UE se recogen en el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y las Libertades Fundamentales (CEDH), en los artículos 7 y 52 de la Carta de los Derechos Fundamentales de la Unión Europea (Carta de los Derechos Fundamentales), en el artículo 286 del Tratado CE y en el artículo 5 del Convenio 108 del Consejo de Europa para la protección de las personas en lo que respecta al tratamiento automatizado de los datos personales (Convenio 108), y, a nivel de Derecho derivado, en la Directiva 95/46/CE, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos(5) y en el proyecto de Decisión marco del Consejo relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal,

B.  Recordando que todo nuevo acto legislativo comunitario debe respetar los criterios de proporcionalidad y subsidiariedad contemplados en el artículo 5 del Tratado CE y en su Protocolo n° 30,

Sobre aspectos de procedimiento

1.  Reconoce la necesidad de reforzar la cooperación a escala europea e internacional en la lucha contra el terrorismo y las formas graves de delincuencia; reconoce que la recopilación y el tratamiento de datos puede constituir una herramienta útil con fines represivos;

2.  Opina que las autoridades policiales han de disponer de todos los instrumentos que necesiten para llevar a cabo debidamente sus cometidos, incluido el acceso a los datos; subraya, no obstante, que, puesto que esas medidas repercuten considerablemente en la intimidad de los ciudadanos de la Unión, debe motivarse de forma convincente su justificación por motivos de necesidad, proporcionalidad y utilidad para alcanzar los objetivos fijados, y destaca que deben establecerse garantías efectivas para la protección de la intimidad y para la protección jurídica; considera que lo anterior es una condición previa para lograr la legitimidad política necesaria para una medida que los ciudadanos pueden considerar como una intrusión inadecuada en su intimidad;

3.  Lamenta que la formulación y la justificación de la propuesta de la Comisión no hayan despejado la inseguridad jurídica con respecto a la compatibilidad con el CEDH y con la Carta de los Derechos Fundamentales, ni con respecto a su fundamento jurídico, que ha planteado interrogantes sobre el papel adecuado en el procedimiento legislativo del Parlamento Europeo; observa que las mismas preocupaciones acerca de la seguridad jurídica de la propuesta:

4.  Considera que, en estas condiciones, el Parlamento Europeo debe reservarse su dictamen oficial, conforme al procedimiento oficial de consulta, hasta que se hayan abordado debidamente las inquietudes formuladas en la presente Resolución y hasta que haya recibido la información mínima necesaria;

5.  Mantiene sus firmes reservas en cuanto a la necesidad y el valor añadido de la propuesta de creación de un PNR de la UE y en cuanto a las garantías que contiene, no obstante las explicaciones y aclaraciones aportadas hasta la fecha por la Comisión y por el Consejo, tanto orales como por escrito; observa, por otra parte, que no se ha dado respuesta satisfactoria a muchos de los interrogantes planteados por el Parlamento Europeo, por el Grupo del artículo 29 y el Grupo "Policía y Justicia", el Supervisor Europeo de Protección de Datos y la FRA;

6.  Comparte la opinión de la FRA en el sentido de que la mera disponibilidad de bases de datos comerciales no justifica automáticamente su utilización con fines represivos; además, se pueden lograr resultados idénticos o incluso superiores gracias a la mejora de la asistencia jurídica recíproca entre las autoridades policiales;

7.  Pide al Consejo que, si se propone proseguir con el examen del texto de la Comisión, tenga en cuenta las recomendaciones formuladas en la presente Resolución y justifique debidamente las condiciones de una necesidad social imperiosa que podrían hacer que esta nueva intervención de la UE sea "necesaria", tal como exige el artículo 8 del CEDH; considera que se trata de las condiciones mínimas para apoyar la introducción de un sistema PNR de la UE; manifiesta su disposición a contribuir y participar en este trabajo a todos los niveles;

8.  Reitera su solicitud de que se aclare la relación entre el uso del PNR y otras medidas como la Directiva 2004/82/CE del Consejo, de 29 de abril de 2004, sobre la obligación de los transportistas de comunicar los datos de las personas transportadas(6), el régimen propuesto de entradas y salidas, el sistema electrónico de autorización de viaje, los datos biométricos en pasaportes y visados, los sistemas SIS y VIS, el Reglamento (CE) n° 2320/2002 del Parlamento Europeo y del Consejo, de 16 de diciembre de 2002, por el que se establecen normas comunes para la seguridad de la aviación civil(7), y los sistemas nacionales de protección de fronteras; lamenta constatar que la aplicación de algunas de estas medidas ha sufrido considerables retrasos, y considera que una evaluación completa y sistemática de los mecanismos e instrumentos existentes actualmente en el marco de la UE y de Schengen para la cooperación en materia de seguridad con miras a garantizar la seguridad aérea, proteger las fronteras exteriores y luchar contra el terrorismo podría contribuir a determinar el valor añadido del sistema de PNR de la UE propuesto;

9.  Recuerda que sigue pendiente el debate sobre el fundamento jurídico apropiado de la propuesta y reitera que, de conformidad con el artículo 47 del Tratado UE, una medida legislativa en el marco de la cooperación policial y judicial debe ir acompañada de las necesarias medidas de acompañamiento comunitarias que deben adoptarse en codecisión con el Parlamento Europeo sobre todos los aspectos del primer pilar, en particular los que definen el ámbito de aplicación de las obligaciones que deben satisfacer los agentes económicos(8);

10.  Recuerda que el Tribunal de Justicia de las Comunidades Europeas ya ha cuestionado el Acuerdo UE-EE.UU. sobre el PNR por considerar erróneo su fundamento jurídico; pide por tanto a la Comisión que examine detenidamente cuál es el fundamento jurídico apropiado;

11.  Considera que, al presentarse la nueva legislación, los Parlamentos nacionales deben estar plenamente asociados al procedimiento legislativo, habida cuenta del impacto de la propuesta tanto para los ciudadanos como para el ordenamiento jurídico nacional de los Estados miembros;

12.  Destaca que un posible acto legislativo por el que se cree en el futuro un sistema PNR de la UE, como nuevo marco de cooperación policial en la Unión Europea, debería incluir disposiciones de evaluación periódica en cuanto a su aplicación, utilidad e infracción de las garantías; considera que se debería invitar a los Parlamentos nacionales, al Supervisor Europeo de Protección de Datos, al Grupo del artículo 29 y a la FRA a que desempeñaran un papel tanto en la revisión como en la evaluación; considera, por tanto, que el nuevo acto legislativo debe incluir una cláusula de suspensión;

13.  Subraya, en este contexto, que cada Estado miembro es responsable inicialmente de la recopilación de los datos PNR y de la protección de los mismos; destaca que las salvaguardias son obligatorias en caso de que los datos PNR sean transmitidos, intercambiados o transferidos a otros Estados miembros o entre Estados miembros; considera, por consiguiente, que el acceso a los datos PNR intercambiados entre los Estados miembros debería limitarse estrictamente a las autoridades responsables de la lucha contra el terrorismo y la delincuencia organizada; observa que se podrá otorgar acceso a otras fuerzas de orden público, previa autorización judicial;

Subsidiariedad

14.  Observa con preocupación que no se ha demostrado suficientemente la necesidad de una acción comunitaria; cuestiona, en este contexto, la afirmación de la Comisión en el sentido de que el objetivo declarado de la propuesta es la armonización de los sistemas nacionales, cuando tan solo unos pocos Estados miembros disponen de un sistema para el uso de los datos PNR con fines represivos y de otro tipo o proyectan crear dicho sistema; considera, por consiguiente, que la propuesta de la Comisión no armoniza los sistemas nacionales (puesto que no existen), sino que simplemente crea la obligación de que todos los Estados miembros establezcan tal sistema;

15.  Observa que la Comisión propone un sistema "descentralizado", lo cual supone que el valor añadido europeo es aún menos evidente;

Proporcionalidad

16.  Recuerda que el artículo 8 del CEDH y el artículo 52 de la Carta de los Derechos Fundamentales exigen que una infracción del derecho a la protección de los datos personales de tal magnitud sea legítima y esté justificada por una necesidad social imperiosa, sea establecida por ley y sea proporcional al fin perseguido, así como necesaria y legítima en una sociedad democrática; lamenta, en este contexto, que no se prevea una limitación de los fines para esta medida de cooperación policial prevista en cuestiones como la lucha contra el terrorismo y la delincuencia organizada;

17.  Manifiesta su preocupación por el hecho de que, en esencia, la propuesta permita a las autoridades policiales acceder sin una orden judicial a todos los datos; destaca que la Comisión no demuestra la necesidad de establecer nuevas competencias represivas ni que este objetivo no pueda alcanzarse mediante medidas de mucho menor alcance; critica que no se informe sobre la medida en que las competencias represivas actuales son insuficientes ni sobre el lugar y el momento en que las autoridades resultaron carecer de las competencias necesarias para lograr el objetivo declarado; pide que se revisen las medidas existentes, mencionadas más adelante, antes de continuar desarrollando un sistema de PNR de la UE;

18.  Toma nota de la afirmación de la Comisión, según la cual la UE ha podido "valorar los datos PNR y explotar su potencial con fines represivos", pero subraya que hasta la fecha no existen pruebas que justifiquen tal afirmación:

Limitación de los fines

19.  Subraya que el principio de limitación de los fines es uno de los principios básicos de la protección de datos; observa, en particular, que el Convenio 108 establece que los datos de carácter personal "se registrarán para finalidades determinadas y legítimas, y no se utilizarán de una forma incompatible con dichas finalidades" (artículo 5, letra b)); señala que sólo se permiten excepciones a este principio en la medida en que las establezca la ley y constituyan una medida necesaria en una sociedad democrática para, entre otras cosas, "la represión de infracciones penales" (artículo 9); la jurisprudencia del Tribunal Europeo de Derechos Humanos ha enunciado claramente que tales excepciones han de ser proporcionadas, precisas y predecibles, de conformidad con el artículo 8, apartado 2, del CEDH;

20.  Lamenta que no se prevea una limitación precisa de los fines, aspecto que constituye una garantía esencial a la hora de imponer medidas restrictivas, y considera que esa protección es incluso más importante por lo que respecta a las medidas secretas de control, dados los mayores riesgos de arbitrariedad que se presentan en esas circunstancias; considera que, dado que los objetivos declarados y las definiciones son ambiguos y abiertos, deben especificarse rigurosamente con objeto de impedir que el sistema PNR de la UE sea objeto de recurso judicial;

21.  Considera que los datos PNR pueden ser muy útiles como elementos de prueba adicionales y de apoyo en una investigación específica sobre sospechosos y cómplices conocidos en materia de terrorismo; observa, no obstante, que no está demostrado que los datos PNR sean útiles para las búsquedas y los análisis automatizados a gran escala sobre la base de criterios o modelos de riesgo (por ejemplo, elaboración de perfiles delictivos o extracción de datos) con miras a detectar terroristas potenciales(9);

22.  Subraya, por otra parte, que las normas de la Unión Europea en materia de protección de datos restringen la elaboración de perfiles delictivos sobre la base de datos personales (articulo 8 de la Carta de los Derechos Fundamentales y el CEDH); comparte, por consiguiente, la opinión de la FRA de que la elaboración de perfiles delictivos basada en datos PNR sólo debe realizarse con miras a los servicios de información y debe basarse en casos individuales y en parámetros reales;

23.  Reitera sus preocupaciones en relación con las medidas que prevén un uso indiscriminado de los datos PNR para la elaboración de perfiles delictivos y para la definición de parámetros de evaluación del riesgo; recuerda que toda elaboración de perfiles delictivos basada en la etnia, la nacionalidad, la religión, la orientación sexual, el sexo, la edad o el estado médico debe estar expresamente prohibida porque es contraria a la prohibición de toda discriminación en este sentido, prevista por los Tratados y la Carta de Derechos Fundamentales;

24.  Señala que, si la Comisión y el Consejo se proponen ampliar el ámbito de aplicación de la propuesta, han de aclarar detalladamente, para cada objetivo declarado, el uso que se hará de los datos PNR y por qué no son suficientes las competencias coercitivas existentes; considera que debe establecerse un fundamento jurídico apropiado para cada objetivo específico;

Protección de datos personales

25.  Destaca que la adopción de un marco adecuado de protección de datos en el tercer pilar es una condición previa absolutamente necesaria para cualquier sistema PNR de la UE, al igual que la introducción de normas específicas para la transmisión y el uso de los datos PNR que no estén cubiertos por el marco de protección de datos de la UE para los pilares primero y tercero; hace hincapié en la necesidad de precisar qué normas de protección de los datos se imponen a las Unidades de Información sobre Pasajeros (UIP) y de garantizar la trazabilidad de todo acceso, transferencia o uso de datos PNR;

26.  Destaca que los datos sensibles sólo pueden ser utilizados en cada caso particular, en el marco de una investigación o de una instrucción regularmente diligenciadas, obtenidos mediante mandato judicial; toma nota de que las líneas aéreas temen no poder separar los datos sensibles de las observaciones generales; aboga por lo tanto por la definición de condiciones estrictas para el tratamiento de estos datos por las UIP, tal como lo ha hecho la FRA en su dictamen;

Modalidades de ejecución

27.  Destaca que, por lo que respecta a los períodos de almacenamiento, la Comisión no justifica el período de conservación propuesto; considera sin embargo, que, para el desarrollo de indicadores de riesgos y el establecimiento de esquemas de desplazamiento y comportamiento, los datos anónimos debieran bastar; considera también que, si se amplía el ámbito de aplicación del sistema PNR, deben justificarse los períodos de conservación para cada fin específico;

28.  Reitera que las transmisiones de datos deberían efectuarse únicamente usando la modalidad PUSH y que los terceros países no deben tener acceso directo a los datos PNR en los sistemas de reserva de la Unión Europea;

29.  Celebra que, por lo que respecta al acceso a los datos PNR, la propuesta prevea que todas las entidades con acceso a los datos PNR deben ser incluidas en una lista exhaustiva;

30.  Subraya que no debe permitirse la transmisión ulterior de datos a terceros países a menos que esos terceros países puedan garantizar un nivel adecuado de protección (tal como se especifica en la Directiva 95/46/CE y en los instrumentos jurídicos por los que se establecen Europol y Eurojust) o salvaguardias apropiadas (de conformidad con el Convenio 108), y que las transmisiones sólo deben realizarse en casos particulares;

31.  Reitera que los pasajeros deben recibir una información completa y accesible sobre los detalles del sistema y sobre sus derechos, y que las autoridades de los Estados miembros son responsables de facilitar esta información; propone que se utilice el ejemplo de la información "sobre denegación de embarque" utilizada en los aeropuertos; considera esencial definir un derecho de acceso, rectificación y recurso para los pasajeros;

32.  Pide que se establezcan normas detalladas y armonizadas sobre la seguridad de los datos PNR por lo que respecta tanto a las soluciones informáticas como a las normas en materia de autorización y acceso;

Consecuencias para las compañías aéreas

33.  Observa que las compañías aéreas recopilan datos PNR con fines comerciales y que no se recopilan sistemáticamente datos para completar todos los campos del PNR; insiste en que no debería exigirse a las compañías aéreas que recopilen datos adicionales a los que recopilan con fines comerciales; considera que no debe responsabilizarse a las compañías aéreas de verificar si los registros son completos y exactos y que es inadmisible que se impongan sanciones por datos incompletos o incorrectos; pide una clara evaluación de los costes que implicaría el establecimiento de un sistema de PNR de la UE; opina que todos los costes adicionales deben ser sufragados por las partes solicitantes;

Intermediarios/Unidades de Información sobre Pasajeros (UIP)

34.  Solicita una clara definición de la función y las competencias de las UIP, en particular por lo que se refiere a la transparencia y la responsabilidad democrática, y con objeto de establecer unas normas adecuadas en materia de protección de datos; solicita que la función de las UIP se limite a la transmisión de datos a las autoridades competentes con objeto de garantizar que las evaluaciones del riesgo sólo puedan ser realizadas por las autoridades competentes y en el contexto de una investigación; solicita que se precise qué Derecho regirá la evaluación del riesgo llevada a cabo por la UIP, así como la responsabilidad de las autoridades de protección de datos cuando varios Estados miembros cooperen para crear una UIP conjunta;

o
o   o

35.  Encarga a su Presidente que transmita la presente Resolución al Consejo, a la Comisión, a los Gobiernos y Parlamentos de los Estados miembros, al Supervisor Europeo de Protección de Datos, a la Agencia de Derechos Fundamentales, al Grupo del Artículo 29 y al Grupo "Policía y Justicia".

(1) DO C 61 E de 10.3.2004, p. 381; DO C 81 E de 31.3.2004, p. 105; DO C 103 E de 29.4.2004, p. 665; DO C 157 E de 6.7.2006, p. 464; DO C 305 E de 14.12.2006, p. 250; DO C 287 E de 29.11.2007, p. 349; DO C 175 E de 10.7.2008, p. 564; Textos Aprobados de 22.10.2008, P6_TA(2008)0512. (2) DO L 204 de 4.8.2007, p. 18. (3) DO L 82 de 21.3.2006, p. 15. (4) DO L 213 de 8.8.2008, p. 49. (5) DO L 281 de 23.11.1995, p. 31. (6) DO L 261 de 6.8.2004, p. 24. (7) DO L 355 de 30.12.2002, p. 1. (8) Véase, en particular, el dictamen del Servicio Jurídico del Consejo sobre este asunto, así como las conclusiones del Abogado General, de 14 de octubre de 2008, en el asunto C-301/06, Irlanda/Parlamento Europeo y Consejo de la Unión Europea, sobre la Directiva 2006/24/CE sobre la conservación de datos. (9) Informe CRS para el Congreso de los Estados Unidos: "Data Mining and Homeland Security: An Overview", de Jeffrey Seifert; "Effective Counter-terrorism and the Limited Role of Predicative Data Mining", del CATO Institute; "Protecting Individual Privacy in the Struggle Against Terrorists: A Framework for Program Assessment"; "No dream ticket to security", de Frank Kuipers, Clingendael Institute, agosto de 2008.