EL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS,
Visto el Tratado de Funcionamiento de la Unión Europea y, en particular, el artículo 16,
Vista la Carta de los Derechos Fundamentales de la Unión Europea y, en particular, sus artículos 7 y 8,
Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1),
Visto el artículo 41 del Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (2).
HA ADOPTADO EL SIGUIENTE DICTAMEN:
1. INTRODUCCIÓN
1.1. Consulta al Supervisor Europeo de Protección de Datos
1. El 19 de mayo de 2011 la Comisión adoptó una propuesta de Decisión del Consejo relativa a la celebración del Acuerdo entre la Unión Europea y Australia sobre el tratamiento y transferencia de datos de registros de nombres de pasajeros (PNR), por parte de los transportistas aéreos, al Servicio de Aduanas y de Protección de las Fronteras de Australia (3). La propuesta se trasladó para consulta al SEPD el 23 de mayo.
2. El SEPD fue consultado de manera informal durante el mes de mayo de 2011, en el contexto de un procedimiento de vía rápida, sobre la propuesta relativa al acuerdo entre la Unión Europea y Austria sobre el tratamiento y la transferencia de datos PNr.
3. Considerando que sus comentarios siguen siendo válidos en relación con la esencia de la propuesta adoptada por la Comisión y presentada al Consejo y al Parlamento, el SEDP ha decidido presentar sus observaciones de una manera más amplia en forma de dictamen público. De este modo, dichas observaciones podrán ser tenidas en cuenta en los posteriores debates sobre la propuesta.
4. El SEPD aprovecha esta oportunidad para plantear otras cuestiones y anima al Consejo y al Parlamento a tener en cuenta sus opiniones en el momento de adoptar una decisión sobre la propuesta en virtud de lo establecido en el artículo 218 del TFUE.
1.2. Contexto de la propuesta
5. El acuerdo entre la UE y Australia sobre los datos PNR es otro de los pasos en la agenda de la UE, que incluye directrices generales sobre PNR, el establecimiento de un sistema PNR para la Unión Europea y la negociación de acuerdos con terceros países (4).
6. El SEPD ha seguido de cerca los desarrollos relativos a PNR y ha adoptado recientemente dos dictámenes sobre el “paquete PNR” de la Comisión y sobre la propuesta de Directiva relativa a la utilización de datos PNR en la Unión Europea (5). Las opiniones expresadas por el SEPD sobre los sistemas PNR complementan y guardan coherencia en gran medida con las del Grupo de Trabajo del Artículo 29 (6), pero también con las de otros documentos recientes, incluido el dictamen del Comité Económico y Social Europeo (7) y el dictamen de la Agencia de los Derechos Fundamentales de la Unión Europea (8).
7. Como se desarrollará a continuación, el enfoque del SEPD siempre ha consistido en comparar la finalidad de los sistemas PNR con los requisitos esenciales de necesidad y proporcionalidad, y analizar en una segunda fase los detalles de las disposiciones para sugerir mejoras, en su caso.
1.3. Observación preliminar
8. El SEPD recibe con satisfacción el enfoque general que tiene por objeto armonizar las garantías de protección de datos en los distintos acuerdos PNR con terceros países. Sin embargo, deben hacerse algunas observaciones.
9. Un comentario reiterado en los dictámenes del SEPD y del Grupo de Trabajo del Artículo 29 es aplicable asimismo a la propuesta australiana de PNR: debe demostrarse la necesidad y la proporcionalidad de los sistemas PNr.
10. Estos dos requisitos básicos son aspectos fundamentales de la legislación en materia de protección de datos, en virtud de lo dispuesto en los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea y el artículo 16 del TFUE. La UE debe garantizar que se cumplen los requisitos de la legislación europea en materia de protección de datos, incluso en los casos en que los datos de los ciudadanos europeos son tratados y transmitidos desde el territorio de la Unión a un tercer país. En dichos casos, deberán evaluarse y establecerse la necesidad y la proporcionalidad antes de que pueda firmarse un acuerdo.
Además de los elementos que apoyan la necesidad del sistema PNR, la proporcionalidad exige un equilibrio adecuado entre la finalidad perseguida y el tratamiento de cantidades masivas de datos que derive en una intromisión grave en la vida privada de las personas físicas.
11. En lo que a los sistemas PNR se refiere, la finalidad es luchar contra el terrorismo y los delitos (transnacionales) graves mediante la recogida de cantidades masivas de datos relativas a todos los pasajeros, con el fin de llevar a cabo un análisis de riesgos sobre dichos pasajeros. Hasta ahora, el SEPD no considera convincentes las justificaciones presentadas de los sistemas PNR existentes o que están previstos, como el sistema PNR para la Unión Europea, que fue objeto de un análisis detallado en su dictamen de marzo de 2011 (9).
12. Además, en caso de que quede establecida la necesidad, el SEPD hace hincapié en que todavía sería necesario realizar una prueba de proporcionalidad. El SEPD cuestiona el equilibrio entre el tratamiento de datos personales a gran escala y la finalidad perseguida, especialmente teniendo en cuenta la diversidad de delitos incluidos en el ámbito de aplicación del proyecto de acuerdo. Para ello, tiene en cuenta que, en el ámbito de la lucha antiterrorista y de la delincuencia grave, ya existen otros instrumentos efectivos.
13. Los comentarios específicos que se incluyen a continuación se entienden sin perjuicio de lo indicado en esta observación preliminar básica. El SEPD recibe con satisfacción la inclusión de disposiciones que prevén garantías específicas como la seguridad, la ejecución y la supervisión de los datos, así como las disposiciones relativas a las transferencias posteriores. Al mismo tiempo, expresa su preocupación, no sólo respecto de la necesidad y la proporcionalidad del sistema, sino también en relación con el ámbito de aplicación de las definiciones y las condiciones de la conservación de datos.
2. ANÁLISIS DE LA PROPUESTA
2.1. Base jurídica
14. El SEPD destaca que el acuerdo está basado en lo dispuesto en el artículo 82, apartado 1, letra d), el artículo 87, apartado 2, letra a) y el artículo 218, apartado 6, letra a), del Tratado de Funcionamiento de la Unión Europea. El SEPD recuerda que entre los factores objetivos que deben considerarse para la elección de una base jurídica se incluyen, entre otros, la finalidad y el contenido del acto (10). Si la evaluación del acto de la Unión Europea revela que éste persigue un doble objetivo o que tiene un componente doble y que uno de ellos puede calificarse como principal o preponderante, mientras que el otro sólo es accesorio, el acto deberá tener una única base jurídica, en concreto aquella exigida por el objetivo o el componente principal o preponderante (11). Con carácter excepcional, si se establece que el acto persigue simultáneamente varios objetivos que están vinculados de manera intrínseca, sin que uno sea secundario e indirecto respecto del otro, el acto podrá estar fundado en las correspondientes bases jurídicas (12).
15. Teniendo en cuenta lo que establece la jurisprudencia, tal como se ha resumido brevemente, y aparte de lo dispuesto en el artículo 218, apartado 6, letra a), el SEPD sugiere que el acuerdo no esté basado en el artículo 82, apartado 1, letra d) y el artículo 87, apartado 2, letra a), sino en el artículo 16 del TFUE.
16. En relación con la propuesta, debe recordarse que los acuerdos PNR que están siendo negociados por la UE han sido generados por la necesidad de conciliar la obligación de las compañías aéreas de facilitar datos PNR a las autoridades de terceros países con el derecho fundamental a la protección de datos (13). Además, el texto de la propuesta hace referencia en muchas ocasiones a la finalidad de protección de los datos personales (14).
17. Respecto del contenido, en el acuerdo resulta evidente la preponderancia de las disposiciones en materia de protección de datos. Además de encontrar este aspecto en los artículos 3, 4 y 6, parece que la protección de datos está impregnada en casi todas las disposiciones del acuerdo. Este hecho resulta obvio en el artículo 1 (finalidad), el artículo 2 (definiciones), el artículo 5 (adecuación) y los artículos 7 a 19 (garantías aplicables al tratamiento de los datos del PNR).
18. En cuanto a las disposiciones de garantía (los artículos 7 a 19), debe destacarse que contienen disposiciones típicas de la legislación en materia de protección de datos (15). El hecho de que un acto incluya disposiciones que pertenecen típicamente a un ámbito jurídico específico fue considerado por el Tribunal como un elemento que justifica una base jurídica específica (16).
19. En resumen, el SEPD considera que la finalidad del acuerdo es, más que mejorar la cooperación policial, ordenar y autorizar la transferencia de los datos personales por parte de los operadores privados a la vista de la solicitud por parte de un tercer país. Mientras que dicha transferencia a un tercer país no sería posible, en principio, según las normas europeas, el acuerdo PNR tiene por objeto permitir la transferencia de datos personales en virtud de los requisitos europeos en materia de protección de datos, a través de la adopción de garantías específicas.
20. Por estos motivos, el SEPD considera que en cualquier caso el acuerdo debería estar basado principalmente en lo dispuesto en el artículo 16 TFUE (17).
2.2. Finalidad y definiciones
21. El SEPD destaca el hecho de que las finalidades para las que los datos PNR pueden tratarse están claramente definidas en el artículo 3 de la propuesta. Sin embargo, lamenta que las definiciones actuales sean más amplias que las definiciones de la propuesta de Directiva relativa a un sistema PNR para la Unión Europea, la cual, a su vez, debería ser menos amplia, especialmente respecto de los delitos menores.
22. Mientras que en la propuesta de un sistema PNR para la Unión Europea las definiciones tienen en cuenta las consecuencias de las actividades definidas como “terroristas”, tal como daños concretos a las personas o los gobiernos (fallecimientos, ataques a la integridad física, destrucción del sistema de transportes, de un servicio de infraestructura, etc.), la actual propuesta es menos específica y, cuando hace referencia a la intimidación de personas, del gobierno o a la desestabilización grave de las estructuras políticas o económicas fundamentales, está más orientada a la finalidad.
23. El SEPD considera que es necesaria una mayor precisión en relación con los conceptos de “intimidar, forzar o coaccionar”, así como respecto de la expresión “las estructuras políticas, constitucionales, económicas, o (especialmente) sociales fundamentales de un país o de una organización internacional”. Esto evitaría la aplicación del sistema PNR en los casos en que no debería tratarse de una situación contemplada, como las actividades legítimas (por ejemplo, las manifestaciones pacíficas) en un contexto social, cultural o político (18).
24. La posibilidad de tratar datos en otros casos excepcionales plantea otras preguntas, en especial por lo que se refiere al “riesgo para la salud”. El SEPD considera que dicha ampliación de la finalidad es desproporcionada, especialmente cuando existen procedimientos alternativos más específicos para tratar los riesgos para la salud, cuando sea necesario, caso por caso. Además, los datos de PNR no son la herramienta más adecuada para identificar a los pasajeros, en especial cuando existen otros datos más fiables como los datos API.
25. El SEPD destaca asimismo que la lista de datos de PNR adjunta a la propuesta sobrepasa lo que las autoridades encargadas de la protección de datos han considerado proporcionado en los dictámenes del Grupo de Trabajo del Artículo 29 (19). Dicho listado debería reducirse. En particular, no está justificada la inclusión del campo “Observaciones generales”, el cual puede incluir datos poco importantes, aunque potencialmente sensibles, por lo que dicho campo debería ser suprimido.
2.3. Datos sensibles
26. El SEPD recibe con agrado que se haya excluido el tratamiento de datos sensibles del ámbito de aplicación, tal como se indica en el artículo 8 de la propuesta. Sin embargo, la redacción de esta disposición todavía sugiere que los datos sensibles podrán ser “tratados”. La disposición permite que las compañías aéreas envíen en una primera fase estos datos y que, en una segunda fase, las autoridades públicas los eliminen. El envío por parte de las compañías aéreas es un acto de tratamiento. El SEPD considera que las compañías aéreas deberían ser obligadas a filtrar los datos sensibles en el origen del tratamiento.
2.4. Seguridad de los datos
27. La propuesta incluye en el artículo 9 una disposición general sobre la seguridad e integridad de los datos, la cual se recibe con agrado. El SEPD apoya, en especial, la obligación de comunicar las violaciones de la seguridad de los datos a la Oficina del Comisario de Información australiano. Respecto del posterior envío de la información a la Comisión Europea, debería incluirse una explicación más detallada en relación con el procedimiento que deberá seguirse. Además, el SEPD considera que las autoridades encargadas de la protección de datos también deberían ser destinatarios de este tipo de información y la propuesta debería hacer una mención explícita a las mismas.
2.5. Supervisión y ejecución
28. Se recibe con agrado la existencia de un sistema de supervisión, incluidas las medidas de supervisión y de responsabilidad, y que se insista en la falta de discriminación, sobre la base de la nacionalidad o país de residencia. Asimismo, el SEPD apoya firmemente el derecho fundamental de cada persona a las vías de recurso administrativo y a la protección judicial efectiva. El SEPD considera que el papel de la Oficina del Comisario de Información australiano es una garantía importante, en lo que respecta a las posibilidades de recurso y el ejercicio de los derechos de los interesados.
2.6. Decisiones individuales automáticas
29. Según lo dispuesto en el artículo 15, interpretado a contrario, una decisión automática que no “afecte de forma seria a un pasajero o no tenga una repercusión legal adversa” podrá tomarse en razón del tratamiento automático de los datos del PNr. Las garantías serán aplicables únicamente cuando la decisión afecte de forma seria a un pasajero. En opinión del SEPD, teniendo en cuenta el amplio ámbito del tratamiento automático de datos personales previstos en el sistema PNR, esta restricción resulta cuestionable. Para evitar interpretaciones flexibles de esta disposición, el SEPD recomienda la supresión de “de forma seria” y que se garantice que no se permite ninguna decisión automática que pueda tener una repercusión adversa sobre una persona.
2.7. Conservación de datos
30. El SEPD considera que la longitud del período de conservación de datos previsto en el artículo 16 es una de las mayores dificultades de la propuesta. Un período de conservación de cinco años y medio, incluidos tres años sin el enmascaramiento de los datos, es claramente desproporcionado, especialmente si dicho período de conservación se compara con el anterior sistema PNR de Australia, el cual no preveía el almacenamiento de los datos salvo caso por caso (20). Debería proporcionarse una justificación más amplia que explicara el motivo por el que ahora se establece un período de conservación más largo, cuando dicho período no había sido considerado necesario en el primer sistema PNr.
31. De conformidad con la posición que el propio SEPD defendía en su dictamen sobre la propuesta de Directiva de un sistema PNR para la Unión Europea, éste considera que, tras el presente análisis o a más tardar en treinta días desde su adopción, deberían hacerse completamente (es decir, de manera irreversible) anónimos todos los datos.
2.8. Transferencias posteriores
32. Se reciben con satisfacción las garantías establecidas en los artículos 18 y 19, en especial por el hecho de que establecen una lista de destinatarios de los datos dentro de Australia, para una transferencia caso por caso y una evaluación de la necesidad de la transferencia en cada caso. El SEPD destaca, sin embargo, que la aplicación de esta disposición puede ser eludida gracias a la excepción incluida en el artículo 18, apartado 1, letra c), que permite que se compartan datos despersonalizados incluso si no se hace caso por caso. Sin embargo, la despersonalización no implica la eliminación de elementos que permitan la identificación sino simplemente el enmascaramiento de los mismos, mientras que sigue siendo posible un acceso total a dichos datos. Es por ello que el SEPD recomienda que no se permita ninguna excepción al principio de las transferencias “caso por caso”. Como garantía adicional, el SEPD sugiere limitar las transferencias a las autoridades “cuya labor sea la lucha antiterrorista y de la delincuencia transnacional”, en lugar de aquellas autoridades cuyas funciones estén “directamente relacionadas con la prevención de (estos) delitos”.
33. Se apoya el hecho de que las transferencias a terceros países estén sujetas a la condición de que estos apliquen las “mismas” garantías que las incluidas en el acuerdo original.
Teniendo en cuenta el hecho de que otras transferencias implican, sin embargo, una pérdida de control del modo en que los datos serán procesados y la falta de un acuerdo internacional que garantice la aplicación efectiva de las garantías por parte de estos nuevos destinatarios, el SEPD sugiere, además, que estas transferencias queden sujetas a una autorización judicial previa.
34. La propuesta prevé que cuando se transmiten los datos de una persona residente en un Estado miembro a un tercer país, deberá informarse de ello al Estado miembro cuando el Servicio de Aduanas y de Protección de las Fronteras de Australia tenga conocimiento de esta circunstancia [artículo 19, apartado 1, letra f)]. El SEPD considera que deberían incluirse otros detalles que explicasen la finalidad de dicha transmisión a un Estado miembro. En el caso de que la transferencia de información pudiera tener repercusiones sobre el interesado, esto debería quedar más justificado y deberían incluirse otras garantías.
35. Por último, en relación con las transferencias dentro de Australia y a terceros países, tanto el artículo 18 como el 19 establecen una disposición general, según la cual ninguna disposición impedirá la comunicación de datos del PNR cuando sea necesario para los fines del artículo 3, apartado 4 (21), dicho de otro modo, en caso de circunstancias excepcionales, para proteger el interés vital de cualquier persona, incluyendo un riesgo para la salud. El SEPD ya ha cuestionado el riesgo de que esta excepción se interprete de manera amplia. Además, no entiende el motivo por el que todas las transferencias en circunstancias excepcionales no deban someterse a las garantías previstas en los artículos 18 y 19, en especial respecto de la limitación a una finalidad específica o una minimización de los datos, así como en relación con la protección de la identidad de los destinatarios y el nivel de protección concedido a los datos personales.
2.9. Transferencias por parte de las compañías aéreas
36. Según lo dispuesto en el artículo 21, apartado 3, las transferencias de los datos de PNR a las autoridades pueden tener lugar más de cinco veces para cada vuelo en circunstancias excepcionales, en caso de que exista una amenaza específica. Para mejorar la seguridad jurídica, deberían detallarse mejor las condiciones de dichas transferencias adicionales e incluir, en especial, el requisito adicional de la existencia de una amenaza inmediata.
2.10. Revisión del acuerdo
37. El SEPD considera que debería ofrecerse un mayor detalle sobre varios aspectos de las condiciones para la revisión.
Debería especificarse la frecuencia de las revisiones tras la revisión inicial. Además, las autoridades encargadas de la protección de datos deberían estar incluidas de manera explícita en el equipo de revisión y no sólo de modo condicional.
38. El SEPD sugiere que la revisión también se concentre en la evaluación de la necesidad y la proporcionalidad de las medidas, mediante la confección de estadísticas relativas al número de personas afectadas y efectivamente condenadas sobre la base de los datos del PNR y sobre el ejercicio efectivo de los derechos de los interesados. Dicha evaluación debería incluir la verificación del modo en que se tratan en la práctica las solicitudes de los interesados, en especial cuando no se ha permitido un acceso directo.
3. CONCLUSIÓN
39. El SEPD recibe con satisfacción las garantías previstas en las propuestas, en especial respecto de la ejecución concreta del acuerdo. En particular, los aspectos de seguridad, las medidas de supervisión y de ejecución se han desarrollado de un modo satisfactorio. El SEPD hace hincapié en que todas las personas tienen acceso a la autoridad australiana de protección de datos, así como a las autoridades judiciales de dicho país. Estas garantías están entre las garantías esenciales establecidas por las propuestas.
40. Sin embargo, el SEPD también ha identificado un importante margen de mejora, en especial en cuanto al ámbito de aplicación del acuerdo, la definición de terrorismo y la inclusión de algunas finalidades excepcionales, así como el período de conservación de los datos del PNr. En comparación con el anterior sistema PNR de Australia, y también con la propuesta de un sistema PNR para la Unión Europea, este período de conservación resulta desproporcionado.
41. Debería reconsiderarse la base jurídica del acuerdo. Teniendo en cuenta lo establecido en la jurisprudencia reiterada, y aparte de lo dispuesto en el artículo 218, apartado 6, letra a), el SEPD considera que en cualquier caso el acuerdo debería estar basado principalmente en el artículo 16 del TFUE y no en el artículo 82, apartado 1, letra d) y el artículo 87, apartado 2, letra a). Esto es totalmente conforme con lo dispuesto en la Declaración 21 del Tratado de Lisboa.
42. Estos comentarios deben entenderse en el contexto más amplio de la legitimidad de cualquier sistema PNR, considerado como una recogida sistemática de los datos del pasajero con el fin de llevar a cabo un análisis de riesgos.
Una propuesta puede satisfacer el resto de requisitos del marco de protección de datos únicamente si el sistema respeta los requisitos fundamentales de necesidad y de proporcionalidad en virtud de lo dispuesto en los artículos 7 y 8 de la Carta de Derechos Fundamentales y en el artículo 16 del TFUE.
43. Por tanto, el SEPD concluye asimismo que en las evaluaciones finales que precederán la celebración del acuerdo deberá prestarse más atención a estos requisitos fundamentales.
Hecho en Bruselas, el 15 de julio de 2011.
Peter HUSTINX
Supervisor Europeo de Protección de Datos
—————————————————————————–
(1) DO L 281 de 23.11.1995, p. 31.
(2) DO L 8 de 12.1.2001, p. 1.
(3) COM(2011) 281 final.
(4) Véase en particular la Comunicación de la Comisión de 21 de septiembre de 2010 sobre el enfoque global de las transferencias de datos de los registros de nombres de los pasajeros (PNR) a terceros países, COM(2010) 492 final
(5)
— Dictamen del SEPD de 25 de marzo de 2011 sobre la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la utilización de datos de registros de nombres de pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos terroristas y delitos graves;
— Dictamen del SEPD de 19 de octubre de 2010 relativo a la Comunicación de la Comisión sobre el enfoque global de las transferencias de Datos de Registros de Pasajeros (PNR, en inglés) a terceros países.
Ambos dictámenes están disponibles en http://www.edps.europa.eu/EDPSWEB/edps/cache/off/Consultation
(6) Dictamen 10/2011 del Grupo de Trabajo del Artículo 29, de 5 de abril de 2011, sobre la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la utilización de datos de los registros de nombres de pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos terroristas y delitos graves: http://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/2011_en.htm
(7) Dictamen del Comité Económico y Social Europeo, de 5 de mayo de 2011, sobre la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la utilización de datos de registros de nombres de pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos terroristas y delitos graves, COM(2011) 32 final.
(8) Dictamen de la Agencia de los Derechos Fundamentales de la Unión Europea de 14 de junio de 2011 sobre la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la utilización de datos de registros de nombres de pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos terroristas y delitos graves [COM(2011) 32 final].
(9) Dictamen del SEPD de 25 de marzo de 2011 sobre la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la utilización de datos del registro de nombres de los pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos terroristas y delitos graves; véase asimismo el dictamen del Grupo de Trabajo del Artículo 29 mencionado anteriormente.
(10) Asunto C-491/01, British American Tobacco, en particular los puntos 92-93.
(11) Asunto C-42/97 Parlamento/Consejo, puntos 39 y 40.
(12) Véanse a tal efecto el asunto C-491/01, British American Tobacco, puntos 92-93 y el asunto C-42/97 Parlamento/Consejo, punto 38.
(13) El Tribunal ha reconocido este aspecto en los antecedentes de hecho de las sentencias PNR, asuntos acumulados C-317/04 y C-318/04, punto 33.
(14)
— La exposición de motivos reconoce que las normas de protección de datos de la UE no permiten a los transportistas transmitir datos PNR a países que no garanticen un nivel adecuado de protección. Por lo que “se requiere una solución que ofrezca una base jurídica para la transferencia […] con el fin de garantizar […] y respetar los derechos de las personas a la protección de sus datos personales”.
— El objetivo de garantizar el respeto del derecho de protección de datos personales deriva de forma bastante clara del preámbulo, en concreto del considerando en que se citan el artículo 6 del TUE, el artículo 16 del TFUE, el artículo 8 del CEDH y el Convenio nº 108, etc.
— El preámbulo también cita las disposiciones correspondientes del sistema australiano en materia de protección de datos, reconociendo de este modo que dichas disposiciones prevén la protección de los datos, los derechos de acceso y apelación, rectificación y comentario y vías de recurso y sanciones del uso indebido de los datos personales.
— El artículo 1 del acuerdo —titulado “Finalidad del acuerdo”— establece que el acuerdo prevé la transferencia de datos del PNr. Añade que el acuerdo “estipula las condiciones de transferencia y utilización de tales datos y la manera en que deben ser protegidos” (la cursiva es nuestra).
(15) Como las disposiciones sobre los datos sensibles, la seguridad de los datos, la responsabilidad, la transparencia, el derecho de acceso, rectificación y borrado, el derecho de recurso, el tratamiento automático, etc.
(16) Dictamen 2/2000, Protocolo Cartagena, apartado 33.
(17) En este contexto, también debe hacerse una referencia a la Declaración 21 aneja al Tratado de Lisboa “relativa a la protección de datos de carácter personal en el ámbito de la cooperación judicial en materia penal y de la cooperación policial”. La redacción clara de la Declaración 21 confirma que, en los casos en que exista algún elemento de cooperación policial, un instrumento de protección de datos en este ámbito deberá estar basado en lo dispuesto en el artículo 16 TFUE (y, en su caso, en otras disposiciones). Este análisis se entendería sin perjuicio de la división de competencias en el seno de la Comisión Europea.
(18) En este sentido, el derecho fundamental de libertad de reunión, por ejemplo (artículo 12 de la Carta de Derechos Fundamentales) no debería quedar suspendido por los efectos de una redacción demasiado laxa.
(19) Dictamen de 23 de junio de 2003 sobre el nivel de protección garantizado en los Estados Unidos para las transferencias de datos de los pasajeros, WP78.
(20) Véase también en este sentido el dictamen positivo del Grupo de Trabajo del Artículo 29: Dictamen 1/2004 de 16 de enero de 2004 sobre el nivel de protección garantizado por Australia en la transmisión de datos del registro de nombres de pasajeros de las compañías aéreas, WP85. El dictamen tiene en cuenta el hecho de que “el servicio de aduanas aplica una política general de no retención de estos datos. En cuanto a la media de entre el 0,05 % y el 0,1 % de pasajeros remitidos al servicio de aduanas para ser sometidos a nuevas evaluaciones, se retienen temporalmente los datos del PNR de la compañía aérea, pero no se almacenan, a la espera de los resultados de la evaluación realizada en la frontera. Una vez tomada la decisión, los datos se borran del ordenador del funcionario correspondiente de la Unidad de análisis de pasajeros del servicio de aduanas y no se introducen en las bases de datos australianas.”
(21) Así como a los efectos de lo dispuesto en el artículo 10 cuando los datos se transfieran dentro de las fronteras de Australia.