Ley de datos del Registro de Pasajeros
Ley de datos del Registro de Pasajeros | ||
---|---|---|
País | España | |
Aplica a la jurisdicción | España | |
Título | Ley Orgánica 1/2020, de 16 de septiembre, sobre la utilización de los datos del Registro de Nombres de Pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves | |
Signatario | Felipe VI de España | |
Identificador Google Knowledge Graph | /g/11hspnpswf | |
Identificador del Boletín Oficial del Estado | BOE-A-2020-1776 | |
Legislado por | Cortes Generales | |
Fecha de publicación | 17 de septiembre de 2020 | |
Fecha de entrada en vigor | 17 de noviembre de 2020 | |
Fecha de promulgación | 16 de septiembre de 2020 | |
La Ley de datos del Registro de Pasajeros, Ley del Registros de Pasajeros[1] o Ley de control de pasajeros[2], entre otros nombres, y oficialmente llamada Ley Orgánica 1/2020, de 16 de septiembre, sobre la utilización de los datos del Registro de Nombres de Pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves, es una ley española, con rango de ley orgánica, que transpone al ordenamiento jurídico español la Directiva de la Unión Europea 2016/681[3] y que tiene por objeto regular la recogida y transmisión de datos sobre pasajeros y tripulación de vuelo a las autoridades y su intercambio con los Estados miembros de la Unión Europea, Europol y terceros países.[4]
Esta ley orgánica únicamente se aplica a los vuelos internacionales con origen, destino o tránsito en España de carácter comercial y privados salvo excepciones a determinados tipos de vuelos (v. gr. vuelos de Estado o aviación general que no tenga por objeto el transporte de personas, entre otros).[4] Estos datos únicamente pueden utilizarse con la finalidad de prevenir, detectar, investigar y enjuiciar los delitos de terrorismo y los delitos graves tasados en la ley orgánica.[4]
Estructura
La Ley se estructura mediante tres capítulos:[4]
- El Capítulo I, que regula una serie de aspectos generales relativos al objeto de la ley, su ámbito de aplicación, quienes son los sujetos obligados por esta ley, los delitos tasados en los cuales las autoridades de un país pueden utilizar esta información y los datos que pueden ser recopilados.
- El Capítulo II, que supone el grueso de la ley, regula el régimen de cómo y cuándo han de tratarse los datos así como sus límites, quien es la autoridad responsable para el tratamiento de los datos, las funciones de este órgano y quienes pueden solicitar la información, crea la figura del responsable de protección de datos, establece las obligaciones de los distintos actores implicados, y también regula lo relativo al intercambio de información entre Estados y organismos competentes y las funciones de la Agencia Española de Protección de Datos.
- El Capítulo III, que recoge el régimen de responsabilidad, las infracciones que pueden ser cometidas y sus sanciones.
Asimismo, la ley orgánica prevé una serie de disposiciones adicionales relativas a cómo y cuándo deben empezar a transmitir información los diferentes actores implicados, el régimen especial de acceso a los datos del Centro Nacional de Inteligencia (CNI) así como el acceso a los mismos por parte de las Direcciones Generales de la Policía y de la Guardia Civil, de las autoridades competentes de las Comunidades Autónomas, del Servicio de Vigilancia Aduanera y de los jueces, tribunales y Ministerio Fiscal.[4]
Por último, también prevé una serie de disposiciones finales relativas al apoyo constitucional que tiene esta ley (arts. 149.1.1º y 29º de la Constitución Española), el apoyo en el Derecho europeo (Directiva (UE) 2016/681), los preceptos que tienen carácter de ley orgánica (arts. 4 y 5, capítulo II y la disposición final segunda) y los que no (el resto) y la entrada en vigor, que será el 17 de noviembre de 2020.[4]
Contenido
Capítulo I
El Capítulo I de la Ley Orgánica establece que la ley tiene como propósito garantizar y proteger la vida y la seguridad de los ciudadanos y para ello regula la transferencia de datos del registro de nombres de pasajeros (PNR), así como de la información de la tripulación de cabina y de ciudadanos nacionales. También, regula el régimen de los datos del registro, su transmisión, las funciones del órgano encargado de recoger los datos y el régimen de responsabilidad y sancionador. Además, limita el uso de los datos a la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y los delitos graves previstos en la ley orgánica.[4]
Regula también su ámbito de aplicación, que son los datos de las personas que viajen en los vuelos internacionales, tanto interiores como exteriores de la Unión Europea, con su salida del territorio español o llegada al mismo, o que hagan escala en él, excluyendo determinados tipos de vuelos y, excepcionalmente, permite su uso para vuelos nacionales sobre los que se tenga probada sospecha de que puedan suponer un riesgo con la finalidad de los delitos ya mencionados.[4]
En cuanto a los sujetos obligados, la ley establece que son las compañías aéreas, los operadores de las aeronaves privadas y las entidades de gestión de reserva de vuelos.
Los delitos a los que se aplica son:[4]
- Terrorismo, pertenencia a una organización delictiva, trata de seres humanos, explotación sexual de niños y pornografía infantil, tráfico ilícito de estupefacientes y sustancias psicotrópicas, tráfico ilícito de armas, municiones y explosivos, corrupción, fraude, blanqueo del producto del delito y falsificación de moneda, delitos informáticos/ciberdelincuencia, delitos contra el medio ambiente, incluido el tráfico ilícito de especies animales protegidas y de especies y variedades vegetales protegidas, ayuda a la entrada y residencia ilegales, homicidio voluntario, agresión con lesiones graves, tráfico ilícito de órganos y tejidos humanos, secuestro, detención ilegal y toma de rehenes, robo organizado y a mano armada, tráfico ilícito de bienes culturales, incluidas las antigüedades y las obras de arte, falsificación y violación de derechos de propiedad intelectual o industrial de mercancías, falsificación de documentos administrativos y tráfico de documentos administrativos falsos, tráfico ilícito de sustancias hormonales y otros factores de crecimiento, tráfico ilícito de materiales radiactivos o sustancias nucleares, violación, delitos incluidos en la jurisdicción de la Corte Penal Internacional, secuestro de aeronaves y buques, sabotaje, tráfico de vehículos robados y espionaje industrial.
Por último, este capítulo prevé que datos pueden ser recogidos, entre los que se encuentran: nombre, apellidos, localizador de registro PNR, fecha de reserva y emisión del billete, fechas del viaje, dirección y otros datos de contacto, detalles de pago, itinerario de viaje, información sobre vuelos frecuentes, agencia u operador de viajes, entre otros.[4]
Capítulo II
El Capítulo II comienza estableciendo el órgano responsable para el tratamiento de los datos PNR es la Unidad de Información sobre Pasajeros (UIP) del Centro de Inteligencia contra el Terrorismo y el Crimen Organizado (CITCO). Se encarga de recoger los datos, almacenarlos, tratarlos, transferirlos e intercambiarlos cuando sea necesario.[4]
Crea el Responsable de protección de datos, una persona encargada de velar porque se adopten las medidas oportunas para el control del tratamiento de los datos y se apliquen las garantías que establece la normativa sobre protección de datos, siendo la autoridad a la que tiene que acudir cualquier interesado en cuestiones relativas al tratamiento de los datos PNR.
Asimismo, establece obligaciones para los actores implicados y cómo deben enviar los datos. Las obligaciones son:[4]
- Las compañías aéreas y operadores de vuelos privados tienen la obligación de enviar los datos PNR de los vuelos que entren dentro del ámbito de esta ley. Si hay varias, la obligada será la compañía aérea que actúe como operadora del vuelo.
- Las entidades de gestión de reservas de vuelos introducirán en el PNR los datos que hayan recopilado en el transcurso normal de su actividad respecto a los vuelos que entren dentro del ámbito de esta ley.
Los sujetos obligados deben comunicar la recogida de datos a las personas afectadas y a quien se envían, en este caso, a la UIP. Asimismo, deben enviar los datos entre las veinticuatro y cuarenta y ocho horas antes de la hora de salida del vuelo e inmediatamente después del cierre del mismo y deben comunicar cualquier cambio previo o durante el trayecto.
La ley también recoge qué debe hacer la UIP con los datos y, en caso de recibir datos fuera del ámbito de esta ley, debe destruirlos inmediatamente. Básicamente, se encarga de evaluar los datos para identificar a los pasajeros y la tripulación antes de la llegada y salida y, si fuera necesario, comunicar a la autoridad competente para que sean examinadas de nuevo, de tramitar las peticiones de datos PNR que le soliciten los sujetos autorizados y de analizar los datos para establecer criterios de evaluación. Los datos que sean de carácter personal están especialmente protegidos, su trato muy limitado y, además, todo las operaciones que se hagan con ellos debe estar registradas.
En cuanto a las autoridades competentes para solicitar los datos PNR, son:[4]
- La Dirección General de la Policía.
- La Dirección General de la Guardia Civil.
- El Centro Nacional de Inteligencia.
- La Dirección Adjunta de Vigilancia Aduanera.
- El Ministerio Fiscal.
- Las correspondientes de las Comunidades Autónomas que hayan asumido estatutariamente competencias para la protección de personas y bienes y para el mantenimiento de la seguridad ciudadana, y cuenten con un cuerpo de policía propio.
- Los jueces y tribunales.
Por otra parte, regula el intercambio de información entre Estados miembros de la Unión Europea y las transferencias de datos con la Europol y terceros países no miembros de la Unión. En el primero de los casos, el procedimiento es más sencillo, y supone una transmisión o recepción de información con un simple análisis o revisión individualizada de los datos. Además, prevé que en casos de urgencia, el procedimiento se acelere o incluso se hagan excepciones en la forma de acceder a los datos. En cuanto a los otros dos casos, a la Europol solo se le transferirán datos «caso por caso, de forma electrónica y debidamente motivada, cuando sea estrictamente necesario para apoyar y reforzar la acción de un Estado miembro de la Unión Europea a efectos de prevenir, detectar, investigar o enjuiciar delitos de terrorismo o delitos graves, siempre que el delito entre dentro del ámbito de competencias de Europol y para el desempeño de sus funciones» y para los terceros países se hará siempre de acuerdo con cuatro requisitos: de acuerdo con la Directiva (UE) 2016/680 o el derecho nacional transpuesto, que el tercer país se comprometa a transmitir los datos PNR a otro tercer país solo si fuera estrictamente necesario para los fines de esta ley orgánica y siempre contando con la autorización expresa de la UIP, sea para los fines señalados en la ley orgánica y cumpliendo los requisitos previstos para los Estados miembros. Solo excepcionalmente se permite el uso de los datos sin autorización.[4]
Conservación y despersonalización
Especial atención requiere el apartado relativo a la conservación y despersonalización. Los datos recogidos en el registro de pasajeros tendrán un periodo de conservación de cinco años desde la transmisión a la Unidad de Información sobre Pasajeros; pasado ese plazo, deberán ser destruidos. Además, a los seis meses de ser transmitidos, la UIP deberá despersonalizar los datos «mediante enmascaramiento, de manera que resulten invisibles para un usuario los siguientes elementos:[4]
- Nombres y apellidos, incluidos los de otros pasajeros que figuran en el PNR, y número de personas que figuran en el PNR que viajan juntas;
- dirección y datos de contacto;
- todos los datos sobre el pago, incluida la dirección de facturación, en la medida en que contengan información que pueda servir para identificar directamente al pasajero al que se refiere el registro PNR, o a cualquier otra persona;
- información sobre viajeros frecuentes;
- observaciones generales, en la medida en que contengan información que pueda servir para identificar directamente al pasajero al que se refiere el registro, y
- todos los datos API sobre los pasajeros.»
Pasados esos seis meses, solo podrá transmitirse la información completa en casos excepcionales.
Agencia Española de Protección de Datos
La Agencia Española de Protección de Datos (AEPD) ejercerá sus competencias de acuerdo a su normativa específica, si bien la ley orgánica otorga a la AEPD la condición de «autoridad nacional de control de datos PNR» y le permite asesorar, cuando se solicite, sobre la aplicación de la normativa europea al respecto así como controlar que se cumpla, conocer de las reclamaciones que existan contra el tratamiento de datos y verificar la legalidad de los tratamientos, ya sea a iniciativa propia o a petición de un perjudicado, pudiendo llevar a cabo investigaciones, inspecciones y auditorías.[4]
Capítulo III
El Capítulo III de la Ley Orgánica 1/2020 establece el régimen de responsabilidad y sancionador.[4]
La responsabilidad por las infracciones cometidas recae directamente en los sujetos obligados, ya las hayan cometido por acción o por omisión. La responsabilidad que corresponda a la Unidad de Información sobre Pasajeros y al Responsable de protección de datos se regirá por su normativa específica prevista en el derecho nacional traspuesto o, en su defecto, en la Directiva (UE) 2016/680.
El capítulo también prevé tres tipos de sanciones: muy graves, graves y leves, y prevé sanciones que van desde los 60.001€ a los 300.000€ para las primeras, de los 20.001€ a los 60.000€ para las segundas, y de los 3.000€ a los 20.000€ para las terceras. También prevé las formas de graduar las sanciones y designa como órganos competentes para sancionar al Ministro del Interior para la sanciones muy graves y al Secretario de Estado de Seguridad para el resto de sanciones.
Véase también
- Ley Orgánica de Protección de Datos de Carácter Personal (España)
- Agencia Española de Protección de Datos
- Acuerdos PNR entre la Unión Europea y Estados Unidos
- Espacio de libertad, seguridad y justicia de la Unión Europea
Referencias
- ↑ «El BOE publica la Ley del registro de pasajeros». La Vanguardia. 17 de septiembre de 2020. Consultado el 18 de septiembre de 2020.
- ↑ «En dos meses estará vigente la Ley de control de pasajeros para la lucha contra el terrorismo y el crimen organizado». Confilegal. 14 de septiembre de 2020. Consultado el 18 de septiembre de 2020.
- ↑ Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave, OJ L (32016L0681), 4 de mayo de 2016, consultado el 18 de septiembre de 2020.
- ↑ a b c d e f g h i j k l m n ñ o p «Ley Orgánica 1/2020, de 16 de septiembre, sobre la utilización de los datos del Registro de Nombres de Pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves.». www.boe.es. Consultado el 18 de septiembre de 2020.