Articulo 13 Utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave

1. Cada Estado miembro establecerá que, en lo que respecta al tratamiento de datos personales con arreglo a la presente Directiva, todo pasajero tendrá los mismos derechos de protección de sus datos personales, derechos de acceso, rectificación, supresión y restricción y derechos de indemnización y recurso judicial que los establecidos en el derecho de la Unión y nacional y en aplicación de los artículos 17, 18, 19 y 20 de la Decisión marco 2008/977/JAI. Se aplicarán, por lo tanto, dichos artículos.

2. Cada Estado miembro establecerá que las disposiciones adoptadas en el marco del derecho nacional en aplicación de los artículos 21 y 22 de la Decisión marco 2008/977/JAI sobre la confidencialidad del tratamiento y la seguridad de los datos se aplicarán también a todo tratamiento de datos personales con arreglo a la presente Directiva.

3. La presente Directiva se entenderá sin perjuicio de la aplicabilidad de la Directiva 95/46/CE del Parlamento Europeo y del Consejo (13) al tratamiento de datos personales por las compañías aéreas, en particular sus obligaciones de tomar las medidas técnicas y de organización adecuadas para proteger la seguridad y la confidencialidad de los datos personales.

4. Los Estados miembros prohibirán el tratamiento de datos PNR que revele el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, la pertenencia a un sindicato, la salud, la vida sexual o la orientación sexual de una persona. En el caso de que la UIP reciba datos PNR que revelen tal información, los suprimirá inmediatamente.

5. Los Estados miembros garantizarán que las UIP conserven la documentación relativa a todos los sistemas y procedimientos de tratamiento bajo su responsabilidad. Dicha documentación constará como mínimo de los siguientes elementos:

a) el nombre y los datos de contacto de la organización y del personal de la UIP encargados del tratamiento de los datos PNR y los distintos niveles de autorización de acceso;

b) las solicitudes cursadas por las autoridades competentes y por las UIP de otros Estados miembros;

c) todas las solicitudes y transmisiones de datos PNR a un tercer país.

La UIP pondrá toda la documentación a disposición de la autoridad nacional de control a petición de esta.

6. Los Estados miembros velarán por que la UIP lleve registros de, al menos, las operaciones de tratamiento siguientes: recogida, consulta, divulgación y supresión. Los registros de consulta y divulgación mostrarán, en particular, la finalidad, la fecha y la hora de tales operaciones y, en la medida de lo posible, la identidad de la persona que consultó o divulgó los datos PNR y la identidad de los receptores de dichos datos. Los registros se utilizarán exclusivamente a efectos de verificación, de autocontrol, de garantizar la integridad de los datos y su seguridad o de auditoría. La UIP pondrá los registros a disposición de la autoridad nacional de control a petición de esta.

Dichos registros se conservarán por un período de cinco años.

7. Los Estados miembros velarán por que sus UIP apliquen las medidas y los procedimientos técnicos y organizativos adecuados para garantizar el elevado nivel de seguridad correspondiente a los riesgos que entrañen el tratamiento y las características de los datos PNR.

8. Los Estados miembros garantizarán que, cuando sea probable que una violación de los datos personales dé lugar a un elevado riesgo para la protección de estos o afecte negativamente a la intimidad del interesado, la UIP comunique, sin demora injustificada, dicha violación al interesado y a la autoridad supervisora nacional.