Artículo 17 relativo a la recogida y la transferencia de información anticipada sobre los pasajeros para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de los delitos graves

1. Las compañías aéreas crearán registros de todas las operaciones de tratamiento relativas a datos API realizadas en virtud del presente Reglamento utilizando los medios automatizados a que se refiere el artículo 4, apartado 7. Dichos registros incluirán la fecha, la hora y el lugar de transferencia de los datos API. Dichos registros no contendrán datos personales, excepto la información necesaria para identificar al miembro pertinente del personal de la compañía aérea.

2. eu-LISA conservará registros de todas las operaciones de tratamiento relacionadas con la transferencia y la transmisión de datos API y otros datos PNR a través del enrutador en virtud del presente Reglamento. Dichos registros incluirán lo siguiente:

a) la compañía aérea que transfirió los datos API y otros datos PNR al enrutador;

b) la compañía aérea que transfirió otros datos PNR al enrutador;

c) las UIP a las que se transmitieron los datos API a través del enrutador;

d) las UIP a las que se transmitieron otros datos PNR a través del enrutador;

e) la fecha y hora de la transferencia o transmisión a que se refieren las letras a) a d), y el lugar de dicha transferencia o transmisión;

f) todo acceso del personal de eu-LISA necesario para el mantenimiento del enrutador, tal como se contempla en el artículo 26, apartado 3;

g) cualquier otra información relativa a esas operaciones de tratamiento necesaria para supervisar la seguridad e integridad de los datos API y otros datos PNR y la licitud de esas operaciones de tratamiento.

Dichos registros no incluirán datos personales distintos de la información necesaria para identificar al miembro pertinente del personal de eu-LISA a que se refiere el párrafo primero, letra f).

3. Los registros a que se refieren los apartados 1 y 2 del presente artículo se utilizarán únicamente para garantizar la seguridad e integridad de los datos API y otros datos PNR y la licitud del tratamiento, en particular en lo que se refiere al cumplimiento de los requisitos establecidos en el presente Reglamento, incluidos los procedimientos y sanciones por el incumplimiento de dichos requisitos de conformidad con los artículos 37 y 38.

4. Las compañías aéreas y eu-LISA tomarán las medidas adecuadas para proteger los registros que hayan creado de conformidad con los apartados 1 y 2, respectivamente, contra el acceso no autorizado y otros riesgos para la seguridad.

5. Las autoridades nacionales de supervisión de API a que se refiere el artículo 37 y las UIP tendrán acceso a los registros pertinentes a que se refiere el apartado 1 del presente artículo cuando sea necesario para los fines a que se refiere el apartado 3 del presente artículo.

6. Las compañías aéreas y eu-LISA conservarán los registros que hayan creado de conformidad con los apartados 1 y 2, respectivamente, durante un período de un año a partir del momento de la creación de esos registros. Suprimirán inmediata y permanentemente dichos registros una vez expirado dicho plazo.

No obstante, si dichos registros son necesarios para procedimientos destinados a supervisar o garantizar la seguridad e integridad de los datos API o la licitud de las operaciones de tratamiento a que se refiere el apartado 3, y esos procedimientos ya han comenzado en el momento de la expiración del plazo a que se refiere el párrafo primero del presente apartado, las compañías aéreas y eu-LISA conservarán dichos registros durante el tiempo que sea necesario para dichos procedimientos. En tal caso, suprimirán inmediatamente esos registros cuando ya no sean necesarios para dichos procedimientos.