Artículo 20 relativo a la recogida y la transferencia de información anticipada sobre los pasajeros para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de los delitos graves

1. eu-LISA garantizará la seguridad y el cifrado de los datos API y otros datos PNR, en particular los datos que constituyan datos personales, que trate con arreglo al presente Reglamento. Las UIP y las compañías aéreas garantizarán la seguridad de los datos API, en particular de los datos API que constituyan datos personales, que traten con arreglo al presente Reglamento. eu-LISA, las UIP y las compañías aéreas cooperarán entre sí, de conformidad con sus responsabilidades respectivas y con arreglo al Derecho de la Unión, para garantizar dicha seguridad.

2. eu-LISA garantizará la seguridad y la confidencialidad de los datos relativos a los vuelos y rutas seleccionados por los Estados miembros de conformidad con el artículo 12, apartado 4. Las UIP y las compañías aéreas garantizarán la seguridad de los datos API, en particular de los datos API que constituyan datos personales, que traten con arreglo al presente Reglamento. eu-LISA, las UIP y las compañías aéreas cooperarán entre sí, de conformidad con sus responsabilidades respectivas y con arreglo al Derecho de la Unión, para garantizar dicha seguridad.

3. eu-LISA tomará las medidas necesarias para garantizar la seguridad del enrutador y de los datos API y otros datos PNR, en particular los datos que constituyan datos personales, transmitidos a través del enrutador, también estableciendo, aplicando y actualizando periódicamente un plan de seguridad, un plan de continuidad de las actividades y un plan de recuperación en caso de catástrofe, a fin de:

a) proteger físicamente el enrutador, por ejemplo, mediante la elaboración de planes de contingencia para la protección de sus componentes críticos;

b) impedir todo tratamiento no autorizado de los datos API u otros datos PNR, incluido el acceso no autorizado a los mismos y su copia, modificación o supresión, tanto durante la transferencia de los datos API u otros datos PNR hacia y desde el enrutador como durante la conservación de los datos API u otros datos PNR en el enrutador cuando sea necesario para completar la transmisión, en particular mediante técnicas adecuadas de cifrado;

c) garantizar que las personas autorizadas a acceder al enrutador solo tengan acceso a los datos previstos en su autorización de acceso;

d) garantizar que sea posible comprobar y determinar a qué UIP se transmiten los datos API u otros datos PNR a través del enrutador;

e) informar adecuadamente a su Consejo de Administración de cualquier fallo en el funcionamiento del enrutador;

f) supervisar la eficacia de las medidas de seguridad exigidas en virtud del presente artículo y del Reglamento (UE) 2018/1725, y evaluar y actualizar dichas medidas de seguridad cuando sea necesario a la luz de los avances tecnológicos u operativos.

Las medidas a que se refiere el párrafo primero del presente apartado no afectarán al artículo 32 del Reglamento (UE) 2016/679, al artículo 33 del Reglamento (UE) 2018/1725 ni al artículo 29 de la Directiva (UE) 2016/680.