Dictamen del Supervisor Europeo de Proteccion de Datos sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo sobre la investigacion y prevencion de accidentes e incidentes en la aviacion civil (2010/C 132/01) - Diario Oficial de la Unión Europea, de 21-05-2010

TIEMPO DE LECTURA:

  • Ámbito: Doue
  • Boletín: Diario Oficial de la Unión Europea Número 125
  • Fecha de Publicación: 21/05/2010
  • Este documento NO tiene versiones

EL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS,

Visto el Tratado de Funcionamiento de la Unión Europea y, en particular, su artículo 16,

Vista la Carta de los Derechos Fundamentales de la Unión Europea y, en particular, su artículo 8,

Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1),

Visto el Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos y, en particular, su artículo 41 (2).

HA ADOPTADO EL SIGUIENTE DICTAMEN:

I. INTRODUCCIÓN

1. El 29 de octubre de 2009, la Comisión aprobó una propuesta de Reglamento del Parlamento Europeo y del Consejo sobre la investigación y la prevención de accidentes e incidentes en la aviación civil (3). Dicha propuesta pretende sustituir a la Directiva 94/56/CE del Consejo por la que se establecen los principios fundamentales que rigen la investigación de los accidentes e incidentes de aviación civil (4).

2. EL SEPD no ha sido consultado como se exige en el Reglamento (CE) nº 45/2001, artículo 28, apartado 2. El dictamen actual se basa, por tanto, en el apartado 2 del artículo 41 del mismo Reglamento. El SEPD recomienda la inclusión de una referencia al presente dictamen en el preámbulo de la propuesta.

3. Como comentario general, el SEPD lamenta que no se le haya consultado a su debido tiempo, aunque hace notar con satisfacción que en la propuesta de Reglamento se consideran aspectos relacionados con la protección de datos. En algunas disposiciones se insiste en que las medidas propuestas deben entenderse sin perjuicio de lo establecido en la Directiva 95/45/CE y la confidencialidad de los datos es uno de los aspectos importantes de dichas medidas.

4. El SEPD ha observado, no obstante, deficiencias y falta de claridad en lo que respecta a la protección de los datos personales. Tras una descripción del contexto y los antecedentes de la propuesta en el capítulo II, se exponen con más detalle sus observaciones en el capítulo III.

II. CONTEXTO Y ANTECEDENTES DE LA PROPUESTA

5. El objetivo de la propuesta es actualizar el Reglamento actual sobre la investigación de accidentes aéreos. La normativa actualmente vigente, aprobada hace quince años, no se adapta ya al nuevo mercado común de la aviación, ni a los conocimientos técnicos especializados necesarios para los sistemas aeronáuticos más complejos. Las crecientes divergencias en las capacidades de investigación de los Estados miembros hacen también necesario un nuevo marco que favorezca la colaboración y coordinación de las autoridades nacionales de investigación.

6. Por consiguiente, la propuesta de Reglamento se centra en la creación de una Red de autoridades de investigación de la seguridad en la aviación civil que facilite una cooperación más estructurada. Se establecen, asimismo, normas vinculantes cuya finalidad principal es definir los respectivos derechos y obligaciones de las autoridades nacionales de investigación y de la Agencia Europea de Seguridad Aérea (EASA), para garantizar así la protección de información sensible y establecer unos requisitos uniformes en lo que respecta a la aplicación de las recomendaciones de seguridad.

(1) DO L 281 de 23.11.1995, p. 31.

(2) DO L 8 de 12.1.2001, p. 1.

(3) COM(2009) 611 final.

(4) DO L 319 de 12.12.1994, p. 14.

7. El SEPD no tiene nada que decir sobre el objetivo general de la propuesta y apoya plenamente la iniciativa emprendida, que tiene por objeto mejorar la eficiencia de las investigaciones y, por tanto, prevenir accidentes de aviación en el futuro. Las observaciones que siguen se centran en los aspectos de la propuesta de Reglamento relativo a la protección de los datos personales, en particular el tratamiento de los datos de las listas de pasajeros, relativos a las víctimas, las familias, los testigos y los miembros de la tripulación de cabina, durante las distintas fases de la investigación y en el contexto del intercambio de información entre autoridades de investigación.

III. ANÁLISIS DE LA PROPUESTA

III. 1. Objetivo de la propuesta

8. En el considerando 3 y el artículo 1 de la propuesta de Reglamento se recuerda la restricción ya mencionada en la exposición de motivos, según la cual las investigaciones de la seguridad deben tener como único objetivo la prevención de futuros accidentes e incidentes, más que la identificación de culpables o responsables. El SEPD acoge con satisfacción esta precisión que está en consonancia con el principio de restricción de fines establecido en el artículo 4 del Reglamento (CE) nº 45/2001 y en el artículo 6 de la Directiva 95/46/CE. Según estas disposiciones, los datos personales deben recogerse con fines determinados, explícitos y legítimos y no ser tratados posteriormente de manera incompatible con dichos fines.

9. Aunque esta restricción de fines se declara explícitamente al inicio de la propuesta de Reglamento, es importante que no se permitan excepciones que resten contenido a este principio, como se verá en los capítulos III. 4 a III. 6.

10. EL SEPD advierte que, además del objetivo principal de mejorar la seguridad de la aviación, en la propuesta de Reglamento se prevé la recogida de datos personales en el contexto de la asistencia a las víctimas y a sus familias (artículo 23). El SEPD no ve ningún problema de compatibilidad entre ese objetivo y el de la investigación de la seguridad. No obstante, el artículo 1 del Reglamento podría complementarse para que reflejara debidamente esos dos aspectos.

III. 2. Recogida de información

11. En la propuesta se describen con detalle los muy distintos tipos de información a la que pueden acceder los responsables de una investigación. Se hace especial mención de datos personales como los contenidos en las grabaciones de los vuelos y en cualquier otro tipo de grabación, los resultados del reconocimiento de los cuerpos de las víctimas o de personas implicadas en el funcionamiento de la aeronave y el interrogatorio de testigos para obtener información o pruebas pertinentes.

12. Esta información está a disposición del investigador responsable, así como de sus expertos y asesores y de sus representantes autorizados, siempre que la necesiten. La EASA tiene también derecho a acceder a una parte de dicha información cuando participe en una investigación dirigida por el investigador responsable, con algunas excepciones, como en el caso de que un testigo se niegue a que su declaración sea divulgada.

13. En la propuesta se establecen además las condiciones en las que debe darse a conocer la lista de pasajeros. La finalidad en este caso no guarda relación sólo con la propia investigación, sino también con la necesidad de actuar como enlace con las familias y en relación con las unidades médicas.

14. El SEPD acoge con satisfacción el grado de detalle de la propuesta de Reglamento sobre las condiciones de la recogida de datos personales dependiendo del uso que se pretenda hacer de ellos, lo que está en consonancia con el principio de necesidad (5) que se establece en legislación sobre la protección de datos.

III. 3. Almacenamiento de datos personales

15. Aunque el SEPD reconoce la necesidad de recoger una gran cantidad de información, entre ella datos personales como los mencionados antes, e insiste en la necesidad de establecer unas normas estrictas que regulen su almacenamiento y divulgación a terceros.

16. En lo que se refiere al almacenamiento de datos, en el artículo 14 de la propuesta de Reglamento se prevé la necesidad de conservar documentos, materiales y grabaciones, por razones evidentes vinculadas con la instrucción de una investigación. Ahora bien, no se proporciona indicación alguna sobre el tiempo que debe conservarse dicha información. Según los principios de protección de datos (6), los datos personales deben conservarse «de forma que se permita la identificación de los sujetos a los que correspondan por un tiempo no superior al necesario para los fines para los cuales se hubieran recogido o hayan de tratarse». En consecuencia, los datos personales deben, en principio, destruirse tan pronto como finalice la investigación, o conservarse con un formato anónimo en el caso de que no se pueda proceder a su destrucción completa (7). Siempre deberá indicarse y justificarse la razón para con servar durante más tiempo datos identificables, incluidos los criterios para la identificación de las personas con derecho a conservar esos datos. La propuesta de Reglamento debe incluir una disposición en este sentido, que se aplicaría de manera horizontal a cualquier información personal intercambiada a través de la red.

(5) Artículo 4 del Reglamento (CE) nº 45/2001 y artículo 6 de la Directiva 95/46/CE.

(6) Artículo 4 del Reglamento (CE) nº 45/2001 y artículo 6, letra e), de la Directiva 95/46/CE.

(7) La anonimización debe entenderse como la imposibilidad de identificar a la persona. Para algunos tipos de información, como las grabaciones de voz, la anonimización completa no será posible, lo que justifica la necesidad de adoptar garantías más estrictas para evitar usos indebidos.

III. 4. Disponibilidad y publicación de información

17. Aunque en la propuesta de Reglamento se establece el principio de que los datos personales deben utilizarse únicamente con fines de investigación y por los responsables de tales investigaciones, se prevén algunas excepciones generales (8).

18. Así ocurre con las declaraciones de testigos, que pueden divulgarse o utilizarse con fines distintos a las investigaciones de seguridad si el testigo da su conformidad (artículo 15, apartado 1, letra a). El SEPD recuerda que el consentimiento del testigo debe ser libre, específico e informado, y que esa información no debe ser utilizada posteriormente para fines que sean incompatibles con las investigaciones de seguridad. De no reunirse esas condiciones, el consentimiento no podrá utilizarse como base para la posterior utilización de los datos personales. Esta observación se aplica también a la utilización del consentimiento para eximir a las grabaciones del principio de restricción de fines (artículo 16).

19. En el artículo 15 de la propuesta de Reglamento se establece asimismo una excepción general que se aplica a toda clase de información sensible en materia de seguridad (9). Dicha información, que, en principio, está sujeta a una protección específica contra fines inadecuados, puede divulgarse con fines distintos a las investigaciones de seguridad si así lo decide la autoridad competente para la administración de la justicia en un Estado miembro, en aras del interés general y de un equilibrio entre los beneficios de la divulgación y sus efectos adversos a escala nacional e internacional en las investigaciones y en la gestión de la seguridad de la aviación civil. El SEPD considera que esta excepción no ofrece suficientes garantías jurídicas. En con creto, el concepto de «autoridad competente para la administración de la justicia» puede dar lugar a especulaciones. Una resolución de un órgano administrativo (por ejemplo, el Ministerio de Justicia) no tiene la misma legitimidad que una sentencia de un órgano jurisdiccional. Incluso tratándose de una sentencia deben aplicarse condiciones estrictas: además de que los fines sean legítimos y de que exista un interés general primordial (10), deben protegerse los intereses y los derechos fundamentales de las personas a las que se refieren los datos. En concreto, la posibilidad de que los datos personales facilitados por la persona en el contexto de una investigación de seguridad sean utilizados en su contra en el marco de un procedimiento judicial ha de influir en la legitimidad del tratamiento de los mismos. El SEPD pide que se aclare esta excepción y se establezca un procedimiento detallado que incluya garantías más estrictas para la protección de los derechos fundamentales del interesado.

20. Pide también que se defina el tipo de información sensible de seguridad que se menciona en dicho artículo, esto es, la información de «naturaleza particularmente sensible y privada». La Directiva 95/46/CE contiene una definición de los datos sensibles, pero no está claro que la propuesta de Reglamento se refiera a ella. Si el objetivo es incluir e ir más allá de los datos sensibles tal como se definen en la Directiva 95/46/CE, debería utilizarse una terminología más adecuada que haga referencia a la información de naturaleza particularmente íntima y privada, incluidos tanto los datos sensibles tal como se definen en la Directiva 95/46/CE como otros ejemplos de datos personales que habrían de enumerarse en la definición. Todo esto debería dejarse claro en el artículo 2 (definiciones) o en el artículo 15 del Reglamento propuesto.

21. En principio, las grabaciones están también protegidas, pero en ciertos casos pueden divulgarse o utilizarse para otros fines, como los de aeronavegabilidad o mantenimiento, siempre que se desidentifiquen o se divulguen mediante procedimientos seguros. Estas excepciones son alternativas y no acumulables. El SEPD cuestiona la norma general de que las grabaciones no deban desidentificarse, es decir, hacerse anónimas (11): siempre debe justificarse la necesidad del tratamiento de datos personales identificables para fines de aeronavegabilidad o mantenimiento. Por su parte, la tercera excepción, que permite la divulgación mediante procedimientos seguros, es demasiado vaga y no proporcionada. Esa excepción debe eliminarse a menos que se mencionen fines legítimos específicos.

22. El mismo principio de desidentificación debe aplicarse por defecto a la información divulgada con arreglo a lo establecido en los artículos 8, 17 y 18 del Reglamento propuesto con relación a la red y a la comunicación de información. En este sentido, el SEPD acoge con agrado la mención de la obligación de mantener el secreto profesional y de comunicar únicamente a las partes interesadas la información relevante. Apoya también el principio establecido en el artículo 19, apartado 2, sobre la protección del anonimato de las personas implicadas en un accidente o incidente en el informe de su investigación.

23. Por último, la publicación de la lista de pasajeros está también sujeta a ciertas condiciones. El principio aplicable es que la lista no debe hacerse pública hasta que todas las familias de los pasajeros hayan sido informadas y que los Estados miembros pueden tomar la decisión de mantener esa lista en secreto. El SEPD considera que ese principio debe ser revertido. La lista, en principio, debe mantenerse en secreto, pero los Estados miembros pueden decidir, en casos específicos y por motivos legítimos, su publicación después de haber informado a todas las familias y haber obtenido su consentimiento para divulgar el nombre del familiar. El SEPD recomienda que el artículo 22, apartado 3, se modifique en consecuencia.

(8) El SEPD fue consultado en noviembre de 2008 con ocasión de un procedimiento de conciliación relativo a una propuesta de Directiva por la que se establecen los principios fundamentales que regulan la investigación de accidentes en el sector marítimo. Teniendo en cuenta la analogía entre los dos contextos, se han planteado cuestiones similares y las observaciones del capítulo III. 4, como la respuesta a la consulta anterior, se centran en el equilibrio que debe lograrse entre la divulgación de información en la instrucción de una investigación y la protección de los datos.

(9) Incluye información relativa a los testigos, la comunicación entre personas que han estado implicadas en el funcionamiento de la aeronave o las grabaciones de las unidades de control del tráfico aéreo. Se aplica también a la información de «naturaleza particularmente sensible», como la información sanitaria.

(10) Debe decirse que la Directiva 95/46/CE únicamente permite excepciones al principio de restricción de fines si tales excepciones se establecen por ley y son necesarias para proteger determinados intereses públicos, de conformidad con las condiciones establecidas en su artículo 13.

(11) La desidentificación cumpliría el principio de proporcionalidad si se entendiera como una anonimización completa, en otras palabras, como la imposibilidad de volver a identificar a la persona (véase la nota a pie de página 5).

III. 5. Intercambio de información entre los Estados miembros y con terceros países

24. Uno de los principales objetivos del Reglamento propuesto es la creación de una red para el intercambio de información y experiencias entre las autoridades de investigación. De conformidad con su artículo 8, apartado 6, las autoridades de investigación de seguridad que participen en la red deben intercambiar toda la información que obre en su poder en el contexto de la aplicación del Reglamento, y adoptar todas las medidas necesarias para garantizar la de bida confidencialidad de dicha información con arreglo a la legislación nacional o europea aplicable.

25. El SEPD celebra las medidas previstas en lo que respecta a la confidencialidad de la información, y especialmente la obligación de no revelar información que la Comisión haya considerado confidencial. Siempre que tenga lugar el tratamiento de datos personales a través de la red, el SEPD opina que esas garantías deben complementarse con la obligación de garantizar la exactitud de los datos y su posible corrección y eliminación de una manera sincronizada por todos los miembros de la red que realicen el tratamiento de esos datos personales.

26. La función de depósito de datos que se menciona en el artículo 15, apartado 3, debe aclararse en lo que respecta a la circulación de información dentro de la red. En concreto, debe quedar claro, como se ha explicado informalmente al SEPD, que el depósito central no está en modo alguno conectado a la red, ni contiene datos personales. El SEPD advierte, en este sentido, que información como los números de vuelo puede permitir la identificación indirecta de las personas implicadas en un accidente o incidente de aviación civil. En el Reglamento debe precisarse, por lo menos, que la información almacenada en el depósito no podrá utilizarse para identificar a las personas implicadas en un accidente o incidente de aviación civil.

27. El SEPD sugiere la posibilidad de invitar a observadores y expertos, entre ellos a representantes de las compañías aéreas o a fabricantes de aeronaves, a integrarse en la red. Tendrían acceso a la misma información que los miembros de la red, salvo en los casos concretos en que la Comisión decida que la información es confidencial y que el acceso a ella debe restringirse. Esa disposición permitiría el acceso de terceros a datos personales relacionados, por ejemplo, con víctimas y testigos, si esos datos no se consideraran confidenciales. El SEPD opina que, en el contexto de la actual propuesta de Reglamento, los datos personales deben con siderarse confidenciales siempre. De no ser así, ha de restringirse el acceso de terceros a esos datos.

28. Ese acceso restringido es especialmente importante cuando los expertos o los observadores representen a terceros países o cuando la investigación sea realizada conjuntamente con investigadores de países terceros que no ofrezcan un nivel de protección adecuado. Una posibilidad sería añadir en la propuesta de Reglamento la advertencia de que los datos personales no deben ser transferidos a representantes de terceros países que no ofrezcan un nivel de protección adecuado, salvo que cumplan una serie de condiciones específicas (12). Esta medida se aplicaría especialmente con relación al artículo 8 sobre la Red, y el artículo 18 sobre las condiciones de comunicación de información.

29. Tales observaciones exigen también un principio general de anonimización de datos personales al inicio de proceso, tan pronto como la identificación deje de ser necesaria para llevar a cabo las investigaciones, como ya se ha mencionado en el capítulo III. 3.

III. 6. Función de la Comisión y de la EASA

30. El SEPD recuerda que la Comisión y la EASA intervienen en el funcionamiento de la red (artículos 7 y 8) y que tendrán derecho a participar hasta cierto punto en las investigaciones de seguridad (artículo 9). El SEPD recuerda también que el tratamiento de los datos personales por esos dos organismos está sujeto al cumplimiento del Reglamento (CE) nº 45/2001 y a la supervisión del SEPD. El SEPD considera que debe añadirse en el Reglamento una disposición referente a lo expuesto.

31. El SEPD pide una aclaración sobre el grado en que la red será gestionada por la Comisión y a través de la infraestructura técnica de la Unión Europea. Si lo que se pretende es utilizar una red ya existente, debe mencionarse y justificarse claramente cualquier plan que se tenga para permitir la interoperabilidad con las bases de datos ya existentes. El SEPD insiste en la necesidad de garantizar la seguridad de la red y el acceso a ella únicamente para los fines descritos en la propuesta de Reglamento y a las partes autorizadas. En el texto deben indicarse claramente las funciones y responsabilidades de la Comisión y la EASA, (13) así como de cualquier otro organismo de la Unión que vaya a participar en la gestión de la red, por razones de seguridad jurídica.

IV. CONCLUSIONES

32. El SEPD acoge con agrado que el Reglamento se aplique expresamente sin perjuicio de lo establecido en la Directiva 95/46/CE y que, por tanto, tenga hasta cierto punto en cuenta los principios de la protección de datos. No obstante, dado el contexto en que tiene lugar el tratamiento de los datos personales, considera necesario añadir una serie de disposiciones específicas para garantizar un tratamiento adecuado.

(12) Véanse el artículo 9 del Reglamento (CE) nº 45/2001 y el artículo 26 de la Directiva 95/46/CE.

(13) Se incluyen precisiones sobre aspectos como quién gestiona los derechos de acceso a la red y quién garantiza su integridad.

33. Esas disposiciones son especialmente necesarias si se con sideran las circunstancias en las que tendrá lugar el tratamiento de los datos: en su mayor parte se referirán a personas directa o indirectamente afectadas por un accidente grave o por la pérdida de familiares, lo que hace aún más necesaria la protección eficaz de sus derechos y la restricción rigurosa de la transmisión o divulgación de sus datos personales.

34. Teniendo en cuenta que el objetivo de la propuesta de Reglamento es permitir la investigación de accidentes o incidentes y que los datos personales son relevantes interés sólo por su interés para dicha investigación, en principio deberían destruirse o hacerse anónimos lo antes posible, sin esperar a la etapa de elaboración del informe final. Ese principio debería garantizarse con la introducción de una disposición horizontal en el nuevo Reglamento. 35. El SEPD recomienda también: definir y limitar estrictamente las excepciones al principio de restricción de fines, establecer un período limitado para el almacenamiento de datos personales, garantizar un procedimiento coordinado de acceso, rectificación y supresión de datos personales, especialmente en el contexto de su transmisión a los Estados miembros a través de la red propuesta, supeditar la transmisión de datos personales a representantes de terceros países a la condición de que éstos garanticen un nivel adecuado de protección, aclarar las funciones y las responsabilidades de la Comisión y de la EASA en la aplicación del Reglamento (CE) nº 45/2001.

Hecho en Bruselas, el 4 de febrero de 2010. Peter HUSTINX Supervisor Europeo de Protección de Datos


No hay versiones para esta norma