Publicada una LO sobre el uso de datos de pasajeros para la prevención de delitos graves y de terrorismo

TIEMPO DE LECTURA:

En el BOE del 17 de septiembre se publica la Ley Orgánica 1/2020, de 16 de septiembre, sobre la utilización de los datos del Registro de Nombres de Pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves.

  • Materias: Penal, Administrativo
  • Fecha: 17/09/2020

avión terminal

 

Se ha publicado en el BOE la Ley Orgánica 1/2020, de 16 de septiembre, sobre la utilización de los datos del Registro de Nombres de Pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves, con entrada en vigor a los dos meses de su publicación, a excepción de lo dispuesto en la DA1ª, que entrará en vigor al día siguiente al de su publicación.

Debido al incremento de la amenaza del crimen organizado y especialmente del terrorismo en Europa constituyen violaciones muy graves de los valores universales de la dignidad humana, la libertad, la igualdad, la solidaridad y el disfrute de los derechos humanos y de la libertades fundamentales en los que se basa la Unión Europea. Con el objetivo de elevar los niveles de seguridad de sus ciudadanos y de crear un marco jurídico para la protección de sus datos de carácter personal, en lo que respecta a su tratamiento por las autoridades competentes, se adoptó la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del Registro de Nombres de los Pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave.

Para adaptar esta Directiva a nuestro ordenamiento jurídico, se publica esta LO, la cual está estructurada en tres capítulos, treinta y cuatro artículos, seis disposiciones adicionales y cuatro disposiciones finales.

El capítulo I establece las disposiciones generales.

Su objeto es regular, por un lado la transferencia de los datos PNR por parte de las compañías aéreas y otras entidades obligadas; en segundo término, la recogida, el tratamiento y la protección de esos datos, su transmisión a las autoridades competentes y el intercambio de dichos datos con otros Estados miembros, Europol y terceros Estados; a su vez, la designación de la Unidad de Información sobre Pasajeros española, y por último, el régimen sancionador.

Se especifican los fines para los que pueden ser utilizados los datos PNR, únicamente para prevenir, detectar, investigar y enjuiciar delitos de terrorismo y delitos graves.

El ámbito de aplicación contempla, en principio, todos los vuelos internacionales que tengan origen, destino o tránsito en España, tanto de carácter comercial como privados, con una serie de excepciones basadas en el tipo de los vuelos.

Excepcionalmente, como medida extraordinaria y siempre que existan indicios suficientes de una contrastada situación de riesgo, se podrán sujetar rutas o vuelos concretos de ámbito nacional a lo dispuesto en esta ley orgánica.

Asimismo, se definen los sujetos obligados, diferenciando las compañías áreas de las entidades de gestión de reservas de vuelos, cuya incorporación en esta ley orgánica es una posibilidad prevista en Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

Se determinan también los delitos de terrorismo y los demás delitos graves cuya prevención, detección, investigación o enjuiciamiento justifica la recogida de los datos PNR. Los delitos de terrorismo son los contemplados en la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, como delitos de las organizaciones y grupos terroristas y delitos de terrorismo. En cuanto a los demás delitos graves, se considera como tales, a los efectos de esta ley, aquellos castigados con una pena de prisión igual o superior a tres años por ser constitutivos de algunos de los enumerados en el anexo II de la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

Por otro lado, se especifican los datos de los pasajeros que deben ser enviados a la Unidad de Información sobre Pasajeros, de entre los recopilados por parte de los sujetos obligados para sus propios fines comerciales en el transcurso normal de su actividad. Entre estos figuran los datos contenidos en el sistema de información anticipada sobre pasajeros (sistema API), algunos de los cuales, a diferencia de los anteriores, han sido contrastados con los documentos oficiales de identificación.

Deberá enviarse también cierta información sobre la tripulación correspondiente a los datos API. Asimismo, en el caso de los vuelos privados se deberán enviar dichos datos tanto de los pasajeros como de los tripulantes. Es imprescindible, para la consecución de las finalidades previstas en la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, disponer de tales datos de tripulaciones y de vuelos privados, sin los cuales se podrían correr graves riesgos de seguridad pública, como ha demostrado la experiencia de los últimos años.

El capítulo II se ocupa del tratamiento de los datos PNR.

Se regula la Unidad de Información sobre Pasajeros española (UIP), incardinada en la estructura del Centro de Inteligencia contra el Terrorismo y el Crimen Organizado dependiente de la Secretaría de Estado de Seguridad, órgano con experiencia en materia de coordinación y en la recepción y análisis de la información estratégica disponible en la lucha contra todo tipo de terrorismo y delincuencia organizada.

Se determinan sus funciones, referidas tanto a la recepción, tratamiento y análisis de los datos PNR, como a las comunicaciones e intercambios de estos con las autoridades competentes nacionales y unidades análogas de otros Estados miembros, terceros países y Europol.

Se regula específicamente la figura del responsable de protección de datos, cuyo principal cometido será el de garantizar la rigurosa observancia de la legislación vigente en materia de protección de datos de carácter personal durante todo el proceso de recepción, tratamiento, transmisión, conservación y supresión de los datos PNR.

La transmisión de datos se llevará a cabo utilizando los formatos determinados y los protocolos definidos en la Decisión de Ejecución de la Comisión UE 2017/759, de 28 de abril de 2017, relativa a los protocolos comunes y los formatos de datos que deberán utilizar las compañías aéreas para la transmisión de los datos PNR a las Unidades de Información sobre Pasajeros.

Las compañías aéreas informarán a la UIP del formato y protocolo de transmisión que utilizarán. Con respecto a las compañías aéreas que no dispongan de la infraestructura técnica necesaria, se contempla la posibilidad de acordar con el Ministerio del Interior los medios electrónicos de transmisión, siempre que se respeten las garantías de seguridad.

Los datos serán enviados en dos momentos distintos; el primero entre las cuarenta y ocho y las veinticuatro horas anteriores a la salida programada del vuelo, y el segundo se producirá una vez cerrado el vuelo, es decir, en el momento a partir del cual nadie puede entrar en el avión ni abandonarlo. Si durante el vuelo se produce alguna modificación en el destino, también deberá ser transmitida.

Cuando sea necesario acceder a los datos PNR para responder a una amenaza real y concreta en momentos distintos a los anteriores, caso por caso, las compañías aéreas deberán transmitir a la UIP dichos datos con carácter inmediato al requerimiento recibido.

Sin perjuicio de las obligaciones establecidas en esta ley orgánica, los tratamientos de datos de carácter personal realizados por los sujetos obligados se regirán por lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por la legislación interna que se dicte en uso de la habilitación contenida en aquel.

En relación con el tratamiento de los datos de carácter personal por parte de las autoridades competentes, estas estarán sujetas al deber de proporcionar o poner a disposición del interesado la información y facilitar el ejercicio de los derechos de estos contemplados en la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y en la ley orgánica que la incorpore a nuestro ordenamiento interno.

En este capítulo también se definen los propósitos para los que la UIP realizará el tratamiento de los datos PNR mediante la utilización de una definida metodología: Evaluar a las personas a bordo de la aeronave a fin de identificar a aquellas que pudieran tener relación con delitos de terrorismo o delitos graves; revisar individualmente los resultados de dicha evaluación previa automatizada; responder peticiones de las autoridades competentes o de Europol y establecer criterios predeterminados a utilizar en esas evaluaciones.

Para ello, la UIP cotejará los datos PNR con las bases de datos disponibles y pertinentes a los efectos de la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves, y tratará los datos de acuerdo con los criterios predeterminados. Se realizará una verificación automática a priori, que, en el caso de ofrecer un resultado positivo, requerirá necesariamente una comprobación manual por parte de un especialista de la propia UIP.

Se precisa cuáles son las autoridades competentes que pueden solicitar o recibir datos PNR o el resultado del tratamiento de dichos datos por la UIP, con el objetivo de seguir examinando dicha información o adoptar las medidas adecuadas para prevenir, detectar, investigar y enjuiciar delitos de terrorismo y delitos graves. Estas son las Direcciones Generales de la Policía y de la Guardia Civil, el Centro Nacional de Inteligencia, la Dirección Adjunta de Vigilancia Aduanera y el Ministerio Fiscal. También se contemplan como autoridades competentes las correspondientes de las Comunidades Autónomas que hayan asumido estatutariamente competencias para la protección de personas y bienes y para el mantenimiento de la seguridad ciudadana y cuenten con un cuerpo de policía propio. Los Jueces y Tribunales, en garantía del principio de independencia constitucional, se regirán en cuanto a las peticiones de dicha información y a la colaboración con la UIP por lo dispuesto en su legislación específica.

Las peticiones de las autoridades competentes serán debidamente motivadas y con suficiente base. En ningún caso se admitirán peticiones masivas y no fundamentadas. Todo tratamiento que lleven a cabo estas autoridades competentes sobre los datos recibidos de la UIP, lo será para los fines propios de la lucha contra los delitos de terrorismo y los delitos graves.

El capítulo recoge, además, una serie de disposiciones en materia de protección de datos, entre las que figuran la obligación de conservación de la documentación relativa a los sistemas y procedimientos de tratamiento; la obligación de registro de las operaciones de recogida, consulta, transferencia y supresión de los datos, así como la obligación de comunicar al interesado y a la autoridad nacional de control cualquier violación de los datos personales que dé lugar a un elevado riesgo para la protección de los mismos o afecte negativamente a la intimidad del interesado.

En una Europa concebida como espacio de libertad, seguridad y justicia, la colaboración y cooperación entre los Estados miembros cobra una especial relevancia. Y dentro de esa cooperación, los aspectos relativos a la seguridad se han tornado fundamentales en los últimos años en la lucha contra el terrorismo y la criminalidad organizada. En esa línea de colaboración, España podrá enviar datos PNR o el resultado de su tratamiento a otros Estados miembros, de oficio o atendiendo una solicitud concreta. Las peticiones entre Estados han de ser motivadas y siempre orientadas al cumplimiento de los fines previstos en esta ley orgánica.

Se contempla la posibilidad de que una autoridad competente española pueda dirigirse directamente a la Unidad de Información sobre Pasajeros de otro Estado miembro para una solicitud de información, siempre que se den conjuntamente las circunstancias de urgencia e imposibilidad de comunicación con la UIP nacional. En todo caso se remitirá copia de la petición a la UIP española.

La transferencia de datos a Europol se llevará a cabo electrónicamente y de forma motivada, siempre que entre dentro del ámbito de sus competencias y sea necesaria para el ejercicio de sus funciones.

Se incluye el procedimiento de transmisión de datos a terceros países. En este intercambio se tendrá que observar lo establecido en la legislación que transponga la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo. Además, deberá tratarse de una transmisión de datos necesaria para los fines de esta ley orgánica, y el Estado receptor de los mismos solamente podrá transmitirlos, a su vez, a otro tercer Estado si cuenta para ello con la expresa autorización de la Unidad española. En todo caso, se garantizará que la transmisión y la utilización de datos PNR a terceros Estados mantengan unos estándares y garantías como los previstos en esta ley orgánica.

En garantía del derecho a la intimidad de los sujetos afectados y en especial de su derecho a la protección de datos de carácter personal, se contempla que los datos PNR facilitados a la UIP por los sujetos obligados serán conservados durante cinco años a contar desde su transmisión. Una vez transcurridos seis meses desde su recepción, los datos PNR que permitan la identificación directa del pasajero serán despersonalizados mediante enmascaramiento, y solo se permitirá el acceso a la totalidad de los mismos previa aprobación por la autoridad judicial o por la persona titular de la Secretaría de Estado de Seguridad.

Cumplido el plazo de los cinco años serán suprimidos definitivamente, sin perjuicio de su utilización por parte de las autoridades competentes que los hayan recibido y que los estén utilizando en el marco de un asunto concreto a efectos de prevenir, detectar, investigar o enjuiciar delitos de terrorismo o delitos graves.

Por último, se regulan en este capítulo las competencias de la Agencia Española de Protección de Datos en su condición de autoridad nacional de control de datos PNR.

El capítulo III, que regula el régimen sancionador, se limita a establecer las especialidades estrictamente necesarias por razón de la materia, aplicándose en lo demás el régimen general previsto en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

Así, se definen los sujetos responsables, los regímenes especiales de responsabilidad y el concurso de normas; se tipifican las infracciones que se clasifican en muy graves, graves y leves; se determinan las sanciones según la infracción de que se trate, para cuya graduación se tendrá en cuenta la repercusión en la seguridad pública, la gravedad, o el beneficio obtenido, entre otras circunstancias; se determina la competencia sancionadora; y, finalmente, se incluyen las normas procedimentales especiales sobre los gastos derivados de la adopción de posibles medidas provisionales por parte del órgano competente para resolver, así como sobre la caducidad del procedimiento.

En las disposiciones adicionales se regula el plazo en el que las compañías aéreas deberán comunicar a la UIP el formato de datos y el protocolo de transmisión que utilizarán (en vigor desde el 18/09/2020); se establece que las comunicaciones se harán según los procedimientos establecidos por la Secretaría de Estado de Seguridad; y se establecen normas referentes a la transmisión de los datos PNR remitidos a determinadas autoridades competentes como son el Centro Nacional de Inteligencia, las Direcciones Generales de la Policía y de la Guardia Civil, la Dirección Adjunta de Vigilancia Aduanera y los Jueces y Tribunales y el Ministerio Fiscal.

Además, contiene cuatro disposiciones finales, relativas al título competencial, a los preceptos que tienen carácter de ley orgánica, a la incorporación de derecho de la Unión Europea y a la entrada en vigor.

Delito de terrorismo
Delito grave
Terrorismo
Compañía aérea
Tratamiento de datos personales
Datos personales
Protección de datos
Amenazas
Derechos humanos
Aeronaves
Supresión de datos personales
Organización terrorista
Documentos oficiales
Persona física
Vigilancia aduanera
Seguridad Ciudadana
Principio de independencia
Transferencia de datos personales
Derecho a la intimidad
Ejecución de las sanciones
Caducidad
Medidas provisionales
Condición de autoridad o funcionario público

Ley 39/2015 de 1 de Oct (Procedimiento Administrativo Común de las Administraciones Públicas) VIGENTE

Boletín: Boletín Oficial del Estado Número: 236 Fecha de Publicación: 02/10/2015 Fecha de entrada en vigor: 02/10/2016 Órgano Emisor: Jefatura Del Estado

Ley Orgánica 1/2020 de 16 de Sep (Utilización del Registro de Nombres de Pasajeros para delitos de terrorismo y delitos graves) VACATIO LEGIS

Boletín: Boletín Oficial del Estado Número: 248 Fecha de Publicación: 17/09/2020 Fecha de entrada en vigor: 17/11/2020 Órgano Emisor: Jefatura Del Estado

Documentos relacionados
Ver más documentos relacionados
  • Los delitos de terrorismo

    Orden: Penal Fecha última revisión: 01/10/2019

    Artículo 574 del CP: Depósito de armas, municiones, explosivos y otras sustanciasArtículo 575 del CP: Adoctrinamiento y adiestramiento militarArtículo 576 del CP: Financiación del terrorismoArtículo 577 del CP: Colaboración con banda armadaArt...

  • Registros remotos sobre equipos informáticos dentro del proceso penal

    Orden: Penal Fecha última revisión: 16/08/2019

    El registro remoto de equipos informáticos aparece regulado en el Capítulo IX del Título VIII del Libro II de la Ley de Enjuiciamiento Criminal.El registro remoto sobre equipos informáticos se puede efectuar si concurren los dos presupuestos marc...

  • Los delitos de organizaciones y grupos terroristas y delitos de terrorismo

    Orden: Penal Fecha última revisión: 14/11/2019

    El capítulo VII del Título XXII del Libro II del Código Penal (CP) regula tanto:los delitos relativos a las organizaciones y grupos terroristas (sección 1ª, arts 571 y 572)como los delitos de terrorismo (secc. 2ª, arts. 573 a 580 bis) Se entie...

  • El delito de financiación del terrorismo

    Orden: Penal Fecha última revisión: 01/10/2019

    El delito de financiación del terrorismo se regula en el artículo 576 del Código Penal.El artículo 1.3 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, dice que “a los efectos de ...

  • Introducción a la protección de datos

    Orden: Administrativo Fecha última revisión: 07/02/2019

    El nuevo Reglamento General de Protección de Datos de la Unión Europea (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de d...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros y cursos relacionados