A raíz del terrible atentado terrorista al semanario satírico ‘Charlie Hebdo’ en París, ha vuelto a la palestra europea el debate sobre la creación de un “superfichero” de viajeros, el conocido PNR (Registro de Nombres de Pasajeros), cuya finalidad según el Ministerio del Interior Español, así como los representantes de los otros 14 estados miembros que están a favor de su creación, sería la lucha contra el terrorismo y detectar, de forma “precoz”, a posibles delincuentes peligrosos.
Los datos de carácter personal de los viajeros objeto de tratamiento por parte de las diferentes compañías áreas y que conformarían el PNR son de diversa índole, ente los que destacamos: datos sobre el embarque del pasajero, la cancelación del viaje y número de asiento que va a ocupar en el avión, si va solo o acompañado, el número de acompañantes y la identidad de estos. Está claro que son muchos, los datos que sobre nosotros y acompañantes se van a recoger y ceder.
Bien hemos dicho que el debate ha vuelto a la palestra, ya que en 2013 la cuestión, poco más o menos, se dejó cuando La Comisión de Libertades Civiles, Justicia y Asuntos de Interior (LIBE) rechazó su creación por entender que vulneraba la Directiva 95/46/CE sobre protección de datos personales de la UE.
Conscientes de lo amplios aspectos que desde una óptica de protección de datos se podrían hablar o debatir respecto del “superfichero”, vamos a centrar nuestro análisis sobre cuáles podrían ser los requisitos más importantes que debería cumplir la creación del mencionado fichero para que sea conforme a lo establecido en la Directiva 95/46/CE y por ende, en nuestra Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y el RD 1720/2007 que la desarrolla.
Comenzamos acudiendo a lo que establece el considerando 28 de la Directiva 95/46/CE “Todo tratamiento de datos personales debe efectuarse de forma lícita y leal con respecto al interesado; que debe referirse, en particular, a datos adecuados, pertinentes y no excesivos en relación con los objetivos perseguidos; que estos objetivos han de ser explícitos y legítimos, y deben estar determinados en el momento de obtener los datos; que los objetivos de los tratamientos posteriores a la obtención no pueden ser incompatibles con los objetivos originalmente especificados”
Atendiendo a lo que dice dicho considerando, está claro que para que el “megafichero” sea legal, los datos que sean objeto de tratamiento deben ser adecuados, pertinentes y no excesivos respecto al objetivo perseguido, a mayor abundamiento los tratamientos posteriores no podrán ser incompatibles con la finalidad original, siendo este último punto uno de los criterios más utilizados por los opositores a la creación del fichero, esto es, que se pueda, posteriormente, dar un uso inadecuado de los datos recogidos en el fichero.
Analizado el considerando y en consonancia con las declaraciones realizadas por José Luis Rodríguez, el director de la Agencia Española de Protección de Datos, parece ser, que la recopilación de todos los datos de todos los pasajeros simplemente por el hecho de viajar, comportaría una desproporcionada injerencia en la vida privada de todos los viajeros, existiendo, además, dudas sobre la eficacia del fichero respecto de su finalidad.
A nosotros, a mayores, nos gustaría recordar que ya existe actualmente el denominado fichero API (Información Anticipada de Viajeros) en el que consta el nombre completo del pasajero, su fecha de nacimiento, su sexo, su nacionalidad, su número de pasaporte, la fecha de caducidad del mismo y el país que lo emitió, así como el país de residencia del titular, datos que se ceden a la policía para controlar los desplazamientos aéreos.
Después de todo lo dicho y suponiendo que los Estados Miembros aprueben la creación del PNR, (en España incorporándolo en el Proyecto de Ley de Seguridad Ciudadana que está en fase de tramitación parlamentaria), deberíamos tener en cuenta el considerando (30) de la Directiva 95/46/CE, el cual establece “que para ser lícito el tratamiento de datos personales debe basarse además en el consentimiento del interesado o ser necesario con vistas a la celebración o ejecución de un contrato que obligue al interesado, o para la observancia de una obligación legal o para el cumplimiento de una misión de interés público o para el ejercicio de la autoridad pública o incluso para la realización de un interés legítimo de una persona, siempre que no prevalezcan los intereses o los derechos y libertades del interesado; que, en particular, para asegurar el equilibrio de los intereses en juego, garantizando a la vez una competencia efectiva, los Estados miembros pueden precisar las condiciones en las que se podrán utilizar y comunicar a terceros datos de carácter personal, en el desempeño de actividades legítimas de gestión ordinaria de empresas y otras entidades; (…)”
Habría que centrarse aquí, pese a que existiera una norma con rango de ley que habilitará la cesión, en ver si estaríamos ante una vulneración respecto de los intereses o los derechos y libertades del interesado, y de ser así, seguiríamos estando en contra de lo establecido en la Directiva Europea.
Tenemos que reconocer, que estamos ante una cuestión compleja y en un momento candente debido a los atentados, esperemos que sea la legalidad y sobre todo el respeto al derecho, de todos, a la protección de datos lo que prime en todo caso.