Tras un largo periodo legislativo, numerosos debates parlamentarios y cientos de enmiendas a nivel europeo, este pasado 17 de septiembre se ha publicado en el Boletín Oficial del Estado la Ley Orgánica 1/2020, de 16 de septiembre, sobre la utilización de los datos del Registro de Nombres de Pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves (en adelante, la Ley) y que nace con la finalidad de garantizar y proteger la vida y la seguridad de los ciudadanos, respecto de la delincuencia transfronteriza.
En lo relativo a los delitos de terrorismo y delitos graves respecto de los que se pretende proteger a los ciudadanos y que se tratan de evitar y detectar con esta Ley, en el artículo 4 se reflejan todos aquellos cuya pena de prisión sea igual o superior a tres años, y entre los que podemos encontrar: la pertenencia a una organización delictiva, trata de seres humanos, explotación sexual de niños y pornografía infantil, tráfico ilícito de estupefacientes, sustancias psicotrópicas, armas, municiones, explosivos, órganos, tejidos humanos, materiales radioactivos o sustancias nucleares; corrupción, sabotaje, tráfico de vehículos robados… entre otros delitos.
En cuanto al proceso legislativo hasta la aprobación de la Ley, debemos señalar que se ha tratado de un proceso lento. En el año 2007 la Comisión Europea presentó la Propuesta de Decisión marco del Consejo sobre la utilización de datos del registro de nombres de los pasajeros (Passenger Name Record – PNR) con fines represivos, con el fin de recoger y analizar los datos PNR (aquellos datos que figuraban en los expedientes de los pasajeros) de cara a prevenir y luchar contra los atentados terroristas y la delincuencia organizada, a raíz de los incidentes acaecidos el 11 de septiembre del año 2001.
Con el objetivo de garantizar la seguridad, proteger la vida y seguridad de los ciudadanos de la UE y crear un marco jurídico para la protección y el tratamiento de los datos PNR, se adoptó en el año 2016 la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave.
Los Estados miembros contaban con un plazo de dos años para poder transponer a sus ordenamientos internos todas las disposiciones contenidas en la Directiva. En el mes de febrero de 2018 se publicó en España el Anteproyecto de Ley Orgánica, y dos años después, en marzo de 2020, el Proyecto de Ley Orgánica, para, finalmente, publicar el pasado mes la Ley Orgánica 1/2020, que entrará en vigor el próximo 16 de noviembre, a los dos meses de su publicación en el BOE.
En el presente artículo vamos a intentar dar respuesta a algunos de los interrogantes que se han ido planteando alrededor de esta normativa, la cual no está exenta de crítica.
En primer lugar, ¿QUIÉNES SON LOS SUJETOS OBLIGADOS Y QUÉ DATOS SE VAN A RECABAR DE LOS PASAJEROS?
A este respecto debemos indicar que los sujetos obligados a recabar tales datos, tal y como se refleja en el artículo 3 de la Ley, serían los siguientes:
- Compañías aéreas.
- Entidades de gestión y reservas de vuelos, como operadores turísticos o agencias de viajes.
Ahora bien, si consultamos el Pliego de prescripciones técnicas para la contratación del desarrollo del sistema de Registro de Nombres de Pasajeros (Proyecto PNR) (en adelante, Pliego de prescripciones), en concreto en la descripción general de las prescripciones técnicas, podemos observar que los datos que se recabarán también provendrán, además de los propios aeropuertos, de los trenes, hoteles, agencias de viajes, líneas de cruceros, tours operadores, sitios web, alquiler de coches y autobuses, así como sistemas de terceros, los Sistemas de Distribución Global (SDG), como Amadeus, Sabré, Galileo o Worldspan, y de las agencias gubernamentales que tengan registrados nuestros nombres.
En relación con los datos que se van a recabar de los pasajeros, los cuales se encargará de recoger, almacenar y transferir la Unidad de Información sobre Pasajeros (UIP) integrada en el Centro de Inteligencia contra el Terrorismo y Crimen Organizado, el artículo 5 de la Ley Orgánica procede a la enumeración de todos ellos entre los que podemos encontrar: nombres y apellidos, dirección y datos del contacto, itinerario del viaje (fechas previstas y de reserva, información sobre el billete, datos del asiento y de equipaje), agencia de viajes contratada, datos de pago, incluida la dirección de facturación…
¿QUÉ IMPLICACIONES CONLLEVA ESTA LEY, EN EL ÁMBITO DE PROTECCIÓN DE DATOS?
En este sentido, hay quienes indican que todo este tratamiento de datos podría llegar a vulnerar el principio de minimización de datos, al considerar que se estaría realizando un tratamiento de datos desproporcionado para la finalidad atendida, al recabarse incluso los datos de pago del pasajero. Recordemos que este es un principio consagrado en el artículo 5.1 del Reglamento Europeo de Protección de Datos (RGPD) y referido a que todo tratamiento de datos deberá ser adecuado, pertinente y limitado a la finalidad pretendida.
Además de todos estos datos recogidos en el artículo 5 de la Ley, que la UIP cotejará con las bases de datos disponibles, con el fin de prevenir, detectar, investigar y enjuiciar los delitos arriba mencionados, debemos hacernos eco de lo que se indica en el Pliego de prescripciones, en relación con el “sistema de incorporación de información de fuentes abiertas, principalmente de redes sociales”, que deberán proveer los contratistas. A este respecto, debemos plantearnos la siguiente pregunta: ¿se van a tratar únicamente los datos que se indican en la ley, o también se podrán cruzar datos con las redes sociales?
En el Requisito Funcional 1 del Pliego de prescripciones (RF 1) se indica que la herramienta a desarrollar “debe ser capaz de analizar diferentes tipos de información, ya sea en forma de feeds de Twitter, correo electrónico, imágenes, video, registro de centros de llamadas, notas clínicas de un médico, o prácticamente cualquier otro formato mediante una comprensión conceptual de todos los datos (…)”.
Asimismo, en el RF 28.1, se indica que “el sistema deberá ser capaz de captar información de redes sociales mediante la configuración de fuentes de internet. Las fuentes de las que captar información podrán ser:
- Redes sociales: Twitter, Google Plus, Linkedin, Tumblr, Instagram y Flickr.
- Otras fuentes como RSS, fotos, blogs y páginas genéricas.
- Fuentes multimedia de video: Youtube, Vime, Liveleak.
- Buscadores: Google, Bing, Yahoo y Duck Duck Go.
A continuación, (RF 28.2), se indica que la descarga de dicha información deberá realizarse de la forma más estructurada posible, dependiendo de la naturaleza de la fuente, que podrán ser las siguientes:
- Metadatos de los contenidos multimedia o documentales.
- Nicks/usuarios que realizan los posts.
- Comentarios.
A respecto, debemos igualmente destacar el RF 28.3, en el que, con relación a la captura de la información de redes sociales, se indica que “El sistema deberá extraer información de forma continua de las fuentes soportadas, de forma que pueda crearse un histórico de información. También deberá ser capaz de realizar búsquedas específicas de datos nuevos ante eventos particulares, como eventos generados a partir de alertas generadas sobre viajes, vuelos, lugares u otras entidades identificadas como de riesgo.”
Además, tenemos que señalar que en el RF 28.4, relativo al análisis de información específica de redes sociales, se indica que “la información relevante detectada en redes sociales deberá poder ser clasificada mediante el uso de taxonomías dinámicas”.
Una vez que parece que hemos dado respuesta a la pregunta sobre si se tratarán datos de redes sociales, ahora debemos preguntarnos lo siguiente: ¿se procederá a la realización de perfiles sociológicos de los pasajeros? La respuesta a esta pregunta parece ser afirmativa, puesto que en el Pliego de prescripciones se indica que se realizarán , tal y como se recoge en los Requisitos Funcionales 20.3 y 20.4, pero, ante los cuales, no se proporciona ninguna información adicional al respecto. Además, en el supuesto de alertarse sobre un perfil sospechoso a partir de los datos del pasajero (RF 20.5), se podrá en estos supuestos incluso identificar automáticamente el perfil demográfico y sociológico del pasajero, así como hacer seguimiento de la utilización inusual de las redes sociales abiertas.
Muchas son las voces discordantes con el contenido y finalidades de dicha ley, las cuales indican que se trata de una vulneración directa a la privacidad de los usuarios, puesto que, al cruzar los datos de un pasajero con toda la información disponible en la red, se podrían llegar a realizar perfilados ideológicos peligrosos y que, en base al considerando 72 del RGPD, se encontraría sujeto tanto a las normas del RGPD que rigen el tratamiento de datos personales, como a los fundamentos jurídicos del tratamiento o a los principios de la protección de datos.
No sólo eso sino que, además, se estaría realizando un tratamiento de datos masivo (o Big Data) a todos los pasajeros, sin la necesidad de ser previamente sospechosos de haber realizado ninguno de los delitos graves detallados en la Ley lo que podría considerarse como una vulneración de los derechos y libertades de los interesados.
No cabe duda de que los Estados deben velar por la paz y seguridad de sus ciudadanos, dotándoles de un marco jurídico sólido de cara a la protección de sus derechos. Y este fue el objetivo de la Directica 2016/681 que confería a Europa de un marco regulativo que sirviera de prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y delitos graves, que, como todos sabemos, suponen un gran problema para la estabilidad de nuestros estados.
Como conclusión, tomaremos las palabras del experto en derechos humanos de las Naciones Unidas Ben Emmerson, quién, en su Informe de la Asamblea General de las Naciones Unidas sobre la Promoción y protección de los derechos humanos y libertades fundamentales en la lucha contra el terrorismo, indicaba que, a pesar de que la amenaza del terrorismo pueda proporcionar una justificación para la vigilancia masiva en aquellos casos en los que los Estados puedan demostrar que el uso de dicha tecnología conllevaría ventajas tangibles, el “tratamiento automatizado de datos tiene un efecto particularmente corrosivo en la privacidad”, pudiéndose llegar a realizar accesos masivos a comunicaciones y contenido de datos sin sospecha previa.