El pasado 18 de noviembre entró en vigor la Ley Orgánica 1/2020, sobre la utilización de los datos del registro de nombres de pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves (artículo 4). El objeto de la Ley es la transferencia de los datos PNR por las compañías aéreas; la recogida, el tratamiento y la protección de los datos; y, por último, su transmisión a las autoridades competentes, así como el intercambio con otros Estados miembros (EEMM) de la Unión Europea (UE) y EUROPOL, entre otros. Como recoge la ley orgánica, los datos del PNR solo se pueden utilizar para prevenir, detectar, investigar y enjuiciar delitos de terrorismo y delitos graves, y también subraya que, a los cinco años, todos los datos serán suprimidos de forma definitiva.
Los principales aspectos regulados son la transferencia de los datos PNR —especificados en el artículo 5— por parte de las compañías aéreas y otras entidades obligadas; la recogida, el tratamiento y la protección de esos datos, su transmisión a las autoridades competentes y el intercambio de dichos datos con otros EEMM UE, EUROPOL y terceros Estados. La Unidad de Información sobre Pasajeros (UIP) española —encargada de la recogida y custodia de los datos— se ubica en el Centro de Inteligencia contra el Terrorismo y el Crimen Organizado (CITCO) del Ministerio del Interior.
En cuanto al ámbito de aplicación, el texto legal contempla que serán todos los vuelos internacionales que tengan origen, destino o tránsito en España, tanto de carácter comercial como privados y, excepcionalmente, vuelos nacionales. Por tanto, no será de aplicación a los vuelos realizados por aeronaves de Estado y por aeronaves privadas, fletadas por el Estado para la prestación o apoyo de servicios de interés militar y en general servicios estatales no comerciales.
Y respecto a su utilización, estos datos PNR se pueden utilizar únicamente como herramienta para luchar contra el terrorismo y delitos graves, y con el objetivo de evaluar a las personas a bordo de la aeronave e identificar a aquellas que pudieran tener relación con estos actos delictivos.
Para ello, la UIP cotejará los datos PNR con las bases de datos disponibles. Estos datos serán enviados entre las veinticuatro y las cuarenta y ocho horas antes de la hora de salida programada del vuelo, y también una vez que el embarque en el avión esté completamente cerrado.
Si durante el trayecto se produce alguna modificación en el destino final, también deberá ser transmitida, así como la realización de una escala no programada.
Las autoridades competentes que, justificadamente y caso por caso, pueden solicitar o recibir datos PNR o el resultado del tratamiento de dichos datos por la UIP, son la Policía Nacional, la Guardia Civil, el Centro Nacional de Inteligencia, Vigilancia Aduanera, el Ministerio Fiscal y las Comunidades Autónomas con competencias de seguridad ciudadana.
Asimismo, España podrá enviar datos PNR o el resultado de su tratamiento a otros EEMM UE, de oficio o atendiendo una solicitud concreta a otras UIP de distintos países del mundo.
Otro asunto trascendental es la custodia, empleo y eliminación de los datos. Una vez transcurridos seis meses desde su recepción, los datos PNR que permitan la identificación directa del pasajero serán despersonalizados. A partir de esos seis meses, solo se permitirá acceder a esos datos a las autoridades competentes —recogidas en el artículo 14— con la autorización previa de una autoridad judicial o de la persona titular de la Secretaría de Estado de Seguridad.
Como se refería, cumplido el plazo de los cinco años serán suprimidos definitivamente. Por último, la Ley 1/2020 recoge que la Agencia Española de Protección de Datos es la autoridad nacional de control de datos PNR; y también regula un régimen sancionador ante posibles incumplimientos.
