Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@hotmail.com

 RESUMEN

En su segunda declaración sobre la aplicación de la Directiva PNR, posterior a la del 15 de diciembre de 2022, el Comité ofrece nuevas directrices a las Unidades de Información sobre Pasajeros (UIP) sobre las adaptaciones y limitaciones necesarias para el tratamiento de los datos PNR, tras la sentencia PNR. Los datos PNR constituyen información personal proporcionada por los pasajeros, recopilada y conservada por las compañías aéreas, que incluye los nombres de los pasajeros, las fechas de viaje, los itinerarios, los asientos, el equipaje, los datos de contacto y los medios de pago.

La declaración incluye recomendaciones prácticas para las leyes nacionales que transponen la Directiva PNR con el fin de dar efecto a las conclusiones del TJUE en la sentencia PNR. Las recomendaciones abarcan algunos aspectos clave de la sentencia PNR, como la forma en que los países europeos deben seleccionar los vuelos de los que se recopilan los datos PNR o el período durante el cual deben conservarse. Según el Comité, el periodo de conservación de todos los datos PNR no debe superar un período inicial de seis meses. Tras este periodo, los países europeos solo podrán almacenar datos PNR durante el tiempo necesario y proporcional a los objetivos de la Directiva PNR.

La presidenta del CEPD, Anu Talus, declaró: «El CEPD reconoce la importancia de la Directiva PNR para mejorar la seguridad de los pasajeros en toda Europa y para ayudar a prevenir, detectar y perseguir penalmente los delitos terroristas y la delincuencia grave. La transferencia de datos PNR en Europa debe realizarse de forma armonizada y respetando plenamente los principios de protección de datos».

El Comité es consciente de que algunos países europeos ya han iniciado el proceso de adaptación, pero aún existe una importante falta de esfuerzos de implementación en todos los Estados miembros. Por lo tanto, en su declaración, el CEPD subraya la urgente necesidad de implementar los cambios necesarios y modificar las legislaciones nacionales teniendo en cuenta la sentencia PNR lo antes posible.

El presente documento ha sido traducido del inglés al castellano por el suscrito, con la ayuda del aplicativo Google Transalator.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@hotmail.com

________________________________________________________________

Declaración 2/2025 sobre la aplicación de la Directiva PNR a la luz de la sentencia del TJUE C-817/19 Adoptada el 13 de marzo de 2025.

Índice

1 Antecedentes y finalidad de esta declaración 3

2 Recomendaciones 4

2.1 Categorías de personas 4

2.2 Vínculo objetivo 5

2.3 Vuelos intracomunitarios 6

2.4 Derechos del interesado y tratamiento automatizado 8

2.5 Revisión previa independiente 9

2.6 Periodo de conservación 10

3 Observaciones finales 11

El Comité Europeo de Protección de Datos ha adoptado la siguiente declaración:

1 ANTECEDENTES Y OBJETIVO DE ESTA DECLARACIÓN

1. El 21 de junio de 2022, el Tribunal de Justicia de la Unión Europea (TJUE) dictó sentencia (en adelante, la Sentencia PNR) sobre la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, la detección, la investigación y el enjuiciamiento de delitos de terrorismo y delitos graves (en adelante, la Directiva PNR).
2. Si bien el TJUE consideró que la validez de la Directiva PNR no se veía afectada, dictaminó que, para garantizar el cumplimiento de la Carta de los Derechos Fundamentales de la Unión Europea (en adelante, la Carta), la Directiva PNR debe interpretarse en el sentido de que incluye importantes limitaciones al tratamiento de datos personales. El TJUE sostuvo que esto reviste especial importancia en vista de las graves injerencias en los derechos garantizados en los artículos 7 y 8 de la Carta. Para limitar estas injerencias a lo estrictamente necesario, el TJUE identifica varios aspectos que deben cumplir las leyes nacionales que transponen la Directiva PNR. Entre los más relevantes se encuentran:

• la limitación a los fines establecidos en la Directiva PNR, que son exhaustivos;
• la aplicación del sistema PNR únicamente a los delitos terroristas y graves (es decir, se excluye explícitamente la delincuencia común) que tengan un vínculo objetivo, aunque sea indirecto, con el transporte aéreo de pasajeros;
• la limitación de la aplicación de la Directiva PNR a los vuelos intracomunitarios y otros medios de transporte;
• la no aplicación indiscriminada del periodo general de conservación de cinco años a todos los datos personales de los pasajeros aéreos.

3. A la luz de la Sentencia PNR, el 13 de diciembre de 2022, el CEPD adoptó la Declaración 5/2022 sobre las implicaciones de la Sentencia PNR para la aplicación de la Directiva PNR relativa al uso del PNR en los Estados miembros. Concluyó que la interpretación de los aspectos más críticos señalados por la Sentencia PNR es fundamental para proceder de forma armonizada en todos los Estados miembros[1]. A raíz de la Declaración 5/2022, el CEPD elaboró ​​la presente Declaración con el fin de proporcionar orientación adicional sobre algunas de las adaptaciones y limitaciones necesarias para el procesamiento de datos PNR para las respectivas Unidades de Información sobre Pasajeros (en adelante, UIP) en los Estados miembros, derivadas de la Sentencia PNR. Asimismo, la Declaración también destaca la necesidad de que los órganos legislativos de los Estados miembros implementen los cambios en las legislaciones nacionales y modifiquen dichas legislaciones a la luz de la Sentencia PNR lo antes posible. Además, la Declaración también debería facilitar la aplicación de la Directiva PNR y su interpretación a la luz de la Sentencia PNR para los profesionales del derecho, así como para los responsables de la protección de datos.

2 RECOMENDACIONES

4. El CEPD desea formular las siguientes recomendaciones sobre algunos aspectos clave de la Sentencia PNR para la aplicación de la Directiva PNR. Cada recomendación va seguida de observaciones explicativas tras una evaluación e interpretación más detalladas de la Sentencia PNR.

Se podrá proporcionar más orientación si es necesario.

2.1 Categorías de personas

5. Los datos personales de terceros solo entran en el ámbito de aplicación de la Directiva PNR en la medida en que se relacionen directamente con el vuelo operado y el pasajero en cuestión. En la práctica, dichos datos personales de terceros se limitan a: (a) la información de pago y la dirección de facturación de la persona que compró el billete en nombre del pasajero, en la medida en que se relacione directamente con el vuelo, y (b) los datos de contacto del padre, madre o tutor que deje o recoja a un menor no acompañado. Todos los demás datos personales de terceros deben ser eliminados de forma inmediata y permanente por la UIP tras su recepción.
6. El Anexo I de la Directiva PNR contiene 19 epígrafes que describen distintas categorías de datos PNR que la compañía aérea debe transferir a la UIP. Cada categoría se refiere a la información que los pasajeros proporcionan ellos mismos como parte del proceso de reserva o que se proporciona en su nombre. Algunas de estas categorías son bastante amplias y podrían incluir datos personales de otras personas además del pasajero (por ejemplo, terceros que participan en la reserva o compra del billete de avión). El grado en que estas categorías adicionales de interesados​​pueden ser tratadas debe interpretarse a la luz de la Sentencia.
7. La información que la compañía aérea debe proporcionar a la UIP en virtud de cada epígrafe del Anexo 1 de la Directiva PNR debe interpretarse de forma restrictiva en cuanto a su relación con el pasajero y debe limitarse a lo estrictamente necesario para cumplir los objetivos de la Directiva PNR, excluyendo los datos sensibles[2]. Por lo tanto, los datos personales de titulares de datos distintos del pasajero solo entran en el ámbito de aplicación de la Directiva PNR en la medida en que se relacionen directamente con el vuelo operado y el pasajero en cuestión, incluso cuando esto contradiga la interpretación literal de los propios títulos[3]. Por ejemplo, en el caso del Título 5, solo la información de contacto y la dirección del pasajero están dentro del ámbito de aplicación, incluso si un tercero realizó una reserva en nombre del pasajero[4]. Si un tercero ha pagado el vuelo, su información de pago y facturación deberá proporcionarse en el Título 6. Sin embargo, esto debe limitarse a la información relativa a los métodos de pago y la facturación del billete de avión. Otra información de terceros debe eliminarse, ya que no está directamente relacionada con el vuelo, excepto (a) la información de pago y la dirección de facturación de un tercero que compró el billete en nombre del pasajero, siempre que esté directamente relacionada con el vuelo, y (b) los datos de contacto de un padre o tutor que deje o recoja a un pasajero menor no acompañado.
8. Las Unidades de Información sobre el Pasajero (UIP) de los Estados miembros tienen la responsabilidad de garantizar que cualquier dato PNR proporcionado por las compañías aéreas que exceda lo permitido por el Anexo I, interpretado a la luz de la Sentencia PNR, se elimine «de forma inmediata y permanente tras su recepción» para evitar el tratamiento de datos en relación con categorías excesivas de interesados.

2.2 Vínculo objetivo

9. Los delitos que no tienen un vínculo objetivo, ni siquiera indirecto, con el transporte aéreo de pasajeros no justifican la aplicación del sistema establecido por la Directiva PNR[5]. Para establecer un vínculo objetivo, deben existir criterios objetivos que vinculen los datos PNR con la lucha contra la delincuencia grave y los delitos terroristas. Mientras que un vínculo directo se refiere a los delitos contra el transporte aéreo de pasajeros, así como a los delitos cometidos durante o a través de un viaje aéreo[6], un vínculo indirecto abarca todas las situaciones en las que, sin un vínculo directo, los delitos graves y los delitos terroristas pueden prevenirse, detectarse, investigarse o perseguirse mediante el procesamiento de datos PNR de conexiones o vuelos seleccionados, es decir, en particular, cuando el transporte aéreo se utiliza como medio para preparar dichos delitos o eludir la persecución penal.
10. El artículo 1, apartado 2, de la Directiva PNR establece que los datos PNR recopilados de conformidad con dicha Directiva podrán ser objeto de las operaciones de tratamiento a que se refiere el artículo 6, apartado 2, letras a) a c), únicamente a efectos de prevención, detección, investigación y enjuiciamiento de delitos terroristas y delitos graves. Según el TJUE, corresponde a los Estados miembros garantizar que la aplicación del sistema establecido por la Directiva PNR se limite efectivamente a la lucha contra los delitos graves y que dicho sistema no se extienda a delitos que constituyen delitos comunes[7]. El TJUE establece que un elemento esencial para evaluar la necesidad y la proporcionalidad de las actividades de tratamiento de los datos PNR es la existencia de un vínculo objetivo, aunque sea indirecto, con el transporte aéreo de pasajeros[8]. La recomendación pretende aclarar la naturaleza y la relevancia del concepto de «vínculo objetivo».
11. Para establecer un vínculo objetivo, deben existir criterios objetivos que establezcan una conexión entre los datos PNR conservados y la lucha contra la delincuencia grave y los delitos de terrorismo[9]. Por lo tanto, una supuesta conexión debe estar respaldada por hechos y pruebas; por ejemplo, la expectativa puramente subjetiva de un agente de policía no sería suficiente. Además, cada aplicación del sistema PNR debe examinarse para evaluar la existencia de un vínculo objetivo. Para reducir la gravedad de la injerencia en el derecho fundamental a la protección de datos personales, el análisis de la existencia de un vínculo objetivo debe realizarse lo antes posible en el proceso, es decir, en particular, antes de realizar evaluaciones previas (artículo 6, apartado 2, letra a), y tras las solicitudes de evaluación posterior (artículo 6, apartado 2, letra b).
12. Cuando se identifique a personas mediante el tratamiento automatizado, la UIP deberá abstenerse de transferir los resultados a las autoridades competentes si, tras la revisión, no se dispone de información “que pueda dar lugar, con arreglo al criterio jurídico requerido, a una sospecha razonable de participación en delitos terroristas o delitos graves[10]. Estos criterios deberán aplicarse mutatis mutandis también antes de iniciar las evaluaciones de los pasajeros antes de su llegada o salida programada del Estado miembro (artículo 6, apartado 2, letra a). Los hechos y las pruebas que sirven de base para la identificación de los viajeros deben poder dar lugar, con arreglo al criterio jurídico requerido, a una sospecha razonable de participación en delitos terroristas o delitos graves. El requisito de comprobar la existencia del vínculo objetivo, también tras la revisión individual realizada por medios no automatizados, de conformidad con el artículo 6, apartado 5, deberá considerarse una salvaguardia adicional necesaria. Además, ya en esta fase es esencial garantizar que la aplicación del sistema PNR no se extienda a delitos que constituyen delitos comunes, incluso considerando características distintas a la pena máxima[11].
13. En cuanto a las evaluaciones posteriores a las solicitudes de las autoridades competentes, artículo 6(2)(b), es importante señalar que el TJUE distinguió si los datos PNR se solicitan en relación con delitos terroristas o con delitos graves que tengan un vínculo objetivo con el transporte aéreo. En resumen, cuando los datos PNR se solicitan en relación con delitos graves, la UIP debe evaluar las solicitudes con un rigor demostrable para cumplir el requisito de estar «debidamente motivadas» del artículo 6(2)(b). Para que dichas solicitudes estén debidamente motivadas, la UIP debe cerciorarse de que se basan en «elementos objetivos que puedan dar lugar a una sospecha razonable de que la persona en cuestión está implicada de una forma u otra en un delito grave que tenga un vínculo objetivo, aunque sea indirecto, con el transporte aéreo de pasajeros»[12]. Esta evaluación más rigurosa debe establecerse en las políticas y procedimientos internos de la UIP para que sea objetivamente verificable, en particular por la autoridad supervisora. Sin embargo, cualquier solicitud de divulgación posterior, es decir, también las solicitudes relacionadas con delitos terroristas, deben basarse en pruebas que probablemente justifiquen la condición sustantiva de motivos «razonables»[13].

2.3 Vuelos Intra UE

14. Solo se permite aplicar la Directiva PNR a los vuelos intracomunitarios si los Estados miembros, tras una evaluación, constatan que existe una amenaza de delitos terroristas y delitos graves que justifique su aplicación a dichos vuelos[14]. El principio de estricta necesidad se aplica sin perjuicio de su aplicación a determinados vuelos intracomunitarios o a todos ellos[15], lo que exige una evaluación del momento y el alcance de la aplicación, incluso en el caso de amenazas terroristas reales, presentes o previsibles. No se consideraría una aplicación indiscriminada si se hubieran realizado evaluaciones individuales para todos los vuelos, incluso si, de hecho, se incluyeran todos los vuelos intracomunitarios. Se deberían incorporar al sistema procedimientos de revisión periódicos y ad hoc.
15. De conformidad con el artículo 2 de la Directiva PNR, los Estados miembros pueden aplicarla a los vuelos intracomunitarios[16]. El TJUE, en su sentencia PNR, impuso ciertas restricciones a esta aplicación[17]. Un Estado miembro que desee aplicar la Directiva PNR a todos los vuelos intracomunitarios, de conformidad con el artículo 2, apartado 2, o solo a determinados vuelos, de conformidad con el artículo 2, apartado 3, debe garantizar, durante toda la evaluación, que la aplicación del sistema PNR a los vuelos intracomunitarios se limite a lo estrictamente necesario. Para ello, debe tenerse en cuenta la gravedad de la injerencia en los derechos fundamentales garantizados en los artículos 7 y 8 de la Carta, a fin de garantizar la seguridad interior de la Unión Europea o, al menos, la de dicho Estado miembro y, por consiguiente, proteger la vida y la seguridad de las personas[18]. El principal factor de conexión geográfica para garantizar la seguridad interior es la UE[19]. La seguridad interior de un solo Estado miembro constituye el mínimo necesario[20]. La seguridad interior, en este sentido, debe implicar la protección de la vida y la seguridad de las personas[21].
16. Cuando un Estado miembro se enfrenta a una amenaza terrorista demostrada como real, presente o previsible, podrá recopilar datos PNR de todos los vuelos intracomunitarios durante un período limitado[22]. Sin embargo, la sentencia del TJUE debe interpretarse respetando plenamente el principio de (estricta) necesidad y proporcionalidad. Por lo tanto, este principio debe respetarse no solo durante el período de aplicación, sino también en su alcance (en particular, en lo que respecta a los vuelos seleccionados, incluso geográficamente). Por consiguiente, si la amenaza no se extiende a determinados vuelos (por ejemplo, categorías de estos), la aplicación a todos los vuelos intracomunitarios podría no ser necesaria ni proporcionada. Las autoridades competentes están obligadas a realizar una evaluación adecuada. Esto incluye la investigación y consideración de los hechos y circunstancias que puedan limitar el alcance de la aplicación y, por consiguiente, la injerencia en los derechos fundamentales.
17. En particular, los Estados miembros más pequeños con pocos aeropuertos pueden encontrarse fácilmente en una situación en la que la selección de vuelos intracomunitarios cubra prácticamente todos los vuelos intracomunitarios, incluso en ausencia de la mencionada amenaza terrorista. Sin embargo, esto no se consideraría una aplicación indiscriminada de la Directiva PNR en el sentido del apartado 173 de la Sentencia PNR si se han realizado las evaluaciones individuales necesarias para los respectivos vuelos cubiertos, incluyendo la limitación del período y el ámbito de aplicación.
18. Dado que la aplicación del sistema PNR implica injerencias sustanciales en los derechos fundamentales, todas las circunstancias que justifican la selección de los respectivos vuelos y su evaluación deben documentarse adecuadamente y revisarse periódicamente, así como ad hoc, para garantizar que la aplicación del sistema PNR a los vuelos intracomunitarios se siga limitando a lo estrictamente necesario[23]. En caso de una aplicación amplia debido a la mencionada amenaza terrorista cualificada, la decisión que contempla dicha aplicación debe estar sujeta a una revisión efectiva, ya sea por un tribunal o por un organismo administrativo independiente cuya decisión sea vinculante[24]. En otros casos, corresponde al Estado miembro garantizar dicha revisión[25]. Las reevaluaciones periódicas deben estar respaldadas por un sistema de seguimiento adecuado (protección de datos desde el diseño) basado en la información más actualizada disponible. Este sistema debe estar automatizado, si es posible. Si ya se prevén cambios (por ejemplo, debido a la estacionalidad o a desarrollos dinámicos), se debe establecer un plazo adecuado para la reenvío. Si ya se ha determinado una condición que lleve al cese de la necesidad de la selección en cuestión, se debe prever la deselección automática de los vuelos o el reenvío oportuno, y se debe garantizar mediante un sistema de seguimiento automatizado. Si no se prevén cambios, se realizará un reenvío regular. El sistema debe integrar un plazo máximo para la reenvío (protección de datos por defecto). Como recomendación general, la reevaluación adoptada debe tener lugar a más tardar seis meses después de la última evaluación; otros períodos pueden ser aceptables si se justifican en vista de las circunstancias específicas. Además, la revisión ad hoc debe ser posible y sus procedimientos deben reflejarse en la organización (p. ej., debe estar disponible un punto de contacto para informes). Es necesario prever en dicho sistema un periodo máximo de reenvío de respaldo que, en general, no debe superar los seis meses.

2.4 Derechos de los interesados ​​y tratamiento automatizado

19. Los derechos de los interesados ​​a que se refiere el artículo 13(1) de la Directiva PNR, y en particular el derecho a reparación judicial, deben respetarse proporcionando información completa (1) a las personas afectadas, para que puedan cuestionar la legalidad del tratamiento automatizado y la posterior revisión individual, y (2) en el contexto de la reparación, al tribunal y a las personas afectadas, para examinar el fundamento de la decisión, es decir, los motivos y las pruebas.[26]En ambas situaciones, pueden aplicarse ciertas excepciones al suministro de información.[27]Con el fin de equilibrar adecuadamente los derechos fundamentales de las personas afectadas y los intereses de las autoridades competentes, el CEPD recomienda que las autoridades competentes establezcan normas claras y precisas, con las garantías procesales adecuadas.
20. El artículo 13 de la Directiva PNR establece los derechos de los interesados, incluido el derecho a la reparación judicial, haciendo referencia a la Directiva sobre las Fuerzas de Seguridad (LED). El artículo 6 de la Directiva PNR contempla el tratamiento de los datos PNR, incluyendo la comparación automática de los datos con bases de datos pertinentes y criterios predeterminados, así como la necesidad de revisar individualmente cualquier coincidencia positiva. La recomendación pretende aclarar cómo se puede garantizar, en particular, el derecho a la reparación judicial.
21. «Para cuestionar, en su caso, la naturaleza ilícita y, entre otras cosas, discriminatoria de dichos criterios», debería ser «posible que esa persona decida, con pleno conocimiento de causa, si ejerce o no su derecho a la reparación judicial garantizado en el artículo 13(1) de la Directiva PNR[28]». El TJUE considera que “las autoridades competentes deben garantizar que la persona interesada, sin permitirle necesariamente, durante el procedimiento administrativo, tener conocimiento de los criterios de evaluación predeterminados y de los programas que aplican dichos criterios, sea capaz de comprender cómo funcionan dichos criterios y programas”[29]. Esto también se aplica a los criterios de revisión[30].
22. Para salvaguardar aún más el derecho a la tutela judicial efectiva, en el contexto de la reparación, “el tribunal encargado de revisar la legalidad de la decisión adoptada por las autoridades competentes, así como, salvo en caso de amenazas a la seguridad del Estado, las propias personas interesadas, deben haber tenido la oportunidad de examinar todos los motivos y las pruebas en que se basó la decisión […], incluidos los criterios de evaluación predeterminados y el funcionamiento de los programas que aplican dichos criterios”.
23. En vista de lo anterior, el CEPD considera que el interés de las autoridades competentes en limitar la información proporcionada en determinadas situaciones debe sopesarse adecuadamente con el derecho fundamental a la protección de datos personales, incluido el derecho del interesado a acceder a los datos personales, y el derecho fundamental a la tutela judicial efectiva. Para garantizar esto, el CEPD recomienda que las autoridades competentes establezcan una normativa clara y precisa, con las debidas garantías procesales. El CEPD recuerda que las autoridades competentes también deben tener en cuenta las directrices adicionales y detalladas sobre el derecho de acceso de los interesados, de acuerdo con la Directiva sobre la protección de datos (LED), que el CEPD está preparando actualmente.

2.5 Revisión previa independiente

24. Un tribunal o una autoridad administrativa independiente debe realizar las revisiones previas independientes.  La autoridad independiente encargada de la revisión previa debe ser distinta a la que lleva a cabo la investigación penal. Por lo tanto, dejar la revisión previa en manos de un funcionario o miembro del personal independiente de una sección específica de una autoridad administrativa, que no es independiente en sí misma, no se ajustaría, en principio, a lo que la sentencia del TJUE preveía en términos de independencia. Lo mismo se aplicaría a un funcionario o miembro del personal independiente de una sección específica de la autoridad que lleva a cabo la investigación penal.
25. El TJUE declaró que «es esencial que la divulgación de datos del PNR a efectos de una evaluación posterior esté, como norma general, salvo en caso de urgencia debidamente justificada, sujeta a una revisión previa realizada por un tribunal o por una autoridad administrativa independiente[31]». La recomendación pretende identificar los elementos necesarios para salvaguardar dicha revisión previa independiente.
26. Los datos PNR corresponden a un número considerable de pasajeros aéreos. La mayoría de estos pasajeros no tienen vínculos con delitos terroristas ni otros delitos graves. Por lo tanto, el acceso a los datos para fines policiales debe limitarse a lo estrictamente necesario para garantizar el pleno respeto de los derechos fundamentales. Los datos PNR solo son accesibles tras una revisión previa por parte de un tribunal u organismo público independiente. Para evitar el uso ilimitado de los datos con fines policiales, esta independencia es esencial. Según el TJUE, la independencia implica que la autoridad que realiza esta revisión previa debe:

• Poder lograr un equilibrio justo entre los intereses en juego[32].
• Tener un estatus que le permita actuar con objetividad.
• Estar libre de influencias externas y ser neutral respecto a las partes implicadas.
• Ser un tercero frente a la autoridad que solicita el acceso.
• No participar en la investigación penal[33].

27. Además, el CEPD señala que, para ser verdaderamente independiente, esta autoridad también debe:

• Contar con recursos suficientes, tanto presupuestarios como de personal.
• Poseer conocimientos suficientes en el ámbito policial.

28. En vista de lo anterior, un tribunal o una autoridad administrativa independiente debe realizar la revisión previa independiente. El CEPD subraya que debe garantizarse la independencia de esta autoridad y, por lo tanto, que debe ser un organismo distinto del que lleva a cabo la investigación penal. Por lo tanto, no bastaría, en términos de independencia, dejar la revisión previa en manos de un funcionario o miembro del personal independiente de una sección específica de una autoridad administrativa, ya que esta no es independiente en sí misma. Tampoco bastaría con que el funcionario o miembro del personal de una sección específica de la autoridad que lleva a cabo la investigación penal llevara a cabo esta revisión. Dadas las diferentes estructuras organizativas de los Estados miembros, la aplicación de esta revisión previa independiente puede variar.

2.6 Periodo de conservación

29. No se puede establecer un periodo de conservación general que supere el periodo inicial de seis meses. Transcurrido este periodo, los conjuntos de datos PNR solo podrán procesarse si, para cada uno de ellos, existe material objetivo que permita establecer una conexión con los objetivos perseguidos por el tratamiento en virtud de la Directiva PNR, y solo mientras sea necesario y proporcionado[34]. Por lo tanto, la identificación de material objetivo no implica automáticamente el periodo máximo de conservación de cinco años.
30. De conformidad con el artículo 12 de la Directiva PNR, los Estados miembros garantizarán que los datos PNR se conserven durante un periodo de cinco años. Sin embargo, la conservación de datos PNR con arreglo al artículo 12 no puede justificarse si no existe una conexión objetiva entre dicha conservación y los objetivos perseguidos por la Directiva PNR[35]. El TJUE interpretó el artículo 12 de la Directiva PNR de tal manera que esta establece dos períodos distintos: el primero es el «período inicial de conservación de seis meses» y el otro es el «período posterior»[36]. El TJUE establece claramente que esta distinción también se aplica al requisito de un vínculo objetivo establecido para justificar la conservación[37]. Según el TJUE,«del considerando 25 de dicha Directiva se desprende que dichas disposiciones [artículo 12, apartados 2 y 3, de la Directiva PNR] reflejan, por un lado, el objetivo de garantizar que los datos PNR se conserven durante un período suficientemente largo para realizar análisis y su uso en investigaciones», lo cual puede llevarse a cabo ya durante el período inicial de conservación de seis meses»[38].El TJUE concluye que, durante el período inicial de seis meses, la conservación puede estar justificada para alcanzar dicho objetivo de utilizar los datos PNR para su análisis y uso en investigaciones[39]. Por el contrario, en cuanto al período posterior, […] la conservación de los datos PNR de todos los pasajeros aéreos […] contradice el requisito del considerando 25 […] de que el período de conservación de dichos datos debe ser tan largo como sea necesario y proporcionado a los objetivos perseguidos[40]. Un almacenamiento posterior solo puede permitirse en lo que respecta a los datos PNR de pasajeros aéreos con una conexión establecida entre sus datos PNR y el objetivo perseguido por la Directiva PNR[41]; solo en casos específicos, siempre que se identifique material objetivo, el almacenamiento después del período inicial parece admisible[42]. «Por lo tanto, la continuación del almacenamiento de los datos PNR de todos los pasajeros aéreos después del período inicial de seis meses no se limita a lo estrictamente necesario«[43]. Por lo tanto, el CEPD concluye que no es admisible establecer un período de conservación general en la legislación de los Estados miembros que supere el período inicial de seis meses.
31. Tras este período inicial, los datos solo podrán conservarse durante el tiempo necesario y proporcional a los objetivos perseguidos por la Directiva PNR. El TJUE concluyó que la identificación de pruebas objetivas según las cuales determinados pasajeros puedan presentar un riesgo relacionado con delitos terroristas o delitos graves permite establecer dicha conexión con los objetivos de la Directiva PNR.

Por lo tanto, la conservación de datos puede estar justificada durante un período de cinco años[44]. Es necesario considerar los cambios posteriores en las circunstancias (y la pertinencia de dichas pruebas objetivas) que puedan modificar el resultado de la evaluación de la necesidad, lo que podría dar lugar a una supresión anticipada. En caso de que no se tenga conocimiento positivo de que existe un vínculo objetivo, no hay justificación para almacenar la información por más tiempo y los datos deben eliminarse. Esto también incluye los casos en los que es evidente que no se realizarán más análisis o investigaciones. La evaluación de si el tratamiento continuado de datos individuales sigue siendo necesario y proporcionado para establecer dicha conexión debe realizarse periódicamente.

32. Según el artículo 13(6) de la Directiva PNR, «Los Estados miembros garantizarán que la UIP mantenga registros de al menos las siguientes operaciones de tratamiento: […] Los registros se utilizarán únicamente a efectos de verificación, autocontrol, garantía de la integridad y seguridad de los datos o auditoría». Esto significa que el factor que inicia el período de retención para el registro respectivo depende de la respectiva operación de tratamiento. Cada registro para una operación específica debe eliminarse cinco años después del inicio de la respectiva operación. Por lo tanto, la Sentencia PNR solo limita el plazo dentro del cual pueden ocurrir tales operaciones. Por lo tanto, el período de retención de registros/registros y otra documentación de cinco años sigue siendo válido.

3 OBSERVACIONES FINALES

33. La Directiva PNR, tal como se interpretó e implementó antes de la Sentencia PNR, implicó interferencias con millones de interesados ​​en toda la UE, que el TJUE ha determinado que en parte no cumplían con la Directiva. Esto resalta la urgencia de aspirar al cumplimiento de los requisitos de la Directiva PNR a la luz de la Sentencia PNR.
34. Hasta donde sabe el CEPD, algunos Estados miembros han iniciado el proceso de adaptación, pero aún existe una falta sustancial de esfuerzos de implementación en todos los Estados miembros. Por lo tanto, el CEPD desea subrayar la necesidad de que los Estados miembros adapten la aplicación práctica del sistema PNR a la sentencia del TJUE en la Sentencia PNR, pero también de implementar la interpretación restrictiva establecida por el TJUE identificando y ejecutando los cambios necesarios en sus leyes nacionales. El CEPD ha establecido en esta Declaración algunas recomendaciones prácticas que, en su opinión, deberán reflejarse en las leyes de los Estados miembros que transpongan la Directiva PNR para dar efecto a las conclusiones del TJUE en la Sentencia PNR. Esto debe finalizarse oportunamente.
35. El CEPD desea hacer referencia a la responsabilidad de la Comisión de supervisar la aplicación de la Directiva PNR en las leyes nacionales de conformidad con la Sentencia PNR. Además, el CEPD considera necesario garantizar la conformidad de las leyes y prácticas nacionales con la Directiva PNR a la luz de la Sentencia PNR. Con esta Declaración, el CEPD pretende apoyar a los Estados miembros en este importante proceso. En caso de incompatibilidad, las autoridades nacionales de control se reservan el derecho a tomar las medidas oportunas.

Por el Comité Europeo de Protección de Datos

La Presidenta (Anu Talus)

[1]  https://www.edpb.europa.eu/our-work-tools/our-documents/statements/statement-implications-cjeu-
judgment-c-81719-use-pnr-member en .

[2] Sentencia de 21 Junio 2022, C-817/19, EU:C:2022:491. para. 128.

[3] cf. ibid, para 129-131.

[4] Ibid., para. 131.

[5] Ibid., para. 156.

[6] Ibid., para. 155f.

[7] Ibid., para. 152.

[8] Ibid., para. 156f, also cf. para. 191.

[9] Ibid, para. 125 and 251.

[10] Ibid., para. 204.

[11]  Cf. ibid., para. 151f.

[12] Ibid., para. 220.

[13] Ibid., para. 221.

[14] Ibid., para. 167.

[15] Ibid., para. 168f.

[16] En marzo de 2024, el Parlamento Europeo y el Consejo acordaron dos Reglamentos sobre información anticipada sobre pasajeros (API): el Reglamento (UE) 2025/12, relativo a la recopilación y transferencia de información anticipada sobre pasajeros para mejorar y facilitar las inspecciones en las fronteras exteriores, por el que se modifican los Reglamentos (UE) 2018/1726 y (UE) 2019/817 y se deroga la Directiva 2004/82/CE del Consejo, y el Reglamento (UE) 2025/13, relativo a la recopilación y transferencia de información anticipada sobre pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves, y por el que se modifica el Reglamento (UE) 2019/818. Los Reglamentos se ajustan a las normas aplicables al tratamiento de los datos PNR, tal como se establece en la Directiva PNR. Tienen en cuenta las interpretaciones realizadas en la Sentencia PNR en relación con el tratamiento de los datos PNR para vuelos intracomunitarios. En caso de posible solapamiento entre el Reglamento y las normas de la Directiva PNR, prevalecen las normas del Reglamento, considerando que se trata tanto de lex specialis como de lex posterior. El artículo 13 del Reglamento (UE) 2025/13 establece criterios específicos para la selección de vuelos intracomunitarios si los Estados miembros deciden aplicar la Directiva PNR y el Reglamento API a dichos vuelos. Los criterios mencionados se ajustan a la Sentencia PNR, tal como se interpreta en esta Declaración.

[17] Ibid., para. 158ff.

[18] Ibid., para. 169.

[19] Ibid., para. 169; cf. also recital 15 of the PNR Directive.

[20] Ibid., para. 169

[21] Ibid., para. 169.

[22]  Ibid., para. 171

[23] Cf. ibid., para. 172, 174.

[24] Cf. ibid., para. 172.

[25] Ibid., para. 172, 174.

[26]  Ibid., para. 209-211.

[27]  Ibid., para. 210f.

[28]  Ibid., para. 210.

[29]  Ibid., para. 210.

[30]  Ibid., para. 210.

[31] Ibid., para. 223.

[32] Ibid., para 225.

[33] Ibid., para 226.

[34] Ibid., para. 259.

[35] Ibid., para. 251.

[36] Ibid., para. 252.

[37] Ibid., para. 254.

[38] Ibid., para. 253.

[39] Ibid., para. 255.

[40]  Ibid., para. 256.

[41] Ibid., para. 254 in conjunction with 251; para. 257.

[42] Ibid., para. 259.

[43] Ibid., para. 258.

[44] Ibid., para. 259f.