Categoría Top Descargas
Iniciar sesión Registrarse Subir

El tratamiento de datos PNR en tiempos de datos masivos (\'Big Data\') - un análisis desde la perspectiva de las Sentencias \'Digital Rights Ireland\' y \'Tele2 Sverige\' del TJUE

May 24, 2017 | Autor: Manuel David Masseno | Categoría: PERSONAL DATA PROTECTION, Travel and Tourism Industry, Privacy and data protection, Big Data, Passenger Name Records (PNR), Big Data / Analytics / Data Mining, Airline PNR, Big Data / Analytics / Data Mining, Airline PNR
Share Embed
Laporkan tautan ini


Descripción

El tratamiento de datos PNR en tiempos de datos masivos (Big Data) - un análisis desde la perspectiva de las Sentencias Digital Rights Ireland y Tele2 Sverige del TJUE Palma de Mallorca, 8 de febrero de 2017

Manuel David Masseno 1

El Tratamiento de datos PNR…

Índice: .

1 – Una Nueva Directiva de la Unión Europea

2 – Los datos PNR 3 – Entre Necesidad y Proporcionalidad

4 – Los Datos Masivos (Big Data) 5 – Y habló el Tribunal de Justicia…

2

El Tratamiento de datos PNR…

1 – Una Nueva Directiva de la Unión Europea 

el 4 de mayo, el DOUE publicó la Directiva (UE) 2016/681, de 27 de abril de 2016, relativa a la utilización de los datos por en la lucha contra el terrorismo y la delincuencia grave 

cerrando un procedimiento legislativo largo: 





se inició con el Programa de Estocolmo, del Consejo Europeo, “Una Europa abierta y segura que sirva y proteja al ciudadano” (2010/C 115/01, de 4 de mayo de 2010) dio lugar a la Propuesta de Directiva relativa a la utilización de datos del registro de nombres de los pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos terroristas y delitos graves (COM(2011) 32 final, 4 de febrero de 2011) fue reabierto con la Resolución del Parlamento Europeo sobre las medidas de lucha contra el terrorismo, de 11 de febrero de 2015, y con la Agenda Europea de Seguridad (COM (2015) 185, de 28 de abril de 2015), siendo la adopción precipitada por los atentados de Paris, de 13 de noviembre 3

El Tratamiento de datos PNR… 



con antecedentes: 

la Propuesta de Decisión Marco del Consejo sobre utilización de datos del registro de nombres de los pasajeros (Passenger Name Record - PNR) con fines represivos (COM(2007) 654 final, de 6 de noviembre 2007)



además de los Acuerdos con los Estados Unidos, de 2004 y 2007, Canadá, de 2005, y Australia, de 2008

en el marco del Nuevo Microsistema de Protección de Datos: 



centrado en el Art. 16 del Tratado sobre el Funcionamiento de la UE y los Art. 7 y 8 de la Carta de los Derecho Fundamentales de la Unión Europea, con el Tratado de Lisboa, de 2007 y 2009 densificada por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) 

la Directiva (UE) 2016/680, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales



y la Propuesta de Reglamento sobre la privacidad y las comunicaciones electrónicas (COM(2017) 10 final, de 10 de enero de 2017) 4

El Tratamiento de datos PNR…

2 – Los datos PNR 

la definición legal (Art. 3º 5) de la Directiva (UE) 2016/681) 



“una relación de los requisitos de viaje impuestos a cada pasajero, que incluye toda la información necesaria para el tratamiento y el control de las reservas por parte de las compañías aéreas que las realizan y participan en el sistema PNR, por cada viaje reservado por una persona o en su nombre, ya estén contenidos en sistemas de reservas, en sistemas de control de salidas utilizado para embarcar a los pasajeros en el vuelo o en sistemas equivalentes que posean las mismas funcionalidades” y detallados en el Anexo I: 

“1. Localizador de registro PNR



2. Fecha de reserva/emisión del billete



3. Fecha(s) fechas de viaje prevista(s)



4. Nombre(s) y apellido(s)



5. Dirección y datos de contacto (número de teléfono, dirección de correo electrónico)



6. Todos los datos de pago, incluida la dirección de facturación



7. Itinerario completo del viaje para el PNR específico

5

El Tratamiento de datos PNR… 

8. Información sobre viajeros asiduos



9. Agencia de viajes/operador de viajes



10. Situación de vuelo del pasajero: confirmaciones, facturación, no comparecencia o pasajeros de última hora sin reserva



11. Información PNR escindida/dividida



12. Observaciones generales (incluida toda la información disponible sobre menores de 18 años no acompañados, como nombre y sexo del menor, edad, idiomas que habla, nombre, apellidos y dirección de contacto del acompañante en el aeropuerto de salida y vínculo con el menor, nombre, apellidos y dirección de contacto del acompañante en el aeropuerto de llegada y vínculo con el menor, agente en el lugar de salida y de llegada)



13. Información sobre el billete, incluidos el número del billete, la fecha de emisión, los billetes solo de ida y la indicación de la tarifa de los billetes electrónicos (Automatic Ticket Fare Quote)



14. Datos del asiento, incluido el número



15. Información sobre códigos compartidos



16. Toda la información relativa al equipaje



17. Número de viajeros y otros nombres de viajeros que figuran en el PNR



18. Cualquier información recogida en el sistema de información anticipada sobre los pasajeros (sistema API) (incluidos el tipo, número, país de emisión y fecha de expiración de cualquier documento de identidad, nacionalidad, apellidos, nombre, sexo, fecha de nacimiento, compañía aérea, número de vuelo, fecha de salida, fecha de llegada, aeropuerto de salida, aeropuerto de llegada, hora de salida y hora de llegada)



19. Todo el historial de cambios de los datos PNR indicados en los números 1 a 18.”

6

El Tratamiento de datos PNR… 

en síntesis, es necesario retener que: 

son “datos personales”: 





id est, “toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona” (Art. 4º 1) del Reglamento General sobre Protección de Datos)

las compañías aéreas y los GDS - Sistemas de Distribución Global, también con acceso por parte de las Agencias y los Operadores de Viajes, los utilizan desde hace años para administrar y optimizar las reservas, además de para promocionar sus ventas se trata de uno de los sectores de adopción temprana de herramientas de análisis de datos masivos (Big Data), lo que conlleva especiales cuidados para la protección de esos datos 7

https://www.youtube.com/watch?v=WDyNxuP4FIM

El Tratamiento de datos PNR…

3 – Entre Necesidad y Proporcionalidad  



además de haber sido adoptada después de Lisboa… la Directiva intenta conciliar dos inquietudes ciudadanas: la de Seguridad, frente al terrorismo y los delitos graves, y la de la Vigilancia permanente, por los Estados, como resulta, detalladamente, de la Agenda Europea de Seguridad un equilibrio en entredicho, a lo largo de los años, por: 



el Dictamen conjunto sobre la propuesta de Decisión marco del Consejo relativa al uso del registro de nombres de los pasajeros («Passenger Name Record» - PNR) a efectos de la aplicación de la ley, presentado por la Comisión el 6 de noviembre de 2007, del Grupo de trabajo del artículo 29 y del Grupo de trabajo sobre Policía y Justicia, de 5 y 18 de diciembre de 2007 el Dictamen 7/2010 relativo a la Comunicación de la Comisión Europea sobre el enfoque global de las transferencias de datos de los registros de nombres de los pasajeros (PNR) a terceros países, del Grupo de trabajo del artículo 29, de 12 de noviembre de 2010, 8

https://www.youtube.com/watch?v=WDyNxuP4FIM

El Tratamiento de datos PNR…











la Sentencia Parlamento Europeo/Consejo de la Unión Europea y Parlamento Europeo / Comisión de las Comunidades Europeas (Asuntos acumulados C-317/04 y C-318/04), de 30 de mayo de 2006 el Dictamen del Supervisor Europeo de Protección de Datos acerca de la propuesta de Decisión marco del Consejo sobre utilización de datos del registro de nombres de los pasajeros (Passenger Name Record — PNR) con fines coercitivos, de 20 de diciembre de 2007 los Dictámenes del Supervisor Europeo de Protección de Datos sobre la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la utilización de datos del registro de nombres de los pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos terroristas y delitos graves, de 25 de marzo de 2011 y de 25 de setiembre de 2015 y, sobretodo, la Sentencia Digital Rights Ireland (Asuntos acumulados C293/12 y C-594/12), de 8 de abril de 2014, seguida por la Sentencia Schrems (Asunto C-362/14), de 6 octubre de 2015

9

https://www.youtube.com/watch?v=WDyNxuP4FIM

El Tratamiento de datos PNR… 

que la lucha contra el terrorismo y los delitos graves sea un criterio susceptible de limitar los Derecho Fundamentales, no resulta controvertido 



asi, las Sentencias Kadi (Asuntos acumulados C-402/05 P y C-415/05), de 3 de setiembre de 2008, Al-Aqsa (Asuntos acumulados C-539/10 P y C550/10 P), de 15 de noviembre de 2012, para el terrorismo y Tsakouridis (Asunto C-145/09), de 23 de noviembre de 2010, para los delitos graves

el problema está en la necesidad y, sobretodo, en la proporcionalidad de las restricciones, con referencia al Art. 52º de la Carta de los Derechos Fundamentales: 



con un discurso legitimador, incluso redundante, de las opciones asumidas, en los Considerandos (15, 20, 22, 25 y 37) con un diseño de la normativa que intenta responder, una por una, a las objeciones del TJUE en la Sentencia Digital Rights Ireland:  identificación de cuales son los “delitos graves” (Art. 3º 9) y Anexo II) 10

https://www.youtube.com/watch?v=WDyNxuP4FIM

El Tratamiento de datos PNR…  









limitación a los “vueles exteriores de la UE” (Art. 1º n. 1 a) exclusión del tratamiento de datos sensibles, incluso por parte de las compañías aéreas ((Art. 6º n. 4 y Art. 13º n. 4) estricta vinculación funcional en el tratamiento (Art. 1º n. 2 y Art. 6.º n. 1 y 2) limitación del período de conservación de los datos, sobretodo sin despersonalización (Art. 12º n. 1, 2, 4 y 5) despersonalización por enmascaramiento, con un acceso a los datos completos determinado o por un autoridad judicial o por otra nacional competente (Art. 3º 10) y Art. 12.º n. 2 y 3) designación de un responsable de la protección de datos, con poderes y medios efectivos (Art. 5º)

y 

previsión de garantías de seguridad, con tratamiento en el territorio de los Estados miembros (Art. 6º n. 8) 11

El Tratamiento de datos PNR…

4 – Los Datos Masivos (Big Data) 

un preentendimiento: el objetivo fundamental de la Directiva consiste en pasar a tener a disposición de las Policías, y de los Servicios de Inteligencia, una base de datos masivos, de larga duración, que permita prevenir, más incluso que sancionar, actos terroristas o de criminalidad grave, sobretodo de origen internacional, por personas aun no identificadas, siquiera, como sospechosas (Considerandos 7 y 25 y Art. 6º y 12º) 



lo que se consigue creando una base única nacional, gestionada por una Unidad de información sobre Pasajeros, y el intercambio con otros Estados miembros, directamente o a través de Europol (Art. 4º y Art. 10º) así se podrán crear perfiles de todos los pasajeros, además de correlacionarlos, incluso con otras bases de datos (Art. 6º n. 3 a), como admite la, muy reciente, Sentencia Breyer (Asunto C-582/14), de 19 de octubre de 2016 12

El Tratamiento de datos PNR… 

por esa misma razón: 







no fueron considerados como suficientes los “datos API – información anticipada sobre los pasajeros” (Directiva 2004/82/CE, del Consejo de 29 de abril, sobre la obligación de los transportistas de comunicar los datos de las personas transportadas) el “localizador de registro PNR” no consta de los datos a despersonalizar, por facilitar mucho la indexación (Art. 12º n. 2) la exclusión de los “datos sensibles” solamente refiere a los directos, sin tener en cuenta los que constan de las “observaciones generales” ni los que se infieren muy fácilmente (Art. 6.º n. 1 in fine y Art. 13.º n. 4) la revisión de los resultados positivos no constituye una garantía efectiva, atendiendo al modus operandi de las Policías y de la Intelligence, ni siquiera está asegurada la eliminación de lo falso positivos (Art. 6º n. 4 y 5) 13

El Tratamiento de datos PNR… 

además, la “despersonalización” no constituye una herramienta efectiva: 







de hecho, el alerta de Paul Ohm (2009) no ha sido contrarrestado, por lo menos por el momento como también resulta del Dictamen 05/2014, sobre las Técnicas de Anonimización, del Grupo de trabajo del artículo 29, de 10 de abril de 2014 y, incluso más claramente, , además de manera específica del Informe de Dowe Korff sobre “Passenger Name Records, data mining & data protection”, para el Comité Consultivo del Convenio del Consejo de Europa para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal, de junio de 2015 por lo que, no será, técnicamente, necesario que ocurra un acceso a los datos completos determinado o por un autoridad judicial o por otra nacional competente (Art. 3º 10) y Art. 12.º n. 2 y 3), ya que las herramientas de Big Data lo ya hacen posible 14

El Tratamiento de datos PNR…

5 – …y habló el Tribunal de Justicia .



mientras tanto, el 21 de diciembre de 2016, salió la Sentencia Tele2 Sverige (Asunto C-203/15): 





sobre los poderes legislativos de los Estados miembros, en lo que se refiere a los metadatos relativos a comunicaciones electrónicas, continuando y profundizando las Sentencias Digital Rights Ireland y Schrems la Corte de Luxemburgo reusó una relectura política-securitaria de las normas de los Tratados, incluyendo las de la Carta de los Derechos Fundamentales, incluso después los recientes atentados en síntesis extrema, reitera que no se adecua a criterios de proporcionalidad la conservación de todos los datos, sin tener en cuenta los riesgos que resulten de personas o situaciones determinadas

15

El Tratamiento de datos PNR… 







id est, sigue la Jurisprudencia del Tribunal Europeo de Derechos Humanos, en las Sentencias Rotaru (A. 28314/95), de 4 de mayo de 2000, Liberty (A. 5243/00), de 1 de julio de 2008, y, sobretodo, Marper (A. 30562/04 y 30556/04), de 4 de diciembre de 2008

mientas que, la Directiva PNR tiene por objeto metadatos sobre nuestros desplazamientos… lo que acota radicalmente las posibilidades de recibir, conservar y tratar datos PNR, por pasar a limitarlas, con base en criterios objetivos y casi sin utilidad para proceder a análisis predictivas en las demás situaciones, las Policías de los Estados miembros tendrán que utilizar instrumentos como la Conservación rápida de los datos informáticos almacenados y/o el Registro y confiscación de datos informáticos almacenados (Art. 16º y 19.º del Convenio sobre la Ciberdelincuencia, de Budapest, de 23 de noviembre de 2001), con las correspondientes garantías (Art. 15º), lo que permitiría requisar los datos conservados por las compañías areas y los GDS, pero con una lógica simétrica de la de la Directiva y también con poca utilidad para proceder a análisis predictivas 16

El Tratamiento de datos PNR…

Trabajo realizado en el marco del Proyecto: “Big Data, Cloud Computing y otros retos jurídicos planteados por las tecnologías emergentes; en particular, su incidencia en el sector turístico” DER2015- 63595 (MINECO/FEDER)

17

Lihat lebih banyak...

Comentarios

Copyright © 2017 DATOSPDF Inc.