artículo 29 - grupo de trabajo sobre protección de datos

Anuncio
ARTÍCULO 29 - GRUPO DE TRABAJO SOBRE PROTECCIÓN DE
DATOS
5032/01/ES/final
WP 49
Documento de trabajo
Práctica recomendada IATA 1774
«Protección de la vida privada y los flujos transfronterizos de
los datos personales utilizados en el transporte aéreo
internacional de pasajeros y mercancías»
Aprobado el 14 de septiembre de 2001
El Grupo de Trabajo se creó en virtud del artículo 29 de la Directiva 95/46/CE. Se trata del órgano consultivo independiente de la UE
sobre protección de los datos y la vida privada. Sus tareas se definen en el artículo 30 de la Directiva 95/46/CE y en el artículo 14 de
la Directiva 97/66/CE. La secretaría encargada es la siguiente:
Comisión Europea, DG Mercado Interior, Funcionamiento e Impacto del Mercado Interior. Coordinación. Protección de Datos.
Rue de la Loi 200, B-1049 Bruxelles/Wetstraat 200, B-1049 Brussel - Bélgica - Despacho: C100-6/136
Dirección Internet: http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm
EL GRUPO DE PROTECCIÓN DE LAS PERSONAS EN LO QUE RESPECTA AL
TRATAMIENTO DE DATOS PERSONALES
Creado en virtud de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24
de octubre de 1995 1 ,
Vistos el artículo 29 y los apartados 1, letra a), y 3 del artículo 30 de dicha Directiva;
Visto su Reglamento interno y, en particular, sus artículos 12 y 14,
Ha aprobado el presente documento de trabajo:
Introducción
En 1997, la IATA presentó al Grupo de trabajo la «Práctica recomendada 1774, relativa a
la protección de la vida privada y los flujos transfronterizos de los datos personales
utilizados en el transporte aéreo internacional de pasajeros y mercancías (RP 1174)», con
vistas a su aprobación como código de conducta comunitario de conformidad con el
apartado 3 del artículo 27 de la Directiva 95/46/CE2 .
El Grupo de trabajo decidió en su 11ª reunión, que tuvo lugar el 10 de septiembre de
1998, estudiar este proyecto de código y crear una comisión encargada de preparar el
dictamen del Grupo de trabajo sobre la RP 1774 3 . La IATA facilitó la exposición de
motivos y una traducción en lengua francesa en octubre de 1998.
Formaban parte de la comisión la Sra. Georges (CNIL, Francia), la Sra. Lacoste
(Commission de la protection de la vie privée, Bélgica) y el Sr. Dammann
(Bundesbeauftragter für Datenschutz, Alemania).
La comisión estudió el proyecto, lo debatió con la IATA e informó al Grupo de trabajo.
A continuación, la IATA presentó varias versiones revisadas, que se analizaron y se
debatieron de nuevo. Cuando ésta tomó la decisión de que el proyecto no era susceptible
de nuevas modificaciones si había de ser aprobado por sus miembros, la Conferencia de
los servicios al pasajero de la IATA aprobó el RP 1774 en octubre de 2000 4 .
1
Diario Oficial L 281 de 23/11/1995, p. 31, disponible en:
http://europa.eu.int/comm/internal_market/en/dataprot/index.htm
2
Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la
protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos, DO L 281, 23 de noviembre de 1995, p. 31. Disponible en:
http://www.europa.eu.int/comm/Internal_market/en/index.htm
3
En la misma reunión, el Grupo de trabajo aprobó el documento (WP 13 (504/98), titulado: «Labor
futura en relación con los códigos de conducta: documento de trabajo sobre el procedimiento de
examen de los códigos de conducta comunitarios por el Grupo de Trabajo», aprobó el 10 de
septiembre de 1998, disponible en: véase la nota 1.
4
Véase el anexo I (y/o el sitio Internet de la IATA, etc.)
2
El presente documento, redactado por la comisión, refleja la opinión del Grupo de trabajo
sobre protección de datos del artículo 29 sobre la RP 1774 aprobada por la IATA.
Práctica recomendada 1774
La RP 1774 es una recomendación aprobada por miembros de la IATA en el ámbito de la
Conferencia de los servicios al pasajero que, por consiguiente, sólo compromete a dichos
miembros. En particular, no afectan a la RP 1774 los requisitos aplicables a los sistemas
informatizados de reserva y agencias de viajes, que entran en el ámbito del nuevo
Reglamento nº 323/1999 del Consejo, de 8 de febrero de 1999, por el que se modifica el
Reglamento nº 2299/89 relativo a un código de conducta para los sistemas
informatizados de reserva (SIR).
Por su propia naturaleza, las prácticas recomendadas no son vinculantes, de modo que no
existen mecanismos para instar su cumplimiento. Debe quedar claro que no es la
Secretaría de la IATA quien impone las resoluciones y prácticas recomendadas, sino los
miembros de la IATA, que las aprueban voluntariamente reunidos en el foro democrático
de las conferencias.
Una práctica recomendada no es en muchos casos más que una sugerencia de marco, que
cada miembro adapta conforme a los preceptos nacionales y a sus propias prácticas
comerciales. Sirva de ejemplo la RP 1724 relativa a las condiciones del transporte.
Algunos transportistas han adoptado estas condiciones tal cual, sin modificarlas. Muchos
otros las han utilizado, sin embargo, como modelo adaptándolas a la legislación nacional
y a su entorno comercial. Del mismo modo, la RP 1774 se presentará a la aprobación de
las compañías aéreas de la IATA (a través de la Conferencia de los servicios al pasajero),
que tendrán no obstante libertad para crear su propio código de conducta de cara a sus
propios clientes, y de conformidad con los preceptos legales y reglamentarios nacionales.
Tampoco debe la IATA, obviamente, imponer comportamientos comerciales a sus
miembros para no incurrir en prácticas monopolísticas.
Teniendo en cuenta lo anterior, la RP 1774 no se ha concebido en principio para ser el
código de conducta definitivo de las compañías aéreas que forman parte de la IATA, sino
para destacar algunos de los aspectos principales de la Directiva de protección de datos,
así como para servir de directriz a los miembros de la IATA (o a un grupo de ellas)
cuando preparen un código de conducta que deba presentarse ante las autoridades de
protección de correspondientes. Cada uno de los miembros de la IATA (o grupo de
miembros) tendrá que abordar específicamente otros aspectos (la descripción detallada de
la utilización que hace de los datos, los procedimientos de ejecución, etc.), de acuerdo
con leyes y reglamentos nacionales y teniendo en cuenta el entorno cultural, las prácticas
comerciales y la orientación del servicio.
La última versión de la RP 1774 aborda en tres artículos las definiciones (artículo 1), el
ámbito (artículo 2) y los principios (artículo 3) referentes a la calidad de los datos,
información, el derecho de acceso, las categorías especiales de datos, la notificación a las
autoridades de control, la seguridad de los datos y las transferencias a terceros países.
Artículo 1 - Definiciones
3
Las definiciones se ajustan ahora al tenor de la Directiva 95/46/CE.
Artículo 2 - Ámbito
El artículo 2, referente al ámbito, aclara que los miembros tienen que cumplir las leyes
nacionales y si la exigencia de éstas fuere mayor, entonces tendrán que aplicar medidas
más rigurosas o complementarias.
Artículo 3 - Calidad de los datos
Se ha mejorado el principio de calidad de los datos respecto de la versión inicial
incluyendo una lista de los fines a que se destinan habitualmente los datos personales
recogidos por las compañías aéreas (art. 3.1.2). Otras mejoras respecto del texto inicial
son la limitación del tiempo para almacenar datos identificables, aunque de manera
general, y la útil distinción que se efectúa entre el registro de reservas en línea (sólo el
tiempo necesario para prestar el servicio) y el almacenamiento fuera de línea (si lo exige
la ley), conforme a lo propuesto por la comisión. Sin embargo, este precepto tendría más
sentido si el texto se refiriese más específicamente a la aplicación concreta del principio
de limitación de los fines y la prohibición de las utilizaciones incompatibles (letra b) del
apartado 1 del artículo 6 de la Directiva 95/46/CE).
El apartado 3 del artículo 3 de la RP 1774 reitera el tenor del artículo 10 de la Directiva,
pero sin dar ejemplos concretos. El Grupo de trabajo considera que la IATA podía haber
recomendado que se considere necesaria la información sobre el derecho de acceso para
garantizar su legítimo tratamiento, y que dicha información se exhiba en los billetes
(véase también más adelante: mención a la RP 1774 en la Resolución 724).
Transferencias de datos a los terceros países en virtud del apartado 7 del artículo 3
Se ha logrado una clara mejora al explicar la importancia que las transferencias
internacionales de datos tienen para los servicios que prestan las compañías aéreas.
El Grupo de trabajo recuerda las Decisiones de la Comisión por las que se declara que
Suiza, Hungría y el acuerdo de «puerto seguro» de los Estados Unidos proporcionan la
protección5 adecuada. Las compañías aéreas entran en el ámbito de la Decisión de
«puerto seguro» por lo que es preciso animarlas a que se adhieran a él.
Por lo que se refiere a las transferencias a países o sectores distintos de los cubiertos por
el acuerdo de «puerto seguro» de los EE.UU., la IATA opina que las transferencias de
datos personales a terceros países son necesarias para la prestación del contrato entre la
compañía aérea y el pasajero, por lo que se benefician de la excepción prevista en la letra
b) del apartado 1 del artículo 26 de la Directiva 95/46/CE. La IATA considera que
podrían también fundamentar la transferencia otras posibles excepciones, como las que
contempla el apartado 1 del artículo 26, tanto en su letra d) (transferencia necesaria o
legalmente exigida para la salvaguardia de un interés público importante, o para el
reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial), como
5
Véase el DO L 215 de 25.8.2000.
4
en su letra e) (transferencia necesaria para la salvaguardia del interés vital del
interesado). Según la IATA, estas excepciones abarcan situaciones que son habituales en
el sector de la aviación y podrían servir de fundamento de las transferencias a terceros
países. La redacción del apartado 7 del artículo 3 de la RP 1774 deja por tanto a los
miembros la decisión de apreciar si es necesario obtener el consentimiento del interesado
para garantizar la legitimidad del tratamiento.
En su documento de trabajo sobre las transferencias de datos personales a terceros
países 6 , el Grupo de trabajo señaló que la excepción contenida en la letra b) del apartado
1 del artículo 26 de la Directiva 95/46/CE podía aplicarse a aquellas transferencias que
resultasen necesarias para reservar un billete de avión a un pasajero. Sin embargo, según
este mismo documento de trabajo, es necesario indicar claramente los datos que son
realmente necesarios a este efecto, asegurarse de que están cubiertos por el
consentimiento contractual del interesado y de que los datos se tratan (transfieren) tan
sólo para esta finalidad claramente señalada. El Grupo de trabajo, por tanto, recuerda en
primer lugar que el Derecho interno aplicable al responsable del tratamiento debe
contemplar las excepciones mencionadas en el artículo apartado 1 del artículo 26 y, en
segundo lugar, que su aplicación está siempre sujeta a la «prueba de necesidad» (la
transferencia debe ser necesaria para lograr un objetivo determinado, que no puede
lograrse sin efectuarla). Es preciso, pues, llevar a cabo un cuidadoso análisis casuístico
cuando se plantee una de las excepciones mencionadas en el apartado 1 del artículo 26.
El Grupo de trabajo considera que la letra e) del apartado 1 del artículo 26, por ejemplo,
(transferencia necesaria para proteger los intereses vitales del interesado) es de aplicación
sólo en circunstancias muy excepcionales y que las compañías aéreas no deberían
llamarse a engaño sobre el alcance de esta excepción. Habría sido útil establecer una
distinción más clara entre los casos mencionados en el apartado 1 del artículo 26 de la
Directiva 95/46/CE y explicar en qué condiciones pueden éstos servir de fundamento
para las transferencias de la RP 1774.
Al Grupo de trabajo le gustaría recordar que las soluciones contractuales pueden amparar
las transferencias de datos personales a terceros países que no ofrezcan un nivel adecuado
de protección (véase el apartado 2 del artículo 26 de la Directiva 95/46/CE). La
Comisión Europea dará pronto a conocer las cláusulas contractuales tipo, que ofrecerán
protección suficiente, siguiendo la recomendación del Grupo de trabajo y del Comité del
artículo 31 (véase el apartado 4 del artículo 26 de la Directiva 95/46/CE).
Los miembros de la IATA deberían tener en cuenta al aplicar la RP 1774 las
explicaciones dadas anteriormente.
Acceso general a los datos sobre las reservas
La comisión criticó que los miembros de la IATA tengan acceso a todos los datos sobre
las reservas desde cualquier punto del mundo. En este contexto, la IATA explicó las
diferencias que hay entre los datos sobre los equipajes y los datos sobre las reservas.
Las demás compañías aéreas participantes en el itinerario sólo pueden acceder a los datos
sobre los equipajes después de la facturación. En los casos de pérdida, el pasajero
transmite voluntariamente la información sobre su equipaje a los servicios de búsqueda.
6
WP 12: Transferencias de datos personales a terceros países: aplicación de los artículos 25 y 26 de
la Directiva sobre protección de datos de la UE (adoptada el 24 de julio de 1998).
5
En otra Práctica recomendada de carácter técnico se fija el procedimiento de búsqueda de
los equipajes extraviados. 7
En cuanto a los datos sobre las reservas, las compañías aéreas están obligadas a mantener
el secreto de las reservas que hayan efectuado. Si la reserva efectuada por la compañía
aérea A supone viajar en la compañía aérea B, la compañía aérea A enviará a la
compañía aérea B un teletipo con datos sobre la reserva correspondiente. Dichos datos
comprenderán el nombre del pasajero, el vuelo reservado en la compañía aérea B y el
anterior, así como cualquier petición especial. Sólo deberían guardarse en línea el tiempo
necesario para prestar el servicio y, fuera de línea, lo que exija la ley (véase más arriba el
comentario sobre el artículo 3 de la RP 1774).
La IATA justificó este sistema por la necesidad de que otras compañías aéreas, u otras
agencias de la misma compañía aérea, dispongan de los datos en caso de que se produzca
un cambio de los vuelos. Aunque comprende que este sistema es necesario, el Grupo de
trabajo desearía recordar que cuando los datos personales, incluidos los de carácter
delicado, pueden consultarse en todo el mundo, es necesario aplicar medidas de
seguridad técnicas y organizativas tendentes a prevenir las consultas no autorizadas y la
violación de dichos datos.
Legitimidad del tratamiento
La práctica recomendada no menciona la cuestión de la legitimidad del tratamiento
(artículo 7 de la Directiva). El Grupo de trabajo recuerda que, en la medida en que es
necesario para la prestación de un servicio, el tratamiento de los datos personales es
legítimo de conformidad con la letra b) del artículo 7 cuando se hubiere celebrado
contrato con el pasajero potencial. En ausencia de tal contrato, solamente sería legítimo si
el particular da su consentimiento (letra a) del artículo 7) o siempre que no prevalezcan el
interés o los derechos del interesado (letra f) del artículo 7).
Ausencia de disposiciones de aplicación
La RP 1774 no contempla mecanismo alguno de aplicación, circunstancia ésta que fue
objeto de crítica por la comisión. La IATA respondió explicando que no tiene atribuidas
funciones de control ni ningún otro tipo de autoridad sobre sus miembros. Se limita a
proponer directrices que, incluso en el caso de que se adopten bajo los auspicios de la
IATA, corresponde a los miembros decidir cuando y cómo (plena o parcialmente) se
aplican a la propia práctica empresarial. La IATA no puede ejercer medidas de coerción
contra sus miembros. No obstante, éstos son responsables según las leyes nacionales
aplicables y sus contratos con los pasajeros. La IATA por lo tanto propone añadir una
mención a las directrices sobre la protección de datos en las directrices sobre las
condiciones generales de transporte (véase el siguiente apartado).
Puede resultar útil estudiar la posibilidad de efectuar auditorías internas a los miembros
de la IATA que pongan en práctica la RP 1774.
7
RP 1743a - Procedimiento de búsqueda de equipajes facturados en caso de pérdida
6
Practica recomendada 1724 relativa a las condiciones generales de transporte
(pasajeros y equipajes)
Esta práctica recomendada fija las condiciones generales que cada compañía aérea ha de
incluir, como mínimo, en las condiciones generales de sus contratos con los pasajeros.
Como las demás prácticas recomendadas de la IATA, tiene el mismo valor indicativo que
la RP 1774 sobre la protección de datos. En la práctica, cada miembro de la IATA tiene
sus propias condiciones de transporte, que se basan fundamentalmente en la RP 1724.
Por tanto, si se incluye una mención a la RP 1774 sobre la protección de datos en la RP
1724, aumenta la probabilidad de que las compañías aéreas sigan la primera (aunque sin
garantías). Además, al convertirse en parte del contrato entre la compañía aérea y el
pasajero, el problema de la aplicación recibe por lo menos una solución contractual: el
transportista es responsable por contrato con el pasajero del legítimo tratamiento de los
datos conforme a la RP 1774. Además, a tenor del apartado 2 del artículo 2 de la RP
1774, siempre que exista legislación nacional de protección de los datos las compañías
aéreas tienen que cumplirla.
La propuesta de la IATA de incluir una mención a la RP 1774 en la RP 1724 8 tiene el
valor añadido de imponer una obligación contractual a las compañías aéreas que escapen
al ámbito de la Directiva 95/46/CE y hubieren incorporado este precepto. Se trata de un
importante avance que debería fomentarse.
Al mismo tiempo, esta inclusión constituiría una forma de conocer la política de
protección de los datos y la vida privada de la compañía aérea, pues la mayor parte de
ellas basan sus propias condiciones de transporte en la RP 1724, referente a las
condiciones generales de transporte, las cuales, tras la revisión, incluirían una mención a
la RP 1774 sobre la protección de los datos. Las condiciones de transporte de la
compañía aérea quedan incluidas con la mención que se hace de ellas en las condiciones
contractuales. Al disponer del texto de las condiciones de transporte, el pasajero puede
leer la mención a la política de protección de los datos y la vida privada de la compañía
aérea y pedir el texto correspondiente que, teóricamente, seguirá la RP 1774. Esta forma
de informar al pasajero es, no obstante, menos directa que otra opción que se explica en
el apartado siguiente.
Resolución 724 relativa al billete - aviso y las condiciones contractuales
También se debatió incorporar una mención a la confidencialidad de los datos en los
billetes de las compañías aéreas. La Resolución 724 relativa al billete - aviso y las
condiciones contractuales establece los elementos que han de indicarse, como mínimo,
en el billete de avión. Incluir una mención a la RP 1774 en dicha Resolución tendía como
consecuencia que figurase en el propio billete tal información. El pasajero tendría así la
posibilidad de conocer directamente por el billete dónde obtener información sobre la
política de protección de los datos y la vida privada de la compañía aérea, y si aquella
existe, sobre su contenido. El Grupo de trabajo considera que esto representaría una clara
mejora en cuanto a la transparencia y la protección del pasajero, pues en todos los billetes
aparecería una mención a la política del transportista en materia de confidencialidad de
los datos. Puesto que la aprobación de las resoluciones requiere la unanimidad de todas
8
Esta inclusión sería conforme con el apartado 3 del artículo 5 de la RP 1724, por el que se informa al
pasajero que al facilitar sus datos personales, admite que puedan utilizarse para los fines indicados. Los
mismos fines se citan a título de ejemplo en el apartado 1 del artículo 3 de la RP 1774, referente a la
«Calidad de los datos».
7
las compañías aéreas que forman parte de la IATA y, en este caso, supondría modificar
todos los billetes en el mundo, la IATA ha señalado que no es una solución realista a
corto plazo.
Postura de la IATA
Habida cuenta de lo que precede, la IATA entendió que la RP 1774 no reuniría las
condiciones exigidas para ser considerada código de conducta comunitario a tenor del
apartado 3 del artículo 27 de la Directiva 95/46/CE. La IATA no insistió, por tanto, en
obtener el dictamen formal que contempla dicho apartado.
La IATA subraya sin embargo el valor práctico de la RP 1774 revisada, que sirvió de
directriz, en su versión anterior, para sus miembros durante muchos años. Opina que la
RP 1774, revisada a la luz de la Directiva 95/46/CE y aceptada ya por la Conferencia de
los servicios al pasajero, constituye una referencia importante para sus miembros y una
herramienta mucho más útil para impulsar la protección de las personas en lo que
respecta al tratamiento de sus datos personales en el sector del transporte aéreo mundial.
La IATA se compromete, por tanto, a instar a sus miembros la aplicación de la RP 1774
en sus normas y prácticas empresariales.
La IATA también estudia tomar otras medidas con vistas a la aplicación de la RP 1774.
Conforme a la propuesta del Grupo de trabajo, podría hacerse una mención a dicha
práctica recomendada en las condiciones generales de transporte cuando se revise la
Resolución 1724. Dicha mención constituiría un gran avance en el sentido de que hará
más probable la aplicación de la RP 1774, si los miembros de la IATA siguen la
Resolución 724 relativa a los contratos (aunque no están obligados a ello por que dicha
Resolución tampoco tiene carácter vinculante, todos los transportistas tienen que
disponer de condiciones generales y por tanto tenerla muy en cuenta). Este proceder daría
también una gran visibilidad a la RP 1774 porque sería preciso mencionarla en los
billetes. En la práctica, sería preciso cambiar todos los billetes. La modificación de la
Resolución 724 requiere la aprobación unánime de los 266 miembros de la IATA.
Conclusiones
El Grupo de trabajo acoge con satisfacción la iniciativa de la IATA y su compromiso de
señalar a sus miembros principios comunes para garantizar la protección del derecho
fundamental a la vida privada de los pasajeros, permitiendo al mismo tiempo los flujos
de datos personales a escala internacional. La Práctica recomendada 1774 podía servir de
fundamento a otros avances y, especialmente en lo que respecta a las transferencias
internacionales, debería utilizarse para invitar a los miembros de la IATA de terceros
países a trabajar para ofrecer la protección adecuada.
El Grupo de trabajo aprecia el compromiso adquirido por la IATA de revisar la Práctica
recomendada 1724, sobre las condiciones generales de transporte, para incorporarle una
mención directa a la Práctica recomendada 1774 relativa a la protección de los datos.
Con este proceder, la IATA contribuye a la sensibilización sobre los problemas de
protección de los datos, fomentando su adopción en la relación contractual entre las
compañías aéreas y los pasajeros, que reviste particular importancia en el caso de los
miembros de la IATA no pertenecientes a la UE.
8
El Grupo de trabajo anima a la IATA a escoger la opción de incluir en el propio billete
una mención a la protección de los datos y la vida privada y, a este efecto, revisar la
Resolución 724 relativa al billete - aviso y las condiciones contractuales.
El Grupo de trabajo desearía también invitar a la IATA a abordar el problema de los
programas para viajeros asiduos. Hay que informar claramente a los pasajeros sobre la
finalidad de este tipo de tratamiento, la manera concreta en que se utilizan sus datos y por
quién, de forma que los pasajeros puedan rechazarlo. Además, las compañías aéreas
tienen que asegurarse de que tan sólo tengan acceso a los datos personales aquellas
personas que participen directamente en la prestación del servicio solicitado por el
pasajero, y no todos los potenciales participantes en un programa de esta naturaleza.
El Grupo de trabajo se reserva la posibilidad de dar a conocer nuevos comentarios.
Anexos :
- Práctica recomendada 1774 relativa a la protección de la vida privada y los flujos
transfronterizos de los datos personales utilizados en el transporte aéreo internacional
de pasajeros y mercancías
- Exposición de motivos de la RP 1774
- Práctica recomendada 1724 relativa a las condiciones generales de transporte
(pasajeros y equipajes)
- Resolución 724 relativa al billete - aviso y las condiciones contractuales
Hecho en Bruselas, el 14 de septiembre
de 2001
Por el Grupo de trabajo
El Presidente
Stefano RODOTA
9
Descargar