ARTÍCULO 29 - GRUPO DE TRABAJO SOBRE PROTECCIÓN DE DATOS 5032/01/ES/final WP 49 Documento de trabajo Práctica recomendada IATA 1774 «Protección de la vida privada y los flujos transfronterizos de los datos personales utilizados en el transporte aéreo internacional de pasajeros y mercancías» Aprobado el 14 de septiembre de 2001 El Grupo de Trabajo se creó en virtud del artículo 29 de la Directiva 95/46/CE. Se trata del órgano consultivo independiente de la UE sobre protección de los datos y la vida privada. Sus tareas se definen en el artículo 30 de la Directiva 95/46/CE y en el artículo 14 de la Directiva 97/66/CE. La secretaría encargada es la siguiente: Comisión Europea, DG Mercado Interior, Funcionamiento e Impacto del Mercado Interior. Coordinación. Protección de Datos. Rue de la Loi 200, B-1049 Bruxelles/Wetstraat 200, B-1049 Brussel - Bélgica - Despacho: C100-6/136 Dirección Internet: http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm EL GRUPO DE PROTECCIÓN DE LAS PERSONAS EN LO QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES Creado en virtud de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 1 , Vistos el artículo 29 y los apartados 1, letra a), y 3 del artículo 30 de dicha Directiva; Visto su Reglamento interno y, en particular, sus artículos 12 y 14, Ha aprobado el presente documento de trabajo: Introducción En 1997, la IATA presentó al Grupo de trabajo la «Práctica recomendada 1774, relativa a la protección de la vida privada y los flujos transfronterizos de los datos personales utilizados en el transporte aéreo internacional de pasajeros y mercancías (RP 1174)», con vistas a su aprobación como código de conducta comunitario de conformidad con el apartado 3 del artículo 27 de la Directiva 95/46/CE2 . El Grupo de trabajo decidió en su 11ª reunión, que tuvo lugar el 10 de septiembre de 1998, estudiar este proyecto de código y crear una comisión encargada de preparar el dictamen del Grupo de trabajo sobre la RP 1774 3 . La IATA facilitó la exposición de motivos y una traducción en lengua francesa en octubre de 1998. Formaban parte de la comisión la Sra. Georges (CNIL, Francia), la Sra. Lacoste (Commission de la protection de la vie privée, Bélgica) y el Sr. Dammann (Bundesbeauftragter für Datenschutz, Alemania). La comisión estudió el proyecto, lo debatió con la IATA e informó al Grupo de trabajo. A continuación, la IATA presentó varias versiones revisadas, que se analizaron y se debatieron de nuevo. Cuando ésta tomó la decisión de que el proyecto no era susceptible de nuevas modificaciones si había de ser aprobado por sus miembros, la Conferencia de los servicios al pasajero de la IATA aprobó el RP 1774 en octubre de 2000 4 . 1 Diario Oficial L 281 de 23/11/1995, p. 31, disponible en: http://europa.eu.int/comm/internal_market/en/dataprot/index.htm 2 Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, DO L 281, 23 de noviembre de 1995, p. 31. Disponible en: http://www.europa.eu.int/comm/Internal_market/en/index.htm 3 En la misma reunión, el Grupo de trabajo aprobó el documento (WP 13 (504/98), titulado: «Labor futura en relación con los códigos de conducta: documento de trabajo sobre el procedimiento de examen de los códigos de conducta comunitarios por el Grupo de Trabajo», aprobó el 10 de septiembre de 1998, disponible en: véase la nota 1. 4 Véase el anexo I (y/o el sitio Internet de la IATA, etc.) 2 El presente documento, redactado por la comisión, refleja la opinión del Grupo de trabajo sobre protección de datos del artículo 29 sobre la RP 1774 aprobada por la IATA. Práctica recomendada 1774 La RP 1774 es una recomendación aprobada por miembros de la IATA en el ámbito de la Conferencia de los servicios al pasajero que, por consiguiente, sólo compromete a dichos miembros. En particular, no afectan a la RP 1774 los requisitos aplicables a los sistemas informatizados de reserva y agencias de viajes, que entran en el ámbito del nuevo Reglamento nº 323/1999 del Consejo, de 8 de febrero de 1999, por el que se modifica el Reglamento nº 2299/89 relativo a un código de conducta para los sistemas informatizados de reserva (SIR). Por su propia naturaleza, las prácticas recomendadas no son vinculantes, de modo que no existen mecanismos para instar su cumplimiento. Debe quedar claro que no es la Secretaría de la IATA quien impone las resoluciones y prácticas recomendadas, sino los miembros de la IATA, que las aprueban voluntariamente reunidos en el foro democrático de las conferencias. Una práctica recomendada no es en muchos casos más que una sugerencia de marco, que cada miembro adapta conforme a los preceptos nacionales y a sus propias prácticas comerciales. Sirva de ejemplo la RP 1724 relativa a las condiciones del transporte. Algunos transportistas han adoptado estas condiciones tal cual, sin modificarlas. Muchos otros las han utilizado, sin embargo, como modelo adaptándolas a la legislación nacional y a su entorno comercial. Del mismo modo, la RP 1774 se presentará a la aprobación de las compañías aéreas de la IATA (a través de la Conferencia de los servicios al pasajero), que tendrán no obstante libertad para crear su propio código de conducta de cara a sus propios clientes, y de conformidad con los preceptos legales y reglamentarios nacionales. Tampoco debe la IATA, obviamente, imponer comportamientos comerciales a sus miembros para no incurrir en prácticas monopolísticas. Teniendo en cuenta lo anterior, la RP 1774 no se ha concebido en principio para ser el código de conducta definitivo de las compañías aéreas que forman parte de la IATA, sino para destacar algunos de los aspectos principales de la Directiva de protección de datos, así como para servir de directriz a los miembros de la IATA (o a un grupo de ellas) cuando preparen un código de conducta que deba presentarse ante las autoridades de protección de correspondientes. Cada uno de los miembros de la IATA (o grupo de miembros) tendrá que abordar específicamente otros aspectos (la descripción detallada de la utilización que hace de los datos, los procedimientos de ejecución, etc.), de acuerdo con leyes y reglamentos nacionales y teniendo en cuenta el entorno cultural, las prácticas comerciales y la orientación del servicio. La última versión de la RP 1774 aborda en tres artículos las definiciones (artículo 1), el ámbito (artículo 2) y los principios (artículo 3) referentes a la calidad de los datos, información, el derecho de acceso, las categorías especiales de datos, la notificación a las autoridades de control, la seguridad de los datos y las transferencias a terceros países. Artículo 1 - Definiciones 3 Las definiciones se ajustan ahora al tenor de la Directiva 95/46/CE. Artículo 2 - Ámbito El artículo 2, referente al ámbito, aclara que los miembros tienen que cumplir las leyes nacionales y si la exigencia de éstas fuere mayor, entonces tendrán que aplicar medidas más rigurosas o complementarias. Artículo 3 - Calidad de los datos Se ha mejorado el principio de calidad de los datos respecto de la versión inicial incluyendo una lista de los fines a que se destinan habitualmente los datos personales recogidos por las compañías aéreas (art. 3.1.2). Otras mejoras respecto del texto inicial son la limitación del tiempo para almacenar datos identificables, aunque de manera general, y la útil distinción que se efectúa entre el registro de reservas en línea (sólo el tiempo necesario para prestar el servicio) y el almacenamiento fuera de línea (si lo exige la ley), conforme a lo propuesto por la comisión. Sin embargo, este precepto tendría más sentido si el texto se refiriese más específicamente a la aplicación concreta del principio de limitación de los fines y la prohibición de las utilizaciones incompatibles (letra b) del apartado 1 del artículo 6 de la Directiva 95/46/CE). El apartado 3 del artículo 3 de la RP 1774 reitera el tenor del artículo 10 de la Directiva, pero sin dar ejemplos concretos. El Grupo de trabajo considera que la IATA podía haber recomendado que se considere necesaria la información sobre el derecho de acceso para garantizar su legítimo tratamiento, y que dicha información se exhiba en los billetes (véase también más adelante: mención a la RP 1774 en la Resolución 724). Transferencias de datos a los terceros países en virtud del apartado 7 del artículo 3 Se ha logrado una clara mejora al explicar la importancia que las transferencias internacionales de datos tienen para los servicios que prestan las compañías aéreas. El Grupo de trabajo recuerda las Decisiones de la Comisión por las que se declara que Suiza, Hungría y el acuerdo de «puerto seguro» de los Estados Unidos proporcionan la protección5 adecuada. Las compañías aéreas entran en el ámbito de la Decisión de «puerto seguro» por lo que es preciso animarlas a que se adhieran a él. Por lo que se refiere a las transferencias a países o sectores distintos de los cubiertos por el acuerdo de «puerto seguro» de los EE.UU., la IATA opina que las transferencias de datos personales a terceros países son necesarias para la prestación del contrato entre la compañía aérea y el pasajero, por lo que se benefician de la excepción prevista en la letra b) del apartado 1 del artículo 26 de la Directiva 95/46/CE. La IATA considera que podrían también fundamentar la transferencia otras posibles excepciones, como las que contempla el apartado 1 del artículo 26, tanto en su letra d) (transferencia necesaria o legalmente exigida para la salvaguardia de un interés público importante, o para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial), como 5 Véase el DO L 215 de 25.8.2000. 4 en su letra e) (transferencia necesaria para la salvaguardia del interés vital del interesado). Según la IATA, estas excepciones abarcan situaciones que son habituales en el sector de la aviación y podrían servir de fundamento de las transferencias a terceros países. La redacción del apartado 7 del artículo 3 de la RP 1774 deja por tanto a los miembros la decisión de apreciar si es necesario obtener el consentimiento del interesado para garantizar la legitimidad del tratamiento. En su documento de trabajo sobre las transferencias de datos personales a terceros países 6 , el Grupo de trabajo señaló que la excepción contenida en la letra b) del apartado 1 del artículo 26 de la Directiva 95/46/CE podía aplicarse a aquellas transferencias que resultasen necesarias para reservar un billete de avión a un pasajero. Sin embargo, según este mismo documento de trabajo, es necesario indicar claramente los datos que son realmente necesarios a este efecto, asegurarse de que están cubiertos por el consentimiento contractual del interesado y de que los datos se tratan (transfieren) tan sólo para esta finalidad claramente señalada. El Grupo de trabajo, por tanto, recuerda en primer lugar que el Derecho interno aplicable al responsable del tratamiento debe contemplar las excepciones mencionadas en el artículo apartado 1 del artículo 26 y, en segundo lugar, que su aplicación está siempre sujeta a la «prueba de necesidad» (la transferencia debe ser necesaria para lograr un objetivo determinado, que no puede lograrse sin efectuarla). Es preciso, pues, llevar a cabo un cuidadoso análisis casuístico cuando se plantee una de las excepciones mencionadas en el apartado 1 del artículo 26. El Grupo de trabajo considera que la letra e) del apartado 1 del artículo 26, por ejemplo, (transferencia necesaria para proteger los intereses vitales del interesado) es de aplicación sólo en circunstancias muy excepcionales y que las compañías aéreas no deberían llamarse a engaño sobre el alcance de esta excepción. Habría sido útil establecer una distinción más clara entre los casos mencionados en el apartado 1 del artículo 26 de la Directiva 95/46/CE y explicar en qué condiciones pueden éstos servir de fundamento para las transferencias de la RP 1774. Al Grupo de trabajo le gustaría recordar que las soluciones contractuales pueden amparar las transferencias de datos personales a terceros países que no ofrezcan un nivel adecuado de protección (véase el apartado 2 del artículo 26 de la Directiva 95/46/CE). La Comisión Europea dará pronto a conocer las cláusulas contractuales tipo, que ofrecerán protección suficiente, siguiendo la recomendación del Grupo de trabajo y del Comité del artículo 31 (véase el apartado 4 del artículo 26 de la Directiva 95/46/CE). Los miembros de la IATA deberían tener en cuenta al aplicar la RP 1774 las explicaciones dadas anteriormente. Acceso general a los datos sobre las reservas La comisión criticó que los miembros de la IATA tengan acceso a todos los datos sobre las reservas desde cualquier punto del mundo. En este contexto, la IATA explicó las diferencias que hay entre los datos sobre los equipajes y los datos sobre las reservas. Las demás compañías aéreas participantes en el itinerario sólo pueden acceder a los datos sobre los equipajes después de la facturación. En los casos de pérdida, el pasajero transmite voluntariamente la información sobre su equipaje a los servicios de búsqueda. 6 WP 12: Transferencias de datos personales a terceros países: aplicación de los artículos 25 y 26 de la Directiva sobre protección de datos de la UE (adoptada el 24 de julio de 1998). 5 En otra Práctica recomendada de carácter técnico se fija el procedimiento de búsqueda de los equipajes extraviados. 7 En cuanto a los datos sobre las reservas, las compañías aéreas están obligadas a mantener el secreto de las reservas que hayan efectuado. Si la reserva efectuada por la compañía aérea A supone viajar en la compañía aérea B, la compañía aérea A enviará a la compañía aérea B un teletipo con datos sobre la reserva correspondiente. Dichos datos comprenderán el nombre del pasajero, el vuelo reservado en la compañía aérea B y el anterior, así como cualquier petición especial. Sólo deberían guardarse en línea el tiempo necesario para prestar el servicio y, fuera de línea, lo que exija la ley (véase más arriba el comentario sobre el artículo 3 de la RP 1774). La IATA justificó este sistema por la necesidad de que otras compañías aéreas, u otras agencias de la misma compañía aérea, dispongan de los datos en caso de que se produzca un cambio de los vuelos. Aunque comprende que este sistema es necesario, el Grupo de trabajo desearía recordar que cuando los datos personales, incluidos los de carácter delicado, pueden consultarse en todo el mundo, es necesario aplicar medidas de seguridad técnicas y organizativas tendentes a prevenir las consultas no autorizadas y la violación de dichos datos. Legitimidad del tratamiento La práctica recomendada no menciona la cuestión de la legitimidad del tratamiento (artículo 7 de la Directiva). El Grupo de trabajo recuerda que, en la medida en que es necesario para la prestación de un servicio, el tratamiento de los datos personales es legítimo de conformidad con la letra b) del artículo 7 cuando se hubiere celebrado contrato con el pasajero potencial. En ausencia de tal contrato, solamente sería legítimo si el particular da su consentimiento (letra a) del artículo 7) o siempre que no prevalezcan el interés o los derechos del interesado (letra f) del artículo 7). Ausencia de disposiciones de aplicación La RP 1774 no contempla mecanismo alguno de aplicación, circunstancia ésta que fue objeto de crítica por la comisión. La IATA respondió explicando que no tiene atribuidas funciones de control ni ningún otro tipo de autoridad sobre sus miembros. Se limita a proponer directrices que, incluso en el caso de que se adopten bajo los auspicios de la IATA, corresponde a los miembros decidir cuando y cómo (plena o parcialmente) se aplican a la propia práctica empresarial. La IATA no puede ejercer medidas de coerción contra sus miembros. No obstante, éstos son responsables según las leyes nacionales aplicables y sus contratos con los pasajeros. La IATA por lo tanto propone añadir una mención a las directrices sobre la protección de datos en las directrices sobre las condiciones generales de transporte (véase el siguiente apartado). Puede resultar útil estudiar la posibilidad de efectuar auditorías internas a los miembros de la IATA que pongan en práctica la RP 1774. 7 RP 1743a - Procedimiento de búsqueda de equipajes facturados en caso de pérdida 6 Practica recomendada 1724 relativa a las condiciones generales de transporte (pasajeros y equipajes) Esta práctica recomendada fija las condiciones generales que cada compañía aérea ha de incluir, como mínimo, en las condiciones generales de sus contratos con los pasajeros. Como las demás prácticas recomendadas de la IATA, tiene el mismo valor indicativo que la RP 1774 sobre la protección de datos. En la práctica, cada miembro de la IATA tiene sus propias condiciones de transporte, que se basan fundamentalmente en la RP 1724. Por tanto, si se incluye una mención a la RP 1774 sobre la protección de datos en la RP 1724, aumenta la probabilidad de que las compañías aéreas sigan la primera (aunque sin garantías). Además, al convertirse en parte del contrato entre la compañía aérea y el pasajero, el problema de la aplicación recibe por lo menos una solución contractual: el transportista es responsable por contrato con el pasajero del legítimo tratamiento de los datos conforme a la RP 1774. Además, a tenor del apartado 2 del artículo 2 de la RP 1774, siempre que exista legislación nacional de protección de los datos las compañías aéreas tienen que cumplirla. La propuesta de la IATA de incluir una mención a la RP 1774 en la RP 1724 8 tiene el valor añadido de imponer una obligación contractual a las compañías aéreas que escapen al ámbito de la Directiva 95/46/CE y hubieren incorporado este precepto. Se trata de un importante avance que debería fomentarse. Al mismo tiempo, esta inclusión constituiría una forma de conocer la política de protección de los datos y la vida privada de la compañía aérea, pues la mayor parte de ellas basan sus propias condiciones de transporte en la RP 1724, referente a las condiciones generales de transporte, las cuales, tras la revisión, incluirían una mención a la RP 1774 sobre la protección de los datos. Las condiciones de transporte de la compañía aérea quedan incluidas con la mención que se hace de ellas en las condiciones contractuales. Al disponer del texto de las condiciones de transporte, el pasajero puede leer la mención a la política de protección de los datos y la vida privada de la compañía aérea y pedir el texto correspondiente que, teóricamente, seguirá la RP 1774. Esta forma de informar al pasajero es, no obstante, menos directa que otra opción que se explica en el apartado siguiente. Resolución 724 relativa al billete - aviso y las condiciones contractuales También se debatió incorporar una mención a la confidencialidad de los datos en los billetes de las compañías aéreas. La Resolución 724 relativa al billete - aviso y las condiciones contractuales establece los elementos que han de indicarse, como mínimo, en el billete de avión. Incluir una mención a la RP 1774 en dicha Resolución tendía como consecuencia que figurase en el propio billete tal información. El pasajero tendría así la posibilidad de conocer directamente por el billete dónde obtener información sobre la política de protección de los datos y la vida privada de la compañía aérea, y si aquella existe, sobre su contenido. El Grupo de trabajo considera que esto representaría una clara mejora en cuanto a la transparencia y la protección del pasajero, pues en todos los billetes aparecería una mención a la política del transportista en materia de confidencialidad de los datos. Puesto que la aprobación de las resoluciones requiere la unanimidad de todas 8 Esta inclusión sería conforme con el apartado 3 del artículo 5 de la RP 1724, por el que se informa al pasajero que al facilitar sus datos personales, admite que puedan utilizarse para los fines indicados. Los mismos fines se citan a título de ejemplo en el apartado 1 del artículo 3 de la RP 1774, referente a la «Calidad de los datos». 7 las compañías aéreas que forman parte de la IATA y, en este caso, supondría modificar todos los billetes en el mundo, la IATA ha señalado que no es una solución realista a corto plazo. Postura de la IATA Habida cuenta de lo que precede, la IATA entendió que la RP 1774 no reuniría las condiciones exigidas para ser considerada código de conducta comunitario a tenor del apartado 3 del artículo 27 de la Directiva 95/46/CE. La IATA no insistió, por tanto, en obtener el dictamen formal que contempla dicho apartado. La IATA subraya sin embargo el valor práctico de la RP 1774 revisada, que sirvió de directriz, en su versión anterior, para sus miembros durante muchos años. Opina que la RP 1774, revisada a la luz de la Directiva 95/46/CE y aceptada ya por la Conferencia de los servicios al pasajero, constituye una referencia importante para sus miembros y una herramienta mucho más útil para impulsar la protección de las personas en lo que respecta al tratamiento de sus datos personales en el sector del transporte aéreo mundial. La IATA se compromete, por tanto, a instar a sus miembros la aplicación de la RP 1774 en sus normas y prácticas empresariales. La IATA también estudia tomar otras medidas con vistas a la aplicación de la RP 1774. Conforme a la propuesta del Grupo de trabajo, podría hacerse una mención a dicha práctica recomendada en las condiciones generales de transporte cuando se revise la Resolución 1724. Dicha mención constituiría un gran avance en el sentido de que hará más probable la aplicación de la RP 1774, si los miembros de la IATA siguen la Resolución 724 relativa a los contratos (aunque no están obligados a ello por que dicha Resolución tampoco tiene carácter vinculante, todos los transportistas tienen que disponer de condiciones generales y por tanto tenerla muy en cuenta). Este proceder daría también una gran visibilidad a la RP 1774 porque sería preciso mencionarla en los billetes. En la práctica, sería preciso cambiar todos los billetes. La modificación de la Resolución 724 requiere la aprobación unánime de los 266 miembros de la IATA. Conclusiones El Grupo de trabajo acoge con satisfacción la iniciativa de la IATA y su compromiso de señalar a sus miembros principios comunes para garantizar la protección del derecho fundamental a la vida privada de los pasajeros, permitiendo al mismo tiempo los flujos de datos personales a escala internacional. La Práctica recomendada 1774 podía servir de fundamento a otros avances y, especialmente en lo que respecta a las transferencias internacionales, debería utilizarse para invitar a los miembros de la IATA de terceros países a trabajar para ofrecer la protección adecuada. El Grupo de trabajo aprecia el compromiso adquirido por la IATA de revisar la Práctica recomendada 1724, sobre las condiciones generales de transporte, para incorporarle una mención directa a la Práctica recomendada 1774 relativa a la protección de los datos. Con este proceder, la IATA contribuye a la sensibilización sobre los problemas de protección de los datos, fomentando su adopción en la relación contractual entre las compañías aéreas y los pasajeros, que reviste particular importancia en el caso de los miembros de la IATA no pertenecientes a la UE. 8 El Grupo de trabajo anima a la IATA a escoger la opción de incluir en el propio billete una mención a la protección de los datos y la vida privada y, a este efecto, revisar la Resolución 724 relativa al billete - aviso y las condiciones contractuales. El Grupo de trabajo desearía también invitar a la IATA a abordar el problema de los programas para viajeros asiduos. Hay que informar claramente a los pasajeros sobre la finalidad de este tipo de tratamiento, la manera concreta en que se utilizan sus datos y por quién, de forma que los pasajeros puedan rechazarlo. Además, las compañías aéreas tienen que asegurarse de que tan sólo tengan acceso a los datos personales aquellas personas que participen directamente en la prestación del servicio solicitado por el pasajero, y no todos los potenciales participantes en un programa de esta naturaleza. El Grupo de trabajo se reserva la posibilidad de dar a conocer nuevos comentarios. Anexos : - Práctica recomendada 1774 relativa a la protección de la vida privada y los flujos transfronterizos de los datos personales utilizados en el transporte aéreo internacional de pasajeros y mercancías - Exposición de motivos de la RP 1774 - Práctica recomendada 1724 relativa a las condiciones generales de transporte (pasajeros y equipajes) - Resolución 724 relativa al billete - aviso y las condiciones contractuales Hecho en Bruselas, el 14 de septiembre de 2001 Por el Grupo de trabajo El Presidente Stefano RODOTA 9