Language of document : ECLI:EU:C:2006:346

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala)

de 30 de mayo de 2006 (*)

«Protección de las personas físicas en lo que respecta al tratamiento de datos personales – Transporte aéreo – Decisión 2004/496/CE – Acuerdo entre la Comunidad Europea y los Estados Unidos de América – Registros de nombres de los pasajeros que se transfieren al Servicio de aduanas y protección de fronteras de los Estados Unidos de América – Directiva 95/46/CE – Artículo 25 – Estados terceros – Decisión 2004/535/CE – Nivel de protección adecuado»

En los asuntos acumulados C‑317/04 y C‑318/04,

que tienen por objeto sendos recursos de anulación interpuestos, con arreglo al artículo 230 CE, el 27 de julio de 2004,

Parlamento Europeo, representado por los Sres. R. Passos, N. Lorenz, H. Duintjer Tebbens y A. Caiola, en calidad de agentes, que designa domicilio en Luxemburgo,

parte demandante,

apoyado por

Supervisor Europeo de Protección de Datos (SEPD), representado por el Sr. H. Hijmans y la Sra. V. Perez Asinari, en calidad de agentes,

parte coadyuvante,

contra

Consejo de la Unión Europea, representado por la Sra. M.C. Giorgi Fort y el Sr. M. Bishop, en calidad de agentes,

parte demandada en el asunto C‑317/04,

apoyado por

Comisión de las Comunidades Europeas, representada por los Sres. P.J. Kuijper, A. van Solinge y C. Docksey, en calidad de agentes, que designa domicilio en Luxemburgo,

Reino Unido de Gran Bretaña e Irlanda del Norte, representado por el Sr. M. Bethell y las Sras. C. White y T. Harris, en calidad de agentes, asistidos por el Sr. T. Ward, Barrister, que designa domicilio en Luxemburgo,

partes coadyuvantes,

y contra

Comisión de las Comunidades Europeas, representada por los Sres. P.J. Kuijper, A. van Solinge, C. Docksey y F. Benyon, en calidad de agentes, que designa domicilio en Luxemburgo,

parte demandada en el asunto C‑318/04,

apoyada por

Reino Unido de Gran Bretaña e Irlanda del Norte, representado por el Sr. M. Bethell y las Sras. C. White y T. Harris, en calidad de agentes, asistidos por el Sr. T. Ward, Barrister, que designa domicilio en Luxemburgo,

parte coadyuvante,

EL TRIBUNAL DE JUSTICIA (Gran Sala),

integrado por el Sr. V. Skouris, Presidente, los Sres. P. Jann, C.W.A. Timmermans, A. Rosas y J. Malenovský, Presidentes de Sala, y la Sra. N. Colneric (Ponente), los Sres. S. von Bahr y J.N. Cunha Rodrigues, la Sra. R. Silva de Lapuerta y los Sres. G. Arestis, A. Borg Barthet, M. Ilešič y J. Klučka, Jueces;

Abogado General: Sr. P. Léger;

Secretaria: Sra. M. Ferreira, administradora principal;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 18 de octubre de 2005;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 22 de noviembre de 2005;

dicta la siguiente

Sentencia

1        Mediante su recurso interpuesto en el asunto C‑317/04, el Parlamento Europeo solicita que se anule la Decisión 2004/496/CE del Consejo, de 17 de mayo de 2004, relativa a la celebración de un Acuerdo entre la Comunidad Europea y los Estados Unidos de América sobre el tratamiento y la transferencia de los datos de los expedientes de los pasajeros por las compañías aéreas al Departamento de seguridad nacional, Oficina de aduanas y protección de fronteras, de los Estados Unidos (DO L 183, p. 83, y corrección de errores en DO 2005, L 255, p. 168).

2        Mediante su recurso interpuesto en el asunto C‑318/04, el Parlamento solicita que se anule la Decisión 2004/535/CE de la Comisión, de 14 de mayo de 2004, relativa al carácter adecuado de la protección de los datos personales incluidos en los registros de nombres de los pasajeros que se transfieren al Servicio de aduanas y protección de fronteras de los Estados Unidos (DO L 235, p. 11; en lo sucesivo, «Decisión sobre el carácter adecuado de la protección»).

 Marco jurídico

3        El artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, firmado en Roma el 4 de noviembre de 1950 (en lo sucesivo, «CEDH»), estipula:

«1      Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia.

2      No podrá haber injerencia de la autoridad pública en el ejercicio de este derecho sino en tanto en cuanto esta injerencia esté prevista por la ley y constituya una medida que, en una sociedad democrática, sea necesaria para la seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención de las infracciones penales, la protección de la salud o de la moral, o la protección de los derechos y las libertades de los demás.»

4        El artículo 95 CE, apartado 1, segunda frase, tiene el siguiente tenor:

«El Consejo, con arreglo al procedimiento previsto en el artículo 251 y previa consulta al Comité Económico y Social, adoptará las medidas relativas a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros que tengan por objeto el establecimiento y el funcionamiento del mercado interior.»

5        La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281, p. 31), en su versión modificada por el Reglamento (CE) nº 1882/2003 del Parlamento Europeo y del Consejo, de 29 de septiembre de 2003, sobre la adaptación a la Decisión 1999/468/CE del Consejo de las disposiciones relativas a los comités que asisten a la Comisión en el ejercicio de sus competencias de ejecución previstas en los actos sujetos al procedimiento establecido en el artículo 251 del Tratado CE (DO L 284, p. 1) (en lo sucesivo, «Directiva»), se adoptó sobre la base del artículo 100 A del Tratado CE (actualmente artículo 95 CE, tras su modificación).

6        Su undécimo considerando expone que «los principios de la protección de los derechos y libertades de las personas y, en particular, del respeto de la intimidad, contenidos en la presente Directiva, precisan y amplían los del Convenio de 28 de enero de 1981 del Consejo de Europa para la protección de las personas en lo que respecta al tratamiento automatizado de los datos personales».

7        A tenor del decimotercer considerando de la Directiva:

«las actividades a que se refieren los títulos V y VI del Tratado de la Unión Europea relativos a la seguridad pública, la defensa, la seguridad del Estado y las actividades del Estado en el ámbito penal no están comprendidas en el ámbito de aplicación del Derecho comunitario, sin perjuicio de las obligaciones que incumben a los Estados miembros con arreglo al apartado 2 del artículo 56 y a los artículos 57 y 100 A del Tratado […]».

8        El quincuagésimo séptimo considerando de la Directiva manifiesta:

«cuando un país tercero no ofrezca un nivel de protección adecuado debe prohibirse la transferencia al mismo de datos personales».

9        El artículo 2 de la Directiva dispone:

«A efectos de la presente Directiva, se entenderá por:

a)      “datos personales”: toda información sobre una persona física identificada o identificable (el “interesado”); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;

b)      “tratamiento de datos personales” (“tratamiento”): cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción;

[…]»

10      A tenor del artículo 3 de la Directiva:

«Ámbito de aplicación

1.      Las disposiciones de la presente Directiva se aplicarán al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

2.      Las disposiciones de la presente Directiva no se aplicarán al tratamiento de datos personales:

–        efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de los títulos V y VI del Tratado de la Unión Europea y, en cualquier caso, al tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal;

[…]»

11      El artículo 6, apartado 1, de la Directiva prevé:

«Los Estados miembros dispondrán que los datos personales sean:

[…]

b)      recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dichos fines; no se considerará incompatible el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando los Estados miembros establezcan las garantías oportunas;

c)      adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente;

[…]

e)      conservados en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente. […]»

12      El artículo 7 de la Directiva establece:

«Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si:

[…]

c)      es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento,

[…]

o

e)      es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos,

o

f)      es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.»

13      A tenor del artículo 8, apartado 5, párrafo primero, de la Directiva:

«El tratamiento de datos relativos a infracciones, condenas penales o medidas de seguridad, sólo podrá efectuarse bajo el control de la autoridad pública o si hay previstas garantías específicas en el Derecho nacional, sin perjuicio de las excepciones que podrá establecer el Estado miembro basándose en disposiciones nacionales que prevean garantías apropiadas y específicas. Sin embargo, sólo podrá llevarse un registro completo de condenas penales bajo el control de los poderes públicos.»

14      El artículo 12 de la Directiva dispone:

«Los Estados miembros garantizarán a todos los interesados el derecho de obtener del responsable del tratamiento:

a)      libremente, sin restricciones y con una periodicidad razonable y sin retrasos ni gastos excesivos:

–        la confirmación de la existencia o inexistencia del tratamiento de datos que le conciernen, así como información por lo menos de los fines de dichos tratamientos, las categorías de datos a que se refieran y los destinatarios o las categorías de destinatarios a quienes se comuniquen dichos datos;

–        la comunicación, en forma inteligible, de los datos objeto de los tratamientos, así como toda la información disponible sobre el origen de los datos;

–        el conocimiento de la lógica utilizada en los tratamientos automatizados de los datos referidos al interesado, al menos en los casos de las decisiones automatizadas a que se refiere el apartado 1 del artículo 15;

b)      en su caso, la rectificación, la supresión o el bloqueo de los datos cuyo tratamiento no se ajuste a las disposiciones de la presente Directiva, en particular a causa del carácter incompleto o inexacto de los datos;

c)      la notificación a los terceros a quienes se hayan comunicado los datos de toda rectificación, supresión o bloqueo efectuado de conformidad con la letra b), si no resulta imposible o supone un esfuerzo desproporcionado.»

15      El artículo 13, apartado 1, de la Directiva tiene el siguiente tenor:

«Los Estados miembros podrán adoptar medidas legales para limitar el alcance de las obligaciones y los derechos previstos en el apartado 1 del artículo 6, en el artículo 10, en el apartado 1 del artículo 11, y en los artículos 12 y 21 cuando tal limitación constituya una medida necesaria para la salvaguardia de:

a)      la seguridad del Estado;

b)      la defensa;

c)      la seguridad pública;

d)      la prevención, la investigación, la detección y la represión de infracciones penales o de las infracciones de la deontología en las profesiones reglamentadas;

e)      un interés económico y financiero importante de un Estado miembro o de la Unión Europea, incluidos los asuntos monetarios, presupuestarios y fiscales;

f)      una función de control, de inspección o reglamentaria relacionada, aunque sólo sea ocasionalmente, con el ejercicio de la autoridad pública en los casos a que hacen referencia las letras c), d) y e);

g)      la protección del interesado o de los derechos y libertades de otras personas.»

16      El artículo 22 de la Directiva prevé:

«Recursos

Sin perjuicio del recurso administrativo que pueda interponerse, en particular ante la autoridad de control mencionada en el artículo 28, y antes de acudir a la autoridad judicial, los Estados miembros establecerán que toda persona disponga de un recurso judicial en caso de violación de los derechos que le garanticen las disposiciones de Derecho nacional aplicables al tratamiento de que se trate.»

17      Los artículos 25 y 26 de la Directiva forman el capítulo IV de ésta, relativo a la transferencia de datos personales a países terceros.

18      El artículo 25 de la Directiva, titulado «Principios», establece:

«1.      Los Estados miembros dispondrán que la transferencia a un país tercero de datos personales que sean objeto de tratamiento o destinados a ser objeto de tratamiento con posterioridad a su transferencia, únicamente pueda efectuarse cuando, sin perjuicio del cumplimiento de las disposiciones de Derecho nacional adoptadas con arreglo a las demás disposiciones de la presente Directiva, el país tercero de que se trate garantice un nivel de protección adecuado.

2.      El carácter adecuado del nivel de protección que ofrece un país tercero se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos; en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.

3.      Los Estados miembros y la Comisión se informarán recíprocamente de los casos en que consideren que un tercer país no garantiza un nivel de protección adecuado con arreglo al apartado 2.

4.      Cuando la Comisión compruebe, con arreglo al procedimiento establecido en el apartado 2 del artículo 31, que un tercer país no garantiza un nivel de protección adecuado con arreglo al apartado 2 del presente artículo, los Estados miembros adoptarán las medidas necesarias para impedir cualquier transferencia de datos personales al tercer país de que se trate.

5.      La Comisión iniciará en el momento oportuno las negociaciones destinadas a remediar la situación que se produzca cuando se compruebe este hecho en aplicación del apartado 4.

6.      La Comisión podrá hacer constar, de conformidad con el procedimiento previsto en el apartado 2 del artículo 31, que un país tercero garantiza un nivel de protección adecuado de conformidad con el apartado 2 del presente artículo, a la vista de su legislación interna o de sus compromisos internacionales, suscritos especialmente al término de las negociaciones mencionadas en el apartado 5, a efectos de protección de la vida privada o de las libertades o de los derechos fundamentales de las personas.

Los Estados miembros adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión.»

19      A tenor del artículo 26, apartado 1, de la Directiva, titulado «Excepciones»:

«No obstante lo dispuesto en el artículo 25 y salvo disposición contraria del Derecho nacional que regule los casos particulares, los Estados miembros dispondrán que pueda efectuarse una transferencia de datos personales a un país tercero que no garantice un nivel de protección adecuado con arreglo a lo establecido en el apartado 2 del artículo 25, siempre y cuando:

a)      el interesado haya dado su consentimiento inequívocamente a la transferencia prevista,

o

b)      la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales tomadas a petición del interesado,

o

c)      la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar en interés del interesado, entre el responsable del tratamiento y un tercero,

o

d)      la transferencia sea necesaria o legalmente exigida para la salvaguardia de un interés público importante, o para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial,

o

e)      la transferencia sea necesaria para la salvaguardia del interés vital del interesado,

o

f)      la transferencia tenga lugar desde un registro público que, en virtud de disposiciones legales o reglamentarias, esté concebido para facilitar información al público y esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legítimo, siempre que se cumplan, en cada caso particular, las condiciones que establece la ley para la consulta.»

20      Sobre la base de la Directiva y, en concreto, de su artículo 25, apartado 6, la Comisión de las Comunidades Europeas adoptó la Decisión sobre el carácter adecuado de la protección.

21      El undécimo considerando de esta Decisión expone:

«El tratamiento por parte del CBP [United States Bureau of Customs and Border Protection (Servicio de aduanas y protección de fronteras de Estados Unidos)] de los datos personales que contienen los PNR [“Passenger Name Records” (registros de nombres de los pasajeros)] de pasajeros de vuelos que se transfieren a dicho Servicio está regido por las condiciones establecidas en los Compromisos del Servicio de aduanas y protección de fronteras (CBP) del Departamento de Seguridad Interior, de 11 de mayo de 2004 (denominados en lo sucesivo, “los Compromisos”) así como en la legislación nacional estadounidense en las condiciones que se establecen en dichos Compromisos.»

22      En virtud del decimoquinto considerando de dicha Decisión, los datos de los PNR deben utilizarse únicamente para los fines de prevención y lucha contra el terrorismo y delitos conexos, otros delitos graves, incluida la delincuencia organizada, que tengan un carácter transnacional y la fuga en caso de orden de arresto o detención por estos delitos.

23      A tenor de los artículos 1 a 4 de la Decisión sobre el carácter adecuado de la protección:

«Artículo 1

A efectos del apartado 2 del artículo 25 de la Directiva 95/46/CE, se considera que el Servicio de aduanas y protección de fronteras de los Estados Unidos (Bureau of Customs and Border Protection; en lo sucesivo, “el CBP”) ofrece un nivel adecuado de protección de los datos de PNR que se transfieren desde la Comunidad relativos a vuelos con destino u origen en los Estados Unidos, con arreglo a los Compromisos que figuran en el anexo.

Artículo 2

La presente Decisión se refiere a la adecuación de la protección ofrecida por el CBP con arreglo a los requisitos del apartado 1 del artículo 25 de la Directiva 95/46/CE y no afectará a otras condiciones o restricciones que se impongan en aplicación de otras normas de la Directiva relativas al tratamiento de los datos personales en los Estados miembros.

Artículo 3

1.      Sin perjuicio de sus facultades para emprender acciones que garanticen el cumplimiento de las normas nacionales adoptadas de conformidad con preceptos diferentes a los contemplados en el artículo 25 de la Directiva 95/46/CE, las autoridades competentes de los Estados miembros podrán ejercer su facultad de suspender los flujos de datos hacia el CBP, a fin de proteger a los particulares contra el tratamiento de sus datos personales, en los casos en que:

a)      la autoridad competente de los Estados Unidos compruebe que el CBP ha vulnerado las normas de protección aplicables, o

b)      existan grandes probabilidades de que se estén vulnerando las normas de protección expuestas en el anexo, existan razones para creer que el CBP no ha tomado o no tomará las medidas oportunas para resolver el caso en cuestión, se considere que la continuación de la transferencia podría crear un riesgo inminente de grave perjuicio a los afectados, y las autoridades competentes del Estado miembro hayan hecho esfuerzos razonables en estas circunstancias para notificárselo al CBP y proporcionarle la oportunidad de alegar.

2.      La suspensión cesará en cuanto esté garantizado el cumplimiento de las normas de protección y ello se haya notificado a las autoridades competentes de los Estados miembros afectados.

Artículo 4

1.      Los Estados miembros informarán inmediatamente a la Comisión de la adopción de medidas basadas en el artículo 3.

2.      Los Estados miembros y la Comisión se informarán recíprocamente de cualquier cambio en las normas de protección y de aquellos casos en que la actuación de los organismos responsables del cumplimiento por parte del CBP de las normas de protección que figuran en el anexo no garantice dicho cumplimiento.

3.      Si la información recogida con arreglo al artículo 3 y a los apartados 1 y 2 del presente artículo demuestra que los principios básicos necesarios para un nivel adecuado de protección de las personas físicas no están siendo respetados, o que los organismos responsables del cumplimiento por parte del CBP de las normas de protección que figuran en el anexo no están ejerciendo su función, se lo notificará al CBP y, si procede, será de aplicación el procedimiento previsto en el apartado 2 del artículo 31 de la Directiva 95/46/CE, a fin de anular o suspender la presente Decisión.»

24      Los «Compromisos del Departamento de seguridad interior – Servicio de aduanas y protección de fronteras (CBP)», adjuntos a la Decisión sobre el carácter adecuado de la protección, manifiestan:

«Con objeto de apoyar el proyecto de la Comisión Europea […] para ejercer las facultades que le son asignadas en virtud del apartado 6 del artículo 25 de la Directiva 95/46/CE […] y adoptar una decisión por la que se reconozca que el [CBP] proporciona una protección adecuada a efectos de la transmisión por parte de las compañías aéreas de los datos [de los PNR], que pueden estar sometidos a la jurisdicción de la Directiva, el CBP se compromete a lo siguiente […]».

25      Dichos compromisos contienen cuarenta y ocho puntos, que se dividen en los siguientes conceptos: «Fundamento jurídico del derecho de obtención del PNR»; «Uso de los datos del PNR por parte del CBP»; «Requisitos relativos a los datos»; «Tratamiento de datos “sensibles”»; «Métodos de acceso a la información del PNR»; «Almacenamiento de información del PNR»; «Seguridad del sistema informático del CBP»; «Tratamiento y Protección de la información del PNR por parte del CBP»; «Transmisión de información del PNR a otras administraciones públicas»; «Comunicación, acceso y posibilidades de reparación para las personas afectadas por el PNR»; «Sobre el cumplimiento»; «Reciprocidad»; «Examen y expiración de los Compromisos» y «No creación de Derecho privado o de precedentes».

26      Entre los citados Compromisos figuran, en particular, los siguientes:

«1)      Con arreglo a la ley [título 49, United States Code (Código de los Estados Unidos), sección 44909(c)(3)] y sus reglamentos (provisionales) de ejecución [título 19, Code of Federal Regulations (Código de disposiciones federales), sección 122.49b], cada compañía aérea que se ocupe de vuelos internacionales de pasajeros con destino o en procedencia de los Estados Unidos deberá facilitar al CBP (anteriormente denominado servicio americano de aduanas) un acceso electrónico a los datos del PNR en la medida en que se recopilan y se almacenan en los sistemas automatizados de reserva/control de salidas (“sistemas de reserva”).

[…]

3)      El CBP utiliza los datos del PNR estrictamente para impedir y luchar: 1) contra el terrorismo y delitos conexos; 2) contra otros delitos graves, incluida la delincuencia organizada, que sean, por naturaleza, transnacionales; y 3) contra la fuga en caso de orden de arresto o detención por los delitos antes señalados. La utilización de la información del PNR a estos efectos permitirá al CBP centrar sus recursos en preocupaciones de alto riesgo, con lo que se facilitan y se protegen los viajes de pasajeros de buena fe.

4)      Los datos que solicita el CBP aparecen en el anexo A. […]

[…]

27)      El CBP decidirá, en relación con cualquier tramitación administrativa o judicial derivada de una solicitud de información del PNR obtenida por compañías aéreas, en el marco de la ley sobre libertad de información, que dichos registros no se pueden divulgar de conformidad con dicha ley.

[…]

29)      El CBP, dentro de sus competencias, sólo facilitará la información del PNR a otras administraciones públicas, incluidas las administraciones públicas extranjeras, encargadas de luchar contra el terrorismo o de hacer aplicar la ley, caso por caso, con objeto de impedir o luchar contra el terrorismo u otros graves delitos contemplados en el punto 3 del presente documento. (Las administraciones con las que el CBP puede compartir dicha información se denominarán a partir de ahora “autoridades designadas”).

30)      El CBP ejercerá juiciosamente su capacidad de transferir información del PNR para los fines indicados. Este organismo determinará en primer lugar si el motivo de divulgación de la información del PNR a otra autoridad designada se ajusta a la finalidad indicada (véase el anterior punto 29). En tal caso, el CBP determinará si la autoridad designada es responsable de investigar o perseguir las violaciones de un estatuto o reglamento relacionado con este fin, o de exigir su cumplimiento o aplicarlo, cuando a alguno de estos organismos le conste que se ha producido una violación o que ésta puede ocurrir. La justificación de la divulgación deberá examinarse a la luz de todas las circunstancias presentes.

[…]

35)      Ninguna declaración del presente documento impedirá el uso o divulgación de información del PNR en cualquier causa judicial penal o si existe una obligación jurídica. El CBP avisará a la Comisión Europea en caso de adopción de cualquier legislación estadounidense que afecte sustancialmente a las declaraciones efectuadas en el presente documento.

[…]

46)      Los presentes Compromisos se aplicarán durante un período de tres años y seis meses (3,5 años) a partir de la entrada en vigor del acuerdo entre los Estados Unidos y la Comunidad Europea por el que se autorice el tratamiento de datos de los PNR por las compañías aéreas y su transmisión al CBP, de conformidad con la Directiva. […]

47)      Los presentes Compromisos no crean ni confieren ningún derecho o beneficio a ninguna persona o parte, privada o pública.

[…]»

27      El anexo «A» de los Compromisos contiene los «datos de los PNR» solicitados por el CBP a las compañías aéreas. Se incluyen entre dichos datos, en particular, el «código de identificación del registro PNR», la fecha de reserva, el nombre, la dirección, las modalidades de pago, los teléfonos de contacto, la agencia de viajes, la situación de viaje («travel status») del pasajero, la dirección electrónica, observaciones generales, el número de asiento, la indicación de que no se dispone de información acerca del pasajero, así como toda la información del sistema de información avanzada sobre pasajeros («Advanced Passenger Information System», APIS) que se haya obtenido.

28      El Consejo adoptó la Decisión 2004/496 sobre la base del artículo 95 CE en relación con el artículo 300 CE, apartado 2, párrafo primero, primera frase.

29      A tenor de los tres considerandos de esta Decisión:

«1)      El 23 de febrero de 2004 el Consejo autorizó a la Comisión a negociar, en nombre de la Comunidad, un Acuerdo con los Estados Unidos sobre el tratamiento y la transferencia de los datos de los expedientes de los pasajeros por las compañías aéreas al Departamento de seguridad interior, Oficina de aduanas y protección de fronteras, de los Estados Unidos;

2)      El Parlamento Europeo no ha emitido aún un dictamen dentro del plazo establecido, con arreglo al primer párrafo del apartado 3 del artículo 300 del Tratado, por el Consejo en vista de la urgente necesidad de poner remedio a la situación de incertidumbre en la que se encontraron aerolíneas y pasajeros, así como de la protección de los intereses financieros de las personas interesadas;

3)      Se debe aprobar el presente Acuerdo.»

30      El artículo 1 de la Decisión 2004/496 establece:

«Queda aprobado, en nombre de la Comunidad, el Acuerdo entre la Comunidad Europea y los Estados Unidos de América sobre el tratamiento y la transferencia de los datos de los expedientes de los pasajeros por las compañías aéreas al Departamento de seguridad nacional, Oficina de aduanas y protección de fronteras, de los Estados Unidos.

El texto del Acuerdo se adjunta a la presente Decisión.»

31      Dicho Acuerdo (en lo sucesivo, «Acuerdo») tiene el siguiente tenor:

«La Comunidad Europea y los Estados Unidos de América,

Reconociendo la importancia de respetar los derechos y libertades fundamentales, en particular la intimidad, y la importancia de respetar estos valores al tiempo que se previene y combate el terrorismo y los delitos relacionados con el terrorismo y otros delitos graves de carácter transnacional, incluido el crimen organizado;

Teniendo en cuenta las normas y reglamentaciones de los Estados Unidos que requieren que las compañías aéreas que efectúen vuelos de pasajeros en líneas de transporte aéreo con punto de origen o de destino en los Estados Unidos proporcionen [a la CBP del] Departamento de seguridad nacional (en lo sucesivo, “DHS”) […] acceso electrónico a los datos del [PNR] en la medida en que se recojan y estén incluidos en los sistemas informatizados de control de reservas/salidas de las compañías aéreas;

Teniendo en cuenta la Directiva 95/46/CE […] y en particular la letra c) de su artículo 7;

Teniendo en cuenta los Compromisos de la CBP emitidos el 11 de mayo de 2004, que se publicarán en el Registro Federal (en lo sucesivo, “los Compromisos”);

Teniendo en cuenta la Decisión 2004/535/CE de la Comisión, adoptada el 14 de mayo de 2004, en virtud del apartado 6 del artículo 25 de la Directiva 95/46/CE, por la que se considera que la CBP ofrece un nivel adecuado de protección de los datos de los expedientes de los pasajeros transferidos desde la Comunidad Europea (en lo sucesivo, “la Comunidad”) y relativos a vuelos con origen o destino en Estados Unidos, de conformidad con los Compromisos, adjuntos a la misma (en lo sucesivo, “la Decisión”);

Señalando que las compañías aéreas con sistemas de control de reservas/salidas situados en el territorio de los Estados miembros de la Comunidad Europea deberán organizar la transmisión de los datos de los expedientes de los pasajeros a la CBP tan pronto como esta operación sea técnicamente factible, pero que, hasta entonces, las autoridades de los Estados Unidos deberán estar autorizadas a acceder directamente a los datos, de conformidad con las disposiciones del presente Acuerdo;

[…]

Han convenido en lo siguiente:

1.      La CBP podrá acceder de forma electrónica a los datos de los expedientes de los pasajeros procedentes de los sistemas de control de reservas/salidas de las compañías aéreas (“sistemas de reserva”) situados en el territorio de los Estados miembros de la Comunidad Europea, respetando estrictamente las disposiciones de la Decisión y mientras la Decisión sea aplicable, y sólo hasta que se haya establecido un sistema satisfactorio para la transmisión de esos datos por las compañías aéreas.

[La versión inglesa tiene el siguiente tenor: “CBP may electronically access the PNR data from air carriers' reservation/departure control systems (‘reservation systems’) located within the territory of the Member States of the European Community strictly in accordance with the Decision and for so long as the Decision is applicable and only until there is a satisfactory system in place allowing for transmission of such data by the air carriers.”]

2.      Las compañías aéreas que efectúan vuelos de pasajeros en líneas de transporte aéreo con el extranjero con punto de origen o de destino en los Estados Unidos tratarán los datos de los expedientes de los pasajeros incluidos en sus sistemas informatizados de reserva de conformidad con lo requerido por la CBP en virtud con la legislación de los Estados Unidos y respetando estrictamente las disposiciones de la Decisión y mientras la Decisión sea aplicable.

3.      La CBP toma nota de la Decisión y declara que está aplicando los Compromisos adjuntos a la misma.

4.      La CBP tratará los datos recibidos de los expedientes de los pasajeros y a los titulares de esos datos afectados por el tratamiento de los mismos de conformidad con la legislación y los requisitos constitucionales de los Estados Unidos, sin discriminación contraria a la ley, en particular por razón de la nacionalidad y el país de residencia.

[…]

7.      El presente Acuerdo entrará en vigor en el momento de su firma. Cualquiera de las Partes podrá denunciar el presente Acuerdo en todo momento mediante notificación a través de los canales diplomáticos. La denuncia surtirá efecto noventa (90) días después de la fecha de denuncia a la otra Parte. El presente Acuerdo podrá ser modificado en todo momento mediante consentimiento recíproco por escrito.

8.      El presente Acuerdo no tiene por objeto derogar o modificar la legislación de las Partes ni crear o conferir derechos o beneficios a ninguna otra persona o entidad, privada o pública.»

32      Según la Información del Consejo sobre su fecha de entrada en vigor (DO 2004, C 158, p. 1), el Acuerdo, que fue firmado en Washington el 28 de mayo de 2004 por un representante de la Presidencia en ejercicio del Consejo y por el Secretario de seguridad interior de los Estados Unidos de América, entró en vigor en la fecha de su firma, con arreglo a su punto 7.

 Antecedentes de los litigios

33      A raíz de los atentados terroristas del 11 de septiembre de 2001, los Estados Unidos adoptaron en noviembre del mismo año una normativa en virtud de la cual las compañías aéreas que operen en rutas con destino u origen en Estados Unidos o que atraviesen su territorio están obligadas a facilitar a las autoridades aduaneras estadounidenses un acceso electrónico a los datos contenidos en sus sistemas automatizados de reserva y de control de salidas, designados con los términos «Passenger Name Records» (en lo sucesivo, «datos de los PNR»). La Comisión, si bien reconocía la legitimidad de los intereses de seguridad que estaban en juego, informó en junio de 2002 a las autoridades estadounidenses de que estas disposiciones podían ser contrarias a la normativa comunitaria y de los Estados miembros en materia de protección de datos y a determinadas disposiciones del Reglamento (CEE) nº 2299/89 del Consejo, de 24 de julio de 1989, por el que se establece un código de conducta para los sistemas informatizados de reserva (DO L 220, p. 1), en su versión modificada por el Reglamento (CE) nº 323/1999 del Consejo, de 8 de febrero de 1999 (DO L 40, p. 1). Las autoridades estadounidenses aplazaron la entrada en vigor de las nuevas disposiciones pero finalmente no renunciaron a imponer sanciones a las compañías aéreas que no se atuvieran a la normativa relativa al acceso electrónico a los datos de los PNR después del 5 de marzo de 2003. Desde entonces, varias de las grandes compañías aéreas de la Unión Europea han proporcionado a las citadas autoridades el acceso a los datos de sus PNR.

34      La Comisión inició negociaciones con las autoridades estadounidenses que dieron lugar a un documento que contenía compromisos («undertakings») contraídos por el CPB con el fin de que la Comisión adoptase en virtud del artículo 25, apartado 6, de la Directiva una decisión que declarase que el nivel de protección era adecuado.

35      El 13 de junio de 2003, el Grupo de protección de las personas en lo que respecta al tratamiento de datos personales, creado por el artículo 26 de la Directiva, emitió un dictamen en el que expresaba dudas acerca del nivel de protección de los datos que garantizaban los citados compromisos respecto a los tratamientos previstos. Reiteró sus dudas en otro dictamen de 29 de enero de 2004.

36      El 1 de marzo de 2004, la Comisión sometió a la consideración del Parlamento el proyecto de decisión sobre el carácter adecuado de la protección sobre la base del artículo 25, apartado 6, de la Directiva, que llevaba adjunto el proyecto de compromisos del CBP.

37      El 17 de marzo de 2004, la Comisión remitió al Parlamento, con el fin de consultarle con arreglo al artículo 300 CE, apartado 3, párrafo primero, una propuesta de decisión del Consejo relativa a la celebración de un acuerdo con Estados Unidos. Mediante escrito de 25 de marzo de 2004, el Consejo invocó el procedimiento de urgencia y pidió al Parlamento que emitiera su dictamen sobre dicha propuesta a más tardar el 22 de abril de 2004. En este escrito, el Consejo destacó que «la lucha contra el terrorismo, que justifica las medidas propuestas, constituye una prioridad esencial de la Unión Europea, [que] en la actualidad las compañías aéreas y los pasajeros se encuentran en una situación de incertidumbre que es preciso remediar con urgencia [y que], además, es fundamental proteger los intereses financieros de las partes afectadas».

38      El 31 de marzo de 2004, con arreglo al artículo 8 de la Decisión 1999/468/CE del Consejo, de 28 de junio de 1999, por la que se establecen los procedimientos para el ejercicio de las competencias de ejecución atribuidas a la Comisión (DO L 184, p. 23), el Parlamento adoptó una resolución en la que hacía constar diversas reservas de carácter jurídico sobre la propuesta que se había sometido a su consideración. En esta resolución estimó, en particular, que el proyecto de decisión sobre el carácter adecuado de la protección sobrepasaba las competencias atribuidas a la Comisión por el artículo 25 de la Directiva. Propuso que se celebrase un acuerdo internacional adecuado que respetara los derechos fundamentales en relación con determinados aspectos indicados en dicha resolución y solicitó a la Comisión que le remitiese un nuevo proyecto de decisión. Además, se reservó el derecho a pedir al Tribunal de Justicia que comprobase la legalidad del acuerdo internacional proyectado y, en particular, su compatibilidad con la protección del derecho a la intimidad.

39      El 21 de abril de 2004, el Parlamento, a instancia de su Presidente, adoptó una recomendación de la Comisión jurídica y del mercado interior con el fin de que, conforme al artículo 300 CE, apartado 6, se solicitase el dictamen del Tribunal de Justicia sobre la compatibilidad del acuerdo proyectado con las disposiciones del Tratado. Este procedimiento se inició en la misma fecha.

40      El mismo día, el Parlamento decidió asimismo atribuir a una comisión la tarea de elaborar el informe sobre la propuesta de decisión del Consejo, desestimando así de manera implícita, en aquella fase, la solicitud de que dicha propuesta se examinase mediante el procedimiento de urgencia presentada por el Consejo el 25 de marzo.

41      El 28 de abril siguiente, el Consejo remitió al Parlamento, sobre la base del artículo 300 CE, apartado 3, párrafo primero, un escrito en el que le pedía que emitiese antes del 5 de mayo de 2004 su dictamen sobre la propuesta de decisión relativa a la celebración del Acuerdo. Para justificar la urgencia de esta solicitud, reiteraba la motivación expuesta en su escrito de 25 de marzo de 2004.

42      Como tenía conocimiento de que seguían sin estar disponibles todas las versiones lingüísticas de la propuesta de decisión del Consejo, el 4 de mayo de 2004, el Parlamento desestimó la solicitud de que examinase esta propuesta con urgencia, formulada por el Consejo el 28 de abril.

43      El 14 de mayo siguiente, la Comisión adoptó la Decisión sobre el carácter adecuado de la protección, que es objeto del asunto C‑318/04. El 17 de mayo de 2004, el Consejo adoptó la Decisión 2004/496, que es objeto del asunto C‑317/04.

44      Mediante escrito de 4 de junio de 2004, la Presidencia en ejercicio del Consejo informó al Parlamento de que la Decisión 2004/496 tenía en cuenta no sólo la lucha contra el terrorismo –prioritaria para la Unión–, sino también la necesidad de hacer frente a una situación de inseguridad jurídica para las compañías aéreas, así como sus intereses financieros.

45      Mediante escrito de 9 de julio de 2004, el Parlamento informó al Tribunal de Justicia de que retiraba su solicitud de dictamen registrada con el nº 1/04.

46      En el asunto C‑317/04, mediante sendos autos del Presidente del Tribunal de Justicia de 18 de noviembre de 2004 y 18 de enero de 2005, se admitió la intervención de la Comisión y del Reino Unido de Gran Bretaña e Irlanda del Norte en apoyo de las pretensiones del Consejo.

47      En el asunto C‑318/04, mediante auto del Presidente de este Tribunal de 17 de diciembre de 2004, se admitió la intervención del Reino Unido en apoyo de las pretensiones de la Comisión.

48      Mediante sendos autos del Tribunal de Justicia de 17 de marzo de 2005, se admitió la intervención del Supervisor Europeo de Protección de Datos en ambos litigios en apoyo de las pretensiones del Parlamento.

49      Habida cuenta de la conexión existente entre dichos asuntos, que se confirmó en la fase oral del procedimiento, procede acumularlos a efectos de la sentencia, de conformidad con el artículo 43 del Reglamento de Procedimiento.

 Sobre el recurso del asunto C‑318/04

50      El Parlamento invoca cuatro motivos de anulación, basados respectivamente en la violación del principio de legalidad, de los principios básicos de la Directiva, de los derechos fundamentales y del principio de proporcionalidad.

 Sobre la primera parte del primer motivo, basada en la infracción del artículo 3, apartado 2, primer guión, de la Directiva

 Alegaciones de las partes

51      El Parlamento sostiene que la Decisión de la Comisión se adoptó ultra vires dado que no se respetó lo dispuesto en la Directiva y que infringía en particular el artículo 3, apartado 2, primer guión, de ésta, según el cual quedan excluidas las actividades no comprendidas en el ámbito de aplicación del Derecho comunitario.

52      A su juicio, es indudable que el tratamiento de los datos de los PNR después de su transferencia a la autoridad estadounidense a que se refiere la Decisión sobre el carácter adecuado de la protección es y será realizado para el ejercicio de actividades propias del Estado en el sentido del apartado 43 de la sentencia de 6 de noviembre de 2003, Lindqvist (C‑101/01, Rec. p. I‑12971).

53      La Comisión, apoyada por el Reino Unido, estima que las actividades de las compañías aéreas están claramente incluidas en el ámbito de aplicación del Derecho comunitario. Alega que estos operadores privados tratan los datos de los PNR dentro de la Comunidad y organizan su transferencia a un Estado tercero. Por tanto, se trata de actividades propias de los particulares y no de actividades del Estado miembro en el que operen las compañías de que se trate o de sus poderes públicos, tal como las definió el Tribunal de Justicia en el apartado 43 de la sentencia Lindqvist, antes citada. Según la Comisión, el objetivo que persiguen las compañías aéreas con el tratamiento de los datos de los PNR es simplemente respetar las exigencias del Derecho comunitario, incluida la obligación recogida en el punto 2 del Acuerdo. El artículo 3, apartado 2, de la Directiva se refiere a las actividades de autoridades públicas que no están comprendidas en el ámbito de aplicación del Derecho comunitario.

 Apreciación del Tribunal de Justicia

54      El artículo 3, apartado 2, primer guión, de la Directiva excluye de su ámbito de aplicación el tratamiento de datos personales efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de los títulos V y VI del Tratado de la Unión Europea, y, en cualquier caso, el tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado y las actividades del Estado en materia penal.

55      La Decisión sobre el carácter adecuado de la protección sólo hace referencia a los datos de los PNR que se transfieren al CBP. Del sexto considerando de esta Decisión resulta que la exigencia de que se transfieran dichos datos se basa en una ley promulgada por Estados Unidos en noviembre de 2001 y en los reglamentos de aplicación aprobados por el CBP con arreglo a la mencionada ley. Según el séptimo considerando de la citada Decisión, la legislación estadounidense en cuestión se refiere a la intensificación de la seguridad y de las condiciones en las que se permite la entrada y salida del país. A tenor del octavo considerando, la Comunidad está plenamente comprometida con el respaldo a Estados Unidos en la lucha contra el terrorismo, dentro de los límites fijados por el Derecho comunitario. El decimoquinto considerando de la misma Decisión expone que los datos de los PNR se utilizarán únicamente para los fines de prevención y lucha contra el terrorismo y delitos conexos, otros delitos graves, incluida la delincuencia organizada, que tengan un carácter transnacional y la fuga en caso de orden de arresto o detención por estos delitos.

56      En consecuencia, la transferencia de los datos de los PNR al CBP constituye un tratamiento que tiene por objeto la seguridad pública y las actividades del Estado en materia penal.

57      Si bien es correcto considerar que los datos de los PNR son inicialmente recogidos por las compañías aéreas en el marco de una actividad comprendida en el ámbito de aplicación del Derecho comunitario, a saber, la venta de un billete de avión que da derecho a una prestación de servicios, sin embargo, el tratamiento de datos contemplado en la Decisión sobre el carácter adecuado de la protección tiene una naturaleza bien distinta. En efecto, como se ha recordado en el apartado 55 de la presente sentencia, el tratamiento de datos a que se refiere esta Decisión no es necesario para la realización de una prestación de servicios, sino que se considera necesario para salvaguardar la seguridad pública y para fines represivos.

58      En el apartado 43 de la sentencia Lindqvist, antes citada, que ha sido invocada por la Comisión en su defensa, el Tribunal de Justicia declaró que las actividades que se mencionan como ejemplos en el artículo 3, apartado 2, primer guión, de la Directiva son, en todos los casos, actividades propias del Estado o de las autoridades estatales y ajenas a la esfera de actividades de los particulares. No obstante, de ello no se desprende que, debido al hecho de que los datos de los PNR sean recogidos por operadores privados con fines mercantiles y de que sean éstos quienes organizan su transferencia a un Estado tercero, dicha transferencia no esté incluida en el ámbito de aplicación de la citada disposición. En efecto, esta transferencia se inserta en un marco creado por los poderes públicos y cuyo objetivo es proteger la seguridad pública.

59      De las anteriores consideraciones resulta que la Decisión sobre el carácter adecuado de la protección se refiere a un tratamiento de datos personales en el sentido del artículo 3, apartado 2, primer guión, de la Directiva. Por tanto, dicha Decisión no está comprendida en el ámbito de aplicación de ésta.

60      En consecuencia, la primera parte del primer motivo, basada en la infracción del artículo 3, apartado 2, primer guión, de la Directiva, es fundada.

61      Por consiguiente, sin que sea necesario examinar las demás partes del primer motivo ni los demás motivos invocados por el Parlamento, procede anular la Decisión sobre el carácter adecuado de la protección.

 Sobre el recurso del asunto C‑317/04

62      El Parlamento invoca seis motivos de anulación, basados respectivamente en la elección errónea del artículo 95 CE como base jurídica de la Decisión 2004/496, en la infracción del artículo 300 CE, apartado 3, párrafo segundo, y del artículo 8 del CEDH y en la violación del principio de proporcionalidad, de la exigencia de motivación y del principio de cooperación leal.

 Sobre el primer motivo, basado en la elección errónea del artículo 95 CE como base jurídica de la Decisión 2004/496

 Alegaciones de las partes

63      El Parlamento alega que el artículo 95 CE no constituye una base jurídica adecuada para la adopción de la Decisión 2004/496. Afirma que esta Decisión no tiene por objeto y contenido el establecimiento y el funcionamiento del mercado interior, contribuyendo a la eliminación de obstáculos a la libre prestación de servicios, y no contiene disposiciones que persigan la consecución de este objetivo. En efecto, su finalidad consiste en legalizar el tratamiento de datos personales impuesto por la legislación de Estados Unidos. Además, el artículo 95 CE no puede constituir la base de la competencia de la Comunidad para celebrar el Acuerdo, dado que éste se refiere a tratamientos de datos que no están comprendidos en el ámbito de aplicación de la Directiva.

64      El Consejo sostiene que la Directiva, que se adoptó válidamente sobre la base del artículo 100 A del Tratado, contiene en su artículo 25 disposiciones que prevén la posibilidad de transferir datos personales a un Estado tercero que garantice un nivel de protección adecuado, así como la posibilidad de iniciar, en caso de que sea necesario, negociaciones para la celebración de un acuerdo entre la Comunidad y ese país. El Acuerdo se refiere a la libre circulación de los datos de los PNR entre la Comunidad y Estados Unidos en condiciones que respetan las libertades y los derechos fundamentales de las personas, en especial el derecho a la intimidad. Tiene por objeto suprimir cualquier distorsión de la competencia entre las compañías aéreas de los Estados miembros y entre éstas y las compañías de los Estados terceros que pueda derivarse de las exigencias impuestas por Estados Unidos por razones relativas a la protección de los derechos y libertades de las personas. A juicio del Consejo, las condiciones de competencia entre las compañías de los Estados miembros que prestan un servicio de transporte internacional de pasajeros con destino u origen en Estados Unidos podían resultar distorsionadas por el hecho de que sólo algunas de ellas habían concedido a las autoridades estadounidenses un acceso a sus bases de datos. El Acuerdo persigue imponer a todas las compañías afectadas obligaciones armonizadas.

65      La Comisión destaca que existe un «conflicto de leyes» en el sentido del Derecho internacional público entre las leyes estadounidenses y la normativa comunitaria y que es necesario conciliarlas. Reprocha al Parlamento, que niega que el artículo 95 CE pueda constituir la base jurídica de la Decisión 2004/96, que no haya propuesto una base jurídica adecuada. Según la Comisión, el citado artículo constituye «la base jurídica natural» de esta Decisión, ya que el Acuerdo se refiere a la dimensión externa de la protección de datos personales en su transferencia dentro de la Comunidad. Los artículos 25 y 26 de la Directiva establecen una competencia externa exclusiva en favor de la Comunidad.

66      La Comisión alega asimismo que el tratamiento inicial de estos datos por parte de las compañías aéreas se realiza con fines mercantiles. La utilización que hacen de estos datos las autoridades estadounidenses no tiene como consecuencia que queden fuera de la incidencia de la Directiva.

 Apreciación del Tribunal de Justicia

67      El artículo 95 CE en relación con el artículo 25 de la Directiva no puede constituir la base de la competencia de la Comunidad para celebrar el Acuerdo.

68      En efecto, el Acuerdo se refiere a la misma transferencia de datos que la Decisión sobre el carácter adecuado de la protección y, por tanto, a tratamientos de datos que, como ya se ha expuesto anteriormente, no están comprendidos en el ámbito de aplicación de la Directiva.

69      Por consiguiente, la Decisión 2004/496 no pudo adoptarse válidamente sobre la base del artículo 95 CE.

70      En consecuencia, sin que sea necesario examinar los demás motivos invocados por el Parlamento, debe anularse esta Decisión.

 Sobre la limitación de los efectos de la sentencia

71      Del punto 7 del Acuerdo resulta que cualquiera de las partes puede denunciarlo en todo momento y que éste dejará de aplicarse noventa días después de la fecha de notificación de la denuncia a la otra parte.

72      No obstante, con arreglo a los puntos 1 y 2 del Acuerdo, el derecho del CBP a acceder a los datos de los PNR y la obligación que se impone a las compañías aéreas de tratarlos como solicita el CBP sólo existen mientras sea aplicable la Decisión sobre el carácter adecuado de la protección. En el punto 3 de dicho Acuerdo, el CBP declaró que estaba aplicando los Compromisos adjuntos a la citada Decisión.

73      Teniendo en cuenta, por una parte, que la Comunidad no puede invocar su propio Derecho como justificación del incumplimiento del Acuerdo, que sigue siendo aplicable durante el plazo de noventa días a partir de su denuncia, y, por otra, la estrecha relación existente entre el Acuerdo y la Decisión sobre el carácter adecuado de la protección, resulta justificado, por razones de seguridad jurídica y con el fin de proteger a las personas afectadas, mantener los efectos de dicha Decisión durante el citado período. Además, es necesario considerar el plazo que requiere la adopción de las medidas necesarias para la ejecución de la presente sentencia.

74      Por tanto, procede mantener los efectos de la Decisión sobre el carácter adecuado de la protección hasta el 30 de septiembre de 2006, si bien no se mantendrán más allá de la fecha de extinción del Acuerdo.

 Costas

75      A tenor del artículo 69, apartado 2, del Reglamento de Procedimiento, la parte que pierda el proceso será condenada en costas, si así lo hubiera solicitado la otra parte. Dado que el Parlamento ha solicitado que se condene al Consejo y a la Comisión y que han sido desestimados los motivos formulados por éstos, procede condenarlos en costas. Con arreglo al apartado 4, párrafo primero, del mismo artículo, las partes coadyuvantes en los presentes litigios cargarán con sus propias costas.

En virtud de todo lo expuesto, el Tribunal de Justicia (Gran Sala) decide:

1)      Anular la Decisión 2004/496/CE del Consejo, de 17 de mayo de 2004, relativa a la celebración de un Acuerdo entre la Comunidad Europea y los Estados Unidos de América sobre el tratamiento y la transferencia de los datos de los expedientes de los pasajeros por las compañías aéreas al Departamento de seguridad nacional, Oficina de aduanas y protección de fronteras, de los Estados Unidos, y la Decisión 2004/535/CE de la Comisión, de 14 de mayo de 2004, relativa al carácter adecuado de la protección de los datos personales incluidos en los registros de nombres de los pasajeros que se transfieren al Servicio de aduanas y protección de fronteras de los Estados Unidos.

2)      Mantener los efectos de la Decisión 2004/535 hasta el 30 de septiembre de 2006, si bien no se mantendrán más allá de la fecha de extinción del citado Acuerdo.

3)      Condenar en costas al Consejo de la Unión Europea en el asunto C‑317/04.

4)      Condenar en costas a la Comisión de las Comunidades Europeas en el asunto C‑318/04.

5)      La Comisión de las Comunidades Europeas cargará con sus propias costas en el asunto C‑317/04.

6)      El Reino Unido de Gran Bretaña e Irlanda del Norte y el Supervisor Europeo de Protección de Datos cargarán con sus propias costas.

Firmas


* Lengua de procedimiento: francés.