SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala)
de 21 de junio de 2022 (*)
Índice
I. Marco jurídico
A. Derecho de la Unión
1. Directiva 95/46/CE
2. Directiva API
3. Directiva 2010/65
4. RGPD
5. Directiva 2016/680
6. Directiva PNR
7. Decisión Marco 2002/475
B. Derecho belga
1. Constitución
2. Ley de 25 de diciembre de 2016
II. Litigio principal y cuestiones prejudiciales
III. Sobre las cuestiones prejudiciales
A. Primera cuestión prejudicial
B. Cuestiones prejudiciales segunda a cuarta y sexta
1. Sobre las injerencias en los derechos fundamentales garantizados en los artículos 7 y 8 de la Carta que resultan de la Directiva PNR
2. Sobre la justificación de las injerencias dimanantes de la Directiva PNR
a) Sobre el respeto del principio de legalidad y del contenido esencial de los derechos fundamentales afectados
b) Sobre el objetivo de interés general y la idoneidad de los tratamientos de datos PNR en relación con dicho objetivo
c) Sobre el carácter necesario de las injerencias que resultan de la Directiva PNR
1) Datos de los pasajeros contemplados por la Directiva PNR
2) Finalidades de los tratamientos de datos PNR
3) Relación entre los datos PNR y las finalidades de los tratamientos de dichos datos
4) Pasajeros aéreos y vuelos afectados
5) Evaluación previa de los datos PNR por medio de tratamientos automatizados
i) Sobre la comparación de los datos PNR con las bases de datos
ii) Sobre el tratamiento de los datos PNR con arreglo a criterios predeterminados
iii) Sobre las garantías que lleva aparejado el tratamiento automatizado de los datos PNR
6) Comunicación y evaluación posteriores de los datos PNR
C. Quinta cuestión prejudicial
D. Séptima cuestión prejudicial
E. Octava cuestión prejudicial
F. Novena cuestión prejudicial, letra a)
G. Novena cuestión prejudicial, letra b)
H. Décima cuestión prejudicial
IV. Costas
«Procedimiento prejudicial — Tratamiento de datos personales — Datos de los registros de nombres de los pasajeros (PNR) — Reglamento (UE) 2016/679 — Artículo 2, apartado 2, letra d) — Ámbito de aplicación — Directiva (UE) 2016/681 — Utilización de datos PNR de los pasajeros de los vuelos aéreos operados entre la Unión Europea y terceros países — Facultad de incluir los datos de los pasajeros de los vuelos aéreos operados dentro de la Unión — Tratamientos automatizados de esos datos — Plazo de conservación — Lucha contra los delitos de terrorismo y la delincuencia grave — Validez — Carta de los Derechos Fundamentales de la Unión Europea — Artículos 7, 8, 21 y 52, apartado 1 — Normativa nacional que extiende la aplicación del sistema PNR a otros transportes realizados dentro de la Unión — Libertad de circulación dentro de la Unión — Carta de los Derechos Fundamentales — Artículo 45»
En el asunto C‑817/19,
que tiene por objeto una petición de decisión prejudicial planteada con arreglo al artículo 267 TFUE, por la Cour constitutionnelle (Tribunal Constitucional, Bélgica), mediante resolución de 17 de octubre de 2019, recibida en el Tribunal de Justicia el 31 de octubre de 2019, en el procedimiento entre
Ligue des droits humains
y
Conseil des ministres,
EL TRIBUNAL DE JUSTICIA (Gran Sala),
integrado por el Sr. K. Lenaerts, Presidente, los Sres. A. Arabadjiev, S. Rodin, I. Jarukaitis y N. Jääskinen, Presidentes de Sala, y los Sres. T. von Danwitz (Ponente), M. Safjan, F. Biltgen, P. G. Xuereb y N. Piçarra, la Sra. L. S. Rossi y los Sres. A. Kumin y N. Wahl, Jueces;
Abogado General: Sr. G. Pitruzzella;
Secretaria: Sra. M. Krausenböck, administradora;
habiendo considerado los escritos obrantes en autos y celebrada la vista el 13 de julio de 2021;
consideradas las observaciones presentadas:
– en nombre de la Ligue des droits humains, por la Sra. C. Forget, avocate;
– en nombre del Gobierno belga, por los Sres. P. Cottin y J.‑C. Halleux y por las Sras. C. Pochet y M. van Regemorter, en calidad de agentes, asistidos por la Sra. C. Caillet, advocaat, el Sr. E. Jacubowitz, avocat, y el Sr. G. Ceuppens, la Sra. V. Dethy y el Sr. D. Vertongen;
– en nombre del Gobierno checo, por la Sra. T. Machovičová y los Sres. O. Serdula, M. Smolek y J. Vláčil, en calidad de agentes;
– en nombre del Gobierno danés, por los Sres. M. Jespersen, J. Nymann-Lindegren y V. Pasternak Jørgensen y por la Sra. M. Søndahl Wolff, en calidad de agentes;
– en nombre del Gobierno alemán, por los Sres. D. Klebs y J. Möller, en calidad de agentes;
– en nombre del Gobierno estonio, por la Sra. N. Grünberg, en calidad de agente;
– en nombre de Irlanda, por la Sra. M. Browne, el Sr. M. A. Joyce y la Sra. J. Quaney, en calidad de agentes, asistidos por el Sr. D. Fennelly, BL;
– en nombre del Gobierno español, por el Sr. L. Aguilera Ruiz, en calidad de agente;
– en nombre del Gobierno francés, por el Sr. D. Dubois, la Sra. E. de Moustier y el Sr. T. Stehelin, en calidad de agentes;
– en nombre del Gobierno chipriota, por la Sra. E. Neofytou, en calidad de agente;
– en nombre del Gobierno letón, por el Sr. E. Bārdiņš y las Sras. K. Pommere y V. Soņeca, en calidad de agentes;
– en nombre del Gobierno neerlandés, por las Sras. M. K. Bulterman y A. Hanje, el Sr. J. Langer y la Sra. C. S. Schillemans, en calidad de agentes;
– en nombre del Gobierno austriaco, por los Sres. G. Kunnert y A. Posch y por la Sra. J. Schmoll, en calidad de agentes;
– en nombre del Gobierno polaco, por el Sr. B. Majczyna, en calidad de agente;
– en nombre del Gobierno eslovaco, por la Sra. B. Ricziová, en calidad de agente;
– en nombre del Gobierno finlandés, por las Sras. A. Laine y H. Leppo, en calidad de agentes;
– en nombre del Parlamento Europeo, por las Sras. O. Hrstková Šolcová y P. López-Carceller, en calidad de agentes;
– en nombre del Consejo de la Unión Europea, por el Sr. J. Lotarski, la Sra. N. Rouam y los Sres. E. Sitbon y C. Zadra, en calidad de agentes;
– en nombre de la Comisión Europea, por los Sres. D. Nardi y M. Wasmeier, en calidad de agentes;
– en nombre del Supervisor Europeo de Protección de Datos, por el Sr. P. Angelov y las Sras. A. Buchta, F. Coudert y C.‑A. Marnier, en calidad de agentes;
– en nombre de la Agencia de los Derechos Fundamentales de la Unión Europea, por la Sra. L. López y los Sres. T. Molnar, M. Nespor y M. O’Flaherty, en calidad de agentes;
oídas las conclusiones del Abogado General, presentadas en audiencia pública el 27 de enero de 2022;
dicta la siguiente
Sentencia
1 La petición de decisión prejudicial tiene por objeto, en esencia:
– la interpretación de los artículos 2, apartado 2, letra d), y 23 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (DO 2016, L 119, p. 1; en lo sucesivo, «RGPD»), de la Directiva 2004/82/CE del Consejo, de 29 de abril de 2004, sobre la obligación de los transportistas de comunicar los datos de las personas transportadas (DO 2004, L 261, p. 24; en lo sucesivo, «Directiva API»), así como de la Directiva 2010/65/UE del Parlamento Europeo y del Consejo, de 20 de octubre de 2010, sobre las formalidades informativas exigibles a los buques a su llegada o salida de los puertos de los Estados miembros y por la que se deroga la Directiva 2002/6/CE (DO 2010, L 283, p. 1);
– la interpretación y la validez, en relación con los artículos 7, 8 y 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»), de los artículos 3, punto 4, 6 y 12 y del anexo I de la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave (DO 2016, L 119, p. 132; en lo sucesivo, «Directiva PNR»), y
– la interpretación y la validez, en relación con el artículo 3 TUE, apartado 2, y el artículo 45 de la Carta, de la Directiva API.
2 Esta petición se ha formulado en el contexto de un litigio entre la Ligue des droits humains y el Conseil des ministres (Consejo de Ministros, Bélgica) en relación con la legalidad de la loi du 25 décembre 2016, relative au traitement des données des passagers (Ley de 25 de diciembre de 2016 relativa al Tratamiento de Datos de los Pasajeros).
I. Marco jurídico
A. Derecho de la Unión
1. Directiva 95/46/CE
3 La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31), fue derogada, con efecto a partir del 25 de mayo de 2018, por el RGPD. El artículo 3, apartado 2, de esta Directiva disponía:
«Las disposiciones de la presente Directiva no se aplicarán al tratamiento de datos personales:
– efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de los títulos V y VI del [Tratado UE], y, en cualquier caso, al tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal;
– efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.»
2. Directiva API
4 Los considerandos 1, 7, 9 y 12 de la Directiva API son del siguiente tenor:
«(1) Con objeto de luchar eficazmente contra la inmigración ilegal y de mejorar el control fronterizo, resulta esencial que todos los Estados miembros cuenten con un sistema que regule las obligaciones de los transportistas aéreos que traen pasajeros al territorio de los Estados miembros. Para alcanzar más eficazmente dicho objetivo, conviene asimismo armonizar, en la medida de lo posible, las sanciones pecuniarias actualmente previstas en los Estados miembros para el caso de incumplimiento de las obligaciones que incumben a los transportistas, teniendo en cuenta las diferencias de los ordenamientos y prácticas jurídicas entre los Estados miembros.
[…]
(7) Las obligaciones que se impondrán a los transportistas en virtud de la presente Directiva vienen a complementar las establecidas de conformidad con lo dispuesto en el artículo 26 del Convenio de aplicación del Acuerdo de Schengen de 14 de junio de 1985, firmado el 19 de julio de 1990, completado por la Directiva 2001/51/CE del Consejo[, de 28 de junio de 2001, por la que se completan las disposiciones del artículo 26 del Convenio de aplicación del Acuerdo de Schengen de 14 de junio de 1985 (DO 2001, L 187, p. 45),] ya que ambos tipos de obligaciones persiguen el mismo objetivo de controlar los flujos migratorios y luchar contra la inmigración ilegal.
[…]
(9) Con objeto de luchar más eficazmente contra la inmigración ilegal, y para facilitar la consecución de este objetivo, es imprescindible, sin perjuicio de lo dispuesto en la Directiva [95/46], que se tomen en cuenta cuanto antes todas las innovaciones tecnológicas, especialmente en lo que se refiere a la integración y utilización de datos biométricos en la información que deberán facilitar los transportistas.
[…]
(12) La Directiva [95/46] es aplicable al tratamiento de datos personales por las autoridades de los Estados miembros. Esto significa que, si bien sería legítimo tratar los datos de los pasajeros transmitidos a efectos de los controles fronterizos también para permitir su utilización como elemento de prueba en procedimientos destinados a la aplicación de las leyes y reglamentos relativos a la entrada y a la inmigración, incluidas sus disposiciones sobre la protección del orden público y la seguridad nacional, cualquier otro tratamiento de datos incompatible con dichos fines sería contrario a la letra b) del apartado 1 del artículo 6 de la Directiva [95/46]. Los Estados miembros deben prever un sistema de sanciones que se aplique en caso de prácticas contrarias al objetivo de la presente Directiva.»
5 El artículo 1 de la Directiva API, titulado «Objeto», establece:
«La presente Directiva tiene por objeto mejorar los controles fronterizos y combatir la inmigración ilegal mediante la comunicación previa por los transportistas a las autoridades nacionales competentes de los datos de las personas transportadas.»
6 El artículo 2 de esta Directiva, titulado «Definiciones», enuncia lo siguiente:
«A efectos de la presente Directiva se entenderá por:
a) “transportista”: toda persona física o jurídica que preste, con carácter profesional, servicios de transporte de personas por vía aérea;
b) “fronteras exteriores”: las fronteras exteriores de los Estados miembros con terceros países;
c) “control fronterizo”: el control realizado en las fronteras que obedece únicamente a la intención de cruzar la frontera, con independencia de otros motivos;
d) “paso fronterizo”: todo paso autorizado por las autoridades competentes para cruzar las fronteras exteriores;
e) “datos personales”, “tratamiento de datos personales” y “fichero de datos personales”: los conceptos así definidos en el artículo 2 de la Directiva [95/46].»
7 El artículo 3 de dicha Directiva, titulado «Comunicación de datos», dispone, en sus apartados 1 y 2:
«1. Los Estados miembros adoptarán las disposiciones necesarias para imponer a los transportistas la obligación de comunicar, a más tardar al término del embarque, cuando lo soliciten las autoridades encargadas de los controles de personas en las fronteras exteriores, la información relativa a las personas que van a transportar a un paso fronterizo habilitado por el que entrarán en el territorio de un Estado miembro.
2. La información contendrá:
– el número y el tipo de documento de viaje utilizado,
– la nacionalidad,
– el nombre y apellidos,
– la fecha de nacimiento,
– el paso fronterizo de entrada en el territorio de los Estados miembros,
– el código de transporte,
– la hora de salida y de llegada del transporte,
– el número total de personas transportadas en ese medio,
– el lugar inicial de embarque.»
8 El artículo 6 de la Directiva API, titulado «Tratamiento de la información», establece:
«1. Los datos personales a que se refiere el apartado 1 del artículo 3 se transmitirán a las autoridades encargadas de realizar el control de las personas en las fronteras exteriores a través de las cuales la persona transportada entrará en el territorio de un Estado miembro, con el objeto de facilitar la ejecución de dicho control a fin de combatir la inmigración ilegal más eficazmente.
Los Estados miembros velarán por que los transportistas recojan estos datos y los transmitan por medios electrónicos, o, si ello no fuera posible, por cualquier otro medio adecuado, a las autoridades encargadas de realizar los controles fronterizos en el paso fronterizo autorizado por el que el pasajero vaya a entrar en el territorio de un Estado miembro. Las autoridades encargadas de realizar el control de las personas en las fronteras exteriores guardarán los datos en un fichero temporal.
Tras la entrada de las personas transportadas, dichas autoridades procederán a borrar los datos en un plazo de 24 horas desde su comunicación, a menos que los datos vayan a ser necesarios posteriormente para el ejercicio de las funciones legales de las autoridades encargadas de los controles de personas en las fronteras exteriores con arreglo a la legislación nacional y respetando las disposiciones sobre protección de datos de la Directiva [95/46].
Los Estados miembros adoptarán las medidas necesarias para que los transportistas estén obligados a borrar en el plazo de 24 horas desde la llegada del medio de transporte los datos personales que hayan recogido y comunicado a las autoridades de fronteras, a los efectos de la presente Directiva, con arreglo al apartado 1 del artículo 3.
Los Estados miembros podrán utilizar asimismo a efectos policiales, con arreglo a su legislación nacional y respetando las disposiciones sobre protección de datos de la Directiva [95/46], los datos personales contemplados en el apartado 1 del artículo 3.
2. Los Estados miembros tomarán las medidas necesarias para obligar a los transportistas a informar a los pasajeros de conformidad con lo dispuesto en la Directiva [95/46]. Esta obligación se extenderá asimismo a la información a que se refieren la letra c) del artículo 10 y la letra c) del apartado 1 del artículo 11 de la Directiva [95/46].»
3. Directiva 2010/65
9 La Directiva 2010/65 queda derogada, en virtud del artículo 25 del Reglamento (UE) 2019/1239 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, por el que se crea un entorno europeo de ventanilla única marítima y se deroga la Directiva 2010/65 (DO 2019, L 198, p. 64), a partir del 15 de agosto de 2025.
10 El considerando 2 de esta Directiva enuncia:
«Para facilitar el tráfico marítimo y reducir la carga administrativa de las compañías navieras, conviene simplificar y armonizar en la mayor medida posible las formalidades relativas a la información exigidas por los actos jurídicos de la Unión y los Estados miembros. […]»
11 El artículo 1 de dicha Directiva, titulado «Objeto y ámbito de aplicación», dispone, en sus apartados 1 y 2:
«1. El objeto de la presente Directiva es simplificar y armonizar los procedimientos administrativos aplicados en el transporte marítimo, mediante la generalización de la transmisión electrónica normalizada de datos y la racionalización de las formalidades informativas.
2. La presente Directiva se aplicará a las formalidades informativas aplicables al transporte marítimo respecto de los buques a su llegada o salida de los puertos situados en los Estados miembros.»
12 A tenor del artículo 8 de la misma Directiva, titulado «Confidencialidad»:
«1. Los Estados miembros, de conformidad con los actos jurídicos aplicables de la Unión o con la legislación nacional aplicable, adoptarán las medidas necesarias para garantizar la confidencialidad de la información comercial u otra información de carácter confidencial intercambiada en virtud de la presente Directiva.
2. Los Estados miembros protegerán especialmente los datos comerciales recopilados en virtud de la presente Directiva. Por lo que se refiere a los datos personales, los Estados miembros garantizarán el cumplimiento de la Directiva [95/46]. Las instituciones y organismos de la Unión [Europea] garantizarán el cumplimiento del Reglamento (CE) n.o 45/2001 [del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO 2001, L 8, p. 1)].»
4. RGPD
13 El considerando 19 del RGPD enuncia:
«La protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal por parte de las autoridades competentes a efectos de la prevención, investigación, detección o enjuiciamiento de infracciones penales o de la ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad pública y la libre circulación de estos datos y su prevención, es objeto de un acto jurídico específico a nivel de la Unión. El presente Reglamento no debe, por lo tanto, aplicarse a las actividades de tratamiento destinadas a tales fines. No obstante, los datos personales tratados por las autoridades públicas en aplicación del presente Reglamento deben, si se destinan a tales fines, regirse por un acto jurídico de la Unión más específico, concretamente la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo[, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO 2016, L 119, p. 89)]. Los Estados miembros pueden encomendar a las autoridades competentes, tal como se definen en la Directiva [2016/680], funciones que no se lleven a cabo necesariamente con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o ejecución de sanciones penales, incluida la protección frente a las amenazas a la seguridad pública y su prevención, de tal forma que el tratamiento de datos personales para estos otros fines, en la medida en que esté incluido en el ámbito del Derecho de la Unión, entra en el ámbito de aplicación del presente Reglamento.
[…]»
14 El artículo 2 del mencionado Reglamento, titulado «Ámbito de aplicación material», establece en sus apartados 1 y 2:
«1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
2. El presente Reglamento no se aplica al tratamiento de datos personales:
a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;
b) por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del [Tratado UE];
[…]
d) por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.»
15 El artículo 4 de dicho Reglamento, titulado «Definiciones», dispone:
«A efectos del presente Reglamento se entenderá por:
1) “datos personales”: toda información sobre una persona física identificada o identificable […];
2) “tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;
[…]».
16 El artículo 23 del RGPD, titulado «Limitaciones», dispone:
«1. El Derecho de la Unión o de los Estados miembros que se aplique al responsable o el encargado del tratamiento podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en los artículos 12 a 22 y el artículo 34, así como en el artículo 5 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 12 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:
a) la seguridad del Estado;
b) la defensa;
c) la seguridad pública;
d) la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención;
[…]
h) una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos contemplados en las letras a) a e) y g);
[…]
2. En particular, cualquier medida legislativa indicada en el apartado 1 contendrá como mínimo, en su caso, disposiciones específicas relativas a:
a) la finalidad del tratamiento o de las categorías de tratamiento;
b) las categorías de datos personales de que se trate;
c) el alcance de las limitaciones establecidas;
d) las garantías para evitar accesos o transferencias ilícitos o abusivos;
e) la determinación del responsable o de categorías de responsables;
f) los plazos de conservación y las garantías aplicables habida cuenta de la naturaleza, alcance y objetivos del tratamiento o las categorías de tratamiento;
g) los riesgos para los derechos y libertades de los interesados, y
h) el derecho de los interesados a ser informados sobre la limitación, salvo si puede ser perjudicial a los fines de esta.»
17 El artículo 94 del mencionado Reglamento, titulado «Derogación de la Directiva [95/46]», prevé:
«1. Queda derogada la Directiva [95/46] con efecto a partir del 25 de mayo de 2018.
2. Toda referencia a la Directiva derogada se entenderá hecha al presente Reglamento. Toda referencia al Grupo de protección de las personas en lo que respecta al tratamiento de datos personales establecido por el artículo 29 de la Directiva [95/46] se entenderá hecha al Comité Europeo de Protección de Datos establecido por el presente Reglamento.»
5. Directiva 2016/680
18 La Directiva 2016/680 derogó y sustituyó, en virtud de su artículo 59, a partir del 6 de mayo de 2018, la Decisión Marco 2008/977/JAI del Consejo, de 27 de noviembre de 2008, relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal (DO 2008, L 350, p. 60).
19 A tenor de los considerandos 9 a 11 de la Directiva 2016/680:
«(9) Sobre esa base, el [RGPD] establece las normas generales para la protección de las personas físicas en relación con el tratamiento de los datos personales y para garantizar la libre circulación de datos personales dentro de la Unión.
(10) En la Declaración n.o 21 relativa a la protección de datos de carácter personal en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial, aneja al acta final de la Conferencia Intergubernamental que adoptó el Tratado de Lisboa, la Conferencia reconoció que podrían requerirse normas específicas sobre protección de datos personales y libre circulación de los mismos en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial basada en el artículo 16 [TFUE], en razón de la naturaleza específica de dichos ámbitos.
(11) Conviene por lo tanto que esos ámbitos estén regulados por una directiva que establezca las normas específicas relativas a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública. Entre dichas autoridades competentes no solo se deben incluir autoridades públicas tales como las autoridades judiciales, la policía u otras fuerzas y cuerpos de seguridad, sino también cualquier otro organismo o entidad en que el Derecho del Estado miembro haya confiado el ejercicio de la autoridad y las competencias públicas a los efectos de la presente Directiva. Cuando dicho organismo o entidad trate datos personales con fines distintos de los previstos en la presente Directiva, se aplica el [RGPD]. Así pues, el [RGPD] se aplica en los casos en los que un organismo o entidad recopile datos personales con otros fines y proceda a su tratamiento para el cumplimiento de una obligación jurídica a la que esté sujeto. Por ejemplo, con fines de investigación, detección o enjuiciamiento de infracciones penales, las instituciones financieras conservan determinados datos personales que ellas mismas tratan y únicamente facilitan dichos datos personales a las autoridades nacionales competentes en casos concretos y de conformidad con el Derecho del Estado miembro. Todo organismo o entidad que trate datos personales en nombre de las citadas autoridades dentro del ámbito de aplicación de la presente Directiva debe quedar obligado por un contrato u otro acto jurídico y por las disposiciones aplicables a los encargados del tratamiento con arreglo a la presente Directiva, mientras que la aplicación del [RGPD] permanece inalterada para el tratamiento de datos personales por encargados del tratamiento fuera del ámbito de aplicación de la presente Directiva.»
20 El artículo 1 de esta Directiva, titulado «Objeto y objetivos», que corresponde, en esencia, al artículo 1 de la Decisión Marco 2008/977, establece, en su apartado 1:
«La presente Directiva establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales por parte de las autoridades competentes, con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública.»
21 El artículo 3 de la referida Directiva, titulado «Definiciones», dispone:
«A efectos de la presente Directiva se entenderá por:
[…]
7) “autoridad competente”:
a) toda autoridad pública competente para la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluidas la protección y prevención frente a amenazas para la seguridad pública, o
b) cualquier otro órgano o entidad a quien el Derecho del Estado miembro haya confiado el ejercicio de la autoridad pública y las competencias públicas a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales o ejecución de sanciones penales, incluidas la protección y prevención frente a amenazas para la seguridad pública;
[…]».
6. Directiva PNR
22 Los considerandos 4 a 12, 15, 19, 20, 22, 25, 27, 28, 33, 36 y 37 de la Directiva PNR enuncian:
«(4) La Directiva [API] regula la comunicación previa por los transportistas aéreos a las autoridades nacionales competentes de información anticipada sobre los pasajeros (datos API, por sus siglas en inglés “advance passenger information”) con objeto de mejorar los controles fronterizos y combatir la inmigración ilegal.
(5) Son objetivos de la presente Directiva, entre otras cosas, garantizar la seguridad, proteger la vida y la seguridad de los ciudadanos y crear un marco jurídico para la protección de los datos PNR en lo que respecta a su tratamiento por las autoridades competentes.
(6) El uso eficaz de los datos PNR, por ejemplo, comparando los datos PNR con diversas bases de datos sobre personas y objetos buscados, es necesario para prevenir, detectar, investigar y enjuiciar de modo eficaz delitos de terrorismo y delitos graves, reforzando así la seguridad interior, para reunir pruebas y, en su caso, descubrir a los cómplices de los delincuentes y desmantelar redes delictivas.
(7) La evaluación de los datos PNR permite la identificación de personas no sospechosas de estar implicadas en delitos de terrorismo o en delitos graves antes de que un análisis de sus datos PNR indique que puedan estar implicadas en los mismos, y deban ser objeto de investigación adicional por parte de las autoridades competentes. Mediante la utilización de datos PNR es posible responder a la amenaza de delitos de terrorismo y delitos graves desde una perspectiva distinta del tratamiento de otras categorías de datos personales. Sin embargo, para garantizar que el tratamiento de datos se limite a lo necesario, el establecimiento y la aplicación de criterios de evaluación debe limitarse a los delitos de terrorismo y a la delincuencia grave para las que es pertinente el uso de esos criterios. Deben definirse, por otra parte, los criterios de evaluación de tal manera que el sistema señale al menor número posible de personas inocentes.
(8) Las compañías aéreas ya recogen y tratan datos PNR de sus pasajeros para sus fines comerciales propios. La presente Directiva no debe imponer ninguna obligación a las compañías aéreas de recoger o almacenar datos adicionales de los pasajeros ni a los pasajeros de facilitar a las compañías aéreas datos adicionales a los ya previstos.
(9) Algunas compañías aéreas almacenan los datos API que recogen como parte de los datos PNR, mientras que otras no lo hacen. Utilizar los datos PNR junto con los datos API representa un valor añadido para ayudar a los Estados miembros a verificar la identidad de una persona, reforzando así el valor policial de ese resultado y reduciendo al mínimo el riesgo de realizar controles e investigaciones de personas inocentes. Es, pues, importante asegurarse de que, cuando las compañías aéreas recojan datos API, los transfieran, con independencia de que conserven o no dichos datos por otros medios técnicos que los datos PNR.
(10) Para prevenir, detectar, investigar y enjuiciar los delitos de terrorismo y los delitos graves, es fundamental que todos los Estados miembros introduzcan disposiciones que impongan a las compañías aéreas que realizan vuelos exteriores de la [Unión], la obligación de transferir todos los datos PNR que recojan, incluidos los datos API. El Estado miembro debe tener la posibilidad también de ampliar esa obligación a las compañías aéreas que realizan vuelos interiores de la [Unión]. Estas disposiciones se deben entender sin perjuicio de la Directiva [API].
(11) El tratamiento de datos personales debe ser proporcional a los objetivos específicos de seguridad que persigue la presente Directiva.
(12) La definición de delitos de terrorismo que se aplica en la presente Directiva deberá ser la misma que la de la Decisión marco 2002/475/JAI del Consejo[, de 13 de junio de 2002, sobre la lucha contra el terrorismo (DO 2002, L 164, p. 3)]. La definición de delitos graves deberá englobar las categorías de delito enumeradas en el anexo II de la presente Directiva.
[…]
(15) Las listas de datos PNR que deba obtener una [Unidad de Información sobre los Pasajeros (UIP)] deberán elaborarse con el objetivo de reflejar las legítimas necesidades de las autoridades públicas para prevenir, detectar, investigar y enjuiciar los delitos de terrorismo y los delitos graves, mejorando así la seguridad interior en la Unión y la protección de los derechos fundamentales y, en particular, el derecho a la intimidad y la protección de datos personales. Para ello se deben aplicar exigencias elevadas, conforme a la [Carta], el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (“Convenio n.o 108”) y el Convenio [Europeo] para la protección de los derechos humanos y de las libertades fundamentales[, hecho en Roma el 4 de noviembre de 1950 (CEDH)]. Dichas listas no deben basarse en el origen racial o étnico, religión o convicciones, opiniones políticas o de cualquier otro tipo, la pertenencia a un sindicato, la salud, vida u orientación sexual. Los datos PNR solo deben contener la información detallada sobre las reservas e itinerarios de viaje que permita a las autoridades competentes identificar a los pasajeros por vía aérea que representan una amenaza para la seguridad interior.
[…]
(19) Cada Estado miembro debe ser responsable de evaluar las posibles amenazas relacionadas con los delitos de terrorismo y los delitos graves.
(20) Tomando plenamente en consideración el derecho a la protección de datos personales y el derecho a la no discriminación, no debe tomarse ninguna decisión que pudiera tener efectos jurídicos adversos para una persona o afectarle gravemente en razón únicamente del tratamiento automatizado de datos PNR. Asimismo, con arreglo a los artículos 8 y 21 de la Carta, dichas decisiones deben evitar toda discriminación por motivos como el sexo, raza, color, orígenes étnicos o sociales, características genéticas, lengua, religión o convicciones, opiniones políticas o de cualquier otro tipo, pertenencia a una minoría nacional, patrimonio, nacimiento, discapacidad, edad u orientación sexual. La Comisión [Europea] debe tener también en cuenta estos principios cuando revise la aplicación de la presente Directiva.
[…]
(22) Teniendo plenamente en cuenta los principios de la jurisprudencia reciente expuesta por el Tribunal de Justicia de la Unión Europea, la aplicación de la presente Directiva debe garantizar el pleno respeto de los derechos fundamentales y el derecho a la intimidad, así como el principio de proporcionalidad. Asimismo, debe responder realmente a los objetivos de necesidad y proporcionalidad para favorecer los intereses generales reconocidos por la Unión y a la necesidad de proteger los derechos y libertades de los demás en la lucha contra el terrorismo y la delincuencia grave. La presente Directiva debe aplicarse cuando exista una justificación suficiente y deben preverse las garantías necesarias para asegurar la legalidad de cualquier tipo de almacenamiento, análisis, uso o transferencia de datos PNR.
[…]
(25) El período durante el cual deben conservarse los datos PNR debe ser el necesario y debe ser proporcional a las finalidades de prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y los delitos graves. Dada la naturaleza de los datos y su utilización, es necesario que los datos PNR se conserven durante un período suficientemente largo para realizar análisis y utilizarlos en las investigaciones. Para evitar una utilización desproporcionada es necesario que, después del período inicial de conservación, los datos PNR se despersonalicen mediante enmascaramiento de elementos de los datos. Con el fin de garantizar el más alto nivel de protección de datos, el acceso al conjunto total de datos PNR, que permiten la identificación directa del interesado, solo debe poder autorizarse en condiciones muy estrictas y limitadas tras dicho período inicial.
[…]
(27) En cada Estado miembro, el tratamiento de los datos PNR por la UIP y las autoridades competentes debe respetar normas de protección de datos personales previstos en el derecho nacional que sean conformes con la Decisión marco [2008/977], así como los requisitos específicos de protección de datos establecidos en la presente Directiva. Las referencias a la Decisión marco [2008/977] deberán entenderse como hechas a la legislación actualmente en vigor, así como a la legislación que la sustituya.
(28) Considerando el derecho a la protección de datos personales, los derechos de los interesados relativos al tratamiento de sus datos PNR, tales como los derechos de acceso, rectificación, supresión y restricción de los datos PNR y el derecho a una indemnización y a una reparación judicial, deber ser conformes tanto con la Decisión marco [2008/977] como con el alto nivel de protección brindado por la Carta y el CEDH.
[…]
(33) La presente Directiva no afecta a la posibilidad de que los Estados miembros establezcan en su derecho nacional un mecanismo para recoger y tratar los datos PNR proporcionados por operadores económicos que no sean compañías aéreas, tales como agencias de viaje y operadores turísticos que prestan servicios relacionados con los viajes, como la reserva de vuelos, para los cuales recogen y tratan datos PNR, o de los transportistas que no sean los mencionados en [la presente Directiva], siempre que el derecho nacional de que se trate respete el Derecho de la Unión.
[…]
(36) La presente Directiva respeta los derechos fundamentales y los principios de la Carta, y en particular el derecho de protección de datos de carácter personal, el derecho a la intimidad y el derecho a la no discriminación reconocidos en los artículos 8, 7 y 21 de la misma, y debe aplicarse en consecuencia. La presente Directiva es compatible con los principios de protección de datos y sus disposiciones se ajustan a la Decisión marco [2008/977] del Consejo [de la Unión Europea]. Además, con el fin de cumplir el principio de proporcionalidad, la presente Directiva, en determinadas materias, contiene normas de protección de datos más estrictas que la Decisión marco [2008/977].
(37) Se ha limitado en lo posible el alcance de la presente Directiva pues permite conservar los datos PNR durante un período máximo de 5 años, tras el cual los datos deberán suprimirse; dispone que los datos deben despersonalizarse mediante enmascaramiento de los elementos de los datos tras un período inicial de seis meses, y prohíbe la recogida y utilización de datos sensibles. Para garantizar la eficiencia y un alto nivel de protección de datos, se exige a los Estados miembros que garanticen que una autoridad nacional de control independiente y, en particular, un responsable de la protección de datos, sea responsable de asesorar y de supervisar el modo en que se tratan los datos PNR. Cualquier tratamiento de datos PNR deberá registrarse o documentarse a efectos de la verificación de su legalidad, de autocontrol, así como para garantizar adecuadamente la integridad y seguridad del tratamiento. Los Estados miembros también deberán asegurarse de que los pasajeros reciban una información clara y precisa sobre la recogida de datos PNR y sobre sus derechos.»
23 El artículo 1 de la Directiva PNR, titulado «Objeto y ámbito de aplicación», establece:
«1. La presente Directiva regula:
a) la transferencia por las compañías aéreas de datos del registro de nombres de los pasajeros (PNR) de vuelos exteriores de la [Unión];
b) el tratamiento de los datos a que se refiere la letra a), incluida su recogida, utilización y conservación por los Estados miembros, así como el intercambio de los mismos entre dichos Estados miembros.
2. Los datos PNR obtenidos con arreglo a la presente Directiva podrán tratarse únicamente con fines de prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y los delitos graves contemplados en el artículo 6, apartado 2, letras a), b) y c).»
24 El artículo 2 de esta Directiva, titulado «Aplicación de la presente Directiva a los vuelos interiores de la [Unión]», está redactado en los siguientes términos:
«1. En caso de que un Estado miembro decida aplicar la presente Directiva a los vuelos interiores de la [Unión], lo notificará por escrito a la Comisión. Cualquier Estado miembro podrá efectuar o revocar esta notificación en cualquier momento. La Comisión publicará dicha notificación y cualquier revocación de la misma en el Diario Oficial de la Unión Europea.
2. Cuando se efectúe la notificación a que se refiere el apartado 1, todas las disposiciones de la presente Directiva se aplicarán a los vuelos interiores de la [Unión] de igual modo que si se tratara de vuelos al exterior de la [Unión], y a los datos PNR de vuelos interiores de la [Unión] de igual modo que si se tratara de datos PNR de vuelos al exterior de la [Unión].
3. Cada Estado miembro podrá decidir aplicar la presente Directiva exclusivamente a vuelos interiores de la [Unión] seleccionados. Al adoptar tal decisión, el Estado miembro deberá elegir los vuelos que considere necesarios a fin de perseguir los objetivos de la presente Directiva. El Estado miembro podrá decidir modificar la selección de vuelos interiores de la [Unión] en todo momento.»
25 El artículo 3 de dicha Directiva, titulado «Definiciones», establece:
«A efectos de la presente Directiva, se entenderá por:
1) “compañía aérea”: empresa de transporte aéreo con una licencia de explotación válida o similar que le permita llevar a cabo el transporte de pasajeros por vía aérea;
2) “vuelo exterior de la [Unión]”: cualquier vuelo, programado o no programado por una compañía aérea, procedente de un tercer país que tenga previsto aterrizar en el territorio de un Estado miembro o volar procedente del territorio de un Estado miembro y que tenga previsto aterrizar en un tercer país, incluidos en ambos casos los vuelos que hagan escala en el territorio de Estados miembros o de terceros países;
3) “vuelo interior de la [Unión]”: cualquier vuelo, programado o no programado por una compañía aérea, procedente del territorio de un Estado miembro y que tenga previsto aterrizar en el territorio de otro u otros Estados miembros, sin escalas en el territorio de un tercer país;
4) “pasajero”: toda persona, incluidos los pasajeros en tránsito o en conexión y exceptuados los miembros de la tripulación, transportada o que vaya a ser transportada a bordo de una aeronave con el consentimiento de la compañía aérea, lo cual se manifiesta en la inclusión de la persona en la lista de pasajeros;
5) “registro de nombres de los pasajeros” o “PNR”: una relación de los requisitos de viaje impuestos a cada pasajero, que incluye toda la información necesaria para el tratamiento y el control de las reservas por parte de las compañías aéreas que las realizan y participan en el sistema PNR, por cada viaje reservado por una persona o en su nombre, ya estén contenidos en sistemas de reservas, en sistemas de control de salidas utilizado para embarcar a los pasajeros en el vuelo o en sistemas equivalentes que posean las mismas funcionalidades;
6) “sistema de reserva”: el sistema de reservas interno de la compañía aérea en el cual se recogen los datos PNR para el tratamiento de las reservas;
7) “método de transmisión”: método por el cual las compañías aéreas envían los datos PNR incluidos en el anexo I a la base de datos de la autoridad requirente;
8) “delitos de terrorismo”: los delitos con arreglo al derecho nacional a que se refieren los artículos 1 a 4 de la Decisión marco [2002/475];
9) “delitos graves”: los delitos incluidos en el anexo II que son punibles con una pena privativa de libertad o un auto de internamiento de una duración máxima no inferior a tres años con arreglo al derecho nacional de un Estado miembro;
10) “despersonalizar mediante enmascaramiento de elementos de los datos”: hacer invisibles para un usuario aquellos elementos de los datos que servirían para identificar directamente al interesado.»
26 El artículo 4 de la Directiva PNR, titulado «Unidad de Información sobre los Pasajeros», establece, en sus apartados 1 a 3:
«1. Cada Estado miembro establecerá o designará una autoridad competente para la prevención, detección, investigación o enjuiciamiento de los delitos de terrorismo y delitos graves, o una sucursal de esa autoridad, para actuar como su Unidad de Información sobre los Pasajeros (“UIP”).
2. La UIP será responsable de:
a) recoger los datos PNR de las compañías aéreas, almacenar y procesar esos datos y transferir dichos datos o el resultado de su tratamiento a las autoridades competentes a que hace mención el artículo 7;
b) intercambiar tanto los datos PNR como los resultados de su tratamiento con las UIP de otros Estados miembros y con Europol, de conformidad con los artículos 9 y 10.
3. El personal de la UIP podrá ser enviado en comisión de servicios por las autoridades competentes. Los Estados miembros dotarán a las UIP de los recursos adecuados para que realicen su cometido.»
27 El artículo 5 de esta Directiva, titulado «Responsable de la protección de datos en la UIP», está redactado así:
«1. La UIP designará a un responsable de la protección de datos para controlar el tratamiento de los datos PNR y aplicar las garantías oportunas.
2. Los Estados miembros dotarán al responsable de la protección de datos de los medios necesarios para que desempeñe sus funciones y cometidos con arreglo al presente artículo de manera eficaz e independiente.
3. Los Estados miembros velarán por que el interesado tenga derecho a ponerse en contacto con el responsable de la protección de datos, como punto de contacto único, para todas las cuestiones relacionadas con el tratamiento de sus datos PNR.»
28 El artículo 6 de la citada Directiva, titulado «Tratamiento de los datos PNR», dispone:
«1. Los datos PNR transmitidos por las compañías aéreas serán recopilados por la UIP del Estado miembro que corresponda, con arreglo a lo dispuesto en el artículo 8. Si los datos PNR transmitidos por las compañías aéreas incluyeran datos distintos de los enumerados en el anexo I, la UIP los suprimirá inmediatamente y de manera definitiva en el momento de su recepción.
2. La UIP tratará los datos PNR solo para realizar:
a) una evaluación de los pasajeros antes de su llegada o salida programada del Estado miembro, a fin de identificar a toda persona que deba ser examinada de nuevo por las autoridades competentes a que se refiere el artículo 7 y, en su caso, por Europol, de conformidad con el artículo 10, ante la posibilidad de que pudiera estar implicada en un delito de terrorismo o delito grave;
b) responder en cada caso particular, a las peticiones debidamente razonadas y con suficiente base de las autoridades competentes de que se suministren y traten datos PNR en casos específicos a efectos de prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves, y facilitar a las autoridades competentes o, en su caso, a Europol, los resultados de dicho tratamiento, y
c) analizar los datos PNR con el fin de actualizar o establecer nuevos criterios que deben utilizarse en las evaluaciones realizadas en virtud del apartado 3, letra b), a fin de identificar a toda persona que pueda estar implicada en un delito de terrorismo o delito grave.
3. Al realizar la evaluación a que se refiere el artículo 2, letra a), la UIP podrá:
a) comparar los datos PNR con las bases de datos pertinentes a los efectos de la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves, incluidas las bases de datos sobre personas u objetos buscados o bajo alerta, de acuerdo con las normas de la Unión, internacionales y nacionales aplicables a dichas bases de datos, o
b) tratar los datos PNR con arreglo a criterios predeterminados.
4. La evaluación de los pasajeros antes de su llegada o salida programada del Estado miembro mencionado, efectuada de conformidad con los criterios predeterminados a que se refiere el apartado 3, letra b), se realizará de forma no discriminatoria con arreglo a criterios de evaluación establecidos por su UIP. Estos criterios predeterminados de evaluación deben ser orientados, proporcionados y específicos. Los Estados miembros se asegurarán de que las UIP establezcan esos criterios y los revisen periódicamente, en cooperación con las autoridades competentes mencionadas en el artículo 7. Los criterios no se basarán en ningún caso en el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, la pertenencia a un sindicato, la salud o la vida u orientación sexual de la persona.
5. Los Estados miembros velarán por que se revise individualmente, por medios no automatizados, todo resultado positivo que arroje el tratamiento automatizado de los datos PNR efectuado con arreglo al artículo 2, letra a), con el fin de comprobar si es necesario que las autoridades competentes a que hace referencia el artículo 7 emprendan una acción en virtud del derecho nacional.
6. La UIP de un Estado miembro transmitirá los datos PNR de las personas identificadas con arreglo al apartado 2, letra a), o los resultados del tratamiento de esos datos PNR a las autoridades competentes pertinentes a que hace referencia el artículo 7 del mismo Estado miembro para su ulterior examen. Dicha transmisión solo se llevará a cabo tras un análisis de cada caso y, en caso de tratamiento automatizado de los datos PNR, tras una revisión individualizada por medios no automatizados.
7. Los Estados miembros velarán por que el responsable de la protección de datos tenga acceso a todos los datos tratados por la UIP. Si el responsable de la protección de datos considera que el tratamiento de un dato cualquiera no ha sido lícito, podrá remitirlo a la autoridad nacional de control.
[…]
9. Las consecuencias de las evaluaciones de los pasajeros a que se refiere la letra a) del apartado 2 del presente artículo no perjudicarán el derecho de entrada de las personas que gocen del derecho de la Unión de libre circulación en el territorio del Estado miembro en cuestión tal como se establece en la Directiva 2004/38/CE del Parlamento Europeo y del Consejo[, de 29 de abril de 2004, relativa al derecho de los ciudadanos de la Unión y de los miembros de sus familias a circular y residir libremente en el territorio de los Estados miembros, por la que se modifica el Reglamento (CEE) n.o 1612/68 y se derogan las Directivas 64/221/CEE, 68/360/CEE, 72/194/CEE, 73/148/CEE, 75/34/CEE, 75/35/CEE, 90/364/CEE, 90/365/CEE y 93/96/CEE (DO 2004, L 158, p. 77)]. Por otra parte, en caso de que se efectúen en relación con vuelos interiores de la [Unión] entre Estados miembros a los que sea aplicable el Reglamento (CE) n.o 562/2006 del Parlamento Europeo y del Consejo[, de 15 de marzo de 2006, por el que se establece un código comunitario de normas para el cruce de personas por las fronteras (código de fronteras Schengen) (DO 2006, L 105, p. 1)], las consecuencias de tales evaluaciones se ajustarán a dicho Reglamento.»
29 A tenor del artículo 7 de la Directiva PNR, titulado «Autoridades competentes»:
«1. Cada Estado miembro elaborará la lista de autoridades competentes para solicitar o recibir datos PNR o el resultado del tratamiento de los mismos de las UIP, a fin de seguir examinando esa información o de tomar las medidas adecuadas para prevenir, detectar, investigar y enjuiciar los delitos de terrorismo y los delitos graves.
2. Las autoridades a que se refiere el apartado 1 serán del Estado miembro competentes para la prevención, detección, investigación o enjuiciamiento de los delitos de terrorismo y delitos graves.
[…]
4. Los datos PNR y los resultados del tratamiento de dichos datos recibidos por la UIP podrán ser objeto de tratamiento posterior por las autoridades competentes de los Estados miembros únicamente con el fin específico de prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves.
5. El apartado 4 se entiende sin perjuicio de las facultades policiales o judiciales con arreglo al derecho nacional en el caso de que, en el curso de la acción ejercida después del tratamiento, se detecten otros delitos o indicios de delitos.
6. Las autoridades competentes no adoptarán ninguna decisión que produzca efectos jurídicos adversos para una persona o que afecte significativamente a una persona únicamente en razón del tratamiento automatizado de datos PNR. Dichas decisiones no deberán basarse en la raza o el origen étnico, las opiniones políticas, las creencias religiosas o filosóficas, la pertenencia a un sindicato, la salud o la vida u orientación sexual de la persona.»
30 El artículo 8 de esta Directiva, titulado «Obligaciones de las compañías aéreas en relación con la transmisión de datos», establece, en sus apartados 1 a 3:
«1. Los Estados miembros adoptarán las medidas necesarias para garantizar que las compañías aéreas envíen, mediante el método de transmisión, los datos PNR relacionados en el anexo I, en la medida en que ya los hayan recopilado en el transcurso normal de su actividad, a la base de datos de la UIP del Estado miembro en cuyo territorio aterrizará o de cuyo territorio saldrá el vuelo. En los casos en que el código de un vuelo internacional sea compartido con una o más compañías aéreas, la obligación de transmitir los datos PNR de todos los pasajeros de dicho vuelo recaerá en la compañía aérea que explote el vuelo. Si un vuelo exterior de la [Unión] realiza una o varias escalas en los aeropuertos de los Estados miembros, las compañías aéreas transmitirán los datos PNR de todos los pasajeros a las UIP de todos los Estados miembros interesados. Lo mismo se aplica a los vuelos interiores de la [Unión] con una o varias escalas en aeropuertos de diversos Estados miembros, pero solo en relación con los Estados miembros que estén recogiendo datos PNR de vuelos interiores de la [Unión].
2. En caso de que las compañías aéreas hayan recopilado los [datos API] enumerados en el punto 18 del anexo I, pero no los conserven con los mismos medios técnicos que otros datos PNR, los Estados miembros adoptarán las medidas necesarias para garantizar que las compañías aéreas envíen también esos datos, mediante el método de transmisión, a la UIP del Estado miembro a que se refiere el apartado 1. En caso de que se lleve a cabo esta transmisión, se aplicarán todas las disposiciones de la presente Directiva en relación con los mencionados datos API.
3. Las compañías aéreas transmitirán los datos PNR por medios electrónicos utilizando los protocolos y los formatos de datos comunes que deberán adoptarse conforme al procedimiento de examen a que se refiere el artículo 17, apartado 2, o, en caso de fallo técnico, por cualquier otro medio apropiado que garantice un nivel adecuado de seguridad de los datos:
a) 24 a 48 horas antes de la hora de salida programada del vuelo, e
b) inmediatamente después del cierre del vuelo, es decir, una vez que los pasajeros hayan embarcado en el avión en preparación de la salida y no sea posible embarcar o desembarcar pasajeros.»
31 El artículo 12 de dicha Directiva, titulado «Período de conservación de los datos y despersonalización», dispone:
«1. Los Estados miembros se asegurarán de que los datos PNR proporcionados por las compañías aéreas a la UIP se conservan en una base de datos de la Unidad durante un plazo de cinco años a partir de su transmisión a la UIP del Estado miembro en cuyo territorio tenga su punto de aterrizaje u origen el vuelo.
2. Al finalizar un plazo de seis meses desde la transmisión de datos PNR mencionada en el apartado 1, todos los datos PNR deberán ser despersonalizados mediante enmascaramiento de los siguientes elementos que podrían servir para identificar directamente al pasajero al que se refieren los datos PNR:
a) nombre(s) y apellido(s), incluidos los de otros pasajeros que figuran en el PNR y número de personas que figuran en el PNR que viajan juntas;
b) dirección y datos de contacto;
c) todos los datos sobre el pago, incluida la dirección de facturación, en la medida en que contengan información que pueda servir para identificar directamente al pasajero al que se refiere el PNR, o a cualquier otra persona;
d) información sobre viajeros asiduos;
e) observaciones generales, en la medida en que contengan información que pueda servir para identificar directamente al pasajero al que se refiere el PNR, y
f) toda la API recopilada.
3. Al finalizar el período de seis meses mencionado en el apartado 2, solo se permitirá la divulgación de los datos PNR completos cuando:
a) se crea razonablemente que es necesario a los efectos establecidos en el artículo 6, apartado 2, letra b), y
b) haya sido aprobado por:
i) una autoridad judicial, u
ii) otra autoridad nacional competente para verificar si se cumplen las condiciones para la divulgación conforme al derecho nacional, con sujeción a la información y revisión a posteriori del responsable de la protección de datos de la UIP.
4. Los Estados miembros se asegurarán de que los datos PNR sean suprimidos de modo permanente al finalizar el período a que se refiere el apartado 1. Esta obligación se entenderá sin perjuicio de aquellos casos en que se hayan transferido datos PNR específicos a una autoridad competente y se estén utilizando en el marco de un asunto específico a efectos de prevenir, detectar, investigar o enjuiciar los actos de terrorismo o delitos graves, en cuyo caso la conservación de los datos por la autoridad competente se regirá por el derecho nacional.
5. Los resultados del tratamiento a que se refiere el artículo 6, apartado 2, letra a), serán conservados por la UIP únicamente durante el tiempo necesario para informar de un resultado positivo a las autoridades competentes y, de conformidad con el artículo 9, apartado 1, a las UIP de otros Estados miembros. Cuando el resultado de un tratamiento automatizado, tras un examen individual por medios no automatizados, contemplado en el artículo 6, apartado 5, arroje un resultado negativo, este se podrá almacenar para evitar falsos resultados positivos mientras los datos de base no se hayan eliminado con arreglo al apartado 4 del presente artículo.»
32 El artículo 13 de la Directiva PNR, titulado «Protección de los datos de carácter personal», dispone, en sus apartados 1 a 5:
«1. Cada Estado miembro establecerá que, en lo que respecta al tratamiento de datos personales con arreglo a la presente Directiva, todo pasajero tendrá los mismos derechos de protección de sus datos personales, derechos de acceso, rectificación, supresión y restricción y derechos de indemnización y recurso judicial que los establecidos en el derecho de la Unión y nacional y en aplicación de los artículos 17, 18, 19 y 20 de la Decisión marco [2008/977]. Se aplicarán, por lo tanto, dichos artículos.
2. Cada Estado miembro establecerá que las disposiciones adoptadas en el marco del derecho nacional en aplicación de los artículos 21 y 22 de la Decisión marco [2008/977] sobre la confidencialidad del tratamiento y la seguridad de los datos se aplicarán también a todo tratamiento de datos personales con arreglo a la presente Directiva.
3. La presente Directiva se entenderá sin perjuicio de la aplicabilidad de la Directiva [95/46] al tratamiento de datos personales por las compañías aéreas, en particular sus obligaciones de tomar las medidas técnicas y de organización adecuadas para proteger la seguridad y la confidencialidad de los datos personales.
4. Los Estados miembros prohibirán el tratamiento de datos PNR que revele[n] el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, la pertenencia a un sindicato, la salud, la vida sexual o la orientación sexual de una persona. En el caso de que la UIP reciba datos PNR que revelen tal información, los suprimirá inmediatamente.
5. Los Estados miembros garantizarán que las UIP conserven la documentación relativa a todos los sistemas y procedimientos de tratamiento bajo su responsabilidad. Dicha documentación constará como mínimo de los siguientes elementos:
a) el nombre y los datos de contacto de la organización y del personal de la UIP encargados del tratamiento de los datos PNR y los distintos niveles de autorización de acceso;
b) las solicitudes cursadas por las autoridades competentes y por las UIP de otros Estados miembros;
c) todas las solicitudes y transmisiones de datos PNR a un tercer país.
La UIP pondrá toda la documentación a disposición de la autoridad nacional de control a petición de esta.»
33 Según el artículo 15 de esta Directiva, titulado «Autoridad nacional de control»:
«1. Cada Estado miembro dispondrá que la autoridad nacional de control a que se refiere el artículo 25 de la Decisión marco [2008/977] sea responsable de asesorar sobre la aplicación en su territorio de las disposiciones adoptadas por los Estados miembros de conformidad con la presente Directiva y de controlar dicha aplicación. Será aplicable el artículo 25 de la Decisión marco [2008/977].
2. Las autoridades nacionales de control realizarán las actividades a que se refiere el apartado 1 con el fin de proteger los derechos fundamentales relativos al tratamiento de los datos personales.
3. Cada autoridad nacional de control:
a) conocerá de las reclamaciones presentadas por cualquier interesado, investigará el asunto e informará al interesado de los progresos y el resultado de su reclamación en un plazo de tiempo razonable;
b) verificará la legalidad del tratamiento de los datos, realizará investigaciones, inspecciones y auditorías de conformidad con el derecho nacional, bien por propia iniciativa, bien sobre la base de la reclamación a que se refiere la letra a).
4. Cada autoridad nacional de control asesorará, previa solicitud, a cualquier interesado en el ejercicio de los derechos establecidos en las disposiciones adoptadas con arreglo a la presente Directiva.»
34 El artículo 19 de la referida Directiva, titulado «Revisión», establece:
«1. Atendiendo a la información que le faciliten los Estados miembros, incluida la información estadística a que se refiere el artículo 20, apartado 2, la Comisión, a más tardar el 25 de mayo de 2020, realizará una revisión de todos los elementos de la presente Directiva y presentará y someterá un informe al Parlamento Europeo y al Consejo.
2. Al realizar la revisión, la Comisión prestará especial atención:
a) al cumplimiento de las normas aplicables de protección de los datos personales;
b) a la necesidad y la proporcionalidad de la recogida y del tratamiento de datos PNR para cada uno de los fines establecidos en la presente Directiva;
c) a la duración del período de conservación de datos;
d) a la eficacia del intercambio de información entre los Estados miembros, y
e) a la calidad de las evaluaciones, también con respecto a la información estadística recopilada de conformidad con el artículo 20.
3. El informe a que se refiere el apartado 1 incluirá asimismo un estudio de la necesidad, la proporcionalidad y la eficacia de la inclusión en el ámbito de aplicación de la presente Directiva de la recogida y transmisión obligatoria de los datos PNR relativos a todos o determinados vuelos interiores de la [Unión]. La Comisión tendrá en cuenta la experiencia adquirida por los Estados miembros, en especial por aquellos que aplican la presente Directiva a los vuelos interiores de la [Unión], de conformidad con el artículo 2. El informe estudiará también la necesidad de incluir en el ámbito de aplicación de la presente Directiva a agentes económicos que no sean compañías aéreas, tales como agencias de viaje y operadores turísticos que prestan servicios relacionados con los viajes, como la reserva de vuelos.
4. La Comisión presentará, en su caso, a la luz de la revisión efectuada con arreglo al presente artículo, una propuesta legislativa al [Parlamento] y al Consejo con vistas a la modificación de la presente Directiva.»
35 El artículo 21 de la misma Directiva, titulado «Relación con otros instrumentos», establece, en su apartado 2:
«La presente Directiva se entenderá sin perjuicio de la aplicabilidad de la Directiva [95/46] al tratamiento de datos personales por las compañías aéreas.»
36 El anexo I de la Directiva PNR, titulado «Datos del registro de nombres de los pasajeros recopilados por las compañías aéreas», recoge la siguiente lista:
«1. Localizador de registro PNR
2. Fecha de reserva/emisión del billete
3. Fecha(s) […] de viaje prevista(s)
4. Nombre(s) y apellido(s)
5. Dirección y datos de contacto (número de teléfono, dirección de correo electrónico)
6. Todos los datos de pago, incluida la dirección de facturación
7. Itinerario completo del viaje para el PNR específico
8. Información sobre viajeros asiduos
9. Agencia de viajes/operador de viajes
10. Situación de vuelo del pasajero: confirmaciones, facturación, no comparecencia o pasajeros de última hora sin reserva
11. Información PNR escindida/dividida
12. Observaciones generales (incluida toda la información disponible sobre menores de 18 años no acompañados, como nombre y sexo del menor, edad, idiomas que habla, nombre, apellidos y dirección de contacto del acompañante en el aeropuerto de salida y vínculo con el menor, nombre, apellidos y dirección de contacto del acompañante en el aeropuerto de llegada y vínculo con el menor, agente en el lugar de salida y de llegada)
13. Información sobre el billete, incluidos el número del billete, la fecha de emisión, los billetes solo de ida y la indicación de la tarifa de los billetes electrónicos (Automatic Ticket Fare Quote)
14. Datos del asiento, incluido el número
15. Información sobre códigos compartidos
16. Toda la información relativa al equipaje
17. Número de viajeros y otros nombres de viajeros que figuran en el PNR
18. Cualquier información recogida en el sistema de información anticipada sobre los pasajeros (sistema API) (incluidos el tipo, número, país de emisión y fecha de expiración de cualquier documento de identidad, nacionalidad, apellidos, nombre, sexo, fecha de nacimiento, compañía aérea, número de vuelo, fecha de salida, fecha de llegada, aeropuerto de salida, aeropuerto de llegada, hora de salida y hora de llegada)
19. Todo el historial de cambios de los datos PNR indicados en los números 1 a 18.»
37 El anexo II de esta Directiva, titulado «Lista de los delitos a que se refiere el artículo 3, punto 9», es del siguiente tenor:
«1. pertenencia a una organización delictiva
2. trata de seres humanos
3. explotación sexual de niños y pornografía infantil
4. tráfico ilícito de estupefacientes y sustancias psicotrópicas
5. tráfico ilícito de armas, municiones y explosivos
6. corrupción
7. fraude, incluido el que afecte a los intereses financieros de la Unión
8. blanqueo del producto del delito y falsificación de moneda, con inclusión del euro
9. delitos informáticos/ciberdelincuencia
10. delitos contra el medio ambiente, incluido el tráfico ilícito de especies animales protegidas y de especies y variedades vegetales protegidas
11. ayuda a la entrada y residencia ilegales
12. homicidio voluntario, agresión con lesiones graves
13. tráfico ilícito de órganos y tejidos humanos
14. secuestro, detención ilegal y toma de rehenes
15. robo organizado y a mano armada
16. tráfico ilícito de bienes culturales, incluidas las antigüedades y las obras de arte
17. falsificación y violación de derechos de propiedad intelectual o industrial de mercancías
18. falsificación de documentos administrativos y tráfico de documentos administrativos falsos
19. tráfico ilícito de sustancias hormonales y otros factores de crecimiento
20. tráfico ilícito de materiales radiactivos o sustancias nucleares
21. violación
22. delitos incluidos en la jurisdicción de la Corte Penal Internacional
23. secuestro de aeronaves y buques
24. sabotaje
25. tráfico de vehículos robados
26. espionaje industrial.»
7. Decisión Marco 2002/475
38 El artículo 1 de la Decisión Marco 2002/475 definía el concepto de «delitos de terrorismo», enumerando una serie de actos intencionados, a que se refieren las letras a) a i) de ese mismo artículo, cometidos con el fin de «intimidar gravemente a una población», «obligar indebidamente a los poderes públicos o a una organización internacional a realizar un acto o a abstenerse de hacerlo» o «desestabilizar gravemente o destruir las estructuras fundamentales políticas, constitucionales, económicas o sociales de un país o de una organización internacional». Los artículos 2 y 3 de esta Decisión Marco definían los conceptos de «delitos relativos a un grupo terrorista» y de «delitos ligados a las actividades terroristas», respectivamente. El artículo 4 de la citada Decisión Marco regulaba la inducción y la complicidad para cometer estos delitos y el grado de ejecución de tentativa.
39 La Decisión Marco 2002/475 fue derogada por la Directiva (UE) 2017/541 del Parlamento Europeo y del Consejo, de 15 de marzo de 2017, relativa a la lucha contra el terrorismo y por la que se sustituye la Decisión Marco 2002/475 y se modifica la Decisión 2005/671/JAI del Consejo (DO 2017, L 88, p. 6), cuyos artículos 3 a 14 incluyen definiciones similares.
B. Derecho belga
1. Constitución
40 El artículo 22 de la Constitución establece lo siguiente:
«Todos tienen derecho al respeto de su vida privada y familiar, salvo en los casos y condiciones establecidos por la ley.
La protección de dicho derecho será garantizada por ley, por decreto o por la norma a que se refiere el artículo 134.»
2. Ley de 25 de diciembre de 2016
41 El artículo 2 de la loi du 25 décembre 2016, relative au traitement des données des passagers (Ley de 25 de diciembre de 2016 relativa al Tratamiento de Datos de los Pasajeros) (Moniteur belge de 25 de enero de 2017, p. 12905; en lo sucesivo, «Ley de 25 de diciembre de 2016»), es del siguiente tenor:
«La presente Ley y los reales decretos que se aprueben en ejecución de esta transponen la [Directiva API] y la [Directiva PNR]. La presente Ley y el Real Decreto relativo al Sector Marítimo transponen parcialmente la Directiva [2010/65].»
42 El artículo 3 de dicha Ley dispone:
«§ l. La presente Ley determina las obligaciones que incumben a los transportistas y operadores de viajes en relación con la comunicación de los datos de los pasajeros con destino o procedencia en el territorio nacional o en tránsito por dicho territorio.
§ 2. Mediante real decreto aprobado en Consejo de Ministros, se determinarán, por sector de transporte y respecto a los operadores de viajes, los datos de los pasajeros que deberán transmitirse y sus modalidades de transmisión, previo dictamen de la Commission de la protection de la vie privée [(Comisión de Protección de la Vida Privada)].»
43 El artículo 4 de dicha Ley establece:
«A efectos de la aplicación de la presente Ley y de sus decretos de ejecución, se entenderá por:
[…]
8.o “servicios competentes”: los servicios mencionados en el artículo 14, apartado 1, punto 2.o;
9.o “PNR”: relación de los requisitos de viaje impuestos a cada pasajero, que incluye toda la información mencionada en el artículo 9 necesaria para el tratamiento y el control de las reservas por parte de las compañías de transporte y los operadores de viajes que las realizan y participan en el sistema PNR, por cada viaje reservado por una persona o en su nombre, ya estén contenidos en sistemas de reservas, en sistemas de control de salidas utilizados para embarcar a los pasajeros o en sistemas equivalentes que posean las mismas funcionalidades;
10.o “pasajero”: toda persona, incluidos los pasajeros en tránsito o en conexión y exceptuados los miembros de la tripulación, transportada o que vaya a ser transportada por la compañía de transporte con el consentimiento de esta, lo cual se manifiesta en la inclusión de la persona en la lista de pasajeros;
[…]».
44 El artículo 8 de la Ley de 25 de diciembre de 2016 dispone:
«§ l. Los datos de los pasajeros serán tratados con los fines siguientes:
1.o la investigación y el enjuiciamiento de los delitos que figuran en el artículo 90 ter, apartados 2, puntos […] 7.o, […] 8.o, […] 11.o, […] 14.o, […] 17.o, 18.o y 19.o, y 3, del Code d’instruction criminelle [(Código de Procedimiento Penal)], incluida la ejecución de las penas o medidas restrictivas de libertad relativas a dichos delitos;
2.o la investigación y el enjuiciamiento de los delitos que figuran en los artículos 196, en lo que se refiere a los delitos de falsedad en documento público u oficial, 198, 199, 199 bis, 207, 213, 375 y 505 del Code penal [(Código Penal)], incluida la ejecución de las penas o medidas restrictivas de libertad relativas a dichos delitos;
[…]
4.o el seguimiento de las actividades enumeradas en los artículos 7, puntos 1.o y 3.o/1, y 11, apartado 1, puntos 1.o a 3.o y 5.o, de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité [(Ley Orgánica de 30 de noviembre de 1998 relativa a los Servicios de Inteligencia y Seguridad)];
5.o la investigación y el enjuiciamiento de los delitos contemplados en el artículo 220, apartado 2, de la loi générale sur les douanes et accises du 18 juillet 1977 [(Ley General de 18 de julio de 1977 sobre Aduanas e Impuestos Especiales)] y en el artículo 45, apartado 3, de la loi du 22 décembre 2009 relative au régime général d’accise [(Ley de 22 de diciembre de 2009 sobre el Régimen General de los Impuestos Especiales)] […].
§ 2. Con arreglo a las condiciones establecidas en el capítulo 11, los datos de los pasajeros también serán tratados a efectos de mejorar los controles de personas en las fronteras exteriores y combatir la inmigración ilegal.»
45 A tenor del artículo 14, apartado 1, de esta Ley:
«La UIP estará integrada por
[…]
2.o miembros en comisión de servicios procedentes de los servicios competentes siguientes:
a) servicios de policía previstos por la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux [(Ley de 7 de diciembre de 1998, por la que se organiza un Servicio de Policía Integrado, Estructurado en Dos Niveles)];
b) servicios de seguridad del Estado previstos por la Ley Orgánica de 30 de noviembre de 1998 relativa a los Servicios de Inteligencia y Seguridad;
c) servicio general de inteligencia y seguridad previsto por la Ley Orgánica de 30 de noviembre de 1998 relativa a los Servicios de Inteligencia y Seguridad;
[…]».
46 El artículo 24 de dicha Ley, incluido en la sección 1 («Tratamiento de datos de los pasajeros en el marco de la evaluación previa de los pasajeros») del capítulo 10 de la misma Ley, relativo al tratamiento de los datos, está redactado en los siguientes términos:
«§ 1. Los datos de los pasajeros serán tratados para realizar una evaluación previa de los pasajeros antes de su llegada o salida programada del territorio nacional o de su tránsito por este, a efectos de identificar a toda persona que deba ser objeto de investigación adicional.
§ 2. En el marco de los fines a que se refiere el artículo 8, apartado 1, puntos 1.o, 4.o y 5.o, o relativos a las amenazas mencionadas en los artículos 8, punto 1.o, letras a), b), c), d), f) y g), y 11, apartado 2, de la Ley Orgánica de 30 de noviembre de 1998 relativa a los Servicios de Inteligencia y Seguridad, la evaluación previa de los pasajeros se basa en una correspondencia positiva, resultante de una correlación entre los datos de los pasajeros y:
1.o los bancos de datos gestionados por los servicios competentes o directamente disponibles o accesibles para ellos en el ejercicio de sus funciones o listados de personas elaborados por los servicios competentes en el ejercicio de sus funciones;
2.o los criterios de evaluación predeterminados por la UIP, a que se refiere el artículo 25.
§ 3. En el marco de los fines contemplados en el artículo 8, apartado 1, punto 3.o, la evaluación previa de los pasajeros se basa en una correspondencia positiva, resultante de una correlación entre los datos de los pasajeros y las bases de datos mencionadas en el apartado 2, punto 1.o.
§ 4. La UIP validará la correspondencia positiva en las veinticuatro horas siguientes a la recepción de la correspondiente notificación automatizada de la correspondencia positiva.
§ 5. Una vez validada la correspondencia positiva, el servicio competente que haya dado origen a su detección deberá darle seguimiento de forma eficaz con la mayor celeridad.»
47 El capítulo 11 de la Ley de 25 de diciembre de 2016, titulado «Tratamiento de los datos de los pasajeros con el fin de mejorar el control de fronteras y combatir la inmigración ilegal», incluye los artículos 28 a 31.
48 El artículo 28 de dicha Ley dispone:
«§ 1. El presente capítulo se aplicará al tratamiento de los datos de los pasajeros por parte de los servicios de policía encargados del control de las fronteras y por el Office des étrangers [(Oficina de Extranjería, Bélgica)] con vistas a mejorar los controles de personas en las fronteras exteriores y combatir la inmigración ilegal.
§ 2. Se aplicará sin perjuicio de la obligación de transmitir datos personales o informaciones en virtud de disposiciones legales o reglamentarias que incumbe a los servicios de policía encargados del control de las fronteras y a la Oficina de Extranjería.»
49 A tenor del artículo 29 de dicha Ley:
«§ 1. A los efectos mencionados en el artículo 28, apartado 1, los datos de los pasajeros serán transmitidos a los servicios de policía encargados del control de las fronteras y a la Oficina de Extranjería con el fin de que puedan ejercer sus funciones legales, dentro de los límites establecidos en el presente artículo.
§ 2. Solo se transmitirán los datos de los pasajeros mencionados en el artículo 9, apartado 1, punto 18.o, relativos a las siguientes categorías de pasajeros:
1.o pasajeros que tengan previsto entrar o hayan entrado en el territorio por las fronteras exteriores de Bélgica;
2.o pasajeros que tengan previsto salir o hayan salido del territorio por las fronteras exteriores de Bélgica;
3.o pasajeros que tengan previsto pasar o hayan pasado por una zona internacional de tránsito situada en Bélgica o se encuentren en dicha zona.
§ 3. Los datos de los pasajeros a que se refiere el apartado 2 se transmitirán a los servicios de policía encargados del control de las fronteras exteriores de Bélgica inmediatamente después de su registro en el banco de datos de pasajeros. Dichos servicios los conservarán en un fichero temporal y los destruirán en un plazo de veinticuatro horas desde su transmisión.
§ 4. Cuando los necesite para el ejercicio de sus funciones legales, los datos de los pasajeros a que se refiere el apartado 2 se transmitirán a la Oficina de Extranjería inmediatamente después de su registro en el banco de datos de pasajeros. La Oficina de Extranjería los conservará en un fichero temporal y los destruirá en un plazo de veinticuatro horas desde su transmisión.
Si, transcurrido dicho plazo, la Oficina de Extranjería necesita acceder a los datos de los pasajeros mencionados en el apartado 2 en el marco del ejercicio de sus funciones legales, dirigirá a la UIP una petición razonada a tal efecto.
[…]»
50 La aplicación de la Ley de 25 de diciembre de 2016 se extendió a las compañías aéreas, a las compañías de transporte internacional de viajeros (transportistas HST) y a los intermediarios de viajes que tengan un contrato con dichos transportistas (distribuidores de billetes HST), así como a los transportistas por autobús, mediante, respectivamente, el arrêté royal du 18 juillet 2017 relatif à l’exécution de la loi du 25 décembre 2016, reprenant les obligations pour les compagnies aériennes (Real Decreto de 18 de julio de 2017 de Ejecución de la Ley de 25 de diciembre de 2016, por el que se detallan las Obligaciones de las Compañías Aéreas) (Moniteur belge de 28 de julio de 2017, p. 75934), mediante el arrêté royal du 3 février 2019 relatif à l’exécution de la loi du 25 décembre 2016, reprenant les obligations pour les transporteurs HST et distributeurs de tickets HST (Real Decreto de 3 de febrero de 2019 de Ejecución de la Ley de 25 de diciembre de 2016, por el que se detallan las Obligaciones de los Transportistas HST y de los Distribuidores de Billetes HST) (Moniteur belge de 12 de febrero de 2019, p. 13018), y mediante el arrêté royal du 3 février 2019 relatif à l’exécution de la loi du 25 décembre 2016, reprenant les obligations pour les transporteurs par bus (Real Decreto de 3 de febrero de 2019 de Ejecución de la Ley de 25 de diciembre de 2016, por el que se detallan las Obligaciones de los Transportistas por Autobús) (Moniteur belge de 12 de febrero de 2019, p. 13023).
II. Litigio principal y cuestiones prejudiciales
51 Mediante demanda de 24 de julio de 2017, la Ligue des droits humains presentó ante la Cour constitutionnelle (Tribunal Constitucional, Bélgica) un recurso por el que solicita la anulación total o parcial de la Ley de 25 de diciembre de 2016.
52 El órgano jurisdiccional remitente expone que esta Ley transpone, al Derecho nacional, la Directiva PNR y la Directiva API y, parcialmente, la Directiva 2010/65. Aclara que, según los trabajos preparatorios de dicha Ley, esta pretende «crear un marco legal con objeto de imponer a los diferentes sectores del transporte de personas de carácter internacional (aéreo, ferroviario, internacional por carretera y marítimo) y operadores de viajes que transmitan los datos de sus pasajeros a un banco de datos gestionado por el [Service public fédéral intérieur (Ministerio del Interior, Bélgica)]». Añade que el legislador nacional también precisó que los objetivos de la Ley de 25 de diciembre de 2016 se dividen en tres categorías, a saber, primero, la prevención, detección, investigación y enjuiciamiento de infracciones penales o la ejecución de sanciones penales, segundo, las actividades de los servicios de inteligencia y de seguridad, y, tercero, la mejora de los controles de las fronteras exteriores y la lucha contra la inmigración ilegal.
53 En apoyo de su recurso, la Ligue des droits humains formula dos motivos basados, el primero, en una vulneración del artículo 22 de la Constitución, en relación con el artículo 23 del RGPD, los artículos 7, 8 y 52, apartado 1, de la Carta, y el artículo 8 del CEDH, y, el segundo, invocado con carácter subsidiario, en la vulneración del mencionado artículo 22 de la Constitución, en relación con el artículo 3 TUE, apartado 2, y el artículo 45 de la Carta.
54 Mediante su primer motivo, la Ligue des droits humains alega, en esencia, que dicha Ley supone una injerencia en los derechos al respeto de la vida privada y a la protección de los datos de carácter personal, que no se ajusta al artículo 52, apartado 1, de la Carta y, en particular, al principio de proporcionalidad. En efecto, considera excesivamente amplios el ámbito de aplicación de la Ley mencionada y la definición de los datos recogidos, que pueden revelar información sensible. Estima que, del mismo modo, el concepto de «pasajero», en el sentido de la misma Ley, permite un tratamiento automático sistemático, no selectivo, de los datos de todos los pasajeros. Por añadidura, la naturaleza y las particularidades del método de prescreening, al igual que las bases de datos con las que esos datos se comparan una vez transmitidos, no están definidas con suficiente claridad. Por otra parte, considera que la Ley de 25 de diciembre de 2016 persigue fines que no son los de la Directiva PNR. Por último, el período de cinco años establecido en esa Ley para la conservación de los datos mencionados es, a su juicio, desproporcionado.
55 Mediante su segundo motivo, referido a los artículos 3, apartado 1, 8, apartado 2, y 28 a 31 de la Ley de 25 de diciembre de 2016, la Ligue des droits humains alega que, al extender el sistema previsto por la Directiva PNR a los transportes dentro de la Unión, tales disposiciones traen como consecuencia que se restablezcan indirectamente controles en las fronteras interiores contrarios a la libre circulación de personas. Puntualiza que, en efecto, desde el momento en que una persona se encuentra en territorio belga, ya sea a su llegada, a la salida o para hacer una escala, sus datos se recogen automáticamente.
56 El Consejo de Ministros rebate esta argumentación. Considera, en particular, que el primer motivo es inadmisible en tanto se refiere al RGPD, que no considera aplicable a la Ley de 25 de diciembre de 2016. Por otra parte, señala que el tratamiento de los datos establecido por dicha Ley, con arreglo a la Directiva PNR, constituye una herramienta fundamental, en particular, de la lucha contra el terrorismo y la delincuencia grave, y que las medidas que resultan de dicha Ley son necesarias para alcanzar los objetivos perseguidos y proporcionadas.
57 En cuanto al primer motivo, el órgano jurisdiccional remitente se pregunta, primero, acerca de la aplicabilidad de la protección establecida por el RGPD a los tratamientos de datos instaurados por la Ley de 25 de diciembre de 2016, cuyo objetivo principal es la aplicación de la Directiva PNR. Dicho órgano jurisdiccional señala, acto seguido, refiriéndose a la jurisprudencia resultante del dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017 (EU:C:2017:592), que la definición de los datos PNR que figura en el artículo 3, punto 5, y en el anexo I de esta Directiva podría, de una parte, no ser suficientemente clara y precisa, debido al carácter no taxativo de la descripción de algunos de esos datos contenida en dichos preceptos, y, de otra parte, conducir indirectamente a que se revelen datos sensibles. Añade que la definición del concepto de «pasajero» que figura en el artículo 3, punto 4, de dicha Directiva puede suponer que la recogida, la transferencia, el tratamiento y la conservación de los datos PNR constituyan obligaciones generales e indiscriminadas, las cuales se aplican a toda persona transportada o que deba ser transportada y registrada en la lista de pasajeros, independientemente de que existan motivos fundados para presumir que esa persona haya cometido o vaya a cometer un delito, o haya sido condenada por un delito.
58 El órgano jurisdiccional remitente también señala que con arreglo a lo dispuesto en la Directiva PNR los datos PNR son sistemáticamente objeto de una evaluación previa que implica el cruce con bases de datos o criterios predeterminados, con vistas a establecer resultados positivos. Llama la atención sobre el hecho de que el Comité Consultivo del Convenio n.o 108 del Consejo de Europa afirmara, en su dictamen de 19 de agosto de 2016 sobre las implicaciones para la protección de datos del tratamiento de los registros de nombres de pasajeros [T-PD(2016)18rev], que los tratamientos de datos de carácter personal afectan a todos los pasajeros y no solo a las personas sospechosas de estar implicadas en un delito o de suponer una amenaza inmediata para la seguridad nacional o para el orden público, y que los datos PNR pueden no solo compararse (data matching) con bases de datos, sino también tratarse mediante extracción (data mining), por medio de selectores o de algoritmos predictivos, con el fin de identificar a cualquiera que pueda estar implicado o involucrado en actividades delictivas; esa evaluación de los pasajeros a través de un cotejo de datos puede suscitar cuestiones de previsibilidad, en particular, cuando se efectúa sobre la base de algoritmos predictivos que utilizan criterios dinámicos, capaces de evolucionar permanentemente en función de las capacidades de autoaprendizaje. En este contexto, el órgano jurisdiccional remitente considera que si bien, con arreglo al dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017 (EU:C:2017:592), los criterios preestablecidos que sirven para determinar los perfiles de riesgo deben ser específicos, fiables y no discriminatorios, parece técnicamente imposible definir esos criterios con mayor precisión.
59 En cuanto al período de conservación de cinco años y al acceso a los datos establecidos en el artículo 12 de la Directiva PNR, el órgano jurisdiccional remitente señala que la Comisión de Protección de la Vida Privada consideró, en su dictamen de oficio n.o 01/2010, de 13 de enero de 2010, relativo al proyecto de Ley por la que se aprueba el Acuerdo PNR entre la Unión Europea y los Estados Unidos de América, que cuando el período de conservación de los datos es largo y los datos se almacenan en masa, aumenta el riesgo de que se elaboren perfiles de las personas afectadas, y también el riesgo de que la utilización de esos datos se desvíe hacia fines que no eran los previstos inicialmente. Además, considera que del dictamen de 19 de agosto de 2016 del Comité Consultivo del Convenio n.o 108 del Consejo de Europa se desprende que los datos enmascarados todavía permiten la identificación de las personas y que, de esta manera, siguen siendo datos de carácter personal, y que su conservación debe limitarse en el tiempo con el fin de prevenir una vigilancia permanente generalizada.
60 En estas circunstancias, a la vista de la jurisprudencia establecida, en particular, en el dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017 (EU:C:2017:592), el órgano jurisdiccional remitente se pregunta si cabe considerar que el sistema de recogida, transmisión, tratamiento y conservación de los datos PNR establecido por la Directiva PNR respeta los límites de lo estrictamente necesario. Considera que procede asimismo determinar si dicha Directiva se opone a una normativa nacional que autoriza el tratamiento de los datos PNR para fines distintos de los previstos en esa Directiva y si una autoridad nacional como la UIP creada por la Ley de 25 de diciembre de 2016 podría aprobar la divulgación de esos datos completos después de su despersonalización, con arreglo al artículo 12 de la misma Directiva.
61 En cuanto al segundo motivo, el órgano jurisdiccional remitente pone de manifiesto que el artículo 3, apartado 1, de dicha Ley determina las obligaciones que incumben a los transportistas y operadores de viajes en relación con la comunicación de los datos de los pasajeros «con destino o procedencia en el territorio nacional o en tránsito por dicho territorio». El órgano jurisdiccional remitente añade, en relación con el ámbito de aplicación de la citada Ley, que el legislador nacional decidió «la inclusión [de los desplazamientos] interiores de la [Unión]» con objeto de «obtener una imagen más completa de los desplazamientos de los pasajeros que representan una posible amenaza para la seguridad intracomunitaria y nacional», cosa que prevé el artículo 2 de la Directiva PNR, en relación con el considerando 10 de esta, con respecto a los vuelos interiores de la Unión. Dicho órgano jurisdiccional también aclara que la Comisión de Protección de la Vida Privada, en su dictamen n.o 55/2015, de 16 de diciembre de 2015, sobre el anteproyecto de la Ley de 25 de diciembre de 2016, se había interrogado acerca de un posible conflicto entre el sistema PNR belga y el principio de la libre circulación de personas, en la medida en que dicho sistema incluye a los transportes efectuados dentro de la Unión.
62 En este contexto, la Cour constitutionnelle (Tribunal Constitucional) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:
«1) ¿Debe interpretarse el artículo 23 del [RGPD], en relación con el artículo 2, apartado 2, letra d), de dicho Reglamento, en el sentido de que se aplica a una normativa nacional como la [Ley de 25 de diciembre de 2016], que transpone la [Directiva PNR], la [Directiva API] y la Directiva [2010/65]»?
2) ¿Es el anexo I de la Directiva [PNR] compatible con los artículos 7, 8 y 52, apartado 1, de la [Carta], en la medida en que los datos que enumera son muy amplios —en particular, los datos a que se refiere el punto 18 del anexo I de [dicha Directiva], que van más allá de los enunciados en el artículo 3, apartado 2, de la Directiva [API]— y en la medida en que, considerados conjuntamente, podrían revelar datos sensibles y, en consecuencia, sobrepasar los límites de lo “estrictamente necesario”?
3) ¿Son los puntos 12 y 18 del anexo I de la Directiva [PNR] compatibles con los artículos 7, 8 y 52, apartado 1, de la [Carta], en la medida en que, habida cuenta de los términos “incluida” e “incluidos”, los datos a que se refieren se enuncian a modo de ejemplo y no con carácter taxativo, de manera que no cumplen los requisitos de claridad y precisión de las normas que constituyen una injerencia en el derecho al respeto de la vida privada y en el derecho a la protección de los datos personales?
4) ¿Son compatibles el artículo 3, punto 4, de la Directiva [PNR] y el anexo I de la misma Directiva con los artículos 7, 8 y 52, apartado 1, de la [Carta], en la medida en que el sistema de recogida, transmisión y tratamiento generalizados de datos de los pasajeros instaurado por dichas disposiciones afecta a toda persona que utilice el medio de transporte de que se trate, al margen de cualquier elemento objetivo que permita considerar que esa persona puede suponer un riesgo para la seguridad pública?
5) ¿Debe interpretarse el artículo 6 de la Directiva [PNR], en relación con los artículos 7, 8 y 52, apartado 1, de la [Carta] en el sentido de que se opone a una normativa nacional como la Ley impugnada, la cual permite, como fin del tratamiento de los datos PNR, el seguimiento de las actividades que constituyen el objeto de los servicios de inteligencia y de seguridad, integrando en este sentido dicho fin en la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave?
6) ¿Es compatible el artículo 6 de la Directiva [PNR] con los artículos 7, 8 y 52, apartado 1, de la [Carta], en la medida en que la evaluación previa que regula, a través de una correlación con las bases de datos y criterios predeterminados, se aplica de manera sistemática y generalizada a los datos de los pasajeros, al margen de cualquier elemento objetivo que permita considerar que dichos pasajeros pueden suponer un riesgo para la seguridad pública?
7) ¿Puede interpretarse el concepto de “otra autoridad nacional competente” a que se refiere el artículo 12, apartado 3, de la Directiva [PNR] en el sentido de que se refiere a la UIP creada por la Ley de 25 de diciembre de 2016, la cual, en consecuencia, podría aprobar el acceso a los datos PNR, transcurrido un período de seis meses, en el marco de investigaciones puntuales?
8) ¿Debe interpretarse el artículo 12 de la Directiva [PNR], en relación con los artículos 7, 8 y 52, apartado 1, de la [Carta], en el sentido de que se opone a una normativa nacional como la Ley impugnada que establece, con carácter general, un período de conservación de los datos de cinco años, sin distinguir si, conforme al resultado obtenido en el marco de la evaluación previa, los pasajeros afectados pueden suponer o no un riesgo para la seguridad pública?
9) a) ¿Es la Directiva [API] compatible con el artículo 3 [TUE], apartado 2, y el artículo 45 de la [Carta], en la medida en que las obligaciones que establece se aplican a los vuelos interiores de la [Unión]?
b) ¿Debe interpretarse la Directiva [API], en relación con el artículo 3 [TUE], apartado 2, y con el artículo 45 de la [Carta], en el sentido de que se opone a una normativa nacional como la Ley impugnada, la cual, a efectos de combatir la inmigración ilegal y mejorar los controles en las fronteras, autoriza un sistema de recogida y de tratamiento de los datos de los pasajeros “con destino o procedencia en el territorio nacional o en tránsito por dicho territorio”, lo que puede implicar indirectamente un restablecimiento de los controles en las fronteras interiores?
10) En caso de que, sobre la base de las respuestas a las cuestiones prejudiciales anteriores, la Cour constitutionnelle [(Tribunal Constitucional)] concluya que la Ley impugnada, que transpone en particular la Directiva [PNR], incumple una o varias de las obligaciones que se derivan de las disposiciones mencionadas en dichas cuestiones prejudiciales, ¿puede este órgano jurisdiccional mantener provisionalmente los efectos de la Ley de 25 de diciembre de 2016 con objeto de evitar la inseguridad jurídica y permitir que los datos recogidos y almacenados previamente puedan seguir utilizándose para los fines previstos por dicha Ley?»
III. Sobre las cuestiones prejudiciales
A. Primera cuestión prejudicial
63 Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si los artículos 2, apartado 2, letra d), y 23 del RGPD deben interpretarse en el sentido de que ese Reglamento es aplicable a los tratamientos de datos personales previstos por una normativa nacional destinada a transponer al Derecho interno, simultáneamente, las disposiciones de la Directiva PNR, de la Directiva API y de la Directiva 2010/65 y, en particular, a la transferencia, a la conservación y al tratamiento de los datos PNR.
64 Como resulta del artículo 2, apartado 1, del RGPD, dicho Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de tales datos contenidos o destinados a ser incluidos en un fichero. La extensa definición del concepto de «tratamiento» contenida en el artículo 4, punto 2, de dicho Reglamento incluye, en particular, la recogida, el registro, la conservación, la consulta, la utilización, la comunicación por transmisión, la difusión o cualquier otra forma de habilitación de acceso, el cotejo o la supresión de tales datos o conjuntos de datos.
65 Sin embargo, el Gobierno belga alega que la transferencia de los datos PNR a la UIP por parte de operadores económicos, con fines de prevención y detección de delitos, según se menciona en el artículo 1, apartado 1, letra a), en el artículo 1, apartado 2, y en el artículo 8 de la Directiva PNR, que constituye un «tratamiento» de datos personales, en el sentido del artículo 4, punto 2, del RGPD, como también lo es su previa recogida, no está incluida en el ámbito de aplicación del mencionado Reglamento, conforme al artículo 2, apartado 2, letra d), de dicho Reglamento, porque, a su entender, cabe aplicar a dicha disposición del Reglamento la jurisprudencia que dimana de la sentencia de 30 de mayo de 2006, Parlamento/Consejo y Comisión, C‑317/04 y C‑318/04, EU:C:2006:346, apartados 57 a 59), relativa al artículo 3, apartado 2, primer guion, de la Directiva 95/46.
66 En este aspecto, es verdad que, como ya señaló el Tribunal de Justicia, el artículo 3, apartado 2, primer guion, de la Directiva 95/46, que fue derogada y sustituida por el RGPD con efecto desde el 25 de mayo de 2018, excluía de su ámbito de aplicación, con carácter general, el «tratamiento de datos que tenga por objeto la seguridad pública, la defensa [y] la seguridad del Estado», sin establecer distinciones en función del autor del tratamiento de datos en cuestión. Así pues, los tratamientos efectuados por operadores privados que se derivan de las obligaciones que imponen los poderes públicos podían, en su caso, estar comprendidos en la excepción prevista en dicha disposición, dado que la formulación de esta se refería a todos los tratamientos de datos personales que tengan por objeto la seguridad pública, la defensa o la seguridad del Estado, con independencia de quién sea su autor (véase, en este sentido, la sentencia de 6 de octubre de 2020, La Quadrature du Net y otros, C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791, apartado 101).
67 Sin embargo, el artículo 2, apartado 2, letra d), del RGPD sí hace esa distinción, porque, como señala el Abogado General en los puntos 41 y 46 de sus conclusiones, la redacción de esta disposición evidencia a las claras que, para que la excepción que dicho artículo establece pueda aplicarse a un tratamiento de datos, se exigen dos requisitos. Mientras el primero de ellos se refiere a las finalidades del tratamiento, a saber, la prevención, detección, investigación y enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención, el segundo tiene que ver con el autor de ese tratamiento, a saber, una «autoridad competente», en el sentido de la citada disposición.
68 Como también ha declarado el Tribunal de Justicia, del artículo 23, apartado 1, letras d) y h), del RGPD se desprende que los tratamientos de datos personales efectuados por particulares con los fines contemplados en el artículo 2, apartado 2, letra d), del mencionado Reglamento están comprendidos en el ámbito de aplicación de este (véase, en este sentido, la sentencia de 6 de octubre de 2020, La Quadrature du Net y otros, C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791, apartado 102).
69 De ello se infiere que la jurisprudencia que dimana de la sentencia de 30 de mayo de 2006, Parlamento/Consejo y Comisión (C‑317/04 y C‑318/04, EU:C:2006:346), invocada por el Gobierno belga, no puede extrapolarse a la excepción al ámbito de aplicación del RGPD que figura en su artículo 2, apartado 2, letra d).
70 Asimismo, debe darse a esta excepción, al igual que a las demás excepciones al ámbito de aplicación del RGPD establecidas en el artículo 2, apartado 2, del mencionado Reglamento, una interpretación estricta.
71 Como se desprende del considerando 19 de dicho Reglamento, la excepción mencionada está motivada por el hecho de que los tratamientos de datos personales efectuados por las autoridades competentes, con fines, en particular, de prevención y de detección de infracciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención, se rigen por un acto más específico de la Unión, a saber, la Directiva 2016/680, que fue adoptada el mismo día que el RGPD [sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartado 69].
72 Como precisan, por lo demás, los considerandos 9 a 11 de la Directiva 2016/680, esta Directiva establece normas específicas relativas a la protección de las personas físicas en lo que respecta a esos tratamientos, respetando la naturaleza específica de esas actividades que corresponden a los ámbitos de la cooperación judicial en materia penal y de la cooperación policial, mientras que el RGPD define normas generales en relación con la protección de esas personas, destinadas a aplicarse a tales tratamientos cuando la Directiva 2016/680, que constituye el acto más específico, no resulta aplicable. En particular, según el considerando 11 de esta Directiva, el RGPD se aplica al tratamiento de datos personales efectuado por una «autoridad competente», en el sentido del artículo 3, apartado 7, de dicha Directiva, pero con fines distintos de los previstos en esta [véase, en este sentido, la sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartado 70].
73 En cuanto al primer requisito mencionado en el apartado 67 de la presente sentencia y, más concretamente, a las finalidades perseguidas por los tratamientos de datos personales contemplados en la Directiva PNR, debe recordarse que, conforme al artículo 1, apartado 2, de esta Directiva, los datos PNR podrán tratarse únicamente con fines de prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y los delitos graves. Estas finalidades están incluidas entre aquellas a las que se refieren el artículo 2, apartado 2, letra d), del RGPD y el artículo 1, apartado 1, de la Directiva 2016/680, de manera que tales tratamientos pueden estar comprendidos en la excepción establecida en el artículo 2, apartado 2, letra d), del mencionado Reglamento y, en consecuencia, quedar incluidos en el ámbito de aplicación de esta Directiva.
74 En cambio, no ocurre lo mismo con los tratamientos previstos en la Directiva API y en la Directiva 2010/65, cuyos fines difieren de los previstos en el artículo 2, apartado 2, letra d), del RGPD y en el artículo 1, apartado 1, de la Directiva 2016/680.
75 En efecto, por lo que se refiere a la Directiva API, esta va dirigida a mejorar el control fronterizo y a luchar contra la inmigración ilegal, como resulta de sus considerandos 1, 7 y 9 y de su artículo 1, mediante la comunicación previa por los transportistas a las autoridades nacionales competentes de los datos de las personas transportadas. Precisamente, varios considerandos y disposiciones de esta Directiva evidencian que los tratamientos de datos previstos con vistas a su ejecución corresponden al ámbito de aplicación del RGPD. De esta forma, el considerando 12 de la citada Directiva enuncia que «la Directiva [95/46] es aplicable al tratamiento de datos personales por las autoridades de los Estados miembros». Además, el artículo 6, apartado 1, párrafo quinto, de la Directiva API precisa que los Estados miembros podrán utilizar asimismo a efectos policiales los datos API, «respetando las disposiciones sobre protección de datos de la Directiva [95/46]», expresión que también se utiliza en el párrafo tercero de dicha disposición. Asimismo, se utiliza, en particular en el considerando 9 de la Directiva API, la expresión «sin perjuicio de lo dispuesto en la Directiva [95/46]». Por último, el artículo 6, apartado 2, de la Directiva API, establece que los pasajeros deberán ser informados, por los transportistas, «de conformidad con lo dispuesto en la Directiva [95/46]».
76 En cuanto a la Directiva 2010/65, de su considerando 2 y de su artículo 1, apartado 1, resulta que el objeto de dicha Directiva es simplificar y armonizar los procedimientos administrativos aplicables al transporte marítimo, mediante la generalización de la transmisión electrónica normalizada de datos y la racionalización de las formalidades informativas, para facilitar el tráfico marítimo y reducir la carga administrativa de las compañías navieras. Pues bien, el artículo 8, apartado 2, de dicha Directiva confirma que los tratamientos de datos previstos con vistas a su ejecución están comprendidos en el ámbito de aplicación del RGPD, puesto que, en efecto, dicha disposición obliga a los Estados miembros, por lo que se refiere a los datos personales, a garantizar el cumplimiento de la Directiva 95/46.
77 De ello se sigue que los tratamientos de datos previstos por una normativa nacional que transpone, al Derecho interno, las disposiciones de la Directiva API y de la Directiva 2010/65 están incluidos en el ámbito de aplicación del RGPD. En cambio, los tratamientos de datos establecidos por una normativa nacional que transpone, al Derecho interno, la Directiva PNR pueden quedar al margen, conforme a la excepción que figura en el artículo 2, apartado 2, letra d), del mencionado Reglamento, de la aplicación de este, siempre que se cumpla el segundo requisito, recordado en el apartado 67 de la presente sentencia, de que el autor de tales tratamientos sea una autoridad competente, en el sentido de aquella disposición.
78 En cuanto a este segundo requisito, el Tribunal de Justicia ha declarado que, en la medida en que la Directiva 2016/680 define, en su artículo 3, punto 7, el concepto de «autoridad competente», tal definición debe aplicarse, por analogía, al artículo 2, apartado 2, letra d), del RGPD [véase, en este sentido, la sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartado 69].
79 Pues bien, en virtud de los artículos 4 y 7 de la Directiva PNR, cada Estado miembro debe, respectivamente, designar como UIP a una autoridad competente para la prevención, detección, investigación o enjuiciamiento de los delitos de terrorismo y los delitos graves, y elaborar la lista de autoridades competentes para solicitar a la UIP o recibir de esta datos PNR o el resultado del tratamiento de los mismos, en el buen entendido de que, como se precisa en el artículo 7, apartado 2, de la referida Directiva, estas últimas autoridades son también autoridades competentes en esta materia.
80 De todo ello se colige que los tratamientos de datos PNR efectuados por la UIP y las mencionadas autoridades competentes con esas finalidades cumplen los dos requisitos mencionados en el apartado 67 de la presente sentencia, de modo que dichos tratamientos están sujetos, además de a las disposiciones de la propia Directiva PNR, a las de la Directiva 2016/680, y no a las del RGPD, extremo que, por lo demás, confirma el considerando 27 de la Directiva PNR.
81 En cambio, dado que dicha Directiva no encomienda el ejercicio de la autoridad pública ni confiere competencias públicas a los operadores económicos, como las compañías aéreas, no puede considerarse que estos operadores, pese a estar legalmente obligados a la transferencia de los datos PNR, sean autoridades competentes en el sentido del artículo 3, punto 7, de la Directiva 2016/680 y del artículo 2, apartado 2, letra d), del RGPD, de modo que la recogida y transferencia de dichos datos a la UIP por parte de las compañías aéreas queda comprendida en el ámbito de aplicación del mencionado Reglamento. Se impone la misma conclusión en un supuesto como el que se contempla en la Ley de 25 de diciembre de 2016, en el que llevan a cabo la recogida y la transferencia de tales datos otros transportistas o los operadores de viaje.
82 Finalmente, el órgano jurisdiccional remitente se pregunta sobre las eventuales repercusiones de la aprobación de una normativa nacional destinada a transponer simultáneamente las disposiciones de la Directiva PNR, de la Directiva API y de la Directiva 2010/65, como es el caso de la Ley de 25 de diciembre de 2016. Sobre este particular, es procedente recordar que, como resulta de los apartados 72 y 75 a 77 de la presente sentencia, los tratamientos de datos establecidos con arreglo a estas dos últimas Directivas están comprendidos en el ámbito de aplicación del RGPD, que establece normas generales para la protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal.
83 De esta forma, cuando un tratamiento de datos efectuado sobre la base de esta normativa está sujeto a la Directiva API o a la Directiva 2010/65, el RGPD resulta aplicable a dicho tratamiento. Lo mismo ocurre con un tratamiento de datos efectuado sobre esa misma base y sujeto, en lo relativo a su finalidad, además de a la Directiva PNR, a la Directiva API o a la Directiva 2010/65. Por último, cuando un tratamiento de datos efectuado sobre la base de la misma normativa solo está sujeto, en relación con su finalidad, a la Directiva PNR, el RGPD es aplicable si se trata de la recogida y transferencia de los datos PNR a la UIP por parte de las compañías aéreas. En cambio, cuando la UIP o las autoridades competentes efectúan el tratamiento con las finalidades mencionadas en el artículo 1, apartado 2, de la Directiva PNR, ese tratamiento está sujeto, además de al Derecho nacional, a la Directiva 2016/680.
84 En atención a las anteriores consideraciones, procede responder a la primera cuestión prejudicial que los artículos 2, apartado 2, letra d), y 23 del RGPD deben interpretarse en el sentido de que dicho Reglamento es aplicable a los tratamientos de datos personales previstos por una normativa nacional destinada a transponer al Derecho interno, simultáneamente, las disposiciones de la Directiva API, de la Directiva 2010/65 y de la Directiva PNR, en lo relativo, por una parte, a los tratamientos de datos efectuados por operadores privados y, por otra parte, a los tratamientos de datos efectuados por autoridades públicas sujetos, exclusivamente o por añadidura, a la Directiva API o a la Directiva 2010/65. En cambio, el mencionado Reglamento no es aplicable a los tratamientos de datos previstos por tal normativa que solo estén sujetos a la Directiva PNR y sean efectuados por la UIP o por las autoridades competentes a los efectos mencionados en el artículo 1, apartado 2, de esta Directiva.
B. Cuestiones prejudiciales segunda a cuarta y sexta
85 Mediante sus cuestiones prejudiciales segunda a cuarta y sexta, las cuales deben examinarse conjuntamente, el órgano jurisdiccional remitente pregunta al Tribunal de Justicia, en esencia, acerca de la validez de la Directiva PNR en relación con los artículos 7 y 8 y el artículo 52, apartado 1, de la Carta. Estas cuestiones prejudiciales se refieren, en particular, a las siguientes disposiciones:
– el anexo I de esta Directiva y los datos enumerados por dicho anexo, especialmente los mencionados en sus puntos 12 y 18, en relación con los requisitos de claridad y precisión (cuestiones prejudiciales segunda y tercera);
– el artículo 3, punto 4, de dicha Directiva y el anexo I de esta, en la medida en que el sistema de recogida, transferencia y tratamiento generalizados de los datos PNR establecido por las citadas disposiciones puede aplicarse a cualquier persona que tome un vuelo al que se apliquen las disposiciones de esa misma Directiva (cuarta cuestión prejudicial), y
– el artículo 6 de la Directiva PNR, en la medida en que prevé una evaluación previa, mediante una comparación de los datos PNR con bases de datos o su tratamiento con arreglo a criterios predeterminados, que se aplica de manera sistemática y generalizada a dichos datos, al margen de cualquier elemento objetivo que permita considerar que los pasajeros de que se trata pueden suponer un riesgo para la seguridad pública (sexta cuestión prejudicial).
86 Con carácter preliminar, es preciso recordar que, según un principio general de interpretación, los actos de la Unión deben interpretarse, en la medida de lo posible, de un modo que no cuestione su validez y de conformidad con el conjunto del Derecho primario y, en particular, con las disposiciones de la Carta. Así, cuando un texto de Derecho derivado de la Unión es susceptible de varias interpretaciones, procede dar preferencia a aquella que hace que la disposición se ajuste al Derecho primario, y no a la que conduce a considerarla incompatible con él (sentencia de 2 de febrero de 2021, Consob, C‑481/19, EU:C:2021:84, apartado 50 y jurisprudencia citada).
87 Asimismo, según reiterada jurisprudencia, cuando las disposiciones de una directiva dejan a los Estados miembros un margen de apreciación para definir medidas de transposición adaptadas a las distintas situaciones que puedan contemplarse, les corresponde, al aplicar tales medidas, no solo interpretar su Derecho nacional de conformidad con la Directiva de que se trate, sino también procurar no basarse en una interpretación de esta que entre en conflicto con los derechos fundamentales tutelados por el ordenamiento jurídico de la Unión o con los demás principios generales reconocidos en este ordenamiento jurídico [véanse, en este sentido, las sentencias de 15 de febrero de 2016, N., C‑601/15 PPU, EU:C:2016:84, apartado 60 y jurisprudencia citada, y de 16 de julio de 2020, État belge (Reagrupación familiar — Hijo menor), C‑133/19, C‑136/19 y C‑137/19, EU:C:2020:577, apartado 33 y jurisprudencia citada].
88 En relación con la Directiva PNR, debe recordarse que sus considerandos 15, 20, 22, 25, 36 y 37 hacen especial énfasis en la importancia que el legislador de la Unión atribuye, cuando se refiere a un elevado nivel de protección de los datos, al pleno respeto de los derechos fundamentales consagrados en los artículos 7, 8 y 21 de la Carta y al principio de proporcionalidad, de manera que, como enuncia su considerando 36, esta Directiva «debe aplicarse en consecuencia».
89 En particular, el considerando 22 de la Directiva PNR subraya que, «teniendo plenamente en cuenta los principios de la jurisprudencia reciente expuesta por el [Tribunal de Justicia], la aplicación de [esta] Directiva debe garantizar el pleno respeto de los derechos fundamentales y el derecho a la intimidad, así como el principio de proporcionalidad» y «responder realmente a los objetivos de necesidad y proporcionalidad para favorecer los intereses generales reconocidos por la Unión y a la necesidad de proteger los derechos y libertades de los demás en la lucha contra el terrorismo y la delincuencia grave». Este considerando añade que la Directiva debe aplicarse «cuando exista una justificación suficiente y [que] deben preverse las garantías necesarias para asegurar la legalidad de cualquier tipo de almacenamiento, análisis, uso o transferencia de datos PNR».
90 Por otro lado, el artículo 19, apartado 2, de la Directiva PNR obliga a la Comisión, al realizar la revisión prevista por esa Directiva, a prestar especial atención «al cumplimiento de las normas aplicables de protección de los datos personales», «a la necesidad y la proporcionalidad de la recogida y del tratamiento de datos PNR para cada uno de los fines establecidos en la presente Directiva» y a la «duración del período de conservación de datos».
91 Procede, por lo tanto, comprobar si la Directiva PNR puede interpretarse, como exigen, en particular, sus considerandos y las disposiciones mencionadas en los apartados 88 a 90 de la presente sentencia, de una forma que asegure el pleno respeto de los derechos fundamentales garantizados en los artículos 7 y 8 de la Carta, así como el principio de proporcionalidad, consagrado en el artículo 52, apartado 1, de la citada Carta.
1. Sobre las injerencias en los derechos fundamentales garantizados en los artículos 7 y 8 de la Carta que resultan de la Directiva PNR
92 El artículo 7 de la Carta garantiza a toda persona el derecho al respeto de su vida privada y familiar, de su domicilio y de sus comunicaciones, mientras que el artículo 8, apartado 1, de la Carta reconoce explícitamente a toda persona el derecho a la protección de los datos de carácter personal que le conciernan.
93 Como resulta del artículo 3, punto 5, de la Directiva PNR y de la enumeración que figura en el anexo I de esta, los datos PNR contemplados por dicha Directiva incluyen, en particular, además del nombre del pasajero o de los pasajeros aéreos, información necesaria para efectuar la reserva, como las fechas de viaje previstas, el itinerario del viaje, la información sobre el billete, los grupos de personas registradas con el mismo número de reserva, los datos del pasajero o de los pasajeros, los datos de pago y facturación, la información relativa al equipaje y observaciones generales relativas a los pasajeros.
94 Dado que los datos PNR incluyen, de esta forma, información sobre personas físicas identificadas, a saber, los pasajeros aéreos afectados, los diversos tratamientos de que dichos datos pueden ser objeto afectan al derecho fundamental al respeto de la vida privada, garantizado en el artículo 7 de la Carta [véase, en este sentido, el dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017, EU:C:2017:592, apartados 121 y 122 y jurisprudencia citada].
95 Además, el artículo 8 de la Carta es también aplicable a tratamientos de datos PNR como los que son objeto de la Directiva PNR porque constituyen tratamientos de datos de carácter personal en el sentido de dicho artículo y, en consecuencia, deben cumplir necesariamente los requisitos de protección de los datos previstos en él [véase, en este sentido, el dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017, EU:C:2017:592, apartado 123 y jurisprudencia citada].
96 Ahora bien, es jurisprudencia reiterada que la comunicación de datos de carácter personal a un tercero, como una autoridad pública, constituye una injerencia en los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta, cualquiera que sea la utilización posterior de la información comunicada. Lo mismo puede decirse de la conservación de los datos de carácter personal y del acceso a esos datos con vistas a su utilización por parte de las autoridades públicas. A este respecto, carece de relevancia que la información relativa a la vida privada de que se trate tenga o no carácter sensible o que los interesados hayan sufrido o no inconvenientes en razón de tal injerencia [dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017, EU:C:2017:592, apartados 124 y 126 y jurisprudencia citada].
97 De esta manera, tanto la transferencia de los datos PNR por parte de las compañías aéreas a la UIP del Estado miembro de que se trate, prevista en el artículo 1, apartado 1, letra a), de la Directiva PNR, en relación con el artículo 8 de esta, como la regulación de los requisitos que tienen que ver con la conservación de esos datos, su utilización y sus eventuales transferencias a las autoridades competentes de ese Estado miembro, a las UIP y a las autoridades competentes de los demás Estados miembros, a Europol o también a autoridades de terceros países, permitidas, en particular, por los artículos 6, 7, 9 y 10 a 12 de esta Directiva, constituyen injerencias en los derechos garantizados en los artículos 7 y 8 de la Carta.
98 En cuanto a la gravedad de tales injerencias, procede señalar, en primer lugar, que, con arreglo a su artículo 1, apartado 1, letra a), en relación con su artículo 8, la Directiva PNR prevé la transferencia sistemática y continua a las UIP de los datos PNR de todo pasajero aéreo que tome un vuelo exterior de la Unión, en el sentido del artículo 3, punto 2, de esta Directiva, entre terceros países y la Unión. Como señala el Abogado General en el punto 73 de sus conclusiones, esta transferencia supone un acceso general, por parte de las UIP, a todos los datos PNR comunicados relativos al conjunto de personas que hacen uso de los servicios de transporte aéreo, con independencia de la ulterior utilización de dichos datos.
99 En segundo lugar, el artículo 2 de la Directiva PNR establece, en su apartado 1, que los Estados miembros pueden decidir aplicar esta última Directiva a los vuelos interiores de la Unión, en el sentido del artículo 3, punto 3, de esta, y precisa, en su apartado 2, que, en ese caso, todas las disposiciones de la citada Directiva «se aplicarán a los vuelos interiores de la [Unión] de igual modo que si se tratara de vuelos al exterior de la [Unión], y a los datos PNR de vuelos interiores de la [Unión] de igual modo que si se tratara de datos PNR de vuelos al exterior de la [Unión]».
100 En tercer lugar, aun cuando algunos de los datos PNR enumerados en el anexo I de la Directiva PNR, que aparecen resumidos en el apartado 93 de la presente sentencia, aisladamente considerados, no parezcan poder revelar información precisa sobre la vida privada de las personas afectadas, no deja de ser cierto que, conjuntamente considerados, dichos datos pueden revelar, entre otros extremos, un itinerario de viaje completo, hábitos de viaje, relaciones existentes entre dos o varias personas e información sobre la situación económica de los pasajeros aéreos, sus hábitos alimentarios o su estado de salud, y podrían incluso revelar información sensible sobre dichos pasajeros [véase, en este sentido, el dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017, EU:C:2017:592, apartado 128].
101 En cuarto lugar, con arreglo al artículo 6, apartado 2, letras a) y b), de la Directiva PNR, los datos transmitidos por las compañías aéreas están destinados a ser objeto no solo de una evaluación previa, antes de la llegada o de la salida programada de los pasajeros, sino también de una evaluación posterior.
102 En cuanto a la evaluación previa, a tenor del artículo 6, apartados 2, letra a), y 3, de la Directiva PNR, esta evaluación se lleva a cabo por las UIP de los Estados miembros, de forma sistemática y por medios automatizados, es decir, de forma continuada y con independencia de la cuestión de si existe el menor indicio en cuanto al riesgo de implicación de las personas afectadas en delitos de terrorismo o en delitos graves. A tal efecto, las citadas disposiciones prevén que los datos PNR puedan compararse con «bases de datos pertinentes» y ser objeto de tratamientos con arreglo a «criterios predeterminados».
103 En este contexto, ha de recordarse que el Tribunal de Justicia ya ha declarado que el alcance de la injerencia que suponen los análisis automatizados de los datos del PNR en los derechos consagrados en los artículos 7 y 8 de la Carta depende fundamentalmente de los modelos y criterios preestablecidos, así como de las bases de datos en que se apoye ese tipo de tratamiento de datos [dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017, EU:C:2017:592, apartado 172].
104 Pues bien, como señala el Abogado General en el punto 78 de sus conclusiones, el tratamiento mencionado en el artículo 6, apartado 3, letra a), de la Directiva PNR, a saber, la comparación de los datos PNR con «bases de datos pertinentes», puede proporcionar información adicional sobre la vida privada de los pasajeros aéreos y permite extraer conclusiones muy precisas sobre este particular.
105 En cuanto a los tratamientos de datos PNR a la luz de «criterios predeterminados», mencionados en el artículo 6, apartado 3, letra b), de la Directiva PNR, es cierto que el artículo 6, apartado 4, de esta Directiva exige que la evaluación de los pasajeros por medio de tales criterios se realice de forma no discriminatoria y, en particular, sin basarse en toda una serie de características explicitadas en la última frase del mencionado apartado 4. Además, los criterios que se utilicen deben ser orientados, proporcionados y específicos.
106 No obstante, el Tribunal de Justicia ya ha declarado que, en la medida en que se efectúan análisis automatizados de los datos PNR partiendo de datos personales no verificados y en que tales análisis se basan en modelos y criterios preestablecidos, dichos análisis presentan necesariamente cierto margen de error [véase, por analogía, el dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017, EU:C:2017:592, apartado 169]. En particular, como señala el Abogado General, en esencia, en el punto 78 de sus conclusiones, a tenor del documento de trabajo de la Comisión [SWD(2020) 128 final], anexo a su informe de 24 de julio de 2020 sobre la revisión de la Directiva PNR, el número de resultados positivos arrojados por los tratamientos automatizados previstos en el artículo 6, apartado 3, letras a) y b), de dicha Directiva que resultaron ser erróneos tras una revisión individualizada por medios no automatizados es bastante considerable y, a lo largo de los años 2018 y 2019, fue de, al menos, cinco de cada seis personas identificadas. Así pues, dichos tratamientos conducen a un análisis exhaustivo de los datos PNR relativos a esas personas.
107 Por lo que respecta a la evaluación posterior de los datos PNR a que se refiere el artículo 6, apartado 2, letra b), de la Directiva PNR, según dicha disposición, durante el plazo de seis meses desde la transmisión de datos PNR, mencionado en el artículo 12, apartado 2, de esa Directiva, la UIP está obligada, a petición de las autoridades competentes, a suministrar a estas los datos PNR y a realizar un tratamiento en casos específicos a efectos de la lucha contra los delitos de terrorismo o los delitos graves.
108 Además, aunque, una vez expirado dicho período de seis meses, los datos PNR sean despersonalizados mediante enmascaramiento de ciertos elementos de esos datos, la UIP pueda verse obligada, con arreglo al artículo 12, apartado 3, de la Directiva PNR, a divulgar, a raíz de tal petición, los datos PNR completos en un formato que permita a las autoridades competentes identificar a la persona afectada cuando se crea razonablemente que es necesario a los efectos establecidos en el artículo 6, apartado 2, letra b), de esta Directiva, aunque esta divulgación está supeditada a que lo autorice una autoridad judicial u «otra autoridad nacional competente».
109 En quinto lugar, al establecer, en su artículo 12, apartado 1, sin aportar mayores precisiones al respecto, que los datos PNR se conservan en una base de datos durante un plazo de cinco años a partir de su transmisión a la UIP del Estado miembro en cuyo territorio tenga su punto de aterrizaje u origen el vuelo, la Directiva PNR, habida cuenta de que, a pesar de la despersonalización al finalizar el período inicial de seis meses mediante enmascaramiento de algunos elementos de los datos, aún es posible comunicar los datos PNR completos en la hipótesis contemplada en el apartado anterior, permite disponer de información sobre la vida privada de los pasajeros aéreos durante un período que el Tribunal de Justicia ya calificó, en su dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017 (EU:C:2017:592), apartado 132, de particularmente largo.
110 Teniendo en cuenta el carácter habitual del uso del transporte aéreo, un plazo de conservación como este puede dar lugar a que los datos PNR de una parte muy importante de la población de la Unión se conserven de forma reiterada en el marco del sistema establecido por la Directiva PNR y, por tanto, sea posible acceder a ellos para efectuar análisis en el marco de las evaluaciones previas y posteriores de la UIP y de las autoridades competentes durante un tiempo considerable, que puede ser incluso indefinido para las personas que viajan en avión más de una vez cada cinco años.
111 Habida cuenta de todas las consideraciones anteriores, procede considerar que la Directiva PNR comporta injerencias de una gravedad cierta en los derechos garantizados por los artículos 7 y 8 de la Carta, ya que, en particular, tiene por objeto la implantación de un régimen de vigilancia continuo, no selectivo y sistemático, que incluye la evaluación automatizada de datos de carácter personal de todas las personas que utilizan los servicios de transporte aéreo.
2. Sobre la justificación de las injerencias dimanantes de la Directiva PNR
112 Procede recordar que los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta no constituyen prerrogativas absolutas, sino que deben considerarse según su función en la sociedad [dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017, EU:C:2017:592, apartado 136 y jurisprudencia citada, y sentencia de 6 de octubre de 2020, Privacy International, C‑623/17, EU:C:2020:790, apartado 63 y jurisprudencia citada].
113 A tenor del artículo 52, apartado 1, primera frase, de la Carta, cualquier limitación del ejercicio de los derechos y libertades reconocidos por esta deberá ser establecida por la ley y respetar el contenido esencial de dichos derechos y libertades. Según el artículo 52, apartado 1, segunda frase, de la Carta, dentro del respeto del principio de proporcionalidad, solo podrán introducirse limitaciones a dichos derechos y libertades cuando sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás. En este aspecto, el artículo 8, apartado 2, de la Carta precisa que los datos de carácter personal se tratarán, en particular, «para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley».
114 Debe añadirse que el requisito de que cualquier limitación del ejercicio de los derechos fundamentales debe ser establecida por ley implica que el propio acto que permita la injerencia en dichos derechos debe definir el alcance de la limitación del ejercicio del derecho de que se trate, con la precisión de que, por una parte, este requisito no excluye que la limitación de que se trate se formule en términos lo suficientemente abiertos como para poder adaptarse a supuestos distintos, así como a los cambios de situación (véase, en este sentido, la sentencia de 26 de abril de 2022, Polonia/Parlamento y Consejo, C‑401/19, EU:C:2022:297, apartados 64 y 74 y jurisprudencia citada), y de que, por otra parte, el Tribunal de Justicia puede, en su caso, precisar, por vía de interpretación el alcance concreto de la limitación en relación tanto con los propios términos de la normativa de la Unión de que se trate como con su estructura general y los objetivos que persigue, interpretados a la luz de los derechos fundamentales garantizados por la Carta.
115 En cuanto a la observancia del principio de proporcionalidad, la protección del derecho fundamental a la intimidad en el ámbito de la Unión exige, conforme a la jurisprudencia reiterada del Tribunal de Justicia, que las excepciones a la protección de los datos personales y las restricciones a dicha protección se establezcan sin sobrepasar los límites de lo estrictamente necesario. Además, no puede perseguirse un objetivo de interés general sin tener en cuenta que debe conciliarse con los derechos fundamentales afectados por la medida, efectuando una ponderación equilibrada entre, por una parte, el objetivo de interés general y, por otra parte, los derechos de que se trate [dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017, EU:C:2017:592, apartado 140, y sentencia de 5 de abril de 2022, Commissioner of An Garda Síochána y otros, C‑140/20, EU:C:2022:258, apartado 52 y jurisprudencia citada].
116 Más concretamente, la posibilidad de que los Estados miembros justifiquen una limitación de los derechos garantizados en los artículos 7 y 8 de la Carta debe apreciarse determinando la gravedad de la injerencia que supone esa limitación y comprobando que la importancia del objetivo de interés general perseguido por dicha limitación guarde relación con tal gravedad (véanse, en este sentido, las sentencias de 2 de octubre de 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, apartado 55 y jurisprudencia citada, y de 5 de abril de 2022, Commissioner of An Garda Síochána y otros, C‑140/20, EU:C:2022:258, apartado 53 y jurisprudencia citada).
117 Para cumplir el requisito de proporcionalidad, la normativa controvertida que conlleve la injerencia debe establecer reglas claras y precisas que regulen el alcance y la aplicación de las medidas que establece e impongan unas exigencias mínimas, de modo que las personas cuyos datos se hayan transferido dispongan de garantías suficientes que permitan proteger de manera eficaz sus datos personales contra los riesgos de abuso. Debe, en particular, indicar en qué circunstancias y con arreglo a qué requisitos puede adoptarse una medida que contemple el tratamiento de tales datos, garantizando así que la injerencia se limite a lo estrictamente necesario. La necesidad de disponer de esas garantías es aún más importante cuando los datos personales se someten a un tratamiento automatizado. Estas consideraciones son aplicables particularmente cuando los datos PNR puedan revelar información de carácter sensible acerca de los pasajeros [dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017, EU:C:2017:592, apartado 141, y sentencia de 6 de octubre de 2020, La Quadrature du Net y otros, C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791, apartado 132 y jurisprudencia citada].
118 De este modo, una normativa que prevea la conservación de datos de carácter personal debe responder en todo caso a criterios objetivos, que establezcan una relación entre los datos que deban conservarse y el objetivo que se pretende lograr [véase, en este sentido, el dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017, EU:C:2017:592, apartado 191 y jurisprudencia citada, y sentencias de 3 de octubre de 2019, A y otros, C‑70/18, EU:C:2019:823, apartado 63, y de 6 de octubre de 2020, La Quadrature du Net y otros, C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791, apartado 133].
a) Sobre el respeto del principio de legalidad y del contenido esencial de los derechos fundamentales afectados
119 La limitación del ejercicio de los derechos fundamentales garantizados en los artículos 7 y 8 de la Carta que resulta del sistema instaurado por la Directiva PNR se prevé en un acto legislativo de la Unión. En cuanto a la cuestión de si, con arreglo a la jurisprudencia recordada en el apartado 114 de la presente sentencia, la referida Directiva, como acto del Derecho de la Unión que permite la injerencia en esos derechos, define por sí misma el alcance de la limitación del ejercicio de tales derechos, procede señalar que las disposiciones de dicha Directiva y sus anexos I y II, de una parte, contienen una enumeración de los datos PNR y, de otra parte, regulan el tratamiento de esos datos, especialmente, definiendo las finalidades y características de dichos tratamientos. Por lo demás, esta cuestión se confunde ampliamente con la del cumplimiento del requisito de proporcionalidad, recordado en el apartado 117 de la presente sentencia (véase, en este sentido, la sentencia de 16 de julio de 2020, Facebook Ireland y Schrems, C‑311/18, EU:C:2020:559, apartado 180), y se examinará en los apartados 125 y siguientes de la presente sentencia.
120 Por lo que atañe al respeto del contenido esencial de los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta, los datos PNR pueden, bien es cierto, desvelar, en su caso, informaciones muy precisas sobre la vida privada de una persona. No obstante, en la medida en que, por un lado, la naturaleza de esas informaciones se limita a determinados aspectos de la vida privada atinentes, en particular, a los viajes aéreos de esa persona y en que, por otro lado, la Directiva PNR prohíbe expresamente, en su artículo 13, apartado 4, el tratamiento de datos sensibles, en el sentido del artículo 9, apartado 1, del RGPD, los datos a que se refiere dicha Directiva no bastan, por sí mismos, para obtener una visión completa de la vida privada de una persona. Además, esta Directiva circunscribe, en su artículo 1, apartado 2, en relación con su artículo 3, puntos 8 y 9, y con su anexo II, las finalidades del tratamiento de dichos datos. Por último, esa misma Directiva establece, en sus artículos 4 a 15, normas que regulan la trasferencia, los tratamientos y la conservación de los datos mencionados, así como normas dirigidas a garantizar, en particular, la seguridad, la confidencialidad y la integridad de esos mismos datos, así como a protegerlos frente a accesos o tratamientos ilícitos. En tales circunstancias, las injerencias que conlleva la Directiva PNR no menoscaban el contenido esencial de los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta.
b) Sobre el objetivo de interés general y la idoneidad de los tratamientos de datos PNR en relación con dicho objetivo
121 Por lo que respecta a la cuestión de si el sistema establecido por la Directiva PNR persigue un objetivo de interés general, de los considerandos 5, 6 y 15 de esta Directiva se deduce que el objetivo de esta es garantizar la seguridad interior de la Unión y proteger la vida y la seguridad de los ciudadanos, creando al mismo tiempo un marco jurídico que garantice el alto nivel de protección de los derechos fundamentales de los pasajeros, especialmente el derecho a la intimidad y a la protección de datos de carácter personal, cuando los datos PNR sean tratados por las autoridades competentes.
122 Con este propósito, el artículo 1, apartado 2, de la Directiva PNR dispone que los datos PNR obtenidos con arreglo a dicha Directiva solo pueden ser objeto de los tratamientos previstos en su artículo 6, apartado 2, letras a) a c), con fines de prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y los delitos graves. Pues bien, tales finalidades constituyen, indudablemente, objetivos de interés general de la Unión que pueden justificar injerencias, incluso graves, en los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta [véase, en este sentido, la sentencia de 8 de abril de 2014, Digital Rights Ireland y otros, C‑293/12 y C‑594/12, EU:C:2014:238, apartado 42, y el dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017, EU:C:2017:592, apartados 148 y 149].
123 Por lo que atañe a la idoneidad del sistema establecido por la Directiva PNR para lograr los objetivos perseguidos, es preciso constatar que la posibilidad de «falsos negativos» y el número bastante considerable de «falsos positivos» que, como se ha señalado en el apartado 106 de la presente sentencia, se han producido a raíz de los tratamientos automatizados previstos por esa Directiva a lo largo de los años 2018 y 2019 pueden ciertamente limitar la idoneidad del sistema para contribuir a la consecución del objetivo consistente en combatir los delitos de terrorismo y los delitos graves, pero no la excluyen. En efecto, como resulta del documento de trabajo de la Comisión mencionado en el apartado 106 de la presente sentencia, los tratamientos automatizados efectuados con arreglo a la referida Directiva ya han permitido la efectiva identificación, en el marco de la lucha contra los delitos de terrorismo y los delitos graves, de pasajeros aéreos que representan un riesgo.
124 Asimismo, habida cuenta del porcentaje de error propio de los tratamientos automatizados de los datos PNR y, especialmente, del considerable número de «falsos positivos», la idoneidad del sistema establecido por la Directiva PNR depende fundamentalmente del buen funcionamiento de la comprobación subsiguiente de los resultados obtenidos a raíz de esos tratamientos a través de medios no automatizados, tarea que corresponde, con arreglo a esta Directiva, a la UIP. En consecuencia, las disposiciones establecidas a estos efectos por dicha Directiva contribuyen al logro de tales objetivos.
c) Sobre el carácter necesario de las injerencias que resultan de la Directiva PNR
125 Conforme al criterio jurisprudencial recordado en los apartados 115 a 118 de la presente sentencia, es preciso comprobar si las injerencias que resultan de la Directiva PNR se limitan a lo estrictamente necesario y, en particular, si la citada Directiva establece reglas claras y precisas que regulen el alcance y la aplicación de las medidas que establece, así como si el sistema que instaura responde en todo caso a criterios objetivos, estableciendo una relación entre los datos PNR, los cuales están estrechamente relacionados con la reserva y realización de viajes aéreos, y las finalidades perseguidas por esa Directiva, a saber, la lucha contra los delitos de terrorismo y los delitos graves.
1) Datos de los pasajeros contemplados por la Directiva PNR
126 Es preciso valorar si las categorías de datos que figuran en el anexo I de la Directiva PNR definen de forma clara y precisa los datos PNR que deben ser comunicados a la UIP por una compañía aérea.
127 Con carácter preliminar, debe recordarse que, como resulta del considerando 15 de la Directiva PNR, la intención del legislador de la Unión ha sido que la lista de datos PNR que debe comunicarse a una UIP se elabore «con el objetivo de reflejar las legítimas necesidades de las autoridades públicas para prevenir, detectar, investigar y enjuiciar los delitos de terrorismo y los delitos graves, mejorando así la seguridad interior en la Unión y la protección de los derechos fundamentales y, en particular, el derecho a la intimidad y la protección de datos personales». Concretamente, según ese mismo considerando, tales datos «solo deben contener la información detallada sobre las reservas e itinerarios de viaje que permita a las autoridades competentes identificar a los pasajeros por vía aérea que representan una amenaza para la seguridad interior». Por otro lado, la Directiva PNR prohíbe, en su artículo 13, apartado 4, primera frase, «el tratamiento de datos PNR que revele[n] el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, la pertenencia a un sindicato, la salud, la vida sexual o la orientación sexual de una persona».
128 Por lo tanto, los datos PNR recogidos y comunicados con arreglo al anexo I de la Directiva PNR deben tener una relación directa con el vuelo efectuado y el pasajero afectado y deben limitarse de manera que, por una parte, respondan únicamente a las legítimas exigencias de los poderes públicos en materia de prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo o los delitos graves y, por otra parte, se excluyan los datos sensibles.
129 Pues bien, las categorías 1 a 4, 7, 9, 11, 15, 17 y 19 del anexo I de la Directiva PNR dan cumplimento a tales requisitos, así como al de claridad y precisión, puesto que se refieren a información claramente identificable y delimitada, directamente relacionada con el vuelo realizado y el pasajero de que se trate. Como señala el Abogado General en el punto 165 de sus conclusiones, lo mismo ocurre, pese a su redacción abierta, con las categorías 10, 13, 14 y 16.
130 En cambio, es preciso hacer alguna puntualización a los efectos de la interpretación de las categorías 5, 6, 8, 12 y 18.
131 Por lo que se refiere a la categoría 5, que trata de la «dirección y [los] datos de contacto (número de teléfono, dirección de correo electrónico)», la referida categoría no precisa expresamente si dicha dirección y dichos datos de contacto se refieren únicamente al pasajero aéreo o también a terceros que hayan efectuado la reserva del vuelo para el pasajero aéreo, a aquellos terceros por medio de los cuales pueda entrarse en contacto con el pasajero aéreo, o a aquellos terceros que deban ser informados en caso de urgencia. No obstante, como señala, en esencia, el Abogado General, en el punto 162 de sus conclusiones, habida cuenta de los requisitos de claridad y precisión, no cabe interpretar esta categoría en el sentido de que también permite, implícitamente, la recogida y la transmisión de datos personales de esos terceros. Por consiguiente, procede interpretar que la referida categoría solo se refiere a la dirección postal y a los datos de contacto, a saber, el número de teléfono y la dirección de correo electrónico, del pasajero aéreo a cuyo nombre se hace la reserva.
132 En cuanto a la categoría 6, que contempla «todos los datos de pago, incluida la dirección de facturación», para que cumpla los requisitos de claridad y precisión ha de interpretarse en el sentido de que únicamente se refiere a la información relativa a los medios de pago y a la facturación del billete de avión, excluyendo cualquier otra información que no esté directamente relacionada con el vuelo [véase, por analogía, el dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017, EU:C:2017:592, apartado 159].
133 En cuanto a la categoría 8, que trata de la «información sobre viajeros asiduos», como señala el Abogado General en el punto 164 de sus conclusiones, debe interpretarse como referida exclusivamente a los datos sobre la categoría del pasajero de que se trate en el contexto de un programa de fidelización de determinada compañía aérea o de un determinado grupo de compañías aéreas, y al número que identifica a dicho pasajero como «viajero asiduo». En consecuencia, la categoría 8 no permite recoger información relativa a las transacciones que han dado lugar a la adquisición de esa condición.
134 Por lo que respecta a la categoría 12, se refiere a las «observaciones generales (incluida toda la información disponible sobre menores de 18 años no acompañados, como nombre y sexo del menor, edad, idiomas que habla, nombre, apellidos y dirección de contacto del acompañante en el aeropuerto de salida y vínculo con el menor, nombre, apellidos y dirección de contacto del acompañante en el aeropuerto de llegada y vínculo con el menor, agente en el lugar de salida y de llegada)».
135 A este respecto, debe decirse, de entrada, que aunque los términos «observaciones generales» no cumplen los requisitos de claridad y precisión, al no establecer, en sí mismos, limitación alguna en cuanto a la naturaleza y el alcance de la información que puede recogerse y comunicarse a una UIP correspondiente a la categoría 12 [véase, en este sentido, el dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017, EU:C:2017:592, apartado 160], la enumeración que figura entre paréntesis cumple, por su parte, tales requisitos.
136 En consecuencia, para dar a la categoría 12 una interpretación que, como prevé la jurisprudencia recordada en el apartado 86 de la presente sentencia, le permita ajustarse a los requisitos de claridad y precisión y, más en general, a los artículos 7 y 8, así como al artículo 52, apartado 1, de la Carta, debe entenderse que solo cabe recoger y comunicar las informaciones expresamente enumeradas en esa categoría, a saber, el nombre y sexo del pasajero aéreo menor, edad, idiomas que habla, nombre, apellidos y dirección de contacto del acompañante en el aeropuerto de salida y vínculo con el menor, nombre, apellidos y dirección de contacto del acompañante en el aeropuerto de llegada y vínculo con el menor, agente en el lugar de salida y de llegada.
137 Por último, en cuanto a la rúbrica 18, esta se refiere a «cualquier información recogida en el sistema de información anticipada sobre los pasajeros (sistema API) (incluidos el tipo, número, país de emisión y fecha de expiración de cualquier documento de identidad, nacionalidad, apellidos, nombre, sexo, fecha de nacimiento, compañía aérea, número de vuelo, fecha de salida, fecha de llegada, aeropuerto de salida, aeropuerto de llegada, hora de salida y hora de llegada)».
138 Como señala, en esencia, el Abogado General en los puntos 156 a 160 de sus conclusiones, esta rúbrica 18, interpretada a la luz de los considerandos 4 y 9 de la Directiva PNR, establece que las informaciones a las que se refiere son exclusivamente los datos API que se enumeran en esta rúbrica y en el artículo 3, apartado 2, de la Directiva API.
139 Así pues, siempre que se interprete la categoría 18 en el sentido de que únicamente comprende la información expresamente contemplada en esa misma categoría y en el artículo 3, apartado 2, de la Directiva API, dicha categoría puede considerarse ajustada a los requisitos de claridad y precisión [véase, por analogía, el dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017, EU:C:2017:592, apartado 161].
140 Por este motivo, debe concluirse que, interpretado con arreglo a las consideraciones que se han expuesto, en particular, en los apartados 130 a 139 de la presente sentencia, el anexo I de la Directiva PNR presenta, en su conjunto, un carácter suficientemente claro y preciso, delimitando de esa forma el alcance de la injerencia en los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta.
2) Finalidades de los tratamientos de datos PNR
141 Como resulta del artículo 1, apartado 2, de la Directiva PNR, la finalidad de los tratamientos de datos PNR recogidos con arreglo a dicha Directiva es la lucha contra los «delitos de terrorismo» y los «delitos graves».
142 En cuanto a la cuestión de si la Directiva PNR establece, en esta materia, reglas claras y precisas que limiten la aplicación del sistema instaurado por dicha Directiva a lo estrictamente necesario para estos fines, interesa poner de relieve, por un parte, que los términos «delitos de terrorismo» están definidos en el artículo 3, punto 8, de dicha Directiva en referencia a los «delitos con arreglo al derecho nacional a que se refieren los artículos 1 a 4 de la Decisión Marco [2002/475]».
143 Pues bien, además del hecho de que la referida Decisión Marco definía, en sus artículos 1 a 3, de forma clara y precisa, los «delitos de terrorismo», los «delitos relativos a un grupo terrorista» y los «delitos ligados a las actividades terroristas», que los Estados miembros tenían obligación de tipificar como delitos con arreglo a dicha Decisión Marco, la Directiva 2017/541 también define, en sus artículos 3 a 14, de forma clara y precisa, esos mismos delitos.
144 Por otra parte, el artículo 3, punto 9, de la Directiva PNR define los términos «delitos graves» por referencia a los «delitos incluidos en el anexo II [de dicha Directiva] que son punibles con una pena privativa de libertad o un auto de internamiento de una duración máxima no inferior a tres años con arreglo al derecho nacional de un Estado miembro».
145 Pues bien, el mencionado anexo enumera de forma exhaustiva las distintas categorías de delitos que pueden corresponder a los «delitos graves» mencionados en el artículo 3, punto 9, de la Directiva PNR.
146 Asimismo, habida cuenta de las especificidades que presentaban, cuando se adoptó la citada Directiva, los sistemas penales nacionales de los distintos Estados miembros, al no existir una armonización de los delitos así contemplados, el legislador de la Unión podía limitarse a referirse a categorías de delitos sin precisar sus elementos constitutivos, máxime cuando, por definición, tales elementos se concretan necesariamente en el Derecho nacional, al que se remite el artículo 3, punto 9, de la Directiva PNR, al estar obligados los Estados miembros a respetar el principio de legalidad de los delitos y de las penas como parte del valor común, compartido con la Unión, del Estado de Derecho, establecido por el artículo 2 TUE (véase, por analogía, la sentencia de 16 de febrero de 2022, Hungría/Parlamento y Consejo, C‑156/21, EU:C:2022:97, apartados 136, 160 y 234), principio que, por otra parte, está consagrado en el artículo 49, apartado 1, de la Carta, a cuya observancia están obligados los Estados miembros al ejecutar un acto de la Unión, como la Directiva PNR (véase, en este sentido, la sentencia de 10 de noviembre de 2011, QB, C‑405/10, EU:C:2011:722, apartado 48 y jurisprudencia citada). Por lo tanto, habida cuenta del sentido habitual de los términos utilizados en ese mismo anexo, debe considerarse que dicho anexo determina con suficiente claridad y precisión las infracciones que pueden constituir delitos graves.
147 Es cierto que los puntos 7, 8, 10 y 16 del anexo II se refieren a categorías de delitos muy generales (fraude, blanqueo del producto del delito y falsificación de moneda, delitos contra el medio ambiente, tráfico ilícito de bienes culturales), si bien aluden a delitos concretos que pertenecen a esas categorías generales. Con objeto de garantizar una precisión suficiente, también exigida por el artículo 49 de la Carta, debe interpretarse que estos puntos se refieren a los mencionados delitos, tal y como aparecen especificados por el Derecho nacional o el Derecho de la Unión en la materia. Así interpretados, puede considerarse que dichos puntos cumplen los requisitos de claridad y precisión.
148 Finalmente, debe recordarse asimismo que si bien, de conformidad con el principio de proporcionalidad, el objetivo de la lucha contra la delincuencia grave puede justificar la injerencia grave que supone la Directiva PNR en los derechos fundamentales garantizados en los artículos 7 y 8 de la Carta, no ocurre lo mismo con el de lucha contra la delincuencia en general, puesto que este último objetivo solo puede justificar injerencias que no presenten un carácter grave (véase, por analogía, la sentencia de 5 de abril de 2022, Commissioner of An Garda Síochána y otros, C‑140/20, EU:C:2022:258, apartado 59 y jurisprudencia citada). Así pues, dicha Directiva debe garantizar, mediante reglas claras y precisas, que la aplicación del sistema que instaura se limita únicamente a infracciones que corresponden a delitos graves y excluye, por ello, aquellas que corresponden a delitos comunes.
149 En este sentido, como señala el Abogado General en el punto 121 de sus conclusiones, un buen número de los delitos mencionados en el anexo II de la Directiva PNR, como la trata de seres humanos, la explotación sexual de los niños y la pornografía infantil, el tráfico ilícito de armas, municiones y explosivos, el blanqueo de capitales, la delincuencia informática, el tráfico de órganos y de tejidos humanos, el tráfico de estupefacientes y sustancias psicotrópicas, el tráfico de materias nucleares o radioactivas, el secuestro de aeronaves y buques, los delitos incluidos en la jurisdicción de la Corte Penal Internacional, el homicidio voluntario, la violación, el secuestro, la detención ilegal y la toma de rehenes, revisten, por su naturaleza, un nivel de gravedad incuestionablemente elevado.
150 Por añadidura, si bien otros delitos también previstos en dicho anexo II pueden, a priori, asociarse fácilmente con delitos graves, a tenor de los propios términos del artículo 3, punto 9, de la Directiva PNR, solo cabe considerar esas infracciones como delitos graves si son punibles con una pena privativa de libertad o un auto de internamiento de una duración máxima no inferior a tres años con arreglo al Derecho nacional del Estado miembro de que se trate. Los requisitos que resultan de esta disposición, que se refieren a la naturaleza y a la severidad de la pena aplicable, sirven, en principio, para limitar la aplicación del sistema establecido por esa Directiva a aquellos delitos que presenten un nivel de gravedad suficiente para poder justificar la injerencia en los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta que resulta del sistema establecido por la misma Directiva.
151 Sin embargo, en la medida en que el artículo 3, punto 9, de la Directiva PNR se refiere no a la pena mínima aplicable, sino a la pena máxima aplicable, no debe excluirse que los datos PNR puedan ser objeto de tratamiento a efectos de la lucha contra infracciones que, aunque cumplan el criterio establecido por dicho precepto en relación con el umbral de gravedad, correspondan, habida cuenta de las especificidades del sistema penal nacional, no a delitos graves, sino a la delincuencia común.
152 Por lo tanto, incumbe a los Estados miembros garantizar que la aplicación del sistema establecido por la Directiva PNR se limite de manera efectiva a la lucha contra los delitos graves y que este sistema no se extienda a delitos que forman parte de la delincuencia común.
3) Relación entre los datos PNR y las finalidades de los tratamientos de dichos datos
153 Ciertamente, como señala, en esencia, el Abogado General en el punto 119 de sus conclusiones, el tenor del artículo 3, puntos 8 y 9, de la Directiva PNR, interpretado en relación con su anexo II, no se refiere expresamente a un criterio que permita circunscribir el ámbito de aplicación de la mencionada Directiva únicamente a los delitos que, por su naturaleza, podrían tener, al menos indirectamente, una relación objetiva con los viajes aéreos y, por lo tanto, con las categorías de datos transmitidos, tratados y conservados con arreglo a dicha Directiva.
154 Sin embargo, como indica el Abogado General en el punto 121 de sus conclusiones, ciertos delitos contemplados en el anexo II de la Directiva PNR, tales como la trata de seres humanos, el tráfico ilícito de estupefacientes o de armas, la ayuda a la entrada y residencia ilegales o también el secuestro de aeronaves, pueden, por su propia naturaleza, tener relación directa con el transporte aéreo de pasajeros. Lo mismo ocurre con ciertos delitos de terrorismo, como las destrucciones masivas en sistemas de transporte o infraestructuras o el apoderamiento ilícito de aeronaves, delitos que ya estaban contemplados en el artículo 1, apartado 1, letras d) y e), de la Decisión Marco 2002/475, a la que remite el artículo 3, punto 8, de la Directiva PNR, o también el hecho de viajar con fines de terrorismo y de organizar o facilitar tales viajes, delitos mencionados en los artículos 9 y 10 de la Directiva 2017/541.
155 En este contexto, también es procedente recordar que la Comisión motivó su propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la utilización de datos del registro de nombres de los pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos terroristas y delitos graves, de 2 de febrero de 2011 [COM(2011) 32 final], origen de la Directiva PNR, resaltando el hecho de que «los atentados terroristas de 2001 en los Estados Unidos, el atentado terrorista frustrado de agosto de 2006 de hacer explotar varios aviones en el trayecto del Reino Unido a los Estados Unidos y la tentativa de atentado terrorista a bordo de un vuelo de Ámsterdam a Detroit en diciembre de 2009, han puesto de manifiesto la capacidad de los terroristas para organizar atentados contra vuelos internacionales en cualquier país» y de que «la mayoría de los actos terroristas tiene carácter transnacional e implica viajes internacionales con destino, entre otros, a campos de entrenamiento fuera de la [Unión]». Además, para justificar la necesidad de analizar los datos PNR de cara a la lucha contra los delitos graves, la Comisión se refirió, a título de ejemplo, al caso de un grupo de traficantes de personas que utilizaban, para la trata de personas, documentos falsos para la facturación en vuelos, y al caso de una red de tráfico de personas y de tráfico de drogas que, para importar drogas a diversos destinos de Europa, utilizaba a personas que, a su vez, eran víctimas de trata, para los que compraba los billetes de avión con tarjetas de crédito robadas. Pues bien, el conjunto de esos casos se refería a delitos que presentaban una relación directa con el transporte aéreo de pasajeros por tratarse de delitos dirigidos contra el transporte aéreo de pasajeros y de delitos cometidos con ocasión o por medio de un viaje aéreo.
156 Procede asimismo subrayar que incluso delitos que no presenten esa relación directa con el transporte aéreo de pasajeros pueden, en función de las circunstancias del caso, presentar una relación indirecta con el transporte aéreo de pasajeros. Así ocurre cuando el transporte aéreo sirve para preparar tales delitos o para sustraerse de la acción de la justicia después de haberlos cometidos. En cambio, los delitos que carecen de cualquier relación objetiva, siquiera indirecta, con el transporte aéreo de pasajeros no pueden justificar la aplicación del sistema establecido por la Directiva PNR.
157 En estas circunstancias, el artículo 3, puntos 8 y 9, de esta Directiva, en relación con su anexo II e interpretado a la luz de los requisitos que resultan de los artículos 7 y 8 y del artículo 52, apartado 1, de la Carta, exige a los Estados miembros que garanticen, especialmente al realizar la revisión individualizada por medios no automatizados a que se refiere el artículo 6, apartado 5, de dicha Directiva, que la aplicación del sistema establecido por esta se limite a los delitos terroristas y únicamente a aquellos delitos graves que guarden una relación objetiva, cuando menos indirecta, con el transporte aéreo de pasajeros.
4) Pasajeros aéreos y vuelos afectados
158 El sistema establecido por la Directiva PNR abarca los datos PNR del conjunto de personas que encajan en el concepto de «pasajero», en el sentido del artículo 3, punto 4, de esta Directiva, y toman vuelos incluidos en su ámbito de aplicación.
159 De acuerdo con el artículo 8, apartado 1, de la referida Directiva, esos datos se enviarán a la UIP del Estado miembro en cuyo territorio debe aterrizar o de cuyo territorio debe salir el vuelo, al margen de cualquier elemento objetivo que permita considerar que existe un riesgo de que los pasajeros de que se trate puedan estar implicados en delitos de terrorismo o en delitos graves. Sin embargo, los datos comunicados de esta forma están sometidos, en particular, a tratamientos automatizados en el marco de la evaluación previa prevista en el artículo 6, apartados 2, letra a), y 3, de la Directiva PNR, siendo la finalidad de tal evaluación, como resulta del considerando 7 de esta misma Directiva, identificar a personas que no eran sospechosas de estar implicadas en delitos de terrorismo o en delitos graves antes de esta evaluación y que deberían ser objeto de investigación adicional por parte de las autoridades competentes.
160 Más concretamente, de los artículos 1, apartado 1, letra a), y 2 de la Directiva PNR resulta que esta distingue entre los pasajeros que toman vuelos exteriores de la Unión, realizados entre la Unión y terceros países, y los que toman vuelos interiores de la Unión, realizados entre distintos Estados miembros.
161 En cuanto a los pasajeros de vuelos exteriores de la Unión, procede recordar que, por lo que se refiere a los pasajeros que toman vuelos entre la Unión y Canadá, el Tribunal de Justicia ya ha declarado que el tratamiento automatizado de sus datos PNR, previamente a su llegada a Canadá, facilita y acelera los controles de seguridad, especialmente en las fronteras. Por otra parte, la exclusión de determinadas categorías de personas o de determinadas zonas de origen podría obstaculizar la realización del objetivo del tratamiento automatizado de los datos PNR, que es la identificación, mediante la comprobación de esos datos, de aquellas personas que puedan presentar un riesgo para la seguridad pública entre el conjunto de los pasajeros aéreos, y permitir que se eluda esa comprobación [véase, en este sentido, el dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017, EU:C:2017:592, apartado 187].
162 Pues bien, estas consideraciones pueden aplicarse mutatis mutandis a la situación de los pasajeros que toman vuelos realizados entre la Unión y el conjunto de países terceros, situación que los Estados miembros deben someter al sistema instaurado por la Directiva PNR con arreglo a su artículo 1, apartado 1, letra a), en relación con su artículo 3, puntos 2 y 4. En efecto, la transferencia y la evaluación previa de los datos PNR de los pasajeros aéreos que entran o salen de la Unión no pueden limitarse a un círculo determinado de pasajeros aéreos, habida cuenta de la propia naturaleza de las amenazas para la seguridad pública que pueden resultar de los delitos terroristas y de los delitos graves que tengan una relación objetiva, cuando menos indirecta, con el transporte aéreo de pasajeros entre la Unión y países terceros. Por ello, debe considerarse que se da la necesaria relación entre esos datos y el objetivo de lucha contra tales delitos, de forma que la Directiva PNR no sobrepasa los límites de lo estrictamente necesario por el mero hecho de obligar a los Estados miembros a la transferencia y evaluación previa sistemáticas de los datos PNR de la totalidad de dichos pasajeros.
163 Por lo que atañe a los pasajeros que toman vuelos entre diferentes Estados miembros de la Unión, el artículo 2, apartado 1, de la Directiva PNR, en relación con el considerando 10 de esta, solo contempla la facultad de los Estados miembros de extender la aplicación del sistema establecido por esa Directiva a los vuelos interiores de la Unión.
164 De esta forma, el legislador de la Unión no ha querido imponer a los Estados miembros la obligación de extender la aplicación del sistema instaurado por la Directiva PNR a los vuelos interiores de la Unión, sino que, como se deduce del artículo 19, apartado 3, de esta Directiva, se reserva la decisión sobre tal extensión, si bien precisa que debe estar precedida de una evaluación pormenorizada de sus repercusiones jurídicas, en particular, en los derechos fundamentales de las personas afectadas.
165 En este sentido debe llamarse la atención sobre el hecho de que, al enunciar que el informe de revisión de la Comisión a que se refiere el artículo 19, apartado 1, de la Directiva PNR «incluirá asimismo un estudio de la necesidad, la proporcionalidad y la eficacia de la inclusión en el ámbito de aplicación de la presente Directiva, de la recogida y transmisión obligatoria de los datos PNR relativos a todos o determinados vuelos interiores de la [Unión]» y que la Comisión debe tener en cuenta, a estos efectos, «la experiencia adquirida por los Estados miembros, en especial por aquellos que aplican la presente Directiva a los vuelos interiores de la [Unión], de conformidad con el artículo 2», el artículo 19, apartado 3, de esta Directiva pone de manifiesto que, para el legislador de la Unión, el sistema establecido por esa Directiva no debe extenderse necesariamente a todos los vuelos interiores de la Unión.
166 En el mismo orden de ideas, el artículo 2, apartado 3, de la Directiva PNR dispone que los Estados miembros podrán decidir aplicar esta Directiva exclusivamente a vuelos interiores de la Unión seleccionados cuando lo consideren necesario a fin de perseguir los objetivos de la citada Directiva y que podrán modificar la selección de esos vuelos en todo momento.
167 Sea como sea, la facultad de los Estados miembros de extender la aplicación del sistema instaurado por la Directiva PNR a los vuelos interiores de la Unión debe ejercerse, como se desprende de su considerando 22, respetando plenamente los derechos fundamentales garantizados en los artículos 7 y 8 de la Carta. En este aspecto, si bien con arreglo al considerando 19 de dicha Directiva corresponde a los Estados miembros evaluar las amenazas relacionadas con los delitos de terrorismo y los delitos graves, no es menos cierto que el ejercicio de esta facultad presupone que, durante esta evaluación, los Estados miembros hayan llegado a la conclusión de que existe una amenaza relacionada con esos delitos que pueda justificar que esta Directiva se aplique también a los vuelos interiores de la Unión.
168 En estas circunstancias, cuando un Estado miembro desee hacer uso de la facultad prevista en el artículo 2 de la Directiva PNR, ya sea en relación con el conjunto de los vuelos interiores de la Unión, con arreglo al apartado 2 de dicho artículo, o solo en relación con alguno de esos vuelos, conforme al apartado 3 del reiterado artículo, no está exento de comprobar si la extensión de la aplicación de esta Directiva a todos o parte de los vuelos interiores de la Unión es efectivamente necesaria y proporcionada en relación con la consecución del objetivo a que se refiere el artículo 1, apartado 2, de la referida Directiva.
169 En consecuencia, a tenor de los considerandos 5 a 7, 10 y 22 de la Directiva PNR, ese Estado miembro debe comprobar que los tratamientos previstos por esta Directiva en relación con los datos PNR de los pasajeros que tomen vuelos interiores de la Unión o algunos de esos vuelos son estrictamente necesarios, a la vista de la gravedad de la injerencia en los derechos fundamentales garantizados en los artículos 7 y 8 de la Carta, para garantizar la seguridad interior de la Unión o, cuando menos, la de ese Estado miembro y, por ende, para proteger la vida y la seguridad de los ciudadanos.
170 En particular, por lo que se refiere a las amenazas que tienen que ver con los delitos de terrorismo, según la jurisprudencia del Tribunal de Justicia, las actividades terroristas se cuentan entre aquellas que pueden desestabilizar gravemente las estructuras constitucionales, políticas, económicas o sociales fundamentales de un país, y, en particular, amenazar directamente a la sociedad, a la población o al propio Estado, y cada Estado miembro tiene el mayor interés en prevenir y reprimir estas actividades para proteger las funciones esenciales del Estado y los intereses fundamentales de la sociedad, con objeto de salvaguardar la seguridad nacional. Tales amenazas se distinguen, por su naturaleza, su particular gravedad y el carácter específico de las circunstancias que las conforman, del riesgo general y permanente de que se cometan delitos graves (véanse, en este sentido, las sentencias de 6 de octubre de 2020, La Quadrature du Net y otros, C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791, apartados 135 y 136, y de 5 de abril de 2022, Commissioner of An Garda Síochána y otros, C‑140/20, EU:C:2022:258, apartados 61 y 62).
171 Así, en una situación en la que se compruebe, sobre la base de la evaluación llevada a cabo por un Estado miembro, que existen circunstancias suficientemente concretas para considerar que este último se enfrenta a una amenaza terrorista que resulta real y actual o previsible, no parece que el hecho de que un Estado miembro prevea, en virtud del artículo 2, apartado 1, de esta Directiva, la aplicación de la Directiva PNR a todos los vuelos interiores de la Unión con origen o destino en este Estado miembro, por un período de tiempo limitado, sobrepase los límites de lo estrictamente necesario. En efecto, la existencia de dicha amenaza puede, por sí sola, establecer esa relación entre, de una parte, la transferencia y el tratamiento de los datos de que se trate y, de otra parte, la lucha contra el terrorismo (véase, por analogía, la sentencia de 6 de octubre de 2020, La Quadrature du Net y otros, C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791, apartado 137).
172 La decisión que prevea tal aplicación debe poder ser objeto de control efectivo por un órgano jurisdiccional o por una entidad administrativa independiente, cuya resolución tenga carácter vinculante, a fin de comprobar la existencia de esta situación y el respecto de las condiciones y de las garantías que deben establecerse. El período de aplicación también debe estar limitado temporalmente a lo estrictamente necesario, pero podrá renovarse en caso de que persista dicha amenaza (véanse, por analogía, las sentencias de 6 de octubre de 2020, La Quadrature du Net y otros, C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791, apartado 168, y de 5 de abril de 2022, Commissioner of An Garda Síochána y otros, C‑140/20, EU:C:2022:258, apartado 58).
173 En cambio, de no haber una amenaza terrorista real y actual o previsible a la que tenga que enfrentarse el Estado miembro de que se trate, no cabe considerar que la aplicación sin distinciones por parte de dicho Estado del sistema establecido por la Directiva PNR no solo a los vuelos exteriores de la Unión, sino también a todos los vuelos interiores de la Unión, se limite a lo estrictamente necesario.
174 En semejante situación, la aplicación del sistema establecido por la Directiva PNR a ciertos vuelos interiores de la Unión debe limitarse a la transferencia y al tratamiento de los datos PNR de los vuelos que cubran determinadas conexiones aéreas, que respondan a determinados planes de viaje o que conciernan a determinados aeropuertos respecto de los que existen indicios que permitan justificar esa aplicación. Corresponde al Estado miembro de que se trate, en tal situación, seleccionar los vuelos interiores de la Unión en función de los resultados de la apreciación que debe efectuar con arreglo a los requisitos expuestos en los apartados 163 a 169 de la presente sentencia y volver a examinar periódicamente dicha situación en función de la evolución de las circunstancias que justificaron su selección, para garantizar que la aplicación del sistema instaurado por esa Directiva a los vuelos interiores de la Unión siga limitándose a lo estrictamente necesario.
175 De las anteriores consideraciones resulta que la interpretación anteriormente expuesta de los artículos 2 y 3, punto 4, de la Directiva PNR, a la luz de los artículos 7 y 8 y del artículo 52, apartado 1, de la Carta, es idónea para garantizar que tales disposiciones respeten los límites de lo estrictamente necesario.
5) Evaluación previa de los datos PNR por medio de tratamientos automatizados
176 A tenor del artículo 6, apartado 2, letra a), de la Directiva PNR, el objetivo de la evaluación previa que contempla es identificar a toda persona que deba ser examinada de nuevo, especialmente, por las autoridades competentes a que se refiere el artículo 7 de esta Directiva, ante la posibilidad de que pudiera estar implicada en un delito de terrorismo o delito grave.
177 Esta evaluación previa se desarrolla en dos fases. En una primera fase, la UIP del Estado miembro afectado realiza, con arreglo al artículo 6, apartado 3, de la Directiva PNR, tratamientos automatizados de los datos PNR comparándolos con bases de datos o tratándolos con arreglo a criterios predeterminados. En una segunda fase, en el supuesto de que esos tratamientos automatizados conduzcan a un resultado positivo (hit), la unidad mencionada realiza, con arreglo al artículo 6, apartado 5, de esta Directiva, una revisión individual, por medios no automatizados, con objeto de comprobar si es necesario que las autoridades competentes a que hace referencia el artículo 7 de dicha Directiva emprendan una acción en virtud del Derecho nacional (match).
178 Pues bien, como se ha recordado en el apartado 106 de la presente sentencia, los tratamientos automatizados presentan necesariamente un margen de error bastante considerable, en la medida en que se efectúan partiendo de datos personales no verificados y en que se basan en criterios preestablecidos.
179 En estas circunstancias, y a la vista de la necesidad, que se subraya en el cuarto considerando de la Carta, de reforzar la protección de los derechos fundamentales a la luz, en particular, de los avances científicos y tecnológicos, debe garantizarse, como enuncian el considerando 20 y el artículo 7, apartado 6, de la Directiva PNR, que ninguna decisión que produzca efectos jurídicos adversos para una persona o que afecte significativamente a una persona sea adoptada por parte de las autoridades competentes únicamente en razón del tratamiento automatizado de datos PNR. Asimismo, conforme al artículo 6, apartado 6, de esta Directiva, la propia UIP solo puede transferir los datos PNR a esas autoridades después de haber efectuado una revisión individualizada por medios no automatizados. Por último, además de las comprobaciones que corresponde efectuar a la UIP y a las propias autoridades competentes, la licitud de los tratamientos automatizados en su conjunto debe poder ser objeto de control por parte del responsable de la protección de datos y de la autoridad nacional de control, en virtud de los artículos 6, apartado 7, y 15, apartado 3, letra b), de la citada Directiva, así como por parte de los órganos jurisdiccionales nacionales en relación con el recurso judicial mencionado en el artículo 13, apartado 1, de la misma Directiva.
180 Pues bien, como señala, en esencia, el Abogado General en el punto 207 de sus conclusiones, debe dotarse a la autoridad nacional de control, al responsable de la protección de datos y a la UIP de los medios materiales y personales necesarios para ejercer el control que se les confía con arreglo a la Directiva PNR. Además, es preciso que la normativa nacional que transponga esta Directiva al Derecho interno y que autorice los tratamientos automatizados previstos por esta establezca reglas claras y precisas para la determinación de las bases de datos y la fijación de los criterios de análisis utilizados, sin que, a efectos de la evaluación previa, pueda recurrirse a otros métodos no expresamente previstos en el artículo 6, apartado 2, de esta Directiva.
181 Por otra parte, del artículo 6, apartado 9, de la Directiva PNR se desprende que las consecuencias de la evaluación previa con arreglo al artículo 6, apartado 2, letra a), de esta misma Directiva no deben perjudicar el derecho de entrada de las personas que gocen del derecho de libre circulación en el territorio del Estado miembro en cuestión con arreglo a la Directiva 2004/38 y, por otra parte, deben ajustarse al Reglamento n.o 562/2006. Así pues, el sistema establecido por la Directiva PNR no permite a las autoridades competentes que limiten tal derecho más allá de lo previsto por la Directiva 2004/38 y el Reglamento n.o 562/2006.
i) Sobre la comparación de los datos PNR con las bases de datos
182 De acuerdo con el artículo 6, apartado 3, letra a), de la Directiva PNR, la UIP «podrá», al realizar la evaluación a que se refiere el artículo 6, apartado 2, letra a), de esta Directiva, comparar los datos PNR con las «bases de datos pertinentes» a los efectos de la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves, «incluidas las bases de datos sobre personas u objetos buscados o bajo alerta, de acuerdo con las normas de la Unión, internacionales y nacionales aplicables a dichas bases de datos».
183 Aunque la propia redacción de este artículo 6, apartado 3, letra a), de la Directiva PNR, en particular, el término «incluidas», indica que las bases de datos relativas a las personas u objetos buscados o bajo alerta figuran entre las «bases de datos pertinentes» a que se refiere esta disposición, no aclara cuáles son las demás bases de datos que también podrían considerarse «pertinentes» en relación con los objetivos perseguidos por esa Directiva. En efecto, como señala el Abogado General en el punto 217 de sus conclusiones, la referida disposición no precisa expresamente la naturaleza de los datos que puedan contenerse en tales bases y su relación con dichos objetivos, ni tampoco indica si los datos PNR deben compararse exclusivamente con las bases de datos gestionadas por autoridades públicas o si también pueden compararse con bases de datos gestionadas por personas privadas.
184 Así las cosas, el artículo 6, apartado 3, letra a), de la Directiva PNR podría prestarse, a primera vista, a una interpretación que considere que los datos PNR pueden utilizarse como simple criterios de búsqueda con objeto de realizar análisis a partir de bases de datos diversas, incluidas bases de datos gestionadas y explotadas por agencias de seguridad y de inteligencia de los Estados miembros para la persecución de objetivos distintos de los contemplados por esta Directiva, y que tales análisis pueden adoptar la forma de una extracción de datos (data mining). Pues bien, la posibilidad de efectuar tales análisis y de comparar los datos PNR con tales bases de datos podría generar en los pasajeros aéreos el sentimiento de que su vida privada es objeto de una forma de vigilancia. Por ello, aunque la evaluación previa establecida en esta disposición parta de un conjunto de datos relativamente limitado, como son los datos PNR, no cabe adoptar semejante interpretación de dicho artículo 6, apartado 3, letra a), por cuanto podría dar lugar a un uso desproporcionado de esos datos, que facilite los medios para establecer el perfil preciso de las personas afectadas por el mero hecho de que estas tengan la intención de viajar en avión.
185 Por lo tanto, conforme al criterio jurisprudencial recordado en los apartados 86 y 87 de la presente sentencia, procede interpretar el artículo 6, apartado 3, letra a), de la Directiva PNR de forma que se garantice el pleno respecto de los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta.
186 En este sentido, los considerandos 7 y 15 de la Directiva PNR indican que el tratamiento automatizado previsto en el artículo 6, apartado 3, letra a), de esta Directiva debe limitarse a lo estrictamente necesario para la lucha contra los delitos de terrorismo y la delincuencia grave, garantizando al mismo tiempo un alto nivel de protección de esos derechos fundamentales.
187 Por añadidura, como observa, en esencia, la Comisión en su respuesta a una pregunta formulada por el Tribunal de Justicia, los términos de esta disposición, que establece que la UIP «podrá» comparar los datos PNR con las bases de datos que menciona, permiten a la UIP optar por una forma de tratamiento limitada a lo estrictamente necesario en función de la situación concreta. Pues bien, atendiendo a la obligada observancia de los requisitos de claridad y precisión exigidos para garantizar la protección de los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta, la UIP está obligada a circunscribir el tratamiento automatizado contemplado en el artículo 6, apartado 3, letra a), de la Directiva PNR únicamente a las bases de datos que pueden identificarse por medio de esta disposición. En este aspecto, si bien la referencia a las «bases de datos pertinentes» que figura en esta última disposición no se presta a una interpretación que defina con suficiente claridad y precisión las bases de datos que así se mencionan, no ocurre lo mismo con la referencia a las «bases de datos sobre personas u objetos buscados o bajo alerta, de acuerdo con las normas de la Unión, internacionales y nacionales aplicables a dichas bases de datos».
188 En consecuencia, como observa, en esencia, el Abogado General en el punto 219 de sus conclusiones, el artículo 6, apartado 3, letra a), de la Directiva PNR debe interpretarse, a la luz de esos derechos fundamentales, en el sentido de que estas últimas bases de datos son las únicas con las que la UIP puede comparar los datos PNR.
189 En cuanto a los requisitos que deben cumplir dichas bases de datos, debe advertirse que, a tenor del artículo 6, apartado 4, de la Directiva PNR, la evaluación previa llevada a cabo con arreglo a criterios preestablecidos debe realizarse, en virtud del artículo 6, apartado 3, letra b), de esta Directiva, de forma no discriminatoria, y que dichos criterios deben ser orientados, proporcionados y específicos y deben ser fijados y revisados periódicamente por las UIP, en cooperación con las autoridades competentes mencionadas en el artículo 7 de dicha Directiva. Si bien, al mencionar el artículo 6, apartado 3, letra b), de esa misma Directiva, los términos de dicho artículo 6, apartado 4, solo se refieren al tratamiento de los datos PNR con arreglo a criterios predeterminados, esta última disposición debe interpretarse, a la luz de los artículos 7, 8 y 21 de la Carta, en el sentido de que los requisitos que establece deben aplicarse mutatis mutandis a la comparación de esos datos con las bases de datos mencionadas en el apartado anterior de la presente sentencia, con mayor motivo teniendo en cuenta que estos requisitos se corresponden, en lo fundamental, con los que establece, para el cotejo de los datos PNR con las bases de datos, la jurisprudencia sentada en el dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017 (EU:C:2017:592), apartado 172.
190 Sobre este particular, debe precisarse que el requisito relativo al carácter no discriminatorio de esas bases de datos implica, en particular, que la inclusión en las bases de datos relativas a personas buscadas o bajo alerta se base en elementos objetivos y no discriminatorios, definidos por normas nacionales, internacionales y de la Unión aplicables a tales bases de datos (véase, por analogía, la sentencia de 5 de abril de 2022, Commissioner of An Garda Síochána y otros, C‑140/20, EU:C:2022:258, apartado 78).
191 Además, para cumplir el requisito relativo al carácter orientado, proporcionado y específico de los criterios predeterminados, las bases de datos mencionadas en el apartado 188 de la presente sentencia deben ser explotadas en relación con la lucha contra los delitos terroristas y los delitos graves que presenten un vínculo objetivo, siquiera indirecto, con el transporte aéreo de pasajeros.
192 Por otro lado, las bases de datos utilizadas con arreglo al artículo 6, apartado 3, letra a), de la Directiva PNR deben, a tenor de las consideraciones que figuran en los apartados 183 y 184 de la presente sentencia, ser gestionadas por las autoridades competentes mencionadas en el artículo 7 de dicha Directiva o, si se trata de bases de datos de la Unión o de bases de datos internacionales, han de ser explotadas por esas autoridades en el marco de su cometido de lucha contra los delitos de terrorismo y los delitos graves. Pues bien, tal es el caso de las bases de datos relativas a personas u objetos buscados o bajo alerta, con arreglo a las normas nacionales, internacionales y de la Unión aplicables a tales bases de datos.
ii) Sobre el tratamiento de los datos PNR con arreglo a criterios predeterminados
193 El artículo 6, apartado 3, letra b), de la Directiva PNR establece que la UIP también puede tratar los datos PNR con arreglo a criterios predeterminados. A tenor del artículo 6, apartado 2, letra a), de esta Directiva, la finalidad de la evaluación previa y, por ende, la del tratamiento de los datos PNR con arreglo a criterios predeterminados es, en esencia, identificar a toda persona que pudiera estar implicada en un delito de terrorismo o delito grave.
194 En cuanto a los criterios a los que la UIP puede recurrir a estos efectos, es preciso señalar, en primer lugar, que, según los propios términos del artículo 6, apartado 3, letra b), de la Directiva PNR, debe tratarse de criterios «predeterminados». Como observa el Abogado General en el punto 228 de sus conclusiones, este requisito se opone a la utilización de las tecnologías de inteligencia artificial en el marco de sistemas de autoaprendizaje (machine learning), que puedan alterar, sin intervención y sin control humanos, el proceso de evaluación y, en particular, los criterios de evaluación en los que se basa el resultado de la aplicación del proceso, así como la ponderación de dichos criterios.
195 Es preciso añadir que el recurso a estas tecnologías entrañaría el riesgo de privar de efecto útil a la revisión individualizada de los resultados positivos y al control de licitud exigido por las disposiciones de la Directiva PNR. En efecto, como hace constar, en esencia, el Abogado General en el punto 228 de sus conclusiones, habida cuenta de la opacidad que caracteriza el funcionamiento de las tecnologías de inteligencia artificial, puede resultar imposible comprender la razón por la cual un determinado programa ha alcanzado una concordancia positiva. En estas circunstancias, el uso de esas tecnologías también podría privar a las personas afectadas de su derecho a la tutela judicial efectiva, que consagra el artículo 47 de la Carta y que la Directiva PNR pretende, a tenor de su considerando 28, garantizar en un nivel elevado, en particular para cuestionar el carácter no discriminatorio de los resultados obtenidos.
196 Por otra parte, en lo tocante a los requisitos establecidos en el artículo 6, apartado 4, de la Directiva PNR, esta disposición prescribe, en su primera frase, que la evaluación previa con arreglo a criterios predeterminados se realice de forma no discriminatoria y precisa, y en su cuarta frase, que estos criterios no se basen en ningún caso en el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, la pertenencia a un sindicato, la salud o la vida u orientación sexual de la persona.
197 Así pues, los Estados miembros no pueden utilizar, como criterios predeterminados, criterios basados en características mencionadas en el anterior apartado de la presente sentencia, cuya utilización puede dar lugar a discriminaciones. A este respecto, según los términos del artículo 6, apartado 4, cuarta frase, de la Directiva PNR, a cuyo tenor los criterios predeterminados no se basarán «en ningún caso» en dichas características, esta disposición se refiere tanto a discriminaciones directas como a discriminaciones indirectas. Por lo demás, esta interpretación se ve confirmada por el artículo 21, apartado 1, de la Carta, a cuya luz ha de interpretarse dicha disposición, que prohíbe «toda» discriminación basada en esas características. En estas circunstancias, los criterios predeterminados deben establecerse de forma que, aunque se formulen de un modo neutro, su aplicación no pueda resultar particularmente desventajosa para las personas que tengan las características protegidas.
198 En cuanto a los requisitos relativos al carácter orientado, proporcionado y específico de los criterios predeterminados, mencionados en el artículo 6, apartado 4, segunda frase, de la Directiva PNR, estos requisitos indican que los criterios utilizados a efectos de la evaluación previa deben determinarse de forma que su aplicación cribe específicamente a los individuos sobre los que pueda existir una sospecha razonable de participación en delitos terroristas o en delitos graves mencionados por esa Directiva. Así lo corroboran los propios términos del artículo 6, apartado 2, letra a), de la misma Directiva, los cuales inciden en la «posibilidad» de que la persona afectada «pudiera» estar implicada en «un» delito de terrorismo o delito grave. En este mismo orden de ideas, el considerando 7 de la referida Directiva precisa que el establecimiento y la aplicación de criterios de evaluación deben limitarse a los delitos de terrorismo y a la delincuencia grave «para [los] que es pertinente el uso de esos criterios».
199 Con objeto de cribar de esta manera a las personas de que se trata, y habida cuenta del riesgo de discriminación que entrañan los criterios basados en las características mencionadas en artículo 6, apartado 4, cuarta frase, de la Directiva PNR, la UIP y las autoridades competentes no pueden, en principio, basarse en esas características. En cambio, como manifestó el Gobierno alemán durante la vista, pueden, en particular, tener en cuenta particularidades del comportamiento fáctico de las personas en relación con la preparación y la realización de viajes aéreos que, según las comprobaciones efectuadas y la experiencia adquirida por las autoridades competentes, puedan indicar la posibilidad de que las personas que así se comportan estén implicadas en delitos de terrorismo o en delitos graves.
200 En este contexto, como observó la Comisión en su respuesta a una pregunta formulada por el Tribunal de Justicia, los criterios predeterminados deben establecerse de forma que tengan en cuenta tanto los elementos «de cargo» como los elementos «de descargo», siendo este un requisito que puede contribuir a la fiabilidad de estos criterios y, especialmente, garantizar que sean proporcionados, como preceptúa el artículo 6, apartado 4, segunda frase, de la Directiva PNR.
201 Por último, a tenor del artículo 6, apartado 4, tercera frase, de esta Directiva, los criterios predeterminados deben revisarse periódicamente. Al realizarse esta revisión, dichos criterios han de actualizarse en función de la evolución de las condiciones que hayan justificado que se tuvieran en cuenta para la evaluación previa, permitiendo así reaccionar al compás de los progresos en la lucha contra los delitos de terrorismo y los delitos graves mencionados en el apartado 157 de la presente sentencia (véase, por analogía, la sentencia de 5 de abril de 2022, Commissioner of An Garda Síochána y otros, C‑140/20, EU:C:2022:258, apartado 82). En particular, dicha revisión tendrá en cuenta la experiencia adquirida en la aplicación de criterios predeterminados, para reducir, tanto como sea posible, el número de «falsos positivos» y contribuir, con ello, al carácter estrictamente necesario de la aplicación de dichos criterios.
iii) Sobre las garantías que lleva aparejado el tratamiento automatizado de los datos PNR
202 El cumplimiento de los requisitos a los que el artículo 6, apartado 4, de la Directiva PNR supedita el tratamiento automatizado de los datos PNR se impone no solo a la hora de fijar y revisar las bases de datos y los criterios predeterminados contemplados en esa disposición, sino también, como señala el Abogado General en el punto 230 de sus conclusiones, a lo largo de todo el proceso de tratamiento de esos datos.
203 Por lo que respecta, en particular, a los criterios predeterminados, debe precisarse que, si bien la UIP, como enuncia el considerando 7 de la Directiva PNR, debe establecer los criterios de evaluación de tal manera que el sistema instaurado por esta Directiva señale al menor número posible de personas inocentes, esta misma unidad sigue estando obligada, conforme al artículo 6, apartados 5 y 6, de dicha Directiva, a realizar una revisión individualizada de todo resultado positivo por medios no automatizados, con objeto de detectar, tanto como sea posible, la eventual existencia de «falsos positivos». Además, aun cuando tenga que fijar los criterios de evaluación de forma no discriminatoria, la UIP está obligada a realizar esa revisión para excluir eventuales resultados discriminatorios. La UIP debe cumplir esta misma obligación de revisión con respecto a la comparación de los datos PNR con las bases de datos.
204 Así pues, la UIP debe abstenerse de comunicar los resultados de esos tratamientos automatizados a las autoridades competentes mencionadas en el artículo 7 de la Directiva PNR cuando, atendiendo a las consideraciones que figuran en el apartado 198 de la presente sentencia, no disponga, tras esa revisión, de elementos que puedan fundamentar suficientemente una sospecha razonable de participación en delitos de terrorismo o en delitos graves, respecto de las personas identificadas por medio de esos tratamientos automatizados, o cuando disponga de elementos que indiquen que dichos tratamientos automatizados conducen a resultados discriminatorios.
205 En cuanto a los controles que debe efectuar la UIP a estos efectos, según el artículo 6, apartados 5 y 6, de la Directiva PNR, en relación con los considerandos 20 y 22 de esta, los Estados miembros deben establecer reglas claras y precisas que permitan guiar y delimitar el análisis efectuado por los agentes encargados de la revisión individualizada con el fin de garantizar el pleno respeto de los derechos fundamentales consagrados en los artículos 7, 8 y 21 de la Carta y, concretamente, de seguir una práctica administrativa coherente en el seno de la UIP que respete el principio de no discriminación.
206 En particular, habida cuenta del número bastante considerable de «falsos positivos», mencionado en el apartado 106 de la presente sentencia, los Estados miembros deben asegurarse de que la UIP establezca, de forma clara y precisa, criterios de revisión objetivos que permitan a sus agentes verificar, por una parte, si y en qué medida una concordancia positiva (hit) se refiere efectivamente a un individuo que puede estar implicado en delitos de terrorismo o en los delitos graves mencionados en el apartado 157 de la presente sentencia y debe, por ello, ser examinada de nuevo por las autoridades competentes a que se refiere el artículo 7 de esta Directiva, y, por otra parte, el carácter no discriminatorio de los tratamientos automatizados previstos por dicha Directiva y, en particular, de los criterios predeterminados y de las bases de datos utilizadas.
207 En estas circunstancias, los Estados miembros tienen obligación de garantizar que, conforme al artículo 13, apartado 5, de la Directiva PNR, en relación con el considerando 37 de esta, la UIP conserve la documentación relativa a todos los tratamientos de los datos PNR llevados a cabo en el marco de la evaluación previa, incluso en el marco de la revisión individualizada por medios no automatizados, a efectos de la verificación de su legalidad y de autocontrol.
208 Por otra parte, en virtud del artículo 7, apartado 6, primera frase, de la Directiva PNR, las autoridades competentes no pueden adoptar ninguna decisión que produzca efectos jurídicos adversos para una persona o que afecte significativamente a una persona únicamente en razón del tratamiento automatizado de datos PNR, lo cual implica que, en el marco de la evaluación previa, deben tener en cuenta el resultado de la revisión individualizada realizada por medios no automatizados por la UIP y, en su caso, hacerlo prevalecer sobre el obtenido a través de tratamientos automatizados. La segunda frase de este artículo 7, apartado 6, precisa que estas decisiones no deberán ser discriminatorias.
209 En este contexto, las autoridades competentes deben garantizar la licitud tanto de estos tratamientos automatizados, especialmente su carácter no discriminatorio, como de su revisión individualizada.
210 En particular, las autoridades competentes deben asegurarse de que el interesado, al que no necesariamente se permite, en el procedimiento administrativo, tomar conocimiento de los criterios de evaluación predeterminados y de los programas que aplican tales criterios, pueda comprender el funcionamiento de esos criterios y de esos programas, de forma que pueda decidir, con pleno conocimiento de causa, si ejerce o no su derecho a un recurso judicial, garantizado en el artículo 13, apartado 1, de la Directiva PNR, con objeto de cuestionar, en su caso, el carácter ilícito y, en particular, discriminatorio de los mencionados criterios (véase, por analogía, la sentencia de 24 de noviembre de 2020, Minister van Buitenlandse Zaken, C‑225/19 y C‑226/19, EU:C:2020:951, apartado 43 y jurisprudencia citada). Así debe ocurrir también con los criterios de revisión mencionados en el apartado 206 de la presente sentencia.
211 Por último, al sustanciar un recurso interpuesto con arreglo al artículo 13, apartado 1, de la Directiva PNR, el juez que ejerce el control de la legalidad de la resolución adoptada por las autoridades competentes y, salvo en los casos de amenazas para la seguridad del Estado, el propio interesado, deben poder acceder al conjunto de motivos y pruebas sobre cuya base se ha adoptado esta resolución (véase, por analogía, la sentencia de 4 de junio de 2013, ZZ, C‑300/11, EU:C:2013:363, apartados 54 a 59), incluidos los criterios de evaluación predeterminados y el funcionamiento de los programas que aplican estos criterios.
212 Por otra parte, en virtud del artículo 6, apartado 7, y del artículo 15, apartado 3, letra b), respectivamente, de la Directiva PNR, corresponde al responsable de la protección de datos y a la autoridad nacional de control garantizar el control de la licitud de los tratamientos automatizados llevados a cabo por la UIP al realizar la evaluación previa, control que comprende el carácter no discriminatorio de dichos tratamientos. Aunque el primero de estos preceptos precisa, a estos efectos, que el responsable de la protección de datos debe tener acceso a todos los datos tratados por la UIP, este acceso debe abarcar necesariamente los criterios predeterminados y las bases de datos utilizadas por dicha unidad, con objeto de asegurar la eficiencia y el alto nivel de protección de datos que el responsable de la protección de datos debe garantizar con arreglo al considerando 37 de dicha Directiva. De igual modo, las investigaciones, inspecciones y auditorías que la autoridad nacional de control lleva a cabo en virtud de la segunda disposición citada también pueden referirse a estos criterios predeterminados y bases de datos.
213 De todas las anteriores consideraciones resulta que las disposiciones de la Directiva PNR que regulan la evaluación previa de los datos PNR con arreglo al artículo 6, apartado 2, letra a), de esta Directiva se prestan a una interpretación conforme con los artículos 7, 8 y 21 de la Carta, que respete los límites de lo estrictamente necesario.
6) Comunicación y evaluación posteriores de los datos PNR
214 Con arreglo al artículo 6, apartado 2, letra b), de la Directiva PNR, los datos PNR también pueden ser suministrados a las autoridades competentes, a petición de estas, y ser objeto de evaluación después de la llegada programada al Estado miembro o de la salida programada de dicho Estado.
215 Por lo que se refiere a los requisitos que permiten llevar a cabo tal comunicación y tal evaluación, a tenor de dicha disposición, la UIP puede tratar los datos PNR para responder «en cada caso particular» a las «peticiones debidamente razonadas y con suficiente base» de las autoridades competentes de que se suministren y traten esos datos «en casos específicos a efectos de prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves». Además, cuando la petición se presente más de seis meses después de la transmisión de los datos PNR a la UIP, plazo al término del cual todos los datos PNR deben ser despersonalizados mediante enmascaramiento de algunos elementos, con arreglo al artículo 12, apartado 2, de esta Directiva, el artículo 12, apartado 3, de la citada Directiva dispone que la divulgación de los datos PNR completos y, por lo tanto, de una versión no despersonalizada de estos solo se permite si se cumple el doble requisito de que, de una parte, se crea razonablemente que ello es necesario a los efectos establecidos en el artículo 6, apartado 2, letra b), de dicha Directiva y, de otra parte, que dicha divulgación sea aprobada por una autoridad judicial o por otra autoridad nacional competente conforme al Derecho nacional.
216 A este respecto, resulta, en primer lugar, de los propios términos del artículo 6, apartado 2, letra b), de la Directiva PNR que la UIP no puede llevar a cabo de forma sistemática la comunicación y la evaluación posteriores de los datos PNR de la totalidad de los pasajeros aéreos y que solo puede responder «en cada caso particular» a esas peticiones relativas a tratamientos «en casos específicos». Dicho esto, en la medida en que esta disposición se refiere a «casos específicos», estos tratamientos no necesariamente deben limitarse a los datos PNR de un solo pasajero aéreo, sino que, como aclaró la Comisión en respuesta a una pregunta formulada por el Tribunal de Justicia, también pueden referirse a una pluralidad de personas, siempre que las personas de que se trate tengan ciertas características comunes que permitan considerarlas conjuntamente un «caso específico» a efectos de la comunicación y la evaluación solicitadas.
217 Por otra parte, por lo que se refiriere a los requisitos materiales exigidos para que los datos PNR de los pasajeros aéreos puedan ser objeto de comunicación y evaluación posteriores, si bien el artículo 6, apartado 2, letra b), y el artículo 12, apartado 3, letra a), de la Directiva PNR mencionan las expresiones «suficiente base» y «cuando se crea razonablemente», respectivamente, sin mayores precisiones, los propios términos de la primera de estas disposiciones, que se refiere a las finalidades mencionadas en el artículo 1, apartado 2, de la referida Directiva, indican que la comunicación de los datos PNR y la evaluación posteriores solo pueden llevarse a cabo para comprobar si existen indicios de una posible implicación de las personas afectadas en delitos de terrorismo o en delitos graves que presenten, como resulta del apartado 157 de la presente sentencia, un vínculo objetivo, cuando menos indirecto, con el transporte aéreo de pasajeros.
218 Pues bien, en el sistema establecido por la Directiva PNR, la comunicación y el tratamiento de los datos PNR con arreglo al artículo 6, apartado 2, letra b), de esta Directiva se refieren a datos de personas que ya han sido objeto de una evaluación previa antes de su llegada programada en el Estado miembro de que se trate o de su salida programada de dicho Estado. Además, una petición de evaluación posterior puede referirse, en particular, a personas cuyos datos PNR no han sido comunicados a las autoridades competentes después de la evaluación previa, en la medida en que en esta evaluación no se han puesto de manifiesto elementos que denoten que esas personas podrían estar implicadas en delitos de terrorismo o delitos graves que presenten un vínculo objetivo, cuando menos indirecto, con el transporte aéreo de pasajeros. En estas circunstancias, la comunicación y el tratamiento de tales datos a efectos de su posterior evaluación deben basarse en circunstancias nuevas que justifiquen esta utilización [véase, en este sentido, el dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017, EU:C:2017:592, apartado 200 y jurisprudencia citada].
219 En cuanto a la naturaleza de las circunstancias que pueden justificar la comunicación y el tratamiento de los datos PNR a efectos de su posterior evaluación, es jurisprudencia reiterada que, dado que un acceso general a todos los datos conservados, con independencia de la existencia de una relación, por lo menos indirecta, con el fin perseguido, no puede considerarse limitado a lo estrictamente necesario, la normativa en cuestión, ya sea la normativa de la Unión o una disposición nacional destinada a transponer esta última, debe basarse en criterios objetivos para definir las circunstancias y los requisitos conforme a los cuales debe concederse a las autoridades competentes el acceso a los datos de que se trate. A este respecto, en principio solo podrá concederse acceso, en relación con el objetivo de la lucha contra la delincuencia, a los datos de personas de las que se sospeche que planean, van a cometer o han cometido un delito grave o que puedan estar implicadas de un modo u otro en la comisión de tal delito. No obstante, en situaciones particulares, como aquellas en las que los intereses vitales de la seguridad nacional, la defensa o la seguridad pública estén amenazados por actividades terroristas, podría igualmente concederse el acceso a los datos de otras personas cuando existan elementos objetivos que permitan considerar que esos datos podrían, en un caso concreto, contribuir de modo efectivo a la lucha contra dichas actividades [sentencias de 2 de marzo de 2021, Prokuratuur (Condiciones de acceso a los datos relativos a las comunicaciones electrónicas), C‑746/18, EU:C:2021:152, apartado 50 y jurisprudencia citada, y de 5 de abril de 2022, Commissioner of An Garda Síochána y otros, C‑140/20, EU:C:2022:258, apartado 105].
220 De esta forma, las expresiones «suficiente base» y «cuando se crea razonablemente», que figuran en el artículo 6, apartado 2, letra b), y en el artículo 12, apartado 3, letra a), de la Directiva PNR, respectivamente, deben entenderse referidas, a la luz de los artículos 7 y 8 de la Carta, a elementos objetivos que puedan fundamentar una sospecha razonable de que la persona de que se trata está implicada, de una u otra forma, en delitos graves que presenten un vínculo objetivo, siquiera indirecto, con el transporte aéreo de pasajeros, mientras que, por lo que se refiere a los delitos de terrorismo que presenten ese vínculo, este requisito se cumple cuando existan elementos objetivos que permitan considerar que los datos PNR podrían, en un caso concreto, suponer una contribución efectiva a la lucha contra esos delitos.
221 Por último, por lo que respecta a los requisitos procedimentales a los que están sujetos la comunicación y el tratamiento de los datos PNR a efectos de su posterior evaluación, el artículo 12, apartado 3, letra b), de la Directiva PNR exige, en el caso de que la solicitud se presente pasados seis meses desde su transmisión a la UIP, es decir, cuando, con arreglo al apartado 2 de dicho artículo, estos datos han sido despersonalizados mediante enmascaramiento de los elementos mencionados en ese apartado 2, que la divulgación de los datos PNR completos y, por lo tanto, de una versión no despersonalizada de estos haya sido aprobada por una autoridad judicial o por otra autoridad nacional competente conforme al Derecho nacional. En este contexto, corresponde a estas autoridades examinar íntegramente la procedencia de la solicitud y, en particular, comprobar si los elementos alegados en apoyo de esta pueden avalar el requisito material de que exista una creencia razonable, mencionado en el apartado anterior de la presente sentencia.
222 Es verdad que cuando la solicitud de comunicación y de evaluación posteriores de los datos PNR se presenta antes de que finalice el plazo de seis meses desde la transmisión de esos datos, el artículo 6, apartado 2, letra b), de la Directiva PNR no contempla expresamente ese requisito procedimental. No obstante, en la interpretación de esta última disposición debe tenerse en cuenta el considerando 25 de esta Directiva, del que resulta que, al establecer este requisito procedimental, el legislador de la Unión ha querido «garantizar el más alto nivel de protección de datos» en relación con el acceso a los datos PNR en un formato que permita la identificación directa de la persona afectada. Pues bien, cualquier solicitud de comunicación y de evaluación posteriores implica un acceso de este tipo a dichos datos, con independencia de si la solicitud se ha presentado antes o después de que hayan transcurrido seis meses desde la transmisión de los datos PNR a la UIP.
223 En particular, para garantizar en la práctica el pleno cumplimiento de los derechos fundamentales en el sistema instaurado por la Directiva PNR y, en particular, de los requisitos enunciados en los apartados 218 y 219 de la presente sentencia, es esencial que la comunicación de los datos PNR a efectos de una evaluación posterior se supedite, en principio, salvo en casos de urgencia debidamente justificados, al control previo de un órgano judicial o de una entidad administrativa independiente, y que la decisión de ese órgano judicial o de esa entidad administrativa se adopte a raíz de una solicitud motivada de las autoridades competentes, presentada, en particular, en el marco de procedimientos de prevención, de detección o de enjuiciamiento de infracciones penales. En caso de urgencia debidamente justificada, dicho control debe efectuarse en breve plazo [véase, por analogía, el dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017, EU:C:2017:592, apartado 202 y jurisprudencia citada, y la sentencia de 5 de abril de 2022, Commissioner of An Garda Síochána y otros, C‑140/20, EU:C:2022:258, apartado 110].
224 En estas circunstancias, el requisito de control previo establecido en el artículo 12, apartado 3, letra b), de la Directiva PNR para las solicitudes de comunicación de datos PNR formuladas después de la expiración del plazo de los seis meses siguientes a la transferencia de esos datos a la UIP también debe aplicarse, mutatis mutandis, cuando la solicitud de comunicación se presente antes de que expire dicho plazo.
225 Por otra parte, aunque el artículo 12, apartado 3, letra b), de la Directiva PNR no establezca de modo expreso los requisitos que debe cumplir la autoridad encargada del control previo, es jurisprudencia reiterada que, para garantizar que la injerencia en los derechos fundamentales garantizados en los artículos 7 y 8 de la Carta que resulta del acceso a los datos de carácter personal se limite a lo estrictamente necesario, dicha autoridad debe disponer de todas las atribuciones y presentar todas las garantías necesarias para conciliar los diferentes intereses y derechos en cuestión. En el caso concreto de una investigación penal, tal control exige que esa autoridad esté en condiciones de ponderar adecuadamente, por una parte, los intereses relacionados con las necesidades de la investigación en el marco de la lucha contra la delincuencia y, por otra parte, los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales que asisten a las personas a cuyos datos se pretende acceder (sentencia de 5 de abril de 2022, Commissioner of An Garda Síochána y otros, C‑140/20, EU:C:2022:258, apartado 107 y jurisprudencia citada).
226 A estos efectos, dicha autoridad debe gozar de un estatuto que le permita actuar en el ejercicio de sus funciones con objetividad e imparcialidad y, por ende, a resguardo de toda influencia externa. Este requisito de independencia obliga a que esta autoridad tenga la condición de tercero respecto de la autoridad que solicita el acceso a los datos, de modo que la primera pueda ejercer su control libre de toda influencia externa. En particular, en el ámbito penal, el requisito de independencia implica que aquella autoridad, por una parte, no esté implicada en la realización de la investigación penal de que se trate y, por otra parte, tenga una posición neutral frente a las partes del procedimiento penal (véase, en este sentido, la sentencia de 5 de abril de 2022, Commissioner of An Garda Síochána y otros, C‑140/20, EU:C:2022:258, apartado 108 y jurisprudencia citada).
227 En consecuencia, lo dispuesto en la Directiva PNR en materia de comunicación y evaluación posteriores de los datos PNR con arreglo al artículo 6, apartado 2, letra b), de esta Directiva se presta a una interpretación conforme con los artículos 7 y 8 y el artículo 52, apartado 1, de la Carta, que respete los límites de lo estrictamente necesario.
228 Habida cuenta de todas las consideraciones anteriores, dado que la interpretación de la Directiva PNR a la luz de los artículos 7, 8 y 21 y del artículo 52, apartado 1, de la Carta garantiza la conformidad de esta Directiva con dichos artículos de la Carta, el examen de las cuestiones prejudiciales segunda a cuarta y sexta no ha puesto de manifiesto ningún elemento que pueda afectar a la validez de dicha Directiva.
C. Quinta cuestión prejudicial
229 Mediante su quinta cuestión prejudicial, el órgano jurisdiccional remitente pretende averiguar si el artículo 6 de la Directiva PNR, a la luz de los artículos 7 y 8 y del artículo 52, apartado 1, de la Carta, debe interpretarse en el sentido de que se opone a una normativa nacional que autoriza un tratamiento de los datos PNR obtenidos con arreglo a dicha Directiva para el seguimiento de actividades por parte de los servicios de inteligencia y de seguridad.
230 De la petición de decisión prejudicial se desprende que, mediante esta cuestión prejudicial, el órgano jurisdiccional remitente se refiere más concretamente a las actividades propias de los servicios de la Sûreté de l’État (Seguridad del Estado, Bélgica) y del Service général du renseignement et de la sécurité (Servicio General de Inteligencia y Seguridad, Bélgica), en el marco de sus respectivas funciones relativas a la protección de la seguridad nacional.
231 A este respecto, con objeto de observar los principios de legalidad y de proporcionalidad a que se refiere, en particular, el artículo 52, apartado 1, de la Carta, el legislador de la Unión ha establecido unas reglas claras y precisas que regulan las finalidades de las medidas previstas por la Directiva PNR que conlleven injerencias en los derechos fundamentales garantizados en los artículos 7 y 8 de la Carta.
232 En efecto, el artículo 1, apartado 2, de la Directiva PNR establece expresamente que los datos PNR obtenidos con arreglo a dicha Directiva pueden tratarse únicamente «con fines de prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y los delitos graves contemplados en el artículo 6, apartado 2, letras a), b) y c) [de dicha Directiva]». Esta última disposición confirma el principio sentado en el artículo 1, apartado 2, al referirse sistemáticamente a los conceptos de «delito de terrorismo» y de «delito grave».
233 De esta forma, la redacción de estos preceptos indica claramente que la enumeración que figura en los mismos de los objetivos perseguidos por el tratamiento de los datos PNR con arreglo a la Directiva PNR reviste un carácter exhaustivo.
234 Esta interpretación se ve corroborada, en particular, por el considerando 11 de la Directiva PNR, que afirma que el tratamiento de los datos PNR debe ser proporcional a los «objetivos específicos de seguridad» que persigue esta Directiva, y por su artículo 7, apartado 4, a cuyo tenor los datos PNR y los resultados del tratamiento de dichos datos recibidos por la UIP podrán ser objeto de tratamiento posterior «únicamente con el fin específico de prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves».
235 Por otra parte, el carácter exhaustivo de los fines mencionados en el artículo 1, apartado 2, de la Directiva PNR implica asimismo que no sea posible conservar los datos PNR en una base de datos única que pueda consultarse para perseguir tanto esas finalidades como otras. En efecto, la conservación de dichos datos en una base de datos de este tipo supondría el riesgo de que tales datos pudieran utilizarse con fines distintos de los previstos en dicho artículo 1, apartado 2.
236 En el caso que nos ocupa, en la medida en que, según el órgano jurisdiccional remitente, la normativa nacional controvertida en el asunto principal admite, como uno de los fines del tratamiento de datos PNR, el seguimiento de las actividades propias de los servicios de inteligencia y de seguridad, integrando de esta forma dicha finalidad en la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave, esta normativa puede contravenir el carácter exhaustivo de la enumeración de los objetivos perseguidos por el tratamiento de los datos PNR con arreglo a la Directiva PNR, extremo cuya comprobación corresponde al órgano jurisdiccional remitente.
237 En consecuencia, procede contestar a la quinta cuestión prejudicial que el artículo 6 de la Directiva PNR, a la luz de los artículos 7 y 8 y del artículo 52, apartado 1, de la Carta, debe interpretarse en el sentido de que se opone a una normativa nacional que autoriza el tratamiento de datos PNR obtenidos con arreglo a esta Directiva con fines distintos de los expresamente mencionados en el artículo 1, apartado 2, de la referida Directiva.
D. Séptima cuestión prejudicial
238 Mediante su séptima cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 12, apartado 3, letra b), de la Directiva PNR debe interpretarse en el sentido de que se opone a una normativa nacional con arreglo a la cual la autoridad creada como UIP reviste también la condición de autoridad nacional competente facultada para aprobar la comunicación de los datos PNR tras la expiración del plazo de seis meses desde la transferencia de estos datos a la UIP.
239 Con carácter preliminar, es preciso poner de relieve que el Gobierno belga alberga dudas sobre la competencia del Tribunal de Justicia para responder a esta cuestión prejudicial, tal y como la formula el órgano jurisdiccional remitente, por considerar que este último es el único competente para interpretar las disposiciones nacionales y, en particular, para apreciar los requisitos resultantes de la Ley de 25 de diciembre de 2016 en relación con el artículo 12, apartado 3, letra b), de la Directiva PNR.
240 A este respecto, basta con señalar que, con esta cuestión prejudicial, el órgano jurisdiccional remitente solicita la interpretación de una disposición del Derecho de la Unión. Además, si bien en el marco de un procedimiento entablado con arreglo al artículo 267 TFUE, la interpretación de las normas nacionales incumbe a los órganos jurisdiccionales de los Estados miembros y no al Tribunal de Justicia, sin que corresponda a este pronunciarse sobre la compatibilidad de las normas de Derecho interno con el Derecho de la Unión, el Tribunal de Justicia es competente para proporcionar al tribunal nacional todos los elementos de interpretación del Derecho de la Unión que le permitan apreciar la compatibilidad de esas normas con la normativa de la Unión (sentencia de 30 de abril de 2020, CTT — Correios de Portugal, C‑661/18, EU:C:2020:335, apartado 28 y jurisprudencia citada). De ello se sigue que el Tribunal de Justicia es competente para contestar a la séptima cuestión prejudicial.
241 En cuanto al fondo, debe señalarse que la redacción del artículo 12, apartado 3, letra b), de la Directiva PNR, que menciona, en sus incisos i) y ii), respectivamente, «una autoridad judicial» y «otra autoridad nacional competente para verificar si se cumplen las condiciones para la divulgación conforme al derecho nacional» sitúa a ambas autoridades en el mismo plano, como resulta de la utilización de la conjunción «u» entre esos incisos i) y ii). De esta manera se deduce de tal redacción que esa «otra» autoridad nacional competente constituye una alternativa a la autoridad judicial y que, en consecuencia, debe concurrir en ella un nivel de independencia y de imparcialidad comparable al de esta última.
242 Este análisis se ve refrendado por el objetivo de la Directiva PNR mencionado en su considerando 25 de garantizar el más alto nivel de protección de datos en lo relativo al acceso al conjunto total de datos PNR que permiten la identificación directa del interesado. En ese mismo considerando se aclara, por otra parte, que solo debe poder autorizarse tal acceso en condiciones muy estrictas después del plazo de seis meses desde la transmisión de los datos PNR a la UIP.
243 Corrobora también este análisis la génesis de la Directiva PNR. En efecto, mientras que la propuesta de Directiva mencionada en el apartado 155 de la presente sentencia, que constituye el origen de la Directiva PNR, se limitaba a establecer que «el acceso a la totalidad de los datos PNR solo lo autorizará el jefe de la Unidad de Información sobre Pasajeros», la versión del artículo 12, apartado 3, letra b), de esta Directiva que finalmente conserva el legislador de la Unión designa, situándolas en el mismo plano, la autoridad judicial y «otra autoridad nacional» competente para comprobar si se cumplen las condiciones para la divulgación de los datos PNR completos y para aprobar tal divulgación.
244 Además, y sobre todo, conforme a una reiterada jurisprudencia recordada en los apartados 223, 225 y 226 de la presente sentencia, es esencial que el acceso de las autoridades competentes a los datos conservados se supedite al control previo de un órgano judicial o de una entidad administrativa independiente y que la decisión de ese órgano judicial o de esa entidad administrativa se adopte a raíz de una solicitud motivada de dichas autoridades presentada, en particular, en el marco de procedimientos de prevención, de detección o de enjuiciamiento de infracciones penales. El requisito de independencia que debe cumplir la entidad encargada de ejercer el control previo también obliga a que esta tenga la condición de tercero respecto de la autoridad que solicita el acceso a los datos, de modo que la referida entidad pueda ejercer ese control con objetividad e imparcialidad, protegida de toda influencia externa. En particular, en el ámbito penal, el requisito de independencia implica que la autoridad encargada de ese control previo, por una parte, no esté implicada en la realización de la investigación penal de que se trate y, por otra parte, que tenga una posición neutral respecto de las partes del procedimiento penal.
245 Pues bien, como indica el Abogado General en el punto 271 de sus conclusiones, el artículo 4 de la Directiva PNR establece, en sus apartados 1 y 3, que la UIP establecida o designada en cada Estado miembro es una autoridad competente en materia de prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de los delitos graves y que el personal de la UIP podrá ser enviado en comisión de servicios por las autoridades competentes mencionadas en el artículo 7 de esta Directiva, de modo que la UIP queda necesariamente vinculada a dichas autoridades. Asimismo, en virtud del artículo 6, apartado 2, letra b), de dicha Directiva, la UIP puede realizar tratamientos de datos PNR, cuyo resultado facilita a dichas autoridades. Con arreglo a todos estos elementos, no cabe considerar que la UIP tenga la condición de tercero respecto de esas mismas autoridades ni que reúna, en consecuencia, todas las cualidades de independencia y de imparcialidad exigidas para ejercer el control previo al que se alude en el anterior apartado de la presente sentencia y para comprobar si se cumplen las condiciones para la divulgación de los datos PNR completos, como prevé el artículo 12, apartado 3, letra b), de la misma Directiva.
246 Por otra parte, el hecho de que esta última disposición exija, en su inciso ii), en el caso de que se permita la divulgación de esos datos completos por parte de «otra autoridad nacional competente», que el responsable de la protección de datos de la UIP reciba esta «información» y efectúe una «revisión a posteriori», sin que se exija lo mismo cuando el permiso lo dé la autoridad judicial, no tiene entidad para invalidar esta apreciación. En efecto, según reiterada jurisprudencia, un control ulterior, como el que realiza el responsable de la protección de datos, no responde al objetivo del control previo, que consiste en impedir que se autorice un acceso a los datos en cuestión que exceda de los límites de lo estrictamente necesario (véase, en este sentido, la sentencia de 5 de abril de 2022, Commissioner of An Garda Síochána y otros, C‑140/20, EU:C:2022:258, apartado 110 y jurisprudencia citada).
247 A la vista de todas estas consideraciones, procede contestar a la séptima cuestión prejudicial que el artículo 12, apartado 3, letra b), de la Directiva PNR debe interpretarse en el sentido de que se opone a una normativa nacional con arreglo a la cual la autoridad creada como UIP reviste también la condición de autoridad nacional competente facultada para aprobar la comunicación de los datos PNR tras la expiración del plazo de seis meses desde la transferencia de estos datos a la UIP.
E. Octava cuestión prejudicial
248 Mediante su octava cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 12 de la Directiva PNR, en relación con los artículos 7 y 8 y con el artículo 52, apartado 1, de la Carta, debe interpretarse en el sentido de que se opone a una normativa nacional que prevé una duración general de conservación de los datos PNR de cinco años, sin distinguir en función de si los pasajeros afectados presentan o no un riesgo en materia de delitos de terrorismo o de delitos graves.
249 Interesa recordar que, según el artículo 12, apartados 1 y 4, de esta Directiva, la UIP del Estado miembro en cuyo territorio tenga su punto de aterrizaje u origen el vuelo de que se trate conservará los datos PNR proporcionados por las compañías aéreas en una base de datos durante un plazo de cinco años a partir de su transmisión a dicha unidad y suprimirá esos datos de modo permanente al finalizar dicho período de cinco años.
250 Como recuerda el considerando 25 de la Directiva PNR, «el período durante el cual deben conservarse los datos PNR debe ser el necesario y debe ser proporcional a las finalidades de prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y los delitos graves».
251 Por consiguiente, no cabe justificar la conservación de los datos PNR con arreglo al artículo 12, apartado 1, de la Directiva PNR si no existe una relación objetiva entre tal conservación y los objetivos perseguidos por esta Directiva, a saber, la lucha contra los delitos terroristas y los delitos graves que presenten un vínculo objetivo, cuando menos indirecto, con el transporte aéreo de pasajeros.
252 En este sentido, como resulta del considerando 25 de la Directiva PNR, debe establecerse una distinción entre, de una parte, el período inicial de conservación de seis meses, a que se refiere el artículo 12, apartado 2, de esta Directiva, y, de otra parte, el período posterior, mencionado en el artículo 12, apartado 3, de la citada Directiva.
253 La interpretación del artículo 12, apartado 1, de la Directiva PNR debe tener en cuenta las disposiciones que figuran en los apartados 2 y 3 de dicho artículo, las cuales establecen el régimen de conservación y de acceso a los datos PNR conservados después de la expiración del período de conservación inicial de seis meses. Como se desprende del considerando 25 de esta Directiva, estas disposiciones traducen, por una parte, el objetivo de garantizar «que los datos PNR se conserven durante un período suficientemente largo para realizar análisis y utilizarlos en las investigaciones», que pueden ya efectuarse durante el período inicial de conservación de seis meses. Por otra parte, su finalidad, según ese mismo considerando 25, es «evitar una utilización desproporcionada» mediante enmascaramiento de esos datos y «garantizar el más alto nivel de protección de datos» autorizando únicamente el acceso a esos datos de una forma que permita la identificación directa del interesado «en condiciones muy estrictas y limitadas tras dicho período inicial», con lo que se tiene en cuenta el hecho de que cuanto más larga sea la conservación de los datos PNR, más grave es la injerencia que de esta resulta.
254 Pues bien, la distinción entre el período inicial de conservación de seis meses, mencionado en el artículo 12, apartado 2, de la Directiva PNR, y el período posterior, mencionado en el artículo 12, apartado 3, de esta Directiva, también se aplica al necesario cumplimiento del requisito mencionado en el apartado 251 de la presente sentencia.
255 De esta forma, a la vista de las finalidades de la Directiva PNR y de las necesidades de la investigación y del enjuiciamiento de los delitos de terrorismo y los delitos graves, procede considerar que la conservación, durante el período inicial de seis meses, de los datos PNR de todos los pasajeros aéreos cubiertos por el sistema establecido por esta Directiva, sin que exista el menor indicio de su implicación en delitos terroristas o en delitos graves, no parece, en principio, exceder los límites de lo estrictamente necesario, en la medida en que permite las indagaciones necesarias para identificar a personas que no fueran sospechosas de haber participado en delitos de terrorismo o en delitos graves.
256 En cambio, en lo tocante al período posterior, mencionado en el artículo 12, apartado 3, de la Directiva PNR, la conservación de los datos PNR del conjunto de pasajeros aéreos sujeto al sistema instaurado por esta Directiva, además de suponer, debido a la ingente cantidad de datos que pueden ser conservados de manera continua, riesgos inherentes de utilización desproporcionada y abusos (véase, por analogía, la sentencia de 6 de octubre de 2020, La Quadrature du Net y otros, C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791, apartado 119), contradice el requisito, expresado en el considerando 25 de dicha Directiva, de que el período de conservación de los datos PNR debe ser el necesario y ser proporcional a las finalidades perseguidas, toda vez que el legislador de la Unión ha querido establecer el nivel más alto de protección de los datos PNR que permiten la identificación directa de las personas afectadas.
257 En efecto, en lo que se refiere a los pasajeros aéreos respecto de los cuales ni la evaluación previa a que se refiere el artículo 6, apartado 2, letra a), de la Directiva PNR, ni las eventuales verificaciones efectuadas durante el período de seis meses mencionado en el artículo 12, apartado 2, de esta Directiva, ni ninguna otra circunstancia hayan revelado la concurrencia de elementos objetivos que permitan apreciar la existencia de un riesgo en materia de delitos de terrorismo o de delitos graves que tenga una relación, siquiera indirecta, con el viaje aéreo realizado por esos pasajeros, no parece que exista, en tales circunstancias, relación alguna, siquiera indirecta, entre los datos PNR de esos pasajeros y el objetivo perseguido por dicha Directiva que justifique la conservación de esos mismos datos [véase, por analogía, el dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017, EU:C:2017:592, apartados 204 y 205].
258 En consecuencia, no se ha acreditado que el almacenamiento continuado de los datos PNR de la totalidad de los pasajeros tras el período inicial de seis meses se limite a lo estrictamente necesario [véase, por analogía, el dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017, EU:C:2017:592, apartado 206].
259 No obstante, en la medida en que se identifiquen, en casos particulares, elementos objetivos, como los datos PNR de los pasajeros que hayan dado lugar a un resultado positivo comprobado, que permitan considerar que determinados pasajeros podrían presentar un riesgo relacionado con los delitos de terrorismo o la delincuencia grave, el almacenamiento de los datos del PNR de tales pasajeros parece admisible aun después de concluido ese período inicial [véase, por analogía, el dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017, EU:C:2017:592, apartado 207 y jurisprudencia citada].
260 En efecto, la identificación de elementos objetivos podría ser idónea para establecer una relación con las finalidades perseguidas por los tratamientos con arreglo a la Directiva PNR, de forma que la conservación de los datos PNR relativos a esos pasajeros estaría justificada durante el plazo máximo permitido por esta Directiva, es decir, durante cinco años.
261 En este caso, en la medida en que parece que la normativa controvertida en el procedimiento principal establece una duración general de conservación de los datos PNR de cinco años, aplicable indistintamente a todos los pasajeros, incluidos aquellos respecto de los cuales ni la evaluación previa prevista en el artículo 6, apartado 2, letra a), de la Directiva PNR, ni las eventuales verificaciones realizadas durante el período inicial de seis meses, ni ninguna otra circunstancia han puesto de manifiesto la existencia de elementos objetivos que puedan demostrar la existencia de un riesgo en materia de delitos de terrorismo o de delitos graves, esta normativa puede contravenir el artículo 12, apartado 1, de esta Directiva, interpretado a la luz de los artículos 7 y 8 y del artículo 52, apartado 1, de la Carta, salvo que pueda ser objeto de una interpretación conforme con dichas disposiciones, extremo que corresponde comprobar al órgano jurisdiccional remitente.
262 En atención a las anteriores consideraciones, procede contestar a la octava cuestión prejudicial que el artículo 12, apartado 1, de la Directiva PNR, en relación con los artículos 7 y 8 y con el artículo 52, apartado 1, de la Carta, debe interpretarse en el sentido de que se opone a una normativa nacional que prevé una duración general de conservación de los datos PNR de cinco años, aplicable a todos los pasajeros aéreos sin distinción, incluidos aquellos respecto de los cuales ni la evaluación previa prevista en el artículo 6, apartado 2, letra a), de la Directiva PNR, ni las eventuales verificaciones realizadas durante el período de seis meses previsto en el artículo 12, apartado 2, de la referida Directiva, ni ninguna otra circunstancia han revelado la existencia de elementos objetivos que puedan demostrar la existencia de un riesgo en materia de delitos de terrorismo o de delitos graves que presenten un vínculo objetivo, cuando menos indirecto, con el transporte aéreo de pasajeros.
F. Novena cuestión prejudicial, letra a)
263 Mediante su novena cuestión prejudicial, letra a), el órgano jurisdiccional remitente se pregunta, en esencia, sobre la validez de la Directiva API en relación con artículo 3 TUE, apartado 2, y con el artículo 45 de la Carta, partiendo de la premisa de que las obligaciones impuestas por dicha Directiva se aplican a los vuelos interiores de la Unión.
264 Pues bien, como indica el Abogado General en el punto 277 de sus conclusiones y como han señalado el Consejo, la Comisión y varios Gobiernos, esta premisa es errónea.
265 En efecto, el artículo 3, apartado 1, de la Directiva API establece que los Estados miembros deben adoptar las disposiciones necesarias para imponer a los transportistas la obligación de comunicar, a más tardar al término del embarque, cuando lo soliciten las autoridades encargadas de los controles de personas en las fronteras exteriores, la información relativa a las personas que van a transportar a un paso fronterizo habilitado por el que entrarán en el territorio de un Estado miembro. A tenor del artículo 6, apartado 1, de dicha Directiva, estos datos se transmitirán a las autoridades encargadas de realizar el control en las fronteras exteriores a través de las cuales la persona transportada entrará en ese territorio y serán objeto de un tratamiento en las condiciones establecidas en esta última disposición.
266 Pues bien, resulta claramente de las citadas disposiciones, interpretadas a la luz del artículo 2, letras a), b) y d), de la Directiva API, donde se definen los conceptos de «transportista», de «fronteras exteriores» y de «paso fronterizo», respectivamente, que esta Directiva solo impone a los transportistas aéreos la obligación de comunicar los datos mencionados en su artículo 3, apartado 2, a las autoridades encargadas de los controles en las fronteras exteriores en el supuesto de los vuelos que llevan a los pasajeros a un paso autorizado para cruzar las fronteras exteriores de los Estados miembros con terceros países, y que únicamente prevé el tratamiento de los datos relativos a esos vuelos.
267 En cambio, esta Directiva no impone ninguna obligación relativa a los datos de los pasajeros que viajan en vuelos que solo cruzan fronteras interiores entre los Estados miembros.
268 Debe añadirse que la Directiva PNR, al incluir entre los datos PNR, como resulta de su considerando 9 y de su artículo 8, apartado 2, los datos mencionados en el artículo 3, apartado 2, de la Directiva API recogidos con arreglo a esta Directiva y conservados por ciertos transportistas aéreos, confiriendo a los Estados miembros, en virtud de su artículo 2, la facultad de aplicar la Directiva PNR a los vuelos interiores de la Unión que decidan, no ha modificado ni el alcance de las disposiciones de la Directiva API ni las limitaciones que resultan de esta última.
269 Habida cuenta de lo que antecede, procede contestar a la novena cuestión prejudicial, letra a), que la Directiva API debe interpretarse en el sentido de que no se aplica a los vuelos interiores de la Unión.
G. Novena cuestión prejudicial, letra b)
270 Si bien, en su novena cuestión prejudicial, letra b), el órgano jurisdiccional remitente se refiere a la Directiva API, en relación con el artículo 3 TUE, apartado 2, y el artículo 45 de la Carta, se infiere de la petición de decisión prejudicial que dicho órgano jurisdiccional se pregunta acerca de la compatibilidad del sistema de transferencia y de tratamiento de los datos de los pasajeros instaurado por la Ley de 25 de diciembre de 2016 con la libre circulación de personas y la supresión de los controles en las fronteras interiores establecidas por el Derecho de la Unión, puesto que este sistema se aplica no solo al transporte aéreo, sino también al transporte ferroviario, terrestre e incluso marítimo procedente o con destino a Bélgica, efectuado dentro de la Unión, sin cruzar fronteras exteriores con terceros países.
271 Pues bien, como resulta de los apartados 265 a 269 de la presente sentencia, la Directiva API, que no se aplica a los vuelos interiores de la Unión y no impone ninguna obligación de transferencia y de tratamiento de los datos de los pasajeros que viajan en avión o en cualquier otro medio de transporte dentro de la Unión, sin cruzar fronteras exteriores con terceros países, no es pertinente a los efectos de contestar a esta cuestión prejudicial.
272 En cambio, y pese a que, según el artículo 67 TFUE, apartado 2, la Unión garantizará la ausencia de controles de las personas en las fronteras interiores, el artículo 2 de la Directiva PNR, en el que se ha basado el legislador belga para aprobar la Ley de 25 de diciembre de 2016 controvertida en el procedimiento principal, como resulta de la petición de decisión prejudicial, autoriza a los Estados miembros a aplicar dicha Directiva a los vuelos interiores de la Unión.
273 En estas circunstancias, con objeto de proporcionar al órgano jurisdiccional remitente una repuesta útil, es preciso reformular la novena cuestión prejudicial, letra b), y entenderla dirigida, en esencia, a determinar si el Derecho de la Unión, en particular el artículo 2 de la Directiva PNR, a la luz del artículo 3 TUE, apartado 2, del artículo 67 TFUE, apartado 2, y del artículo 45 de la Carta, debe interpretarse en el sentido de que se opone a una normativa nacional que establece un sistema de transferencia por parte de las compañías aéreas y de los operadores de viaje, así como de tratamiento, por parte de las autoridades competentes, de los datos PNR de los vuelos y de los transportes efectuados por otros medios en el interior de la Unión, con origen o destino en el Estado miembro que ha adoptado dicha normativa o también en tránsito por dicho Estado.
274 En primer lugar, el artículo 45 de la Carta consagra la libre circulación de personas, que constituye, por otra parte, una de las libertades fundamentales del mercado interior [véase, en este sentido, la sentencia de 22 de junio de 2021, Ordre des barreaux francophones et germanophone y otros (Medidas preventivas a efectos de expulsión), C‑718/19, EU:C:2021:505, apartado 54].
275 Este artículo garantiza, en su apartado 1, el derecho de todo ciudadano de la Unión a circular y residir libremente en el territorio de los Estados miembros, derecho que, a tenor de las Explicaciones sobre la Carta de los Derechos Fundamentales (DO 2007, C 303, p. 17), se corresponde con el que garantiza el artículo 20 TFUE, apartado 2, párrafo primero, letra a), y se ejerce conforme al artículo 20 TFUE, apartado 2, párrafo segundo, y al artículo 52, apartado 2, de la Carta, en las condiciones y dentro de los límites establecidos por los Tratados y a través de las medidas adoptadas en aplicación de estos.
276 Por otra parte, según el artículo 3 TUE, apartado 2, la Unión ofrece a sus ciudadanos un espacio de libertad, seguridad y justicia sin fronteras interiores, en el que esté garantizada la libre circulación de personas conjuntamente con medidas adecuadas, entre otras, en materia de control de las fronteras exteriores y de prevención y lucha contra la delincuencia. De la misma forma, con arreglo al artículo 67 TFUE, apartado 2, la Unión garantizará la ausencia de controles de las personas en las fronteras interiores y desarrollará una política común, entre otras, de control de las fronteras exteriores.
277 Según reiterada jurisprudencia del Tribunal de Justicia, una normativa nacional que resulte desfavorable para determinados nacionales por el mero hecho de haber ejercitado su libertad de circular y residir en otro Estado miembro constituye una restricción a las libertades que el artículo 45, apartado 1, de la Carta reconoce a todo ciudadano de la Unión (véanse, en este sentido, en lo que atañe al artículo 21 TFUE, apartado 1, las sentencias de 8 de junio de 2017, Freitag, C‑541/15, EU:C:2017:432, apartado 35 y jurisprudencia citada, y de 19 de noviembre de 2020, ZW, C‑454/19, EU:C:2020:947, apartado 30).
278 Pues bien, una normativa nacional, como la normativa controvertida en el procedimiento principal, que aplica el sistema establecido por la Directiva PNR no solo a los vuelos exteriores de la Unión, sino también, de conformidad con el artículo 2, apartado 1, de esta Directiva, a los vuelos interiores de la Unión y también, más allá de lo que prevé esta disposición, a transportes efectuados por otros medios en el interior de la Unión tiene como consecuencia la transferencia y el tratamiento sistemáticos y continuos de los datos PNR de cualquier pasajero que se desplace por esos medios en el interior de la Unión en el ejercicio de su libertad de circulación.
279 Como se ha puesto de manifiesto en los apartados 98 a 111 de la presente sentencia, la transferencia y el tratamiento de los datos de los pasajeros de los vuelos exteriores e interiores de la Unión con arreglo al sistema instaurado por la Directiva PNR implican una injerencia de gravedad cierta en los derechos fundamentales de las personas afectadas consagrados en los artículos 7 y 8 de la Carta. La gravedad de tal injerencia es aún mayor en el supuesto de que la aplicación de este sistema se extienda a otros medios de transporte interiores dentro de la Unión. Por los mismos motivos que se han expuesto en los apartados mencionados, tales injerencias también pueden situar en desventaja y, por lo tanto, disuadir del ejercicio de la libertad de circulación, en el sentido del artículo 45 de la Carta, a los nacionales de los Estados miembros que hayan adoptado esa normativa y, en general, a los ciudadanos de la Unión que se desplacen por esos medios de transporte dentro de la Unión con origen o destino en esos Estados miembros, por lo que dicha normativa supone una restricción a esta libertad fundamental.
280 Según reiterada jurisprudencia, una restricción a la libre circulación de las personas solo puede justificarse si se basa en consideraciones objetivas y es proporcionada al objetivo legítimamente perseguido por el Derecho nacional. Una medida es proporcionada cuando, siendo adecuada para la realización del objetivo perseguido, no vaya más allá de lo necesario para alcanzarlo (véase, en este sentido, la sentencia de 5 de junio de 2018, Coman y otros, C‑673/16, EU:C:2018:385, apartado 41 y jurisprudencia citada).
281 Ha de añadirse que una medida nacional que pueda obstaculizar el ejercicio de la libre circulación de las personas solo puede justificarse si es conforme con los derechos fundamentales garantizados por la Carta, cuyo respeto garantiza el Tribunal de Justicia (sentencia de 14 de diciembre de 2021, Stolichna obshtina, rayon «Pancharevo», C‑490/20, EU:C:2021:1008, apartado 58 y jurisprudencia citada).
282 En particular, según la jurisprudencia recordada en los apartados 115 y 116 de la presente sentencia, no puede perseguirse un objetivo de interés general sin tener en cuenta que debe conciliarse con los derechos fundamentales afectados por la medida, efectuando una ponderación equilibrada entre, por una parte, el objetivo de interés general y, por otra parte, los intereses y derechos de que se trate. A este respecto, la posibilidad de que los Estados miembros justifiquen una limitación del derecho fundamental garantizado en el artículo 45, apartado 1, de la Carta debe apreciarse sopesando la gravedad de la injerencia que supone esa limitación y comprobando que la importancia del objetivo de interés general perseguido por dicha limitación guarde relación con tal gravedad.
283 Como se ha recordado en el apartado 122 de la presente sentencia, el objetivo de lucha contra los delitos de terrorismo y los delitos graves perseguido por la Directiva PNR constituye indudablemente un objetivo de interés general de la Unión.
284 En cuanto a la cuestión de si una normativa nacional adoptada con el fin de transponer la Directiva PNR y que extienda el sistema establecido por esta Directiva a los vuelos interiores de la Unión y a otros medios de transporte interiores de la Unión es idónea para lograr el objetivo perseguido, la información que obra en los autos de que dispone el Tribunal de Justicia pone de manifiesto que la utilización de los datos PNR permite la identificación de personas que no fueran sospechosas de haber participado en delitos de terrorismo o delitos graves y que deberían ser examinadas de nuevo, por lo que tal normativa resulta adecuada para alcanzar el objetivo propuesto de combatir los delitos de terrorismo y los delitos graves.
285 En lo relativo al carácter necesario de tal legislación, el ejercicio por parte de los Estados miembros de la facultad contemplada en el artículo 2, apartado 1, de la Directiva PNR, interpretado a la luz de los artículos 7 y 8 de la Carta, debe limitarse a lo estrictamente necesario para alcanzar ese objetivo atendiendo a los requisitos mencionados en los apartados 163 a 174 de la presente sentencia.
286 Estos requisitos se aplican, con mayor motivo, en el supuesto de que el sistema establecido por la Directiva PNR se extienda a otros medios de transporte interiores de la Unión.
287 Por otra parte, como resulta de las indicaciones que figuran en la petición de decisión prejudicial, la normativa nacional de que se trata en el procedimiento principal transpone, en un mismo acto, la Directiva PNR, la Directiva API y, en parte, la Directiva 2010/65. A estos efectos, prevé que el sistema establecido por la Directiva PNR se aplique a la totalidad de los vuelos interiores de la Unión y de los transportes ferroviarios, terrestres e incluso marítimos realizados en el interior de la Unión con destino o procedencia en Bélgica o en tránsito por este Estado, y que se aplique también a los operadores de viaje, al tiempo que persigue otros objetivos distintos de la lucha contra los delitos de terrorismo y los delitos graves. De acuerdo con esas mismas indicaciones, parece que la UIP conserva todos los datos recogidos en el marco del sistema establecido por esa normativa nacional en una base de datos única que comprende los datos PNR, incluidos los datos mencionados en el artículo 3, apartado 2, de la Directiva API, relativos a todos los pasajeros de los transportes contemplados por dicha normativa.
288 A este respecto, en la medida en que el órgano jurisdiccional remitente se ha referido al objetivo de mejorar el control fronterizo y de luchar contra la inmigración ilegal en su novena cuestión prejudicial, letra b), que es el objetivo de la Directiva API, es preciso recordar que, como resulta de los apartados 233, 234 y 237 de la presente sentencia, la enumeración de los objetivos perseguidos por el tratamiento de los datos PNR con arreglo a la Directiva PNR reviste un carácter exhaustivo, por lo que una normativa nacional que autorice el tratamiento de datos PNR obtenidos con arreglo a dicha Directiva con fines distintos de los que esta última prevé, en particular, con fines de mejora de los controles fronterizos y de lucha contra la inmigración clandestina, es contraria al artículo 6 de la referida Directiva, interpretado a la luz de la Carta.
289 Además, como resulta del apartado 235 de la presente sentencia, los Estados miembros no pueden crear una base de datos única que contenga tanto los datos PNR obtenidos con arreglo a la Directiva PNR y relativos a los vuelos interiores y exteriores de la Unión como datos de los pasajeros de otros medios de transporte, además de los datos mencionados en el artículo 3, apartado 2, de la Directiva API, especialmente cuando sea posible consultar esa base de datos con vistas a alcanzar no solo los fines mencionados en el artículo 1, apartado 2, de la Directiva PNR, sino también otros fines.
290 Por último y, en cualquier caso, como advierte el Abogado General en el punto 281 de sus conclusiones, los artículos 28 a 31 de la Ley de 25 de diciembre de 2016 solo pueden ser compatibles con el Derecho de la Unión y, en particular, con el artículo 67 TFUE, apartado 2, a condición de que se interpreten y se apliquen como únicamente referidos a la transferencia y al tratamiento de los datos API de los pasajeros que cruzan las fronteras exteriores de Bélgica con terceros países. En efecto, una medida por la cual un Estado miembro extienda las disposiciones de la Directiva API, con objeto de mejorar los controles fronterizos y combatir la inmigración ilegal, a los vuelos interiores de la Unión y, con mayor motivo, a otros medios de transporte de pasajeros dentro de la Unión con origen o destino en dicho Estado miembro o también en tránsito por ese Estado miembro, especialmente la obligación de transferir los datos de los pasajeros mencionados en el artículo 3, apartado 1, de dicha Directiva, supondría permitir a las autoridades competentes que, en el momento del cruce de las fronteras interiores de dicho Estado miembro, se cercioraran de forma sistemática de si es posible autorizar a dichos pasajeros a entrar o a salir de su territorio, lo cual tendría un efecto equivalente a los controles efectuados en las fronteras exteriores con terceros países.
291 Habida cuenta de todas estas consideraciones, procede contestar a la novena cuestión prejudicial, letra b), que el Derecho de la Unión, en particular el artículo 2 de la Directiva PNR, a la luz del artículo 3 TUE, apartado 2, del artículo 67 TFUE, apartado 2, y del artículo 45 de la Carta, debe interpretarse en el sentido de que se opone:
– a una normativa nacional que establezca, en ausencia de una amenaza terrorista real y actual o previsible a la que deba enfrentarse el Estado miembro en cuestión, un sistema de transferencia, por parte de los transportistas aéreos y de los operadores de viaje, y de tratamiento, por parte las autoridades competentes, de los datos PNR del conjunto de los vuelos interiores de la Unión y de los transportes efectuados por otros medios dentro de la Unión, con origen o destino en ese Estado miembro o en tránsito por dicho Estado, con el fin de combatir los delitos de terrorismo y los delitos graves. En tal situación, la aplicación del sistema establecido por la Directiva PNR debe limitarse a la transferencia y al tratamiento de los datos PNR de los vuelos o de los transportes relativos, en particular, a determinadas conexiones o a determinados planes de viaje o a determinados aeropuertos, estaciones o puertos marítimos respecto de los que existan indicios que permitan justificar esta aplicación. Incumbe al Estado miembro de que se trate seleccionar los vuelos interiores de la Unión o los transportes efectuados por otros medios dentro de la Unión respecto de los cuales existen esos indicios y volver a examinar periódicamente tal aplicación en función de la evolución de las circunstancias que justificaron su selección, con objeto de garantizar que la aplicación de dicho sistema a esos vuelos o transportes siga limitándose a lo estrictamente necesario, y
– a una normativa nacional que establezca tal sistema de transferencia y de tratamiento de dichos datos con fines de mejora de los controles fronterizos y de lucha contra la inmigración clandestina.
H. Décima cuestión prejudicial
292 Mediante su décima cuestión prejudicial, el órgano jurisdiccional remitente desea saber, en esencia, si el Derecho de la Unión debe interpretarse en el sentido de que un órgano jurisdiccional nacional puede limitar en el tiempo los efectos de la declaración de ilegalidad, que le corresponde realizar conforme a su Derecho nacional, de una normativa nacional que obliga a las compañías de transporte aéreo, ferroviario y terrestres y a los operadores de viajes a transferir datos PNR y que prevé un tratamiento y una conservación de esos datos incompatibles con las disposiciones de la Directiva PNR, interpretadas a la luz del artículo 3 TUE, apartado 2, del artículo 67 TFUE, apartado 2, de los artículos 7, 8 y 45 y del artículo 52, apartado 1, de la Carta.
293 El principio de primacía del Derecho de la Unión supone la prevalencia de este ordenamiento sobre el Derecho de los Estados miembros. Dicho principio obliga, por tanto, a todos los órganos e instituciones de los Estados miembros a garantizar la plena eficacia de las diferentes disposiciones del Derecho de la Unión, sin que el Derecho de los Estados miembros pueda oponerse al efecto reconocido a las referidas disposiciones en el territorio de estos Estados. En virtud de dicho principio, cuando no resulte posible interpretar la normativa nacional conforme a las exigencias del Derecho de la Unión, el juez nacional encargado de aplicar, en el ámbito de su competencia, las disposiciones del Derecho de la Unión tendrá la obligación de garantizar la plena eficacia de estas, dejando inaplicada si fuera necesario, y por su propia iniciativa, cualquier disposición contraria de la normativa nacional, aun posterior, sin que deba solicitar o esperar su previa eliminación por vía legislativa o mediante cualquier otro procedimiento constitucional (sentencias de 15 de julio de 1964, Costa, 6/64, EU:C:1964:66, pp. 1159 y 1160; de 6 de octubre de 2020, La Quadrature du Net y otros, C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791, apartados 214 y 215, y de 5 de abril de 2022, Commissioner of An Garda Síochána y otros, C‑140/20, EU:C:2022:258, apartado 118).
294 Solo el Tribunal de Justicia puede, con carácter excepcional y en atención a consideraciones imperiosas de seguridad jurídica, suspender provisionalmente el efecto de exclusión que ejerce una norma de la Unión sobre el Derecho nacional contrario a ella. Dicha limitación temporal de los efectos de la interpretación de este Derecho dada por el Tribunal de Justicia solo puede admitirse en la propia sentencia que resuelva sobre la interpretación solicitada. Se estaría actuando en menoscabo de la primacía y de la aplicación uniforme del Derecho de la Unión si los órganos jurisdiccionales nacionales estuvieran facultados para otorgar primacía a las normas nacionales contrarias a este último ordenamiento, aunque fuera con carácter provisional (sentencia de 5 de abril de 2022, Commissioner of An Garda Síochána y otros, C‑140/20, EU:C:2022:258, apartado 119 y jurisprudencia citada).
295 Contrariamente a la omisión de una obligación procedimental como la evaluación previa del impacto ambiental de un proyecto, de que se trataba en el asunto que dio lugar a la sentencia de 29 de julio de 2019, Inter-Environnement Wallonie y Bond Beter Leefmilieu Vlaanderen (C‑411/17, EU:C:2019:622), apartados 175, 176, 179 y 181, en la que el Tribunal de Justicia aceptó que se suspendiera provisionalmente el efecto de exclusión, el incumplimiento de las disposiciones de la Directiva PNR, interpretadas a la luz de los artículos 7, 8 y 45, así como del artículo 52, apartado 1, de la Carta, no podría ser objeto de regularización a través de un procedimiento comparable al que se admitió en aquel asunto. En efecto, el mantenimiento de los efectos de una normativa nacional como la Ley de 25 de diciembre de 2016 supondría que dicha normativa siguiese imponiendo a los transportistas aéreos y a otros transportistas y a los operadores de viaje obligaciones que son contrarias al Derecho de la Unión y que suponen injerencias graves en los derechos fundamentales de las personas cuyos datos se han transferido, conservado y tratado, así como restricciones a la libertad de circulación de esas personas que van más allá de lo necesario (véase, por analogía, la sentencia de 5 de abril de 2022, Commissioner of An Garda Síochána y otros, C‑140/20, EU:C:2022:258, apartado 122 y jurisprudencia citada).
296 Por lo tanto, el órgano jurisdiccional remitente no puede limitar en el tiempo los efectos de la declaración de ilegalidad, que le incumbe con arreglo al Derecho nacional, de la normativa nacional controvertida en el litigio principal (véase, por analogía, la sentencia de 5 de abril de 2022, Commissioner of An Garda Síochána y otros, C‑140/20, EU:C:2022:258, apartado 123 y jurisprudencia citada).
297 Por último, en la medida en que el órgano jurisdiccional remitente se pregunta acerca de la incidencia de la declaración de la eventual incompatibilidad de la Ley de 25 de diciembre de 2016 con las disposiciones de la Directiva PNR, interpretada a la luz de la Carta, en la admisibilidad y la utilización, en el marco de los procedimientos penales, de las pruebas e informaciones obtenidas por medio de los datos transferidos por los transportistas y los operadores de viaje de que se trate, basta con remitirse a la jurisprudencia pertinente del Tribunal de Justicia, en particular a los principios recordados en los apartados 41 a 44 de la sentencia de 2 de marzo de 2021, Prokuratuur (Condiciones de acceso a los datos relativos a las comunicaciones electrónicas) (C‑746/18, EU:C:2021:152), de la que se desprende que esa admisibilidad se rige, en virtud del principio de autonomía procesal de los Estados miembros, por el Derecho nacional, sin perjuicio del cumplimiento de los principios de equivalencia y efectividad (véase, por analogía, la sentencia de 5 de abril de 2022, Commissioner of An Garda Síochána y otros, C‑140/20, EU:C:2022:258, apartado 127).
298 En atención a las anteriores consideraciones, procede contestar a la décima cuestión prejudicial que el Derecho de la Unión debe interpretarse en el sentido de que se opone a que un órgano jurisdiccional nacional limite en el tiempo los efectos de la declaración de ilegalidad, que le incumbe con arreglo a su Derecho nacional, de una normativa nacional que obliga a los transportistas aéreos, ferroviarios y terrestres y a los operadores de viaje a transferir los datos PNR, y que establece un tratamiento y una conservación de dichos datos incompatibles con las disposiciones de la Directiva PNR, interpretadas a la luz del artículo 3 TUE, apartado 2, del artículo 67 TFUE, apartado 2, y de los artículos 7, 8 y 45, así como del artículo 52, apartado 1, de la Carta. La admisibilidad de las pruebas obtenidas por este medio es una cuestión que, conforme al principio de autonomía procesal de los Estados miembros, se rige por el Derecho nacional, sin perjuicio del cumplimiento de los principios de equivalencia y de efectividad.
IV. Costas
299 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes en el litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.
En virtud de todo lo expuesto, el Tribunal de Justicia (Gran Sala) declara:
1) Los artículos 2, apartado 2, letra d), y 23 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), deben interpretarse en el sentido de que dicho Reglamento es aplicable a los tratamientos de datos personales previstos por una normativa nacional destinada a transponer al Derecho interno, simultáneamente, las disposiciones de la Directiva 2004/82/CE del Consejo, de 29 de abril de 2004, sobre la obligación de los transportistas de comunicar los datos de las personas transportadas, de la Directiva 2010/65/UE del Parlamento Europeo y del Consejo, de 20 de octubre de 2010, sobre las formalidades informativas exigibles a los buques a su llegada o salida de los puertos de los Estados miembros y por la que se deroga la Directiva 2002/6/CE, y de la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave, en lo relativo, por una parte, a los tratamientos de datos efectuados por operadores privados y, por otra parte, a los tratamientos de datos efectuados por autoridades públicas sujetos, exclusivamente o por añadidura, a la Directiva 2004/82 o a la Directiva 2010/65. En cambio, el mencionado Reglamento no es aplicable a los tratamientos de datos previstos por tal normativa que solo estén sujetos a la Directiva 2016/681 y sean efectuados por la Unidad de Información sobre los Pasajeros (UIP) o por las autoridades competentes a los efectos mencionados en el artículo 1, apartado 2, de esta Directiva.
2) Dado que la interpretación de la Directiva 2016/681 a la luz de los artículos 7, 8 y 21 y del artículo 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea garantiza la conformidad de esta Directiva con dichos artículos de la Carta de los Derechos Fundamentales, el examen de las cuestiones prejudiciales segunda a cuarta y sexta no ha puesto de manifiesto ningún elemento que pueda afectar a la validez de dicha Directiva.
3) El artículo 6 de la Directiva 2016/681, a la luz de los artículos 7 y 8 y del artículo 52, apartado 1, de la Carta de los Derechos Fundamentales, debe interpretarse en el sentido de que se opone a una normativa nacional que autoriza el tratamiento de datos del registro de nombres de los pasajeros (datos PNR) obtenidos con arreglo a esta Directiva con fines distintos de los expresamente mencionados en el artículo 1, apartado 2, de la referida Directiva.
4) El artículo 12, apartado 3, letra b), de la Directiva 2016/681 debe interpretarse en el sentido de que se opone a una normativa nacional con arreglo a la cual la autoridad creada como Unidad de Información sobre los Pasajeros (UIP) reviste también la condición de autoridad nacional competente facultada para aprobar la comunicación de los datos PNR tras la expiración del plazo de seis meses desde la transferencia de estos datos a la UIP.
5) El artículo 12, apartado 1, de la Directiva 2016/681, en relación con los artículos 7 y 8 y con el artículo 52, apartado 1, de la Carta de los Derechos Fundamentales, debe interpretarse en el sentido de que se opone a una normativa nacional que prevé una duración general de conservación de los datos PNR de cinco años, aplicable a todos los pasajeros aéreos sin distinción, incluidos aquellos respecto de los cuales ni la evaluación previa prevista en el artículo 6, apartado 2, letra a), de la Directiva 2016/681, ni las eventuales verificaciones realizadas durante el período de seis meses previsto en el artículo 12, apartado 2, de la referida Directiva, ni ninguna otra circunstancia han revelado la existencia de elementos objetivos que puedan demostrar la existencia de un riesgo en materia de delitos de terrorismo o de delitos graves que presenten un vínculo objetivo, cuando menos indirecto, con el transporte aéreo de pasajeros.
6) La Directiva 2004/82 debe interpretarse en el sentido de que no se aplica a los vuelos, programados o no, operados por una compañía aérea procedentes del territorio de un Estado miembro y que tengan previsto aterrizar en el territorio de uno o de varios Estados miembros, sin escala en el territorio de un tercer país (vuelos interiores de la Unión).
7) El Derecho de la Unión, en particular el artículo 2 de la Directiva 2016/681, a la luz del artículo 3 TUE, apartado 2, del artículo 67 TFUE, apartado 2, y del artículo 45 de la Carta de los Derechos Fundamentales, debe interpretarse en el sentido de que se opone:
– a una normativa nacional que establezca, en ausencia de una amenaza terrorista real y actual o previsible a la que deba enfrentarse el Estado miembro en cuestión, un sistema de transferencia, por parte de los transportistas aéreos y de los operadores de viaje, y de tratamiento, por parte las autoridades competentes, de los datos PNR del conjunto de los vuelos interiores de la Unión y de los transportes efectuados por otros medios dentro de la Unión, con origen o destino en ese Estado miembro o en tránsito por dicho Estado, con el fin de combatir los delitos de terrorismo y los delitos graves. En tal situación, la aplicación del sistema establecido por la Directiva 2016/681 debe limitarse a la transferencia y al tratamiento de los datos PNR de los vuelos o de los transportes relativos, en particular, a determinadas conexiones o a determinados planes de viaje o a determinados aeropuertos, estaciones o puertos marítimos respecto de los que existan indicios que permitan justificar esta aplicación. Incumbe al Estado miembro de que se trate seleccionar los vuelos interiores de la Unión o los transportes efectuados por otros medios dentro de la Unión respecto de los cuales existen esos indicios y volver a examinar periódicamente tal aplicación en función de la evolución de las circunstancias que justificaron su selección, con objeto de garantizar que la aplicación de dicho sistema a esos vuelos o transportes siga limitándose a lo estrictamente necesario, y
– a una normativa nacional que establezca tal sistema de transferencia y de tratamiento de dichos datos con fines de mejora de los controles fronterizos y de lucha contra la inmigración clandestina.
8) El Derecho de la Unión debe interpretarse en el sentido de que se opone a que un órgano jurisdiccional nacional limite en el tiempo los efectos de la declaración de ilegalidad, que le incumbe con arreglo a su Derecho nacional, de una normativa nacional que obliga a los transportistas aéreos, ferroviarios y terrestres y a los operadores de viaje a transferir los datos PNR, y que establece un tratamiento y una conservación de dichos datos incompatibles con las disposiciones de la Directiva 2016/681, interpretadas a la luz del artículo 3 TUE, apartado 2, del artículo 67 TFUE, apartado 2, y de los artículos 7, 8 y 45, así como del artículo 52, apartado 1, de la Carta de los Derechos Fundamentales. La admisibilidad de las pruebas obtenidas por este medio es una cuestión que, conforme al principio de autonomía procesal de los Estados miembros, se rige por el Derecho nacional, sin perjuicio del cumplimiento de los principios de equivalencia y de efectividad.
Firmas