Asunto C‑817/19
Liga de Derechos Humanos
contra
Consejo de Ministros
[Petición de decisión prejudicial planteada por la Cour constitutionnelle (Tribunal Constitucional, Bélgica)]
Sentencia del Tribunal de Justicia (Gran Sala) de 21 de junio de 2022
«Procedimiento prejudicial — Tratamiento de datos personales — Datos de los registros de nombres de los pasajeros (PNR) — Reglamento (UE) 2016/679 — Artículo 2, apartado 2, letra d) — Ámbito de aplicación — Directiva 2016/681/UE — Utilización de datos PNR de los pasajeros de los vuelos aéreos operados entre la Unión Europea y terceros países — Facultad de incluir los datos de los pasajeros de los vuelos aéreos operados dentro de la Unión — Tratamientos automatizados de esos datos — Plazo de conservación — Lucha contra los delitos de terrorismo y la delincuencia grave — Validez — Carta de los Derechos Fundamentales de la Unión Europea — Artículos 7, 8, 21 y 52, apartado 1 — Legislación nacional que extiende la aplicación del sistema PNR a otros transportes realizados dentro de la Unión — Libertad de circulación dentro de la Unión — Carta de los Derechos Fundamentales — Artículo 45»
1. Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Ámbito de aplicación — Tratamientos de datos personales previstos por una normativa nacional destinada a transponer las Directivas 2004/82/UE, 2010/65/UE y 2016/681/UE — Inclusión — Límites
[Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, arts. 2, ap. 2, letra d), y 23; Directivas del Parlamento Europeo y del Consejo 2010/65/UE, 2016/680/UE y 2016/681/UE; Directiva 2004/82/CE del Consejo]
(véanse los apartados 67, 68, 73, 74, 80, 83 y 84 y el punto 1 del fallo)
2. Cooperación policial — Cooperación judicial en materia penal — Utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave — Directiva 2016/681/UE — Datos PNR — Alcance — Pasajeros aéreos y vuelos afectados — Tratamientos automatizados de esos datos — Vulneración de los derechos al respeto de la vida privada y a la protección de los datos personales — Inexistencia
(Carta de los Derechos Fundamentales de la Unión Europea, arts. 7, 8, 21 y 52, ap. 1; Directiva 2016/681/UE del Parlamento Europeo y del Consejo, arts. 1, ap. 2, 2, 3, números 2, 4, 8 y 9, 6 y 12 y anexos I y II)
(véanse los apartados 94 a 97, 111, 122, 123, 129, 131 a 140, 152, 157, 162, 169 a 175, 184, 188, 197, 202, 213, 218 a 220, 223 y 225 a 228 y el punto 2 del fallo)
3. Derechos fundamentales — Respeto de la vida privada — Protección de datos personales — Limitaciones — Requisitos
(Carta de los Derechos Fundamentales de la Unión Europea, arts. 7, 8 y 52, ap. 1)
(véanse los apartados 115 a 118)
4. Cooperación policial — Cooperación judicial en materia penal — Utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave — Directiva 2016/681/UE — Tratamiento de los datos PNR — Finalidades — Tratamiento con fines distintos de los expresamente previstos — Improcedencia
(Carta de los Derechos Fundamentales de la Unión Europea, arts. 7 y 52; Directiva 2016/681/UE del Parlamento Europeo y del Consejo, arts. 1, ap. 2, y 6)
(véanse los apartados 233, 235, 237, 288 y 289 y punto 3 del fallo)
5. Cooperación policial — Cooperación judicial en materia penal — Utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave — Directiva 2016/681/UE — Comunicación de los datos PNR después de los seis meses siguientes a su transferencia por las compañías aéreas — Requisito — Aprobación por una autoridad nacional competente — Concepto — Unidad de Información sobre los Pasajeros — Exclusión
[Carta de los Derechos Fundamentales de la Unión Europea, arts. 7 y 8; Directiva 2016/681/UE del Parlamento Europeo y del Consejo, arts. 4, aps. 1 a 3, y 12, ap. 3, letra b)]
(véanse los apartados 244, 245 y 247 y el punto 4 del fallo)
6. Cooperación policial — Cooperación judicial en materia penal — Utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave — Directiva 2016/681/UE — Período de conservación de los datos PNR — Duración general de conservación de cinco años, aplicable indiferentemente a todos los pasajeros aéreos — Improcedencia
(Carta de los Derechos Fundamentales de la Unión Europea, arts. arts. 7, 8, 45 y 52, ap. 1; Directiva 2016/681/UE del Parlamento Europeo y del Consejo, art. 12)
(véanse los apartados 251, 255 a 259 y 262 y el punto 5 del fallo)
7. Controles en las fronteras, asilo e inmigración — Obligación de los transportistas de comunicar los datos relativos a los pasajeros — Directiva 2004/82/CE del Consejo — Ámbito de aplicación — Vuelos interiores de la Unión — Exclusión
[Directiva 2016/681/UE del Parlamento Europeo y del Consejo, art. 2; Directiva 2004/82/CE del Consejo, arts. 2, letras a), b) y d), 3, aps. 1 y 2, y 6, ap. 1]
(véanse los apartados 266 a 269 y el punto 6 del fallo)
8. Cooperación policial — Cooperación judicial en materia penal — Utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave — Directiva 2016/681/UE — Aplicación de la Directiva a los vuelos interiores de la Unión — Aplicación a todos los vuelos interiores de la Unión y a todos los transportes efectuados mediante otros medios dentro de la Unión en ausencia de una amenaza terrorista real y actual o previsible — Improcedencia — Aplicación limitada — Procedencia — Requisitos
(Art. 3 TUE, ap. 2; art. 67 TFUE, ap. 2; Carta de los Derechos Fundamentales de la Unión Europea, arts. 7, 8, 45 y 52, ap. 1; Directiva 2016/681/UE del Parlamento Europeo y del Consejo)
(véanse los apartados 277 a 282, 285, 290 y 291 y el punto 7 del fallo)
9. Derecho de la Unión Europea — Primacía — Directiva 2016/681/UE — Anulación por el juez nacional de disposiciones nacionales incompatibles con esta Directiva — Posibilidad de mantener los efectos de las disposiciones en cuestión — Inexistencia — Admisibilidad de las pruebas obtenidas en virtud de estas disposiciones — Aplicación del Derecho nacional — Límites — Respeto de los principios de equivalencia y de efectividad
(Art. 3 TUE, ap. 2; art. 67 TFUE, ap. 2; Carta de los Derechos Fundamentales de la Unión Europea, arts. 7, 8, 45 y 52, ap. 1; Directiva 2016/681/UE del Parlamento Europeo y del Consejo)
(véanse los apartados 293 a 298 y el punto 8 del fallo)
Resumen
Los datos PNR (Passenger Name Record) consisten en información de reservas almacenada por las compañías aéreas en sus sistemas de reservas y control de las salidas. La Directiva PNR (1) obliga a estas compañías a transferir los datos de todo pasajero que viajen en un vuelo exterior de la UE, operado entre un tercer país y la Unión Europea, a la Unidad de Información sobre los Pasajeros (en lo sucesivo, «UIP») del Estado miembro de destino o de salida del vuelo en cuestión para luchar contra los delitos de terrorismo y la delincuencia grave. Así, los datos PNR transferidos de este modo son objeto de una evaluación previa a cargo de la UIP (2) y seguidamente se conservan para una eventual evaluación posterior por parte de las autoridades competentes del Estado miembro de que se trate o de las autoridades de otro Estado miembro. Los Estados miembros pueden decidir aplicar la Directiva también a los vuelos interiores de la Unión. (3)
La Ligue des droits humains interpuso ante el Tribunal Constitucional de Bélgica un recurso de anulación contra la Ley de 25 de diciembre de 2016, (4) que transpone al Derecho belga tanto la Directiva PNR como la Directiva API. (5) Según la LDH, esta ley vulnera el derecho al respeto de la vida privada y a la protección de los datos personales. Critica, por una parte, la enorme amplitud de los datos PNR y, por otra parte, el carácter general de la recogida, la transferencia y el tratamiento de estos datos. A juicio de la LDH, la Ley también es contraria a la libre circulación de las personas, ya que reestablece indirectamente los controles en las fronteras al extender el sistema PNR a los vuelos interiores de la Unión y a los transportes realizados por otros medios en el interior de la Unión.
En este contexto, la Cour constitutionnelle (Tribunal Constitucional, Bélgica) planteó al Tribunal de Justicia diez cuestiones prejudiciales relativas, en particular, a la validez y la interpretación de la Directiva PNR y a la aplicabilidad del RGPD. (6)
Estas cuestiones prejudiciales requieren que el Tribunal se pronuncie de nuevo acerca del tratamiento de los datos PNR a la luz de los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales, (7) consagrados por la Carta de los Derechos Fundamentales de la Unión Europea. (8) Mediante su sentencia, dictada en Gran Sala, el Tribunal de Justicia confirma la validez de la Directiva PNR siempre que se interprete de conformidad con la Carta e introduce algunas precisiones en cuanto a la interpretación de algunas de sus disposiciones. (9)
Apreciación del Tribunal
Tras precisar a cuales, de entre los tratamientos de datos de carácter personal previstos por una legislación nacional destinada, como sucede con la que es objeto del presente asunto, a transponer tanto la Directiva API como la Directiva PNR, les resultan de aplicación las reglas generales del RGPD, (10) el Tribunal analizó la validez de la Directiva PNR.
Sobre la validez de la Directiva PNR
En su sentencia, el Tribunal declara que, dado que la interpretación de las disposiciones de la Directiva PNR a la luz de los derechos fundamentales garantizados en los artículos 7, 8, 21 y 52, apartado 1, de la Carta (11) dada por el Tribunal garantiza la conformidad de esta Directiva con estos artículos, el examen de las cuestiones prejudiciales planteadas no ha puesto de manifiesto ningún elemento que pueda afectar a la validez de dicha Directiva.
Con carácter preliminar, el Tribunal recuerda que un acto de la Unión debe interpretarse, en la medida de lo posible, de un modo que no cuestione su validez y de conformidad con el conjunto del Derecho primario y, en particular, con las disposiciones de la Carta, de modo que los Estados miembros deben procurar no basarse en una interpretación del mismo que entre en conflicto con los derechos fundamentales tutelados por el ordenamiento jurídico de la Unión o con los demás principios generales reconocidos en este ordenamiento jurídico. En relación con la Directiva PNR, el Tribunal precisa que muchos de sus considerandos y disposiciones exigen que se lleve a cabo tal interpretación conforme, haciendo énfasis en la importancia que el legislador de la Unión atribuye, cuando se refiere a un elevado nivel de protección de los datos, al pleno respeto de los derechos fundamentales consagrados por la Carta.
El Tribunal constata que la Directiva PNR comporta injerencias de una gravedad cierta en los derechos garantizados por los artículos 7 y 8 de la Carta, ya que tiene por objeto la implantación de un régimen de vigilancia continuo, no selectivo y sistemático que incluye la evaluación automatizada de datos de carácter personal de todas las personas que utilizan servicios de transporte aéreo. El Tribunal recuerda que la posibilidad de que los Estados miembros justifiquen tal injerencia debe apreciarse ponderando su gravedad y comprobando que la importancia del objetivo de interés general perseguido se corresponde con esta gravedad.
El Tribunal concluye que cabe considerar que la transferencia, el tratamiento y la conservación de los datos PNR previstos por esta Directiva se limitan a lo estrictamente necesario para luchar contra los delitos terroristas y los delitos graves, siempre que las facultades previstas por esta Directiva sean objeto de una interpretación restrictiva, A este respecto, la sentencia dictada en el día de hoy precisa, en particular, que:
– El sistema establecido por la Directiva PNR únicamente debe comprender las informaciones claramente identificables y delimitadas en las categorías que figuran en su anexo I y que guardan relación con el vuelo realizado y el pasajero de que se trate, lo que implica que, respecto de determinadas categorías de ese anexo, solo estén cubiertas las informaciones contempladas expresamente. (12)
– La aplicación del sistema establecido por la Directiva PNR debe limitarse a los delitos terroristas y únicamente a los delitos graves que presenten un vínculo objetivo, cuando menos indirecto, con el transporte aéreo de pasajeros. Por lo que respecta a estos últimos delitos, la aplicación de este sistema no puede extenderse a delitos que, pese a cumplir el criterio previsto por esta Directiva relativo al umbral de gravedad y a pesar de quedar contemplados en su anexo II, forman parte de la delincuencia común con arreglo a las particularidades del sistema penal nacional.
– La eventual extensión de la aplicación de la Directiva PNR a todos o parte de los vuelos interiores de la Unión, opción por la que un Estado miembro puede decantarse en ejercicio de la facultad prevista por esta Directiva, debe quedar limitada a lo estrictamente necesario. A tal efecto, esta extensión debe poder quedar sujeta al control efectivo de un órgano jurisdiccional o de un organismo administrativo independiente, cuyas resoluciones tengan efecto vinculante. A este respecto, el Tribunal precisa que:
– Únicamente en cuando dicho Estado miembro constate la existencia de circunstancias suficientemente concretas para considerar que se enfrenta a una amenaza terrorista que se revela real y actual o previsible, la aplicación de esta Directiva a todos los vuelos interiores de la Unión con origen o destino en este Estado miembro, por un período de tiempo limitado a lo estrictamente necesario, si bien prorrogable, no debe exceder los límites de lo estrictamente necesario. (13)
– Cuando no exista tal amenaza terrorista, la aplicación de dicha Directiva no puede extenderse a la totalidad de los vuelos interiores de la Unión, sino que debe limitarse a los vuelos interiores de la Unión que cubran determinadas conexiones aéreas o que respondan a determinados planes de viaje o que se refieran a determinados aeropuertos respecto de los que existen, según la apreciación del Estado miembro de que se trate, indicios que permitan justificar esa aplicación. El carácter estrictamente necesario de esta aplicación a los vuelos interiores de la Unión seleccionados de este modo debe ser objeto de un reexamen regular, en función de la evolución de las circunstancias que justificaran su selección.
– A efectos de la evaluación previa de los datos PNR, destinada a identificar las personas respecto de las que resulta necesario un examen más en profundidad antes de su llegada o partida y que, en una primera fase, se realiza mediante tratamientos automatizados, la UIP solo puede, por una parte, confrontar esos datos únicamente con las bases de datos relativas a las personas u objetos buscados o bajo alerta. (14) Estas bases de datos deben ser no discriminatorias y deben utilizarse, por las autoridades competentes, en relación con la lucha contra los delitos terroristas y los delitos graves que presenten un vínculo objetivo, siquiera indirecto, con el transporte aéreo de pasajeros. Por lo que se refiere, por otra parte, a la evaluación previa con arreglo a criterios predefinidos, la UIP no tiene permitido utilizar tecnologías de inteligencia artificial en el marco de sistemas de autoaprendizaje («machine learning»), capaces de modificar, sin intervención y control del hombre, el proceso de evaluación y, en particular, los criterios de evaluación en los que se basa el resultado de la aplicación de este procedimiento y la ponderación de estos criterios. Estos criterios deben determinarse de forma que su aplicación cribe específicamente los individuos respecto de los cuales puede existir una sospecha razonable de participación en delitos terroristas o en delitos graves y de manera que se tenga en cuenta tanto los elementos «de cargo» como los elementos «de descargo», evitando en cualquier caso que se produzcan discriminaciones directas o indirectas. (15)
– Habida cuenta del porcentaje de error propio de tales tratamientos automatizados de los datos PNR y del correspondiente número elevado de resultados «falsos positivos», registrados durante su aplicación a lo largo de los años 2018 y 2019, la aptitud del sistema establecido por la Directiva PNR para alcanzar los objetivos perseguidos depende fundamentalmente del buen funcionamiento de la comprobación de los resultados positivos obtenidos a raíz de esos tratamientos que debe llevar a cabo la UIP, en un segundo momento, a través de medios no automatizados. A este respecto, los Estados miembros deben establecer reglas claras y precisas que permitan guiar y delimitar el análisis efectuado por los agentes de la UIP encargados de este reexamen individual con el fin de garantizar el pleno respeto de los derechos fundamentales consagrados en los artículos 7, 8 y 21 de la Carta y, en particular, de seguir una práctica administrativa coherente en el seno de la UIP que respete el principio de no discriminación. En particular deben asegurarse de que la UIP establece criterios de reexamen objetivos que permitan a sus agentes verificar, por una parte, si y en qué medida una concordancia positiva (hit) se refiere efectivamente a un individuo que puede estar implicado en delitos terroristas o en delitos graves y, por otra parte, el carácter no discriminatorio de los tratamientos automatizados. En este contexto, el Tribunal destaca asimismo que las autoridades competentes deben asegurarse de que el interesado pueda comprender el funcionamiento de los criterios de evaluación preestablecidos y de los programas que aplican estos criterios, de forma que pueda decidir, con pleno conocimiento de causa, si ejerce o no su derecho a una acción judicial. Igualmente, en el marco de tal acción, el juez encargado del control de la legalidad de la resolución adoptada por las autoridades competentes y, a salvo de los casos de amenazas para la seguridad del Estado, el propio interesado, deben poder acceder al conjunto tanto de los motivos como de las pruebas sobre la base de los cuales se ha adoptado esta resolución, incluyendo los criterios de evaluación preestablecidos y el funcionamiento de los programas que aplican estos criterios.
– La comunicación y la evaluación posteriores de los datos PNR, esto es tras la llegada o la salida de la persona en cuestión, solo pueden realizarse con base en circunstancias nuevas y elementos objetivos que, o bien permitan dar credibilidad a una sospecha razonable de implicación de esta persona en delitos graves que presenten un vínculo objetivo, siquiera indirecto, con el transporte aéreo de pasajeros, o bien permitan considerar que estos datos podrían, en un caso concreto, suponer una contribución activa a la lucha contra delitos terroristas que presentan tal vínculo. La comunicación de los datos PNR a efectos de tal evaluación posterior debe, en principio, salvo en casos de urgencia debidamente justificada, quedar supeditada a un control previo realizado por un órgano jurisdiccional o por una autoridad administrativa independiente a petición motivada de las autoridades competentes, y ello con independencia de la cuestión de si esta petición se presenta antes o después de la expiración del plazo de los seis meses siguientes a la transferencia de esos datos a la UIP. (16)
Sobre la interpretación de la Directiva PNR
Tras apreciar la validez de la Directiva PNR, el Tribunal aporta ulteriores precisiones acerca de la interpretación de esta Directiva. En primer término, señala que la Directiva enumera de manera exhaustiva los objetivos perseguidos por el tratamiento de los datos PNR. En consecuencia, esta Directiva se opone a una legislación nacional que autoriza el tratamiento de datos PNR con fines distintos de la lucha contra el terrorismo y las formas graves de delincuencia. De ese modo, una legislación nacional que además admite, como uno de los fines del tratamiento de datos PNR, el seguimiento de las actividades objeto de la atención de los servicios de inteligencia y de seguridad puede ir en contra del carácter exhaustivo de esta enumeración. Asimismo, el sistema establecido por la Directiva PNR no puede destinarse a la mejora de los controles fronterizos y la lucha contra la inmigración clandestina. (17) De lo anterior también se deduce que los datos PNR no pueden ser conservados en una base de datos única consultable para la consecución tanto de los fines de la Directiva PNR como de otros fines.
En segundo término, el Tribunal explicita el concepto de autoridad nacional independiente, competente para comprobar si se cumplen los requisitos de comunicación de los datos PNR, con vistas a su posterior evaluación, y para aprobar tal comunicación. En particular, la autoridad creada como UIP no puede ser calificada como tal autoridad ya que no tiene la condición de tercero respecto de la autoridad que solicita el acceso a los datos. Así, dado que los miembros de su personal pueden ser agentes transferidos por las autoridades facultadas para solicitar tal acceso, la UIP está necesariamente vinculada a esas autoridades. En consecuencia, la Directiva PNR se opone a una legislación nacional con arreglo a la cual la autoridad creada como UIP reviste también la condición de autoridad nacional competente, facultada para aprobar la comunicación de los datos PNR tras la expiración del plazo de seis meses desde la transferencia de estos datos a la UIP.
En tercer término y por lo que se refiere al plazo de conservación de los datos PNR, el Tribunal estima que el artículo 12 de la Directiva PNR, interpretado a la luz de los artículos 7, 8 y 52, apartado 1, de la Carta, se opone a una legislación nacional que prevé una duración general de conservación de estos datos de cinco años, aplicable a todos los pasajeros aéreos sin distinción.
Así, según el Tribunal, tras la expiración del período de conservación inicial de seis meses, la conservación de los datos PNR no resulta limitada a lo estrictamente necesario en lo que se refiere a los pasajeros aéreos respecto de los cuales ni la evaluación previa, ni las eventuales comprobaciones efectuadas durante el período de conservación inicial de seis meses, ni ninguna otra circunstancia, han revelado la existencia de elementos objetivos —como el hecho de que los datos PNR de los pasajeros en cuestión hayan dado lugar a una concordancia positiva verificada en el marco de la evaluación previa— que permitan apreciar la existencia de un riesgo en materia de delitos terroristas o de delitos graves que tengan una relación, siquiera indirecta, con el viaje aéreo realizado por esos pasajeros. Por el contrario, el Tribunal, estima que, durante el período inicial de seis meses, la conservación de los datos PNR de todos los pasajeros aéreos cubiertos por el sistema establecido por esta Directiva no parece, en principio, exceder los límites de lo estrictamente necesario.
En cuarto término, el Tribunal aporta precisiones acerca de una eventual aplicación de la Directiva PNR, con el objeto de luchar contra delitos terroristas o delitos graves, a otros medios de transporte de pasajeros dentro de la Unión. Pues bien, esta Directiva, interpretada a la luz del artículo 3 TUE, apartado 2, del artículo 67 TFUE, apartado 2, y del artículo 45 de la Carta, se opone a un sistema de transferencia y de tratamiento del conjunto de los datos PNR de la totalidad de los transportes efectuados mediante otros medios dentro de la Unión, en ausencia de una amenaza terrorista real y actual o previsible a la que deba enfrentarse el Estado miembro en cuestión. Así, en tal situación, al igual que respecto de los vuelos interiores de la Unión, la aplicación del sistema establecido por la Directiva PNR debe limitarse a los datos PNR de los transportes relativos, en particular, a determinadas conexiones o a determinados planes de viaje o a determinadas estaciones o puertos marítimos respecto de los que existan indicios que permitan justificar esta aplicación. Incumbe al Estado miembro de que se trate seleccionar los transportes respecto de los que existen estos indicios y reexaminar regularmente esta aplicación en función de la evolución de las circunstancias que justificaran su selección.