Los principales aspectos regulados son la transferencia de los datos PNR —especificados en el artículo 5— por parte de las compañías aéreas y otras entidades obligadas; la recogida, el tratamiento y la protección de esos datos, su transmisión a las autoridades competentes y el intercambio de dichos datos con otros EEMM UE, EUROPOL y terceros Estados.  La Unidad de Información sobre Pasajeros (UIP) española —encargada de la recogida y custodia de los datos—  se ubica en el Centro de Inteligencia contra el Terrorismo y el Crimen Organizado (CITCO) del Ministerio del Interior.

En cuanto al ámbito de aplicación, el texto legal contempla que serán todos los vuelos internacionales que tengan origen, destino o tránsito en España, tanto de carácter comercial como privados y, excepcionalmente, vuelos nacionales. Por tanto, no será de aplicación a los vuelos realizados por aeronaves de Estado y por aeronaves privadas, fletadas por el Estado para la prestación o apoyo de servicios de interés militar y en general servicios estatales no comerciales.

Y respecto a su utilización, estos datos PNR se pueden utilizar únicamente como herramienta para luchar contra el terrorismo y delitos graves, y con el objetivo de evaluar a las personas a bordo de la aeronave e identificar a aquellas que pudieran tener relación con estos actos delictivos. Para ello, la UIP cotejará los datos PNR con las bases de datos disponibles. Estos datos serán enviados entre las veinticuatro y las cuarenta y ocho horas antes de la hora de salida programada del vuelo, y también una vez que el embarque en el avión esté completamente cerrado. Si durante el trayecto se produce alguna modificación en el destino final, también deberá ser transmitida, así como la realización de una escala no programada.

Las autoridades competentes que, justificadamente y caso por caso, pueden solicitar o recibir datos PNR o el resultado del tratamiento de dichos datos por la UIP, son la Policía Nacional, la Guardia Civil, el Centro Nacional de Inteligencia, Vigilancia Aduanera, el Ministerio Fiscal y las Comunidades Autónomas con competencias de seguridad ciudadana. Asimismo, España podrá enviar datos PNR o el resultado de su tratamiento a otros EEMM UE, de oficio o atendiendo una solicitud concreta a otras UIP de distintos países del mundo.

Otro asunto trascendental es la custodia, empleo y eliminación de los datos. Una vez transcurridos seis meses desde su recepción, los datos PNR que permitan la identificación directa del pasajero serán despersonalizados. A partir de esos seis meses, solo se permitirá acceder a esos datos a las autoridades competentes —recogidas en el artículo 14— con la autorización previa de una autoridad judicial o de la persona titular de la Secretaría de Estado de Seguridad. Como se refería, cumplido el plazo de los cinco años serán suprimidos definitivamente. Por último, la Ley 1/2020 recoge que la Agencia Española de Protección de Datos es la autoridad nacional de control de datos PNR; y también regula un régimen sancionador ante posibles incumplimientos.

Antecedentes

Tras los atentados de 2015 en Paris y Bruselas, el Consejo de Justicia y Asuntos de Interior de la UE aprobó, el 21 de abril de 2016, la Directiva (UE) 2016/681, que regula la transmisión de datos por parte de las compañías aéreas a los EEMM. En virtud de la misma, las compañías aéreas están obligadas a proporcionar a las autoridades de los EEMM los datos sobre vuelos que entran o salen de la UE. Para ello, la Directiva requiere que cada EEMM establezca una Unidad de Información sobre Pasajeros que reciba y gestione los datos PNR de las compañías aéreas. Para dar cumplimento al requerimiento de la UE, fue publicado en el Boletín Oficial del Estado número 248 del pasado 17 de septiembre la Ley Orgánica 1/2020, de 16 de septiembre.