CONCLUSIONES DEL ABOGADO GENERAL
SR. PHILIPPE LÉGER
presentadas el 22 de noviembre de 20051(1)
Asunto C‑317/04
Parlamento Europeo
contra
Consejo de la Unión Europea
«Protección de las personas físicas en lo que respecta al tratamiento de datos personales – Recurso de anulación – Decisión 2004/496/CE del Consejo – Acuerdo entre la Comunidad Europea y los Estados Unidos de América sobre el tratamiento y la transferencia de datos PNR (“Passenger Name Records”)»
Asunto C‑318/04
Parlamento Europeo
contra
Comisión de las Comunidades Europeas
«Recurso de anulación – Decisión 2004/535/CE de la Comisión, relativa al carácter adecuado de la protección de los datos personales incluidos en los registros de nombres de los pasajeros que se transfieren al Servicio de aduanas y protección de fronteras de los Estados Unidos – Directiva 95/46/CE»
Índice
I.Antecedentes del litigio
II.Marco jurídico de los dos asuntos
A.TratadoUE
B.Tratado constitutivo de la Comunidad Europea
C.Derecho europeo en materia de protección de datos personales
III.Decisiones impugnadas
A.Decisión de adecuación
B.Decisión del Consejo
IV.Motivos invocados por el Parlamento en los dos asuntos
V.Sobre el recurso por el que se solicita la anulación de la Decisión de adecuación (asunto C‑318/04)
A.Sobre el motivo basado en que la Comisión incurrió en desviación de poder al adoptar la Decisión de adecuación
1.Alegaciones de las partes
2.Apreciación
B.Sobre los motivos basados en la vulneración de derechos fundamentales y en la violación del principio de proporcionalidad
VI.Sobre el recurso por el que se solicita la anulación de la Decisión del Consejo (asunto C‑317/04)
A.Sobre el motivo basado en la elección errónea del artículo 95CE como base jurídica de la Decisión del Consejo
1.Alegaciones de las partes
2.Apreciación
B.Sobre el motivo basado en la infracción del artículo 300CE, apartado 3, párrafo segundo, debido a una modificación de la Directiva 95/46
1.Alegaciones de las partes
2.Apreciación
C.Sobre los motivos basados en la vulneración del derecho a la protección de los datos personales y en la violación del principio de proporcionalidad
1.Alegaciones de las partes
2.Apreciación
a)Sobre la existencia de una injerencia en la vida privada
b)Sobre la justificación de la injerencia en la vida privada
i)¿La injerencia está prevista por laley?
ii)¿La injerencia persigue un fin legítimo?
iii)¿Es necesaria la injerencia en una sociedad democrática para alcanzar tal fin?
D.Sobre el motivo basado en que la Decisión del Consejo no está suficientemente motivada
E.Sobre el motivo basado en la violación del principio de cooperación leal previsto en el artículo 10CE
VII.Costas
VIII.Conclusión
1.El Parlamento Europeo interpuso dos recursos de anulación ante el Tribunal de Justicia, en virtud del artículo 230CE. En el asunto Parlamento/Consejo (C‑317/04), el recurso tiene por objeto la anulación de la Decisión del Consejo, de 17 de mayo de 2004, relativa a la celebración de un Acuerdo entre la Comunidad Europea y los Estados Unidos de América sobre el tratamiento y la transferencia de los datos de los expedientes de los pasajeros por las compañías aéreas al Departamento de seguridad nacional, Oficina de aduanas y protección de fronteras, de los Estados Unidos.(2) En el asunto Parlamento/Comisión (C‑318/04), el Parlamento solicita la anulación de la Decisión de la Comisión, de 14 de mayo de 2004, relativa al carácter adecuado de la protección de los datos personales incluidos en los registros de nombres de los pasajeros que se transfieren al Servicio de aduanas y protección de fronteras de los Estados Unidos.(3)
2.En estos dos asuntos se insta al Tribunal de Justicia a que se pronuncie sobre la problemática existente en torno a la protección de los datos personales de los pasajeros de vuelos cuando, para justificar la transferencia y el tratamiento de dichos datos en un país tercero, en este caso, los Estados Unidos,(4) se invoquen imperativos relacionados con la seguridad pública y de carácter penal, tales como la prevención y la lucha contra el terrorismo y otros delitos graves.
3.Ambos asuntos encuentran su origen en una serie de acontecimientos que procede exponer a continuación. Seguidamente, detallaré el contexto jurídico en que éstos se inscriben.
I.Antecedentes del litigio
4.Al día siguiente de producirse los ataques terroristas de 11 de septiembre de 2001, los Estados Unidos adoptaron una normativa conforme a la cual las compañías aéreas que efectúen vuelos con destino, procedencia o sobre el territorio de los Estados Unidos deberán facilitar el acceso electrónico a los datos contenidos en sus sistemas automáticos de reserva y de control de salidas, denominados «Passenger Name Records» (en lo sucesivo, «PNR»).(5) Aun reconociendo la legitimidad de los intereses de seguridad en juego, la Comisión de las Comunidades Europeas informó a las autoridades de los Estados Unidos, desde el mes de junio de 2002, de que dichas normas podrían entrar en conflicto con la normativa comunitaria y con la de los Estados miembros en materia de protección de datos personales, así como con determinadas disposiciones del Reglamento sobre la utilización de sistemas informatizados de reserva (SIR).(6) Las autoridades de los Estados Unidos aplazaron la entrada en vigor de la nueva normativa, pero se negaron a renunciar a imponer sanciones a las compañías aéreas que no se atuvieran a lo dispuesto en dicha normativa después del 5 de marzo de 2003. Desde entonces, numerosas compañías aéreas, con domicilio social en los Estados miembros, han facilitado a las autoridades estadounidenses el acceso a susPNR.
5.La Comisión entabló negociaciones con las autoridades estadounidenses, que dieron lugar a la elaboración de un documento que contenía los Compromisos por parte del CBP con vistas a la adopción de una Decisión de la Comisión que tenía por objeto declarar el carácter adecuado del nivel de protección de los datos personales propuesto por los Estados Unidos, con fundamento en el artículo 25, apartado 6, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.(7)
6.El 13 de junio de 2003, el grupo denominado «Grupo del artículo 29» sobre protección de datos(8) emitió un dictamen en el que expresó ciertas dudas en cuanto al nivel de protección garantizado por estos Compromisos respecto al tratamiento de los datos en cuestión.(9) Reiteró sus dudas en otro dictamen de 29 de enero de2004.(10)
7.El 1 de marzo de 2004, la Comisión sometió al Parlamento el proyecto de Decisión de adecuación, acompañado del proyecto de Declaración de Compromisos delCBP.
8.El 17 de marzo 2004, la Comisión transmitió al Parlamento, en la perspectiva de la consulta a este último con arreglo al artículo 300CE, apartado 3, párrafo primero, una propuesta de Decisión del Consejo de la Unión Europea relativa a la celebración de un Acuerdo entre la Comunidad y los Estados Unidos. Mediante escrito de 25 de marzo de 2004, el Consejo solicitó, refiriéndose al procedimiento de urgencia previsto en el artículo 112 del Reglamento del Parlamento (actualmente artículo 134), el dictamen del Parlamento sobre esta propuesta, a más tardar, para el 22 de abril de 2004. En su escrito, el Consejo subrayaba que «[l]a lucha contra el terrorismo, que justifica las medidas propuestas, constituye una prioridad esencial de la Unión Europea. Actualmente, las compañías aéreas y los pasajeros se encuentran en una situación de incertidumbre que ha de remediarse urgentemente. Además, es esencial la protección de los intereses financieros de las partes afectadas».
9.El 31 de marzo de 2004, en virtud del artículo 8 de la Decisión del Consejo, de 28 de junio de 1999, por la que se establecen los procedimientos para el ejercicio de las competencias de ejecución atribuidas a la Comisión,(11) el Parlamento adoptó una resolución en la que expresaba ciertas reservas de orden jurídico sobre este planteamiento. En particular, el Parlamento consideró que el proyecto de Decisión de adecuación excedía las competencias conferidas a la Comisión por el artículo 25 de la Directiva 95/46. Instó a la celebración de un acuerdo internacional apropiado que respetase los derechos fundamentales, y pidió a la Comisión que le sometiese un nuevo proyecto de decisión. Además, se reservó su facultad de solicitar al Tribunal de Justicia la verificación de la legalidad del acuerdo internacional proyectado y, en particular, de la compatibilidad de éste con la protección del derecho al respeto de la vida privada.
10.El 21 de abril de 2004, el Parlamento aprobó, a instancias de su Presidente, una recomendación de la Comisión jurídica y del Mercado Interior con el objeto de solicitar al Tribunal de Justicia, con arreglo al artículo 300CE, apartado 6, un dictamen sobre la compatibilidad del acuerdo proyectado con el Tratado, procedimiento que fue iniciado ese mismo día. El Parlamento decidió igualmente, en la misma fecha, devolver a comisión el informe sobre la propuesta de Decisión del Consejo, lo que suponía implícitamente la denegación, en esta fase, de la solicitud de urgencia del Consejo de 25 de marzo de2004.
11.El 28 de abril de 2004, el Consejo, basándose en el artículo 300CE, apartado 3, párrafo primero, dirigió un escrito al Parlamento solicitándole que emitiera un dictamen sobre la celebración del acuerdo antes del 5 de mayo de 2004. Para justificar la urgencia, el Consejo reprodujo los motivos señalados en su escrito de 25 de marzo de2004.(12)
12.El 30 de abril de 2004, el Secretario del Tribunal de Justicia informó al Parlamento de que éste había fijado el 4 de junio de 2004 como plazo para que los Estados miembros, el Consejo y la Comisión presentaran sus observaciones respecto a la solicitud de dictamen1/04.
13.El 4 de mayo de 2004, el Parlamento denegó la solicitud de urgencia que le había presentado el Consejo el 28 de abril.(13) A los dos días, el Presidente del Parlamento se dirigió al Consejo y a la Comisión instándoles a que suspendieran sus planes hasta que el Tribunal de Justicia hubiese adoptado el dictamen solicitado el 21 de abril de2004.
14.El 14 de mayo de 2004, la Comisión adoptó la Decisión relativa al carácter adecuado de la protección de los datos personales incluidos en los registros de nombres de los pasajeros de vuelos que se transfieren al CBP, de conformidad con el artículo 25, apartado 6, de la Directiva95/46.
15.El 17 de mayo de 2004, el Consejo adoptó la Decisión relativa a la celebración de un Acuerdo entre la Comunidad y los Estados Unidos sobre el tratamiento y la transferencia de los datos PNR por las compañías aéreas alCBP.
16.Mediante escrito de 9 de julio de 2004, el Parlamento informó al Tribunal de Justicia de que retiraba su solicitud de dictamen 1/04.(14) Posteriormente, decidió acudir a la vía contenciosa para resolver las divergencias que mantiene con el Consejo y la Comisión.
II.Marco jurídico de los dos asuntos
A.TratadoUE
17.Con arreglo al artículo 6UE:
«1.La Unión se basa en los principios de libertad, democracia, respeto de los derechos humanos y de las libertades fundamentales y el Estado de Derecho, principios que son comunes a los Estados miembros.
2.La Unión respetará los derechos fundamentales tal y como se garantizan en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales firmado en Roma el 4 de noviembre de 1950, y tal y como resultan de las tradiciones constitucionales comunes a los Estados miembros como principios generales del Derecho comunitario.
[…]»
B.Tratado constitutivo de la Comunidad Europea
18.El artículo 95CE, apartado 1, establece:
«No obstante lo dispuesto en el artículo 94 y salvo que el presente Tratado disponga otra cosa, se aplicarán las disposiciones siguientes para la consecución de los objetivos enunciados en el artículo 14. El Consejo, con arreglo al procedimiento previsto en el artículo 251 y previa consulta al Comité Económico y Social, adoptará las medidas relativas a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros que tengan por objeto el establecimiento y el funcionamiento del mercado interior.»
19.En cuanto al procedimiento de celebración de acuerdos internacionales por la Comunidad, el artículo 300CE, apartado 2, párrafo primero, prevé en su primera frase que «[s]in perjuicio de las competencias reconocidas a la Comisión en este ámbito, la firma […] y la celebración de los acuerdos serán decididas por el Consejo, por mayoría cualificada, a propuesta de la Comisión».
20.El artículo 300CE, apartado 3, tiene el siguiente tenor literal:
«Salvo para los acuerdos contemplados en el apartado 3 del artículo 133, el Consejo concluirá los acuerdos previa consulta al Parlamento Europeo, incluso cuando se trate de un ámbito en el que resulte necesario el procedimiento contemplado en el artículo 251 o el contemplado en el artículo 252 para la adopción de reglas internas. El Parlamento Europeo emitirá su dictamen en un plazo que el Consejo podrá fijar según la urgencia. De no mediar dictamen al término de dicho plazo, el Consejo podrá pronunciarse sin él.
No obstante lo dispuesto en el párrafo anterior, se concluirán previo dictamen conforme del Parlamento Europeo los acuerdos contemplados en el artículo 310 así como los demás acuerdos que creen un marco institucional específico al organizar procedimientos de cooperación, los acuerdos que tengan implicaciones presupuestarias importantes para la Comunidad y los acuerdos que impliquen una modificación de un acto aprobado con arreglo al procedimiento previsto en el artículo251.
En caso de urgencia, el Consejo y el Parlamento Europeo podrán fijar un plazo para la emisión del dictamen conforme.»
C.Derecho europeo en materia de protección de datos personales
21.El artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales (en lo sucesivo, «CEDH») establece:
«1.Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia.
2.No podrá haber injerencia de la autoridad pública en el ejercicio de ese derecho, sino en tanto en cuanto esta injerencia esté prevista por la Ley y constituya una medida que, en una sociedad democrática, sea necesaria para la seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención del delito, la protección de la salud o de la moral, o la protección de los derechos y libertades de los demás.»
22.El Derecho europeo en materia de protección de datos se diseñó inicialmente bajo los auspicios del Consejo de Europa. El Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal quedó así abierto a la firma de los Estados miembros del Consejo de Europa, en Estrasburgo, el 28 de enero de 1981.(15) El fin de este Convenio es garantizar, en el territorio de cada parte, a cualquier persona física, sean cuales fueren su nacionalidad o su residencia, el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carácter personal correspondientes a dicha persona.
23.Por lo que se refiere a la Unión Europea, además del artículo 7 relativo al respeto de la vida privada y familiar, el artículo 8 de la Carta de los derechos fundamentales de la Unión Europea(16) consagra específicamente la protección de los datos de carácter personal. Su tenor literal es el siguiente:
«1.Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan.
2.Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación.
3.El respeto de estas normas quedará sujeto al control de una autoridad independiente.»
24.Por lo que se refiere al Derecho comunitario primario, el artículo 286CE prevé en su apartado 1, que «[a] partir del 1de enero de 1999, los actos comunitarios relativos a la protección de las personas respecto del tratamiento de datos personales y a la libre circulación de dichos datos serán de aplicación a las instituciones y organismos establecidos por el presente Tratado o sobre la base del mismo».(17)
25.En el Derecho comunitario derivado, la norma de base en la materia la constituye la Directiva 95/46.(18) La inspiración que representaron los documentos emanados del Consejo de Europa resulta explícitamente de los considerandos décimo y undécimo de dicha Directiva. El considerando décimo establece, en efecto, que «las legislaciones nacionales relativas al tratamiento de datos personales tienen por objeto garantizar el respeto de los derechos y libertades fundamentales, particularmente del derecho al respeto de la vida privada reconocido en el artículo 8 del [CEDH], así como en los principios generales del Derecho comunitario; […] por lo tanto, la aproximación de dichas legislaciones no debe conducir a una disminución de la protección que garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección dentro de la Comunidad». Además, el considerando undécimo de la Directiva 95/46 señala que «los principios de la protección de los derechos y libertades de las personas y, en particular, del respeto de la intimidad, contenidos en la presente Directiva, precisan y amplían los del Convenio [nº108]».
26.Adoptada sobre la base del artículo 100A del TratadoCE (actualmente artículo 95CE, tras su modificación), la Directiva 95/46 tiene su origen en la idea recogida en el considerando tercero, a cuyo tenor «el establecimiento y funcionamiento del mercado interior […] hacen necesaria no sólo la libre circulación de datos personales de un Estado miembro a otro, sino también la protección de los derechos fundamentales de las personas». Más concretamente, el legislador comunitario partió de la observación de que «las diferencias entre los niveles de protección de los derechos y libertades de las personas y, en particular, de la intimidad, garantizados en los Estados miembros por lo que respecta al tratamiento de datos personales, pueden impedir la transmisión de dichos datos del territorio de un Estado miembro al de otro»,(19) lo cual puede tener por efecto, en particular, que se obstaculice el ejercicio de actividades a escala comunitaria y se falsee la competencia. Además, el legislador comunitario consideró que «para eliminar los obstáculos a la circulación de datos personales, el nivel de protección de los derechos y libertades de las personas, por lo que se refiere al tratamiento de dichos datos, debe ser equivalente en todos los Estados miembros».(20) Este planteamiento debe tener por resultado que, «a causa de la protección equivalente que resulta de la aproximación de las legislaciones nacionales, los Estados miembros ya no podrán obstaculizar la libre circulación entre ellos de datos personales por motivos de protección de los derechos y libertades de las personas físicas, y, en particular, del derecho a la intimidad».(21)
27.El artículo 1 de la Directiva 95/46, que lleva por título «Objeto de la Directiva», recoge dicho planteamiento en los siguientes términos:
«1.Los Estados miembros garantizarán, con arreglo a las disposiciones de la presente Directiva, la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales.
2.Los Estados miembros no podrán restringir ni prohibir la libre circulación de datos personales entre los Estados miembros por motivos relacionados con la protección garantizada en virtud del apartado1.»
28.El artículo 2 de dicha Directiva define, en particular, los conceptos de «datos personales», «tratamiento de datos personales» y «responsable del tratamiento».
29.De este modo, según el artículo 2, letraa), de la Directiva 95/46, se entenderá por datos personales «toda información sobre una persona física identificada o identificable […]; se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social».
30.El tratamiento de tales datos comprende, con arreglo al artículo 2, letrab), de dicha Directiva, «cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción».
31.El artículo 2, letrad), de la Directiva 95/46 define al responsable del tratamiento como «la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales […]».
32.En cuanto al ámbito material de aplicación de la Directiva 95/46, el artículo 3, apartado 1, prevé que sus disposiciones «se aplicarán al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero».
33.El artículo 3, apartado 2, de dicha Directiva da a conocer uno de los límites del ámbito material de aplicación de ésta, al establecerque:
«Las disposiciones de la presente Directiva no se aplicarán al tratamiento de datos personales:
–efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de los títulosV yVI del Tratado de la Unión Europea y, en cualquier caso, al tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal;
[…]»
34.El capítuloII de la Directiva 95/46 está dedicado a las «[c]ondiciones generales para la licitud del tratamiento de datos personales». Dentro de este capítulo, la secciónI versa sobre los «[p]rincipios relativos a la calidad de los datos». El artículo 6 enumera los principios denominados de lealtad, licitud, finalidad, proporcionalidad y exactitud en el tratamiento de datos personales. Dicho artículo establece textualmente:
«1.Los Estados miembros dispondrán que los datos personalessean:
a)tratados de manera leal y lícita;
b)recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dichos fines […];
c)adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente;
d)exactos y, cuando sea necesario, actualizados […];
e)conservados en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente […].
2.Corresponderá a los responsables del tratamiento garantizar el cumplimiento de lo dispuesto en el apartado1.»
35.Por otro lado, la secciónII del capítuloII de dicha Directiva se dedica a los «[p]rincipios relativos a la legitimación del tratamiento de datos». Con arreglo al artículo 7, que forma esta sección:
«Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarsesi:
a)el interesado ha dado su consentimiento de forma inequívoca,o
b)es necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado,o
c)es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento […]»
36.En cuanto a los datos personales comúnmente calificados de sensibles, el artículo 8, apartado 1, enuncia el principio de la prohibición de su tratamiento. En efecto, prevé que «[l]os Estados miembros prohibirán el tratamiento de datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, así como el tratamiento de los datos relativos a la salud o a la sexualidad». Este principio de prohibición conoce, sin embargo, varias excepciones, cuyo contenido y régimen se detallan en los apartados siguientes del mismo artículo.
37.Con arreglo al artículo 13, apartado 1, de la Directiva 95/46, que lleva por título «Excepciones y limitaciones»:
«Los Estados miembros podrán adoptar medidas legales para limitar el alcance de las obligaciones y los derechos previstos en el apartado 1 del artículo 6, en el artículo 10, en el apartado 1 del artículo 11, y en los artículos 12 y 21 cuando tal limitación constituya una medida necesaria para la salvaguardiade:
a)la seguridad del Estado;
b)la defensa;
c)la seguridad pública;
d)la prevención, la investigación, la detección y la represión de infracciones penales o de las infracciones de la deontología en las profesiones reglamentadas;
e)un interés económico y financiero importante de un Estado miembro o de la Unión Europea, incluidos los asuntos monetarios, presupuestarios y fiscales;
f)una función de control, de inspección o reglamentaria relacionada, aunque sólo sea ocasionalmente, con el ejercicio de la autoridad pública en los casos a que hacen referencia las letrasc), d) y e);
g)la protección del interesado o de los derechos y libertades de otras personas.»
38.Del mismo modo, el legislador comunitario ha querido que el régimen protector así establecido no se vea comprometido cuando los datos personales salgan del territorio comunitario. En efecto, se había observado que la dimensión internacional de los flujos de información(22) haría insuficiente, si no inútil, la existencia de una normativa cuya eficacia se limitara estrictamente a dicho territorio. El legislador comunitario ha optado, por tanto, por un sistema que exija, para que se admita la transferencia de datos personales a un país tercero, que dicho país garantice a estos datos un «nivel de protección adecuado».
39.El legislador comunitario establece así la regla según la cual «cuando un país tercero no ofrezca un nivel de protección adecuado debe prohibirse la transferencia al mismo de datos personales».(23)
40.En esta perspectiva, el artículo 25 de la Directiva 95/46 establece los principios a los cuales se someten las transferencias de datos personales a países terceros:
«1.Los Estados miembros dispondrán que la transferencia a un país tercero de datos personales que sean objeto de tratamiento o destinados a ser objeto de tratamiento con posterioridad a su transferencia, únicamente pueda efectuarse cuando, sin perjuicio del cumplimiento de las disposiciones de Derecho nacional adoptadas con arreglo a las demás disposiciones de la presente Directiva, el país tercero de que se trate garantice un nivel de protección adecuado.
2.El carácter adecuado del nivel de protección que ofrece un país tercero se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos; en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.
3.Los Estados miembros y la Comisión se informarán recíprocamente de los casos en que consideren que un tercer país no garantiza un nivel de protección adecuado con arreglo al apartado2.
4.Cuando la Comisión compruebe, con arreglo al procedimiento establecido en el apartado 2 del artículo 31, que un tercer país no garantiza un nivel de protección adecuado con arreglo al apartado 2 del presente artículo, los Estados miembros adoptarán las medidas necesarias para impedir cualquier transferencia de datos personales al tercer país de que se trate.
5.La Comisión iniciará en el momento oportuno las negociaciones destinadas a remediar la situación que se produzca cuando se compruebe este hecho en aplicación del apartado4.
6.La Comisión podrá hacer constar, de conformidad con el procedimiento previsto en el apartado 2 del artículo 31, que un país tercero garantiza un nivel de protección adecuado de conformidad con el apartado 2 del presente artículo, a la vista de su legislación interna o de sus compromisos internacionales, suscritos especialmente al término de las negociaciones mencionadas en el apartado 5, a efectos de protección de la vida privada o de las libertades o de los derechos fundamentales de las personas.
Los Estados miembros adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión.»
41.Por último, procede señalar que, en el marco del títuloVI del Tratado UE, relativo a la cooperación policial y judicial en materia penal, la protección de los datos personales se rige por varios instrumentos específicos. Se trata, en particular, de instrumentos que instauran sistemas de información comunes a nivel europeo, tales como el Convenio de aplicación del Acuerdo de Schengen,(24) que contiene disposiciones específicas sobre la protección de datos en el marco del sistema de información de Schengen (SIS);(25) el Convenio basado en el artículo K.3 del Tratado de la Unión Europea, por el que se crea una Oficina Europea de Policía;(26) la Decisión del Consejo por la que se crea Eurojust(27) y las Normas del Reglamento interno de Eurojust relativas al tratamiento y a la protección de datos personales;(28) el Convenio establecido sobre la base del artículo K.3 del Tratado de la Unión Europea, relativo a la utilización de la tecnología de la información a efectos aduaneros, que contiene normas sobre la protección de datos personales aplicables al Sistema de Información Aduanero,(29) y el Convenio relativo a la asistencia judicial en materia penal entre los Estados miembros de la Unión Europea.(30)
42.El 4 de octubre de 2005, la Comisión presentó una propuesta de Decisión marco del Consejo relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal.(31)
III.Decisiones impugnadas
43.Examinaré las dos decisiones en su orden cronológico de adopción.
A.Decisión de adecuación
44.La Decisión de adecuación fue adoptada por la Comisión sobre la base del artículo 25, apartado 6, de la Directiva 95/46, que, recuérdese, le confiere la facultad de hacer constar que un país tercero garantiza un nivel de protección adecuado de los datos personales.(32) Como señala el segundo considerando de esta Decisión, «[e]n tal caso, pueden transferirse datos personales desde los Estados miembros sin que sea necesaria ninguna garantía adicional».
45.En el undécimo considerando de dicha Decisión, la Comisión indica que «[e]l tratamiento por parte del CBP de los datos personales que contienen los PNR de pasajeros de vuelos que se transfieren a dicho Servicio está regido por las condiciones establecidas en los Compromisos del Servicio de aduanas y protección de fronteras (CBP) del Departamento de Seguridad Interior, de 11 de mayo de 2004 […] así como en la legislación nacional estadounidense en las condiciones que se establecen en dichos Compromisos». La Comisión observa igualmente en el decimocuarto considerando de la misma Decisión que «[l]as normas que aplica el CBP al tratamiento de los datos de los PNR con arreglo a la legislación de su país, así como los Compromisos citados, respetan los principios básicos necesarios para un nivel adecuado de protección de las personas físicas».
46.En consecuencia, el artículo 1 de la Decisión de adecuación disponeque:
«A efectos del apartado 2 del artículo 25 de la Directiva 95/46/CE, se considera que [el CBP] ofrece un nivel adecuado de protección de los datos de PNR que se transfieren desde la Comunidad relativos a vuelos con destino u origen en los Estados Unidos, con arreglo a los Compromisos que figuran en el anexo.»
47.Por otra parte, el artículo 3 de la Decisión de adecuación prevé que los flujos de datos hacia el CBP podrán suspenderse a iniciativa de las autoridades competentes de los Estados miembros en las circunstancias siguientes:
«1.Sin perjuicio de sus facultades para emprender acciones que garanticen el cumplimiento de las normas nacionales adoptadas de conformidad con preceptos diferentes a los contemplados en el artículo 25 de la Directiva 95/46/CE, las autoridades competentes de los Estados miembros podrán ejercer su facultad de suspender los flujos de datos hacia el CBP, a fin de proteger a los particulares contra el tratamiento de sus datos personales, en los casos enque:
a)la autoridad competente de los Estados Unidos compruebe que el CBP ha vulnerado las normas de protección aplicables,o
b)existan grandes probabilidades de que se estén vulnerando las normas de protección expuestas en el anexo, existan razones para creer que el CBP no ha tomado o no tomará las medidas oportunas para resolver el caso en cuestión, se considere que la continuación de la transferencia podría crear un riesgo inminente de grave perjuicio a los afectados, y las autoridades competentes del Estado miembro hayan hecho esfuerzos razonables en estas circunstancias para notificárselo al CBP y proporcionarle la oportunidad de alegar.
2.La suspensión cesará en cuanto esté garantizado el cumplimiento de las normas de protección y ello se haya notificado a las autoridades competentes de los Estados miembros afectados.»
48.Los Estados miembros informarán a la Comisión de las medidas adoptadas conforme al artículo 3 de la Decisión de adecuación. Por lo demás, los Estados miembros y la Comisión, en virtud del artículo 4, apartado 2, de esta Decisión, se informarán recíprocamente de cualquier cambio en las normas de protección y de aquellos casos en que dichas normas resulten insuficientemente garantizadas. A raíz de estos intercambios, el artículo 4, apartado 3, de la Decisión de adecuación prevé que «[s]i la información recogida con arreglo al artículo 3 y a los apartados 1 y 2 del presente artículo demuestra que los principios básicos necesarios para un nivel adecuado de protección de las personas físicas no están siendo respetados, o que los organismos responsables del cumplimiento por parte del CBP de las normas de protección que figuran en el anexo no están ejerciendo su función, se lo notificará al CBP y, si procede, será de aplicación el procedimiento previsto en el apartado 2 del artículo 31 de la Directiva 95/46/CE, a fin de anular o suspender la presente Decisión».
49.Además, el artículo 5 de la Decisión de adecuación establece que el funcionamiento de ésta será objeto de supervisión, y prevé que «el Comité creado por el artículo 31 de la Directiva 95/46/CE será informado de cualquier hecho pertinente».
50.Por otra parte, el artículo 7 de la Decisión de adecuación indica que ésta «expirará tres años y seis meses después de la fecha de su notificación, salvo que la Decisión sea prorrogada con arreglo al procedimiento expuesto en el apartado 2 del artículo 31 de la Directiva 95/46/CE».
51.En anexo a dicha Decisión se adjuntan los Compromisos del CBP, que indican en su introducción tener por objeto «apoyar el proyecto» de la Comisión destinado a reconocer que los datos transferidos al CBP gozan de una protección adecuada. En sus propios términos, estos Compromisos, que comportan una totalidad de 48 puntos, «no crean ni confieren ningún derecho o beneficio a ninguna persona o parte, privada o pública».(33)
52.Indicaré, a lo largo de mi razonamiento, el contenido esencial de los Compromisos relevantes para la solución del litigio.
53.Por último, la Decisión de adecuación contiene un anexo «A» que enumera 34 rúbricas de datos PNR solicitados por el CBP a las compañías aéreas.(34)
54.Esta Decisión de la Comisión se completa con la Decisión del Consejo de celebrar un acuerdo internacional entre la Comunidad Europea y los Estados Unidos.
B.Decisión del Consejo
55.La Decisión del Consejo fue adoptada sobre la base del artículo 95CE, en relación con el artículo 300CE, apartado 2, párrafo primero, primera frase.
56.Su primer considerando indica que «[e]l 23 de febrero de 2004 el Consejo autorizó a la Comisión a negociar, en nombre de la Comunidad, un Acuerdo con los Estados Unidos sobre el tratamiento y la transferencia de los datos de los expedientes de los pasajeros por las compañías aéreas al [CBP]».(35) El segundo considerando de esta Decisión menciona, por su parte, el hecho de que «[e]l Parlamento Europeo no ha emitido aún un dictamen dentro del plazo establecido, con arreglo al primer párrafo del apartado 3 del artículo 300 del Tratado, por el Consejo en vista de la urgente necesidad de poner remedio a la situación de incertidumbre en la que se encontraron aerolíneas y pasajeros, así como de la protección de los intereses financieros de las personas interesadas».
57.Con arreglo al artículo 1 de la Decisión del Consejo, el Acuerdo queda aprobado en nombre de la Comunidad. Además, el artículo 2 de dicha Decisión autoriza al Presidente del Consejo a designar a la persona o las personas facultadas para firmar el Acuerdo en nombre de la Comunidad.
58.El texto del Acuerdo se anexa a la Decisión del Consejo. El artículo 7 de dicho Acuerdo prevé que éste entrará en vigor en el momento de su firma. Con arreglo a este artículo, el Acuerdo, firmado en Washington el 28 de mayo de 2004, entró en vigor este mismo día.(36)
59.En el preámbulo del Acuerdo, la Comunidad y los Estados Unidos reconocen «la importancia de respetar los derechos y libertades fundamentales, en particular la intimidad, y la importancia de respetar estos valores al tiempo que se previene y combate el terrorismo y los delitos relacionados con el terrorismo y otros delitos graves de carácter transnacional, incluido el crimen organizado».
60.El preámbulo del Acuerdo hace referencia a los siguientes textos: la Directiva 95/46, y, en particular, su artículo 7, letrac), los Compromisos del CBP, así como la Decisión de adecuación.(37)
61.Las partes contratantes observan igualmente que «las compañías aéreas con sistemas de control de reservas/salidas situados en el territorio de los Estados miembros de la Comunidad Europea deberán organizar la transmisión de los datos de los expedientes de los pasajeros a la CBP tan pronto como esta operación sea técnicamente factible, pero que, hasta entonces, las autoridades de los Estados Unidos deberán estar autorizadas a acceder directamente a los datos, de conformidad con las disposiciones del presente Acuerdo».(38)
62.En este sentido, el apartado 1 del Acuerdo prevé que «la CBP podrá acceder de forma electrónica a los datos de los expedientes de los pasajeros procedentes de los sistemas de control de reservas/salidas de las compañías aéreas […] situados en el territorio de los Estados miembros de la Comunidad Europea, respetando estrictamente las disposiciones de la Decisión [(39)] y mientras la Decisión sea aplicable, y sólo hasta que se haya establecido un sistema satisfactorio para la transmisión de esos datos por las compañías aéreas».
63.Como complemento de la facultad así acordada al CBP para acceder directamente a los datos PNR, el apartado 2 del Acuerdo impone a las compañías aéreas que efectúan vuelos de pasajeros en líneas de transporte aéreo con el extranjero con punto de origen o de destino en los Estados Unidos que traten los datos de los expedientes de los pasajeros incluidos en sus sistemas informatizados de reserva «de conformidad con lo requerido por la CBP en virtud [de] la legislación de los Estados Unidos y respetando estrictamente las disposiciones de la Decisión [(40)] y mientras la Decisión sea aplicable».
64.Por otra parte, en el apartado 3 del Acuerdo se señala que el CBP «toma nota» de la Decisión de adecuación y «declara que está aplicando los Compromisos adjuntos a la misma». Además, el apartado 4 de dicho Acuerdo prevé que el «CBP tratará los datos recibidos de los expedientes de los pasajeros y a los titulares de esos datos afectados por el tratamiento de los mismos de conformidad con la legislación y los requisitos constitucionales de los Estados Unidos, sin discriminación contraria a la ley, en particular por razón de la nacionalidad y el país de residencia».
65.Además, el CBP y la Comunidad se comprometen a supervisar conjunta y regularmente la aplicación del Acuerdo.(41) Este último prevé igualmente que «[e]n el caso de que en la Unión Europea se aplique un sistema de identificación de los pasajeros de las compañías aéreas que requiera que estas últimas proporcionen a las autoridades acceso a los datos de los expedientes de los pasajeros para personas cuyo itinerario de viaje incluya un vuelo con punto de origen o de destino en la Unión Europea, el Departamento de seguridad nacional [Department of Homeland Security], en la medida en que sea factible y sobre una base de estricta reciprocidad, promoverá activamente la cooperación de las compañías aéreas dentro de su jurisdicción».(42)
66.Además, aparte de prever que el Acuerdo entrará en vigor en el momento de su firma, el apartado 7 del mismo establece que cualquiera de las partes podrá denunciar dicho Acuerdo en todo momento. En este caso, la denuncia surtirá efecto noventa días después de la fecha de denuncia a la otra parte. También se prevé, en el mismo apartado, que el Acuerdo podrá ser modificado en todo momento mediante consentimiento recíproco por escrito.
67.Por último, el apartado 8 del Acuerdo dispone que «[e]l presente Acuerdo no tiene por objeto derogar o modificar la legislación de las Partes ni crear o conferir derechos o beneficios a ninguna otra persona o entidad, privada o pública».
IV.Motivos invocados por el Parlamento en los dos asuntos
68.En el asunto C‑317/04, el Parlamento invoca seis motivos contra la Decisión del Consejo:
–Elección errónea del artículo 95CE como base jurídica.
–Infracción del artículo 300CE, apartado 3, párrafo segundo, debido a una modificación de la Directiva 95/46.
–Vulneración del derecho a la protección de los datos personales.
–Violación del principio de proporcionalidad.
–Motivación insuficiente de la Decisión controvertida.
–Violación del principio de cooperación leal previsto en el artículo 10CE.
69.Se admitió la intervención del Reino Unido de Gran Bretaña e Irlanda del Norte así como de la Comisión en apoyo de las pretensiones del Consejo.(43) Además, se admitió la intervención del Supervisor Europeo de Protección de Datos (en lo sucesivo, «SEPD») en apoyo de las pretensiones del Parlamento.(44)
70.En el asunto C‑318/04, el Parlamento invoca cuatro motivos contra la Decisión de adecuación:
–Desviación de poder.
–Violación de los principios esenciales de la Directiva 95/46.
–Vulneración de derechos fundamentales.
–Violación del principio de proporcionalidad.
71.Se admitió la intervención del Reino Unido en apoyo de las pretensiones de la Comisión.(45) Además, se admitió la intervención del SEDP en apoyo de las pretensiones del Parlamento.(46)
72.Analizaré ambos recursos en el orden en que fueron respectivamente adoptadas las Decisiones impugnadas. Examinaré, por tanto, en primer lugar, el recurso por el que se solicita la anulación de la Decisión de adecuación (asunto C‑318/04) y, en segundo lugar, el recurso por el que se solicita la anulación de la Decisión del Consejo (asunto C‑317/04).
V.Sobre el recurso por el que se solicita la anulación de la Decisión de adecuación (asunto C‑318/04)
A.Sobre el motivo basado en que la Comisión incurrió en desviación de poder al adoptar la Decisión de adecuación
1.Alegaciones de las partes
73.En apoyo de este recurso, el Parlamento aduce, en primer lugar, que la Decisión de adecuación, en la medida en que persigue un fin relacionado con la seguridad pública y de carácter jurídico penal, infringe la Directiva 95/46, puesto que trata de una cuestión excluida del ámbito material de aplicación de dicha Directiva. El artículo 3, apartado 2, primer guión, de la Directiva 95/46 prevé expresamente esta exclusión y no se presta a ningún tipo de interpretación que pueda reducir su alcance. El hecho de que los datos personales hayan sido recabados en el ejercicio de una actividad económica, a saber, la venta de un billete de avión que da derecho a una prestación de servicios, no puede justificar la aplicación de dicha Directiva, y, en particular, de su artículo 25, a una materia excluida de su ámbito de aplicación.
74.En segundo lugar, el Parlamento alega que el CBP no es un país tercero en el sentido del artículo 25 de la Directiva 95/46. Pues bien, este artículo, en su apartado 6, establece que la Comisión puede hacer constar en una Decisión el nivel de protección adecuado de los datos personales en un «país tercero», esto es, un Estado o entidad semejante, y no una unidad o un organismo administrativo que forme parte del poder ejecutivo de un Estado.
75.En tercer lugar, el Parlamento considera que la adopción por la Comisión de la Decisión de adecuación constituye desviación de poder en la medida en que los Compromisos que figuran en su anexo permiten expresamente la transmisión por parte del CBP de los datos PNR a otras autoridades gubernamentales norteamericanas o extranjeras.
76.En cuarto lugar, el Parlamento estima que la Decisión de adecuación implica determinadas limitaciones y excepciones a los principios que figuran en la Directiva 95/46, cuando el artículo 13 de ésta reserva tal facultad únicamente a los Estados miembros. En este sentido, al adoptar la Decisión de adecuación, la Comisión sustituyó a los Estados miembros e infringió, como consecuencia, el artículo 13 de dicha Directiva. Mediante un acto de ejecución de la Directiva 95/46, la Comisión se arrogó competencias estrictamente reservadas a los Estados miembros.
77.En quinto lugar, el Parlamento formula la alegación de que el hecho de facilitar el acceso a los datos mediante el sistema «pull» (extracción) no constituye una «transferencia» en el sentido del artículo 25 de la Directiva 95/46, y, por tanto, no puede admitirse.
78.En último lugar, habida cuenta de la relación de interdependencia entre la Decisión de adecuación y el Acuerdo, dicha Decisión debe ser considerada, a juicio de esta institución, una medida inadecuada con vistas a imponer la transferencia de datosPNR.
79.A diferencia del Parlamento, el SEPD estima que el hecho de que se facilite el acceso a los datos a una persona o institución de un país tercero puede considerarse constitutivo de transferencia y, por tanto, el artículo 25 de la Directiva 95/46 es aplicable. Considera que restringir el concepto a una transferencia realizada por el emisor permite eludir los requisitos establecidos en este artículo y puede causar perjuicios a la protección de datos reconocida en dicho artículo.
80.La Comisión, apoyada por el Reino Unido, opina que las actividades de las compañías aéreas entran dentro del ámbito de aplicación del Derecho comunitario y que, en consecuencia, la Directiva resulta totalmente aplicable. El régimen establecido en el marco de la transferencia de datos PNR no tiene por objeto las actividades de un Estado miembro o de autoridades públicas que no entran dentro del ámbito de aplicación del Derecho comunitario.
81.Además, la Comisión señala que el Acuerdo que acompaña a la Decisión de adecuación fue firmado en nombre de los Estados Unidos y no en nombre de un servicio gubernamental. Por lo que se refiere a las transferencias posteriores de datos PNR por el CBP, la Comisión estima que la protección de los datos personales no es incompatible con la autorización de tales transferencias, siempre que éstas se sometan a restricciones adecuadas y necesarias.
82.Por último, la Comisión observa que el artículo 13 de la Directiva 95/46 no es pertinente en el presente asunto, y que la «transferencia», en el sentido del artículo 25 de dicha Directiva, consiste en que las compañías aéreas faciliten activamente al CBP el acceso a los datos PNR. Por lo tanto, el sistema examinado implica claramente, afirma la Comisión, una transferencia de datos en el sentido de la Directiva 95/46.
2.Apreciación
83.Mediante este primer motivo, el Parlamento sostiene que la Decisión de adecuación infringe la Directiva 95/46, y, en particular, los artículos 3, apartado 2, 13 y 25 de la misma. Alega concretamente que esta Decisión no podía fundarse válidamente en el acto de base que constituye dicha Directiva.
84.Como ya he indicado, la Directiva 95/46 tiene por fin, con vistas al establecimiento y al funcionamiento del mercado interior, eliminar los obstáculos a la libre circulación de datos personales haciendo equivalente en los Estados miembros el nivel de protección de los derechos y libertades de las personas en lo que se refiere al tratamiento de dichos datos.
85.El legislador comunitario ha querido igualmente que el régimen protector así instaurado no se vea comprometido cuando los datos personales salgan del territorio comunitario. Por consiguiente, ha optado por un sistema que exige que, para que pueda admitirse la transferencia de datos personales a un país tercero, dicho país garantice un nivel de protección adecuado de estos datos. En este sentido, la Directiva 95/46 establece el principio según el cual, cuando un país tercero no ofrezca este nivel de protección adecuado, debe prohibirse la transferencia de datos personales a estepaís.
86.El artículo 25 de dicha Directiva impone a los Estados miembros y a la Comisión una serie de obligaciones dirigidas a controlar las transferencias de datos personales a países terceros, teniendo en cuenta el nivel de protección que dispensa cada uno de estos países a tales datos. Igualmente, prevé el método y los criterios que permiten considerar que un país tercero garantiza un nivel de protección adecuado a los datos personales que le son transferidos.
87.El Tribunal de Justicia ha calificado el régimen relativo a la transferencia de datos personales a países terceros como un «régimen especial, con normas específicas, dirigido a garantizar un control, por parte de los Estados miembros, de las transferencias de datos personales hacia países terceros». El Tribunal de Justicia ha añadido, además, que se trata de «un régimen complementario del régimen general que establece el capítuloII de la citada Directiva, relativo a la licitud de los tratamientos de datos personales».(47)
88.La especificidad de las normas que regulan la transferencia de datos personales a países terceros se explica en gran medida por el papel clave desempeñado por el concepto de protección adecuada. Con el fin de delimitar el alcance de este concepto, procede distinguirlo nítidamente del concepto de protección equivalente, que exige que el país tercero reconozca y aplique efectivamente todos los principios enunciados en la Directiva 95/46.
89.El concepto de protección adecuada implica que el país tercero deberá poder garantizar una protección apropiada, según un modelo que se juzgue aceptable desde el punto de vista del grado de protección de los datos personales. Tal sistema, basado en el carácter adecuado de la protección garantizada por un país tercero, deja un amplio margen de apreciación a los Estados miembros y a la Comisión en sus respectivas evaluaciones sobre las garantías que se aplican en el país de destino de estos datos. Esta apreciación está orientada por el artículo 25, apartado 2, de la Directiva 95/46, que enumera algunos de los factores que pueden entrar en consideración a efectos de dicha evaluación.(48) En esta perspectiva, la norma que impone el legislador comunitario es que «[e]l carácter adecuado del nivel de protección que ofrece un país tercero se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos».
90.Como ya ha declarado el Tribunal de Justicia, la Directiva 95/46 no define el concepto de «transferencia a un país tercero».(49) No aclara, en particular, si el concepto se refiere solamente a la acción mediante la cual el responsable del tratamiento comunica activamente datos personales a un país tercero, o si se extiende al caso en que una entidad de un país tercero esté autorizada a acceder a datos que se encuentran en un Estado miembro. Esta Directiva guarda, por tanto, silencio sobre cuál es el método con arreglo al que puede efectuarse una transferencia de datos a un país tercero.
91.Contrariamente al Parlamento, estimo que, en el presente asunto, el acceso a los datos PNR del que dispone el CBP entra dentro del concepto de «transferencia a un país tercero». En efecto, el factor determinante que caracteriza tal transferencia es, en mi opinión, la circulación de datos desde un Estado miembro hacia un país tercero, en el presente caso, los Estados Unidos.(50) A este respecto, no es relevante que la transferencia haya sido efectuada por el emisor o por el receptor. Como señala el SEPD, si el alcance del artículo 25 de la Directiva 95/46 estuviese limitado a las transferencias que realiza el emisor, resultaría fácil eludir los requisitos establecidos en este artículo.
92.Hecha esta aclaración, procede sin embargo insistir en el hecho de que el capítuloIV de dicha Directiva, en el que figura el citado artículo 25, no tiene por objeto regular todas las transferencias de datos personales, de cualquier naturaleza, a los países terceros. Sólo incluye, conforme al artículo 25, apartado 1, de la Directiva, la transferencia de datos «que sean objeto de tratamiento o destinados a ser objeto de tratamiento con posterioridad a su transferencia».
93.Cabe recordar al respecto que, con arreglo al artículo 2, letrab), de la Directiva 95/46, constituye tratamiento de datos personales «cualquier operación o conjunto de operaciones […] aplicadas a datos personales, como la recogida, registro, […] consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos […]».(51)
94.Cualquiera que sea su especificidad, que descansa en gran medida, como ya he señalado, en el concepto de adecuación, el régimen que rige la transferencia de datos personales a países terceros está supeditado al cumplimiento de las normas relativas al ámbito de aplicación de la Directiva 95/46 del que forma parte.(52)
95.Asimismo, para estar cubierta por las disposiciones del artículo 25 de la Directiva 95/46, una transferencia a un país tercero deberá tener por objeto datos personales, cuyo tratamiento, ya sea llevado a cabo actualmente en el seno de la Comunidad, ya esté meramente previsto en un país tercero, entre dentro del ámbito de aplicación de dicha Directiva. Sólo si se cumple este requisito podrá afirmarse que una Decisión de adecuación constituye un acto de ejecución válido de la Directiva 95/46.
96.A este respecto, ha de recordarse que, desde un punto de vista material, dicha Directiva no se aplica a todos los tratamientos de datos personales que puedan entrar dentro de una de las categorías de operaciones previstas en su artículo 2, letrab). En efecto, el artículo 3, apartado 2, primer guión, de la Directiva 95/46 dispone que ésta no se aplicará al tratamiento de datos personales que sea «efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de los títulosV y VI del Tratado de la Unión Europea y, en cualquier caso, al tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal».(53)
97.Ahora bien, considero que la consulta, la utilización por el CBP y el hecho de facilitar el acceso de éste a los datos de los pasajeros de vuelos que provengan de sistemas de reserva de compañías aéreas situadas en el territorio de los Estados miembros constituyen tratamientos de datos personales que tienen por objeto la seguridad pública y se refieren a actividades del Estado en materia penal. Por consiguiente, este tipo de tratamiento se encuentra excluido del ámbito de aplicación material de la Directiva 95/46.
98.Los términos empleados en la Decisión de adecuación muestran el objetivo de los tratamientos a los que se someten los datos personales de los pasajeros de los vuelos. En este sentido, tras indicar que los requisitos relativos a la transferencia al CBP de los datos personales incluidos en los PNR de pasajeros de vuelos se basan en una ley promulgada por los Estados Unidos en noviembre de 2001 y en los reglamentos de aplicación aprobados por el CBP con arreglo a la mencionada ley,(54) la Comisión aclara que uno de los objetivos de la legislación estadounidense es «reforzar la seguridad».(55) Se afirma igualmente que «[l]a Comunidad está plenamente comprometida con el respaldo a los Estados Unidos en la lucha contra el terrorismo, dentro de los límites fijados por el Derecho comunitario».(56)
99.Además, el decimoquinto considerando de la Decisión de adecuación dispone que «los datos de los PNR se utilizarán estrictamente para los fines de prevención y lucha contra el terrorismo y delitos conexos, otros delitos graves, incluida la delincuencia organizada, que tengan un carácter transnacional y la fuga en caso de orden de arresto o detención por estos delitos señalados».
100.La Directiva 95/46, y en particular su artículo 25, apartado 6, no puede, en mi opinión, constituir un fundamento adecuado para la adopción por parte de la Comisión de un acto de ejecución como es una decisión relativa al nivel de protección adecuado de los datos personales que sean objeto de tratamientos expresamente excluidos de su ámbito de aplicación. Autorizar, sobre la base de dicha Directiva, las transferencias de estos datos equivaldría de hecho a extender de modo indirecto el ámbito de aplicación deésta.
101.Pues bien, ha de tenerse presente que la Directiva 95/46, adoptada con arreglo al artículo 100A del Tratado CE, enuncia los principios de protección que deben aplicarse a los tratamientos de datos personales cuando las actividades del responsable del tratamiento entran dentro del ámbito de aplicación del Derecho comunitario, pero que, debido precisamente a la elección de su base jurídica, no es apta para regir actividades del Estado tales como las que se refieren a la seguridad pública o las que persiguen fines represivos, que no entran dentro del ámbito de aplicación de Derecho comunitario.(57)
102.Es cierto que el tratamiento que consiste en la recogida y el registro de datos de los pasajeros por parte de las compañías aéreas tiene, en general, una finalidad comercial en la medida en que está directamente vinculado al desarrollo del vuelo realizado por la compañía aérea. Además, es correcto considerar que los datos PNR son inicialmente recogidos por las compañías aéreas en el marco de una actividad que entra dentro del Derecho comunitario, esto es, la venta de un billete de avión que da derecho a la prestación de un servicio. Sin embargo, el tratamiento de datos que se tiene en cuenta en la Decisión de adecuación posee una naturaleza muy distinta, ya que incluye una fase posterior a la recogida inicial de datos. En efecto, consiste, como ya he señalado, en la consulta, la utilización por el CBP y el hecho de facilitar el acceso de este último a los datos de los pasajeros de vuelos que provengan de sistemas de reserva de compañías aéreas situadas en el territorio de los Estados miembros.
103.En realidad, la Decisión de adecuación no contempla un tratamiento de datos necesario para la realización de una prestación de servicios, sino considerado necesario para la salvaguardia de la seguridad pública y a efectos represivos. Ésta es exactamente la finalidad de la transferencia y del tratamiento de los que son objeto los datos PNR. Por consiguiente, el hecho de que los datos personales hayan sido recogidos en el ejercicio de una actividad económica no puede, a mi juicio, justificar la aplicación de la Directiva 95/46, y en particular el artículo 25 de ésta, a una materia excluida de su ámbito de aplicación.
104.A mi juicio, estos elementos son suficientes para considerar, como pone de relieve el Parlamento, que la Comisión no disponía, en virtud del artículo 25 de la Directiva 95/46, de facultades para adoptar una decisión relativa al nivel de protección adecuado de los datos personales transferidos en el marco y con vistas a un tratamiento excluido expresamente del ámbito de aplicación de dicha Directiva.(58)
105.Esta Decisión de adecuación infringe, por tanto, el acto de base que constituye la Directiva 95/46, y en particular su artículo 25, que no es una base jurídica adecuada. Estimo, por esta razón, que dicha Decisión debe ser anulada.
106.Además, en la medida en que considero que la Decisión de adecuación queda fuera del ámbito de aplicación de la Directiva 95/46, no me parece pertinente examinar esta Decisión a la luz de los principios esenciales previstos en dicha Directiva, como solicita el Parlamento mediante su segundo motivo.(59) Por tanto, estimo que no ha lugar a examinar este segundo motivo.
107.Los motivos tercero y cuarto del presente recurso, que sólo abordaré con carácter subsidiario, no pueden, a mi juicio, ser analizados de forma separada, ya que la comprobación de una eventual vulneración de derechos fundamentales por la Decisión de adecuación comprende necesariamente una evaluación del cumplimiento del principio de proporcionalidad por este acto a la luz del objetivo que persigue. Por tanto, propongo al Tribunal de Justicia que examine conjuntamente el tercer y cuarto motivos.
B.Sobre los motivos basados en la vulneración de derechos fundamentales y en la violación del principio de proporcionalidad
108.El Parlamento alega que la Decisión de adecuación vulnera el derecho a la protección de los datos personales, tal como se garantiza en el artículo 8 delCEDH. Más concretamente, teniendo en cuenta los requisitos establecidos en este artículo, dicha institución estima que dicha Decisión constituye una injerencia en la vida privada que no puede considerarse prevista en la ley, ya que se trata de una medida que no es ni accesible ni previsible. Además, el Parlamento estima que dicha medida no es proporcionada al fin que persigue, habida cuenta especialmente del excesivo número de datos PNR que se solicitan y de la excesiva duración de conservación de estos datos.
109.En el recurso interpuesto en el asunto C‑317/04, que tiene por objeto la anulación de la Decisión del Consejo, el Parlamento invoca estos dos mismos motivos y formula en su apoyo alegaciones que, en gran parte, se superponen. Estimo que los motivos que se formulan en los dos asuntos de que conoce el Tribunal de Justicia deben ser objeto de un único examen que me parece pertinente efectuar en el marco del análisis que dedico al asunto C‑317/04.
110.En efecto, resulta de las alegaciones expuestas por las partes en sus escritos que es imposible concebir separadamente, a la luz del derecho al respeto de la vida privada, los elementos de los que se compone el régimen relativo al tratamiento de los datos PNR por parte del CBP,(60) que son el Acuerdo tal como fue aprobado por la Decisión del Consejo, la Decisión de adecuación y los Compromisos del CBP que figuran en anexo a dicha Decisión de la Comisión. Además, las partes se remiten en múltiples ocasiones a uno u otro de estos actos para fundamentar sus argumentos.
111.La interdependencia entre estos tres componentes del régimen PNR se desprende explícitamente de los propios términos del Acuerdo. En efecto, el preámbulo del Acuerdo se refiere tanto a los Compromisos del CBP como a la Decisión de adecuación. A continuación, el apartado 1 del Acuerdo estipula que el CBP podrá acceder a los datos PNR «respetando estrictamente las disposiciones de la Decisión [de adecuación] y mientras la Decisión sea aplicable […]». Igualmente, si bien, según el apartado 2 de dicho Acuerdo, las compañías aéreas que allí se designan deberán tratar los datos PNR «de conformidad con lo requerido por la CBP en virtud con la legislación de los Estados Unidos», es también «respetando estrictamente las disposiciones de la Decisión [de adecuación] y mientras la Decisión sea aplicable». Por último, el apartado 3 del Acuerdo dispone que el «CBP toma nota de la Decisión [de adecuación] y declara que está aplicando los Compromisos adjuntos a la misma».
112.De todos estos elementos resulta que el derecho de acceso a los datos PNR que confiere el Acuerdo al CBP, así como la obligación de tratamiento de dichos datos, que incumbe a las compañías aéreas designadas en dicho Acuerdo, están sujetos a una estricta y efectiva aplicación de la Decisión de adecuación.
113.La interdependencia que existe entre los tres componentes del régimen PNR, así como el hecho de que el Parlamento haya invocado los motivos basados en la vulneración de derechos fundamentales y en la violación del principio de proporcionalidad en los dos asuntos de los que conoce el Tribunal de Justicia, me conducen a pensar que estos motivos tienen por objeto que este último declare la incompatibilidad del régimen PNR, en sus tres componentes, con el derecho al respeto de la vida privada garantizado en el artículo 8 delCEDH. En mi opinión, sería artificial examinar la Decisión de adecuación sin tener en cuenta el Acuerdo que impone determinadas obligaciones a las compañías aéreas y, en sentido inverso, examinar este Acuerdo sin tomar en consideración los otros textos aplicables a los que éste hace expresamente referencia.
114.Teniendo en cuenta el hecho de que el sistema está compuesto por varios elementos indisociables, el análisis no debe, pues, fragmentarse de forma artificial.
115.La injerencia en la vida privada, desde este punto de vista, está constituida por el conjunto que forman el Acuerdo aprobado mediante la Decisión del Consejo, la Decisión de adecuación y los Compromisos del CBP. Para examinar si dicha injerencia está prevista en la ley, persigue un fin legítimo y es necesaria en una sociedad democrática, se requiere igualmente tomar en consideración, en su conjunto, el mecanismo «a tres velocidades» así instaurado, como hace el Parlamento en sus dos recursos. Con el fin de disponer de una visión global del régimen PNR, procederé a este examen en el marco del recurso por el que se solicita la anulación de la Decisión del Consejo.
VI.Sobre el recurso por el que se solicita la anulación de la Decisión del Consejo (asunto C‑317/04)
A.Sobre el motivo basado en la elección errónea del artículo 95CE como base jurídica de la Decisión del Consejo
1.Alegaciones de las partes
116.El Parlamento Europeo alega que el artículo 95CE no constituye la base jurídica adecuada para la Decisión del Consejo. Afirma que ésta no tiene como fin ni como contenido el establecimiento y el funcionamiento del mercado interior. Sostiene que la Decisión del Consejo tiene más bien como objetivo la legalización del tratamiento de datos personales impuesto por la legislación estadounidense a las compañías aéreas establecidas en el territorio de la Comunidad. Esta Decisión no indica en qué medida esta legalización de las transferencias de datos a un país tercero contribuye al establecimiento o al funcionamiento del mercado interior.
117.Según el Parlamento, el contenido de la Decisión del Consejo tampoco justifica que se invoque el artículo 95CE como base jurídica. Esta Decisión establece el derecho de acceso del CBP al sistema de reservas de las compañías aéreas sobre el territorio de la Comunidad, y ello con vistas a la realización de vuelos entre los Estados Unidos y los Estados miembros, de acuerdo con la legislación estadounidense, y en el marco de la prevención y la lucha contra el terrorismo. Pues bien, el artículo 95CE no es aplicable para la consecución de estos fines.
118.Finalmente, el Parlamento añade que el artículo 95CE no puede constituir el fundamento de la competencia de la Comunidad para celebrar el Acuerdo en cuestión, puesto que éste se refiere a tratamientos de datos efectuados con fines de seguridad pública y, por tanto, excluidos del ámbito de aplicación de la Directiva 95/46, que se basa en dicho artículo del Tratado.
119.No obstante, el Consejo estima que su Decisión se basó correctamente en el artículo 95CE. Según él, el artículo 95CE puede servir de base a medidas que tengan por objeto garantizar que no se falseen las condiciones de competencia en el mercado interior. A este respecto, sostiene que mediante el Acuerdo se persigue la eliminación de cualquier distorsión de la competencia entre las compañías aéreas de los Estados miembros y entre éstas y las compañías de los países terceros, que se pueden producir, en función de las exigencias estadounidenses, por razones relativas a la protección de los derechos y libertades individuales. Las condiciones de competencia entre las compañías de los Estados miembros que presten un servicio de transporte internacional de pasajeros con destino o salida de los Estados Unidos podrían ser falseadas si solamente algunas de ellas permitieran a las autoridades estadounidenses el acceso a sus bases de datos.
120.En el mismo orden de ideas, el Consejo subraya, por una parte, que las compañías aéreas que no se hubieran atenido a las exigencias estadounidenses habrían podido verse obligadas a pagar multas impuestas por las autoridades estadounidenses, sufrir retrasos en sus vuelos y perder pasajeros en beneficio de otras compañías aéreas que sí hubieran firmado acuerdos con los Estados Unidos. Por otra parte, algunos Estados miembros habrían podido sancionar a las compañías aéreas que hubieran transferido los datos personales de que se trata, mientras que otros Estados miembros no habrían reaccionado necesariamente de la misma manera.
121.En estas circunstancias, y a falta de una legislación común sobre el acceso de las autoridades norteamericanas a los datos PNR, el Consejo estima que las condiciones de competencia corrían el riesgo de verse falseadas y que la unidad del mercado interior se habría quebrado gravemente. Por tanto, a su juicio, era necesario establecer las condiciones armonizadas que regulasen el acceso de las autoridades norteamericanas a los datos PNR, salvaguardando al mismo tiempo las exigencias comunitarias en lo que atañe al respeto de los derechos fundamentales. Se trataba de imponer a todas las compañías afectadas obligaciones armonizadas y del aspecto externo del establecimiento y del funcionamiento del mercado interior.
122.Por último, el Consejo destaca que el Acuerdo fue celebrado tras la Decisión de adecuación, adoptada en virtud del artículo 25, apartado 6, de la Directiva 95/46. En su opinión, era pues normal y correcto fundamentar la Decisión por la que se celebró el Acuerdo en la misma base jurídica que la de dicha Directiva, esto es, el artículo 95CE.
123.En su escrito de formalización de la intervención, la Comisión subraya que las disposiciones del preámbulo ponen de manifiesto que para los Estados Unidos el objetivo primordial es la lucha contra el terrorismo, mientras que para la Comunidad el fin principal es el mantenimiento de los elementos principales de su normativa sobre la protección de datos personales.
124.La Comisión señala que, aunque critica la elección del artículo 95CE como base jurídica de la Decisión del Consejo, el Parlamento no propone ninguna alternativa válida. Según la Comisión, este artículo es la base jurídica «natural» de la Decisión del Consejo, en la medida en que la dimensión externa de la protección de los datos personales debe basarse en el artículo del Tratado en el que se apoya la medida interna que constituye la Directiva 95/46, máxime cuando este aspecto externo está explícitamente previsto en los artículos 25 y 26 de dicha Directiva. Además, teniendo en cuenta el estrecho vínculo y la interdependencia entre el Acuerdo, la Decisión de adecuación y los Compromisos del CBP, el artículo 95CE resulta ser la base jurídica adecuada. En cualquier caso, la Comisión sostiene que el Consejo tenía facultad para celebrar el Acuerdo sobre la base de este artículo, ya que la Directiva 95/46 habría quedado afectada en el sentido de la jurisprudencia AETR,(61) si los Estados miembros hubiesen celebrado tal Acuerdo, de forma separada o conjunta, fuera del marco comunitario.
125.Finalmente, la Comisión alega que el tratamiento inicial de los datos en cuestión por parte de las compañías aéreas se efectúa con un fin comercial, y que la utilización que hacen de estos datos las autoridades estadounidenses no les permite eludir la incidencia de la Directiva 95/46.
2.Apreciación
126.Mediante su primer motivo, el Parlamento solicita al Tribunal de Justicia que dilucide si el artículo 95CE constituye la base jurídica apropiada para fundamentar la Decisión del Consejo relativa a la celebración por la Comunidad de un acuerdo internacional como el controvertido en el presente asunto. Para responder a esta cuestión, procede aplicar la reiterada jurisprudencia del Tribunal de Justicia conforme a la cual la elección de la base jurídica de un acto comunitario debe fundarse en elementos objetivos susceptibles de control judicial, entre los que figuran, en particular, el fin y el contenido del acto.(62) En efecto, «en el marco del sistema de competencias de la Comunidad, la elección de la base jurídica de un acto no puede depender únicamente de la convicción de una institución respecto al fin perseguido […]».(63)
127.Debe recordarse que el Tribunal de Justicia ha declarado que «la elección de la base jurídica adecuada reviste una importancia de naturaleza constitucional. En efecto, dado que la Comunidad sólo dispone de competencias de atribución, debe engarzar [el acuerdo internacional de que se trate] en una disposición del Tratado que la habilite para aprobar tal acto». Según el Tribunal de Justicia, «[e]l recurso a una base jurídica errónea puede, por tanto, invalidar el propio acto de conclusión y, por consiguiente, viciar el consentimiento de la Comunidad en quedar vinculada por el acuerdo suscrito».(64)
128.Siguiendo el método de análisis que aplica el Tribunal de Justicia, examinaré si el fin y el contenido del Acuerdo autorizan al Consejo a adoptar, con arreglo al artículo 95CE, una decisión que tenga por objeto, conforme a su artículo 1, la aprobación de dicho Acuerdo en nombre de la Comunidad.
129.Por lo que se refiere al fin del Acuerdo, resulta expresamente del párrafo primero de su preámbulo que persigue dos objetivos, que son, por una parte, la prevención y la lucha contra el terrorismo y los delitos relacionados con el terrorismo y otros delitos graves de carácter transnacional, incluido el crimen organizado,(65) y, por otra parte, el respeto de los derechos y libertades fundamentales, en particular, el derecho a la intimidad.
130.El objetivo de la lucha contra el terrorismo y otros delitos graves está corroborado por la referencia, en el párrafo segundo del preámbulo del Acuerdo, a las normas y reglamentos de los Estados Unidos, adoptadas a raíz de los atentados terroristas de 11 de septiembre de 2001, que requieren que las compañías aéreas que efectúen vuelos de pasajeros en líneas de transporte aéreo con punto de origen o de destino en los Estados Unidos proporcionen al CBP acceso electrónico a los datos PNR, en la medida en que se recojan y estén incluidos en los sistemas informatizados de control de reservas/salidas de las compañías aéreas.
131.En cuanto al objetivo del respeto de los derechos fundamentales, y en particular, el derecho al respeto de la intimidad, éste aparece en la referencia a la Directiva 95/46. Se trata, en este sentido, de garantizar a las personas físicas transportadas la protección de sus datos personales.
132.Esta garantía se persigue tanto en el marco de los Compromisos adoptados por el CBP el 11 de mayo de 2004, que, según indica el párrafo cuarto del preámbulo del Acuerdo, serán publicados en el Federal Register, como en el marco de la Decisión de adecuación que se menciona en el párrafo quinto del mismo preámbulo.
133.Según el párrafo primero del preámbulo del Acuerdo, la persecución de ambos objetivos deberá realizarse de forma simultánea. El Acuerdo celebrado entre la Comunidad y los Estados Unidos trata, por tanto, de conciliar ambos objetivos, es decir, que se basa en la idea de que la lucha contra el terrorismo y otros delitos graves deberá llevarse a cabo dentro del respeto de los derechos fundamentales, en particular del derecho al respeto de la intimidad, y más concretamente, del derecho a la protección de los datos personales.
134.El contenido del Acuerdo confirma esta interpretación. En efecto, en su apartado 1 se prevé que el CBP podrá acceder de forma electrónica a los datos de los expedientes de los pasajeros procedentes de los sistemas de control de reservas de las compañías aéreas situadas en el territorio de los Estados miembros «respetando estrictamente» lo dispuesto en la Decisión de adecuación «y mientras la Decisión sea aplicable». Deduzco de ello que el acceso a los datos PNR de los pasajeros de vuelos, que constituye el medio para luchar contra el terrorismo y otros delitos graves, sólo está autorizado por el Acuerdo siempre y cuando se reconozca que estos datos gozan en los Estados Unidos de un nivel de protección adecuado. El contenido de esta disposición del Acuerdo traduce la voluntad de perseguir simultáneamente los objetivos de lucha contra el terrorismo y otros delitos graves, y de protección de los datos personales.
135.Idéntica observación se impone al examinar el apartado 2 del Acuerdo, que obliga a las compañías aéreas que efectúan vuelos de pasajeros en líneas de transporte aéreo con el extranjero con punto de origen o de destino en los Estados Unidos a tratar los datos PNR incluidos en sus sistemas informatizados de reserva «de conformidad con lo requerido por la CBP en virtud [de] la legislación de los Estados Unidos y respetando estrictamente las disposiciones de la Decisión [de adecuación] y mientras la Decisión sea aplicable». Aquí igualmente, la obligación que en adelante recae sobre las compañías aéreas con el fin de luchar contra el terrorismo y otros delitos graves está íntimamente relacionada con la protección adecuada de los datos personales de los pasajeros de estos vuelos.
136.El Acuerdo contiene otras disposiciones cuyo objeto traduce esta voluntad de conseguir los fines de lucha contra el terrorismo y otros delitos graves, y de protección de los datos personales de los pasajeros de estos vuelos.
137.En este sentido, por lo que atañe específicamente al objetivo de la protección de los datos personales de estos pasajeros, se indica en el apartado 3 del Acuerdo que «la CBP toma nota de la Decisión [de adecuación] y declara que está aplicando los Compromisos adjuntos a la misma».
138.Además, el apartado 6 del Acuerdo contempla el supuesto en que la Unión Europea, por su parte, aplique un sistema de identificación de los pasajeros de las compañías aéreas que requiera que estas últimas proporcionen a las autoridades competentes acceso a los datos PNR de los pasajeros cuyo itinerario de viaje incluya un vuelo con punto de origen o de destino en la Unión Europea. En caso de que se aplique dicha medida, el Acuerdo prevé que el Department of Homeland Security «en la medida en que sea factible y sobre una base de estricta reciprocidad, promoverá activamente la cooperación de las compañías aéreas dentro de su jurisdicción». Una vez más, se trata de una disposición que traduce el objetivo de lucha contra el terrorismo y otros delitos graves.
139.A este respecto, cabe señalar, en respuesta a ciertas alegaciones formuladas por la Comisión, que es difícil sostener que la lucha contra el terrorismo y otros delitos graves sea un objetivo que persiguen los Estados Unidos de forma unilateral y exclusiva, mientras que la Comunidad únicamente tendría por objetivo la protección de los datos personales de los pasajeros de los vuelos.(66) En realidad, opino que el Acuerdo tiene, desde el punto de vista de cada parte contratante y al mismo tiempo, como fin y como contenido conciliar el objetivo de lucha contra el terrorismo y otros delitos graves con el de protección de los datos personales de los pasajeros de los vuelos. De este modo, el Acuerdo instituye una cooperación entre las partes contratantes precisamente destinada a alcanzar este doble objetivo de forma simultánea.
140.Teniendo en cuenta el fin y el contenido del Acuerdo tal como se acaban de describir, considero que el artículo 95CE no constituye una base jurídica apropiada para la Decisión del Consejo.
141.A este respecto, cabe recordar que el artículo 95CE, apartado 1, se refiere a la adopción por el Consejo de medidas relativas a la aproximación de las disposiciones legislativas, reglamentarias y administrativas de los Estados miembros que tienen por objeto el establecimiento y el funcionamiento del mercado interior.
142.La competencia que este artículo del Tratado atribuye a la Comunidad tiene carácter transversal, es decir, que no se limita a un ámbito particular. El alcance de la competencia comunitaria se define, por tanto, «en virtud de un criterio de carácter funcional, que se extiende transversalmente al conjunto de las medidas destinadas a la realización del “mercado interior”».(67)
143.Además, de la jurisprudencia del Tribunal de Justicia se desprende que las medidas contempladas en el artículo 95CE, apartado 1, están destinadas a mejorar las condiciones de establecimiento y funcionamiento del mercado interior y deben tener efectivamente dicho objeto, contribuyendo a eliminar obstáculos a la libre circulación de mercancías o a la libre prestación de servicios, así como a suprimir distorsiones de la competencia.(68) Asimismo, según esta jurisprudencia, es posible recurrir al artículo 95CE como base jurídica para evitar la aparición de futuros obstáculos a los intercambios comerciales derivados de la evolución heterogénea de las legislaciones nacionales, siempre que la aparición de tales obstáculos sea probable y que la medida de que se trate tenga por objeto su prevención.(69)
144.Como he expuesto anteriormente, el Consejo sostiene que adoptó válidamente su Decisión sobre la base del artículo 95CE, puesto que, al eliminar cualquier distorsión de la competencia entre las compañías aéreas de los Estados miembros y entre éstas y las compañías de países terceros, el Acuerdo con los Estados Unidos contribuye a evitar que se quiebre gravemente la unidad del mercado interior.
145.Cierto, debe señalarse que el segundo considerando de la Decisión del Consejo pone de manifiesto «la urgente necesidad de poner remedio a la situación de incertidumbre en la que se encontraron aerolíneas y pasajeros, así como de la protección de los intereses financieros de las personas interesadas». Esta frase podría entenderse en el sentido de que hace alusión a las sanciones que podrían imponer las autoridades estadounidenses competentes a las compañías aéreas que se negaran a facilitar el acceso a los datos PNR de sus pasajeros, sanciones que podrían tener consecuencias económicas para dichas compañías. Sería posible concebir que, en tal caso, estas sanciones, con implicaciones económicas desfavorables para determinadas compañías, pudieran causar distorsiones en la competencia entre las diferentes compañías aéreas establecidas en el territorio de los Estados miembros.
146.Por otro lado, también cabe imaginar que una diferente actitud por parte de los Estados miembros, esto es, que algunos prohíban a las compañías aéreas establecidas en sus territorios, bajo pena de sanciones, que se autorice la transferencia de los datos PNR de sus pasajeros, mientras que otros Estados miembros no lo hagan, pueda causar cierto efecto, siquiera indirecto, sobre el funcionamiento del mercado interior, como consecuencia de las distorsiones en la competencia que pudieran generarse entre las compañías aéreas.
147.No obstante, debe observarse que tal objetivo, que persigue evitar que se produzcan distorsiones en la competencia, en la medida en que sea realmente perseguido por el Consejo, presenta un carácter accesorio respecto a los otros dos objetivos principales constituidos por la lucha contra el terrorismo y otros delitos graves y la protección de los datos personales de los pasajeros, objetivos, que, como ya he señalado, se mencionan expresamente y se desarrollan efectivamente en las disposiciones del Acuerdo.
148.El objetivo que consiste en evitar que se produzcan distorsiones en la competencia, ya sea, como afirma el Consejo, entre las compañías aéreas de los Estados miembros, ya sea entre éstas y las compañías de países terceros, no figura explícitamente en ninguna de las disposiciones del Acuerdo. Es de carácter implícito, y por tanto, necesariamente accesorio respecto a los otros dos objetivos.
149.Ahora bien, cabe recordar que, como ya ha declarado el Tribunal de Justicia, «el mero hecho de que un acto pueda causar efectos sobre el establecimiento o el funcionamiento del mercado interior no es suficiente para justificar la utilización de esta disposición como base jurídica de dicho acto».(70)
150.Y sobre todo, se deduce de una reiterada jurisprudencia del Tribunal de Justicia que si el examen de un acto comunitario muestra que éste persigue varios objetivos o que tiene varios componentes, y si uno de ellos puede calificarse de principal o preponderante, mientras que el otro sólo es accesorio, dicho acto debe fundarse en una sola base jurídica, a saber, aquella que exige el objetivo o componente principal o preponderante.(71) Sólo, excepcionalmente, si resulta probado que el acto persigue al mismo tiempo distintos objetivos que están inseparablemente unidos, sin que pueda considerarse que uno es secundario y complementario con respecto al otro, dicho acto deberá adoptarse sobre las distintas bases jurídicas pertinentes.(72) En mi opinión, éste no es el caso del presente asunto.
151.También debe indicarse que, aunque tuviera que estimarse que el Acuerdo persigue inseparablemente los tres objetivos, en virtud de esta jurisprudencia, la elección del Consejo de basar jurídicamente su Decisión sólo en el artículo 95CE tendrá que considerarse inadecuada.
152.En realidad, de la lectura global del segundo considerando de la Decisión del Consejo se deduce que la «necesidad urgente» que este último pone de manifiesto tiene por objeto principal explicar que se ha establecido un plazo para que el Parlamento emita su dictamen, con arreglo al artículo 300CE, apartado 3, párrafo primero, que prevé que, en el marco del procedimiento de celebración de acuerdos, «[e]l Parlamento Europeo emitirá su dictamen en un plazo que el Consejo podrá fijar según la urgencia». Este artículo añade igualmente que, «[d]e no mediar dictamen al término de dicho plazo, el Consejo podrá pronunciarse sin él». Esto es lo que ha ocurrido en el procedimiento que se ha seguido con vistas a la adopción de la Decisión del Consejo.
153.En otros términos, si en el proceso destinado a establecer un régimen de datos PNR ha podido tenerse en cuenta efectivamente «la urgente necesidad de poner remedio a la situación de incertidumbre en la que se encontraron aerolíneas y pasajeros, así como de la protección de los intereses financieros de las personas interesadas», me parece que dicha toma en consideración ha desempeñado un papel más importante en el marco del procedimiento seguido que en la definición del fin y del contenido del Acuerdo.
154.En cuanto a la alegación del Consejo y de la Comisión según la cual un acto relativo a la dimensión externa de la protección de los datos personales debe tener por fundamento una base jurídica idéntica a la de la medida interna que constituye la Directiva 95/46, procede señalar que el Tribunal de Justicia ya ha declarado que el hecho de elegir una disposición concreta del Tratado como base jurídica para la adopción de actos internos no basta para demostrar que debe emplearse esta misma base para aprobar un acuerdo internacional con un objeto similar.(73) Además, he demostrado que el Acuerdo no tiene como fin principal ni como contenido la mejora de las condiciones de funcionamiento del mercado interior, mientras que la Directiva 95/46, adoptada en virtud del artículo 95CE, «tiene por objeto garantizar la libre circulación entre Estados miembros de los datos personales mediante la armonización de las normas nacionales que protegen a las personas físicas en lo que respecta al tratamiento de estos datos».(74)
155.Teniendo en cuenta los elementos anteriores, estimo que el examen del fin y del contenido del Acuerdo demuestra que el artículo 95CE no constituye la base jurídica adecuada de la Decisión del Consejo.
156.Por consiguiente, propongo al Tribunal de Justicia que declare que el primer motivo invocado por el Parlamento es fundado. De ello resulta que debe anularse la Decisión del Consejo debido a la elección errónea de su base jurídica.
157.Es cierto que en esta fase sería interesante dilucidar la cuestión de cuál debería ser la base jurídica adecuada para tal Decisión. Sin embargo, es preciso observar que, en el marco del presente asunto, no ha sido sometida al Tribunal de Justicia esta delicada cuestión. Por tanto, sólo formularé algunas observaciones sobre este problema, y, de forma más general, sobre la naturaleza del régimen PNR tal como ha sido negociado con los Estados Unidos.
158.En primer lugar, en contra de una idea defendida por el Consejo, la circunstancia de que el régimen PNR no haya sido establecido en el marco de las disposiciones del Tratado UE no permite, a mi juicio, demostrar la validez jurídica de la postura adoptada por el Consejo y la Comisión.
159.En segundo lugar, de manera más general, estimo que un acto que prevé la consulta y la utilización de datos personales por una entidad cuya misión consiste en garantizar la seguridad interior de un Estado, así como el hecho de facilitar tales datos a dicha entidad, puede asimilarse a un acto de cooperación entre autoridades públicas.(75)
160.Además, el hecho de imponer a una persona jurídica que lleve a cabo un tratamiento de datos de este tipo y de obligarla a efectuar la transferencia de estos datos no me resultan fundamentalmente distintos de un intercambio directo de datos entre autoridades públicas.(76) Lo que es relevante es la comunicación obligatoria de los datos a efectos de seguridad y represivos, y no las modalidades específicas de una u otra situación. El presente asunto se refiere en realidad a una problemática nueva, relativa a la utilización de datos comerciales a efectos represivos.(77)
161.Por último, debe reseñarse que el Tribunal de Primera Instancia ha declarado que «la lucha contra el terrorismo internacional […] no puede vincularse a ninguno de los objetivos que los artículos 2CE y 3CE asignan expresamente a la Comunidad».(78)
162.Habida cuenta del hecho de que el análisis del primer motivo me lleva a proponer al Tribunal de Justicia que anule la Decisión del Consejo, debido a la elección errónea de su base jurídica, sólo examinaré con carácter subsidiario los otros motivos invocados por el Parlamento en apoyo del presente recurso.
B.Sobre el motivo basado en la infracción del artículo 300CE, apartado 3, párrafo segundo, debido a una modificación de la Directiva 95/46
1.Alegaciones de las partes
163.Mediante este segundo motivo, el Parlamento sostiene que sólo podía aprobarse el Acuerdo entre la Comunidad y los Estados Unidos en nombre de ésta, si se cumplía con el procedimiento previsto en el artículo 300CE, apartado 3, párrafo segundo. Este artículo prevé que «se concluirán previo dictamen conforme del Parlamento Europeo […] los acuerdos que impliquen una modificación de un acto aprobado con arreglo al procedimiento previsto en el artículo 251». Pues bien, según esta institución, el Acuerdo de que se trata implica una modificación de la Directiva 95/46, que fue aprobada con arreglo al procedimiento previsto en el artículo 251CE.
164.A juicio del Parlamento, los Compromisos que las autoridades estadounidenses aceptaron aplicar conforme al Acuerdo no cumplían los requisitos para el tratamiento de datos que exige la Directiva 95/46. Por tanto, el Acuerdo tiene por efecto establecer excepciones a determinados principios esenciales de dicha Directiva y validar tratamientos de datos que ésta no autoriza. De este modo, concluye el Parlamento, el Acuerdo modifica la Directiva 95/46. En particular, el Parlamento señala las siguientes modificaciones.
165.En primer lugar, afirma que el Acuerdo tiene por objeto la prevención y la lucha contra el terrorismo y otros delitos graves, mientras que el artículo 3, apartado 2, primer guión, de la Directiva 95/46 excluye de su ámbito de aplicación la transferencia de datos destinados a las autoridades públicas de un tercer Estado por razones relacionadas con la seguridad pública de ese Estado. El Parlamento observa que los Estados miembros han previsto, a estos fines, disposiciones específicas en el Convenio Europol de 1995 y que se puede, por tanto, estimar, que existe en este área una complementariedad entre ambos instrumentos, que están fundados en bases jurídicas diferentes.
166.En segundo lugar, considera que la posibilidad que se confiere a las autoridades estadounidenses competentes de acceder directamente a los datos personales en el interior del territorio de la Comunidad (sistema «pull») constituye igualmente una modificación de la Directiva 95/46. El Parlamento sostiene que los artículos 25 y 26 de ésta no contienen disposición alguna que autorice a un país tercero a acceder directamente a estos datos.
167.En tercer lugar, indica que el Acuerdo, al remitirse a los Compromisos, autoriza al CBP, a su entera discreción y caso por caso, a transmitir los datos PNR a autoridades gubernamentales de represión y lucha contra el terrorismo ajenas a los Estados Unidos. Esta discreción que se otorga a las autoridades norteamericanas infringe la Directiva 95/46, y, en particular, el artículo 25, apartado 1, conforme al cual «la transferencia a un país tercero de datos personales […] únicamente pued[e] efectuarse cuando […] el país tercero de que se trate garantice un nivel de protección adecuado». El Parlamento estima que el sistema de protección instaurado en dicha Directiva sería reducido a la nada si el país tercero que es objeto de una decisión de adecuación favorable pudiera, seguidamente, transferir los datos personales a otros países que no hayan sido objeto de ninguna evaluación por parte de la Comisión.
168.En cuarto lugar, según el Parlamento, el Acuerdo contiene una modificación de la Directiva 95/46 en la medida en que el CBP, aunque decidiera no utilizar los datos personales «sensibles», estaría jurídicamente autorizado a proceder a la recogida de tales datos, lo cual ya constituye un tratamiento en el sentido del artículo 2, letrab), de esta Directiva.
169.En quinto lugar, el Parlamento considera que el Acuerdo modifica dicha Directiva en la medida en que el recurso judicial de que dispone toda persona en caso de violación de los derechos que le reconozcan las disposiciones de Derecho nacional aplicables al tratamiento de que se trate, tal como prevé el artículo 22 de la Directiva 95/46, no se encuentra suficientemente garantizado. Concretamente, una persona afectada por la transferencia de sus datos PNR no dispone de ningún recurso judicial, por ejemplo, en caso de datos incorrectos referidos a ella, de utilización de datos sensibles, o también de transmisión de datos a otra autoridad.
170.En sexto y último lugar, el Parlamento pone de relieve que el tiempo durante el cual pueden conservarse los datos PNR transferidos al CBP es excesivo, lo que constituye, en su opinión, una modificación de la Directiva 95/46, y, más concretamente de su artículo 6, apartado 1, letrae), que prevé un período para la conservación de los datos «no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente».
171.El SEPD apoya las pretensiones del Parlamento en el sentido de que, a su juicio, el Acuerdo incide sobre la Directiva 95/46. Considera que el Acuerdo sólo podía ser aprobado bajo el control democrático del Parlamento, puesto que afecta al nivel de armonización de las legislaciones nacionales tal como se prevé en esta Directiva, e incluso al respeto de los derechos fundamentales. En su opinión, la vulneración del nivel de protección de los datos personales previsto por dicha Directiva resulta en particular del hecho de que, tanto en el sistema «pull» como en el sistema «push», las compañías aéreas se ven obligadas a actuar infringiendo la Directiva, en particular, el artículo 6, apartado 1, letrasb) y c). En la medida en que esta vulneración del nivel de protección de los datos implica una modificación de la Directiva 95/46, el SEPD considera que no se han respetado las garantías procedimentales previstas en el artículo 300CE, apartado 3, párrafo segundo. Estima, por otro lado, que las «garantías sustanciales» también han sido vulneradas, en particular porque los Compromisos del CBP carecen de efecto vinculante.
172.Por el contrario, el Consejo, apoyado por la Comisión, estima que el Acuerdo no implica una modificación de la Directiva 95/46. Como fundamento de esta postura cita el apartado 8 de dicho Acuerdo, en cuyos términos éste «no tiene por objeto derogar o modificar la legislación de las Partes». Asimismo, alega que esta Directiva confiere a la Comisión amplias facultades discrecionales para apreciar el carácter adecuado de la protección que garantiza un país tercero. A este respecto, según el Consejo, la cuestión de si la Comisión ha sobrepasado los límites de su margen de apreciación constituye más bien el objeto del recurso de anulación de la Decisión de adecuación en el asunto C‑318/04.
173.El Consejo señala igualmente que, según él, las razones (seguridad, lucha contra el terrorismo u otras) que han llevado al CBP a exigir la transmisión de datos PNR no constituyen, desde el punto de vista de la Comunidad, ni el objeto ni el contenido del Acuerdo. Considera, además, que la Directiva 95/46 autoriza, en el ámbito de aplicación del mercado interior, a utilizar los datos personales con fines legítimos tales como la defensa de la seguridad del Estado.
174.En cualquier caso, según el Consejo, aun suponiendo que la Comunidad hubiera carecido de competencia para celebrar el Acuerdo, no se deduce de ello, sin embargo, que el Parlamento hubiera tenido que emitir un dictamen conforme, sobre la base del supuesto motivo de que el Acuerdo modifica la Directiva 95/46. El Consejo señala que el dictamen conforme del Parlamento no puede, en ningún caso, tener por efecto la ampliación del ámbito de competencias de la Comunidad.
175.En cuanto a la posibilidad del CBP de acceder directamente a los datos PNR (sistema «pull» actualmente aplicable, en espera de la aplicación del sistema «push»), aunque el Consejo reconoce que la Directiva 95/46 no menciona explícitamente tal posibilidad, tampoco la prohíbe. Desde el punto de vista de la Comunidad, lo importante son las condiciones de acceso a los datos.
176.La Comisión añade a estas alegaciones que, cualquiera que sea el fin con el que el CBP utilice los datos personales, éstos son y seguirán siendo para las compañías aéreas de la Comunidad datos comerciales a los que se les aplica la Directiva 95/46 y que deben, en consecuencia, protegerse y tratarse con arreglo a lo dispuesto porésta.
2.Apreciación
177.En materia de celebración de acuerdos internacionales por la Comunidad, la consulta al Parlamento constituye el procedimiento de Derecho común, fuera del ámbito de la política comercial común. Esta consulta al Parlamento tiene lugar en virtud del artículo 300CE, apartado 3, párrafo primero, incluso cuando se trate de un ámbito en el que sea necesario el procedimiento de codecisión del artículo 251CE para la adopción de reglas internas.
178.No obstante este procedimiento de Derecho común, el artículo 300CE, apartado 3, párrafo segundo, requiere el dictamen conforme del Parlamento en cuatro casos, entre los que se encuentra el relevante en el presente asunto, el caso del acuerdo que implique «una modificación de un acto aprobado con arreglo al procedimiento previsto en el artículo 251». Se trata de garantizar al Parlamento colegislador un control sobre la eventual modificación por un acuerdo internacional de un acto aprobado porél.
179.La Directiva 95/46 fue adoptada con arreglo al procedimiento de codecisión. El Parlamento sostiene, por tanto, que, al implicar el Acuerdo una modificación de dicha Directiva, la Decisión del Consejo por la que se aprobó dicho Acuerdo en nombre de la Comunidad exigía, para ser adoptado dentro del respeto de las normas previstas por el Tratado, su dictamen conforme.
180.Para apreciar la procedencia de este motivo, es preciso aclarar ante todo que para mí es poco relevante que el Acuerdo indique, a tenor del apartado 8, que «no tiene por objeto derogar o modificar la legislación de las Partes». En efecto, lo que sí es relevante a efectos de la aplicación del artículo 300CE, apartado 3, párrafo segundo, es la comprobación de si el acuerdo internacional implica una modificación del acto comunitario interno, es decir, si tiene por efecto modificar dicho acto, independientemente del hecho de que éste no sea su objeto.
181.Realizada esta aclaración, parece que el Tribunal de Justicia aún no se ha pronunciado sobre el sentido que deba darse a la expresión relativamente vaga de «modificación de un acto aprobado con arreglo al procedimiento previsto en el artículo 251».(79) A este respecto, algunos autores se han preguntado si el término «modificación» significa «una modificación que se oponga al texto» del acto interno o si «cualquier modificación, incluso aunque vaya en el sentido del texto» del acto interno sería suficiente para exigir la tramitación del procedimiento de dictamen conforme.(80)
182.La expresión empleada en el artículo 300CE, apartado 3, párrafo segundo, suscita igualmente la cuestión de si, para exigir el dictamen conforme, el ámbito de aplicación del acuerdo proyectado debe abarcar, al menos parcialmente, el del acto interno aprobado o si el mero hecho de que un acto interno haya sido adoptado sobre la base jurídica utilizada para la celebración de dicho acuerdo es suficiente.(81)
183.De manera general, estimo que, para que haya «modificación» por un acuerdo internacional de un acto comunitario interno aprobado con arreglo al procedimiento de codecisión, uno de los requisitos es que el ámbito de aplicación del acuerdo coincida con el abarcado por el acto interno. En este caso, en efecto, una modificación del acto interno por el acuerdo internacional puede producirse ya sea porque el acuerdo incluya una disposición contraria a alguna de las disposiciones del acto interno, ya sea porque el acuerdo amplíe el contenido del acto interno, aun cuando no exista contrariedad directa entre ambos.
184.En el presente asunto, estimo que el acuerdo no ha podido modificar el contenido de la Directiva 95/46.
185.Me baso, para fundamentar esta afirmación, en primer lugar, en el hecho de que, como se deduce del análisis que realicé del primer motivo, el Acuerdo tiene principalmente por objetivo la lucha contra el terrorismo y otros delitos graves al mismo tiempo que garantiza una protección de los datos personales de los pasajeros de los vuelos. Por el contrario, la Directiva 95/46 tiene por objeto garantizar la libre circulación entre Estados miembros de los datos personales mediante la armonización de las normas nacionales que protegen a las personas físicas en lo que respecta al tratamiento de estos datos. Cada uno de estos actos tiene pues un objetivo claramente distinto del otro, y ello es así aun cuando ambos se refieran al ámbito de la protección de los datos personales.(82)
186.En segundo lugar, y en coherencia con la afirmación según la cual los objetivos son distintos, está acreditado que el Acuerdo y la Directiva 95/46 tienen ámbitos de aplicación diferentes. En efecto, mientras que el Acuerdo se aplica al tratamiento de datos personales llevado a cabo en el ejercicio de actividades relacionadas con la seguridad interior de los Estados Unidos y, al mismo tiempo y más precisamente, con actividades relacionadas con la lucha contra el terrorismo y otros delitos graves, recuérdese que el artículo 3, apartado 2, primer guión, de dicha Directiva excluye expresamente de su ámbito de aplicación el tratamiento de datos personales «efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de los títulosV y VI del Tratado de la Unión Europea y, en cualquier caso, al tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal».(83)
187.Teniendo en cuenta que, en el presente asunto, ambos actos presentan objetivos y ámbitos de aplicación diferentes, no veo de qué manera el contenido de uno podría modificar el del otro. A decir verdad, el Acuerdo se refiere al tratamiento de datos personales que el legislador comunitario ha querido claramente excluir del sistema de protección instaurado por la Directiva 95/46. La postura adoptada por el legislador comunitario es, además, coherente con la elección de la base jurídica de dicha Directiva, es decir, el artículo 95CE.
188.No me parece que a este análisis pueda oponerse la alegación de la Comisión en virtud de la cual, cualquiera que sea el fin con el que el CBP utilice los datos personales, éstos son y seguirán siendo para las compañías aéreas de la Comunidad datos comerciales a los que se les aplica la Directiva 95/46 y que deben protegerse y tratarse con arreglo a lo dispuesto por esta última.
189.A este respecto, cabe recordar que, si bien es cierto que el tratamiento que constituyen la recogida y el registro de los datos de los pasajeros por parte de las compañías aéreas tiene, en general, una finalidad comercial en la medida en que está directamente vinculado al desarrollo del vuelo realizado por la compañía aérea, el tratamiento de datos que se regula en el Acuerdo posee, sin embargo, una naturaleza muy distinta, en la medida en que, por una parte, comprende una fase posterior a la recogida de datos y, por otra, persigue una finalidad en materia de seguridad.
190.Habida cuenta del conjunto de consideraciones precedentes, estimo que el segundo motivo invocado por el Parlamento es infundado, y, por lo tanto, debe ser desestimado.
191.Por idénticas razones a las apuntadas en el marco del examen del asunto C‑318/04,(84) examinaré, a continuación, conjuntamente, los motivos tercero y cuarto invocados por el Parlamento, esto es, la vulneración del derecho a la protección de los datos personales y la violación del principio de proporcionalidad.
192.Asimismo cabe recordar que, habida cuenta de la interdependencia entre el Acuerdo tal como fue aprobado por la Decisión del Consejo, la Decisión de adecuación y los Compromisos del CBP que figuran en anexo a dicha Decisión de la Comisión, estimo que es el conjunto del régimen PNR lo que debe analizarse a la luz de estos motivos.(85)
C.Sobre los motivos basados en la vulneración del derecho a la protección de los datos personales y en la violación del principio de proporcionalidad
1.Alegaciones de las partes
193.El Parlamento sostiene que el régimen PNR vulnera el derecho a la protección de los datos personales, tal como es reconocido, en particular, por el artículo 8 delCEDH.
194.A su juicio, al prever que el CBP podrá acceder de forma electrónica a los datos de los expedientes de los pasajeros procedentes de los sistemas de control de reservas de las compañías aéreas situadas en el territorio de los Estados miembros, y al disponer que dichas compañías, cuando efectúen vuelos de pasajeros en líneas de transporte aéreo con el extranjero con punto de origen o de destino en los Estados Unidos, deberán tratar los datos PNR de conformidad con lo requerido por el CBP en virtud de la legislación estadounidense, el Acuerdo instaura un tratamiento de datos personales constitutivo de una injerencia en la vida privada, en el sentido del artículo 8 delCEDH. La Decisión de adecuación también infringe, en su opinión, este artículo.
195.El Parlamento alega que, para no infringir el artículo 8 delCEDH, una injerencia de este tipo debe estar prevista por la ley, perseguir un fin legítimo y ser necesaria en una sociedad democrática para alcanzar dicho fin. Considera que ni el Acuerdo ni la Decisión de adecuación cumplen estos requisitos.
196.En primer lugar, por lo que se refiere al requisito con arreglo al cual la injerencia debe estar prevista por la ley, el Parlamento señala que ni el Acuerdo ni la Decisión de adecuación obedecen a las exigencias de accesibilidad y de previsibilidad de la ley requeridas por la jurisprudencia del Tribunal Europeo de Derechos Humanos. Por una parte, respecto a la exigencia de accesibilidad de la ley, el Parlamento estima que, al remitirse de forma general e imprecisa a la legislación estadounidense aplicable, ni el Acuerdo ni la Decisión de adecuación contemplan en su contenido los derechos y obligaciones que incumben a los pasajeros y compañías aéreas europeas. Pues bien, el imperativo de seguridad jurídica exige que un acto comunitario que crea obligaciones jurídicas permita a los interesados conocer con exactitud el alcance de las obligaciones que les impone.(86) Además, contrariamente a la exigencia de accesibilidad de la ley, las leyes estadounidenses no se encuentran disponibles en todas las lenguas oficiales de la Comunidad. El Parlamento señala también el carácter erróneo, en el preámbulo del Acuerdo, de la referencia y fecha de adopción de la Decisión de adecuación. Por otra parte, respecto a la exigencia de previsibilidad de la ley, también se ha incumplido, ya que el Acuerdo y la Decisión de adecuación no contienen con suficiente precisión los derechos y obligaciones de las compañías aéreas y de los ciudadanos establecidos en la Comunidad. Además, los pasajeros reciben simplemente una información general, lo cual resulta contrario al deber de información, tal como se prevé en los artículos 10 y 11 de la Directiva 95/46, y 8, letraa), del Convenio nº108. Finalmente, el Acuerdo y los Compromisos del CBP contienen una serie de imprecisiones que son incompatibles con el artículo 8 delCEDH.
197.En segundo lugar, por lo que se refiere al requisito con arreglo al cual, en virtud del artículo 8, apartado 2, delCEDH, la injerencia en el derecho al respeto de la vida privada debe perseguir un fin legítimo, el Parlamento admite que éste se cumple. A este respecto, recuerda el apoyo que ha prestado al Consejo en múltiples ocasiones en la lucha contra el terrorismo.
198.En tercer lugar, por lo que se refiere al requisito con arreglo al cual dicha injerencia debe constituir una medida que, en una sociedad democrática, sea necesaria para la seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención del delito, la protección de la salud o de la moral, o la protección de los derechos y libertades de los demás, el Parlamento considera que éste no se cumple por las razones siguientes:
–Del punto 3 de los Compromisos del CBP se deduce que el tratamiento de datos no sólo tiene como fin combatir el terrorismo, sino también prevenir otros delitos graves, incluida la delincuencia organizada, y luchar contra ellos, y evitar la fuga en caso de orden de arresto o detención por los delitos antes señalados. En la medida en que el tratamiento de datos excede de la estricta lucha contra el terrorismo, no resulta necesario para la consecución del fin legítimo perseguido.
–El Acuerdo prevé la transferencia de un número excesivo de datos (34), lo cual implica una violación del principio de proporcionalidad. Desde el punto de vista del respeto de un nivel adecuado de protección de los datos personales, 19 de estos 34 datos parecen aceptables. El Parlamento estima que existe un «desfase considerable» entre el número de datos previsto en instrumentos jurídicos semejantes aplicables en la Unión Europea, y el requerido en virtud del Acuerdo.(87) Además, algunas de las rúbricas de los PNR solicitados pueden contener datos sensibles.
–Los datos permanecen guardados demasiado tiempo habida cuenta del fin perseguido por las autoridades estadounidenses. En efecto, de los Compromisos del CBP resulta que, tras el acceso en línea a los datos por las personas autorizadas del CBP que es posible durante siete días, todos los datos serán conservados durante un período de tres años y medio; seguidamente, el CBP enviará los datos que se hayan consultado manualmente durante dicho período a un archivo de registros suprimidos, que se almacena como información bruta, donde permanecerán por un período de ocho años antes de su destrucción. La comparación con otros sistemas de información instaurados, por ejemplo, en el marco del Convenio de aplicación del Acuerdo de Schengen, del Convenio Europol y de la Decisión Eurojust, que prevén un período de conservación que va de uno a tres años, demuestra el carácter excesivo de la duración que se fija en los Compromisos.
–El Acuerdo no prevé un control judicial respecto al tratamiento de datos por parte de las autoridades estadounidenses. Además, en la medida en que el Acuerdo y los Compromisos no confieren derechos a las personas cuyos datos personales se tratan, el Parlamento no concibe cómo estas personas podrían invocarlos ante los órganos jurisdiccionales estadounidenses.
–El Acuerdo permite la transferencia de datos a otras autoridades públicas, lo cual va más allá de lo que es necesario para luchar contra el terrorismo.
199.El SEPD defiende la tesis según la cual el tratamiento de seis categorías de datos constituye con evidencia una lesión del derecho a la vida privada.(88) Esta lesión resulta también, a su juicio, de la posibilidad de construir perfiles personales a partir de estos datos. El SEPD apoya las alegaciones del Parlamento por las que se trata de demostrar que la injerencia no está justificada con arreglo al artículo 8, apartado 2, delCEDH. Igualmente, estima que el nivel de protección que ofrece el CBP no es adecuado, en el sentido del artículo 25 de la Directiva 95/46, en particular porque no se ha observado lo dispuesto en el artículo 8 delCEDH.
200.Por su parte, el Consejo y la Comisión consideran que el régimen PNR cumple los requisitos que establece el artículo 8, apartado 2, delCEDH, tal como han sido interpretados por el Tribunal Europeo de Derechos Humanos.
201.En primer lugar, por lo que se refiere al requisito con arreglo al cual la injerencia debe estar prevista en la ley, el Consejo estima que no resulta necesario, para que cumpla la exigencia de accesibilidad de la ley, que el propio texto del Acuerdo contenga todas las disposiciones que eventualmente puedan repercutir a las personas afectadas. No resulta contrario a Derecho que el Acuerdo se remita a la Decisión de adecuación y a los Compromisos del CBP que figuran en anexo a esta Decisión, en la medida en que todos estos textos han sido publicados en el Diario Oficial de la Unión Europea. Además, este último no tiene por objeto la publicación de leyes de países terceros. En cuanto a la referencia errónea a la Decisión de adecuación que figura en el preámbulo del Acuerdo, el Consejo indica que adoptará las disposiciones necesarias para que una rectificación sea publicada en el Diario Oficial. Sin embargo, considera que estos errores, de naturaleza técnica, no afectan a la accesibilidad de los actos de que se trata, en el sentido de la jurisprudencia del Tribunal Europeo de Derechos Humanos. En cuanto al requisito relativo a la previsibilidad de la ley, el Consejo estima que no constituye una violación de esta exigencia el hecho de que los Compromisos del CBP, así como las leyes y exigencias constitucionales estadounidenses, no hayan sido reproducidas in extenso en el propio Acuerdo. Además, los Compromisos del CBP, redactados con suficiente precisión, permiten a las personas afectadas ajustar su conducta.
202.En segundo lugar, en cuanto al requisito con arreglo al cual la injerencia debe perseguir un fin legítimo, el Consejo destaca que la lucha contra los delitos graves que no sean el terrorismo entra dentro de varias categorías de intereses legítimos mencionados en el artículo 8, apartado 2, delCEDH (en particular, la seguridad pública, la defensa del orden y la prevención del delito). Por lo tanto, el Acuerdo y los Compromisos del CBP persiguen, igualmente, un fin legítimo en la medida en que se refieren a otros delitos graves.
203.El Consejo estima, en tercer lugar, que la injerencia es proporcionada al fin que se persigue. Más concretamente, alega que las categorías de datos PNR que requiere el CBP son útiles a efectos de prevención de actos terroristas o del crimen organizado, así como para esclarecer las investigaciones iniciadas tras los atentados, al facilitar la labor de identificación de las personas asociadas a grupos terroristas o al crimen organizado. En cuanto al número de datos transferidos, la comparación con los sistemas de información instaurados en el seno de la Unión Europea carece de pertinencia ya que, aparte de que estos sistemas tienen un fin y un contenido distintos al del régimen PNR, la necesidad de trazar el perfil de los terroristas potenciales exige que se tenga acceso a un número más elevado de datos. Por lo que se refiere a las tres rúbricas de datos PNR que pueden, según el Parlamento, contener datos sensibles,(89) el Consejo alega que el acceso del CBP a estas tres rúbricas ha sido estrictamente limitado en virtud del punto 5 de los Compromisos adoptados por el CBP.(90) Además, según los puntos 9, 10 y 11 de los Compromisos, queda, en todo caso, excluida la posibilidad para el CBP de utilizar los datos sensibles.(91) En cuanto a la duración de conservación de los datos PNR, el Consejo estima que, teniendo en cuenta que las investigaciones que se inician tras los atentados pueden durar a veces varios años, una duración normal de conservación fijada en tres años y medio, salvo en casos específicos en que esta duración puede ser más larga, constituye una solución equilibrada. Además, no hay razones para considerar que no existe un sistema independiente de control. Finalmente, la transferencia de datos a otras autoridades públicas cuenta con garantías suficientes, en particular, el CBP sólo puede transferir datos a otras autoridades públicas caso por caso y, exclusivamente, con el fin de prevenir o luchar contra el terrorismo y otros delitos graves.
204.A juicio de la Comisión, no cabe duda de que el conjunto compuesto por el Acuerdo, la Decisión de adecuación y los Compromisos del CBP admite que se pueda producir cierta injerencia en la vida privada, de gravedad variable en función de los datos transmitidos. Esta injerencia está prevista por la ley, es decir, el conjunto de estos textos persigue un fin legítimo, consistente en la conciliación del conflicto entre la legislación estadounidense en materia de seguridad y la normativa comunitaria relativa a la protección de los datos personales, y es necesaria en una sociedad democrática para lograr dichofin.
205.El Reino Unido estima que, en el marco del análisis de una eventual vulneración del derecho a la protección de los datos personales, la Decisión del Consejo, el Acuerdo, la Decisión de adecuación y los Compromisos del CBP deben examinarse conjuntamente, ya que se trata de instrumentos jurídicos íntimamente relacionados. Asimismo considera que es la accesibilidad y previsibilidad del Derecho comunitario aplicable la que debe examinarse, y no la de las leyes que se aplican en el territorio de los Estados Unidos. Si se ponen en relación el Acuerdo, la Decisión de adecuación y los Compromisos del CBP, el Derecho comunitario contiene, según el Reino Unido, una exposición clara y completa de la situación jurídica de cada una de las partes afectadas. Por otra parte, no comparte la opinión según la cual los Compromisos del CBP son unilaterales por naturaleza y pueden ser modificados o revocados por las autoridades estadounidenses con toda impunidad.
206.Sobre la necesidad de la injerencia, el Reino Unido pone de relieve, en primer lugar, que la lucha contra otros delitos graves aparece claramente enunciada como un objetivo del Acuerdo y representa un fin de orden público, que resulta tan legítimo como la lucha contra el terrorismo. El Reino Unido considera, en segundo lugar, que la gama de datos que pueden transferirse, la duración de su retención y la posibilidad de transferirlos a otras autoridades corresponden y son proporcionados a estos objetivos, dadas, en particular, las múltiples garantías previstas en los Compromisos y en la Decisión de adecuación, con el fin de limitar el riesgo contra la vida privada de los pasajeros. Aclara, por último, que, a su juicio, el criterio de la proporcionalidad debe aplicarse, tanto en virtud de la jurisprudencia del Tribunal de Justicia como de la del Tribunal Europeo de Derechos Humanos, a la luz de la naturaleza y de la importancia de los objetivos de que se trata.
2.Apreciación
207.Mediante estos motivos, el Parlamento sostiene que la Decisión del Consejo y la Decisión de adecuación vulneran el derecho a la protección de los datos personales, tal como garantiza, en particular, el artículo 8 delCEDH.
208.Según reiterada jurisprudencia, los derechos fundamentales forman parte de los principios generales del Derecho cuyo respeto garantiza el Tribunal de Justicia.(92) Para ello, el Tribunal de Justicia se inspira en las tradiciones constitucionales comunes de los Estados miembros así como en las indicaciones proporcionadas por los instrumentos internacionales relativos a la protección de los derechos humanos con los que los Estados miembros han cooperado o a los que se han adherido. Estima que, dentro de este contexto, elCEDH reviste «un significado particular».(93) Por tanto, no pueden admitirse en la Comunidad medidas incompatibles con el respeto de los derechos fundamentales así reconocidos y garantizados.(94) Estos principios han sido recogidos en el artículo 6 UE, apartado2.
209.Al hilo de esta jurisprudencia, el Tribunal de Justicia se ha visto conducido a incorporar a la legalidad comunitaria el derecho al respeto de la vida privada.(95) El derecho a la protección de los datos personales constituye uno de los aspectos del derecho al respeto de la vida privada, y, por tanto, se encuentra protegido por el artículo 8 delCEDH, incluido en el ordenamiento jurídico comunitario, bajo el prisma de los principios generales del Derecho.
210.A continuación, examinaré si el régimen PNR constituye una vulneración del derecho al respeto de la vida privada aplicando el método de análisis que se desprende del tenor del artículo 8 delCEDH. En este sentido, tras examinar si dicho régimen constituye una injerencia en la vida privada de los pasajeros de los vuelos, procederé a determinar si dicha injerencia se encuentra debidamente justificada.
a)Sobre la existencia de una injerencia en la vida privada
211.La existencia de una injerencia en la vida privada causada por el conjunto compuesto por la Decisión del Consejo por la que se aprueba el Acuerdo, la Decisión de adecuación y los Compromisos del CBP no plantea, en mi opinión, el menor género de dudas. En efecto, resulta evidente que la consulta, la utilización por el CBP y el hecho de facilitar el acceso de este último a los datos de los pasajeros de vuelos que provengan de sistemas de reserva de compañías aéreas situadas en el territorio de los Estados miembros constituyen una intromisión por parte de las autoridades públicas en la vida privada de los pasajeros.
212.Señalo asimismo que considero probada la injerencia en la vida privada de los pasajeros de los vuelos, aun cuando pueda considerarse que ciertas rúbricas de los datos PNR, examinadas aisladamente, no lesionen la vida privada de los pasajeros afectados. En efecto, estimo que es necesario analizar globalmente la lista de rúbricas de los datos PNR solicitados por el CBP, y ello en la medida en que la superposición de estos datos permite crear perfiles personales.
213.Una injerencia en la vida privada vulnera el derecho al respeto de la vida privada, salvo si ésta se encuentra debidamente justificada.
b)Sobre la justificación de la injerencia en la vida privada
214.Para que resulte admisible, la injerencia en la vida privada está supeditada al cumplimiento de tres requisitos: debe estar prevista por la ley, perseguir un fin legítimo y ser necesaria en una sociedad democrática.
i)¿La injerencia está prevista por laley?
215.Según una reiterada jurisprudencia del Tribunal Europeo de Derechos Humanos, este requisito implica que la medida controvertida posea una base legal y hace referencia igualmente a la calidad de la ley de que se trate.(96) El examen de la calidad de la ley implica que ésta sea accesible a los ciudadanos, precisa y previsible en cuanto a sus consecuencias. Esto supone que deberá definir con suficiente precisión los requisitos y modalidades de la limitación del derecho garantizado, con el fin de que el ciudadano pueda ajustar su conducta y gozar de una protección adecuada contra la arbitrariedad.(97)
216.El Parlamento alega que la medida que prevé la injerencia no es accesible ni previsible en cuanto a sus consecuencias. No estoy de acuerdo con esta opinión.
217.Al contrario, estimo que la lectura de la Decisión del Consejo y del Acuerdo que figura en anexo, así como de la Decisión de adecuación que contiene en anexo los Compromisos del CBP, permite a las personas afectadas, esto es, las compañías aéreas y los pasajeros de los vuelos, estar informados de manera suficientemente precisa con el fin de ajustar su conducta.
218.A este respecto, cabe observar el carácter relativamente detallado de los 48 puntos que componen los Compromisos del CBP, que aportan precisiones sobre el marco jurídico aplicable. Además, la Decisión de adecuación contiene en su preámbulo las referencias de la ley estadounidense pertinente así como de los reglamentos de ejecución adoptados por el CBP en virtud de dicha ley.(98) Por tanto, me resulta excesivo exigir que las normas legislativas y reglamentarias estadounidenses aplicables deban publicarse íntegramente en el Diario Oficial de la Unión Europea. Aparte de que éste, como señala el Consejo, no tiene por objeto la publicación de leyes de países terceros, considero que los Compromisos del CBP, que fueron publicados en el Diario Oficial, contienen la información esencial sobre el procedimiento de utilización de los datos por el CBP y sobre las garantías que aseguran dicho procedimiento.
219.De acuerdo con el imperativo de seguridad jurídica, las compañías aéreas a las que se aplica el régimen PNR son informadas de las obligaciones que recaen sobre ellas en virtud del Acuerdo, y los pasajeros de los vuelos son informados de sus derechos, en particular en cuanto al acceso a los datos y a su rectificación.(99)
220.Ciertamente, teniendo en cuenta la interdependencia entre los elementos que componen el régimen PNR, es lamentable que en el preámbulo del Acuerdo haya errores sobre la referencia y fecha de la Decisión de adecuación. En efecto, estos errores complican los trámites de un ciudadano europeo que desea informarse sobre el contenido del régimen que se ha negociado con los Estados Unidos. Sin embargo, en mi opinión, dichos errores no convierten la búsqueda en algo excesivamente difícil, en la medida en que la Decisión de adecuación ha sido publicada en el Diario Oficial y los instrumentos de búsqueda, en particular informáticos, permiten encontrarla fácilmente. Además, el Consejo se comprometió a publicar una rectificación en el Diario Oficial, lo cual ya ha realizado efectivamente.(100)
221.Habida cuenta de estas consideraciones, estimo que debe considerarse «prevista por la ley» en el sentido del artículo 8, apartado 2, delCEDH, la injerencia en la vida privada de los pasajeros de los vuelos afectados.
ii)¿La injerencia persigue un fin legítimo?
222.A la vista de las diferentes finalidades que se mencionan en el artículo 8, apartado 2, delCEDH, considero que la injerencia en la vida privada que es objeto de examen en el presente asunto persigue un fin legítimo. Éste es el caso, en particular, de la lucha contra el terrorismo.
223.Como el Consejo, opino también que la lucha contra delitos graves que no sean el terrorismo(101) entra dentro de varias categorías de intereses legítimos mencionados en el artículo 8, apartado 2, delCEDH, tales como la seguridad nacional, la seguridad pública, la defensa del orden y la prevención del delito. Por tanto, considero que el régimen PNR persigue también un fin legítimo en la medida en que se refiere a esos otros delitos graves.
224.Procede comprobar ahora la proporcionalidad de la injerencia, tratando de averiguar si ésta es necesaria en una sociedad democrática con vistas a la prevención y la lucha contra el terrorismo y otros delitos graves.
iii)¿Es necesaria la injerencia en una sociedad democrática para alcanzar tal fin?
225.Antes de proceder a la comprobación detallada relativa al cumplimiento de este requisito de la proporcionalidad, efectuaré algunas observaciones previas sobre el alcance del control que ejerce el Tribunal de Justicia.
226.Según el Tribunal Europeo de Derechos Humanos, el adjetivo «necesario», a efectos del artículo 8, apartado 2, delCEDH, implica que exista «una necesidad social imperiosa» y que la medida adoptada sea «proporcionada a la finalidad legítima perseguida».(102) Por otra parte, «las autoridades nacionales gozan de un amplio margen de apreciación cuyo alcance depende no sólo de la finalidad, sino también del carácter propio de la injerencia».(103)
227.En el contexto del control del margen de apreciación de los Estados, el Tribunal Europeo de Derechos Humanos normalmente examina si los motivos que se invocan para justificar las injerencias son pertinentes y suficientes, a continuación comprueba si la injerencia es proporcionada a la finalidad legítima perseguida y, por último, verifica que se haya encontrado un equilibrio entre el interés general y los intereses individuales.(104) Extrayendo conclusiones de esta jurisprudencia, se ha podido observar que «[e]l principio de proporcionalidad, que traduce una exigencia de adecuación entre un objetivo legítimo y los medios empleados para alcanzarlo, se sitúa en el centro del debate sobre el control del margen nacional de apreciación».(105)
228.El control de la proporcionalidad que efectúa el Tribunal Europeo de Derechos Humanos varía en función de parámetros tales como la naturaleza del derecho y de las actividades en cuestión, el fin de la injerencia, así como la eventual presencia de un común denominador entre los sistemas jurídicos de los Estados.
229.Por lo que se refiere a la naturaleza del derecho y de las actividades en cuestión, cuando se trata de un derecho que tiene una estrecha relación con la esfera de intimidad del individuo, como puede ser el derecho a la confidencialidad de los datos relativos a la salud,(106) el Tribunal Europeo de Derechos Humanos parece considerar que el margen de apreciación del Estado es reducido y que su control judicial debe ser más estricto.(107)
230.Sin embargo, cuando el fin de la injerencia consiste en la preservación de la seguridad nacional(108) o bien en la lucha contra el terrorismo,(109) el Tribunal Europeo de Derechos Humanos tiende a reconocer un amplio margen de apreciación.
231.Habida cuenta de la naturaleza y de la importancia del objetivo que constituye la lucha contra el terrorismo, preponderante en el marco del régimen PNR, y considerando el contexto políticamente sensible en que se han desarrollado las negociaciones entre la Comunidad y los Estados Unidos, estimo que, en el presente asunto, el Tribunal de Justicia debería considerar que el Consejo y la Comisión disponían de un amplio margen de apreciación para negociar, con las autoridades estadounidenses, el contenido del régimen PNR. De ello se desprende que, con el fin de respetar este amplio margen de apreciación, el control ejercido por el Tribunal de Justicia respecto a la necesidad de la injerencia, debería, a mi juicio, limitarse a la comprobación de si estas dos instituciones incurrieron en un error manifiesto de apreciación.(110) Al ejercer este control restringido, el Tribunal de Justicia evitaría sustituir la apreciación de las autoridades políticas comunitarias por la suya propia en lo que se refiere a la naturaleza de los medios más adecuados y oportunos para luchar contra el terrorismo y otros delitos graves.
232.Con el fin de delimitar el alcance del control que le corresponde ejercer, el Tribunal de Justicia puede basarse, además de en la jurisprudencia anteriormente citada del Tribunal Europeo de Derechos Humanos, en su propia jurisprudencia, conforme a la cual considera que cuando una institución comunitaria dispone, en ámbitos particulares, de una amplia facultad de apreciación, «[…] sólo el carácter manifiestamente inadecuado de una medida adoptada en estos ámbitos, en relación con el objetivo que tiene previsto conseguir la institución competente, puede afectar a la legalidad de tal medida».(111) Este límite del control de la proporcionalidad «se aplica particularmente» si «el Consejo se ve obligado a actuar como árbitro entre intereses divergentes y a escoger, de este modo, determinadas alternativas en el marco de las opciones políticas de su propia responsabilidad».(112) La limitación del control puede justificarse también por el hecho de que, en un determinado ámbito de actuación, una institución comunitaria se vea obligada a realizar valoraciones complejas.(113)
233.Esta jurisprudencia y las razones en que se basa deben ser aplicadas, en mi opinión, al presente asunto en la medida en que, al elaborar el régimen PNR, el Consejo y la Comisión se vieron confrontadas con opciones políticas entre diferentes intereses difíciles de conciliar y con valoraciones complejas.(114) Ello es compatible con el principio de separación de poderes, que exige al Tribunal de Justicia que respete las responsabilidades políticas que corresponden a los órganos legislativos y administrativos comunitarios y, en consecuencia, que no sustituya por su propio criterio las opciones políticas que estos últimos deben efectuar.
234.Procede ahora comprobar concretamente si, al adoptar los diferentes elementos que constituyen el régimen PNR, el Consejo y la Comisión han sobrepasado manifiestamente los límites impuestos a su margen de apreciación a la luz del derecho al respeto de la vida privada, y, en particular, del derecho a la protección de los datos personales de los pasajeros de los vuelos, teniendo en cuenta el fin legítimo perseguido.
235.En el marco de este examen, el contenido de los Compromisos del CBP reviste una importancia particular en la medida en que éstos contienen en detalle las garantías que enmarcan el régimen PNR. Debo señalar, a este respecto, que, en mi opinión, sería erróneo considerar que dichos Compromisos carecen de efecto obligatorio y que éstos pueden ser libremente modificados o revocados por las autoridades estadounidenses.
236.En efecto, los Compromisos, recordemos que figuran en anexo a la Decisión de adecuación, constituyen uno de los elementos que componen el régimen PNR y, como tal, su incumplimiento conduciría a paralizar la eficacia del régimen en su totalidad. A este respecto, cabe subrayar que los apartados 1 y 2 del Acuerdo supeditan la obligación del tratamiento de los datos PNR que recae sobre las compañías aéreas al respeto estricto de las disposiciones de la Decisión, de forma que esta obligación es válida sólo «mientras la Decisión sea aplicable». Además, con arreglo al apartado 3 del Acuerdo, el CBP «declara que está aplicando los Compromisos adjuntos a la misma». Por último, los artículos 3, 4 y 5 de la Decisión de adecuación describen las acciones que pueden emprenderse en caso de que no se cumplan las normas de protección previstas en los Compromisos. Entre estas acciones se prevé que las autoridades competentes de los Estados miembros podrán suspender los flujos de datos hacia el CBP y, en caso de violación de los principios básicos necesarios para garantizar un nivel adecuado de protección de las personas afectadas, la Decisión de adecuación podrá ser suspendida o anulada, lo que tendría por efecto que los apartados 1 y 2 del Acuerdo dejaran de ser aplicables.
237.Con el fin de que el Tribunal de Justicia declare que la injerencia en la vida privada de estos pasajeros viola el principio de proporcionalidad, el Parlamento invoca, en primer lugar, el carácter excesivo del número de datos solicitados por el CBP a las compañías aéreas. Además, estima que algunas de las rúbricas de los PNR solicitados pueden contener datos sensibles.
238.Pues bien, estimo que la Comisión, al adoptar la lista de 34 rúbricas de datos personales, tal como figura en el anexo a su Decisión de adecuación, no ha aceptado una medida manifiestamente inadecuada con vistas a alcanzar el objetivo de la lucha contra el terrorismo y otros delitos graves. En efecto, por una parte, cabe subrayar la importancia de la actividad de recogida de datos en la lucha antiterrorista, ya que la obtención de la información adecuada puede permitir a los servicios de seguridad de un Estado que se impida un eventual atentado terrorista. En esta perspectiva, la necesidad de trazar el perfil de terroristas potenciales puede exigir el acceso a un número elevado de datos. Por otra parte, la circunstancia de que otros instrumentos relativos a intercambios de información adoptados en el seno de la Unión Europea prevean la comunicación de un número inferior de datos no es suficiente para demostrar el carácter excesivo del número de datos solicitados por este instrumento específico de lucha antiterrorista que constituye el régimenPNR.(115)
239.Además, si bien resulta exacta la observación realizada por el Parlamento de que tres de las rúbricas de datos solicitados pueden contener datos sensibles,(116) debo señalar, por un lado, que el acceso del CBP a estas tres rúbricas ha sido estrictamente reducido en virtud del punto 5 de los Compromisos, por otro lado, que en virtud de los puntos 9 a 11 de dichos Compromisos queda excluida la posibilidad del CBP de utilizar los datos sensibles, y, por último, que un sistema de filtro de dichos datos ha sido instaurado por el CBP, de acuerdo con un compromiso contraído por este último.(117)
240.En segundo lugar, el Parlamento considera que los datos PNR de los pasajeros se conservan durante demasiado tiempo por las autoridades estadounidenses, teniendo en cuenta el fin perseguido.
241.El punto 15 de los Compromisos establece la duración de almacenamiento de estos datos, al prever, fundamentalmente, el acceso en línea a dichos datos a los usuarios autorizados del CBP durante un período inicial de siete días. Tras este período, la consulta de los datos por un número limitado de funcionarios autorizados es posible durante un período de tres años y seis meses. Finalmente, trascurrido este segundo período, se destruirán los datos que no se hayan consultado manualmente durante dicho período, mientras que los datos que hayan sido consultados manualmente durante el período de tres años y seis meses serán transferidos por el CBP a un archivo de registros suprimidos, donde serán conservados por un período de ocho años antes de su destrucción.(118)
242.De esta disposición se puede deducir que la duración normal de conservación de los datos extraídos de los PNR es de tres años y seis meses, salvo respecto a aquellos datos que se hayan consultado manualmente durante este período. En mi opinión, esta duración no resulta manifiestamente excesiva teniendo en cuenta, en particular, el hecho de que, como señala el Consejo, las investigaciones que se pueden efectuar tras atentados terroristas u otros delitos graves duran a veces varios años. Asimismo, aun cuando sea deseable, en principio, que los datos personales sean conservados durante un corto período de tiempo, debe compararse, en el presente asunto, la duración de almacenamiento de los datos que se extraen de los PNR con la utilidad que presentan, no sólo a efectos de la prevención del terrorismo, sino, en un sentido más amplio, a efectos represivos.
243.Habida cuenta de estas consideraciones, estimo que el régimen de almacenamiento de los datos, tal como se prevé en el punto 15 de los Compromisos del CBP, no constituye una vulneración patente del derecho al respeto de la vida privada.
244.En tercer lugar, el Parlamento objeta que el régimen PNR no prevé un control judicial sobre el tratamiento de los datos personales por las autoridades estadounidenses.
245.Debe señalarse que tanto el Convenio nº108 como la Directiva 95/46 establecen un recurso judicial en caso de infracción de las disposiciones de Derecho nacional por las que se apliquen las normas contenidas en estos dos instrumentos jurídicos.(119)
246.A la luz del artículo 8, apartado 2, delCEDH, opino que las normas que se enuncian en los puntos 36 y siguientes de los Compromisos, que prevén una serie de garantías respecto a la información, el acceso a los datos y los recursos para los pasajeros de los vuelos afectados, permiten evitar los posibles abusos. El conjunto de estas garantías me lleva a considerar que, teniendo en cuenta el amplio margen de apreciación que, a mi juicio, debe conferirse, en el presente asunto, al Consejo y a la Comisión, la injerencia en la vida privada de los pasajeros de estos vuelos es proporcionada al fin legítimo que persigue el régimenPNR.
247.Más concretamente, ha de señalarse que, además de la información de carácter general que el CBP se compromete a poner en conocimiento de los pasajeros de los vuelos,(120) el punto 37 de los Compromisos establece que la persona afectada puede, en el marco de la ley sobre la libertad de información,(121) recibir una copia de la información extraída del PNR que figura en la base de datos del CBP acerca de su persona.(122)
248.Es cierto que el punto 38 de los Compromisos prevé la facultad del CBP, «[e]n determinadas circunstancias excepcionales», de denegar o aplazar la divulgación total o parcial de un registro PNR, por ejemplo, si la divulgación «pudiera previsiblemente alterar las modalidades de aplicación» [léase: «pudiera obstaculizar una acción penal»] o si «revelara técnicas y procedimientos de las investigaciones judiciales ». Sin embargo, aparte del hecho de que esta facultad que puede ejercer el CBP se halla enmarcada por la ley, es preciso subrayar que, con arreglo al mismo punto de los Compromisos, en virtud de la FOIA «cualquier solicitante tiene la capacidad de impugnar administrativa o [judicialmente] la decisión de un organismo de retener información».(123)
249.Además, respecto a las solicitudes de rectificación de los datos PNR que figuran en la base de datos del CBP y las denuncias individuales presentadas por los titulares de estos datos en cuanto al tratamiento de los mismos por parte de este organismo, el punto 40 de los Compromisos indica que deberán enviarse al «Assistant Commissioner» delCBP.(124)
250.En caso de que el CBP no pueda resolver la reclamación, ésta deberá remitirse al «Director responsable de la protección de la intimidad [del] Department of Homeland Security» («Chief Privacy Officer»).(125)
251.Por lo demás, con arreglo al punto 42 de los Compromisos, «la Oficina de protección de la intimidad del DHS examinará con urgencia las denuncias que le remitan las autoridades de protección de datos de los Estados miembros de la Unión Europea en nombre de un residente de la Unión Europea, en la medida en que este residente haya facultado a las autoridades a actuar en su nombre y considere que el CBP o el propio Director responsable de la protección de la intimidad del DHS no han tratado adecuadamente su denuncia en materia de protección de datos de los PNR (de conformidad con los puntos 37 a 41 del presente documento)».
252.El punto 42 prevé también, por una parte, que dicha Oficina «comunicará sus conclusiones y advertirá a las autoridades de protección de datos en cuanto a la adopción de medidas, si se hubieran producido» y, por otra parte, que el Chief Privacy Officer «incluirá en su informe al Congreso una serie de cuestiones sobre el número, el contenido y la resolución de denuncias relativas al manejo de datos personales, tales como elPNR».(126)
253.El Parlamento alega, con razón, que el Chief Privacy Officer no es un órgano jurisdiccional. Sin embargo, cabe observar que se trata de un órgano administrativo que reviste cierto grado de independencia en relación con el Ministerio de Seguridad Interior y cuyas decisiones tienen efecto obligatorio.(127)
254.Por consiguiente, la posibilidad así prevista para los pasajeros de vuelos de presentar denuncias ante el Chief Privacy Officer y de disponer de un recurso judicial en el marco de la FOIA constituyen garantías importantes en el ejercicio de su derecho al respeto de la vida privada. Dadas estas garantías, estimo que el Consejo y la Comisión no han sobrepasado los límites impuestos al margen de apreciación de que disponían en el marco de la adopción del régimenPNR.
255.Por último, el Parlamento estima que el régimen PNR va más allá de lo que es necesario para luchar contra el terrorismo y otros delitos graves, en la medida en que permite que se transfieran los datos de los pasajeros de vuelos a otras autoridades públicas. En su opinión, el CBP dispone de una facultad discrecional para transmitir datos extraídos de los PNR a otras autoridades públicas, incluidas las autoridades gubernamentales extranjeras, lo cual es incompatible, afirma, con el artículo 8, apartado 2, delCEDH.
256.No comparto esta opinión. En efecto, incluso en estos casos, las garantías que acompañan a la transmisión de los datos PNR a otras autoridades gubernamentales permiten considerar, a mi juicio, que la injerencia en la vida privada de los pasajeros de los vuelos tiene un carácter proporcionado con vistas a alcanzar el fin perseguido por el régimenPNR.
257.Aun cuando los Compromisos confieran al CBP una amplia facultad de apreciación, cabe destacar que esta facultad se encuentra delimitada. En este sentido, en virtud del punto 29 de los Compromisos, la transmisión de datos PNR a otras autoridades gubernamentales «encargadas de luchar contra el terrorismo o de hacer aplicar la ley», «incluidas las administraciones públicas extranjeras», sólo puede efectuarse «caso por caso» y solamente, en principio, «con objeto de impedir o luchar contra el terrorismo u otros graves delitos contemplados en el punto 3». El CBP determinará, en virtud del punto 30 de dichos Compromisos, si el motivo de divulgación de los datos a otra autoridad se ajusta a la finalidad indicada.
258.Es cierto que los puntos 34 y 35 de los Compromisos proceden a una ampliación de dichas finalidades en la medida en que tienen por efecto permitir, respectivamente, por una parte, el uso o divulgación de datos PNR a las autoridades administrativas pertinentes «cuando tal divulgación sea necesaria para la protección de los intereses vitales de la persona afectada o de otras personas, en especial en lo tocante a importantes riesgos para la salud» y, por otra parte, el uso o divulgación de datos PNR «en cualquier causa judicial penal o si existe una obligación jurídica».
259.Sin embargo, aparte de que dichas finalidades están relacionadas, en gran medida, con el fin legítimo perseguido por el régimen PNR, cabe observar que los Compromisos contienen cierto número de garantías. Así por ejemplo, el punto 31 de éstos prevé que, «[p]ara regular la divulgación de datos de los PNR que puedan transmitirse a otras autoridades designadas, el CBP se considera el “propietario” de los datos y dichas autoridades designadas están sujetas, en virtud de las condiciones expresas de divulgación» a varias obligaciones. Entre las obligaciones que recaen sobre las autoridades destinatarias de los datos figuran, en particular, la de «velar por la eliminación sistemática de los datos de los PNR recibidos, respetando los procedimientos de conservación de registros de la autoridad designada», y la de «obtener la autorización expresa del CBP para cualquier divulgación posterior».
260.Por otra parte, el punto 32 de los Compromisos añade que «[c]ada divulgación de información del PNR por parte del CBP dependerá de que el organismo receptor trate estos datos como información comercial confidencial y protegida por ley, o como información personal confidencial sobre la persona afectada […] que debería considerarse exenta de divulgación en virtud de la ley sobre libertad de información […]». Además, se indica en el mismo punto que «se advertirá al organismo receptor de que no se permitirá una posterior divulgación de esta información sin la expresa autorización previa del CBP», organismo que, por su parte, no autorizará «ninguna transmisión adicional de información del PNR para fines distintos de los indicados en los puntos 29, 34 o 35». Finalmente, el punto 33 de los Compromisos dispone que «[l]as personas empleadas por tales autoridades designadas que divulguen, sin la debida autorización, información del PNR, podrán ser sancionadas penalmente».
261.Teniendo en cuenta el conjunto de estas garantías, puede excluirse, a mi juicio, que el Consejo y la Comisión hayan sobrepasado los límites del amplio margen de apreciación que considero que se les debe conferir a efectos de la lucha contra el terrorismo y otros delitos graves.
262.De ello resulta que los motivos basados en la vulneración del derecho a la protección de los datos personales y en la violación del principio de proporcionalidad son infundados, y deben, en consecuencia, ser desestimados.
D.Sobre el motivo basado en que la Decisión del Consejo no está suficientemente motivada
263.El Parlamento alega que la Decisión del Consejo no cumple con la exigencia de motivación que se deriva del artículo 253CE. En particular, reprocha a dicha Decisión que no contenga motivación alguna que explique si, y, en qué medida, este acto tiene por objeto el funcionamiento del mercado interior.
264.Sin embargo, el Consejo, apoyado por el Reino Unido y la Comisión, estima que la motivación de su Decisión se atiene a las exigencias establecidas por el Tribunal de Justicia.
265.En lo que a mi opinión respecta, considero que, aunque tenga un carácter sucinto, la motivación de la Decisión del Consejo es suficiente.
266.Según reiterada jurisprudencia del Tribunal de Justicia, la motivación exigida por el artículo 253CE «debe adaptarse a la naturaleza del acto de que se trate y debe mostrar de manera clara e inequívoca el razonamiento de la Institución de la que emane el acto, de manera que los interesados puedan conocer las razones de la medida adoptada y el Tribunal de Justicia pueda ejercer su control». También se desprende de dicha jurisprudencia que «no se exige que la motivación especifique todos los elementos de hecho y de Derecho pertinentes, en la medida en que la cuestión de si la motivación de un acto cumple las exigencias [del artículo 253CE] debe apreciarse en relación no sólo con su tenor literal, sino también con su contexto, así como con el conjunto de normas jurídicas que regulan la materia de que se trate».(128)
267.Por lo que se refiere a la naturaleza del acto, debe recordarse que se trata de una Decisión que tiene como principal objeto la aprobación en nombre de la Comunidad del Acuerdo entre ésta y los Estados Unidos. A este respecto, dicha Decisión contiene las precisiones necesarias sobre el procedimiento que se ha seguido, esto es, la aprobación por el Consejo con arreglo al procedimiento descrito en el artículo 300CE, apartado 2, párrafo primero, así como la indicación de que el Parlamento no ha emitido su dictamen en el plazo que el Consejo le había fijado en virtud del artículo 300CE, apartado 3, párrafo primero. Además, cabe observar que en los Vistos de la Decisión del Consejo se menciona el artículo 95CE.
268.Además, teniendo en cuenta la naturaleza particular de dicha Decisión y que es difícil aislarla completamente del Acuerdo internacional que ésta tiene por objeto, la comprobación del carácter suficiente de la motivación debe, en mi opinión, incluir igualmente el preámbulo del propio Acuerdo. A este respecto, la interpretación de la Decisión del Consejo, en relación con el preámbulo del Acuerdo, permite, como demuestra el examen de los motivos anteriores, que el Tribunal de Justicia ejerza su control, en particular en cuanto al carácter adecuado de la base jurídica elegida.
269.En consecuencia, considero que el motivo basado en que la Decisión del Consejo no está suficientemente motivada es infundado y debe, por tanto, desestimarse.
E.Sobre el motivo basado en la violación del principio de cooperación leal previsto en el artículo 10CE
270.Mediante este motivo, el Parlamento alega que, aun cuando el artículo 300CE, apartado 3, párrafo primero, permita al Consejo fijarle un plazo, según la urgencia, para que emita su dictamen, y aun cuando el procedimiento de solicitud al Tribunal de Justicia de dictamen previo conforme al artículo 300CE, apartado 6, no tenga carácter suspensivo, el Consejo ha incumplido, en el marco del procedimiento de aprobación del Acuerdo, la obligación de cooperación leal que le incumbe en virtud del artículo 10CE.
271.El Consejo, apoyado por la Comisión y el Reino Unido, estima, por su parte, que, aunque el Parlamento había solicitado un dictamen al Tribunal de Justicia en virtud del artículo 300CE, apartado 6, no ha violado el principio de cooperación leal al aprobar el Acuerdo.
272.El artículo 10CE impone a los Estados miembros una obligación de cooperación leal frente a las instituciones comunitarias, pero no consagra expresamente el principio de cooperación leal entre dichas instituciones. No obstante, el Tribunal de Justicia ha declarado que, en el marco del diálogo interinstitucional, en el que se basa, en particular, el procedimiento de consulta, «prevalecen los mismos deberes recíprocos de leal cooperación que regulan las relaciones entre los Estados miembros y las Instituciones comunitarias».(129)
273.Los hechos del presente caso muestran que el 17 de marzo de 2004 la Comisión transmitió al Parlamento la propuesta de Decisión del Consejo y que, por escrito de 25 de marzo de 2004, el Consejo solicitó el dictamen del Parlamento sobre esta propuesta, a más tardar, para el 22 de abril de 2004. En su escrito, el Consejo subraya que «[l]a lucha contra el terrorismo, que justifica las medidas propuestas, constituye una prioridad esencial de la Unión Europea. Actualmente, las compañías aéreas y los pasajeros se encuentran en una situación de incertidumbre que ha de remediarse urgentemente. Además, es esencial la protección de los intereses financieros de las partes afectadas».
274.El 21 de abril de 2004, el Parlamento decidió, con arreglo al artículo 300CE, apartado 6, solicitar al Tribunal de Justicia un dictamen sobre la compatibilidad del acuerdo proyectado con las disposiciones del Tratado.
275.El 28 de abril de 2004, el Consejo, basándose en el artículo 300CE, apartado 3, párrafo primero, dirigió un escrito al Parlamento instándole a emitir un dictamen sobre la celebración del acuerdo antes del 5 de mayo de 2004. Para justificar la urgencia, el Consejo reprodujo los motivos señalados en su escrito de 25 de marzo de2004.
276.Esta solicitud de urgencia fue denegada por el Parlamento, cuyo Presidente instó, además, al Consejo y a la Comisión a que suspendieran sus planes hasta que el Tribunal de Justicia hubiese adoptado el dictamen solicitado el 21 de abril. Pese a ello, el Consejo adoptó la decisión controvertida el 17 de mayo de2004.
277.No pienso que el Consejo haya incumplido su obligación de cooperación leal frente al Parlamento al adoptar esta decisión de aprobar el Acuerdo en nombre de la Comunidad antes de que finalizara el procedimiento de solicitud de dictamen al Tribunal de Justicia iniciado por el Parlamento en virtud del artículo 300CE, apartado6.
278.En efecto, como reconoce de hecho el propio Parlamento, la iniciación de tal procedimiento de solicitud de dictamen al Tribunal de Justicia no tiene carácter suspensivo. Éste no impide, por tanto, que el Consejo adopte la Decisión de aprobar el Acuerdo mientras dicho procedimiento se encuentre pendiente, y ello es así, aun cuando el período de tiempo que transcurra entre la presentación de la solicitud del dictamen al Tribunal de Justicia y la decisión de aprobación del Acuerdo, sea, como ocurre en el presente asunto, relativamente corto.
279.A este respecto, debe señalarse que la falta de carácter suspensivo de una solicitud de dictamen al Tribunal de Justicia presentada en virtud del artículo 300CE, apartado 6, puede deducirse tanto del tenor de este artículo, que no prevé expresamente tal carácter suspensivo, como de la jurisprudencia del Tribunal de Justicia. En efecto, éste ha declarado, en el dictamen 3/94,(130) que tal solicitud queda sin objeto, y no ha lugar a que el Tribunal de Justicia se pronuncie, cuando el Acuerdo sobre el que verse dicha solicitud, que era un proyecto de acuerdo en el momento en que se presentó la solicitud al Tribunal de Justicia, ha sido celebrado entretanto. Asimismo, el Tribunal de Justicia ha aclarado, por una parte, que el procedimiento del artículo 300CE, apartado 6, «tiene por objeto, en primer lugar, […] evitar las dificultades que surjan de la incompatibilidad con el Tratado de acuerdos internacionales que obligan a la Comunidad y no proteger los intereses y los derechos del Estado miembro o de la Institución comunitaria que haya solicitado el dictamen»,(131) y, por otra parte, que «[e]n todo caso, el Estado o la Institución comunitaria que haya solicitado el dictamen dispone del recurso de anulación contra la decisión del Consejo de concluir el acuerdo […]»(132)
280.Además, los documentos obrantes en autos así como el segundo considerando de la Decisión del Consejo muestran que éste ha motivado suficientemente la urgencia invocada para obtener en un corto plazo el dictamen del Parlamento, con arreglo al artículo 300CE, apartado 3, párrafo primero. Por último, cabe señalar que este último artículo prevé expresamente que «[d]e no mediar dictamen al término de dicho plazo, el Consejo podrá pronunciarse sin él».
281.Teniendo en cuenta el conjunto de estos factores, estimo que el motivo basado en el incumplimiento por el Consejo de su obligación de cooperación leal es infundado, y debe, por tanto, desestimarse.
VII.Costas
282.En el asunto C‑318/04, la procedencia del recurso interpuesto por el Parlamento conlleva la condena de la Comisión al pago de las costas del proceso, de acuerdo con lo previsto en el artículo 69, apartado 2, del Reglamento de Procedimiento del Tribunal de Justicia. Además, de conformidad con el artículo 69, apartado 4, de este Reglamento, las partes coadyuvantes, esto es, el Reino Unido y el SEPD, soportarán sus propias costas.
283.En el asunto C‑317/04, la procedencia del recurso interpuesto por el Parlamento conlleva la condena del Consejo al pago de las costas del proceso, de acuerdo con lo previsto en el artículo 69, apartado 2, del Reglamento de Procedimiento del Tribunal de Justicia. Además, de conformidad con el artículo 69, apartado 4, de este Reglamento, las partes coadyuvantes, esto es, el Reino Unido, la Comisión y el SEPD, soportarán sus propias costas.
VIII.Conclusión
284.Sobre la base de las consideraciones que anteceden, propongo al Tribunal de Justiciaque:
–En el asunto C‑318/04, anule la Decisión 2004/535/CE de la Comisión, de 14 de mayo de 2004, relativa al carácter adecuado de la protección de los datos personales incluidos en los registros de nombres de los pasajeros que se transfieren al Servicio de aduanas y protección de fronteras de los Estados Unidos.
–En el asunto C‑317/04, anule la Decisión 2004/496/CE del Consejo, de 17 de mayo de 2004, relativa a la celebración de un Acuerdo entre la Comunidad Europea y los Estados Unidos de América sobre el tratamiento y la transferencia de los datos de los expedientes de los pasajeros por las compañías aéreas al Departamento de seguridad nacional, Oficina de aduanas y protección de fronteras, de los Estados Unidos.
1– Lengua original: francés.
2– Decisión 2004/496/CE (DO L183, p.83; en lo sucesivo, «Decisión del Consejo»).
3– Decisión 2004/535/CE (DO L235, p.11; en lo sucesivo, «Decisión de adecuación»).
4– Esta problemática se refiere igualmente a las relaciones entre la Comunidad y otros países terceros. En este sentido, señalo que un acuerdo semejante al controvertido en el asunto C‑317/04 fue firmado, entre la Comunidad Europea y Canadá, el 3 de octubre de2005.
5– Véase la Aviation and Transportation Security Act (ATSA) de 19 de noviembre de 2001 [Public Law 107‑71, 107th Congress, título 49, artículo 44909(c)(3) del Código de los Estados Unidos]. Tras la aprobación de esta ley, el Servicio de aduanas y protección de fronteras del Departamento de seguridad nacional de los Estados Unidos (United States Bureau of Customs and Border Protection, en lo sucesivo, «CBP»), adoptó varios reglamentos de aplicación, como el «Passenger and Crew Manifests Required for Passengers Flights in Foreign Air Transportation to the United States», publicado en el Federal Register (Registro Federal Americano) el 31 de diciembre de 2001, y el «Passenger Name Record Information Required for Passengers on Flights in Foreign Air Transportation to or from the United States», publicado en el Federal Register el 25 de junio de 2002 (título 19, artículo 122.49b del Código de Reglamentos Federales).
6– Reglamento (CEE) nº2299/89 del Consejo, de 24 de julio de 1989, por el que se establece un código de conducta para los sistemas informatizados de reserva (DO L220, p.1), en su versión modificada por el Reglamento (CE) nº323/1999 del Consejo, de 8 de febrero de 1999 (DO L40, p.1).
7– DO L281, p.31, Directiva en su versión modificada por el Reglamento (CE) nº1882/2003 del Parlamento Europeo y del Consejo, de 29 de septiembre de 2003, sobre la adaptación a la Decisión 1999/468/CE del Consejo de las disposiciones relativas a los comités que asisten a la Comisión en el ejercicio de sus competencias de ejecución previstas en los actos sujetos al procedimiento establecido en el artículo 251 del TratadoCE (DO L284, p.1).
8– Este Grupo de trabajo se creó en virtud del artículo 29 de la Directiva 95/46. Se trata de un órgano consultivo independiente que interviene en materia de protección de las personas en lo que respecta al tratamiento de datos personales. Sus funciones se hallan enunciadas en el artículo 30 de dicha Directiva, así como en el artículo 15, apartado 3, de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L201, p.37).
9– Dictamen 4/2003 relativo al nivel de protección garantizado en los EE.UU. para la transferencia de datos de pasajeros. Véase el sitio Internet: http://europa.eu.int/comm/justice_home/fsj/privacy/workinggroup/wpdocs/2003_fr.htm.
10– Dictamen 2/2004 sobre el carácter adecuado de la protección de los datos personales incluidos en los registros de nombres de los pasajeros (Passanger Name Records, PNR) que se transfieren al Servicio de aduanas y protección de fronteras de Estados Unidos (Bureau of Customs and Border Protection, CBP). Véase el sitio Internet: http://europa.eu.int/comm/justice_home/fsj/privacy/workinggroup/wpdocs/2004_fr.htm.
11– Decisión 1999/468/CE (DO L184, p.23).
12– Véase el punto 8 de las presentes conclusiones.
13– En sus escritos de interposición de los recursos, el Parlamento justifica dicha denegación por no estar disponibles todas las versiones lingüísticas de la propuesta de Decisión del Consejo.
14– Esta solicitud de dictamen fue archivada, haciéndose constar así en el Registro del Tribunal de Justicia mediante Auto del Presidente del Tribunal de Justicia de 16 de diciembre de2004.
15– Serie de Tratados Europeos, nº108 (en lo sucesivo, «Convenio nº108»). Este convenio entró en vigor el 1 de octubre de 1985. El Comité de Ministros del Consejo de Europa introdujo, el 15 de junio de 1999, ciertas enmiendas en el Convenio, con el fin de que las Comunidades Europeas pudieran adherirse (en la actualidad, dichas enmiendas no han sido aceptadas actualmente por todos los Estados partes del Convenio nº108). Véase igualmente el Protocolo adicional del Convenio nº108, relativo a las autoridades de control y a los flujos transfronterizos de datos, que se abrió a la firma el 8 de noviembre de 2001 y entró en vigor el 1 de julio de 2004 (Serie de Tratados Europeos, nº181).
16– DO 2000, C364, p.1. Esta Carta, que fue firmada y proclamada por los Presidentes del Parlamento, del Consejo y de la Comisión en el Consejo Europeo de Niza, el 7 de diciembre de 2000, figura en la parteII del Tratado por el que se instituye una Constitución para Europa, que aún no ha entrado en vigor (DO2004, C310, p.41). Como ha podido subrayar el Tribunal de Primera Instancia, «pese a no tener fuerza jurídica vinculante, [la Carta de los derechos fundamentales de la Unión Europea] es una prueba de la importancia, en el ordenamiento jurídico comunitario, de los derechos que enuncia». Véase la sentencia de 15 de enero de 2003, Philip Morris International y otros/Comisión (asuntos acumulados T‑377/00, T‑379/00, T‑380/00, T‑260/01 y T‑272/01, Rec. p.II‑1), apartado122.
17– En cuanto al apartado 2 del artículo 286CE, su tenor literal es el siguiente:
«Con anterioridad a la fecha indicada en el apartado 1, el Consejo establecerá, con arreglo al procedimiento previsto en el artículo 251, un organismo de vigilancia independiente, responsable de controlar la aplicación de dichos actos comunitarios a las instituciones y organismos de la Comunidad y adoptará, en su caso, cualesquiera otras disposiciones pertinentes.»
Sobre la base del artículo 286CE se adoptó el Reglamento (CE) nº45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO 2001, L8, p.1).
18– Para una presentación detallada del contexto general en que se elaboraron esta Directiva y sus disposiciones, véase de Boulanger, M.-H., de Terwangne, C., Léonard, T., Louveaux, S., Moreau, D., y Poullet, Y., «La protection des données à caractère personnel en droit communautaire», JTDE, 1997, nos 40, 41 y 42. Véase igualmente, Simitis, S., Data Protection in the European Union – the Quest for Common Rules, Collected Courses of the Academy of European Law, VolumeVIII, BookI, 2001, p.95. Ha de subrayarse, además, que una directiva específica, la Directiva 2002/58, tiene por objeto la regulación del sector de las comunicaciones electrónicas.
19– Considerando séptimo.
20– Considerando octavo.
21– Considerando noveno.
22– Como ejemplo se pueden citar los flujos de datos relativos a la movilidad de las personas, al comercio electrónico y a las transmisiones dentro de un grupo de empresas.
23– Considerando quincuagésimo séptimo de la Directiva 95/46.
24– Convenio de aplicación del Acuerdo de Schengen, de 14 de junio de 1985, entre los Gobiernos de los Estados de la Unión Económica Benelux, de la República Federal de Alemania y de la República Francesa relativo a la supresión gradual de los controles en las fronteras comunes, firmado en Schengen el 19 de junio de 1990 (DO 2000, L239, p.19).
25– Véanse los artículos 102 a 118 de dicho Convenio. En cuanto al sistema de información Schengen de segunda generación (SISII), la Comisión presentó propuestas con vistas a la adopción de una Decisión del Consejo [COM(2005)230 final] y de dos Reglamentos [COM(2005)236 final y COM(2005)237 final].
26– DO 1995, C316, p.2; en lo sucesivo, «Convenio Europol».
27– Decisión 2002/187/JAI, de 28 de febrero de 2002, por la que se crea Eurojust para reforzar la lucha contra las formas graves de delincuencia (DO L63, p.1; en lo sucesivo, «Decisión Eurojust»). Véanse los artículos 14 y ss. de dicha Decisión.
28– DO 2005, C68, p.1.
29– DO 1995, C316, p.34. Véanse, en particular, los artículos 13, 15, 17 y 18 de dicho Convenio.
30– Acto del Consejo, de 29 de mayo de 2000, por el que se celebra, de conformidad con el artículo 34 del Tratado de la Unión Europea, este Convenio (DO 2000, C197, p.1). Véase, en especial, el artículo 23 deéste.
31– COM(2005)475 final. Esta propuesta de Decisión marco se basa en los artículos 30UE, 31UE y 34UE, apartado 2, letrab). Constituye una de las medidas previstas en el Plan de Acción del Consejo y la Comisión por el que se aplica el Programa de La Haya sobre refuerzo de la libertad, la seguridad y la justicia en la Unión Europea (DO 2005, C198, p.1, apartado3.1).
32– Al tratarse de una medida de ejecución de la Directiva 95/46, la Decisión de adecuación fue adoptada de acuerdo con el procedimiento previsto en el artículo 31, apartado 2, de dicha Directiva, que, a su vez, impone la aplicación de los artículos 4, 7 y 8 de la Decisión 1999/468. En este sentido, cuando adopte una medida de ejecución de dicha Directiva, la Comisión estará asistida por un Comité compuesto por representantes de los Estados miembros y presidido por el representante de la Comisión. Se trata, en el presente asunto, del comité denominado «artículo31».
33– Véase el punto 47 de los Compromisos.
34– Se trata de las rúbricas siguientes: «1) Código de identificación del registro PNR; 2) Fecha de reserva; 3) Fecha(s) prevista(s) del viaje; 4) Nombre; 5) Otros nombres en el PNR; 6) Dirección; 7) Información sobre modalidades de pago; 8) Dirección de facturación; 9) Teléfonos de contacto; 10) Itinerario completo del viaje para el PNR específico; 11) Información sobre viajeros frecuentes (referida únicamente a millas recorridas y dirección o direcciones); 12) Agencia de viajes; 13) Agente de viaje; 14) Información del PNR sobre códigos compartidos; 15) Situación de viaje (travel status) del pasajero; 16) Información sobre PNR escindido/dividido; 17) Dirección electrónica; 18) Información sobre la emisión de billetes; 19) Observaciones generales; 20) Número del billete; 21) Número de asiento; 22) Fecha de emisión del billete; 23) Pasajero del que no se dispone de información; 24) Números de etiquetado de maletas; 25) Pasajero de último momento sin reserva (Go show information); 26) Información OSI [Other Service Information]; 27) Información [SSI/SSR] [Special Service Request]; 28) Información sobre la fuente; 29) Historial de los cambios aportados al PNR; 30) Número de viajeros en el PNR; 31) Información sobre el asiento; 32) Billetes de ida sólo; 33) Toda la información del sistema de información avanzada sobre pasajeros (Advanced Passenger Information System, APIS) recogida; 34) Información sobre ATFQ (Automatic Ticket Fare Quote)».
35– En lo sucesivo, «Acuerdo».
36– Véase la información sobre la fecha de entrada en vigor del Acuerdo entre la Comunidad Europea y los Estados Unidos de América sobre el tratamiento y la transferencia de los datos de los expedientes de los pasajeros por las compañías aéreas al Departamento de seguridad nacional, Oficina de aduanas y protección de fronteras, de los Estados Unidos (DO 2004, C158, p.1).
37– A este respecto, procede señalar que el preámbulo del Acuerdo contiene una referencia errónea de la Decisión de adecuación. Se trata en realidad de la Decisión 2004/535/CE, de 14 de mayo de 2004, notificada con el número C(2004)1914, y no de la Decisión C(2004)1799, de 17 de mayo de 2004. Dicho error fue objeto de una rectificación que se publicó en el Diario Oficial de la Unión Europea. Véase el Acta de corrección de errores del Acuerdo (DO 2005, L255, p.168).
38– La transmisión de datos por las compañías aéreas corresponde a lo que se ha acordado en denominar sistema «push», mientras que el acceso directo a dichos datos por parte del CBP corresponde al sistema «pull».
39– Se trata de la Decisión de adecuación, la única «Decisión» a la que se refiere el preámbulo del Acuerdo.
40– Idéntica observación que en la nota precedente.
41– Apartado 5 del Acuerdo.
42– Apartado 6 del Acuerdo.
43– Mediante autos del Presidente del Tribunal de Justicia, respectivamente, de 18 de enero de 2005 y de 18 de noviembre de2004.
44– Auto del Tribunal de Justicia de 17 de marzo de2005.
45– Auto del Presidente del Tribunal de Justicia de 17 de diciembre de2004.
46– Auto del Tribunal de Justicia de 17 de marzo de2005.
47– Sentencia de 6 de noviembre de 2003, Lindqvist (C‑101/01, Rec. p.I–12971), apartado63.
48– Recuérdese que, entre estos factores, figuran, en particular, la naturaleza de los datos así como la finalidad y la duración del tratamiento o de los tratamientos previstos.
49– Sentencia Lindqvist, antes citada, apartado 56. En este asunto, el Tribunal de Justicia declaró que la difusión de datos personales en una página web no constituye una «transferencia a un país tercero», en el sentido del artículo 25 de la Directiva 95/46, por el mero hecho de que dichos datos resulten accesibles a personas que se encuentran en un país tercero. Para llegar a esta conclusión, el Tribunal de Justicia tuvo en cuenta, por una parte, la naturaleza técnica de las operaciones efectuadas y, por otra, el objetivo y la organización sistemática del capítuloIV de la citada Directiva, en el que figura su artículo25.
50– Y ello es así, aun cuando quien reciba los datos sea un organismo específico de la estructura administrativa interna de dicho país tercero.
51– Resulta interesante observar que los conceptos de tratamiento y de transferencia de datos personales se superponen en cierta medida. En este sentido, me parece que la comunicación, por transmisión, difusión u otra forma que facilite el acceso a los datos personales, puede constituir, al mismo tiempo, un tratamiento y una transferencia de los mismos en el sentido de dicha Directiva. En el presente asunto, los conceptos de transferencia y de tratamiento se solapan en la medida en que el régimen establecido tiene por objeto, en particular, facilitar el acceso de los datos PNR al CBP. Esto se explica, a mi juicio, por la definición muy amplia del tratamiento, que comprende una gama extensa de operaciones. En suma, en tal supuesto, la transferencia de datos a un país tercero viene a ser una forma específica de tratamiento. En este sentido, véase la propuesta de Decisión marco de la Comisión: su artículo 15 relativo a la «[t]ransferencia a autoridades competentes de terceros países o a organismos internacionales», forma parte del capítuloIII denominado «Formas específicas de tratamiento».
52– Ha de observarse, a título de ejemplo, que la Decisión 2000/519/CE de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46/CE, relativa a la protección adecuada de los datos personales en Hungría (DO L215, p.4), dispone, en su artículo 1, que, «[a] los efectos del apartado 2 del artículo 25 de la Directiva 95/46/CE, para todas las actividades por ella cubiertas, se considerará que Hungría garantiza un nivel adecuado de protección de los datos personales transferidos desde la Unión Europea» (el subrayado esmío).
53– El subrayado es mío. En su sentencia Lindqvist, antes citada, el Tribunal de Justicia señala que «[l]as actividades que en el primer guión del artículo 3, apartado 2, de la Directiva 95/46 se citan como ejemplos […] son, en todos los casos, actividades propias del Estado o de las autoridades estatales y ajenas a la esfera de actividades de los particulares» (apartado43).
54– Sexto considerando.
55– Séptimo considerando.
56– Octavo considerando.
57– Véase, en este sentido, el artículo de Poullet, Y., y Peres Asinan, M. V., «Données des voyageurs aériens: le débat Europe – Etats-Unis», JTDE 2004, p.274. Según estos autores, «la solución que legitimará este tipo tan particular de flujos transfronterizos debe garantizar la validez de una transferencia de datos a administraciones públicas extranjeras realizada con el objetivo de combatir el terrorismo […] lo cual excede notoriamente del ámbito de aplicación de una Directiva del primer pilar». Añaden que «[é]ste corresponde, a nivel europeo, a una materia del tercer pilar, lo que pone en cuestión la competencia de la Comisión para actuar en esta materia […]». Véase igualmente De Schutter, O., «La Convention européenne des droits de l’homme à l’épreuve de la lutte contre le terrorisme», en Lutte contre le terrorisme et droits fondamentaux, Bribosia, E., y Weyembergh, A. (dir.), Collection droit et justice, Bruylant, Bruxelles, 2002, p.112, note nº43: tras citar el artículo 3, apartado 2, primer guión, de la Directiva 95/46, el autor observa que «[e]sta restricción en el ámbito de aplicación de la Directiva se explica por el carácter limitado de las competencias de la Comunidad Europea, que no dispone de una competencia general para legislar en materia de derechos humanos, pero que puede actuar en este ámbito, en particular en los casos en que, y en la medida en que, como ocurre con [dicha Directiva], se trate de facilitar el establecimiento de un mercado interior que implique especialmente la eliminación de los obstáculos a la libre circulación de mercancías y a la libre prestación de servicios».
58– Los datos PNR son objeto de un tratamiento en el interior de la Comunidad, que consiste en facilitar al CBP el acceso a dichos datos. Igualmente, están destinados a ser objeto de tratamiento después de su transferencia, debido a su utilización por parte delCBP.
59– Esto no significa que una Decisión de adecuación adoptada en un contexto semejante al del presente asunto deba, en el ordenamiento jurídico de la Unión Europea, considerarse exenta del cumplimiento de las garantías esenciales en materia de protección de datos personales, tal como se enumeran en el Convenio nº108. Solamente, en esta perspectiva, estimo que la Directiva 95/46 no constituye la norma de referencia adecuada ya que, como he señalado, el objetivo de la Decisión de adecuación sobrepasa el ámbito de aplicación de la norma de base que constituye dicha Directiva. Por tanto, a falta de una norma de Derecho derivado aplicable en caso de tratamiento de datos personales a efectos represivos y de seguridad pública, no resulta posible proceder a un control judicial abstracto de dichas garantías. En tal supuesto, no se carece, sin embargo, de tutela judicial. En efecto, la comprobación de la existencia de garantías esenciales en materia de protección de datos personales se encuentra, como señalaré más adelante, íntimamente relacionada con el examen de los requisitos establecidos en el artículo 8, apartado 2, delCEDH.
60– En lo sucesivo, «régimenPNR».
61– Sentencia de 31 de marzo de 1971, Comisión/Consejo, denominada «AETR» (22/70, Rec. p.263).
62– Véanse, en particular, las sentencias de 11 de junio de 1991, Comisión/Consejo, denominada «Dióxido de titanio» (C‑300/89, Rec. p.I‑2867), apartado 10; de 12 de noviembre de 1996, Reino Unido/Consejo (C‑84/94, Rec. p.I‑5755), apartado 25; de 25 de febrero de 1999, Parlamento/Consejo (C‑164/97 y C‑165/97, Rec. p.I‑1139), apartado 12; de 4 de abril de 2000, Comisión/Consejo (C‑269/97, Rec. p.I‑2257), apartado 43; de 19 de septiembre de 2002, Huber (C‑336/00, Rec. p.I‑7699), apartado 30; de 29 de abril de 2004, Comisión/Consejo (C‑338/01, Rec. p.I‑4829), apartado 54, y de 13 de septiembre de 2005, Comisión/Consejo (C‑176/03, Rec. I‑7879), apartado45.
63– Sentencia de 26 de marzo de 1987, Comisión/Consejo (45/86, Rec. p.1493), apartado11.
64– Dictamen 2/00 de 6 de diciembre de 2001, emitido en virtud del artículo 300CE, apartado 6 (Rec. p.I‑9713), apartado5.
65– En adelante utilizaré la expresión de «lucha contra el terrorismo y otros delitos graves» para designar este objetivo.
66– Además, el terrorismo constituye un fenómeno internacional que está por encima de compartimentaciones territoriales.
67– Véase el punto 10 de las conclusiones del Abogado General Tesauro presentadas en el asunto Dióxido de titanio, antes citado.
68– Sentencias de 5 de octubre de 2000, Alemania/Parlamento y Consejo (C‑376/98, Rec. p.I‑8419), apartados 83, 84 y 95, y de 10 de diciembre de 2002, British American Tobacco (Investments) e Imperial Tobacco (C‑491/01, Rec. p.I‑11453), apartado60.
69– Véase, en este sentido, la sentencia de 13 de julio de 1995, España/Consejo (C‑350/92, Rec. p.I‑1985), apartado 35, así como la sentencia Alemania/Parlamento y Consejo, antes citada (apartado 86); de 9 de octubre de 2001, Países Bajos/Parlamento y Consejo (C‑377/98, Rec. p.I‑7079), apartado 15; British American Tobacco (Investments) e Imperial Tobacco, antes citada (apartado 61), y de 14 de diciembre de 2004, Arnold André (C‑434/02, Rec. p.I‑11825), apartado31.
70– Véase, en particular, la sentencia de 9 de noviembre de 1995, Alemania/Consejo (C‑426/93, Rec. p.I‑3723), apartado33.
71– Véanse, en particular, las sentencias de 17 de marzo de 1993, Comisión/Consejo (C‑155/91, Rec. p.I‑939), apartados 19 y 21; de 23 de febrero de 1999, Parlamento/Consejo (C‑42/97, Rec. p.I‑869), apartados 39 y 40; de 30 de enero de 2001, España/Consejo (C‑36/98, Rec. p.I‑779), apartado 59, y de 12 de diciembre de 2002, Comisión/Consejo (C‑281/01, Rec. p.I‑12049), apartado34.
72– Véanse, en particular, las sentencias antes citadas, Dióxido de Titanio, apartados 13 y 17; de 23 de febrero de 1999, Parlamento/Consejo, apartados 38 y 43; Huber, apartado 31, y de 12 de diciembre de 2002, Comisión/Consejo, apartado35.
73– Sentencia de 12 de diciembre de 2002, Comisión/Consejo, antes citada, apartado46.
74– Sentencia de 20 de mayo de 2003, Österreichischer Rundfunk y otros (C‑465/00, C‑138/01 y C‑139/01, Rec. p.I‑4989), apartado 39. Habida cuenta de la diferencia de objeto y finalidad entre el Acuerdo y la Directiva 95/46, estimo igualmente que es improbable, como sostiene la Comisión, que dicha Directiva habría quedado afectada en el sentido de la jurisprudencia AETR, si los Estados miembros hubiesen celebrado tal Acuerdo, de forma separada o conjunta, fuera del marco comunitario.
75– Obsérvese que a veces se indica que la transferencia de datos personales por parte de las compañías aéreas a los Estados Unidos es una materia comprendida en el «tercer pilar». En este sentido, el «Grupo del artículo 29» sobre protección de datos, en un dictamen de 24 de octubre de 2002 (Dictamen 6/2002 relativo a la transmisión de listas de pasajeros y otros datos de compañías aéreas a los Estados Unidos), expuso que «[e]sencialmente, las transferencias de datos a las autoridades públicas de terceros países por razones de orden público en este país deberían ser entendidas en el contexto de los mecanismos de cooperación establecidos por medio del tercer pilar (cooperación judicial y policial) […].Parece resultar importante para el buen funcionamiento de los mecanismos de cooperación basados en el tercer pilar que no se esquiven pasando, en su lugar, por el primer pilar». Véase el sitio Internet: http://europa.eu.int/comm/justice_home/fsj/privacy/docs/wpdocs/2002wp66_es.pdf.
76– Por lo que atañe al intercambio directo de información entre autoridades públicas, cabe mencionar la Decisión del Consejo, de 27 de marzo de 2000, por la que se autoriza al Director de Europol a entablar negociaciones sobre acuerdos con terceros Estados y organismos no relacionados con la Unión Europea (DO C106, p.1). Sobre esta base se firmó, el 20 de diciembre de 2002, un Acuerdo entre Europol y los Estados Unidos de América sobre el intercambio de datos personales.
77– Esta problemática se encuentra en el centro del actual debate interinstitucional relativo a la conservación de datos por parte de los proveedores de servicios de telefonía y de comunicaciones electrónicas. Las posiciones antagonistas manifestadas durante este debate entre quienes defienden la toma en consideración de este problema en el marco del primer pilar y quienes estiman, al contrario, que esta materia debe enmarcarse dentro del tercer pilar, demuestran a la vez la novedad y la complejidad de la problemática relativa a la utilización de datos comerciales a efectos represivos. Véanse, a este respecto, el proyecto de Decisión marco sobre la conservación de los datos tratados y almacenados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o el suministro de datos en redes públicas de comunicaciones a efectos de la prevención, investigación, descubrimiento y represión de la delincuencia y de las infracciones penales, con inclusión del terrorismo (proyecto presentado el 28 de abril de 2004 a iniciativa de la República Francesa, Irlanda, el Reino de Suecia y el Reino Unido), y la propuesta alternativa de la Comisión de una Directiva del Parlamento Europeo y del Consejo sobre la conservación de datos tratados en relación con la prestación de servicios públicos de comunicación electrónica y por la que se modifica la Directiva 2002/58/CE, presentada el 21 de septiembre de 2005 [documento COM(2005)438 final].
78– Véanse, por lo que se refiere a la imposición de sanciones económicas y financieras, tales como la congelación de fondos, a individuos y entidades de quienes se sospecha que contribuyen a financiar el terrorismo, dos sentencias del Tribunal de Primera Instancia de 21 de septiembre de 2005, Yusuf y Al Barakaat International Foundation/Consejo y Comisión (T‑306/01, Rec. p.II‑0000), apartado 152, y Kadi/Consejo y Comisión (T‑315/01, Rec. II‑0000), apartado 116. En el contexto particular de estos asuntos, el Tribunal de Primera Instancia ha tenido en cuenta, sin embargo, «la ‘pasarela’ específicamente establecida, con ocasión de las modificaciones introducidas por el Tratado de Maastricht, entre las acciones de la Comunidad de imposición de sanciones económicas con arreglo a los artículos 60CE y 301CE y los objetivos del Tratado UE en materia de relaciones exteriores» (apartado 159 del asunto T‑306/01 y apartado 123 del asunto T‑315/01). De forma más general, ha afirmado asimismo que «es indiscutible que la lucha contra el terrorismo internacional y contra la financiación del mismo forma parte de los objetivos de la Unión en el ámbito de la PESC, tal como se definen en el artículo 11UE […]» (apartado 167 del asunto T‑306/01 y apartado 131 del asunto T‑315/01). Debe añadirse que, a tenor del artículo 2 UE, «[l]a Unión tendrá los siguientes objetivos: […]mantener y desarrollar la Unión como un espacio de libertad, seguridad y justicia, en el que esté garantizada la libre circulación de personas conjuntamente con medidas adecuadas respecto al control de las fronteras exteriores, el asilo, la inmigración y la prevención y la lucha contra la delincuencia […]» (el subrayado es mío). Además, según el artículo 29 UE, párrafo segundo, el objetivo de la Unión consistente en ofrecer a los ciudadanos un alto grado de seguridad dentro de un espacio de libertad, seguridad y justicia «habrá de lograrse mediante la prevención y la lucha contra la delincuencia, organizada o no, en particular el terrorismo […]» (el subrayado es mío). Sobre la dimensión externa del espacio penal europeo, véase de Kerchove, G., y Weyembergh, A., Sécurité et justice: enjeu de la politique extérieure de l’Union européenne, éditions de l’Université de Bruxelles,2003.
79– El Tribunal de Justicia ya se ha pronunciado, sin embargo, sobre otro caso en el que se requiere también el dictamen conforme del Parlamento. Es el relativo a los «acuerdos que tengan implicaciones presupuestarias importantes para la Comunidad»: sentencia de 8 de julio de 1999, Parlamento/Consejo (C‑189/97, Rec. p.I‑4741).
80– Véase Schmitter, C., «Article 228», en Constantinesco, V., Kovar, R., y Simon, D., Traité sur l’Union européenne, commentaire article par article, Économica, 1995, p.725, en particular el apartado43.
81– Véase, en este sentido, Schmitter, C., op.cit.
82– Cabe señalar, a este respecto, que la solución que adopta el Tratado por el que se establece una Constitución para Europa es más amplia y favorable a la aprobación del Parlamento: el artículoIII‑325 de dicho Tratado, relativo al procedimiento de celebración de acuerdos internacionales, prevé, en efecto, en su apartado 6, letraa), incisov), que el Consejo adoptará la decisión de celebración del acuerdo, previa aprobación del Parlamento, en particular en los casos de «acuerdos que se refieran a ámbitos a los que se aplique el procedimiento legislativo ordinario o, si se requiere la aprobación del Parlamento Europeo, el procedimiento legislativo especial» (el subrayado esmío).
83– El subrayado esmío.
84– Punto 107 de las presentes conclusiones.
85– Véanse los puntos 109 y siguientes de las presentes conclusiones.
86– El Parlamento cita a este propósito la sentencia de 20 de mayo de 2003, Consorzio del Prosciutto di Parma y Salumificio S. Rita (C‑108/01, Rec. p.I‑5121), apartado89.
87–A este propósito, el Parlamento cita, en particular, el Convenio Europol que prevé en su artículo 8, apartado 2, el tratamiento de cinco datos, así como la Directiva 2004/82/CE del Consejo, de 29 de abril de 2004, sobre la obligación de los transportistas de comunicar los datos de las personas transportadas (DO L261, p.24). Esta Directiva, que tiene como base jurídica los artículos 62CE, apartado 2, letraa), y 63CE, apartado 3, letrab), prevé, en su artículo 3, la obligación para las compañías aéreas de comunicar, cuando lo soliciten las autoridades encargadas de los controles de personas en las fronteras exteriores, un total de nueve datos personales.
88– A su juicio, se trata de la rúbricas nos11 «Información sobre viajeros frecuentes [referida únicamente a millas recorridas y dirección o direcciones]»;19 «Observaciones generales»; 26 «Información OSI [Other Service Information]»; 27 «Información SSI/SSR [Special Service Request]»; 30 «Número de viajeros en el PNR», y 33 «Toda la información del sistema de información avanzada sobre pasajeros [Advanced Passenger Information System, APIS] recogida».
89– Se trata de las rúbricas n°s19, 26 y 27 (véase la nota anterior).
90– El punto 5 de los Compromisos dispone :
«Con respecto a los datos identificados como “OSI” y “SSI/SSR” (normalmente mencionados como observaciones generales y campos abiertos), el sistema automatizado del CBP buscará en estos campos cualquier otro dato identificado en [la lista de rúbricas de datos PNR solicitados]. El personal del CBP no estará autorizado a examinar manualmente todos los campos OSI y SSI/SSR, a menos que el CBP considere que la persona objeto de un PNR presenta un elevado riesgo en relación con alguno de los objetivos mencionados en el anterior punto3.»
91– El punto 9 de los Compromisos prevé:
«El CBP se compromete a no utilizar los datos sensibles (por ejemplo: datos personales que especifican el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, pertenencia a sindicatos, situación médica o de salud u orientación sexual de la persona) a partir del PNR, como se indica más adelante.»
El punto 10 de dichos Compromisos establece:
«El CBP aplicará, con la mayor brevedad, un sistema automatizado para filtrar y borrar ciertos códigos y términos «sensibles» de los PNR, identificados en colaboración con la Comisión […].»
Con arreglo al punto 11 de los Compromisos:
«Hasta la implantación de estos filtros automatizados, el CBP declara que no utiliza ni utilizará datos “sensibles” de los PNR y se compromete a suprimir tales datos en cualquier divulgación discrecional del PNR, con arreglo a los puntos 28 a34.»
Estos últimos puntos se refieren a la transmisión de datos PNR a otras administraciones públicas.
92– Véanse, en particular, las sentencias de 12 de noviembre de 1969, Stauder (29/69, Rec. p.419), apartado 7; de 17 de diciembre de 1970, Internationale Handelsgesellschaft (11/70, Rec. p.1125), apartado 4, y de 14 de mayo de 1974, Nold (4/73, Rec. p.491), apartado 13.
93– Véanse, en particular, las sentencias de 18 de junio de 1991, ERT (C‑260/89, Rec. p.I‑2925), apartado 41; de 29 de mayo de 1997, Kremzow (C‑299/95, Rec. p.I‑2629), apartado 14, y de 6 de marzo de 2001, Connolly/Comisión (C‑274/99 P, Rec. p.I‑1611), apartado37.
94– Sentencia de 13 de julio de 1989, Wachauf (5/88, Rec. p.2609), apartado19.
95– Sentencia de 26 de junio de 1980, National Panasonic/Comisión (136/79, Rec. p.2033), apartados 18 y 19. Este derecho comporta, en particular, el derecho a la protección del secreto médico [véanse las sentencias de 8 de abril de 1992, Comisión/Alemania (C‑62/90, Rec. p.I‑2575), y de 5 de octubre de 1994, X/Comisión (C‑404/92P, Rec. p.I‑4737)]. Por lo que se refiere al derecho a la protección de los datos personales, cabe aludir de nuevo a las sentencias Österreichischer Rundfunk y otros, y Lindqvist, antes citadas.
96– Véase la sentencia del TEDH de 24 de abril de 1990, Kruslin c. Francia (serieA nº176, §27).
97– Véase la sentencia del TEDH de 24 de marzo de 1988, Olsson c. Suecia (serieA nº130, §61 y 62). Las restricciones deberán estar previstas por normas redactadas de forma suficientemente precisa para permitir a los interesados que ajusten su conducta y que puedan, en su caso, disponer del adecuado asesoramiento [sentencia del TEDH de 26 de abril de 1979, Sunday Times c. Reino Unido (serieA nº30, §49)].
98– Véase el sexto considerando de la Decisión de adecuación, y sus notas 2 y3.
99– Véanse los puntos 36 a 42 de los Compromisos.
100– Véase el Acta de corrección de errores del Acuerdo, que, recuérdese, fue publicada en el DO L255 de 30 de septiembre de2005.
101– Cabe recordar que el preámbulo del Acuerdo menciona la prevención y la lucha contra el terrorismo «y los delitos relacionados con el terrorismo y otros delitos graves de carácter transnacional, incluido el crimen organizado». Además, el punto 3 de los Compromisos dispone que «[e]l CBP utiliza los datos del PNR estrictamente para impedir y luchar: 1) contra el terrorismo y delitos conexos; 2) contra otros delitos graves, incluida la delincuencia organizada, que sean, por naturaleza, transnacionales; y 3) contra la fuga en caso de orden de arresto o detención por los delitos antes señalados». En los mismos términos se expresa también el decimoquinto considerando de la Decisión de adecuación.
102– Véase, en particular, TEDH, sentencia Gillow c. Reino Unido de 24 de noviembre de 1986 (Serie A nº109, §55).
103– Véase TEDH, sentencia Leander c. Suecia de 26 de marzo de 1987 (serieA nº116, §59).
104– Véase, por ejemplo, TEDH, sentencia Klass de 6 de septiembre de 1978 (serieA nº28, §59), a propósito de la vigilancia secreta de la correspondencia y telecomunicaciones de los ciudadanos a efectos de la lucha contra el terrorismo. En esta sentencia, dicho Tribunal declara «inherente al sistema del Convenio cierta forma de conciliación entre los imperativos de la defensa de la sociedad democrática y los de la salvaguardia de los derechos individuales».
105– Sudre, F., Droit européen et international des droits de l’homme, 7aedición refundida, PUF, 2005, p.219. El autor observa asimismo que «[s]egún enuncie de forma más o menos estricta el requisito de la proporcionalidad –proporción rigurosa, justa, razonable–, el Tribunal Europeo modula la intensidad de su control y, en consecuencia, el alcance del margen de apreciación del Estado varía […]».
106– Véase, TEDH, sentencia Z. c. Finlandia de 25 de febrero de 1997 (Recueil des arrêts et décisions 1997-I).
107– En este sentido, Sudre, F., op.cit., p.219. Véase igualmente Wachsmann, P., «Le droit au secret de la vie privée», en Le droit au respect de la vie privée au sens de la Convention européenne des droits de l’homme, Sudre, S. (dir.), Bruylant, 2005, p.141: a propósito de la sentencia Z. c. Finlandia, antes citada, el autor señala que «[e]l control de la necesidad de la injerencia se ejerce con rigor en el asunto examinado, lo que se explica por el carácter extremedamente sensible de la cuestión de la revelación a terceros de la seropositividad de una persona».
108– Sentencia Leander c. Suecia, antes citada. El Sr. Leander, empleado en un museo naval en Suecia, perdió su trabajo a raíz de un control del personal por el que se reunió información secreta sobre su persona y se llegó a la conclusión de que no podía trabajar en un museo que tenía varios almacenes ubicados en zona militar prohibida. Este asunto permitió al Tribunal Europeo de Derechos Humanos afirmar de forma contundente el principio según el cual tanto la conservación como la comunicación de datos personales, acompañada de una negativa a acordar la facultad de oponerse a los mismos, lesionan el respeto de la vida privada. Al examinar la justificación de tal lesión, el juez europeo consideró que «[p]ara preservar la seguridad nacional, los Estados contratantes necesitan, indudablemente, leyes que habiliten a las autoridades nacionales competentes a recoger y conservar información sobre las personas en ficheros secretos, y luego a utilizar dicha información cuando se deba evaluar la aptitud de los candidatos a puestos importantes desde el punto de vista de la seguridad» (§59). Habida cuenta de las garantías con las que contaba el sistema sueco de control del personal y del amplio margen de apreciación que se reconoce al Estado, el Tribunal declaró que «el Gobierno demandado estaba legitimado para considerar que los intereses de la seguridad nacional prevalecían en el presente asunto sobre los intereses individuales del demandante». La injerencia que sufrió el Sr. Leander no era, por tanto, desproporcionada a la luz del fin legítimo perseguido (§67).
109– Véase, TEDH, sentencia Murray c. Reino Unido de 28 de octubre de 1994 (serieA, nº300, §47 y 90). En este asunto, el objetivo de la lucha contra el terrorismo permite justificar que las Fuerzas Armadas obliguen a consignar objetos personales de la primera demandante. Este Tribunal señala, en particular, que no le corresponde «sustituir la apreciación de las autoridades nacionales por la suya propia en lo que se refiere a la política que resulte más oportuna en el ámbito de la persecución de los delitos terroristas» (§90). Véase, igualmente, la sentencia Klass, antes citada, §49.
110– Según Ritleng, D., como respecto al concepto sinónimo de «vulneración patente», se incurre en error manifiesto de apreciación «en caso de infracción grave de las disposiciones legales hasta el punto de ser evidente. Por muy discrecional que sea, la apreciación de los hechos no puede conducir a las instituciones comunitarias a decidir cualquier cosa; mediante el control del error manifiesto de apreciación, el juez prohíbe una utilización gravemente errónea de la libertad de apreciación». Véase «Le contrôle de la légalité des actes communautaires par la Cour de justice et le Tribunal de première instance des Communautés européennes», Tesis doctoral leída el 24 de enero de 1998 en la Universidad Robert Schuman de Estrasburgo, p.538, punto628.
111– Véase, en materia de política agrícola común, la sentencia del Tribunal de Justicia de 13 de noviembre de 1990, Fedesa y otros (C‑331/88, Rec. p.I‑4023), apartado 14. Véase, igualmente, en materia de derechos antidumping, la sentencia del Tribunal de Primera Instacia de 5 de junio de 1996, NMB y otros/Comisión (T‑162/94, Rec. p.II‑427), apartado 70.
112– Véase, en materia de política agrícola común, la sentencia del Tribunal de Justicia de 5 de octubre de 1994, Alemania/Consejo (C‑280/93, Rec. p.I‑4973), apartado 91. Esta jurisprudencia se extiende a otros ámbitos, por ejemplo, en materia de política social, en que el Tribunal de Justicia ha reconocido al Consejo «una amplia facultad de apreciación, por tratarse de un ámbito que […] implica que el legislador se pronuncie sobre opciones de política social y realice valoraciones complejas» (sentencia Reino Unido/Consejo, antes citada, apartado 58). Cabe señalar que, igualmente, en materia de acceso del público a los documentos de las instituciones comunitarias, y con respecto al alcance del control judicial de la legalidad de una decisión denegatoria, el Tribunal de Primera Instancia ha otorgado al Consejo un amplio margen de apreciación en el marco de una decisión denegatoria basada en la protección del interés público en materia de relaciones internacionales, o en la protección del interés público en relación con la seguridad pública: véase, en particular, en materia de lucha contra el terrorismo la sentencia del Tribunal de Primera Instancia de 26 de abril de 2005, Sison/Consejo (T‑110/03, T‑150/03 y T‑405/03, Rec. II‑0000), apartado 46, y 71 a82.
113– Además de la sentencia Reino Unido/Consejo, antes citada, existen numerosos ejemplos en los que el juez comunitario ha reconocido el carácter complejo de las valoraciones que se ven obligadas a realizar las instituciones comunitarias: véase, en particular, en materia de libertad de establecimiento la sentencia de 13 de mayo de 1997, Alemania/Parlamento y Consejo (C‑233/94, Rec. p.I‑2405), apartado 55. Como ejemplo de reconocimiento por el Tribunal de Primera Instancia de «consideraciones complejas de orden económico y social», véase la sentencia de 13 de septiembre de 1995, TWD/Comisión (T‑244/93 y T‑486/93, Rec. p.II‑2265), apartado82.
114– En este sentido, por ejemplo, considero que la Comisión disponía de un amplio margen de apreciación para determinar si, en el marco concreto de la transferencia de datos PNR, los Estados Unidos podían garantizar un nivel adecuado de protección de dichos datos personales.
115– Según la Comisión, «el régimen PNR establece una solución específica a un problema específico […]. En efecto, la Comunidad y los Estados Unidos han negociado un sistema cerrado de protección de datos propio del CBP, distinto del sistema estadounidense, y enmarcado por garantías administrativas complementarias al control estadounidense y a los controles administrativos y legales europeos» (punto 13 de sus observaciones sobre el escrito de formalización de la intervención del SEPD en el asunto C‑318/04).
116– Recuérdese que se trata de las rúbricas nº19 «Observaciones generales»; nº26 «Información OSI [“Other Service Information”]», y nº27 «Información SSI/SSR [“Special Service Request”]».
117– Véanse los puntos 20 y 21 de las observaciones de la Comisión sobre el escrito de formalización de la intervención del SEPD en el asunto C‑318/04.
118– Asimismo, se señala en la nota 7 de los Compromisos que cuando el registro PNR se transfiere al archivo de registros suprimidos se almacena como información bruta que no es localizable inmediatamente y que, por lo tanto, no es utilizable en las investigaciones «tradicionales» de aplicación de laley.
119– Véanse los puntos 8, letrad), y 10 del Convenio nº108, así como el artículo 22 de la Directiva 95/46.
120– Véase el punto 36 de los Compromisos que establece:
«El CBP proporcionará información a los viajeros sobre los requisitos PNR y las cuestiones relacionadas con su utilización (a saber, información general sobre la autoridad responsable de la recogida de datos, finalidad de la recogida, protección de datos, datos compartidos, identidad del funcionario responsable, procedimientos disponibles de reparación e información de contacto para personas que formulan preguntas, preocupaciones, etc., publicaciones en el sitio web del CBP, en los folletos de viajes, etc.).»
121– Se trata de la Freedom of Information Act (título 5, artículo 552, del Código de los Estados Unidos; en lo sucesivo, «FOIA»). Por lo que se refiere a los documentos en posesión del CBP, debe interpretarse lo dispuesto en la FOIA en relación con el título 19, artículos 103.0 y ss. del Código de Reglamentos Federales.
122– La FOIA establece una presunción según la cual todo documento gubernamental federal debe ponerse a disposición de cualquier persona. Sin embargo, el organismo gubernamental de que se trate puede eximirse de esta presunción de divulgación si prueba que la información que busca forma parte de la categoría de información exenta de la obligación de divulgación. A este respecto, es preciso señalar que, con arreglo al punto 37 de los Compromisos «[e]n el caso de una solicitud en primera instancia, el hecho de que el CBP considere, por otro lado, que la información del PNR sea información personal y confidencial sobre la persona afectada o información comercial y confidencial de la compañía aérea no será utilizado por este organismo, en el marco de la ley sobre libertad de información, para ocultar información del PNR a la persona afectada».
123– El subrayado es mío. El punto 38 de los Compromisos se remite a este respecto al título 5, artículo 552(a)(4)(B) del Código de los Estados Unidos, así como al título 19, artículo 103.7-103.9 del Código de Reglamentos Federales. De estas disposiciones se desprende que al recurso judicial («judicial review») contra la denegación por el CBP de una solicitud de divulgación deberá precederle un recurso administrativo ante el FOIA Appeals Officer (título 19, artículo 103.7 del Código de Reglamentos Federales). Si la denegación de divulgación persiste tras la resolución de este recurso administrativo, el solicitante puede entonces interponer un recurso judicial ante una District Court federal, que es competente para ordenar la divulgación de toda información erróneamente denegada por un organismo gubernamental.
124– La dirección del «Assistant Commissioner» aparece mencionada en el mismo punto.
125– Su dirección figura en el punto 41 de los Compromisos.
126– Véase, en este sentido, el apartado 5 del artículo 222 de la Ley estadounidense de 2002 relativa a la Seguridad Interior (Homeland Security Act – Public Law, 107-296, de 25 de noviembre de 2002) que prevé que el Chief Privacy Officer deberá someter, anualmente, al Congreso un informe sobre las actividades del Ministerio de Seguridad Interior que tengan incidencia en la protección de la vida privada, y que enumere las eventuales denuncias por infracción del derecho a la vida privada.
127– Véase la nota 11 de los Compromisos de la que se puede deducir que el Chief Privacy Officer «no depende de ninguna dirección dentro del Department of Homeland Security. Está obligado por norma a garantizar que el uso de la información personal cumpla la normativa pertinente […]. Las decisiones [de este Director] […] serán vinculantes para el Departamento y no podrán revocarse por motivos políticos». Además, cabe señalar que la exigencia relativa a la posibilidad de imponer un recurso ante un órgano independiente dotado de facultades decisorias se desprende, en particular, de la sentencia del Tribunal Europeo de Derechos Humanos de 7 de julio de 1989, Gaskin c. Reino Unido (serieA, nº160, §49). Asimismo, obsérvese que el artículo 8 de la Carta de los derechos fundamentales de la Unión Europea, en su apartado 3, prevé que el respeto de las normas que éste enuncia «quedará sujeto al control de una autoridad independiente».
128– Véase, por ejemplo, la sentencia de 29 de febrero de 1996, Bélgica/Comisión (C‑56/93, Rec. p.I‑723), apartado86.
129– Sentencias de 27 de septiembre de 1988, Grecia/Consejo (204/86, Rec. p.5323), apartado 16, y de 30 de marzo de 1995, Parlamento/Consejo (C‑65/93, Rec. p.I‑643), apartado23.
130– Dictamen de 13 de diciembre de 1995 (Rec. p.I‑4577), pronunciado a solicitud de la República Federal de Alemania sobre la compatibilidad con el Tratado del Acuerdo marco sobre los plátanos entre la Comunidad Europea y Colombia, Costa Rica, Nicaragua y Venezuela.
131– Punto 21 del dictamen (el subrayado es mío).
132– Punto 22 del dictamen.