UE y EE UU, en rumbo de colisión

Las medidas de seguridad establecidas en EE UU que facultan a las autoridades a conocer los datos de los pasajeros han colocado entre la espada y la pared a las aerolíneas españolas. Si facilitan esos datos, pueden ser sancionadas por las agencias de protección de sus países

A raíz del 11-S de 2001, las autoridades de EE UU han adoptado numerosas medidas para reforzar la seguridad nacional. Una de ellas ha originado un conflicto institucional entre el Parlamento y la Comisión europeos, que podría degenerar en un conflicto político y comercial entre la UE y EE UU de consecuencias imprevisibles. Se trata de la Aviation and Transportation Security Act (2001), que faculta al Departamento de Aduanas y Seguridad Fronteriza a acceder a todos los datos de los pasajeros (Passenger Name Record o PNR) con destino o en tránsito a EE UU, almacenados en las bases de datos de las compañías aéreas de todo el mundo.

Esta medida sitúa a las aerolíneas que operan en la UE entre la espada y la pared. Si no proporcionan a las autoridades estadounidenses acceso a los PNR, pueden ser sancionadas con multas millonarias e incluso pérdida de los derechos de vuelo a EE UU. Por otra parte, las leyes de protección de datos de los Estados miembros de la UE (que desarrollan la Directiva europea 95/46 sobre la materia) establecen requisitos estrictos para la transferencia internacional de datos personales, incompatibles con el nuevo sistema estadounidense de control previo de pasajeros. En consecuencia, si las europeas acceden a las exigencias estadounidenses, ellas y sus ejecutivos pueden ser sancionados con multas millonarias por las agencias nacionales de protección de datos.

Con el fin de encontrar una solución a este conflicto de leyes y de intereses nacionales -la seguridad estadounidense frente a las libertades individuales y la protección de datos personales en la UE-, la Comisión europea entabló contactos bilaterales. Las negociaciones se intensificaron a finales de 2002 y las autoridades estadounidenses consintieron en posponer la entrada en vigor efectiva de la medida hasta el 5 de marzo de 2003. El objetivo último de la Comisión era y sigue siendo la obtención de garantías respecto al funcionamiento y aplicación del nuevo sistema de control de pasajeros que le permitan adoptar una decisión considerando el sistema compatible con la Directiva Europea 95/46 (mecanismo recogido en el artículo 26.5 de dicha directiva). Dicha solución evitaría la intervención de las agencias nacionales de protección de datos con el consiguiente riesgo de soluciones divergentes, conflictos con las autoridades estadounidenses y, en última instancia, perjuicios para las compañías y los pasajeros europeos.

A comienzos de 2003 la posibilidad de un conflicto político y comercial de grandes proporciones adquiría cada vez más fuerza y el Parlamento Europeo fijó su atención en esta cuestión, requiriendo a la Comisión una actuación concertada. Sin embargo, poco después la Comisión y las autoridades estadounidenses emitieron una declaración conjunta anunciando una serie de compromisos transitorios en forma de mayores (pero aún insuficientes) garantías respecto al acceso a los PNR y su voluntad común de llegar a una solución definitiva mediante una decisión en virtud del artículo 25.6 de la Directiva 95/46 o un acuerdo bilateral entre la UE y EE UU. Esta declaración no tenía efectos jurídicos, pero invitaba a las agencias nacionales de protección de datos a no actuar contra las empresas que proporcionasen a las autoridades estadounidenses acceso a sus PNR, mientras continuaban las negociaciones. Ello motivó una reacción airada del Parlamento Europeo por no haber sido consultado en este proceso, considerando una claudicación de la Comisión frente a los intereses estadounidenses.

En los meses que han seguido a este rifirrafe institucional, las agencias nacionales de protección de datos personales han adoptado, con excepciones, una actitud pasiva frente a las transferencias de los PNR a EE UU. Entre tanto la Comisión ha obtenido mayores garantías que, sin embargo, no son suficientes para fundamentar una decisión de compatibilidad del nuevo sistema de control con la Directiva 95/46. En septiembre el Parlamento, liderado en este asunto por el Partido Radical italiano de Enma Bonino, ha pasado a la ofensiva adoptando una resolución en la que emplaza a la Comisión, bajo amenaza de denuncia al Tribunal Europeo, a tomar en el plazo de dos meses las medidas apropiadas para que se cumplan las normas sobre protección de datos. Dicho plazo legal ha expirado el 9 de diciembre, con lo que el Parlamento podría denunciar a la CE ante el tribunal inmediatamente.

Algunos parlamentarios han denunciado a título personal a compañías aéreas ante las autoridades nacionales, comenzando por la agencia belga de protección de datos. Curiosamente, las primeras compañías investigadas en Bélgica han sido Continental Airlines y United Airlines (ambas norteamericanas).

Las espadas están en alto en una partida en la que todos los jugadores tienen mucho que perder: la Comisión sigue negociando contrarreloj con EE UU mientras sobre ella pende la amenaza de acciones judiciales del Parlamento. Las agencias nacionales, que tienen competencias de policía y control en materia de datos pueden verse obligadas a adoptar medidas legales contra el nuevo sistema de control estadounidense, perjudicando de esta manera a las compañías y los pasajeros. El papel del Parlamento puede ser cuestionado: ¿defensor de los ciudadanos o azote interesado de la Comisión? Los Gobiernos deberán posicionarse en este conflicto bien apoyando los esfuerzos negociadores de la Comisión o asumiendo el posible coste político y económico de las decisiones del Parlamento europeo y de sus agencias nacionales de protección de datos. Y por último, las víctimas inocentes de todo este conflicto: las compañías aéreas, que siguen operando en una situación de inseguridad jurídica con un alto riesgo para sus maltrechas economías en espera de una solución definitiva.