16 de abril de 2016

El PNR: Así es como las compañías aéreas tendrán derecho a saber todo sobre ti

Diego Naranjo
Abogado especialista en DDHH y asesor legal de European Digital Rights (EDRi)

El Parlamento Europeo ha aprobado este jueves 14 de abril la propuesta de Directiva EU PNR a pesar de la oposición de grupos de la sociedad civil (Access Now, EDRi…), del Supervisor Europeo para la Protección de Datos personales (EDPS) y la Agencia Europea de Derechos Fundamentales (FRA). Esta Directiva permitirá a las compañías crear bases de datos sobre sus pasajeros que podrán ser consultadas a discreción por los servicios de seguridad. ¿Qué significa esta recopilación de datos y por qué perjudica a los ciudadanos europeos?
lax-airport

¿Qué es PNR?
PNR (por las siglas en inglés de Passenger Name Record, o registro de pasajeros) es una medida de creación de perfiles. Intenta adivinar, usando algoritmos, quién puede suponer una amenaza terrorista u otro tipo de criminal internacional de acuerdo a los patrones creados al mezclar diferentes tipos de datos de pasajeros (nacionalidad, rutas de vuelos, formas de pago usados…) cuando alguien reserva un vuelo con una compañía aérea. Como bien señala el profesor Emérito de Derecho Internacional Douwe Korff en su informe presentado al Consejo de Europa, la creación de perfiles supone una “amenaza seria de un mundo kafkiano en el que agencias poderosas” (como la estadounidense NSA, famosa tras las filtraciones reveladas por Edward Snowden sobre espionaje masivo) toman decisiones que afectan en gran medida a individuos, sin que esas mismas agencias necesiten explicar las razones que llevan a dichas decisiones. Además, a esas personas se les niega cualquier recurso individual o colectivo frente a ellas. La creación de perfiles es tan seria como lo siguiente: Presenta una amenaza a los más básicos principios del Estado de Derecho y la relación entre los poderosos y el resto de la población en una sociedad democrática”.
La Directiva EU PNR no añade más que la inseguridad de un nuevo sistema de bases de datos innecesaria, el riesgo de un algoritmo al que no se le pueden pedir responsabilidades pero que pone a gente inocente bajo el riesgo de que sospechas infundadas le lleven a sufrir desde retrasos o embarques denegados a arrestos, así como en general ser sujeto a una vigilancia masiva indiscriminada. Con la decisión del Parlamento Europeo, este podrá terminar siguiendo el camino que inició con la Directiva de Retención de Datos (invalidada por el TJUE en 2014), es posible que encuentre el mismo resultado: un placebo fallido, inefectivo para miedos relacionado con la seguridad frente al terrorismo.

¿Cómo funciona el Registro de Pasajeros (PNR)?
El registro de PNR se crea cuando alguien reserva un vuelo. En ese momento, el agente de viajes o la página web que gestiona la reserva crea un PNR en un sistema de reserva informático llamado “computer reservation system” (CRS). El PNR incluye información obtenida de los pasajeros y que es usada por las compañías aéreas para finalidades puramente comerciales (gestión del vuelo del pasajero).
PNR fue diseñado en un principio para ser usado solamente como un registro que contiene el itinerario de un pasajero o para pasajeros que viajan dentro de un grupo. La idea era poder compartir la información entre compañías en el caso de que los pasajeros requirieran usar diferentes compañías para llegar a su destino final.  

¿Qué tipo de datos se incluyen?
Los registros de pasajeros (PNR) ahora pueden incluir todo tipo de información que los pasajeros hayan proporcionado, incluyendo entre otros el día del viaje y el itinerario completo, el nombre y su información de contacto, preferencias de comida (kosher, halal, vegeteriana…), información de viajeros frecuentes (tarjetas de fidelidad), formas de pago e información médica. En algunos casos, las compañías pueden tener accesos a otros datos como reserva de hotel, alquiler de vehículos, viajes de tren…

¿Qué añade PNR en cuanto a prevención de terrorismo o crímenes transnacionales respecto de otros sistemas que ya existen?
Nada. Hay muchas otras maneras de obtener la misma información. Por ejemplo, las fuerzas de seguridad y las agencias de inteligencia pueden requerir el acceso a datos de PNR a través de una orden judicial, siguiendo el procedimiento normal en cada sistema judicial nacional.
Además, hay otras medidas que las autoridades ya pueden usar para identificar a sospechosos de formar parte de actividades criminales, tales como el Schengen Information System, el Visa Information System, el Eurodac, el ECRIS  y los datosAPI (Advance Passenger Information).

¿Ha sido probado que la Directiva EU PNR es efectiva, proporcional o necesaria?
No. La Directiva se va a adoptar a pesar de las quejas vertidas por la Agencia Europea de Derechos Fundamentales (FRA), el Supervisor Europa para la Protección de Datos y el Grupo de protección de datos personales del artículo 29, órgano asesor de la UE sobre protección de datos e intimidad. El estudio del profesor Korff preparado para el Consejo de Europa citado al principio explica que “no hay pruebas serias y verificables producidas por los que proponen la recolección de datos personales que demuestren que el minado de datos y la creación de perfiles a partir de información obtenida a través trasvases masivos de datos, o que añadir datos de PNR a esa montaña ya creada, podría ni siquiera ser útiles a los fines perseguidos – sin entrar ni siquiera que sea efectivo o no”.
.

    0 comentarios:

    Publicar un comentario