Agencia Estatal Boletín Oficial del Estado

La Comisión Permanente del Consejo de Estado, en sesión celebrada el día 13 de septiembre de 2018, , emitió, por unanimidad, el siguiente dictamen:

"Por Orden comunicada de V. E. de fecha 16 de agosto de 2018 (con registro de entrada el día siguiente), el Consejo de Estado ha examinado el expediente relativo a un anteproyecto de Ley Orgánica sobre la utilización de los datos del registro de nombres de pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves. La consulta se formula con carácter de urgencia.

De antecedentes resulta:

PRIMERO. Contenido del anteproyecto de Ley Orgánica

El anteproyecto de Ley Orgánica sometido a consulta (en adelante, de modo abreviado, el "Anteproyecto") consta de una exposición de motivos, treinta y cinco artículos organizados en tres capítulos, siete disposiciones adicionales y cuatro disposiciones finales.

La parte expositiva destaca que la utilización de los datos del registro de nombres de los pasajeros ("Passenger Name Record", en adelante PNR) para prevenir, detectar, investigar y enjuiciar los delitos de terrorismo y otros delitos graves es una de las medidas previstas por la Unión Europea para lograr su objetivo de protección de la vida y de la seguridad de los ciudadanos. A tal fin se ha adoptado la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave (en adelante, la Directiva). La Directiva obliga a los Estados miembros a aprobar disposiciones para que se transfieran los datos PNR de los vuelos exteriores de la Unión Europea a una Unidad de Información sobre Pasajeros (en adelante, UIP) que deberá crear cada Estado; sienta las bases para establecer en la Unión Europea un sistema uniforme para el tratamiento de los datos PNR, precisando para ello los fines de su recogida, utilización y transmisión; regula el establecimiento de unidades únicas de información sobre los pasajeros en cada Estado miembro; impone a los operadores la obligación de transmitir los datos PNR en determinados supuestos; y prevé la imposición de sanciones efectivas, proporcionadas y disuasorias ante eventuales incumplimientos.

El Anteproyecto regula la transferencia de los datos PNR por parte de las compañías aéreas y otros sujetos obligados; los fines para los que puedan ser utilizados los datos PNR ?prevención, detección, investigación o enjuiciamiento de los delitos de terrorismo y delitos graves?; los datos de los pasajeros que deben ser enviados a la UIP; la recepción, tratamiento y análisis de los datos PNR por la UIP; las transmisiones de datos PNR o del resultado de su tratamiento a las autoridades competentes y a otros Estados miembros; y la figura del responsable de protección de datos PNR. Además, establece un detallado régimen sancionador en el que define los sujetos responsables, tipifica las infracciones y las clasifica en función de su gravedad, regula las sanciones según la gravedad de la infracción cometida e incluye algunas normas sobre el procedimiento sancionador y su plazo de caducidad.

Por último, la parte expositiva destaca varios aspectos: que en la elaboración del Anteproyecto se han observado de forma rigurosa los principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia, recogidos en el artículo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas; que se trata de una norma necesaria para la transposición de la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016; que la transposición se lleva a cabo mediante norma con rango de ley orgánica por suponer un desarrollo de derechos fundamentales de los ciudadanos; y, por último, que la norma está incluida en el Plan Anual Normativo para 2018 aprobado por el Consejo de Ministros de 7 de diciembre de 2017.

Por su parte, la parte dispositiva del Anteproyecto puede resumirse como sigue:

El CAPÍTULO I, "Disposiciones generales", consta de cinco artículos.

El artículo 1, "Objeto", establece que la Ley regula la transferencia de los datos PNR y de la información de la tripulación y de cualquier otra persona a bordo de vuelos internacionales y, en su caso, nacionales; el sistema de recogida, uso, almacenamiento, tratamiento, protección, acceso y conservación de los datos PNR así como su transmisión a las autoridades competentes y el intercambio de los mismos con los Estados miembros de la Unión Europea, con Europol y con terceros países; la determinación y atribución de las funciones de la UIP española; y el régimen sancionador aplicable a las infracciones cometidas en este ámbito. Además, el artículo señala que los datos PNR solo podrán ser objeto de tratamiento con la finalidad de prevenir, detectar, investigar y enjuiciar los delitos de terrorismo y delitos graves enumerados en el artículo 4, y de acuerdo con lo establecido en el artículo 12.2.

El artículo 2, "Ámbito de aplicación", señala que la Ley será de aplicación a los datos PNR correspondientes a las personas que viajen en los vuelos internacionales ?tanto interiores como exteriores de la Unión Europea? que tengan su salida o llegada en territorio español o que hagan escala en él, independientemente de que sean comerciales o privados, salvo las excepciones que establece. También se prevé la posibilidad de que, excepcionalmente, se aplique a ciertos vuelos nacionales.

El artículo 3, "Sujetos obligados", determina que los sujetos obligados son las compañías aéreas; los operadores de las aeronaves, en el caso de los vuelos privados; y las entidades de gestión de reserva de vuelos.

El artículo 4, "Delitos de terrorismo y delitos graves", define los delitos de terrorismo y establece el listado de los que, a los exclusivos efectos de esta ley orgánica, se consideran delitos graves.

El artículo 5, "Datos del registro de nombres de pasajeros: datos PNR", define los datos PNR como aquellos datos relativos al viaje de un pasajero, reservado por él o en su nombre, que recoge la información necesaria para la gestión de la reserva y determina qué datos deben transmitir los sujetos obligados.

El CAPÍTULO II, "Tratamiento de los datos PNR", consta de quince artículos.

El artículo 6, "Unidad de Información sobre Pasajeros", encuadra la UIP en el Centro de Inteligencia contra el Terrorismo y el Crimen Organizado, dependiente de la Secretaría de Estado de Seguridad del Ministerio del Interior, y la hace responsable del tratamiento, almacenamiento y análisis de los datos PNR.

El artículo 7, "Funciones de la UIP", señala como tales la recogida y almacenamiento de los datos PNR, su transmisión a las autoridades competentes y el intercambio de los datos PNR y del resultado de su tratamiento con las UIP de otros Estados miembros. En su segundo apartado, el artículo concreta las facultades que se le conceden a la UIP para cumplir tales funciones.

El artículo 8, "Responsable de protección de datos", establece que la UIP designará a un responsable de protección de los datos PNR para controlar su tratamiento y asegurar que se aplican las garantías en materia de protección de datos.

El artículo 9, "Obligaciones de transmisión de datos", regula las obligaciones de transmisión de datos PNR a la base de datos de la UIP por parte de los sujetos obligados y su modo de realización.

El artículo 10, "Momentos de la transmisión de datos", precisa cuándo las compañías aéreas transmitirán los datos PNR a la UIP ?entre las 24 y las 48 horas antes de la hora de salida programada del vuelo, e inmediatamente después del cierre del vuelo, una vez que los pasajeros han embarcado en el avión en preparación de la salida y no es posible embarcar o desembarcar?.

El artículo 11, "Régimen jurídico aplicable al tratamiento de datos PNR", prevé que los tratamientos de datos de carácter personal que lleven a cabo la UIP y las autoridades competentes referidas en el artículo 14 se regirán por esta ley orgánica y supletoriamente por la norma que trasponga la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. El segundo apartado dispone que los tratamientos de datos de carácter personal realizados por los sujetos obligados referidos en el artículo 3 se regirán, sin perjuicio de las obligaciones establecidas en esta ley orgánica, por lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) -en adelante, RGPD- y por la legislación interna que se dicte en uso de la habilitación contenida en aquel.

El artículo 12, "Tratamiento de los datos PNR", dispone que los datos PNR recogidos por la UIP solo podrán ser tratados por esta para los concretos propósitos que determina, y concreta las operaciones a las que la UIP podrá someter los datos PNR. Si la evaluación arrojara un resultado positivo, la UIP procederá a la revisión individual de ese resultado para comprobar si es necesario que las autoridades competentes realicen un examen ulterior de los datos o emprendan las acciones o inicien los procedimientos oportunos.

El artículo 13, "Consecuencias de la evaluación", preceptúa que las consecuencias de las evaluaciones de los pasajeros no perjudicarán el derecho de entrada en España de las personas que gocen del derecho de libre circulación en la Unión Europea. No obstante, prevé que cuando estas evaluaciones se efectúen en relación con pasajeros de vuelos interiores de la Unión Europea a los que sea aplicable el Reglamento (UE) 2016/399 del Parlamento y del Consejo, de 9 de marzo de 2016, por el que se establece un Código de normas de la Unión para el cruce de personas por las fronteras, las consecuencias se ajustarán a lo previsto en dicho reglamento.

El artículo 14, "Autoridades competentes", determina cuáles son las autoridades competentes para solicitar motivadamente a la UIP o recibir de ella datos PNR o el resultado del tratamiento de dichos datos a fin de seguir examinando esa información o de adoptar las medidas adecuadas para prevenir, detectar, investigar y enjuiciar delitos de terrorismo y delitos graves. Asimismo, establece que no se puede adoptar decisión alguna que produzca efectos jurídicos adversos para una persona o que afecte negativamente a una persona únicamente con base en el tratamiento automatizado de datos PNR.

El artículo 15, "Protección de los datos de carácter personal", prohíbe a la UIP tratar datos PNR que revelen el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, la pertenencia a un sindicato o partido político, la salud o la vida y orientación sexual de la persona, y establece que si recibiera tales datos PNR deberá suprimirlos de inmediato. El precepto dispone que la UIP, bajo su responsabilidad, conservará la documentación relativa a todos los sistemas y procedimientos de tratamiento, determina el contenido mínimo de dicha documentación y prevé que la UIP pondrá esta documentación a disposición de la autoridad nacional de control cuando esta se lo solicite y de acuerdo con la legislación vigente. También establece que la UIP llevará registros de las operaciones de recogida, consulta, transferencia y supresión de los datos y que estos registros se utilizarán exclusivamente a efectos de verificación, de autocontrol y de garantizar la integridad de los datos y su seguridad o de auditoría. Dichos registros se conservarán por un período de cinco años. La UIP pondrá los registros a disposición de la autoridad nacional de control a petición de esta, de acuerdo con la legislación vigente, y aplicará las medidas para garantizar el nivel de seguridad correspondiente a los riesgos que entrañen el tratamiento y las características de los datos PNR.

El artículo 16, "Intercambio de información entre Estados miembros de la Unión Europea", dispone que la UIP transmitirá los datos PNR, o el resultado de su tratamiento, relativos a las personas identificadas por la misma a la UIP de otro Estado miembro "siempre que sea pertinente y necesario". En caso de que la UIP los reciba de la UIP de otro Estado miembro y de que, tras una revisión individualizada, los considere pertinentes y necesarios, deberá proporcionarlos a las autoridades competentes correspondientes. La UIP tendrá derecho a solicitar datos PNR a la UIP de cualquier otro Estado miembro para la prevención, detección, investigación o enjuiciamiento de delitos de terrorismo o delitos graves. Recíprocamente, la UIP de otro Estado miembro podrá solicitar directamente a la UIP datos PNR o el resultado de su tratamiento. Las autoridades competentes que requieran datos PNR recabados por un Estado miembro canalizarán sus solicitudes a través de la UIP.

El artículo 17, "Transferencia de datos a Europol", establece que la UIP transferirá los datos PNR específicos, o el resultado de su tratamiento, solicitados por Europol de forma electrónica y debidamente motivada, cuando sea estrictamente necesario para apoyar y reforzar la acción de un Estado miembro de la Unión Europea a efectos de prevenir, detectar, investigar o enjuiciar delitos de terrorismo o delitos graves, siempre que el delito entre dentro del ámbito de competencias de Europol.

El artículo 18, "Transferencias de datos a terceros países no miembros de la Unión Europea", faculta a la UIP a transferir a terceros países datos PNR, así como el resultado del tratamiento de dichos datos, en casos concretos y si se cumplen todos los requisitos que el precepto establece, salvo en circunstancias excepcionales.

El artículo 19, "Período de conservación de los datos y despersonalización", establece un plazo de cinco años para la conservación de los datos PNR proporcionados a la UIP e impone la obligación de suprimirlos totalmente cuando haya transcurrido dicho plazo. Además, prevé que, transcurrido un plazo de seis meses desde su recepción, todos los datos PNR deberán ser despersonalizados mediante enmascaramiento, para evitar identificar directamente a los afectados. No obstante, el apartado tercero permite que, si concurren determinadas circunstancias y autorizaciones, se puedan transmitir los datos completos después de que hayan transcurrido los seis meses aludidos.

El artículo 20, "Competencias de la Agencia Española de Protección de Datos", dispone que la Agencia, además de las competencias que le otorga su normativa específica, ejercerá aquellas otras específicas que el artículo le atribuye como autoridad nacional de control de datos PNR.

El CAPÍTULO III, "Régimen sancionador", contiene quince artículos:

Sección 1ª, "Sujetos responsables e infracciones"

El artículo 21, "Concepto", define como infracciones las acciones y omisiones tipificadas en la Ley Orgánica y prevé que serán sancionables incluso a título de simple negligencia.

El artículo 22, "Disposiciones comunes", establece que el ejercicio de la potestad para sancionar las infracciones previstas en la Ley Orgánica se regirá por lo dispuesto en este capítulo, por la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y por el capítulo III del título preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, y sus disposiciones de desarrollo.

El artículo 23, "Sujetos responsables", determina que la responsabilidad por las infracciones cometidas recaerá directamente en los sujetos obligados que, por acción u omisión, realicen la conducta en que consista la infracción; que los incumplimientos que se produzcan en relación con un mismo vuelo constituyen una única infracción; y que las infracciones cometidas por el responsable del tratamiento de los datos PNR y por el responsable de protección de dichos datos se sancionarán de acuerdo con lo dispuesto en la normativa general sobre protección de datos de carácter personal.

El artículo 24, "Concurso de normas", concreta las reglas para determinar la norma aplicable cuando los hechos sean susceptibles de ser calificados como infracciones con arreglo a dos o más preceptos de esta o de otra ley orgánica.

El artículo 25, "Clasificación de las infracciones", clasifica estas en tres categorías: muy graves, graves y leves.

El artículo 26, "Infracciones muy graves", contiene una lista de cuatro conductas infractoras que califica de infracciones muy graves.

El artículo 27, "Infracciones graves", califica como tales siete conductas infractoras.

El artículo 28, "Infracciones leves", califica como infracciones leves el incumplimiento de la obligación de informar a la UIP sobre los formatos de datos y protocolos de transmisión en el plazo previsto y cualquier otro incumplimiento que no constituya infracción grave o muy grave.

Sección 2ª, "Sanciones"

El artículo 29, "Sanciones", establece como sanciones multas cuyo importe se determina en una horquilla en función de su gravedad.

El artículo 30, "Graduación de las sanciones", determina las circunstancias que se han de tener en cuenta, de acuerdo con el principio de proporcionalidad, para graduar la cuantía de las sanciones.

El artículo 31, "Competencia sancionadora", señala los órganos competentes para la imposición de las sanciones en función de su gravedad.

El artículo 32, "Prescripción de las infracciones y sanciones" establece los plazos de prescripción de unas y otras en función de su gravedad.

Sección 3ª, "Procedimiento sancionador"

El artículo 33, "Medidas provisionales", prevé que los gastos ocasionados por la adopción de las posibles medidas provisionales serán de cuenta del causante de los hechos objeto del procedimiento sancionador y que dichos gastos, en su caso, serán reclamables cuando la sanción adquiera firmeza en vía administrativa.

El artículo 34, "Caducidad del procedimiento", determina que el procedimiento caducará transcurrido un año desde su incoación, sin perjuicio de que la Administración pueda acordar la incoación de un nuevo procedimiento en tanto no haya prescrito la infracción. Los procedimientos caducados no interrumpirán el plazo de prescripción.

El artículo 35, "Acceso a los datos de otras administraciones públicas", dispone que los órganos competentes para imponer las sanciones previstas en esta ley orgánica podrán acceder a los datos relativos a los sujetos infractores que estén directamente relacionados con la investigación de los hechos constitutivos de infracción, con las debidas garantías de seguridad, integridad y disponibilidad, y que el tratamiento posterior de estos datos deberá realizarse de conformidad con lo establecido en la normativa sobre protección de datos. El apartado segundo establece que a los exclusivos efectos de cumplimentar las actuaciones de los procedimientos regulados en esta ley orgánica, la Agencia Estatal de Administración Tributaria y la Tesorería General de la Seguridad Social facilitarán el acceso a los ficheros en los que obren datos que hayan de constar en dichos procedimientos.

La parte final del Anteproyecto incluye siete disposiciones adicionales y cuatro disposiciones finales.

La disposición adicional primera, "Formatos de datos y protocolos de transmisión", determina el plazo en que las compañías aéreas deberán informar a la Unidad de Información sobre Pasajeros del formato de datos y del protocolo de transmisión que utilizarán y prevé que el formato y el protocolo elegidos deberán estar entre los previstos en la Decisión de Ejecución (UE) 2017/759 de la Comisión, de 28 de abril de 2017.

La disposición adicional segunda, "Medios de transmisión", señala que las comunicaciones se harán según los procedimientos establecidos por la Secretaria de Estado de Seguridad.

La disposición adicional tercera, "No incremento de gasto público", declara que las medidas de esta ley no suponen incremento del gasto público.

La disposición adicional cuarta, "Transmisiones de datos PNR al Centro Nacional de Inteligencia", prevé que la transmisión de los datos PNR al Centro Nacional de Inteligencia se regirá por lo establecido en esta ley orgánica sin perjuicio de la normativa propia que le sea de aplicación.

La disposición adicional quinta, "Transmisiones de datos PNR a las Direcciones Generales de la Policía y de la Guardia Civil", prevé que la citada transmisión de datos PNR se regirá por lo establecido en esta ley orgánica sin perjuicio de la normativa propia que le sea de aplicación.

La disposición adicional sexta, "Transmisiones de datos PNR a la Agencia Estatal de Administración Tributaria", dispone que la transmisión de datos PNR a la Agencia se regirá por lo establecido en esta ley orgánica sin perjuicio de la normativa propia que le sea de aplicación.

La disposición adicional séptima, "Transmisiones de datos PNR a Jueces, Tribunales y Ministerio Fiscal", prevé que dicha transmisión se regirá por lo establecido en esta ley orgánica sin perjuicio de la normativa propia que le sea de aplicación.

La disposición final primera, "Título competencial", señala que la Ley Orgánica se dicta al amparo de lo previsto en el artículo 149.1.1.ª y 29.ª de la Constitución.

La disposición final segunda, "Preceptos que tienen carácter de Ley Orgánica", precisa tales preceptos.

La disposición final tercera, "Incorporación de derecho de la Unión Europea", declara que la Ley incorpora al Derecho español la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave.

La disposición final cuarta, "Entrada en vigor", determina que la Ley entrará en vigor a los dos meses de su publicación en el Boletín Oficial del Estado.

SEGUNDO. Contenido del expediente

A) Constan las versiones iniciales del Anteproyecto y de la memoria del análisis de impacto normativo.

El texto inicial del Anteproyecto fue elevado por el Ministro del Interior al Consejo de Ministros, que tomó conocimiento del mismo en su reunión del día 9 de febrero de 2018, según consta en diligencia firmada por la Ministra de la Presidencia y para las Administraciones Territoriales.

B) Obra el texto definitivo del Anteproyecto sometido a consulta y de la memoria del análisis de impacto normativo (en adelante, "la Memoria"), en la que se examina brevemente su contenido, la adecuación al orden constitucional de competencias, el impacto económico y presupuestario y su impacto por razón de género.

La Memoria defiende la oportunidad de la propuesta tomando como punto de partida la necesidad de adoptar herramientas para hacer frente al incremento de la amenaza del crimen organizado y, especialmente, del terrorismo en Europa. En este contexto, explica, se aprobó la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, cuya fecha límite de transposición era el 25 de mayo de 2018. El Anteproyecto transpone la mencionada directiva y adopta el rango de ley orgánica debido a que incluye medidas que afectan a derechos fundamentales. El Anteproyecto tiene como objetivos reforzar la lucha contra la delincuencia grave y el terrorismo mediante el tratamiento adecuado de los datos PNR; crear el marco regulador de la Unidad de Información sobre Pasajeros española (UIP) ?única competente para recibir, tratar y analizar los datos PNR enviados por los sujetos obligados, y responsable de la transmisión de los mismos o del resultado de su tratamiento a las autoridades competentes, que serán las responsables, en su caso, de su explotación operativa?; proporcionar seguridad jurídica a las empresas que operan en el sector aéreo al definir sus deberes como sujetos obligados a la transmisión de determinados datos; establecer un régimen sancionador proporcionado a los eventuales incumplimientos; y garantizar el pleno respeto de los derechos fundamentales y, muy especialmente, el derecho a la intimidad en el tratamiento de los datos de carácter personal de acuerdo con el principio de proporcionalidad.

A continuación, sostiene que el Anteproyecto respeta los principios de buena regulación contenidos en el artículo 129 de la Ley 39/2015, de 1 de octubre, y explica que, a la hora de analizar las alternativas contempladas en su elaboración, se descartó la transposición de la Directiva a través de la ley orgánica de protección de datos de carácter personal que está actualmente en tramitación parlamentaria porque dicha ley orgánica "tiene por objeto la adaptación del ordenamiento español al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, por lo que su contenido y vigencia tiene sentido de forma conjunta con aquél, que es directamente aplicable en nuestro ordenamiento"; y porque el Anteproyecto contiene "una regulación muy pormenorizada de la protección de datos de carácter personal de los pasajeros cuando vayan a ser tratados para los fines de la ley". Con base en lo anterior, la única alternativa posible era la aprobación de una ley orgánica específica para esta materia.

Seguidamente, describe el sistema de tratamiento y de protección de datos PNR, los sujetos implicados en el tratamiento y el modo de acceso a ellos. Asimismo, lleva a cabo una exposición pormenorizada del contenido del Anteproyecto por capítulos. También incluye una tabla de correspondencia entre los preceptos de la Directiva PNR y los del Anteproyecto y hace referencia al procedimiento de elaboración del texto (según expone, han intervenido diferentes centros directivos del Ministerio del Interior, se ha realizado un trámite de consulta pública previa y ha sido sometido al trámite de audiencia e información pública, lo cual provocó una reunión con la Asociación de Líneas Aéreas (ALA) y la Asociación de Transporte Aéreo (IATA) en la que se aceptaron un gran número de sus sugerencias). Explica que han informado las Secretarías Generales Técnicas de los Ministerios del Interior, de Justicia, de Hacienda y Función Pública, de Fomento, de la Presidencia y para las Administraciones Territoriales y de Economía, Industria y Competitividad, así como el Consejo General del Poder Judicial, el Consejo Fiscal y la Agencia Española de Protección de Datos. También han formulado observaciones el Gobierno Vasco y la Generalidad de Cataluña. Sin embargo, no se dice si las observaciones contenidas en esos informes se han tenido en cuenta en la versión final del Anteproyecto ni los motivos por los que se han aceptado o rechazado.

Según la Memoria, las medidas contempladas en el Anteproyecto no van a tener incidencia alguna en los gastos e ingresos públicos, pues ya se cuenta con los medios e infraestructura necesarios, al utilizarse el producto de código abierto Domibus que pertenece a la Comisión Europea ?herramienta que se suministra bajo la Licencia Pública de la Unión Europea, que permite su uso sin implicar gasto por parte de los gobiernos y las líneas aéreas?. Además, explica que su cumplimiento no generará a la Administración incremento de dotaciones, retribuciones, ni otros gastos de personal al servicio del sector público.

La norma va a tener un impacto económico negativo en el sector al que se van a imponer obligaciones que suponen cargas administrativas para las compañías aéreas. El coste anual de estas medidas se estima en 249.223.044 euros (el resultado de multiplicar el coste unitario de cada comunicación, 2 euros, por el número de personas afectadas cada año 124.611.522).

El Anteproyecto tiene un impacto de género nulo en cuanto que su contenido no establece medida alguna que pueda afectar a la igualdad de oportunidades entre hombres y mujeres. Tampoco tiene impacto sobre la infancia y la adolescencia y la familia ya que no regula nada relacionado con esos ámbitos.

C) Se ha realizado un trámite de consulta pública previa de 15 días naturales, entre el 4 y el 20 de mayo de 2017, en el que no se ha recibido observación alguna.

D) El Anteproyecto ha sido sometido al trámite de audiencia e información pública, entre el 13 de febrero y el 2 de marzo de 2018. En este trámite, después de mantener una reunión con autoridades del Ministerio del Interior, presentaron un informe conjunto la Asociación de Líneas Aéreas (ALA) y la Asociación de Transporte Aéreo (IATA). Entre las sugerencias que contiene el informe, pueden destacarse las siguientes:

1. Que se excluya del ámbito de aplicación del Anteproyecto a "la tripulación y cualquier otra persona a bordo del vuelo". Alegan que es una práctica internacional que las tripulaciones estén fuera del ámbito de los datos PNR, puesto que no disponen de reserva como tal.

2. Que se excluya del ámbito de aplicación del Anteproyecto a los vuelos nacionales porque no están incluidos en la Directiva.

3. Que se limiten los momentos de envío a los dos momentos indicados en la Directiva. La previsión de que las compañías aéreas deben transmitir cualquier modificación que se produzca durante el vuelo sobre los datos PNR emitidos en los anteriores envíos está completamente desalineada con las prácticas y estándares internacionales.

4. Sobre los datos PNR y las obligaciones de las compañías, hacen varias sugerencias: que se explicite que deberán enviarse los datos PNR que las compañías hayan recopilado en el transcurso normal de su actividad; que cuando existan varias compañías relacionadas con un vuelo, el sujeto obligado será la compañía operadora; y que no se utilice la expresión acceso a los datos PNR, sino la de transmisión de datos PNR.

5. En relación con el régimen sancionador, sugiere que se mejore la tipificación de las infracciones, afirma que es "absolutamente desproporcionado" el volumen de las sanciones y reclama que se elimine la sanción prevista en la primera versión, que consistía en la "extinción de las licencias o la suspensión de las actividades autorizadas".

E) Asimismo, constan los siguientes informes:

a) Informe de la Secretaría General Técnica del Ministerio de Justicia, de 15 de marzo de 2018. El informe, tras resumir los antecedentes, objeto y motivación de la norma proyectada, concluir que se adecua al orden constitucional de competencias y exponer su contenido, realiza observaciones y sugerencias a los artículos 2, 10, 12, 13, 15, 21 y 22 de la versión inicial del Anteproyecto.

El informe explica que "no cuestiona en absoluto" la ampliación del ámbito de aplicación del anteproyecto de Ley Orgánica, con respecto a lo dispuesto en la Directiva 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, pues entiende que esta ampliación está en línea con los objetivos de seguridad que persigue la Directiva, pero solicita que la Memoria explique la motivación y fundamento de esta ampliación, que aclare si el régimen jurídico de la Directiva se aplica de manera integral a estos nuevos supuestos y que se refleje que el Estado miembro que decida aplicar la Directiva a los vuelos interiores de la UE deberá notificarlo a la Comisión. Además, incluye sugerencias en cuanto a la autoridad competente para autorizar la transmisión de datos y, en materia de régimen sancionador, sobre la graduación de las sanciones.

b) Informe de la Secretaría General Técnica del Ministerio de Hacienda y Función Pública, de 26 de marzo de 2018. Del informe, que contiene numerosas observaciones, pueden destacarse las siguientes sugerencias: que se aclare el ámbito de aplicación de la Ley (artículo 2 de la versión inicial del Anteproyecto); que la enumeración de delitos del Anteproyecto se ajuste a los delitos establecidos en el Código Penal (artículo 3.2); que se verifique la efectividad de imponer a las "entidades de gestión de reservas" la obligación de transmitir los datos PNR, ante la posibilidad de que no estén establecidas en territorio español (artículo 4.2); que se introduzcan modificaciones en la redacción de las facultades atribuidas a la UIP para el ejercicio de sus funciones (artículo 6.2); que se introduzca una previsión específica sobre los derechos de los pasajeros en relación con sus datos personales (artículo 8); y que en el régimen sancionador (capítulo III) se introduzcan algunas precisiones con objeto de adecuarlo a la Ley 39/2015, de 1 de octubre.

c) Informe de la Secretaría General Técnica del Ministerio de Fomento, de 28 de febrero de 2018. El informe, tras aludir brevemente a los antecedentes del Anteproyecto, a su objeto, motivación y contenido y a la adecuación de la norma al orden de distribución de competencias, resume la tramitación seguida en el seno de la Secretaría General. Por último, el informe contiene observaciones sobre el ámbito de aplicación del Anteproyecto (artículo 2 de la versión inicial del Anteproyecto), sobre los sujetos obligados (artículo 4), sobre los datos PNR (artículo 5), sobre el responsable de almacenar, tratar y transferir los datos PNR (artículo 6), sobre las obligaciones de las entidades en relación con la transmisión de datos (artículo 7), sobre el régimen sancionador (capítulo III) y sobre los formatos de datos y protocolos de intercambio en relación con los vuelos privados (disposición adicional tercera).

d) Informe de la Secretaría General Técnica del Ministerio de la Presidencia y para las Administraciones Territoriales, de 20 de febrero de 2018.

El informe se limita a señalar que la referencia que hace el Anteproyecto a que es una norma incluida en el Plan Anual Normativo para el 2018 debe recogerse únicamente en la exposición de motivos del Anteproyecto y que la Memoria no tiene que incluir esta información, salvo que se trate de una norma que no esté incluida en el Plan Anual Normativo, en cuyo caso sí sería necesaria una justificación expresa.

Se adjunta un informe del Centro Nacional de Inteligencia (CNI) en el que se propone una nueva redacción de la disposición adicional sexta del texto inicial, que afecta al CNI (disposición adicional cuarta del texto remitido en consulta) y se explican las razones para ello. Se han aceptado parcialmente las sugerencias propuestas.

e) Informe de la Secretaría General Técnica del Ministerio de Economía, Industria y Competitividad, de 15 de marzo de 2018. El informe no contiene observaciones.

f) Informe del Consejo Fiscal, de 6 de marzo de 2018.

El informe efectúa unas consideraciones iniciales sobre la función consultiva del Consejo Fiscal, las funciones del Ministerio Fiscal y la estructura y el fundamento del Anteproyecto. A continuación, realiza observaciones a muchos de los artículos de la versión inicial del Anteproyecto. Se da cuenta de las más importantes:

El informe destaca que el ámbito de aplicación del Anteproyecto es más amplio que el previsto en la Directiva, pero considera que esta ampliación está justificada por el fin que persigue la obtención de datos y se limita a sugerir precisiones de redacción y de contenido en relación con los artículos 1, 2, 4 y 5 de la versión inicial del Anteproyecto. Además, el informe sugiere que se adopte un criterio unitario en la enumeración de delitos y que, en su caso, se haga referencia a los delitos correlativos del Código Penal (artículo 3); considera que sería conveniente incluir un artículo independiente sobre las consecuencias de las evaluaciones de los pasajeros (artículo 8); considera adecuada la designación de autoridades competentes (artículo 9); sugiere incluir una disposición en el capítulo III, relativo al régimen sancionador, sobre el carácter supletorio de la Ley 40/2015, de 1 de octubre; propone que se coordine lo previsto en la disposición adicional primera, en relación con la autoridad nacional de control, con la regulación de la autoridad nacional de control contenida en la Directiva 2016/680 y en la versión que finalmente se adopte de la Ley Orgánica de Protección de Datos de carácter personal, actualmente en tramitación parlamentaria; sugiere que, en la disposición final primera se haga alusión al título habilitante en materia de protección de datos.

g) Informe del Consejo General del Poder Judicial, de 26 de abril de 2018, relativo a la primera versión del Anteproyecto.

El informe efectúa unas consideraciones iniciales sobre la función consultiva del referido Consejo General y sobre los derechos fundamentales a la vida y a la protección de datos personales, que se ven afectados por el Anteproyecto. A continuación, hace unas observaciones generales: explica que la Directiva que se transpone ha sido fruto de un largo proceso de elaboración, que el Tribunal de Justicia de la Unión Europea (TJUE) se ha pronunciado detenidamente acerca de la materia sobre la que versa el Anteproyecto, y que en la misma fecha se aprobó la Directiva, se aprobaron el RGPD y la Directiva 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo. Asimismo, hace referencia al carácter orgánico del Anteproyecto, al título competencial en virtud del cual se dicta y a su estructura y contenido. Seguidamente, realiza un examen detenido y pormenorizado del contenido del Anteproyecto, en el que señala la insuficiencia de la exposición de motivos por no justificar las ampliaciones, y analiza, con especial referencia al respeto de la Directiva y a la protección de los derechos fundamentales afectados, el articulado, las disposiciones adicionales y las disposiciones finales del Anteproyecto. Por último, formula una serie de conclusiones, en las que resume la gran mayoría de las observaciones contenidas en el informe. Sin ánimo de exhaustividad, a continuación se recogen las más destacables:

1. Explica que el Anteproyecto ha ampliado el ámbito de aplicación de la Directiva al incorporar previsiones no contenidas en ella. El informe pone de manifiesto que el Anteproyecto, a diferencia de la Directiva, incluye dentro de su ámbito de aplicación a los vuelos privados, y, entre los sujetos obligados, a las entidades de gestión de reserva de vuelos e impone la obligación a dichos sujetos de comunicar determinados datos de la tripulación. El CGPJ concluye que, puesto que el legislador de la Unión Europea no ha encontrado motivos para incluir estos supuestos dentro del ámbito de aplicación de la Directiva, el prelegislador nacional debería justificar suficientemente esas ampliaciones, que carecen de cobertura en la Directiva y afectan a derechos fundamentales, tanto en la Memoria como en la parte expositiva del Anteproyecto.

2. Entiende que el Anteproyecto debería incluir en la exposición de motivos alusiones a, entre otras, las siguientes cuestiones: a la intención de crear un marco jurídico para la protección de los datos PNR y la diferencia que existe entre los datos PNR y los datos API "Advance Passenger Information"; a determinadas figuras importantes en la efectividad del derecho a la protección de datos previstos en la Directiva como son el responsable de la protección de datos o la autoridad nacional de control, fundamentales para garantizar la licitud del tratamiento de datos y su control; al principio consagrado en el artículo 7.6 de la Directiva ?las autoridades competentes no adoptarán decisión alguna que produzca efectos jurídicos adversos para una persona o que afecte significativamente a una persona únicamente en razón del tratamiento automatizado de datos PNR?; y al acceso y a la conservación de datos PNR.

3. Para el CGPJ debería exigirse que el tratamiento de datos se realice únicamente "en el curso de una investigación penal, cuando exista una orden judicial que avale la utilidad de dichos datos para el esclarecimiento de un delito de terrorismo o delincuencia internacional...".

4. Sostiene que la posibilidad de aplicar las previsiones del Anteproyecto a vuelos interiores seleccionados debería regularse plenamente en el articulado, y la competencia para determinarlos debería quedar establecida en el propio texto legal de forma precisa y restrictiva, debiendo ser competente para ello el Gobierno o, en su caso, el titular del Ministerio del Interior, sin que pueda delegarse esa competencia en el Director del Centro de Inteligencia contra el Terrorismo y el Crimen Organizado (CITCO), que tiene nivel de subdirector general.

5. Explica que, a diferencia de los delitos de terrorismo, claramente definidos, los delitos graves no lo están, pues el Anteproyecto se limita a reproducir el anexo de la Directiva, que no concuerda exactamente con lo previsto en el Código Penal.

6. Expresa reparos a que el CITCO sea la Unidad de Información sobre Pasajeros (UIP). Sostiene que el CITCO puede ser una de las autoridades competentes a las que alude el Anteproyecto para solicitar los datos de la UIP, pero no puede ser la UIP, porque en ese caso no estaría garantizada su independencia. Además, alega que la UIP, tal como está configurada por el Anteproyecto, está desprovista de independencia y de la más mínima autonomía orgánica y funcional.

7. Sostiene que la inclusión de los jueces y tribunales junto al resto de autoridades competentes, de carácter meramente administrativo, colisiona con el principio de independencia judicial, artículo 9 de la versión inicial del Anteproyecto.

8. Reclama que se incorpore de manera correcta el concepto de enmascaramiento "de elementos de datos", artículo 13 de la primera versión del Anteproyecto.

9. Solicita que en la redacción del artículo 26, relativo a las medidas provisionales, se tenga presente el principio de proporcionalidad.

10. En relación con la disposición adicional segunda, sostiene que la competencia para "determinar las rutas o los vuelos concretos de carácter nacional", que se atribuye al Secretario de Estado de Seguridad, supone una restricción adicional e injustificada al derecho fundamental, pues la sitúa en un órgano del poder ejecutivo y sin una predeterminación normativa que delimite positiva y negativamente su margen de actuación. Asimismo, expresa una valoración negativa de la posibilidad de delegar la competencia mencionada en el Director del Centro de Inteligencia contra el Terrorismo y el Crimen Organizado.

h) Informe de la Agencia Española de Protección de Datos, de 23 de febrero de 2018. Sin ánimo de exhaustividad, se señalan los aspectos más relevantes del mismo:

1. En relación con la inclusión de los vuelos privados dentro del ámbito de aplicación del Anteproyecto, señala que únicamente procederá la comunicación de datos del sistema de información anticipada de pasajeros (datos API) y la información relativa al equipaje, pero ninguna otra información adicional.

2. En cuanto a la posibilidad de incluir vuelos nacionales en el ámbito de aplicación del Anteproyecto, plantea algunas dudas interpretativas en relación con lo que se entiende por "vuelo nacional". En este sentido, señala:

- Que la disposición adicional segunda, en la que se indica que la delimitación de los vuelos nacionales a los que serán aplicables las previsiones de la Ley Orgánica corresponde al Secretario de Estado de Seguridad, debe formar parte del articulado del proyecto y que se debe establecer un procedimiento mínimo que especifique el modo en que se procederá a la delimitación de dichos vuelos nacionales.

- Que la previsión de que las UIP nacionales estén habilitadas para establecer, aunque sea por delegación, las rutas nacionales a que deba aplicarse el proyecto, no está en el espíritu de la Directiva PNR. La AEPD formula una propuesta de redacción alternativa.

3. Respecto a la ampliación del régimen del Anteproyecto a "tripulantes" y "terceras personas", explica que, en virtud del efecto útil de la Directiva, no cuestiona esta extensión; ahora bien, señala que ello no permite que los datos de los tripulantes puedan asimilarse, directa o indirectamente, a los datos PNR. Por consiguiente, sugiere que no se consideren datos PNR los referentes a los mencionados colectivos y que solo se les exijan los datos API y las informaciones referidas al equipaje de los tripulantes. Una observación similar hace en relación con los datos de los pasajeros de los vuelos privados.

4. Señala la necesidad de plantearse el problema que podría surgir en caso de discrepancia entre los datos PNR facilitados por las compañías aéreas y las entidades de gestión de reserva de vuelos.

5. Indica que el responsable del tratamiento deberá ser la propia UIP y no el CITCO, aun cuando la UIP se integre en la estructura orgánica de este. Para ello propone una redacción alternativa.

6. Señala la AEPD que la previsión de que los sujetos obligados permitirán el acceso por la UIP a los datos PNR vulnera las previsiones de la Directiva PNR en la medida en que se está habilitando un "método de extracción" frente al "método de transmisión" (más seguro jurídicamente desde la perspectiva de protección de datos). Por ello señala que debe suprimirse el inciso "o permitirán su acceso a los datos PNR de que se trate" del artículo 7.5 de la primera versión del Anteproyecto.

7. En cuanto al tratamiento automatizado de datos para su eventual cesión a las autoridades competentes: señala la AEPD la necesidad de incluir en el artículo 8.2.b) una remisión a la exigencia del análisis individualizado y no automatizado previsto en el artículo 8.4 como requisito previo a la remisión de los datos que se prevé en aquel.

8. En relación con las peticiones de datos por las autoridades competentes (artículo 9.2), la AEPD no cuestiona las solicitudes que se lleven a cabo por la autoridad judicial o por el Ministerio Fiscal puesto que se amparan en el actual artículo 11.2.d) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y en la obligación legal a que se refiere el artículo 6.1.c) del RGPD. Ahora bien, en los restantes supuestos, y en lo que se refiere a las Fuerzas y Cuerpos de Seguridad, si bien considera que es posible el acceso a estos datos sin previa autorización judicial expresa, sí señala la necesidad de plantearse si no sería preciso el establecimiento de algún requisito adicional para que pueda llevarse a cabo una solicitud de datos PNR por las Fuerzas y Cuerpos de Seguridad.

9. En materia de régimen sancionador señala la necesidad de su modificación como consecuencia de que con la redacción de la versión inicial determinados responsables de tratamiento quedarían excluidos de la competencia de la AEPD y sujetos a un régimen sancionador mucho más benévolo.

i) Informe del Gobierno Vasco, de 12 de marzo de 2018. El informe contiene, entre otras, las siguientes observaciones:

1. La ampliación del ámbito de aplicación debería justificarse singularmente en la memoria del Anteproyecto en la medida en que supone ir más allá del ámbito de la Directiva.

2. Propone eliminar la recogida de los datos de la tripulación o en su defecto que se justifique la extensión de los datos PNR a estos casos.

3. Sugiere que se diga expresamente que el titular de la UIP es el responsable del tratamiento y que se incorpore el siguiente párrafo: "La unidad de información sobre pasajeros española se compone de un funcionario de alto nivel, asistido por un servicio de apoyo en el que podrán integrarse miembros en comisión de servicio de las autoridades competentes definidas en esta Ley, bajo la autoridad funcional de la unidad de información sobre pasajeros, sin perjuicio de mantener su relación de servicio original".

4. En relación con el artículo 13.3.b), "transferencia de datos a los terceros países", propone que se contemple, como forma de autorización ordinaria, la autorización judicial a petición del responsable de tratamiento de datos y que solo en casos de urgencia pueda autorizarse por el responsable del tratamiento de datos de forma motivada.

5. Solicita que se incluya, en la disposición adicional séptima, una alusión a las autoridades competentes correspondientes de las comunidades autónomas análoga a la que se hace a las Direcciones Generales de la Policía y de la Guardia Civil.

6. Sobre el capítulo III, "Régimen sancionador", expone que algunas de las reglas no innovan con respecto a las que aparecen en las Leyes 40/2015 y 39/2015, de 1 de octubre.

j) Informe de la Generalidad de Cataluña, de 21 de febrero de 2018. Entre las observaciones vertidas en el informe, es preciso destacar las siguientes:

1. Señala que la extensión de los efectos de la Ley Orgánica a los datos relativos a los miembros de la tripulación y de cualquier otra persona que viaje a bordo no está contemplada en la Directiva, que excluye del concepto de pasajero a la tripulación. Destaca la diferencia sustancial entre los datos de los pasajeros exigidos y los de la tripulación y expone que el hecho de desarrollar una actividad profesional ya tiene un marco de registro de datos distinto del que prevé el Anteproyecto.

2. En relación con el artículo 6, requiere que se concrete la letra g) del apartado 2: "denunciar los hechos que puedan ser constitutivos de infracción", en lo relativo al ámbito al que se refiere el verbo denunciar.

3. Señala que la Policía de la Generalitat-Mossos de Esquadra es autoridad competente y que, además, está integrada de forma permanente en el Centro de Inteligencia contra el Terrorismo y el Crimen Organizado (CITCO) y que podrá solicitar, recibir y realizar el tratamiento de datos.

4. Señala que el artículo 23 de la versión inicial del Anteproyecto, relativo a la competencia sancionadora, podría hacer mención de la competencia sancionadora distinta de la correspondiente al ámbito de la Administración del Estado, es decir, de la de las autoridades competentes (cuerpos policiales) de aquellas comunidades autónomas con competencia estatutariamente asumida para la protección de personas y bienes y para el mantenimiento de la seguridad ciudadana.

Como conclusión, sostiene que informa de forma favorable el Anteproyecto pero que "sería preceptivo incorporar una redacción más específica sobre las autoridades competentes de acuerdo con las competencias asumidas estatutariamente por determinadas comunidades autónomas, como es el caso de Cataluña, para la protección de personas y bienes y para el mantenimiento de la seguridad ciudadana" y que el Anteproyecto debería respetar el ámbito de aplicación de la Directiva.

k) Informe de la Secretaría General Técnica del Ministerio del Interior, de 26 de abril de 2018. El informe se limita a exponer que la Secretaría General Técnica "ha participado de forma activa en la fase de elaboración del anteproyecto, habiéndose recogido todas sus aportaciones realizadas para garantizar la legalidad, acierto y oportunidad del mismo".

F) A la vista de las observaciones recibidas, el Ministerio del Interior, en su condición de departamento ministerial proponente, elaboró una nueva versión del Anteproyecto, de la que no consta la fecha, en la que se han introducido importantes cambios con respecto a la versión inicial.

G) También obra en el expediente la Carta de emplazamiento de la Comisión Europea, de 19 de julio de 2018, por la falta de transposición de, entre otras, la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave. La carta indica que el plazo de transposición de la directiva mencionada ha expirado y que la Comisión no ha recibido la notificación de las medidas necesarias para su transposición. Por ello, invita al Gobierno español a comunicarle las medidas de transposición que se estén tramitando, o que se hayan tramitado, y que sean necesarias para garantizar la ejecución de la Directiva. La carta termina recordando las sanciones financieras que, en su caso, podrá imponer el Tribunal de Justicia de la Unión Europea ante la falta de transposición.

TERCERO. Declaración de urgencia

Mediante Acuerdo del Consejo de Ministros de 7 de septiembre de 2018, registrado de entrada en este Consejo ese mismo día, se solicitó con carácter de urgencia el dictamen de la Comisión Permanente antes del 14 de septiembre.

Y, en tal estado de tramitación, se emite el presente dictamen con carácter urgente.

I. Objeto y competencia

Se somete a consulta el anteproyecto de Ley Orgánica sobre la utilización de los datos del registro de nombres de pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves.

Según consta en su disposición final tercera, mediante la proyectada Ley Orgánica se incorpora al Derecho español la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave.

La disposición adicional primera de la Ley 8/1994, de 19 de mayo, por la que se regula la Comisión Mixta para la Unión Europea, prevé que "el Consejo de Estado deberá ser consultado sobre las normas que se dicten en ejecución, cumplimiento y desarrollo del derecho comunitario europeo, de conformidad y en los términos establecidos en su propia Ley Orgánica".

La Comisión Permanente del Consejo de Estado emite el presente dictamen con carácter urgente y preceptivo, de conformidad con lo previsto en los artículos 19.2 y 21.2 de la Ley Orgánica 3/1980, de 22 de abril, en su redacción por la Ley Orgánica 3/2004, de 28 de diciembre. El artículo 21.2 de la Ley Orgánica del Consejo de Estado dispone que "el Consejo de Estado en Pleno deberá ser consultado en los siguientes asuntos: [...] Anteproyectos de leyes que hayan de dictarse en ejecución, cumplimiento o desarrollo de tratados, convenios o acuerdos internacionales y del derecho comunitario europeo". Sin embargo, conforme al artículo 19.2 de la Ley Orgánica 3/1980, de 22 de abril, "si el plazo [de despacho con urgencia del dictamen] fuese inferior a diez días, la consulta será despachada por la Comisión Permanente, aun siendo competencia del Pleno, sin perjuicio del que el Gobierno pueda requerir ulteriormente el dictamen del Pleno".

II. Procedimiento

A) Desde el punto de vista procedimental, el expediente ha seguido la tramitación prevista en el artículo 26 de la Ley 50/1997, de 27 de noviembre, del Gobierno.

a) Así, se ha incorporado la primera versión del Anteproyecto elaborado por el Ministerio del Interior, a la que se acompaña una memoria del análisis de impacto normativo, en la que, entre otras cuestiones, se analiza la necesidad y oportunidad de la norma, así como su impacto económico-presupuestario y por razón de género.

A los efectos del artículo 26.4 de la Ley 50/1997, de 27 de noviembre, el texto inicial del Anteproyecto fue elevado por el Ministro del Interior al Consejo de Ministros, que tomó conocimiento del mismo en su reunión del día 9 de febrero de 2018, según consta en diligencia firmada por la Ministra de la Presidencia y para las Administraciones Territoriales.

b) La Memoria se ha elaborado de acuerdo con lo establecido en el artículo 26.3 de la Ley 50/1997, de 27 de noviembre, y en el Real Decreto 931/2017, de 27 de octubre, por el que se regula la Memoria del Análisis de Impacto Normativo. La Memoria explica el marco jurídico de la Unión Europea que el Anteproyecto transpone, el contenido del Anteproyecto y el cumplimiento, en el ejercicio de la iniciativa legislativa, de cada uno de los principios de buena regulación (necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia) recogidos en el artículo 129 de la Ley 39/2015, de 1 de octubre.

c) Se ha realizado un trámite de consulta pública previa de 15 días naturales, entre el 4 y el 20 de mayo de 2017, previsto en el artículo 133 de la de la Ley 39/2015, de 1 de octubre, y en el artículo 26 de la Ley 50/1997, de 27 de noviembre, en el que no se ha recibido observación alguna.

El Anteproyecto ha sido sometido al trámite de audiencia e información pública, entre el 13 de febrero y el 2 de marzo de 2018. Presentaron alegaciones la Asociación de Líneas Aéreas (ALA) y la Asociación de Transporte Aéreo (IATA).

d) Constan en el expediente los informes emitidos por las Secretarías Generales Técnicas de los Ministerios de Justicia; de Hacienda y Función Pública; de Fomento; de la Presidencia y para las Administraciones Territoriales; y de Economía, Industria y Competitividad (solicitados ex artículo 26.5, párrafo primero, de la Ley 50/1997, de 27 de noviembre: "5. A lo largo del procedimiento de elaboración de la norma, el centro directivo competente recabará, además de los informes y dictámenes que resulten preceptivos, cuantos estudios y consultas se estimen convenientes para garantizar el acierto y la legalidad del texto").

El artículo 26.5, párrafo cuarto, establece que "en todo caso, los anteproyectos de ley, los proyectos de real decreto legislativo y los proyectos de disposiciones reglamentarias, deberán ser informados por la Secretaría General Técnica del Ministerio o Ministerios proponentes". Lo habitual en expedientes de esta naturaleza es que figuren dos informes de la Secretaría General Técnica del ministerio proponente: el primero, un informe inicial, previo a cualquier otro informe que se integre en el expediente, que describe el objeto y la motivación de la norma proyectada, resume sus antecedentes normativos y su contenido, analiza su adecuación al orden constitucional de competencias y realiza observaciones y sugerencias; el segundo, un informe final, que, en general, es el último informe que se emite antes de que el expediente sea remitido al Consejo de Estado, en el que se realiza el mismo análisis que en el inicial pero en el que se introducen modificaciones y matices a la luz de los informes que se han emitido a lo largo de la tramitación del expediente y de las modificaciones introducidas en la norma proyectada.

En el presente expediente, sin embargo, solo figura un informe de la Secretaría General Técnica del Ministerio del Interior, de 26 de abril de 2018, que se ha emitido como informe final de la tramitación del expediente y que se limita a señalar que la Secretaría General Técnica "ha participado de forma activa en la fase de elaboración del anteproyecto, habiéndose recogido todas sus aportaciones realizadas para garantizar la legalidad, acierto y oportunidad del mismo". Aunque el artículo 26.5 no concreta el contenido que debe tener el informe de la Secretaría General Técnica, no parece que pueda admitirse que se limite a indicar que la Secretaría General Técnica ha participado en la tramitación. A juicio del Consejo de Estado, el informe debería haber realizado un análisis sistemático del Anteproyecto, analizando sus antecedentes, su objeto, motivación y contenido, la adecuación del Anteproyecto al orden de distribución de competencias y debería haber realizado las observaciones que hubiese considerado pertinentes. Este informe debe ser un informe final sobre el Anteproyecto y la Memoria, una vez que la tramitación del expediente ha terminado, en el que se haga una especial consideración de las observaciones contenidas en los informes emitidos, que, en este caso, además, han sido muy numerosas.

Ahora bien, una vez que se ha dejado constancia de la insuficiencia del contenido del informe de la Secretaría General Técnica del ministerio proponente, el Consejo de Estado estima que, dada la justificada urgencia con la que se ha solicitado el presente dictamen, no es procedente devolver el expediente para sea completado con un nuevo y adecuado informe y, por tanto, procede continuar la tramitación.

Constan los informes del Consejo General del Poder Judicial (ex artículo 561 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial), del Consejo Fiscal (ex artículo 14.4.j) de la Ley 50/1981, de 30 de diciembre, reguladora del Estatuto Orgánico del Ministerio Fiscal) y de la Agencia Española de Protección de Datos (ex artículo 37.1 h) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal; y artículo 5 b) del Estatuto de la Agencia Española de Protección de Datos, aprobado por Real Decreto 428/1993, de 26 de marzo); y, también, los informes del Gobierno Vasco y de la Generalidad de Cataluña.

Tal como ha señalado el informe de la Secretaría General Técnica del Ministerio de Fomento, no se ha acompañado informe del Comité Nacional de Seguridad de la Aviación Civil, órgano competente en la coordinación de las actividades en materia de seguridad entre los diferentes departamentos y entidades de la administración estatal y para la elaboración de la propuesta del Programa Nacional de Seguridad para la Aviación Civil, de acuerdo con lo previsto en el Real Decreto 550/2006, de 5 de mayo, por el que se designa la autoridad competente responsable de la coordinación y seguimiento del Programa Nacional de Seguridad para la Aviación Civil y se determina la organización y funciones del Comité Nacional de Seguridad de la Aviación Civil. Aunque el Anteproyecto no se refiera tanto a la seguridad aérea como a la prevención de delitos de terrorismo y delitos graves, su contenido afecta directamente a la seguridad aérea y, por ello, debería haberse solicitado el informe del Comité Nacional de Seguridad de la Aviación Civil.

B) El texto final del Anteproyecto ha sufrido cambios muy significativos respecto al texto inicial, ya sea como resultado de las observaciones recibidas durante la tramitación del expediente, buena parte de las cuales han sido aceptadas, especialmente las contenidas en los informes del CGPJ, de la AEPD y del Consejo Fiscal; ya como consecuencia del cambio de Gobierno y del titular del Departamento que se han producido durante el transcurso de su elaboración.

A pesar de las numerosas observaciones formuladas y de que entre las versiones inicial y final del Anteproyecto se aprecian modificaciones de extraordinario alcance, en el expediente no consta un informe en el que se analicen dichas observaciones y se expliquen los motivos que han llevado al ministerio proponente a aceptar o a rechazar estas observaciones. El Consejo de Estado considera que, en un expediente como el actual, este informe reviste una capital importancia para la mejor explicación, justificación, motivación y comprensión de la norma proyectada y, por tanto, recuerda, como ha hecho en otras muchas ocasiones, la necesidad de incorporarlo. Información que no solo es útil para el Consejo de Estado a la hora de elaborar su dictamen, sino también para el propio titular del Departamento y los demás miembros del Gobierno responsables de la aprobación del Anteproyecto, y para el Poder Legislativo.

Además, también se echa en falta en el expediente que la Memoria no deje constancia de numerosas cuestiones de relevancia en relación con el Anteproyecto a las que ni siquiera alude. En este sentido, sin ánimo de exhaustividad, no parece adecuado que la Memoria no describa de forma detenida y fundamentada la opción del prelegislador de extender el ámbito de aplicación de la Directiva a supuestos no comprendidos en esta, máxime después de todas las observaciones que al respecto se han formulado; que no explique el porqué de las excepciones que introduce al régimen sancionador general; o que no haga alusión a las obligaciones de comunicación a la Comisión de determinadas cuestiones que recaen sobre el Estado español. A juicio del Consejo de Estado, la Memoria es incompleta y parca en explicaciones sobre el contenido del Anteproyecto y las opciones del legislador, lo cual dificulta de forma sensible la comprensión de este.

Sin perjuicio de las precedentes críticas, teniendo en cuenta las circunstancias en las que se solicita el dictamen pero sin olvidar su importancia y alcance, y a la vista del contenido del anteproyecto, cabe considerar suficientemente atendidas las mínimas exigencias de índole procedimental que deben seguirse para preparar, con las debidas garantías de acierto, un texto normativo de la naturaleza del ahora examinado.

III. Títulos competenciales base del Anteproyecto

La disposición final primera del Anteproyecto señala que la proyectada Ley Orgánica se dicta al amparo de lo previsto en el artículo 149.1.1ª y 29ª de la Constitución, que, respectivamente, atribuyen al Estado la competencia exclusiva para la regulación de las condiciones básicas que garanticen la igualdad de todos los españoles en el ejercicio de los derechos y en el cumplimiento de los deberes constitucionales, y sobre la seguridad pública.

A juicio del Consejo de Estado, son pertinentes los títulos competenciales invocados por la disposición final primera del Anteproyecto, tanto el de la seguridad pública del artículo 149.1.29.ª de la Constitución, en atención a la materia regulada, como, sobre todo, el del artículo 149.1.1.ª, al afectar el Anteproyecto a derechos fundamentales, lo que requiere ley orgánica de acuerdo con el artículo 81.1 de la Constitución.

El Consejo General del Poder Judicial ha sugerido, en su informe, que se invoque el título habilitante previsto en el artículo 149.1.4ª, que atribuye al Estado la competencia exclusiva sobre Defensa y Fuerzas Armadas. Sin embargo, no se considera oportuna esta sugerencia, dado el objeto específico de la norma europea que se transpone, que es la prevención, detección e investigación de delitos de terrorismo y delitos graves.

IV. Naturaleza de ley orgánica del Anteproyecto

Según establece la disposición final segunda, los artículos 4 y 5, los artículos contenidos en el capítulo II (artículos 6 al 20) y la disposición final segunda del Anteproyecto tienen el carácter de ley orgánica; el resto de preceptos tienen carácter de ley ordinaria.

Partiendo del dato de que no todos los preceptos del Anteproyecto son orgánicos, cabe plantearse si a los artículos considerados orgánicos les corresponde verdaderamente esa naturaleza de acuerdo con el artículo 81.1 de la Constitución y si ese carácter orgánico puede predicarse de la Ley en su conjunto.

a) No existen dudas acerca del carácter orgánico de los artículos 4 y 5 y de los artículos contenidos en el capítulo II del Anteproyecto, pues abordan el tratamiento de datos PNR en relación con determinados delitos, lo cual afecta directamente a los derechos fundamentales a la intimidad y a la protección de datos personales, artículo 18 de la Constitución.

Como sugirió el informe del Consejo General del Poder Judicial, es igualmente correcto que la disposición final segunda del Anteproyecto se haya calificado de orgánica.

b) Respecto de la segunda de las cuestiones apuntadas, cabe recordar que el Consejo de Estado, en su Memoria de 1985, examinó las condiciones en que una ley orgánica podía contener, junto a sus preceptos de carácter orgánico, otros con naturaleza de ley ordinaria. Se admitió entonces la posibilidad de que una ley orgánica "comprenda y discipline materias conexas, aunque éstas no requieran por sí la cobertura de Ley Orgánica", siempre y cuando la propia norma verifique "una identificación singularizada de los preceptos en ella contenidos, según les convenga o no el carácter orgánico". De esta manera, "surgen las Leyes Orgánicas con incrustaciones de Ley ordinaria". En estos casos -proseguía la citada Memoria-, "la calificación originaria del instrumento normativo como Ley Orgánica se asienta en la valoración directa y primaria de la materia que constituye su contenido nuclear", mientras que "las previsiones conexas, necesarias para la corrección técnica de la norma, pero que no requieren per se una ley orgánica, quedan insertas en ésta y, en cuanto forman parte de ella como prescripciones coherentes para la adecuada expresión y articulación del mandato normativo, se someten, en fase de aprobación, a la votación final sobre el conjunto del proyecto, con mayoría absoluta" (artículo 81.2 de la Constitución).

En sus dictámenes números 2.268/98, de 18 de junio, 2.486/98, de 20 de julio, 1.945/2001, de 9 de mayo, y 172/2013, de 18 de abril, el Consejo de Estado reiteró esta doctrina, estimando que "cuando una Ley Orgánica incluye como complemento necesario (rectius, desarrollo natural) previsiones que, en principio, no se corresponden con la materia propia de dicha Ley, o exceden de la misma, conforme a la jurisprudencia del Tribunal Constitucional (entre otras, Sentencias 15/1981, de 13 de febrero, y 76/1983, de 15 de agosto), puede admitirse que regule materias que caen fueran el ámbito diseñado por el artículo 81 de la Constitución, aunque en términos estrictos y, en todo caso, especificando el carácter no orgánico de tales preceptos".

En el Anteproyecto sometido a consulta, los preceptos de rango ordinario constituyen, en principio, un desarrollo natural del núcleo orgánico de la regulación y, en consecuencia, aun cuando hubiera sido posible, como se ha hecho en otras ocasiones, la aprobación paralela de una ley ordinaria para parte del contenido del Anteproyecto y una ley orgánica para los preceptos contenidos en ella que así se califican, el Consejo de Estado nada tiene que oponer a la opción elegida por el Anteproyecto (ley orgánica en la que parte de sus preceptos carecen de carácter orgánico y que, por tanto, podrán ser modificados por ley ordinaria).

V. Consideraciones generales

A) Sobre los datos personales de los pasajeros

Desde hace más de 60 años los datos personales de los pasajeros han sido recogidos en registros llevados de forma manual y han sido utilizados por servicios de aduanas, por las autoridades policiales y por las propias compañías aéreas. Los avances tecnológicos han permitido que la recogida y tratamiento automatizado de estos datos se convierta en una herramienta eficaz en la lucha contra el terrorismo y otras formas de delincuencia grave. Esto ha puesto de manifiesto la necesidad de crear un marco legal que permita compartir los datos PNR de forma efectiva, garantizando al mismo tiempo los derechos fundamentales y libertades afectados de los pasajeros.

Actualmente, se distingue entre dos tipos de datos de pasajeros: los datos PNR ("Passenger Name Record") y los datos API ("Advance Passenger Information"). Los primeros son informaciones personales sobre reservas e itinerarios de viaje que los pasajeros por vía aérea proporcionan a las compañías aéreas y que permiten a las autoridades competentes identificar a los pasajeros que representan una amenaza para la seguridad interior. Estos datos incluyen, entre otros: el nombre y los apellidos del pasajero, fechas de vuelos, itinerarios, asientos, equipaje, información de contacto y medios de pago. Los datos API son la información biográfica que figura en la parte de lectura óptica del pasaporte y se refieren al nombre y apellidos, el lugar de nacimiento, nacionalidad, número de pasaporte y la fecha de expedición.

Los datos PNR son recogidos directamente de los potenciales pasajeros cuando hacen sus reservas, los datos API son datos ya verificados con documentos oficiales. Estas diferencias hacen que unos y otros se utilicen para finalidades diferentes: mientras que los datos PNR se utilizan fundamentalmente para realizar investigaciones penales, los datos API se utilizan como instrumento de gestión y control de identidad. Tanto unos como otros han sido regulados por distintos instrumentos normativos de la Unión Europea, como se verá continuación.

B) Los derechos fundamentales afectados

Los sistemas de información anticipada sobre los pasajeros (API) y los registros de nombres de pasajeros (PNR) tienen una fuerte incidencia en los derechos fundamentales a la intimidad y a la protección de los datos personales de los pasajeros, derechos protegidos tanto en el marco de la Unión Europea, fundamentalmente en la Carta de Derechos Fundamentales de la Unión Europea (a partir de ahora la Carta), y en las constituciones de los Estados miembros, en España en los artículos 18.1 y 18.4 de la CE.

En la Unión Europea, ha sido una constante la preocupación en el seno de las instituciones por encontrar un equilibrio entre, por un lado, la protección de la seguridad aérea mediante procesos automatizados de identificación de pasajeros y, más tarde, la protección frente al terrorismo y frente a los delitos graves; y, por otro, los derechos fundamentales de los pasajeros, en particular respecto a la protección del tratamiento de sus datos personales. Este equilibrio tuvo su primera expresión en el régimen jurídico de los datos PNR establecido en los diversos acuerdos PNR celebrados entre la Unión Europea y Estados Unidos, Canadá y Australia, que dieron lugar a un amplio debate sobre cómo conseguir, a la vista del efecto jurídico vinculante otorgado por el Tratado de Lisboa a la Carta, el necesario equilibrio entre el derecho fundamental a la protección de datos de carácter personal y la adopción de las medidas necesarias para prevenir y perseguir el terrorismo y determinados delitos graves.

El Tribunal de Justicia de la Unión Europea (TJUE) ha reconocido que la comunicación y el tratamiento de los datos PNR puede considerarse una injerencia en los derechos a la intimidad y a la protección de datos de carácter personal consagrados en los artículos 7 y 8 de la Carta. Respecto al primero, porque los datos PNR, a efectos del artículo 7, incluyen toda información relativa a una persona física identificada o identificable, cuya comunicación a un tercero, o la conservación de los datos, es una injerencia en el derecho fundamental reconocido en ese precepto (entre muchas otras, STJUE, de 8 de abril de 2014, Digital Rights Ireland y otros, C-293/12 y C-594/12).

El TJUE ha considerado aplicable también a los tratamientos de los datos PNR el artículo 8 de la Carta, dado su carácter personal, debiendo cumplirse los requisitos de protección de los datos previstos en dicho precepto (entre otras, STJUE de 18 de octubre de 2013, Schwarz, C- 291/12). La doctrina del TJUE sobre esta materia ha sido sintetizada en el importante Dictamen del TJUE (Gran Sala) 1/2015, de 26 de julio de 2017, que ha examinado la compatibilidad del Acuerdo entre Canadá y la Unión Europea sobre el tratamiento y la transferencia de datos PNR con los Tratados. En las conclusiones de ese dictamen se declara que para que ese acuerdo sea compatible con los artículos 7 y 8 de la Carta es necesario:

"a) determinar con claridad y precisión los datos del registro de nombres de los pasajeros que han de transferirse desde la Unión Europea a Canadá;

b) disponer que los modelos y criterios utilizados en el marco del tratamiento automatizado de los datos del registro de nombres de los pasajeros sean específicos y fiables y no discriminatorios; establecer que las bases de datos utilizadas se limiten a las utilizadas por Canadá en relación con la lucha contra el terrorismo y con los delitos graves de carácter transnacional;

c) someter, excepto en el marco de las comprobaciones relativas a los modelos y criterios preestablecidos en que se basan los tratamientos automatizados de los datos del registro de nombres de los pasajeros, la utilización de tales datos por la autoridad canadiense competente durante la estancia de los pasajeros aéreos en Canadá y tras su salida del país, así como toda comunicación de dichos datos a otras autoridades, a requisitos materiales y procedimentales basados en criterios objetivos; supeditar esa utilización y esa comunicación, salvo en casos de urgencia debidamente justificados, a un control previo efectuado, bien por un órgano judicial, bien por una entidad administrativa independiente, cuya decisión por la que se autoriza la utilización se adopte a raíz de una solicitud motivada de esas autoridades, presentada, en particular, en el marco de procedimientos de prevención, de descubrimiento o de acciones penales;

d) limitar la conservación de los datos del registro de nombres de los pasajeros tras la partida de los pasajeros aéreos a los de aquellos pasajeros respecto de los que existan elementos objetivos que permitan considerar que podrían presentar un riesgo en materia de lucha contra el terrorismo y los delitos graves de carácter transnacional;

e) supeditar la comunicación de los datos del registro de nombres de los pasajeros por la autoridad canadiense competente a las autoridades públicas de un país tercero al requisito de que exista o bien un Acuerdo entre la Unión Europea y ese país tercero equivalente al Acuerdo entre Canadá y la Unión Europea sobre el tratamiento y la transferencia de datos del registro de nombres de los pasajeros, o bien una decisión adoptada por la Comisión en virtud del artículo 25, apartado 6, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que comprenda a las autoridades a las que se prevea comunicar datos del registro de nombres de los pasajeros;

f) establecer un derecho a la información individual de los pasajeros aéreos en caso de que se utilicen datos del registro de nombres de los pasajeros referentes a ellos durante su estancia en Canadá y tras su salida de dicho país, así como en caso de divulgación de esos datos por la autoridad canadiense competente a otras autoridades o a particulares, y

g) garantizar que una autoridad de control independiente se encargue de la supervisión de las normas establecidas en el Acuerdo entre Canadá y la Unión Europea sobre el tratamiento y la transferencia de datos del registro de nombres de los pasajeros, relativas a la protección de los pasajeros aéreos frente al tratamiento de los datos del registro de nombres de los pasajeros referentes a ellos".

Estas conclusiones están en línea con lo establecido por la Directiva y tienen relevancia también para enjuiciar la constitucionalidad del sistema de recogida y utilización de los datos del registro de nombres de pasajeros establecido en el Anteproyecto.

En España, el Tribunal Constitucional ha declarado que "el canon de control que debemos aplicar para enjuiciar la constitucionalidad [...] ha de ser integrado a partir, entre otras, de las normas de Derecho de la Unión Europea que protegen los correspondientes derechos fundamentales..." y, en consecuencia, esa es la perspectiva que se ha de adoptar en relación con los derechos fundamentales recogidos en el artículo 18, apartados 1 y 4, de la Constitución, que contemplan el derecho a la intimidad personal y el derecho a la protección de datos de carácter personal (STC 26/2014, de 13 de febrero).

En cuanto al derecho a la intimidad personal, la jurisprudencia constitucional lo deriva de la dignidad de la persona, artículo 10.1 de la Constitución, entendiendo que implica la existencia de un ámbito propio y reservado a la acción y conocimiento de los demás y confiere a la persona el poder jurídico de imponer el deber de abstenerse de toda intromisión en la esfera íntima y la prohibición de hacer uso de lo así conocido (SSTC 196/2004, de 15 de noviembre, 206/2007, de 24 de septiembre, y 70/2009, de 23 de marzo).

En cuanto al artículo 18.4, la jurisprudencia constitucional viene entendiéndolo como el reconocimiento de "un derecho a controlar el uso de los datos insertos en un programa informático (habeas data) y comprende, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención". El derecho a la protección de datos personales incorpora un poder de disposición y control sobre los datos personales, que constituye parte del contenido del derecho fundamental a la protección de datos, y se concreta jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Por ello, la recogida y posterior tratamiento de los datos de carácter personal se ha de fundamentar en el consentimiento de su titular, facultad que solo cabe limitar en atención a derechos y bienes de relevancia constitucional, de modo que esa limitación esté justificada, sea proporcionada y, además, se establezca por ley (STC 292/2000, de 30 de noviembre).

La Directiva y el Anteproyecto que la transpone al ordenamiento interno regulan la recogida y tratamiento de los datos PNR y, por tanto, afectan directamente a los derechos mencionados y especialmente al derecho a la protección de datos de carácter personal, que presenta un carácter más específico. Por tanto, es en este complejo marco normativo, delimitado, por un lado, por el artículo 8 de la CDFUE, el RGPD, las Directivas y la jurisprudencia del TJUE; y por otro, por el artículo 18.1 y 4 de la CE, la jurisprudencia constitucional y la normativa interna en materia de protección de datos, donde debe situarse el análisis del Anteproyecto, que tendrá en cuenta, en todo momento, el respeto de los derechos fundamentales afectados.

C) Paquete normativo europeo en materia de protección de datos

El régimen jurídico de la comunicación de los datos contenidos en los registros de nombres de pasajeros a las autoridades competentes para la prevención, investigación, detección o enjuiciamiento de infracciones penales, así como su posible transferencia a terceros Estados en virtud de convenios internacionales concluidos por la Unión Europea, ha sido objeto de un largo debate en el seno de las instituciones de la Unión así como en el marco de la actividad de las autoridades de protección de datos a lo largo de los últimos quince años. Este debate ha estado presidido por la preocupación del legislador europeo de salvaguardar el derecho fundamental de protección de datos de carácter personal de forma compatible con la adopción de medidas necesarias para prevenir y perseguir el terrorismo y determinados delitos graves. Esa preocupación dio lugar a la aprobación en la misma fecha, el 27 de abril de 2016, de lo que gráficamente se ha denominado "paquete normativo" en materia de protección de datos, en el que se inserta precisamente la Directiva que es objeto de transposición por el Anteproyecto.

En la fecha citada se aprobaron, además de la Directiva 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos, RGPD) y la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo.

a) El RGPD establece la regulación general en materia de protección de datos de carácter personal. Las Directivas establecen la regulación específica en la materia cuando se refiere a los datos PNR y a la prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales. Por tanto, el Reglamento y las Directivas tratan vertientes distintas de un mismo derecho fundamental que goza de la máxima protección del Derecho de la Unión y del Derecho interno.

El RGPD contiene la regulación general de aplicación directa de la protección de las personas físicas en lo que respecta al tratamiento total o parcialmente automatizado de datos personales y de la libre circulación de tales datos, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. El RGPD establece que los Estados miembros adaptarán su regulación interna en materia de protección de datos a lo establecido en el mencionado reglamento. El proyecto de Ley Orgánica de Protección de datos de carácter personal -que tiene por objeto adaptar el ordenamiento jurídico español al RGPD y completar sus disposiciones, ex artículo 1 del proyecto, y sobre el que el Consejo de Estado emitió el dictamen número 757/2017, de 26 de octubre-, se encuentra actualmente en la Comisión de Justicia del Congreso de los Diputados.

b) La Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, tiene por objeto la protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal por parte de las autoridades competentes a efectos de la prevención, investigación, detección o enjuiciamiento de infracciones penales o de la ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad pública y la libre circulación de estos datos y su prevención.

El RGPD y la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, delimitan dos ámbitos subjetivos de aplicación claramente diferenciados y, por tanto, el RGPD no se aplica supletoriamente a los supuestos regulados por las normas que transpongan la citada directiva. De acuerdo con el considerando 19 del RGPD y la letra d) del artículo 1.2 del RGPD, el RGPD no debe aplicarse a las actividades de tratamiento destinadas a los fines previstos en la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. En este sentido, la disposición transitoria cuarta del proyecto de Ley de Protección de Datos de carácter personal establece: "Los tratamientos sometidos a la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, continuarán rigiéndose por la Ley Orgánica 15/1999, de 13 de diciembre, y en particular el artículo 22, y sus disposiciones de desarrollo, en tanto no entre en vigor la norma que trasponga al Derecho español lo dispuesto en la citada directiva".

c) La Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave.

La actual normativa europea en materia de datos PNR tiene algunos antecedentes. La Directiva 2004/82/CE del Consejo, de 29 de abril de 2004, sobre la obligación de los transportistas de comunicar los datos de las personas transportadas reguló la comunicación previa por los transportistas aéreos a las autoridades nacionales competentes de información anticipada sobre los pasajeros (datos API) con objeto de mejorar los controles fronterizos y combatir la inmigración ilegal. Esta directiva fue incorporada al ordenamiento español por la Ley Orgánica 2/2009, de 11 de diciembre, de reforma de la Ley Orgánica 4/2000, de 11 de enero, sobre derechos y libertades de los extranjeros en España y su integración social.

El 6 de noviembre de 2007, la Comisión adoptó la propuesta de Decisión Marco del Consejo sobre utilización de datos del registro de nombres de los pasajeros (datos PNR) con fines policiales. No obstante, al entrar en vigor el Tratado de Lisboa el 1 de diciembre de 2009, la propuesta de la Comisión, aun no aprobada por el Consejo, caducó.

Más tarde, el "Programa de Estocolmo: una Europa abierta y segura que sirva y proteja al ciudadano" (DOC 115, de 4 de mayo de 2010) instó a la Comisión a presentar una propuesta sobre la utilización de datos PNR para prevenir, detectar, investigar y enjuiciar los delitos de terrorismo y los delitos graves. La Comisión comenzó a elaborar la normativa europea en materia de datos PNR en el nuevo contexto institucional abierto con la entrada en vigor del Tratado de Lisboa, que otorgó a la Carta el mismo valor jurídico que los Tratados. Sin embargo, el proceso de discusión en el seno de las instituciones europeas y de las autoridades de protección de datos, que en todo momento tuvo presente la jurisprudencia que emanaba del TJUE, no daría sus frutos hasta la aprobación de la Directiva que el Anteproyecto transpone.

La Directiva tiene como objetivos fundamentales garantizar la seguridad, proteger la vida y la seguridad de los ciudadanos y crear un marco jurídico homogéneo a nivel europeo para la protección de los datos PNR en lo que respecta a su transferencia por parte de las compañías aéreas a las autoridades nacionales y al tratamiento que estas efectúen de esos datos, que solo podrá realizarse para la prevención, detección, investigación y enjuiciamiento de delitos terroristas y delitos graves.

Las compañías aéreas ya recogen y tratan datos PNR de sus pasajeros para sus fines comerciales propios. La Directiva no impone obligación alguna a las compañías aéreas de recoger o almacenar datos adicionales de los pasajeros ni a los pasajeros de facilitar a las compañías aéreas más datos que los ya previstos; únicamente establece que los Estados miembros deben introducir disposiciones que impongan a las compañías aéreas que realizan vuelos exteriores de la UE -y si así lo disponen los Estados miembros, también las que realizan vuelos interiores de la UE- la obligación de transferir, a través de medios electrónicos y con carácter previo a la hora de salida programada del vuelo e inmediatamente después de su cierre ?salvo que exista una amenaza concreta y real de terrorismo o delitos graves?, todos los datos PNR que recojan a una única Unidad de Información sobre los Pasajeros (UIP) designada en cada Estado miembro de que se trate.

La UIP será responsable de recibir los datos PNR de las compañías aéreas y, en su caso, transferirlos a las autoridades competentes para adoptar las medidas necesarias para cumplir los objetivos de la Directiva. Cada UIP contará con un responsable de protección de datos que deberá velar por que el tratamiento de los datos PNR sea el estrictamente necesario para conseguir los fines de la Directiva y por que se respeten los derechos de todo interesado a obtener información acerca del tratamiento de sus datos PNR, garantizándose así los derechos de acceso, rectificación, cancelación y oposición. El tratamiento de los datos PNR previsto en la Directiva toma en consideración el derecho a la protección de datos personales y el derecho a la no discriminación, para cuya protección incluye una serie de limitaciones a la transferencia, al tratamiento y a la conservación de los datos PNR: prohíbe la recogida y el uso de datos sensibles; establece que los datos PNR solo pueden conservarse durante un periodo de cinco años, transcurrido el cual deben suprimirse, y que deben despersonalizarse pasados seis meses, de forma que el interesado deje de ser identificable inmediatamente; dispone que el acceso al conjunto total de datos PNR, que permite la identificación directa del interesado, solo debe poder autorizarse en condiciones muy estrictas y limitadas tras el período inicial.

La Directiva entró en vigor el 24 de mayo del 2016 y, según su artículo 18, los Estados miembros debían poner en vigor, a más tardar, el 25 de mayo de 2018 las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo dispuesto en ella e informar inmediatamente a la Comisión del texto de dichas disposiciones. España no ha aprobado a tiempo la ley de transposición de la Directiva, y ese retraso ha dado lugar a que este dictamen sobre el anteproyecto se haya solicitado con especial urgencia.

D) El Anteproyecto

El Anteproyecto, como establece su disposición final tercera, incorpora al Derecho español la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave. Ahora bien, el Anteproyecto, además de transponer la Directiva, contiene una serie de previsiones que amplían el ámbito de aplicación de esta y que serán objeto de especial atención más abajo.

El Anteproyecto transpone de forma completa la Directiva, tal como explica la Memoria, que incluye un cuadro de correspondencias entre los preceptos de una y otro.

En cuanto al método de transposición seguido por el Anteproyecto, suscita también algunas consideraciones. La incorporación de las previsiones de la Directiva se ha realizado, en un gran número de artículos, de forma literal. El Consejo de Estado, en el dictamen número 1.504/2007, de 19 de julio, dejó dicho que, aun cuando "la reproducción literal del contenido de las directivas no es la técnica más adecuada", dado que "este tipo de normas se caracteriza por su flexibilidad en cuanto a los medios a utilizar", hay ocasiones en las que "cabe optar, dado el carácter técnico de la materia o cuando la redacción sea muy detallada, por la transcripción literal para evitar que la utilización de otra terminología sea semillero de conflictos y eventual fundamento de alguna imputación de infracción del contenido de la norma comunitaria", máxime cuando "la Comisión vigila de cerca que se recojan con la mayor fidelidad posible los preceptos comunitarios que se incorporan y, aunque ello no implica necesariamente su copia literal, lo cierto es que en la práctica se tiende a ello".

Pero la incorporación literal de las directivas europeas no debe ser la regla, dado que la transposición obliga al legislador interno a establecer una regulación nacional coherente, integrada en el ordenamiento, y en la que la terminología y el contenido de los preceptos sean claros y fácilmente aplicables por el operador jurídico. En este sentido, el Anteproyecto, en unos casos, cuando lo ha entendido necesario, ha hecho una transcripción literal, y, en otros, acertadamente, ha adaptado las disposiciones de la Directiva a nuestro ordenamiento. Sin embargo, en algunos casos se ha abusado de la transposición literal, como es el caso del artículo 4.2 del Anteproyecto, que reproduce la enumeración de delitos contenida en el anexo II de la Directiva a pesar de que algunos de esos delitos no tienen un correlato claro con los establecidos en el Código Penal.

E) Sobre el ámbito de aplicación del Anteproyecto

El Anteproyecto, en el capítulo I, amplía el ámbito de aplicación previsto por la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en cinco aspectos diferentes: a) prevé que deberán enviarse los datos API de la tripulación y de cualquier otra persona a bordo -artículo 1.1 a)-; b) prevé la aplicación del régimen jurídico previsto en el Anteproyecto a los vuelos internacionales dentro de la UE -artículo 2.1-; c) contempla la posibilidad de aplicar el régimen jurídico previsto en el Anteproyecto a los vuelos nacionales -artículos 1.1 a) y 2.3-; d) prevé la aplicación del régimen jurídico previsto en el Anteproyecto a vuelos privados -artículos 2.2-; y e) incluye, como sujetos obligados, a las entidades de gestión de reserva de vuelos -artículo 3.2-.

Sin perjuicio del análisis que de cada una de las ampliaciones se realizará al examinar el artículo en el que se encuentran, con carácter previo, deben hacerse algunas reflexiones generales:

Primero, sorprende constatar que ni la memoria del análisis de impacto normativo ni, sobre todo, la exposición de motivos explican las razones que han llevado a incluir estas ampliaciones en el Anteproyecto y que tampoco contengan una justificación de que esas ampliaciones no constituyen una infracción del Derecho de la Unión Europea ni son inconstitucionales, por afectar a derechos fundamentales. Hubiera sido necesario incluir en el expediente unas consideraciones en las que se explicara detenidamente cada una de las ampliaciones y en las que se analizaran las razones de introducirlas, y sus ventajas e inconvenientes, al afectar muy directamente a derechos fundamentales de los titulares de los datos, pero también al incidir en la pretendida homogeneidad de tratamiento que persigue la Directiva que se transpone. Además, la exposición de motivos debería incluir esta explicación, pues constituye uno de los rasgos más llamativos del Anteproyecto.

Segundo, la ampliación del ámbito de aplicación de la Directiva ha suscitado numerosas observaciones por parte de todas las autoridades que han informado la versión inicial del Anteproyecto. A pesar de ello, en el expediente no consta documento alguno que analice dichas observaciones y que aporte las razones que justifican la ampliación del ámbito de aplicación. Ahora bien, también es preciso destacar que, en general, los informes que constan en el expediente no han objetado la ampliación del ámbito de aplicación, se han limitado a sugerir determinadas modificaciones para mejorarla y que se detallen las razones que las justifican y que se valore la oportunidad de su inclusión, pero sin realizar reflexión alguna ni análisis sobre los posibles problemas de constitucionalidad o de infracción del Derecho de la Unión Europea.

Tercero, como la propia Memoria establece, "la transposición de esta Directiva, en el conjunto de países que componen la Unión Europea, va a suponer el establecimiento de un sistema homogéneo y la creación de una red que facilitará el intercambio ágil y dinámico de información entre Estados miembros, terceros Estados y Europol, mejorando de esta forma la cooperación y colaboración internacionales". A la vista de esta finalidad, debe destacarse que la ampliación del ámbito de aplicación de la Directiva por parte de los distintos países, y en este caso por parte de España, podría suponer un obstáculo para la creación de un sistema homogéneo y para el correcto y ágil funcionamiento del mismo. Por ello, con el objetivo de no frustrar la finalidad de la Directiva, las ampliaciones del ámbito de aplicación deberán admitirse con carácter restrictivo y, en todo caso, se debe velar por que las especialidades que establezcan los distintos países no constituyan un obstáculo para el buen funcionamiento del sistema de transmisión de datos PNR que se establezca a nivel europeo.

Ha de tenerse en cuenta que la propia Directiva ha previsto en su artículo 19 su revisión, tomando como base la información que le faciliten los Estados miembros acerca de la aplicación de las normas que la hayan transpuesto, y que, a más tardar el 25 de mayo de 2020, la Comisión "realizará una revisión de todos los elementos de la presente Directiva y presentará y someterá un informe al Parlamento Europeo y al Consejo", incluyendo en el mismo "un estudio de la necesidad, la proporcionalidad y la eficacia de la inclusión en el ámbito de aplicación de la presente Directiva, de la recogida y transmisión obligatoria de los datos PNR relativos a todos o determinados vuelos interiores de la UE. La Comisión tendrá en cuenta la experiencia adquirida por los Estados miembros, en especial por aquellos que aplican la presente Directiva a los vuelos interiores de la UE, de conformidad con el artículo 2. El informe estudiará también la necesidad de incluir en el ámbito de aplicación de la presente Directiva a agentes económicos que no sean compañías aéreas, tales como agencias de viaje y operadores turísticos que prestan servicios relacionados con los viajes, como la reserva de vuelos".

Se ha encomendado así a la Comisión que, a la vista de las informaciones suministradas por los Estados, valore la necesidad de incluir en el ámbito de aplicación de la presente Directiva todos o determinados vuelos interiores de la UE, entre Estados miembros, y, sobre todo, de estudiar la necesidad de incluir en su ámbito de aplicación a agentes económicos distintos a las compañías aéreas, sin ninguna indicación de la posible ampliación del ámbito subjetivo de las personas cuyos datos se tratan. A juicio del Consejo de Estado, la existencia de esa previsión parece sugerir a los Estados que no adopten unilateralmente ampliaciones de este ámbito y que las mismas se hagan, en su caso, de forma coordinada y homogénea en la propuesta legislativa de modificación de la actual Directiva.

En cuanto a los aspectos de constitucionalidad, esas ampliaciones de ámbito se examinarán en el apartado correspondiente, no sin antes recordar que no podrá considerarse ilegítima "aquella injerencia o intromisión en el derecho a la intimidad que encuentra su fundamento en la necesidad de preservar el ámbito de protección de otros derechos fundamentales u otros bienes jurídicos constitucionalmente protegidos" (STS 159/2009, de 29 de junio).

VI. Observaciones

A) Exposición de motivos

Desde un punto de vista sistemático, se sugiere que la exposición de motivos se divida en tres apartados, de manera que los actuales apartados II, III, IV, V (que se refieren al contenido del Anteproyecto), queden englobados en un nuevo apartado II. Con ello se conseguiría una mayor claridad en la exposición de motivos y un mejor orden sistemático.

B) Capítulo I, "Disposiciones generales"

El capítulo I del Anteproyecto, bajo la rúbrica "Disposiciones generales", regula el objeto y el ámbito de aplicación de la Ley, determina los sujetos obligados, concreta los delitos cuya prevención, detección, investigación y enjuiciamiento permiten el tratamiento de los datos PNR; y define los datos PNR y concreta su contenido.

1) Artículo 1, "Objeto"

El artículo 1, en el apartado I, establece que la Ley tiene por objeto regular la transferencia, recogida, uso, almacenamiento, tratamiento, protección, acceso y conservación de los datos PNR, la determinación de la UIP y sus funciones y el régimen sancionador correspondiente. En el apartado 2 establece que el tratamiento de los datos PNR solo podrá tener como finalidad prevenir, detectar, investigar y enjuiciar los delitos de terrorismo y delitos graves.

El Anteproyecto prevé que deberán enviarse los datos API de la tripulación y de cualquier otra persona a bordo -artículo 1.1.a-. Sin embargo, el análisis de la Directiva pone de manifiesto que la regulación que establece está referida, únicamente, a los pasajeros:

- El artículo 1.1.a) de la Directiva establece: "La presente Directiva regula: a) la transferencia por las compañías aéreas de datos del registro de nombres de pasajeros (PNR) de vuelos exteriores a la UE...".

- El artículo 3, en el número 4, define "pasajero" como "toda persona, incluidos los pasajeros en tránsito o en conexión y exceptuados los miembros de la tripulación, transportada o que vaya a ser transportada a bordo de una aeronave con el consentimiento de la compañía aérea, lo cual se manifiesta en la inclusión de la persona en la lista de pasajeros". Esta es la única alusión que la Directiva hace a la tripulación, y es una alusión por la que se excluye a los miembros de la tripulación de la definición de pasajero;

- El artículo 3, en el número 5, define "registro de nombres de los pasajeros" o "PNR" como "una relación de los requisitos de viaje impuestos a cada pasajero, que incluye toda la información necesaria para el tratamiento y el control de las reservas por parte de las compañías aéreas que las realizan y participan en el sistema PNR, por cada viaje reservado por una persona o en su nombre, ya estén contenidos en sistemas de reservas, en sistemas de control de salidas utilizado para embarcar a los pasajeros en el vuelo o en sistemas equivalentes que posean las mismas funcionalidades".

Como puede observarse, la Directiva excluye deliberadamente a la tripulación de la aplicación de la regulación que contiene y se refiere únicamente a los pasajeros, tal como en ella se definen, y a los datos PNR, que, como su propio nombre indica, se refieren a los pasajeros.

El artículo 1.1.a) de la versión inicial del Anteproyecto establecía: "1. Esta ley, en aras de garantizar y proteger la vida y la seguridad de los ciudadanos, tiene por objeto regular: a) La transferencia de datos del registro de nombres de los pasajeros, de la tripulación y de cualquier otra persona a bordo del vuelo (datos PNR) correspondientes a vuelos internacionales y nacionales, en los términos y a los efectos previstos en el capítulo II". Y, en el párrafo segundo del artículo 5 establecía: "A efectos de esta ley, tendrán la consideración de datos PNR los datos de los miembros de la tripulación que cumplen sus obligaciones profesionales en relación al vuelo, y de cualquier otra persona que viaje a bordo del mismo". Como puede observarse, la versión inicial del Anteproyecto trataba como datos PNR los datos de la tripulación y, además, los trataba conjuntamente con los de los pasajeros, lo cual fue fuertemente criticado por, entre otros, el informe de la AEPD, que sostuvo que en ningún caso deben asimilarse, ni directa ni indirectamente, los datos PNR con la información relativa a la tripulación, que es distinta.

La versión final del Anteproyecto, en los artículos 1.1.a) y 5.3, ahora sí, distingue claramente entre los datos PNR ?relativos a los pasajeros? y la información relativa a la tripulación y de cualquier otra persona a bordo del vuelo. Además, impone a los sujetos obligados la obligación de transferir los datos de la tripulación y de cualquier otra persona a bordo contenidos en las letras o) ?toda la información relativa al equipaje? y q) ?cualquier información recogida en el sistema de información anticipada sobre los pasajeros (sistema API), incluidos el tipo, número, país de emisión y fecha de expiración de cualquier documento de identidad, nacionalidad, apellidos, nombre, sexo, fecha de nacimiento, compañía aérea, número de vuelo, fecha de salida, fecha de llegada, aeropuerto de salida, aeropuerto de llegada, hora de salida y hora de llegada? del artículo 5.2 del Anteproyecto. El artículo 1.1.a) de la versión final del Anteproyecto establece:

"1. Esta ley orgánica, con el propósito de garantizar y proteger la vida y la seguridad de los ciudadanos, tiene por objeto regular:

a) La transferencia de datos del registro de nombres de los pasajeros (en adelante datos PNR), así como de la información de la tripulación referida en el artículo 5.3, y de cualquier otra persona a bordo del vuelo, correspondientes a vuelos internacionales y, en su caso, nacionales, en los términos y a los efectos previstos en el capítulo II".

La inclusión de la tripulación y del resto de personas que viajen a bordo y que no sean pasajeros en el Anteproyecto carece de la cobertura de la Directiva, que excluye de su ámbito de aplicación cualquier información referida a quienes no ostenten la condición de pasajeros. Sería necesario que la Memoria contuviera una explicación de las razones por las que, a pesar de que la Directiva no incluye a estas personas en su ámbito de aplicación, se han incluido en el Anteproyecto. También sería conveniente dejar constancia de las razones por las que la Directiva las ha excluido.

Ahora bien, a juicio del Consejo de Estado, la finalidad de incluir la transferencia de información de los tripulantes de la aeronave y de toda persona a bordo del vuelo dentro del ámbito de aplicación del Anteproyecto coincide con la finalidad que persigue la Directiva y, por tanto, el Anteproyecto, esto es, contribuir a la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de los delitos graves, la cual justifica el menoscabo que la transmisión de información produce en los derechos comprendidos en los artículos 18.1 y 4 de la Constitución. En consecuencia, no parece que carezca de sentido que la UIP y las autoridades competentes puedan conocer la información esencial acerca de los tripulantes de la aeronave y de toda persona a bordo del vuelo para evitar, precisamente, que se cometan delitos de terrorismo o delitos graves, y, por ello, no se considera que esta previsión sea objetable desde la perspectiva constitucional. Ahora bien, desde el punto de vista de su compatibilidad con la Directiva, que pretende la homogeneidad del sistema, es dudosa, pero esas dudas debe aclararlas la propia Comisión a la que debe ser comunicado el texto del Anteproyecto.

Por último, cabe destacar que resulta desconcertante la alusión a "cualquier otra persona que viaje a bordo", que debe ser distinta de los pasajeros y de la tripulación. Sería conveniente que se concretasen las personas a las que se quiere referir el Anteproyecto.

2) Artículo 2, "Ámbito de aplicación"

a) El apartado 1 prevé que la ley orgánica será de aplicación a los datos PNR de las personas que viajen en vuelos internacionales, tanto interiores como exteriores de la Unión Europea.

La Directiva prevé que sus previsiones se apliquen a las transferencias de datos PNR de vuelos exteriores de la UE y contempla, en su artículo 2, la posibilidad de que los Estados decidan que sus previsiones se apliquen también a los vuelos internacionales interiores de la UE.

El apartado 1 del artículo 2 del Anteproyecto opta por incluir en el ámbito de aplicación del Anteproyecto todo tipo de vuelos internacionales, tanto los exteriores como los interiores, entre Estados miembros, de la UE.

A juicio del Consejo de Estado, no hay nada que objetar en este punto, pues se opta por una de las alternativas que contempla la Directiva, pero sí debe recordarse que, de acuerdo con lo que establece el artículo 2.1 de la Directiva, el Estado español deberá notificar por escrito esta decisión a la Comisión. En este sentido, como ha destacado el informe de la Secretaría General Técnica del Ministerio de Justicia, sería conveniente que la Memoria reflejara que se realizará dicha notificación una vez que la Ley sea aprobada. Todo ello, para conseguir una mejor transposición del artículo 2 de la Directiva.

b) El párrafo primero del apartado 2 del artículo 2 del Anteproyecto extiende la aplicación del Anteproyecto a los vuelos privados.

La Directiva solo hace referencia a la aplicación de sus disposiciones a las compañías aéreas (y, por tanto, a los vuelos comerciales). No contiene precepto alguno que aluda a los vuelos privados ni una disposición que habilite expresamente a los Estados miembros a ampliar su ámbito de aplicación a los vuelos privados. Ello parece llevar a la conclusión de que las disposiciones de la norma que la transponga deberían ser aplicables solo a los vuelos comerciales y no a los vuelos privados.

Ahora bien, el considerando 33 de la Directiva dice que "la presente Directiva no afecta a la posibilidad de que los Estados miembros establezcan en su derecho nacional un mecanismo para recoger y tratar los datos PNR proporcionados por [...] los transportistas que no sean los mencionados en él, siempre que el derecho nacional de que se trate respete el derecho de la Unión".

Por lo demás, no debe olvidarse que la finalidad de la Directiva es facilitar a las autoridades competentes la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo o delitos graves para lo que resulta necesario que puedan conocer qué personas han utilizado el transporte aéreo, dentro de los límites establecidos en la propia Directiva, a fin de, por una parte, poder acceder a esa información y, por otra, poder establecer modelos de conducta que permitan una mayor prevención de tales conductas. Pues bien, la eficacia de las disposiciones de la Directiva podría verse limitada si las obligaciones de información se limitasen a los vuelos comerciales, dado que es posible que existan determinados modelos de conducta que partan del uso de la aviación no comercial, particularmente vinculado a determinadas actividades delictivas y al crimen organizado. La limitación del alcance del Anteproyecto a la aviación comercial podría perjudicar la consecución de la finalidad de la Directiva. Así las cosas, dado que no están expresamente excluidos por la Directiva, y que puede ser útil incluirlos para conseguir sus objetivos, el Consejo de Estado considera que, desde una perspectiva constitucional, no es objetable la inclusión de los vuelos privados dentro del ámbito de aplicación de la Directiva. Ahora bien, desde la perspectiva de la compatibilidad con la Directiva, que pretende la homogeneidad del sistema, es dudosa esta ampliación, pero esas dudas debe aclararlas la propia Comisión a la que debe ser comunicado el texto del Anteproyecto. Como destaca el informe del CGPJ, dado que el artículo 19.3 de la Directiva llama a no ampliar innecesariamente el ámbito de aplicación de la Directiva y que esta no los incluye, habría que explicar las razones por las que se han incluido los vuelos privados dentro del ámbito de aplicación del Anteproyecto.

El párrafo segundo del apartado segundo excluye de la aplicación del Anteproyecto a determinados vuelos. La Directiva no incluye una cláusula de exclusión similar a la que contiene este párrafo y, por ello, sería conveniente incluir en la Memoria y en la exposición de motivos del Anteproyecto la justificación de esta exclusión. Sin embargo, el denominador común de esas exclusiones es que se trata de vuelos no vinculados al transporte de pasajeros, que es el objeto de la Directiva, y, por tanto, su exclusión de la aplicación de la ley orgánica está justificada.

c) El apartado 3 contempla la posibilidad de que se apliquen las previsiones del Anteproyecto a rutas o vuelos concretos de carácter nacional. El párrafo primero del apartado 3 del artículo 2 del Anteproyecto configura la medida como una medida extraordinaria y de carácter temporal ("por el tiempo que resulte imprescindible"), que está condicionada a que existan indicios suficientes de una clara y contrastada situación de riesgo y a que sea necesaria para las finalidades que persigue la Directiva ("prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves"). El párrafo segundo, por su parte, establece que "serán indicios suficientes de la existencia de esta situación de riesgo, entre otros, una situación de interés para la seguridad nacional o un nivel de alerta definido en el Plan de Prevención y Protección Antiterrorista como de riesgo alto o muy alto".

En primer lugar, es preciso señalar que la Directiva no se refiere a los vuelos nacionales en ningún precepto -su artículo 2 menciona solo los vuelos interiores de la UE, que define en el artículo 3, letra a), como "cualquier vuelo, programado o no programado por una compañía aérea, procedente del territorio de un Estado miembro y que tenga previsto aterrizar en el territorio de otro u otros Estados miembros, sin escalas en el territorio de un tercer país"-. Ante esta circunstancia, se considera que debería haberse analizado la posibilidad de aprobar una regulación ad hoc que atendiera de forma específica la problemática y necesidades de los vuelos nacionales, en lugar de tratarlos conjuntamente con los vuelos internacionales e intracomunitarios.

En segundo lugar, procede señalar que se aprecia una divergencia en el contenido de los párrafos primero y segundo del apartado 3. Mientras que el párrafo primero configura la aplicación de la Ley Orgánica a los vuelos nacionales como una medida extraordinaria y sujeta a estrictos requisitos ?excepcionalidad, que es acorde con el sacrificio de los derechos fundamentales que conlleva?, el párrafo segundo utiliza un concepto jurídico indeterminado de difícil concreción ? "situación de interés para la seguridad nacional"?, lo cual no es acorde con la excepcionalidad de la medida y, por tanto, es contrario al principio de seguridad jurídica. A mayor abundamiento, tampoco se considera acorde con la excepcionalidad de la medida que el Anteproyecto atribuya la competencia para adoptarla al Ministro del Interior. La extensión de la aplicación de la Ley Orgánica a los vuelos nacionales debería acordarse mediante real decreto en Consejo de Ministros, garantizando con ello que las intromisiones en los derechos a la intimidad y a la protección de los datos de carácter personal en relación con los vuelos nacionales tengan lugar sólo de forma excepcional y con las máximas garantías.

Por ello, a juicio del Consejo de Estado, la inclusión de los vuelos nacionales en el ámbito de aplicación de la Ley Orgánica solo es posible cuando se asegure su excepcionalidad, cuando la medida se adopte con las máximas garantías y, desde un punto de vista constitucional, cuando se asegure la necesidad, proporcionalidad y adecuación del sacrificio de los derechos fundamentales a la vista de los motivos que llevan a adoptar la medida.

Por todo ello, este Consejo de Estado considera que debe revisarse la redacción actual del apartado 3 del artículo 2 del Anteproyecto con objeto de recoger las observaciones que se recogen en los párrafos anteriores. Esta observación reviste el carácter de esencial a efectos de lo dispuesto en el artículo 130.3 del Reglamento Orgánico del Consejo de Estado, aprobado por Real Decreto 1674/1980, de 18 de julio.

3) Artículo 3, "Sujetos obligados"

El artículo 3 del Anteproyecto establece que los sujetos obligados por la Ley son las compañías aéreas y las entidades de gestión de reserva de vuelos.

Sin embargo, el artículo 1 de la Directiva solo se refiere a las compañías aéreas y no hace mención a las entidades de gestión de reserva de vuelos. La Directiva contiene dos alusiones en relación con estas entidades: primero, en el considerando 33 ("La presente Directiva no afecta a la posibilidad de que los Estados miembros establezcan en su derecho nacional un mecanismo para recoger y tratar los datos PNR proporcionados por operadores económicos que no sean compañías aéreas, tales como agencias de viaje y operadores turísticos que prestan servicios relacionados con los viajes, como la reserva de vuelos, para los cuales recogen y tratan datos PNR, o de los transportistas que no sean los mencionados en él, siempre que el derecho nacional de que se trate respete el derecho de la Unión"); segundo, el artículo 19 establece que la Comisión deberá elaborar un informe, que deberá ser sometido al Parlamento Europeo y al Consejo a más tardar el 25 de mayo de 2020, sobre, entre otras cuestiones, "la necesidad de incluir en el ámbito de aplicación de la presente Directiva a agentes económicos que no sean compañías aéreas, tales como agencias de viaje y operadores turísticos que prestan servicios relacionados con los viajes, como la reserva de vuelos".

A juicio del Consejo de Estado, aunque la Directiva no impone que tengan que estar incluidas las entidades de gestión de reservas de vuelos en el ámbito de aplicación de la norma que la transponga al ordenamiento de cada Estado miembro, tampoco las excluye ?más bien al contrario, pues prevé que en el informe de revisión de los elementos de la Directiva al que se ha aludido se evalúe la posibilidad de exigir su incorporación? y, por tanto, no procede objetar la opción del prelegislador. Ahora bien, su mantenimiento, como ha apuntado el informe de la Secretaría General Técnica del Ministerio de Hacienda y Función Pública, debe ir acompañado de una evaluación de su efectividad, en el sentido de que tales entidades pueden no estar establecidas en territorio español, en especial las dedicadas a la gestión de vuelos y viajes a través de internet.

4) Artículo 4, "Delitos de terrorismo y delitos graves"

El apartado 1, para ser más preciso, debería comenzar con el siguiente inciso: "A los exclusivos efectos de esta ley orgánica...".

El apartado 2 reproduce literalmente la enumeración de delitos contenida en el anexo II de la Directiva. Esta reproducción literal de los delitos puede acarrear problemas ulteriores porque, en algunos casos, los delitos enumerados no tienen un correlato claro en el Código Penal español. Así, por ejemplo, la referencia al delito de "corrupción" del apartado f) no resulta directamente trasladable a nuestro ordenamiento penal, en el que no existe un delito de corrupción como tal. Lo mismo puede decirse del apartado g) "fraude, incluido el que afecte a los intereses financieros de la Unión Europea".

En suma, teniendo en cuenta que dicha enumeración delimita la finalidad para la que se autoriza el tratamiento de datos personales no basado en el consentimiento de su titular, tratamiento especialmente invasivo del derecho a la intimidad y a la protección de datos de carácter personal, a juicio del Consejo de Estado, la enumeración de los delitos contenida en el apartado 2 del artículo 4 del Anteproyecto, con objeto de ser respetuosa con el principio de seguridad jurídica, debería hacer referencia al artículo y a la denominación de los delitos que contiene el Código Penal.

5) Artículo 5, "Datos del registro de nombres de pasajeros: datos PNR"

El apartado 1 define los datos PNR siguiendo la definición de los mismos contenida en el apartado 4) del artículo 3 de la Directiva y el apartado 2 reproduce el anexo I de la Directiva para determinar los datos PNR que deberán ser transmitidos a las UIP. El apartado 3 establece que las disposiciones de la Ley Orgánica serán aplicables, en el caso de los vuelos comerciales, a los datos de la tripulación y de cualquier otra persona a bordo señalados en párrafo o) del apartado anterior, así como a los correspondientes con los del párrafo q) del mismo. En relación con el apartado 3 pueden hacerse tres observaciones:

Primero, las letras o) y q) no son párrafos, son letras.

Segundo, la redacción es confusa, podría simplificarse de la siguiente forma: "En el caso de los vuelos comerciales, las disposiciones de esta ley orgánica serán aplicables a los datos de la tripulación y de cualquier otra persona a bordo señalados en las letras o) y q) del apartado anterior. Igualmente, en el caso de los vuelos privados, serán de aplicación a tales datos de los pasajeros y tripulantes".

Tercero, la Memoria debe justificar por qué, en el caso, por ejemplo, de los vuelos privados, solo se exigen los datos a los que aluden las letras o) y q). Aparentemente, no hay inconveniente alguno para que también se exijan otros, como los contenidos en las letras c), e), g) o h).

C) Capítulo II, "Tratamiento de los datos PNR"

El capítulo II del Anteproyecto, bajo la rúbrica "Tratamiento de los datos PNR", regula la UIP y sus funciones; el responsable de protección de datos; las obligaciones de transmisión de datos que recaen sobre los sujetos obligados y los momentos de la transmisión; concreta el régimen jurídico del tratamiento de datos PNR y las características de ese tratamiento; determina las autoridades competentes para solicitar o recibir datos PNR de la UIP; el intercambio de información entre Estados miembros de la Unión Europea, con Europol y con terceros Estados; y, por último, concreta las competencias de la AEPD.

1) Artículo 6, "Unidad de Información sobre Pasajeros"

El párrafo primero del apartado 1 establece que la UIP española se encuentra encuadrada en el Centro de Inteligencia contra el Terrorismo y el Crimen Organizado, dependiente de la Secretaría de Estado de Seguridad del Ministerio del Interior, y que es la responsable del tratamiento de los datos PNR, de acuerdo con lo que establece el apartado 1 del artículo 4 de la Directiva.

Este encuadre ya estaba previsto en el artículo 2.3.c) del Real Decreto 770/2017, de 28 de julio, por el que se desarrolla la estructura básica del Ministerio del Interior, que establecía que "del CITCO dependerán la Oficina Nacional de Información sobre Pasajeros (ONIP), que actúa como Unidad de Información sobre pasajeros (PIU) nacional, prevista en la normativa europea y la Unidad de Policía Judicial para delitos de terrorismo (TEPOL)". Actualmente, esta previsión se contiene en el Real Decreto 952/2018, de 27 de julio, por el que se desarrolla la estructura orgánica básica del Ministerio del Interior, que ha sustituido al anterior.

Ahora bien, y esto es importante, como ha destacado la AEPD, "la existencia de una unidad separada encargada de la recepción de los datos PNR y su transmisión a las autoridades competentes es uno de los aspectos esenciales de la Directiva PNR, actuando esa Unidad como sujeto interpuesto entre las compañías aéreas y dichas autoridades, que podrá además llevar a cabo actuaciones específicas de análisis dentro de los límites establecidos en la Directiva". En este sentido, es preciso diferenciar la UIP, como órgano integrado en el CITCO que tendrá unas funciones específicas atribuidas de acuerdo con el artículo 6 de la Directiva, del CITCO, que tiene funciones más amplias pero que no podrán afectar a los datos PNR.

El segundo párrafo del apartado primero, que establece que el personal de las autoridades competentes podrá incorporarse a la UIP, recoge lo establecido en el apartado 3 del artículo 4 de la Directiva. Ahora bien, la redacción no es todo lo clara que debería ser y, por ello, se sugiere la siguiente: "Cuando fuera preciso para el desarrollo de sus funciones, el personal al servicio de las autoridades competentes enumeradas en el artículo 14 podrá prestar servicios en la UIP. Dicho personal continuará en servicio activo en su Cuerpo...".

Desde un punto de vista sistemático, este párrafo segundo, que se refiere al desarrollo de las funciones de la UIP, estaría mejor ubicado como último apartado del artículo 7 del Anteproyecto, que es precisamente el relativo a esas funciones.

El apartado 2 recoge las sugerencias vertidas en los distintos informes de que se deje constancia de que la UIP, y no el CITCO, es la responsable del tratamiento de los datos PNR. Sin embargo, cabe notar que, en la Directiva, en ningún momento se trata del responsable del tratamiento de los datos PNR y solo se alude al responsable de protección de datos. El concepto de responsable del tratamiento de datos está importado de la normativa general en materia de protección de datos. Así, el artículo 4.7 del RGPD define al responsable del tratamiento de datos como "la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros".

Desde un punto de vista gramatical, se sugiere que el apartado 2 se redacte de la siguiente forma para que la concordancia de la oración sea correcta: "La UIP es la responsable del tratamiento de los datos PNR".

El apartado 3 transpone el contenido del apartado 8 del artículo 6 de la Directiva al establecer que el almacenamiento, tratamiento y análisis de los datos PNR por parte de la UIP se llevará a cabo exclusivamente en uno o varios lugares seguros dentro del territorio nacional.

Desde un punto de vista sistemático, este apartado 3 estaría mejor ubicado como apartado 3 del artículo 7 del Anteproyecto, que se refiere a las funciones de la UIP.

2) Artículo 7, "Funciones de la UIP"

La redacción actual del artículo 7 del Anteproyecto ha recogido gran parte de las sugerencias contenidas en los informes que obran en el expediente en relación con el apartado 2 del artículo 6 de la primera versión del Anteproyecto. A raíz de estas observaciones, el artículo 7 distingue entre las funciones de la UIP y las facultades que se le atribuyen para llevarlas a cabo.

El apartado 1 determina las funciones de la UIP y, para ello, reproduce el artículo 4.2 de la Directiva. La única diferencia entre el apartado 1 del artículo 7 y el apartado 2 del artículo 4 de la Directiva reside en que mientras que el Anteproyecto prevé que la UIP pueda intercambiar tanto los datos PNR como los resultados de su tratamiento con las UIP de otros Estados miembros de la Unión Europea, con Europol y con terceros países, la Directiva no hace referencia expresa en este artículo a los terceros países, aunque sí lo hace en los artículos 15 y 18.

El apartado 2 determina las facultades que se atribuyen a la UIP para realizar sus funciones. La Directiva no contiene un listado similar con las facultades que corresponden a la UIP, ya que tales facultades se encuentran dispersas por el articulado. A juicio del Consejo de Estado, esta enumeración o listado de las facultades es adecuada porque determina qué facultades concretas tiene atribuidas la UIP y cuáles son los límites de su actuación, de manera que con ello se garantiza una mayor protección de los derechos de los titulares de los datos PNR.

3) Artículo 8, "Responsable de protección de datos"

El responsable de protección de datos y la autoridad nacional de control son dos elementos esenciales para garantizar que el tratamiento de los datos PNR y el acceso a los mismos se produzca solo cuando sea necesario, de forma proporcional y respetando, en todo momento, las garantías establecidas en el ordenamiento jurídico.

El apartado 1 incorpora el contenido de los apartados 1 y 3 del artículo 5 de la Directiva. Establece que el responsable de protección de datos velará por que se adopten las medidas oportunas para controlar el tratamiento de estos datos y por que se apliquen las garantías en materia de protección de datos. Además, establece que actuará como punto de contacto único al que cualquier interesado tendrá derecho a dirigirse para todas las cuestiones relativas al tratamiento de sus datos.

El apartado 2 reproduce el contenido del apartado 2 del artículo 5 de la Directiva. Establece que el responsable deberá contar con los medios necesarios para el desempeño de sus funciones de manera eficaz e independiente.

A juicio del Consejo de Estado, el Anteproyecto debería concretar cuáles son los medios y garantías previstos para garantizar el funcionamiento independiente del responsable. Para ello, podría tomarse como modelo lo establecido por la Directiva 2016/680 (UE) del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (artículos 32 y siguientes). Por ejemplo, el artículo 32.2 establece que "el delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos, y a su capacidad para desempeñar las funciones contempladas en el artículo 34".

En este sentido, como destaca el informe del Consejo General del Poder Judicial, es necesario que el Anteproyecto "confiera un status al responsable del tratamiento de datos en la UIP que lo sustraiga de cualquier clase de dependencia jerárquica, sea orgánica o funcional, y garantice su inamovilidad e independencia efectivas en unos términos aún más estrictos que los establecidos para el Delegado de Protección de Datos (artículos 37 y siguientes del RGPD) con el que guarda cierta analogía, si bien en este caso de manera cualificada dada la finalidad del tratamiento y los riesgos que para el derecho fundamental entraña el sistema PNR". En este sentido, cabe recordar que el artículo 38.3 del RGPD establece: "El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones".

El apartado 3 incorpora el contenido del apartado 7 del artículo 6 de la Directiva. Establece que el responsable tendrá acceso a todos los datos PNR tratados por la UIP y que si considera que el tratamiento de un dato no ha sido lícito deberá comunicarlo al responsable del tratamiento y, en su caso, a la autoridad nacional de control.

El apartado 4 prevé que, supletoriamente, en lo no previsto en esta ley orgánica, el responsable de protección de datos se regirá por lo regulado para los delegados de protección de datos en la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

4) Artículo 9, "Obligaciones de transmisión de datos"

El apartado 1 recoge el contenido del apartado 1 del artículo 8 de la Directiva e incluye una referencia a los vuelos privados, que no contempla la Directiva. Establece que las compañías aéreas enviarán los datos PNR que hayan recogido en el transcurso de su actividad a las bases de datos de la UIP.

El apartado 2 se limita a establecer que las entidades de gestión de reservas de vuelos enviarán los datos PNR a la compañía aérea operadora del vuelo de que se trate.

Respecto del apartado 3, que establece que los sujetos obligados informarán a las personas a las que se refieran los datos PNR del motivo de su recogida y de su destinatario, es preciso señalar lo siguiente:

Primero, el párrafo primero está incompleto. De la lectura conjunta de los dos párrafos parece extraerse la conclusión de que el segundo párrafo debe ir a continuación del primero y separado por una coma, en vez de por un punto.

Segundo, el párrafo segundo parece dar a entender que los pasajeros deben ejercitar sus derechos ante el destinatario de los datos PNR, que, según el artículo 9.1 del Anteproyecto, es la UIP. Sin embargo, de acuerdo con lo establecido en el artículo 8.1 del Anteproyecto, es el responsable de protección de datos quien actuará como punto de contacto único, al que cualquier interesado deberá dirigirse para todas las cuestiones relativas al tratamiento de sus datos PNR. Por ello, el apartado debería diferenciar entre el destinatario y el responsable de protección de datos. La redacción debe modificarse en el siguiente sentido: "Los sujetos obligados informarán a las personas a las que se refieran los datos PNR del motivo de su recogida, de su destinatario y del responsable de protección de datos, ante quien podrán ejercitar sus derechos".

Tercero, se ha suscitado en el expediente la cuestión de quién debe informar a las personas afectadas por la recogida de datos.

El informe del CGPJ afirma que la obligación de informar a las personas afectadas recae sobre el Estado, al igual que la obligación de informar sobre las restricciones sobre líquidos y objetos que no pueden llevarse en la cabina. Para ello, sostiene que el considerando 29 de la Directiva PNR prevé: "Teniendo en cuenta el derecho de los pasajeros a ser informados del tratamiento de sus datos personales, los Estados miembros deben garantizar que los pasajeros reciban información precisa, de fácil acceso y comprensión, sobre la recogida de los datos PNR y su transferencia a la UIP, así como sus derechos como interesados". A juicio del Consejo de Estado, lo establecido en el considerando 29 no permite afirmar que es el Estado, y no la compañía aérea, quien está obligado a suministrar la información porque también podría interpretarse como que los Estados velarán por que las compañías aéreas informen a los pasajeros acerca del tratamiento de sus datos PNR. En la normativa general en materia de protección de datos, RGPD, artículos 13 y siguientes, la obligación de informar recae sobre el responsable del tratamiento que, en este caso, sería la UIP. Ahora bien, parece que lo más razonable sería que fuesen los mismos sujetos obligados, que son los que recogen los datos, los que informasen a los pasajeros.

En relación con el apartado 4, debe señalarse lo siguiente:

Primero, el primer inciso recoge el contenido del apartado 2 y del primer inciso del apartado 3 del artículo 8 de la Directiva. Establece que las compañías aéreas enviarán los datos PNR a la UIP, utilizando en todo caso medios electrónicos que ofrezcan garantías suficientes. El envío de datos a la UIP resulta conforme con lo previsto en el considerando 13 de la Directiva, que dispone que los datos PNR deberán transmitirse a una unidad única de información sobre los pasajeros (UIP) y, además, en este apartado se opta por el método de transmisión, en línea con lo previsto en el considerando 16 de la Directiva, que explica los dos métodos de transferencia de datos existentes en la actualidad (método de transmisión y método de extracción) y que expone que el ""método de transmisión" ofrece un nivel mayor de protección de datos y que debe ser obligatorio para todas las compañías aéreas".

Segundo, el segundo inciso y el resto de párrafos del apartado 4 recogen el contenido del artículo 16 de la Directiva, que se refiere a los formatos de datos y protocolos de transmisión que deberán utilizarse en la transmisión de datos PNR. La determinación de los formatos y protocolos se remite, en el caso de los datos PNR, a lo establecido en la Decisión de Ejecución de la Comisión (UE) 2017/759, de 28 de abril de 2017, relativa a los protocolos comunes y los formatos de datos que deberán utilizar las compañías aéreas para la transmisión de los datos PNR a las Unidades de Información sobre Pasajeros, y, en el caso de los API, al formato específico de datos que contempla la Decisión de Ejecución de la Comisión (UE) 2017/759, de 28 de abril de 2017. Al igual que en la Directiva, también se prevé que, en caso de fallo técnico o imposibilidad sobrevenida, la transmisión de los datos PNR se realizará por cualquier otro medio que garantice un nivel de seguridad adecuado para los datos PNR.

El apartado 5 del Anteproyecto no tiene correlación con precepto alguno de la Directiva. Establece que las compañías aéreas que no operen vuelos con arreglo a un calendario concreto y público y que no dispongan de la infraestructura técnica necesaria para usar los formatos de datos y los protocolos de transmisión incluidos en la Decisión de Ejecución de la Comisión (UE) 2017/759, de 28 de abril de 2017, utilizarán los formatos y los medios electrónicos que se acuerde, siempre que ofrezcan garantías suficientes respecto de las medidas de seguridad técnicas.

A juicio del Consejo de Estado, se debe concretar lo concerniente al acuerdo sobre los formatos y medios electrónicos que van a ser empleados o, cuando menos, remitir su especificación a otra norma. En este sentido, se sugiere que se utilice la solución prevista en el artículo 1.3 de la Decisión 2017/759, que establece que se acordarán "de forma bilateral entre la compañía aérea y el estado miembro de que se trate" o que se remita su concreción a un ulterior desarrollo reglamentario.

5) Artículo 10, "Momentos de la transmisión de datos"

El artículo 10 regula los momentos de la transmisión de datos PNR. El apartado 1 recoge el contenido de los apartados 3 y 4 del artículo 8 de la Directiva. Ahora bien, sería conveniente que el último párrafo del apartado, para evitar confusiones, tuviera la siguiente redacción, más acorde con la Directiva: "Las compañías aéreas podrán limitar la transmisión prevista en la letra b) a las actualizaciones de la información transmitida conforme a la letra a)".

El apartado 2 impone a las compañías aéreas la obligación de comunicar cualquier cambio producido previamente o durante el trayecto respecto al destino donde se tuviera previsto aterrizar o a la realización de una escala no programada.

Esta previsión no se encuentra contenida en precepto alguno de la Directiva, pero parece razonable que se introduzca, para garantizar la exactitud de los datos.

El apartado 3 reproduce el apartado 5 del artículo 8 de la Directiva, que establece que cuando sea necesario acceder a los datos PNR para responder a una amenaza real y concreta relacionada con delitos de terrorismo o con delitos graves, en momentos distintos de los recogidos en el apartado 1, todos los sujetos obligados, caso por caso, deberán transmitir a la UIP dichos datos con carácter inmediato.

El artículo sólo regula el momento de la transmisión de datos por parte de las compañías aéreas, pero no hace referencia al momento de la transmisión de datos por parte de los sujetos obligados que no son compañías aéreas. Se considera necesario regular de forma expresa el momento de esta transmisión.

6) Artículo 11, "Régimen jurídico aplicable al tratamiento de datos PNR"

El artículo 11 regula, de forma diferenciada, el régimen jurídico aplicable al tratamiento de datos PNR por parte de la UIP y de las autoridades competentes (apartado 1) y de los sujetos obligados (apartado 2).

El apartado 1 establece: "1. Los tratamientos de datos de carácter personal que lleven a cabo la UIP y las autoridades competentes referidas en el artículo 14 se regirán por esta ley orgánica y supletoriamente por la norma que la trasponga a derecho español la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016".

En primer lugar, cabe señalar que este apartado transpone el apartado 2 del artículo 13 de la Directiva: "Cada Estado miembro establecerá que las disposiciones adoptadas en el marco del derecho nacional en aplicación de los artículos 21 y 22 de la Decisión marco 2008/977/JAI sobre la confidencialidad del tratamiento y la seguridad de los datos se aplicarán también a todo tratamiento de datos personales con arreglo a la presente Directiva".

En segundo lugar, es preciso destacar que, actualmente, se está elaborando en el Ministerio del Interior la norma que transpone la Directiva 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril.

A la vista de las dos precisiones señaladas, se considera necesario que el apartado 1 del artículo 11 haga referencia a la normativa actualmente vigente en esta materia (que se dictó en aplicación de los artículos 21 y 22 de la Decisión Marco 2008/977/JAI sobre la confidencialidad del tratamiento y la seguridad de los datos, a la que hace referencia la Directiva), esto es, a los artículos 9, 10 y 11 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal o, si se prefiere, con objeto de no tener que modificar este artículo cuando se transponga la mencionada directiva, se introduzca el siguiente inciso final: "supletoriamente por las normas que regulen en derecho español el tratamiento de datos por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales".

El apartado 2 dispone: "2. Sin perjuicio de las obligaciones establecidas en esta ley orgánica, los tratamientos de datos de carácter personal realizados por los sujetos obligados referidos en el artículo 3 se regirán por lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y por la legislación interna que se dicte en uso de la habilitación contenida en aquel".

Como observación de carácter gramatical, en el apartado 1, debe suprimirse "la" en "que la trasponga".

7) Artículo 12, "Tratamiento de los datos PNR"

El apartado 1 reproduce el contenido del apartado 1 del artículo 6 de la Directiva, que prevé que los datos PNR serán recogidos por la UIP y que, si la información remitida incluyera datos distintos de los datos PNR, serán eliminados inmediatamente.

El apartado 2 reproduce el contenido del apartado 2 del artículo 6 de la Directiva, que establece los propósitos del tratamiento de los datos PNR por la UIP. Por su parte, el último párrafo del apartado recoge el contenido del apartado 4 del artículo 6 de la Directiva, que se refiere a los criterios predeterminados con base en los cuales se hará el tratamiento.

El apartado 3 incorpora el contenido del apartado 3 del artículo 6 de la Directiva, que describe las operaciones que la UIP podrá realizar durante el tratamiento.

El apartado 4 recoge el contenido de los apartados 5 y 6 del artículo 6 de la Directiva, que imponen que cuando la evaluación arroje un resultado positivo, esto es, cuando se identifique a una persona, deberá realizarse una revisión individual de tal resultado a través de medios no automatizados. Ahora bien, aunque puede sobreentenderse, para recoger fielmente el contenido del apartado 6, debería hacerse referencia a que la UIP deberá transmitir los datos PNR de las personas identificadas a las autoridades competentes.

8) Artículo 13, "Consecuencias de la evaluación"

Este artículo reproduce el contenido del apartado 9 del artículo 6 de la Directiva. Establece que las consecuencias de las evaluaciones de los pasajeros no perjudicarán el derecho de entrada en España de las personas que gocen del derecho de libre circulación en la Unión Europea y que, en el caso de que sean pasajeros de vuelos interiores de la UE y les sea de aplicación el Reglamento (UE) 2016/399 del Parlamento Europeo y del Consejo, de 9 de marzo de 2016, las consecuencias se ajustarán a este reglamento.

9) Artículo 14, "Autoridades competentes"

El apartado 1 determina las autoridades competentes para solicitar o recibir datos PNR de la UIP o el resultado del tratamiento de dichos datos, tal como señala el apartado 1 del artículo 7 de la Directiva.

En relación con este artículo, pueden hacerse algunas consideraciones:

Primero, como destaca el informe del Consejo General del Poder Judicial, la inclusión de los jueces y tribunales en la misma lista que el resto de autoridades competentes, que tienen carácter netamente administrativo, no es respetuosa con el principio constitucional de independencia judicial. También objeta el citado informe que, en el apartado 2, se regula, también para los jueces y tribunales, la forma en que deberán solicitarse los datos. Tal previsión se inmiscuye en el ejercicio de la función jurisdiccional al obviar que, conforme al artículo 17 de la LOPJ, "todas las personas y entidades públicas y privadas están obligadas a prestar, en la forma que la ley establezca, la colaboración requerida por los Jueces y Tribunales en el curso del proceso y en la ejecución de lo resuelto, con las excepciones que establezcan la Constitución y las leyes, y sin perjuicio del resarcimiento de los gastos y del abono de las remuneraciones debidas que procedan conforme a la ley". Por último, sostiene que es improcedente aplicar el principio general de colaboración administrativa al poder judicial, como hace el apartado 3 del artículo.

A la vista de las anteriores consideraciones, debe introducirse un apartado específico para los jueces y tribunales, a los que no les será de aplicación lo previsto en los apartados 2 y 3 del artículo 9 del Anteproyecto.

Esta observación tiene carácter esencial en el concreto sentido previsto por el artículo 130, apartado 3, del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.

Segundo, debería dejarse constancia en el expediente de que, de acuerdo con lo que establece el apartado 3 del artículo 7 de la Directiva, deberá comunicarse a la Comisión la lista de autoridades competentes.

El apartado 2 recoge el contenido del apartado 2.b) del artículo 6 de la Directiva, que prevé que las peticiones se refieran a casos específicos, que estén debidamente razonadas y que tengan suficiente base.

El apartado 3, que no transpone artículo alguno de la Directiva, establece que las autoridades competentes, en el ámbito de sus competencias, colaborarán con la UIP para el cumplimiento de los fines de la Ley Orgánica.

El apartado 4 reproduce el contenido del apartado 4 del artículo 7 de la Directiva, que establece que las autoridades competentes solo podrán tratar los datos recibidos para los fines previstos en la Ley Orgánica, y añade "sin perjuicio de las acciones y procedimientos que puedan llevarse a cabo en el caso de que, como consecuencia del tratamiento de dichos datos, se detecten otros delitos o indicios de ellos".

De acuerdo con este apartado, las autoridades competentes podrán solicitar y tratar los datos PNR solo para los fines previstos en la Ley Orgánica pero, en el caso de que, como consecuencia del tratamiento llevado a cabo con esos fines, se detecten otros delitos o indicios de ellos, podrán llevarse a cabo las actuaciones previstas legalmente.

El apartado 5 reproduce el contenido del apartado 6 del artículo 7 de la Directiva, que establece que no podrán tomarse decisiones que produzcan efectos negativos sobre las personas tomando como única base el tratamiento automatizado de datos PNR. Además, prevé que en ningún caso esas decisiones se basarán en datos sensibles.

10) Artículo 15, "Protección de los datos de carácter personal"

El apartado 1 reproduce el contenido del apartado 4 del artículo 13 de la Directiva, que prevé que la UIP no podrá tratar datos PNR sensibles.

Esta previsión se encuentra en línea con lo sostenido en la conclusión del dictamen del TJUE (Gran Sala) 1/2015, de 26 de julio de 2017, que excluye los datos sensibles del tratamiento de datos PNR.

El apartado 2 reproduce el contenido del apartado 5 del artículo 13 de la Directiva, que regula las obligaciones de la UIP en materia de conservación de documentación.

El apartado 3 reproduce el contenido del apartado 6 del artículo 13 de la Directiva, que regula los registros de operaciones de recogida, consulta, transferencia y supresión de datos.

El apartado 4 reproduce el contenido del apartado 8 del artículo 13 de la Directiva, que establece que cuando sea probable que una violación de los datos personales dé lugar a un elevado riesgo para la protección de estos o afecte negativamente a la intimidad del interesado, la UIP comunicará, sin demora injustificada, dicha violación al interesado y a la autoridad supervisora nacional.

El apartado 5 reproduce el contenido del apartado 7 del artículo 13 de la Directiva, que prevé que deberán aplicarse las medidas y los procedimientos necesarios para garantizar la seguridad de los datos PNR.

Nada hay, pues, que objetar a este artículo.

11) Artículo 16, "Intercambio de información entre Estados miembros de la Unión Europea"

El apartado 1 transpone el contenido del apartado 1 del artículo 9 y del apartado 6 del artículo 6 de la Directiva. A juicio del Consejo de Estado, este apartado introduce una serie de matices que no se corresponden con el contenido de la Directiva.

El apartado 1 del artículo 16 del Anteproyecto establece lo siguiente:

"1. La UIP transmitirá los datos PNR o el resultado de su tratamiento, relativos a las personas identificadas por la misma, a las Unidades de Información sobre Pasajeros de los otros Estados miembros, siempre que sea pertinente y necesario.

En caso de que la UIP reciba datos PNR o el resultado de su tratamiento de la Unidad de Información sobre Pasajeros de otro Estado miembro y, tras una revisión individualizada, los considere pertinentes y necesarios, deberá proporcionarlos a las autoridades competentes correspondientes".

El apartado 1 del artículo 9 de la Directiva establece:

"1. En lo que respecta a las personas identificadas por una UIP de conformidad con el artículo 6, apartado 2, los Estados miembros garantizarán que todos los datos PNR pertinentes y necesarios, o el resultado de su tratamiento, sean transmitidos por la UIP en cuestión a las unidades correspondientes de los demás Estados miembros. Las UIP de los Estados miembros receptores remitirán la información recibida, de conformidad con el artículo 6, apartado 6, a sus autoridades competentes".

Y el apartado 6 del artículo 6 establece lo siguiente:

"6. La UIP de un Estado miembro transmitirá los datos PNR de las personas identificadas con arreglo al apartado 2, letra a), o los resultados del tratamiento de esos datos PNR a las autoridades competentes pertinentes a que hace referencia el artículo 7 del mismo Estado miembro para su ulterior examen. Dicha transmisión solo se llevará a cabo tras un análisis de cada caso y, en caso de tratamiento automatizado de los datos PNR, tras una revisión individualizada por medios no automatizados".

En relación con el primer párrafo del apartado 1 del artículo 16 del Anteproyecto, deben destacarse tres aspectos:

Primero, debería explicitarse que las "personas identificadas" a las que hace referencia son, conforme con los acuerdos citados de la Directiva, las personas que puedan estar implicadas en un delito de terrorismo o delito grave. Así, debería añadirse a continuación de "relativos a las personas identificadas por la misma" la siguiente oración "como personas que puedan estar implicadas en un delito de terrorismo o delito grave".

Segundo, establece que la UIP transmitirá esos datos "siempre que sea pertinente y necesario", es decir, introduce un juicio de valor por parte de la UIP a la hora de transmitir los datos PNR, o el resultado de su tratamiento, a las UIP de otros Estados. Sin embargo, de la lectura del primer inciso del apartado 1 del artículo 9 de la Directiva, se extrae la conclusión de que la transmisión a las UIP será inmediata cuando se identifique a personas que puedan estar implicadas en un delito de terrorismo o delito grave y que todos los datos PNR necesarios y pertinentes para la identificación de la persona en cuestión, o el resultado de su tratamiento, deberán ser transmitidos a las UIP de los demás Estados miembros. Es decir, que cuando se identifique a una persona deberá transmitirse, sin más trámites ni operaciones, la información necesaria y pertinente a las demás UIP. A juicio del Consejo de Estado, debe rectificarse la redacción del artículo 16 del Anteproyecto para recoger fielmente el sentido del apartado 1 del artículo 9 de la Directiva.

En la medida en que se trata de alinear la proyectada legislación con la norma europea con la que está vinculada, esta observación tiene carácter esencial en el concreto sentido previsto por el artículo 130, apartado 3, del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.

Tercero, el primer párrafo del apartado 1 del artículo 16 del Anteproyecto no hace referencia a la exigencia prevista en el apartado 6 del artículo 6 de la Directiva, que establece que deberá realizarse una revisión individualizada por medios no automatizados cuando la identificación de la persona se haya producido por medio de un tratamiento automatizado de datos PNR.

En cuanto al párrafo segundo del apartado 1 del artículo 16 del Anteproyecto, que establece que cuando la UIP reciba datos PNR o el resultado de su tratamiento de la Unidad de Información sobre Pasajeros de otro Estado miembro y los considere, tras una revisión individualizada, pertinentes y necesarios, deberá proporcionarlos a las autoridades competentes correspondientes, se considera que, con el fin de respetar fielmente lo previsto en los artículos 9.1 y 6.6 de la Directiva y ante las distintas interpretaciones que estos artículos pueden admitir, debe suprimirse el inciso ",los considere pertinentes y necesarios".

Los apartados 2, 3 y 4 recogen el contenido del apartado 2 del artículo 9 de la Directiva, que regula las solicitudes de datos PNR entre las UIP de distintos Estados miembros.

A continuación se hacen una serie de consideraciones sobre el apartado 2:

Primero, el apartado 2 del artículo 16 debería recoger el último inciso del apartado 6 del artículo 6 de la Directiva: "y en caso de tratamiento automatizado de los datos PNR, tras una revisión individualizada por medios no automatizados".

Segundo, el párrafo segundo del apartado 2 debe suprimir la palabra "el acceso", que hace alusión a una concepción ya superada en materia de datos PNR y debe sustituirse por "la transmisión".

Tercero, el concepto utilizado por la Directiva es el de "enmascaramiento de elementos de datos", no el de enmascaramiento de datos como utiliza el Anteproyecto. De hecho, la definición de "despersonalizar mediante enmascaramiento de elementos de los datos", que es "hacer invisibles para un usuario aquellos elementos de los datos que servirían para identificar directamente al interesado", está contenida en el número 10 del artículo 3 de la Directiva. A juicio del Consejo de Estado, es necesario que se incorpore esta definición al Anteproyecto para que, en la medida en que es un concepto europeo autónomo, sea la misma en toda la Unión.

Desde un punto de vista sistemático, cabe señalar que el apartado 2 regula las solicitudes de transmisión de datos PNR planteadas por la UIP española diferenciando entre dos supuestos: uno, primer párrafo, cuando los datos no han sido despersonalizados; dos, segundo párrafo, cuando sí lo han sido. Sin embargo, en relación con las solicitudes de transmisión de datos PNR de la UIP de cualquier Estado miembro a la UIP española, los apartados 3 y 4 se refieren a los dos mismos supuestos en dos apartados diferentes. Sería aconsejable que, a efectos sistemáticos, el apartado 4 pasara a ser el párrafo segundo del apartado 3 y que se reenumerasen los siguientes apartados.

El apartado 4 prevé que cuando los datos hayan sido despersonalizados, la UIP solo proporcionará los datos completos o el resultado de su tratamiento ante casos específicos y cuando sea necesario para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y delitos graves, y solo cuando lo haya autorizado la autoridad judicial o el Secretario de Estado de Seguridad.

La versión inicial del Anteproyecto atribuía la autorización a la autoridad judicial y al responsable del tratamiento. Ante las críticas recibidas en los informes que obran en el expediente en relación con la autorización del responsable del tratamiento, la propia UIP, se ha sustituido por la autorización del Secretario de Estado de Seguridad.

El artículo 9.2 de la Directiva prevé que la autorización la otorgue "una autoridad competente conforme a lo dispuesto en el artículo 12, apartado 3, letra b)". El artículo 12, apartado 3, letra b), por su parte, se refiere a: "i) la autoridad judicial, u ii) otra autoridad nacional competente para verificar si se cumplen las condiciones para la divulgación conforme al derecho nacional, con sujeción a la información y revisión a posteriori del responsable de la protección de datos de la UIP".

Al Secretario de Estado de Seguridad le corresponde, de acuerdo con el artículo 2 del Real Decreto 952/2018, de 27 de julio, por el que se desarrolla la estructura orgánica básica del Ministerio del Interior (Boletín Oficial del Estado núm. 183, de 30 de julio): "La dirección, impulso y coordinación de las actuaciones del Departamento en materia de crimen organizado, terrorismo, trata de seres humanos, tráfico de drogas, blanqueo de capitales relacionado con dicho tráfico y delitos conexos" y, por tanto, se considera que es una autoridad adecuada para otorgar la autorización.

El apartado 5 recoge el contenido del apartado 3 del artículo 9 de la Directiva, que regula las solicitudes de datos PNR de las autoridades competentes de un Estado miembro a la UIP de otro Estado miembro. El apartado 3 del artículo 9 de la Directiva exige que la solicitud de la autoridad competente a la UIP de otro Estado miembro sea motivada. Sin embargo, el apartado 5 no deja constancia de este requisito, que debe incluirse, y se limita a establecer que la remisión a la UIP de la copia de la remisión directa a la UIP de otro Estado miembro por parte de las autoridades competentes "deberá acompañarse, lo antes posible, de una motivación de la remisión directa".

El apartado 6 recoge el contenido del apartado 4 del artículo 9 de la Directiva, que regula el acceso por parte de la UIP a los datos PNR de una UIP de otro Estado miembro en casos excepcionales.

Este apartado emplea un verbo confuso: "obtenga", que no está recogido en la Directiva, que emplea el verbo acceder y que prevé expresamente que, una vez la UIP del Estado miembro accede a los datos PNR, los facilitará a la UIP. Debe cambiarse "obtenga" por "acceda a" y añadirse un último inciso "y que los transmita a la UIP solicitante".

El apartado 7 recoge el contenido del apartado 5 del artículo 9 de la Directiva, que regula las vías de intercambio de información y que dispone: "Los Estados miembros, al efectuar sus notificaciones de conformidad con el artículo 4, apartado 5 [de creación de la UIP], informarán también a la Comisión de los puntos de contacto a los que se podrán enviar las solicitudes en caso de emergencia...". En el expediente debe quedar constancia de esta obligación que recae sobre los Estados miembros.

12) Artículo 17, "Transferencia de datos a Europol"

Este artículo recoge parcialmente el contenido del artículo 10 de la Directiva, que regula las condiciones de acceso de Europol a los datos PNR.

En primer lugar, cabe señalar que la Directiva, en el apartado 1 del artículo 10, establece dos requisitos para que Europol pueda solicitar datos PNR: uno, que esté dentro de los límites de sus competencias; dos, que se soliciten para el desempeño de sus funciones. Sin embargo, el artículo 17 del Anteproyecto solo hace referencia al primero de ellos. Debería añadirse un inciso final en el artículo 17 del siguiente tenor: "y para el desempeño de sus funciones". También debería hacerse alusión a que las solicitudes formuladas por Europol se realizarán "caso por caso", como exige la Directiva

En segundo lugar, el artículo no transpone, y debe hacerlo, las siguientes previsiones del artículo 10 de la Directiva:

- el último inciso del apartado 2: "La solicitud indicará las causas razonables por las que Europol considera que la transmisión de los datos PNR o de los resultados de su tratamiento va a contribuir significativamente a prevenir, detectar o investigar la infracción penal en cuestión"; - el apartado 3: "3. Europol informará al responsable de la protección de datos designado de conformidad con el artículo 28 de la Decisión 2009/371/JAI de cada uno de los intercambios de información en virtud del presente artículo"; y - el apartado 4: "4. El intercambio de información en virtud del presente artículo se realizará a través de SIENA y de conformidad con la Decisión 2009/371/JAI. Para la solicitud y el intercambio de información se utilizará la lengua aplicable a SIENA".

Deben incluirse estas precisiones en este artículo, para la correcta transposición de la Directiva.

Esta observación tiene carácter esencial en el concreto sentido previsto por el artículo 130, apartado 3, del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.

13) Artículo 18, "Transferencias de datos a terceros países no miembros de la Unión Europea"

El apartado 1 recoge el contenido del apartado 1 del artículo 11 de la Directiva.

En relación con el apartado a), que establece como requisito para las transferencias de datos a terceros países no miembros de la Unión Europea, que se cumplan las condiciones establecidas para estas transferencias en la legislación que transponga la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, debe recordarse que, como se ha dicho más arriba, la Directiva mencionada no está transpuesta. Por tanto, la letra a) debería hacer referencia a los requisitos establecidos en las normas que la Directiva venga a sustituir.

Los apartados 2, 3 y 4 reproducen el contenido de los apartados 2, 3 y 4 del artículo 11 de la Directiva, que se refieren, respectivamente, a la transmisión de los datos PNR sin el consentimiento del Estado miembro que los haya obtenido; a que el responsable de protección de datos deberá ser informado de la transmisión de datos PNR a terceros Estados; y de que, para que puedan transmitirse los datos PNR, será necesario que el tercer Estado tenga un nivel de garantías en materia de protección de datos equivalente al de los Estados miembros. Ahora bien, a juicio del Consejo de Estado, para que la transposición sea correcta debe incluirse en este artículo el último inciso del apartado 3 del artículo 11 de la Directiva ("únicamente en condiciones acordes con la presente Directiva y exclusivamente después de asegurarse que la utilización de los datos PNR prevista por los receptores se ajusta a dichas condiciones y garantías"), que es más exigente, en cuanto a los requisitos que contempla, que el artículo 18 del Anteproyecto.

Esta observación tiene carácter esencial en el concreto sentido previsto por el artículo 130, apartado 3, del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.

14) Artículo 19, "Período de conservación de los datos y despersonalización"

El apartado 1 recoge el contenido del apartado 1 del artículo 12 de la Directiva, que establece que la UIP deberá conservar los datos PNR durante un plazo de cinco años desde su transmisión. Para evitar confusiones, se sugiere que al final del apartado se añada "a la UIP".

El apartado 2 reproduce el contenido del apartado 2 del artículo 12 de la Directiva, que regula la despersonalización de los datos PNR. Para evitar confusiones, y dado que la Directiva no habla en ningún momento de recepción de los datos sino de transmisión, el apartado debe comenzar de la siguiente forma: "Transcurrido un plazo de seis meses desde la transmisión a la que se refiere el apartado primero, todos los datos...".

El apartado 3 recoge el contenido del apartado 3 del artículo 12 de la Directiva, que regula la transmisión completa de los datos PNR después de los seis meses a los que se refiere el apartado 2.

El apartado 4 recoge de forma literal el contenido del apartado 4 del artículo 12 de la Directiva, que regula la supresión de los datos PNR cuando transcurren los cinco años a los que alude el apartado 1 del artículo y la excepción a esta regla.

Se considera conveniente, para evitar confusiones, que se añada al final del apartado el último inciso del apartado 4 del artículo 12 de la Directiva: "en cuyo caso la conservación de los datos por la autoridad competente se regirá por el derecho nacional".

El apartado 5 reproduce de forma literal el contenido del apartado 5 del artículo 12 de la Directiva, que regula la conservación de los resultados del tratamiento de datos PNR en los supuestos en que se alcance un resultado positivo.

15) Artículo 20, "Competencias de la Agencia Española de Protección de Datos"

De acuerdo con la Directiva, la AEPD debe asesorar sobre la aplicación de las disposiciones adoptadas en España para aplicar la Directiva PNR y controlar su aplicación con el fin de proteger los derechos fundamentales de cualquier interesado en lo relativo al tratamiento de datos personales. Las letras a) y d) del artículo 20 reflejan de forma imprecisa este punto. Se sugiere que se unan en un único apartado que adopte la siguiente redacción: "Asesorar, previa solicitud, sobre la aplicación de las disposiciones adoptadas en España para aplicar la Directiva PNR y controlar su aplicación con el fin de proteger los derechos fundamentales de cualquier interesado en lo relativo al tratamiento de datos personales".

En los demás aspectos, el artículo 20 recoge el contenido del artículo 15 de la Directiva en relación con la autoridad nacional de control y las sugerencias contenidas en el informe de la AEPD.

D) Capítulo III, "Régimen sancionador"

El artículo 14 de la Directiva, "Sanciones", se limita a establecer lo siguiente:

"Los Estados miembros establecerán el régimen de sanciones aplicables a los incumplimientos de las disposiciones nacionales adoptadas en aplicación de la presente Directiva y adoptarán toda medida necesaria para garantizar la aplicación de estas.

En particular, los Estados miembros establecerán sanciones, incluidas las pecuniarias, contra las compañías aéreas que no transmitan datos con arreglo a lo establecido en el artículo 8, o no lo hagan en el formato exigido.

Dichas sanciones deberán ser efectivas, proporcionadas y disuasorias".

El capítulo III del Anteproyecto, que transpone el citado artículo 14 de la Directiva, regula el régimen sancionador en la materia y está dividido en tres secciones: sección 1.ª, "Sujetos responsables e infracciones"; sección 2.ª, "Sanciones"; y sección 3.ª, "Procedimiento sancionador".

Antes de entrar a analizar el contenido de cada uno de los artículos que integran este capítulo III, se hacen dos consideraciones previas:

En primer lugar, es necesario recordar que el régimen sancionador en una norma sectorial como la sometida a consulta debería limitarse a incluir las especialidades que, por razón de la materia, es necesario regular con respecto al régimen sancionador establecido con carácter general. El Anteproyecto, sin embargo, en algunos artículos de los que se dejará constancia más adelante, reproduce previsiones que ya están contenidas en la Ley 39/2015, de 1 de octubre, o incluso las modifica, sin aportar justificación alguna de la modificación. A juicio del Consejo de Estado, esta forma de proceder no favorece ni la claridad de las normas ni el principio de seguridad jurídica y, por tanto, debe evitarse.

En segundo lugar, es preciso señalar que el contenido de las secciones debe ajustarse al título de la sección. Por ejemplo, en la sección 1.ª se regulan aspectos como la supletoriedad de las Leyes 39/2015 y 40/2015, ambas de 1 de octubre, y el concurso de normas, materias que no tienen relación alguna con el título de la sección, "Sujetos responsables e infracciones". La sección 2.ª contiene la regulación de la prescripción de las infracciones, a pesar de que su título es "Sanciones".

1) Artículo 21, "Concepto"

El artículo define las infracciones como aquellas acciones y omisiones tipificadas en esta ley orgánica y especifica que serán sancionables incluso a título de simple negligencia.

Primero, a juicio del Consejo de Estado, no es necesario incluir en el Anteproyecto el concepto de infracción, pues se puede extraer directamente de la tipificación de las infracciones que contienen los artículos siguientes.

Segundo, en relación con el último inciso, hay que recordar que en el ámbito administrativo-sancionador, a diferencia de lo que sucede en el ámbito penal, los sujetos infractores responden, con carácter general, de las infracciones que cometan a título de dolo o culpa o negligencia. Así lo proclama el artículo 28, "Responsabilidad", apartado 1, de la Ley 40/2015, de 1 de octubre, al disponer: "1. Sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas y jurídicas, así como, cuando una Ley les reconozca capacidad de obrar, los grupos de afectados, las uniones y entidades sin personalidad jurídica y los patrimonios independientes o autónomos, que resulten responsables de los mismos a título de dolo o culpa".

En este aspecto, el derecho administrativo-sancionador se aparta del derecho penal, en el que los sujetos solo responden cuando concurre culpa o negligencia si está previsto expresamente (el artículo 12 del Código Penal establece que "las acciones u omisiones imprudentes sólo se castigarán cuando expresamente lo disponga la Ley").

En consecuencia, no es preciso que el artículo 21 del Anteproyecto recoja la previsión de que la responsabilidad sancionadora administrativa se producirá incluso a título de simple negligencia.

2) Artículo 22, "Disposiciones comunes"

Este artículo establece que el ejercicio de la potestad sancionadora se regirá por lo dispuesto en este capítulo, por la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y por el capítulo III del título preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, y sus disposiciones de desarrollo.

Primero, como destacó el Consejo de Estado en el dictamen 319/2018, de 21 de junio, ninguna de estas leyes tiene desarrollo reglamentario, ni está previsto que lo tenga en el ámbito sancionador. En particular, la Ley 39/2015, de 1 de octubre, ha incorporado, elevando de rango, las especialidades sobre el procedimiento sancionador que estaban contempladas en el Reglamento para el ejercicio de la potestad sancionadora, aprobado por Real Decreto 1398/1993, de 4 de agosto, que se encuentra derogado. Por tanto, se sugiere suprimir la referencia a las disposiciones de desarrollo.

Segundo, no es necesario incluir esta previsión en normas en las que se establece un régimen sancionador específico, pues se sobreentiende que, en lo no previsto, se aplicará el régimen general. En consecuencia, se debe suprimir el artículo.

3) Artículo 23, "Sujetos responsables"

El apartado 2 establece que los incumplimientos de la obligación de transmisión o remisión de los datos PNR que se produzcan en relación con un mismo vuelo constituyen una misma infracción. El contenido de este apartado no se corresponde con la rúbrica del artículo y, por tanto, debería encontrarse al apartado una ubicación más adecuada dentro del Anteproyecto.

El apartado 3 establece que las infracciones cometidas por el responsable del tratamiento de los datos o por el responsable de protección de dichos datos se sancionarán con arreglo a lo dispuesto en la normativa general sobre protección de datos de carácter personal.

Primero, en cuanto al contenido, el apartado no concreta quiénes son los sujetos responsables de una determinada infracción, sino que establece la norma reguladora de la responsabilidad de las infracciones cometidas por el responsable del tratamiento de los datos o por el responsable de protección de dichos datos. Por tanto, no parece adecuado que se encuadre en un artículo cuya rúbrica es "Sujetos responsables" y se sugiere que se integre en un artículo distinto.

Segundo, en cuanto a su redacción, el artículo dice que las infracciones cometidas por el responsable del tratamiento de los datos o por el responsable de protección de dichos datos "se sancionarán de acuerdo a lo dispuesto en la normativa general sobre protección de datos de carácter personal". Esta redacción puede conducir a equívocos porque, en sentido estricto, sólo establece que las sanciones se regirán de acuerdo con la normativa sobre protección de datos de carácter personal, pero no deja claro que las infracciones también se rijan por esa normativa. A juicio del Consejo de Estado, la siguiente redacción no dejaría lugar a dudas: "La responsabilidad del responsable del tratamiento de los datos PNR y del responsable de protección de datos PNR se determinará de acuerdo con lo dispuesto en la normativa general sobre protección de datos de carácter personal".

4) Artículo 26, "Infracciones muy graves"

El artículo tipifica las infracciones muy graves. Se sugiere que la letra b) se redacte como sigue: "b) La falta de remisión de los datos PNR conforme a los formatos y protocolos a los que se refiere el apartado 4 del artículo 9...".

5) Artículo 27, "Infracciones graves"

El artículo tipifica las infracciones graves. Se sugiere que la letra b) se redacte como sigue: " b) La falta de remisión de los datos PNR conforme a los formatos y protocolos a los que se refiere el apartado 4 del artículo 9".

6) Sección 2.ª, "Sanciones"

7) Artículo 30, "Graduación de las sanciones"

El artículo recoge distintas circunstancias para la graduación de las sanciones, reproduciendo en parte lo establecido en el artículo 29 de la Ley 40/2015, de 1 de octubre, que establece lo siguiente:

"La graduación de la sanción considerará especialmente los siguientes criterios: a) El grado de culpabilidad o la existencia de intencionalidad. b) La continuidad o persistencia en la conducta infractora. c) La naturaleza de los perjuicios causados. d) La reincidencia, por comisión en el término de un año de más de una infracción de la misma naturaleza cuando así haya sido declarado por resolución firme en vía administrativa".

Los criterios de graduación que contempla el artículo 30 coinciden, en parte, con los establecidos en el artículo 29 de la Ley 40/2015 y, por tanto, debe recordarse que no es necesario reiterar criterios de graduación que ya están contemplados en la normativa general cuando tales criterios se enumeran con carácter abierto, como es el caso del artículo del Anteproyecto que se analiza. Lo conveniente es reflejar aquellos que con carácter específico deban ser tenidos en cuenta en la materia concreta a la que se refiere la norma en cuestión. En consecuencia, se sugiere eliminar las letras a) y f) del artículo 30 del Anteproyecto.

El último párrafo del artículo 30 del Anteproyecto establece un plazo distinto al que fija en la normativa general para determinar si concurre o no reincidencia. A falta de una explicación en el expediente, a juicio del Consejo de Estado, no está justificado que en esta materia se altere el régimen general. Debería suprimirse este párrafo.

8) Artículo 31, "Competencia sancionadora"

El artículo atribuye la imposición de sanciones por infracciones graves al Ministro del Interior; y la de infracciones graves y leves, al Secretario de Estado de Seguridad.

Por los mismos motivos indicados en el comentario que se ha efectuado al artículo 16 del Anteproyecto, entiende este Consejo que la competencia sancionadora debe quedar atribuida al Ministro del Interior, sin perjuicio de que el mismo pueda delegar su ejercicio en los órganos superiores de ese departamento ministerial.

9) Artículo 32, "Prescripción de las infracciones y sanciones"

El artículo establece que las infracciones y las sanciones impuestas por su comisión prescribirán al año en el caso de las leves; a los tres años, en el de las graves; y a los cinco años, en el de las muy graves.

Por su parte, el apartado 1 del artículo 30 de la Ley 40/2015, de 1 de octubre, dispone: "1. Las infracciones y sanciones prescribirán según lo dispuesto en las leyes que las establezcan. Si éstas no fijan plazos de prescripción, las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves a los seis meses; las sanciones impuestas por faltas muy graves prescribirán a los tres años, las impuestas por faltas graves a los dos años y las impuestas por faltas leves al año.

Como puede observarse, se establece un plazo de prescripción distinto que en la normativa general. La memoria debe recoger la razón que justifica la introducción de esta especialidad en esta materia o suprimir la especialidad. Además, cabe destacar que la ampliación del plazo de prescripción no encuentra correlato en la normativa de protección de datos, ni en la que acaba de entrar en vigor ni en la que se ha derogado. Así, el reciente Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, que ha modificado el régimen sancionador en materia de protección de datos establece:

En su artículo 5, "Prescripción de las infracciones", apartados 1 y 2: "1. Las infracciones previstas en los apartados 5 y 6 del artículo 83 del Reglamento (UE) 2016/679 prescribirán a los tres años. 2. Las infracciones previstas en el artículo 83.4 Reglamento (UE) 2016/679 prescribirán a los dos años".

Y en su artículo 6, "Prescripción de las sanciones", apartado 1, lo siguiente: "Artículo 6. Prescripción de las sanciones. 1. Las sanciones impuestas en aplicación del Reglamento (UE) 2016/679 prescriben en los siguientes plazos: a) Las sanciones por importe igual o inferior a 40.000 euros, prescriben en el plazo de un año. b) Las sanciones por importe comprendido entre 40.001 y 300.000 euros prescriben a los dos años. c) Las sanciones por un importe superior a 300.000 euros prescriben a los tres años".

A falta de una explicación en el expediente, a juicio del Consejo de Estado, no se justifica que en esta materia se altere el régimen general y, por tanto, debe suprimirse el artículo.

10) Sección 3.ª, "Procedimiento sancionador"

11) Artículo 33, "Medidas provisionales"

La redacción inicial del artículo contenía una regulación extraordinariamente prolija de las medidas provisionales que había suscitado numerosas observaciones en los informes que se incluyen en el expediente. Como consecuencia de dichas observaciones, el artículo que recoge el Anteproyecto ha suprimido todos los apartados polémicos y se limita a establecer que los gastos ocasionados por la adopción de las posibles medidas provisionales serán de cuenta del causante de los hechos objeto del procedimiento sancionador y que dichos gastos, en su caso, serán reclamables cuando la sanción adquiera firmeza en vía administrativa.

No obstante, cabe imaginar casos en los que, aunque no se impongan sanciones en el procedimiento tramitado al efecto, sí resulte justificado reclamar los gastos ocasionados por las medidas provisionales, lo que debería preverse en el artículo ahora comentado, modificando su actual redacción.

12) Artículo 34, "Caducidad del procedimiento"

La Memoria destaca que todas las previsiones incluidas en el capítulo III son especialidades del procedimiento administrativo común necesarias para la sanción de las infracciones recogidas en la Ley. En este sentido, explica que "la Ley 39/2015, de 1 de octubre, no contiene un plazo máximo para la notificación de la resolución del procedimiento sancionador transcurrido el cual se produciría la caducidad del mismo, por lo que, de no regularse nada al respecto en el anteproyecto, sería de aplicación el plazo supletorio de tres meses previsto en el artículo 21.3 de la mencionada ley. Resulta, por tanto, imprescindible fijar un plazo de caducidad mayor, así como las reglas del cómputo de dicha caducidad y ciertas previsiones procedimentales respecto a la misma, como el valor y los efectos de dicha caducidad".

Sin embargo, entiende este Consejo que la Ley 39/2015, de 1 de octubre, contiene las previsiones procedimentales que se proponen incluir en el apartado 2 del artículo 34 del Anteproyecto. Así, la necesidad y plazos a tener en cuenta para notificar al interesado la resolución que declare la caducidad del procedimiento y que pondrá fin al mismo están recogidas en los artículos 25 y 84 de esa ley y en la regulación general de notificaciones de los actos administrativos (básicamente, artículo 40 de esa misma ley). Por otro lado, la previsión de que la caducidad no producirá por sí sola la prescripción de las acciones de la Administración y de que los procedimientos caducados no interrumpirán el plazo de prescripción está recogida en el apartado 3 del artículo 95, primer párrafo, de esa misma Ley 39/2015.

A juicio del Consejo de Estado, no es conveniente reproducir en una norma especial lo ya establecido en una norma general que, por definición, se aplicará con carácter supletorio a la norma especial. En consecuencia, debe suprimirse el apartado segundo del artículo 34 del Anteproyecto.

13) Artículo 35, "Acceso a los datos de otras administraciones públicas"

El artículo regula el acceso a los datos en poder de otras administraciones públicas y el tratamiento de los mismos, estableciendo que, en todo momento, se realizarán conforme a lo establecido en la normativa en materia de protección de datos. Según el apartado 2, en el caso de datos de la Agencia Tributaria y de la Tesorería General de la Seguridad Social, el acceso se verificará de acuerdo con sus normativas específicas.

La previsión incluida en el apartado 2 parece implicar la introducción de una excepción nueva al principio general de reserva de la información tributaria establecido en el artículo 95 de la Ley 58/2003, de 17 de diciembre, General Tributaria, pese a que no lo haga mediante la modificación del mencionado artículo, como procedería llevarlo a cabo tanto por sistemática normativa como por seguridad jurídica. A juicio del Consejo de Estado, no es esta la forma adecuada de añadir un nuevo supuesto a las excepciones tasadas al principio de reserva tributaria en que el artículo 95.1 de la Ley General Tributaria permite la cesión de información tributaria a terceros sin autorización previa de los obligados tributarios a quienes se refieren los datos suministrados. Por ello, debe incluirse una nueva disposición final en la que se modifique el artículo 95.1 de la LGT para recoger esta nueva excepción.

E) Disposiciones adicionales

1) Disposición adicional primera, "Formatos de datos y protocolos de transmisión"

El segundo inciso, que establece que el formato y el protocolo deberán estar entre los previstos en la Decisión de Ejecución (UE) 2017/759 de la Comisión, de 28 de abril de 2017, debe suprimirse, pues reitera lo establecido en el apartado 4 del artículo 9 de la Directiva.

El título de la disposición, para ajustarse a su contenido, y asumiendo que se acoge la sugerencia anterior, debería ser: "Plazo para comunicar los formatos de datos y protocolos de transmisión".

2) Disposición adicional segunda, "Medios de transmisión"

Debe sustituirse la expresión "comunicaciones" por la de "transmisiones de datos PNR", más acorde con la terminología del Anteproyecto y con el título de la disposición. Por la misma razón, debe sustituirse "procedimientos" por "medios de transmisión".

3) Disposición adicional tercera, "No incremento de gasto público"

Esta disposición carece de carácter normativo y, por tanto, no debe incluirse en el Anteproyecto. El contenido de esta disposición es propio de la parte de la Memoria en la que se analiza el impacto presupuestario de la iniciativa legislativa.

F) Disposiciones finales

Los aspectos de las disposiciones finales que merecían una especial atención ya han sido objeto de análisis en apartados anteriores del dictamen.

VII. Consideración final

Al Consejo de Estado, como se ha puesto de manifiesto a lo largo del presente dictamen, le preocupa especialmente la ampliación del ámbito de aplicación de la Directiva que contiene el Anteproyecto remitido en consulta, por la ruptura que esto puede suponer del marco jurídico europeo común que se pretende establecer en esta materia y por la falta de explicación, tanto en el Anteproyecto como en el expediente, de las razones que han llevado a abordarla. Por ello, el Consejo de Estado considera que estas ampliaciones deberían someterse, antes de la aprobación de la Ley Orgánica, a la consideración de la Comisión Europea, con objeto de que esta se pronuncie sobre la conveniencia, o no, de que un Estado miembro realice ampliaciones del ámbito de aplicación de la Directiva, no previstas en esta, y ponga en riesgo la unidad del sistema previsto en ella y, en definitiva, su operatividad.

Esta preocupación se ha visto exacerbada por las singularidades que se han detectado en el expediente: uno, la ausencia total de información en la Memoria sobre la ampliación del ámbito de aplicación de la Directiva que el Anteproyecto propone y que, como se ha analizado a lo largo del dictamen, tiene implicaciones de extraordinaria importancia tanto en el ámbito constitucional como en el ámbito del Derecho de la Unión Europea; dos, la ausencia de un informe en el que se analicen las observaciones contenidas en los informes emitidos en relación con la versión inicial del Anteproyecto, máxime teniendo en cuenta que esas observaciones han provocado que la versión inicial y la versión final del Anteproyecto sean sustancialmente, incluso radicalmente, diferentes, y por tanto, que la versión informada por las autoridades informantes y la examinada por el Consejo de Estado son muy distintas; tres, la falta de contenido del informe del Secretario General Técnico del ministerio proponente. A juicio del Consejo de Estado, una materia de tanta trascendencia como la que trata el Anteproyecto hubiera merecido una tramitación mucho más rigurosa que la que se ha llevado a cabo, pues de ello dependía, en buena medida, la adecuada protección de los derechos fundamentales a la intimidad y a la protección de datos de carácter personal.

Todo ello no impide que eL Consejo de Estado ponga de manifiesto el notable esfuerzo realizado en tan breve plazo para formular un texto totalmente renovado y mejorado con respecto a la versión inicial del Anteproyecto, habiendo tenido en consideración las amplias críticas y observaciones formuladas al texto inicial por las entidades informantes, en especial por el CGPJ, por el Consejo Fiscal y por la AEPD.

En mérito de lo expuesto, el Consejo de Estado es de dictamen:

Que, una vez tenidas en cuenta las observaciones esenciales formuladas al apartado 3 del artículo 2; al apartado 1 del artículo 14; al apartado 1 del artículo 16; al artículo 17; y al artículo 18 del Anteproyecto, y consideradas las restantes observaciones contenidas en el cuerpo del presente dictamen, puede V. E. elevar a la aprobación del Consejo de Ministros el anteproyecto de Ley Orgánica sobre la utilización de los datos del registro de nombres de pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves, para la ulterior remisión del correspondiente proyecto de Ley Orgánica a las Cortes Generales."

V. E., no obstante, resolverá lo que estime más acertado.

Madrid, 13 de septiembre de 2018

LA SECRETARIA GENERAL,

LA PRESIDENTA,

EXCMO. SR. MINISTRO DEL INTERIOR.