El PNR (o NRP , para el registro del nombre del pasajero en inglés ) son datos personales sobre todos los detalles de un viaje para los pasajeros que viajan juntos. El Estados Unidos , el Canadá , la Australia y el Reino Unido han establecido un sistema de monitoreo , el Reino Unido como parte del programa de e-fronteras (en) , de los cuales el sistema de semáforo los Estados Unidos bajo el programa US-VISIT (en ) . Tras años de controversia y el abandono en 2014 de un proyecto de este tipo en Europa, la Comisión de Libertades Civiles, Justicia y Asuntos de Interior (LIBE) del Parlamento Europeo votó a favor de tal expediente para la UE, por una mayoría estrecha (32 a favor, 26 en contra), el15 de julio de 2015.
Su intercambio entre Estados, así como su uso, plantea para la CNIL y su homólogo europeo, el G29 , ciertos problemas en cuanto al respeto de la vida privada . El intercambio de estos datos con Estados Unidos plantea problemas particulares, ya que estos datos están mucho menos protegidos por la legislación estadounidense que en los Estados de la Unión Europea .
El PNR fue finalmente sometido a votación en el Parlamento Europeo el jueves 14 de abril de 2016, tras 12 años de debate, y fue adoptado por amplia mayoría: 461 votos a favor, 179 en contra y 9 abstenciones. Entró en vigor en mayo de 2016, pero aún no ha sido transpuesto por los parlamentos nacionales.
Un PNR es, inicialmente, el registro en una base de datos de información que una aerolínea considera necesaria para establecer una reserva de vuelo.
Estos registros se crean y guardan en la propia base de datos de la empresa. Como la mayoría de las aerolíneas se suscriben a un sistema central de reservas y el pasajero puede llamar a más de una de ellas durante el mismo itinerario, la IATA ha definido un estándar de registro que permite el intercambio de información entre los diferentes sistemas.
El uso de los sistemas centrales de reserva se extiende a un gran número de actores en la industria de viajes o turismo: hoteleros, empresas de alquiler de vehículos, transportistas marítimos y terrestres, etc. Estas, como las aerolíneas, almacenan información adicional en el PNR que puede ayudar a perfilar al pasajero con respecto a afiliaciones religiosas, estado de salud, recursos, etc. a través de sus preferencias (tipo de comida), sus peticiones particulares (discapacidades) o las de otros pasajeros que viajen con él y sus medios de pago. Este perfil es tanto más completo cuanto que los registros de la base de datos rara vez se borran (cuando la información está desactualizada, el DBMS ya no permite el acceso a los usuarios normales del sistema, pero no lo borra. Permanece disponible para organizaciones privilegiadas).
Algunos países exigen acceso a los PNR para los viajeros que solicitan la entrada a su territorio. La gran cantidad de información contenida, su protección y su uso plantean un problema para los acuerdos interestatales.
El PNR inicial se crea en la base de datos del primer proveedor de servicios contactado por el viajero. En muchos casos, especialmente si se trata de una agencia de viajes, utilizará uno de los sistemas de reservas globales como Amadeus, Sabre, Worldspan o Galileo. La grabación se identifica de forma única mediante un campo alfanumérico (equivalente a una reserva o número de archivo). En principio, este identificador, fundamental para el buen funcionamiento de una base de datos, es interno del DBMS (sistema de gestión de bases de datos). El estándar de intercambio creado por IATA permite que se transmita desde el sistema inicial a sistemas secundarios que contienen reservas de otros proveedores, pero también permite que estos sistemas secundarios envíen cualquier cambio al sistema inicial.
El PNR permite a cada proveedor de servicios gestionar sus reservas; por ejemplo, una compañía aérea podrá conocer la lista de pasajeros registrados en un vuelo determinado.
Dado que el PNR se intercambia entre los sistemas de reserva en cuestión, el resultado es que la suma de la información es accesible para todos los proveedores. Algunos de ellos mantienen estos PNR para crear un perfil de pasajero que se puede utilizar para mejorar los servicios, pero también para fines comerciales, como promociones específicas. Además, al alimentar automáticamente un nuevo PNR a partir de datos almacenados previamente, existe el riesgo de transferir información que se ha vuelto obsoleta y, por lo tanto, se perpetúa.
Los servicios de seguridad de algunos países han visto el PNR como una fuente de información interesante, tanto más cuanto que es posible vincularlos entre sí. El uso del PNR para fines distintos de la gestión de reservas o el establecimiento de una lista de pasajeros es, por tanto, posible y estos usos, así como la protección de la información, son una preocupación para los órganos responsables de la protección de las libertades individuales.
Un PNR contiene datos obligatorios y posiblemente datos adicionales.
Elementos obligatorios sin los cuales no se puede crear un PNR:
Elementos adicionales:
De acuerdo con las reglas de privacidad de la OCDE de 1980 y la Directiva de protección de datos de la UE de 1995 , los datos PNR solo pueden transferirse a los Estados que tienen reglas de privacidad. Además, las agencias de seguridad solo tienen el derecho de acceso a estos datos caso por caso, basándose en sospechas fundamentadas.
La Directiva 2004/82 / CE del Consejo, de 29 de abril de 2004, sobre la obligación de los transportistas de comunicar los datos de los pasajeros , adoptada sin el dictamen del Parlamento Europeo , que se basa en el Acuerdo de Schengen , también regula el intercambio de datos PNR con fines oficiales. de la lucha contra el terrorismo por un lado, y por otro lado contra la inmigración ilegal , al autorizar "el uso de estos datos como prueba en procedimientos destinados a hacer cumplir las leyes y reglamentos de entrada y de inmigración, incluidas las disposiciones relativas a la protección del orden público y seguridad nacional ”(art. 12).
Hasta ahora, solo el Reino Unido cuenta con un completo sistema de datos PNR. A pesar de que la Comisión Europea ha propuesto la creación de sistema de un tipo a nivel europeo, "Tanto el controlador europeo de protección de datos (dictamen de 1 st mayo de 2008), que la Agencia de Derechos Fundamentales (Dictamen de 3 de diciembre de 2008) y el grupo del artículo 29 sobre protección de datos (dictamen de 5 de diciembre de 2007), por otra parte, expresó reservas sobre la necesidad de un sistema de este tipo. En una resolución adoptada el 20 de noviembre de 2008, el Parlamento Europeo reconoció que la recopilación y el procesamiento de datos pueden ser una herramienta útil en la lucha contra el terrorismo. Pero expresó fuertes reservas sobre la necesidad y el valor agregado de la propuesta ”.
La resolución de 20 de noviembre de 2008 del Parlamento Europeo fue adoptada por el Senado francés el30 de mayo de 2009.
El 27 de abril de 2016 se adoptó la directiva europea API / PNR.
En noviembre de 2007, poco después de la firma de un acuerdo entre la UE y los Estados Unidos sobre el intercambio de datos PNR, la Comisión Europea presentó un borrador marco para una nueva directiva, que se alineaba estrechamente con el acuerdo de julio de 2007 con Washington. El G29 , una agrupación de autoridades europeas de protección creada por el artículo 29 de la Directiva 95/46 / CE, emitió su informe sobre esta decisión marco en diciembre de 2007, criticando en particular la falta de disposiciones destinadas a garantizar la seguridad de los datos.
El G29 señala en particular que: “En su redacción actual, la decisión marco propuesta prevé la recopilación de una gran cantidad de datos personales relacionados con los pasajeros aéreos que entran o salen de la UE, independientemente de que sean sospechosos o inocentes. Posteriormente, estos datos se conservarán durante un período de trece años, con vistas a un posible uso posterior, permitiendo así la elaboración de perfiles de viajeros. Esta propuesta se suma a la toma de huellas dactilares de todos los ciudadanos que soliciten un pasaporte y la conservación de todos los datos relacionados con el tráfico de telecomunicaciones dentro de la UE. (...) Un régimen PNR europeo no puede conducir a una vigilancia generalizada de todos los pasajeros ” .
El G29 señala además que Estados Unidos “nunca ha probado de manera concluyente que la considerable cantidad de datos de pasajeros recopilados sea verdaderamente necesaria para la lucha contra el terrorismo y los delitos graves (...) La única información fundamentada disponible para este propósito indica que APIS [ Advanced Los datos del Sistema de información de pasajeros ] se utilizan más que los datos del PNR. ” En consecuencia, las notas G29 que no ve lo que necesitan los Estados tienen que conste, además de los datos de las API, los datos del PNR, especialmente desde que la UE ya tiene el Sistema de Información de Schengen (SIS) y prepara el Europeo Sistema de Información de Visados (VIS), una base de datos biométrica de solicitantes de visado para el espacio Schengen .
En cuanto al intercambio de información con terceros países, el G29 “[está] también preocupado por la referencia a los acuerdos internacionales hecha en el artículo 8, párrafo 2, y las consecuencias de la reciprocidad automática con terceros países utilizando un sistema PNR. Debe tenerse en cuenta que la existencia de un régimen PNR europeo podría alentar a los regímenes no democráticos o corruptos a exigir la comunicación de los PNR sobre la base del principio de reciprocidad. Por lo tanto, es cuestionable si las consecuencias de esta reciprocidad se han estudiado suficientemente (por ejemplo, la posesión de información de tarjetas de crédito , que a menudo forma parte de los datos del PNR, por parte de funcionarios de un Estado que no pueden eliminar la corrupción podría tener consecuencias graves). Por otro lado, el significado del término "lucha contra el terrorismo" puede, en algunos estados, ser extremadamente diferente del aceptado en la UE. De esta forma, la reciprocidad podría permitir que una dictadura establezca una evaluación de los riesgos que presentan los disidentes a partir de los datos del PNR ” .
En Francia, la ley de 23 de enero de 2006 sobre la lucha contra el terrorismo obligó a las empresas ferroviarias, aéreas y marítimas a transmitir datos PNR a la policía y la gendarmería, datos que pueden compararse con el fichero de personas buscadas (FPR) y Sistema de Información de Schengen (SIS).
En virtud del art. 7 de la ley de 23 de enero de 2006, un decreto de 28 de enero de 2009 amplió el Archivo de Pasajeros Aéreos , un sistema para el procesamiento automatizado de datos personales sobre "orígenes y destinos, ubicados en Estados no pertenecientes a la Unión Europea, pasajeros aéreos ”. Los datos se conservan durante cinco años, excepto los relativos al RPF o al SIS, que solo se conservarían durante 24 horas. Además, este nuevo expediente que tiene una doble finalidad de prevención y represión de actos de terrorismo por un lado, y por otro de "lucha contra la inmigración ilegal ", estos datos no pueden ser consultados, en este último caso, "Sólo dentro de veinticuatro horas de su transmisión ".
En el Reino Unido , la Ley de Inmigración, Asilo y Nacionalidad de 2006 (IANA) va más allá de la Decisión Marco del Consejo Europeo sobre datos PNR, autorizando su recopilación y uso para más organismos, incluidos los responsables de recopilar los datos . Además, la ley no se aplica solo a las compañías aéreas, como hace la decisión marco, sino a todas las compañías aéreas, sean las que sean.
Después del 11 de septiembre de 2001 , el Departamento de Seguridad Nacional de los Estados Unidos (DHS) intentó obtener acceso a los datos PNR de los estados miembros de la Unión Europea (UE). El Congreso votó en particular dos leyes que requieren estos datos, la Ley de Seguridad de la Aviación y el Transporte (en) el19 de noviembre de 2001y la Ley de reforma de entrada de visados y seguridad fronteriza mejorada de 2002 (en) . Washington negoció un acuerdo en mayo de 2004 con la UE, conocido como Acuerdo PNR EE.UU.-UE.
Sin embargo, el Tribunal de Justicia de las Comunidades Europeas anuló el acuerdo el 30 de mayo de 2006.
En julio de 2007 se firmó un nuevo acuerdo PNR entre los EE. UU. Y la UE. Poco después, la administración Bush concedió exenciones al Departamento de Seguridad Nacional sobre la ley de 1974 sobre privacidad ( Ley de Privacidad ) con respecto al Sistema Automatizado de Orientación (ATS) Sistema de información de llegadas y salidas (ADIS), dos bases de datos informatizadas del Departamento de Seguridad Nacional, que ha generado desconfianza en Europa, incluso por parte del Supervisor Europeo de Protección de Datos .
Finalmente, Jonathan Faull , director general encargado de la política de justicia, libertad y seguridad , se quejó de las políticas bilaterales de Estados Unidos en relación con los PNR. De hecho, Washington había pasado por alto a Bruselas al firmar en febrero de 2008 un memorando de entendimiento (MOU) con la República Checa , a cambio de una exención de Visa , sin consulta previa con Bruselas.
Las tensiones entre la UE y los EE. UU. Pueden explicarse en gran medida por la protección inferior otorgada a los datos personales en los Estados Unidos. En particular, los extranjeros no se benefician de la Ley de Privacidad de los Estados Unidos de 1974. Washington tenía un acuerdo de puerto seguro con la UE para cumplir con las directivas europeas sobre la protección de datos personales, pero se considera que el acuerdo no es suficiente. Además de la República Checa, Estados Unidos ha intentado establecer memorandos de entendimiento bilaterales con el Reino Unido, Estonia, Alemania y Grecia.
El Parlamento Europeo aprobó, el jueves 19 de abril de 2012, el proyecto de acuerdo sobre la transferencia de datos de pasajeros aéreos de la Unión Europea a Estados Unidos. Los datos PNR están destinados al Departamento de Seguridad Nacional de EE. UU. (DHS) y a las agencias de inteligencia de EE. UU.
En India, Indian Railway utiliza el PNR. En general, los viajeros lo necesitan para verificar sus reservas de boletos de tren. Obtenemos un número de 10 dígitos como contraseña para ingresar al sitio web y verificar el estado del PNR .