El terrorismo internacional y sus conflictos: Seguridad versus privacidad - International terrorism and its conflicts: Security versus privacy

• Autor: Artemi Rallo Lombarti
• Páginas: 113-131

Page 113

1. Introducción

Como respuesta a los atentados terroristas perpetrados desde septiembre de 2001 y a los nuevos métodos de actuación de estos grupos criminales, que desarrollan sus actividades delictivas apoyados en la aplicación de las nuevas tecnologías y en los avances que ofrecen las infraestructuras de información y comunicación, los Gobiernos han iniciado una tendencia marcada por la adopción de medidas encaminadas a reforzar la lucha contra el terrorismo que, en muchos casos, han afectado derechos fundamentales y libertades públicas en favor de la seguridad de sus ciudadanos.

Page 114

En un mundo cada vez más globalizado, la amenaza terrorista debe ser abordada desde una perspectiva conjunta y debe ser enfocada hacia el inter- cambio de información y la cooperación entre las fuerzas de orden público. Esta dimensión supranacional, que adquiere hoy la lucha contra la criminalidad, no puede, sin embargo, dejar de lado la garantía de libertades y derechos fundamentales, como el respeto a la intimidad y la protección de los datos personales; protección que legítimamente demandan los ciudadanos a los poderes públicos.

EEUU ha sido el país motor de esta nueva tendencia, en la que la influencia de los atentados del 11 de septiembre en Nueva York y Washington es innegable. Este país ha endurecido su política antiterrorista en los últimos años, fomentando y exigiendo el envío de información a través de medidas no siempre acordes con las reglas vigentes en Europa en materia de protección de la privacidad y de los datos de carácter personal. Siguiendo esta línea, la Unión Europea y sus Estados Miembros, especialmente tras los atentados sufridos en Madrid y Londres en los años 2004 y 2005, respectivamente, han intensificado también sus actuaciones.

No cabe duda de que, en una sociedad cada día más interrelacionada y enfrentada a una amenaza común, como es el terrorismo internacional, la información compartida, la puesta en común de mecanismos rápidos y ágiles de colaboración y otras medidas, en algunos aspectos intrusivas en las vidas de los ciudadanos, pueden ser consideradas herramientas claves. Pero, también es fundamental que la adopción de estas medidas esté sujeta a ciertos controles y límites por parte de las normas vigentes en los Estados demo- cráticos, destacándose aquéllas que limitan la discrecionalidad de los poderes públicos para incidir en la vida de los ciudadanos.

Como ya se ha apuntado, los atentados terroristas del 11 de septiembre de 2001 en Estados Unidos abrieron un amplio proceso de iniciativas legislativas en la lucha antiterrorista y supusieron el comienzo de una nueva etapa en cuanto a la necesidad de conjugar la diversidad de intereses y derechos en juego: la seguridad pública y la protección de los datos de carácter personal.

Como país directamente afectado por los ataques, EEUU fue el primero en endurecer su normativa sobre protección de datos. Apenas mes y medio después de producirse estos atentados, se aprobó una nueva norma que vinoPage 115a endurecer su política antiterrorista —«Patriot Act»¹— y que introdujo, tras un mínimo debate, una amplia gama de medidas tendentes a facilitar la prevención, la detección y el seguimiento del terrorismo. La nueva legislación estadounidense aumentó la competencia de las Agencias de Seguridad de EEUU para luchar contra el terrorismo, tanto dentro como fuera de su territorio y, entre otras medidas, incluyó: 1) mayores poderes para controlar las comunicaciones telefónicas, postales y electrónicas, registros financieros y médicos; 2) la posibilidad de que el Departamento del Tesoro llevara a cabo un mayor seguimiento de las transacciones financieras, particularmente las relativas a personas y entidades extranjeras; 3) limitaciones de ciertos derechos a las personas presuntamente relacionadas con actividades terroristas. Toda una serie de medidas que, si bien adoptadas dentro de las potestades de un Estado soberano para proteger su seguridad interior, extendían su aplicación y jurisdicción a otras zonas del mundo y a otros Estados soberanos.

2. Alcance transnacional de las medidas antiterroristas de EEUU

2.1. Passenger Name Records (PNR) Transmisión de datos de los pasajeros de aerolíneas a las autoridades norteamericanas

Como una de las primeras medidas adoptadas en la lucha contra el terrorismo internacional, las autoridades norteamericanas obligaron a las compañías aéreas que efectuasen vuelos que tuvieran su origen, destino o tránsito en EEUU a proporcionarles un acceso electrónico a los datos contenidos en sus sistemas de reserva y de control de salidas: PNR (Passenger Name Records)². Este registro necesita, para ser creado, cuatro datos como mínimo: nombre, itinerario, número de contacto y detalles del billete (si es tan sólo una reserva, si ya ha sido emitido, si ha habido algún cambio,...), si bien puede contener muchos más datos sobre todo porque es información que suministra elPage 116pasajero (solicitud de un tipo de comida, de un asiento especial, algún tipo de asistencia durante el vuelo, sobre la forma de pago del billete,...).

Como quiera que esta medida significara la transferencia internacional de datos que se encontraban en Europa, debía cumplirse con los requisitos y limitaciones que, tanto la Directiva Europea 95/46 como la Ley Orgánica de Protección de Datos³, imponían a las transferencias internacionales de datos. El requisito esencial, con carácter general⁴, para que un país tercero pueda ser destinatario de datos procedentes de la Unión Europea reside en que el nivel de protección que ese país tercero otorgue a los datos debe ser calificado como suficiente o, en la terminología específica, «adecuado» o «equivalente» a la protección que reciben en Europa⁵. Este «nivel de adecuación» es un proceso habitualmente largo con intervención de la Comisión Europea y de las Autoridades Nacionales de protección de datos, que, en este caso concreto, se saldó con negociaciones maratonianas que otorgaron a Estados Unidos una consideración de «Estado adecuado» con carácter ad hoc para la transferencia de datos PNR. La urgencia y rapidez con la que se alcanzó el acuerdo ponía de relieve una voluntad esencialmente política, y, también, la necesidad de dar una solución a una situación jurídica insostenible, por cuanto las aerolíneas europeas llevaban más de un año transfiriendo esa información personal.

El resultado de estos acuerdos se plasma en dos textos comunitarios: por un lado, una Decisión de la Comisión relativa al carácter adecuado de la protección de estos datos incluidos en los registros de nombres de pasajeros que se transfieren al Servicio de Aduanas y Protección de Fronteras de los EEUU (Bureau of Customs and Border Protection-CBP)⁶; y, por otro, una Decisión del Consejo relativa a la celebración de un acuerdo entre la Unión Europea y los EEUU sobre el tratamiento y la transferencia dePage 117datos de los pasajeros⁷. Los términos más señalados del acuerdo son los siguientes:

- La finalidad de la transmisión y tratamiento de los datos reside en la lucha contra el terrorismo y delitos conexos, en la lucha contra otros delitos graves (incluida la delincuencia organizada) que sean transnacionales y en la lucha contra la fuga, en caso de orden de arresto o detención, por los delitos antes señalados.

- La Decisión contiene, en su anexo A, una relación con un máximo de treinta y cuatro datos a los que podrá tener acceso el servicio de aduanas norteamericano, entre los que se encuentran, como se ha destacado, la información acerca del nombre y apellidos del pasajero, el medio de pago del billete y si se solicitó algún tipo especial de comida.

- El CBP extraería la información relativa a pasajeros (denominado «método pull») mediante el acceso a los sistemas de reservas de las compañías aéreas, en tanto en cuanto no fuera técnicamente viable la puesta en marcha de un sistema de transmisión de datos (denominado «método push»).

- Esa extracción o acceso a los datos contenidos en los sistemas de reserva debería realizarse no antes de las setenta y dos horas que preceden a la salida del vuelo.

- Los posibles datos sensibles que pudieran contener los registros serían objeto de filtrado por parte de las autoridades americanas. Un dato sensible podría ser la petición del pasajero de cierto tipo de asistencia médica, lo que revelaría un dato de salud, o bien la petición de un específico tipo de comida, que pueda mostrar un dato de salud (por ej. comida sin gluten) o incluso de una religión (comida sin derivados del cerdo).

- Se imponía la obligación de conservar todos estos datos durante un periodo de tres años y medio.

- Asimismo, se instauraba un sistema de revisión conjunta (con representantes de la Comisión Europea, de las Autoridades Nacionales dePage 118Protección de Datos y de las autoridades americanas) de celebración periódica. La primera revisión del acuerdo tuvo lugar en septiembre de 2005, con la participación de la Comisión Europea, representantes de las Autoridades Nacionales de Protección de Datos y del Servicio de Aduanas de EEUU, con una metodología de trabajo basada en la respuesta a un cuestionario de preguntas concretas así como una visita a la Oficina de la CBP. El...