DENUNCIA ANTE LA INSPECCIÓN DE LA AGENCIA DE PROTECCIÓN DE DATOS

1.DATOS DEL DENUNCIANTE

D Arturo Quirantes Sierra, con D.N.I.. número xxxxx, del que acompaña fotocopia, actuando en su propio nombre y representación, con domicilio a efecto de notificaciones en calle xxxxx

2.DATOS DEL DENUNCIADO

La Aerolínea "Iberia", con domicilio (a efectos de atención al cliente) c/María de Molina 40, 4ª planta, 28006 Madrid

3.APORTA LA DOCUMENTACIÓN SIGUIENTE (enumerar):

1.Fotocopia de la revista "Ronda Iberia Magazine" (Abril 2.003, pag. 126), que incluye la solicitud de información por parte de las autoridades norteamericanas a las aerolíneas. Ver transcripción
2. Copia de la carta enviada por mí a Iberia, en relación a mis datos personales. Ver copia
3. Respuesta de Iberia a mi petición. Ver carta
4. Datos PNR en poder de Iberia
[PNR - Reserva:  Leyenda;               PNR -  Facturación: Leyenda;           PNR: Madrid-NY, Granada-Madrid ]
5. Otros datos aportados por Iberia
[Datos en Iberia.com: Perfil 1, Perfil 2  Datos en Amadeus: Perfil 1, Perfil 2; Datos en ticketing]
6. Lista de datos de PNR solicitados por las autoridades norteamericanas. Lista
7. Opinión 4/2003 sobre el Nivel de Protección asegurado en EEUU para la Transferencia de los Datos de Pasajeros" (11070/03, WP 78). Copia pdf

4. DENUNCIA LOS HECHOS SIGUIENTES:

Con fecha 26 Marzo 2.003, viajé desde Madrid a Nueva York en el vuelo de Iberia IB6251, utilizando la reserva por Internet ( y recogiendo posteriormente los billetes en la oficina que Iberia tiene en Granada. Desde algunas semanas antes, las compañías aéreas europeas entregan información personal de los pasajeros a las autoridades de los Estados Unidos sin haber obtenido primero el permiso explícito de los pasajero, y por tanto estarían violando la Directiva Europea de Protección de Datos 95/46/EC. Estos datos, conocidos en inglés por sus siglas PNR incluyen, por ejemplo, mi nombre, mi dirección, mi número de teléfono, fecha de nacimiento, número de tarjeta de crédito y elección en la comida.

Iberia no requirió mi consentimiento para entregar esos datos, ni tampoco me informó la compañía de que mis datos se iban a entregar a autoridades de los Estados Unidos. En realidad, la primera "notificación" (si puede llamarse así) que tuve al respecto fue una noticia de la revista "Ronda Iberia Magazine" (abril 2.003, pag. 126), distribuida por la aerolínea en el interior de sus aviones (Anexo 1). En ella se menciona lo siguiente:

Desde el pasado mes de marzo, las compañías aéreas con vuelos a Estados Unidos, entre ellas Iberia, tienen que cumplir con los nuevos requisitos de información sobre los pasajeros que se dirijan a este destino, según el acuerdo alcanzado entre Estados Unidos y la Comisión Europea.

Entendiendo que dicha imposición pudiera haber violado mis derechos en lo relativo a la protección de mis datos personales, y que en cualquier caso pudiera resultar en una violación de las leyes españolas, el día 15 de Mayo de 2.003 envié una carta (Anexo 2) a la Subdirección de Atención al Cliente de Iberia, solicitando información sobre los datos personales referentes a mí que han sido procesados y/o entregados a las autoridades norteamericanas por Iberia. La respuesta de Iberia me llegó el 28 de Junio, más de un mes después de mi petición inicial. El sobre lleva matasellos de Madrid fechado el 20 de Junio, y la carta de respuesta está fechada el día 18. Teniendo eso en cuenta, y considerando que el 18 de mayo fue domingo, dejo a la discreción de la Agencia de Protección de datos determinar si hubiera sido necesario iniciar un procedimiento de tutela.

En la respuesta de Iberia (Anexo 3), se indica que los datos a que tiene acceso la Aduana norteamericana son únicamente los contenidos en el PNR (Registro del Nombre del Pasajero), del que se adjunta copia (Anexo 4). Iberia adjunta también los datos que posee sobre mí, obtenidos por su página web iberia.com, el sistema de reservas Amadeus y el sistema "ticketing" (Anexo 5). En dicho PNR se incluyen datos tales como mi nombre, números y datos de vuelo, datos de pasaporte, teléfono de contacto y dirección de correo electrónico (que, evidentemente, yo di con fines de contacto con Iberia, no con las autoridades de EEUU), entre otros. La lista completa de los datos incluidos en el PNR, según las autoridades norteamericanas declaran solicitar, puede leerse -en inglés- en el Anexo 6. Dicho anexo (según el cual, en el futuro, se solicitarán también el nombre completo del viajero, fecha de nacimiento, dirección completa y teléfono de su casa) aparece referenciado en la "Opinión 4/2003 sobre el Nivel de Protección asegurado en EEUU para la Transferencia de los Datos de Pasajeros" (11070/03, WP 78) del Grupo de Trabajo sobre Protección de Datos (Grupo del Artículo 29, establecido en virtud al artículo 29 de la Directiva 95/46/CE). Dicha opinión se incluye como Anexo 7, a fines de información y documentación.

En lo que respecta a los demás datos (procedentes de Iberia.com, Amadeus y ticketing, ver Anexo 4), Iberia afirma que las autoridades norteamericanas no tienen acceso a ellos. No obstante, y considerando el hecho de que en estos mismos momentos dichas autoridades presionan para obtener un acceso más amplio a los datos de las aerolíneas, incluyo esos datos para su consideración. Si bien la mayoría de ellos son campos vacíos, desearía saber si la Agencia de Protección de Datos considera ajustado a la ley el hecho de que Iberia pueda obtener y almacenar datos sobre asuntos tan sensibles como sus ingresos, estado civil, laboral y de estudios, preferencias de comidas, motivos de viaje, periódico o deporte preferido, hobbies, tipo de uso de Internet, etc.

Estoy en contra de la transferencia de los datos PNR y creo que esta transferencia carece de base legal y viola los principios básicos de la Directiva Europea para la Protección de Datos. La declaración conjunta de la Comisión Europea y las Aduanas de Estados Unidos en relación a la transmisión de PNR (17 de marzo de 2003) menciona que los datos pueden usarse para "objetivos de mantenimiento del orden [law-enforcement]" y que pueden retenerse todo el tiempo "requerido para el propósito con el que se almacenaron". Estas provisiones carecen de las protecciones requeridas por la Directiva Europea de Protección de datos 95/46/EC acerca de la transferencia de datos personales a terceros países.

También estoy en contra del carácter no específico de la transferencia de datos. Según las leyes de la UE y la Convención Europea de los Derechos Humanos, los datos recopilados por compañías privadas para objetivos comerciales no pueden ser utilizado por las fuerzas del orden sin una aprobación judicial previa basada en mostrar una necesidad demostrable y deberían ser específicas para cada pasajero.

Según las regulaciones de privacidad de la UE, la transferencia de datos personales a terceros países que no tengan leyes que protejan de forma adecuada la privacidad de los individuos está prohibida, salvo que los individuos consientan a esa transferencia de sus datos personales. La mayoría de los pasajeros, cuando reservan un vuelo a los Estados Unidos, ni siquiera se les informa de que sus datos se van han enviado directamente a las fuerzas del orden de ese país. Los viajeros europeos, por tanto, no tienen ninguna posibilidad de objetar a esta transferencia.

En atención a todo ello, quien esto escribe y firma.

5. SOLICITA: Que al amparo de lo establecido en el artículo 48 de la Ley Orgánica 15/1999, de 13 de diciembre de protección de datos de carácter personal, interpone por medio del presente escrito denuncia por vulneración de lo dispuesto en dicha Ley.

En Granada, a 26 de Junio de 2.003

Firmado: Arturo Quirantes Sierra