Agencia Estatal Boletín Oficial del Estado
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 77, apartado 2, letras b) y d), y su artículo 79, apartado 2, letra c),
Vista la propuesta de la Comisión Europea,
Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,
Visto el dictamen del Comité Económico y Social Europeo (1),
De conformidad con el procedimiento legislativo ordinario (2),
Considerando lo siguiente:
|
(1) |
La realización de inspecciones fronterizas de personas en las fronteras exteriores contribuye significativamente a garantizar la seguridad a largo plazo de la Unión, sus Estados miembros y sus ciudadanos y, como tal, sigue siendo una salvaguardia importante, especialmente en el espacio sin controles en las fronteras interiores. Las inspecciones fronterizas deben efectuarse de conformidad con el Reglamento (UE) 2016/399 del Parlamento Europeo y del Consejo (3), cuando proceda, para contribuir a la lucha contra la inmigración ilegal y a la prevención de amenazas para la seguridad interior, el orden público, la salud pública y las relaciones internacionales de los Estados miembros. Dichas inspecciones fronterizas tienen que efectuarse dentro del pleno respeto de la dignidad humana y el cumplimiento íntegro del Derecho de la Unión pertinente, incluida la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»). |
|
(2) |
El uso de los datos de los pasajeros y la información de vuelo transferidos con antelación a la llegada de los pasajeros, conocidos como información anticipada sobre los pasajeros o datos API (por sus siglas en inglés), contribuye a acelerar las inspecciones fronterizas necesarias durante el proceso de cruce de fronteras. A efectos del presente Reglamento, dicho proceso se refiere, más concretamente, al cruce de fronteras entre un tercer país o un Estado miembro al que no se aplique el presente Reglamento y un Estado miembro al que se aplique el presente Reglamento. El uso de los datos API refuerza las inspecciones fronterizas en las fronteras exteriores al proporcionar tiempo suficiente para permitir la realización de inspecciones fronterizas detalladas y exhaustivas de todos los pasajeros, sin tener un efecto negativo desproporcionado sobre aquellos pasajeros que viajen de buena fe. Por consiguiente, en aras de la eficacia y la eficiencia de las inspecciones fronterizas en las fronteras exteriores, conviene establecer un marco jurídico adecuado para garantizar que las autoridades fronterizas competentes de los Estados miembros en dichos pasos fronterizos exteriores tengan acceso a los datos API antes de la llegada de los pasajeros. |
|
(3) |
El marco jurídico vigente en materia de datos API, que consiste en la Directiva 2004/82/CE del Consejo (4) y el Derecho nacional por el que se transpone dicha Directiva, ha demostrado su importancia a la hora de mejorar las inspecciones fronterizas, en particular mediante la creación de un marco que permite a los Estados miembros introducir disposiciones que imponen a las compañías aéreas la obligación de transferir los datos API sobre los pasajeros transportados a su territorio. Sin embargo, siguen existiendo prácticas divergentes a nivel nacional. En particular, los datos API no se solicitan sistemáticamente a las compañías aéreas y las compañías aéreas se enfrentan a requisitos diferentes en cuanto al tipo de información que debe recogerse y las condiciones en las que los datos API deben transferirse a las autoridades fronterizas competentes. Esas divergencias no solo dan lugar a complicaciones y costes innecesarios para las compañías aéreas, sino que también resultan perjudiciales a la hora de garantizar unas inspecciones previas eficaces y eficientes de las personas que llegan a las fronteras exteriores. |
|
(4) |
El marco jurídico vigente debe actualizarse y sustituirse para garantizar que las normas relativas a la recogida y la transferencia de los datos API con el fin de mejorar y facilitar la eficacia y la eficiencia de las inspecciones fronterizas en las fronteras exteriores y de luchar contra la inmigración ilegal sean claras, armonizadas y eficaces, de conformidad con las normas establecidas en el Reglamento (UE) 2016/399 para los Estados miembros a los que se aplique, y con arreglo al Derecho nacional en los casos en que no se aplique. |
|
(5) |
Con el fin de garantizar, en la medida de lo posible, un enfoque coherente, tanto a escala de la Unión e internacional, y habida cuenta de las normas sobre la recogida de datos API aplicables a escala internacional, el marco jurídico actualizado establecido por el presente Reglamento debe tener en cuenta las prácticas pertinentes acordadas internacionalmente con el sector aéreo, como en el contexto de las directrices relativas a la información anticipada sobre los pasajeros de la Organización Mundial de Aduanas, la Asociación de Transporte Aéreo Internacional y la Organización de Aviación Civil Internacional (OACI). |
|
(6) |
La recogida y la transferencia de los datos API afectan a la privacidad de las personas y entrañan el tratamiento de sus datos personales. A fin de respetar plenamente sus derechos fundamentales, en particular el derecho al respeto de la vida privada y el derecho a la protección de los datos de carácter personal, de conformidad con la Carta, deben establecerse las garantías y los límites adecuados. Por ejemplo, todo tratamiento de datos API y, en particular, de datos API que constituyan datos personales, debe limitarse estrictamente a lo necesario y proporcionado para alcanzar los objetivos perseguidos por el presente Reglamento. Además, debe garantizarse que el tratamiento de los datos API recogidos y transferidos en virtud del presente Reglamento no dé lugar a ninguna forma de discriminación prohibida por la Carta. |
|
(7) |
A fin de alcanzar sus objetivos, el presente Reglamento debe aplicarse a todas las compañías aéreas que efectúen vuelos con destino a la Unión, tal como se definen en el presente Reglamento, con independencia del lugar de establecimiento de las compañías aéreas que efectúen dichos vuelos, y exploten tanto vuelos programados como no programados. La recogida de datos de cualquier otra actividad de aviación civil, como escuelas de vuelo, vuelos médicos, vuelos de emergencia, así como de vuelos militares, no debe tener entrar en el ámbito de aplicación del presente Reglamento. El presente Reglamento debe entenderse sin perjuicio de la recogida de datos de dichos vuelos con arreglo a lo dispuesto en el Derecho nacional que sea compatible con el Derecho de la Unión. La Comisión debe evaluar la viabilidad de un régimen de la Unión que obligue a los operadores de vuelos privados a recoger y transferir datos de los pasajeros aéreos. |
|
(8) |
Las obligaciones de las compañías aéreas de recoger y transferir datos API en virtud del presente Reglamento deben incluir a todos los pasajeros de los vuelos con destino a la Unión, a los pasajeros en tránsito cuyo destino final se encuentre fuera de la Unión y a cualquier miembro de la tripulación fuera de servicio situado en un vuelo por una compañía aérea en relación con sus funciones. |
|
(9) |
En aras de la eficacia y la seguridad jurídica, los elementos de información que constituyen conjuntamente los datos API que deben recogerse y transferirse posteriormente en virtud del presente Reglamento deben enumerarse de manera clara y exhaustiva, abarcando tanto la información relativa a cada pasajero como la información sobre el vuelo que ha tomado dicho pasajero. En virtud del presente Reglamento y de conformidad con las normas internacionales, dicha información de vuelo debe abarcar la información sobre el asiento y el equipaje, cuando esté disponible, y la información sobre el paso fronterizo de entrada en el territorio del Estado miembro de que se trate en todos los casos a los que se aplique el presente Reglamento. Cuando la información sobre el equipaje o el asiento esté disponible en otros sistemas informáticos de los que disponga la compañía aérea, su gestor de asistencia en tierra, su proveedor de sistemas o la autoridad aeroportuaria, las compañías aéreas deben integrar esa información en los datos API que deben transferirse a las autoridades fronterizas competentes. Los datos API definidos y regulados por el presente Reglamento no incluyen los datos biométricos. |
|
(10) |
A fin de permitir la flexibilidad y la innovación, debe dejarse en principio a cada compañía aérea la tarea de determinar cómo va a cumplir sus obligaciones en cuanto a la recogida de datos API establecida en el presente Reglamento, teniendo en cuenta los diferentes tipos de compañía aérea, tal como se definen en el presente Reglamento, y sus respectivos modelos de negocio, incluidos con relación a los horarios de facturación y la cooperación con los aeropuertos. No obstante, teniendo en cuenta que existen soluciones tecnológicas adecuadas que permiten recoger automáticamente determinados datos API, garantizando al mismo tiempo que los datos API en cuestión sean exactos y completos y estén actualizados, y teniendo en cuenta las ventajas del uso de dicha tecnología en términos de eficacia y eficiencia, debe exigirse a las compañías aéreas que recojan dichos datos API utilizando medios automatizados, mediante la lectura de la información a partir de los datos de lectura mecánica del documento de viaje. Si el uso de dichos medios automatizados no es técnicamente posible en circunstancias excepcionales, las compañías aéreas deben recoger, de forma excepcional, los datos API manualmente, ya sea como parte del proceso de facturación en línea o como parte de la facturación en el aeropuerto, de manera que garantice el cumplimiento de las obligaciones que les incumben en virtud del presente Reglamento. |
|
(11) |
La recogida de datos API por medios automatizados debe limitarse estrictamente a los datos alfanuméricos contenidos en el documento de viaje y no debe dar lugar a la recogida de ningún dato biométrico de este. Dado que la recogida de datos API forma parte del proceso de facturación, ya sea en línea o en el aeropuerto, el presente Reglamento no obliga a las compañías aéreas comprueben un documento de viaje del pasajero en el momento del embarque. El cumplimiento del presente Reglamento no incluye obligación alguna para los pasajeros de llevar consigo un documento de viaje en el momento del embarque. Esto debe entenderse sin perjuicio de las obligaciones derivadas de otros actos jurídicos de la Unión o del Derecho nacional que sea compatible con el Derecho de la Unión. |
|
(12) |
La recogida de datos API de los documentos de viaje también debe ser coherente con las normas de la OACI sobre documentos de viaje de lectura mecánica, que se han incorporado al Derecho de la Unión mediante el Reglamento (UE) 2019/1157 del Parlamento Europeo y del Consejo (5), el Reglamento (CE) n.o 2252/2004 del Consejo (6) y la Directiva (UE) 2019/997 del Consejo (7). |
|
(13) |
Los requisitos establecidos en el presente Reglamento y en los actos delegados y de ejecución correspondientes deben conducir a una aplicación uniforme del presente Reglamento por parte de las compañías aéreas, minimizando así el coste de interconexión de sus respectivos sistemas. Para facilitar una aplicación armonizada de esos requisitos por parte de las compañías aéreas, en particular por lo que se refiere a la estructura, el formato y el protocolo de transmisión de los datos, la Comisión, sobre la base de su cooperación con las autoridades fronterizas competentes, las autoridades de otros Estados miembros, las compañías aéreas y los organismos pertinentes de la Unión, debe garantizar que el manual práctico que debe elaborar la Comisión proporcione todas las directrices y aclaraciones necesarias. |
|
(14) |
Con el fin de mejorar la calidad de los datos API, el enrutador que se establezca en virtud del presente Reglamento debe verificar si los datos API que le transfieren las compañías aéreas cumplen los formatos de datos admitidos, incluidos los campos de datos o códigos normalizados, tanto en lo que respecta al contenido como a la estructura. Cuando la verificación determine que los datos no se ajustan a esos formatos de datos, el enrutador lo debe notificar inmediatamente y de manera automatizada a la compañía aérea de que se trate. |
|
(15) |
Es importante que los sistemas de recogida de datos automatizados y otros procesos establecidos en virtud del presente Reglamento no afecten negativamente a los trabajadores del sector de la aviación, a los que debe proporcionarse oportunidades de mejora de las capacidades y reciclaje profesional, lo que incrementaría la eficiencia y la fiabilidad de la recogida y la transferencia de datos y mejoraría las condiciones de trabajo en el sector. |
|
(16) |
Los pasajeros deben tener la posibilidad de proporcionar determinados datos API por medios automatizados durante el proceso de facturación en línea, por ejemplo, a través de una aplicación segura en el teléfono móvil de un pasajero, un ordenador o una cámara web con capacidad para leer los datos de lectura mecánica del documento de viaje. Cuando los pasajeros no hayan facturado en línea, las compañías aéreas deben ofrecerles la posibilidad de proporcionar los datos API de lectura mecánica requeridos durante la facturación en el aeropuerto con la asistencia de un quiosco de autoservicio o del personal de la compañía aérea en el mostrador de facturación. Sin perjuicio de la libertad de las compañías aéreas para fijar tarifas aéreas y definir su política comercial, es importante que las obligaciones en virtud del presente Reglamento no den dar lugar a obstáculos desproporcionados para los pasajeros que no puedan utilizar medios en línea para proporcionar los datos API, como tasas adicionales por el suministro de los datos API en el aeropuerto. Además, el presente Reglamento debe establecer un período transitorio durante el cual los pasajeros tengan la posibilidad de proporcionar los datos API manualmente como parte del proceso de facturación en línea. En tales casos, las compañías aéreas deben utilizar técnicas de verificación de datos. |
|
(17) |
Con el fin de garantizar el cumplimiento de los derechos previstos en la Carta y de garantizar opciones de viaje accesibles e inclusivas, especialmente para los grupos vulnerables y las personas con discapacidad, y de conformidad con los derechos de las personas con discapacidad o con movilidad reducida en el transporte aéreo establecidos en el Reglamento (CE) n.o 1107/2006 del Parlamento Europeo y del Consejo (8), las compañías aéreas, con el apoyo de los Estados miembros, deben garantizar que se disponga en todo momento de una opción para que los pasajeros proporcionen los datos necesarios en el aeropuerto. |
|
(18) |
Habida cuenta de las ventajas que ofrece el uso de medios automatizados para la recogida de datos API de lectura mecánica y de la claridad resultante de los requisitos técnicos a este respecto que deben adoptarse en virtud del presente Reglamento, las compañías aéreas que decidan utilizar medios automatizados para recoger la información que están obligadas a transmitir en virtud de la Directiva 2004/82/CE deben tener la posibilidad, pero no la obligación, de aplicar dichos requisitos, una vez adoptados, en relación con dicho uso de medios automatizados, en la medida en que dicha Directiva sea aplicable y lo permita. No debe entenderse que tal aplicación voluntaria de esas especificaciones en aplicación de la Directiva 2004/82/CE afecte en modo alguno a las obligaciones de las compañías aéreas y de los Estados miembros en virtud de dicha Directiva. |
|
(19) |
Con el fin de garantizar que las inspecciones previas efectuadas con antelación por las autoridades fronterizas competentes sean eficaces y eficientes, los datos API transferidos a dichas autoridades deben contener los datos de los pasajeros que vayan a cruzar realmente las fronteras exteriores, es decir, de los pasajeros que se encuentren efectivamente a bordo de la aeronave, con independencia de si el destino final del pasajero se encuentra dentro o fuera de la Unión. Por lo tanto, las compañías aéreas deben transferir los datos API inmediatamente después del cierre del vuelo. Además, los datos API ayudan a las autoridades fronterizas competentes a distinguir a los pasajeros en regla de los pasajeros que podrían ser objeto de interés y, por tanto, requerir verificaciones adicionales, lo que exigiría una mayor coordinación y preparación de las medidas de seguimiento que deban adoptarse a la llegada. Esto podría ocurrir, por ejemplo, en casos de un número inesperado de pasajeros objeto de interés, cuyas inspecciones físicas en las fronteras puedan afectar negativamente a las inspecciones fronterizas y a los tiempos de espera de otros pasajeros en regla en las fronteras. A fin de ofrecer a las autoridades fronterizas competentes la oportunidad de preparar medidas adecuadas y proporcionadas en la frontera, como el refuerzo del personal o la reasignación de personal con carácter temporal, en particular para los vuelos en los que el tiempo entre el cierre del vuelo y la llegada a las fronteras exteriores sea insuficiente para que las autoridades fronterizas competentes puedan preparar la respuesta más adecuada, los datos API también deben transferirse antes del embarque, en el momento de la facturación de cada pasajero. |
|
(20) |
Para evitar cualquier riesgo de uso indebido y en consonancia con el principio de limitación de la finalidad, debe prohibirse expresamente a las autoridades fronterizas competentes el tratamiento, para cualesquiera otros fines que no sean los expresamente contemplados en el presente Reglamento, de los datos API que reciban en virtud del presente Reglamento y de conformidad con las normas establecidas en el Reglamento (UE) 2016/399, en el caso de los Estados miembros a los que se aplique dicho Reglamento, o, de no aplicarse este último, de conformidad con las normas pertinentes establecidas en el Derecho nacional. |
|
(21) |
A fin de garantizar que las autoridades fronterizas competentes dispongan de tiempo suficiente para efectuar inspecciones previas efectivas de todos los pasajeros, incluidos los pasajeros de vuelos de larga distancia y los que viajen en vuelos de conexión, así como de tiempo suficiente para garantizar que los datos API recogidos y transferidos por las compañías aéreas sean exactos y completos y estén actualizados y, en caso necesario, para solicitar aclaraciones, correcciones o compleciones adicionales a las compañías aéreas, a fin de garantizar que los datos API sigan estando disponibles hasta que todos los pasajeros se hayan presentado efectivamente en el paso fronterizo, las autoridades fronterizas competentes deben conservar los datos API que hayan recibido en virtud del presente Reglamento durante un período determinado que se limite a lo estrictamente necesario para esos fines. En circunstancias excepcionales en las que, tras el aterrizaje, pasajeros concretos no se presenten en un paso fronterizo dentro de ese período determinado, los Estados miembros deben tener la posibilidad de permitir a sus autoridades fronterizas competentes conservar los datos API de dichos pasajeros individuales hasta que se presenten en un paso fronterizo o, a más tardar, durante un período determinado adicional. Cuando los Estados miembros deseen hacer uso de dicha posibilidad, deben ser responsables de establecer los medios adecuados para identificar a dichos pasajeros individuales, a fin de garantizar que la conservación más prolongada de sus datos API específicos se limite a lo estrictamente necesario. |
|
(22) |
Para poder responder a solicitudes de aclaraciones, correcciones o compleciones adicionales por parte de las autoridades fronterizas competentes, las compañías aéreas deben conservar los datos API que transfieran en virtud del presente Reglamento durante un período determinado y estrictamente necesario. Además, y con el fin de mejorar la experiencia de viaje de los pasajeros en regla, las compañías aéreas deben poder conservar y utilizar los datos API cuando sea necesario para el ejercicio normal de su actividad, en particular para facilitar los viajes, de conformidad con la legislación aplicable y, en particular, con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (9). |
|
(23) |
A fin de evitar una situación en que las compañías aéreas tengan que establecer y mantener múltiples conexiones con las autoridades fronterizas competentes de los Estados miembros para la transferencia de los datos API recogidos en virtud del presente Reglamento, y evitar así las consiguientes ineficiencias y riesgos para la seguridad, debe preverse un enrutador único, creado y explotado a escala de la Unión, de conformidad con el presente Reglamento y el Reglamento (UE) 2025/13 del Parlamento Europeo y del Consejo (10), que sirva de punto de conexión y distribución para dichas transferencias. En aras de la eficiencia y la rentabilidad, el enrutador debe basarse, en la medida en que sea técnicamente posible y cumpliendo plenamente las normas del presente Reglamento y del Reglamento (UE) 2025/13, en componentes técnicos de otros sistemas pertinentes creados en virtud del Derecho de la Unión, en particular el servicio web a que se refiere el Reglamento (UE) 2017/2226 del Parlamento Europeo y del Consejo (11), la pasarela para los transportistas a que se refiere el Reglamento (UE) 2018/1240 del Parlamento Europeo y del Consejo (12) y la pasarela para los transportistas a que se refiere el Reglamento (CE) n.o 767/2008 del Parlamento Europeo y del Consejo (13). A fin de reducir el impacto en las compañías aéreas y garantizar un enfoque armonizado con respecto a ellas, la Agencia de la Unión Europea para la Gestión Operativa de Sistemas Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia (eu-LISA), creada mediante el Reglamento (UE) 2018/1726 del Parlamento Europeo y del Consejo (14), debe diseñar el enrutador, en la medida en que sea técnica y operativamente posible, de manera coherente y compatible con las obligaciones impuestas a las compañías aéreas en los Reglamentos (CE) n.o 767/2008, (UE) 2017/2226 y (UE) 2018/1240. |
|
(24) |
Con el fin de mejorar la eficiencia de la transmisión de datos de tráfico aéreo y apoyar la supervisión de los datos API transmitidos a las autoridades fronterizas competentes, el enrutador debe recibir datos de tráfico de vuelo en tiempo real recogidos por otras organizaciones, como la Organización Europea para la Seguridad de la Navegación Aérea (Eurocontrol). |
|
(25) |
En virtud del presente Reglamento, el enrutador debe transmitir los datos API, de manera automatizada, a las autoridades fronterizas competentes pertinentes, que deben determinarse sobre la base del paso fronterizo de entrada en el territorio del Estado miembro incluido en los datos API en cuestión. A fin de facilitar el proceso de distribución, cada Estado miembro debe indicar qué autoridades fronterizas son competentes para recibir los datos API transmitidos a través del enrutador. Los Estados miembros tienen la posibilidad de establecer un punto de entrada de datos único que reciba los datos API desde el enrutador y que reenvíe dichos datos de forma inmediata y automatizada a las autoridades fronterizas competentes del Estado miembro de que se trate. Para garantizar el correcto funcionamiento del presente Reglamento y en aras de la transparencia, conviene hacer pública la información sobre las autoridades fronterizas competentes. |
|
(26) |
El enrutador debe servir únicamente para facilitar la transferencia de los datos API de las compañías aéreas a las autoridades fronterizas competentes de conformidad con el presente Reglamento, y no debe ser un repositorio de datos API. Por consiguiente, y con el fin de minimizar cualquier riesgo de acceso no autorizado o de otro uso indebido, y de conformidad con el principio de minimización de datos, no debe procederse al conservación salvo en caso estrictamente necesario para los fines técnicos relacionados con la transmisión, y los datos API deben suprimirse del enrutador, de forma inmediata, permanente y automatizada, desde el momento en que se haya completado la transmisión. |
|
(27) |
A fin de que puedan beneficiarse cuanto antes de las ventajas que ofrece el uso del enrutador desarrollado por eu-LISA de conformidad con el presente Reglamento y el Reglamento (UE) 2025/13, y adquirir experiencia al utilizarlo, las compañías aéreas deben tener la posibilidad, pero no la obligación, de utilizar el enrutador para transferir la información que están obligadas a transferir en virtud de la Directiva 2004/82/CE durante un período temporal. Ese período temporal debe comenzar en el momento en que el enrutador entre en funcionamiento y finalizar cuando dejen de aplicarse las obligaciones en virtud de dicha Directiva. Con el fin de garantizar que tal uso voluntario del enrutador se haga de manera responsable, debe exigirse el acuerdo previo por escrito del Estado miembro que vaya a recibir la información, a petición de la compañía aérea y una vez que dicho Estado miembro haya realizado las verificaciones y obtenido las garantías necesarias. Del mismo modo, a fin de evitar una situación en la que las compañías aéreas utilicen y dejen de utilizar el enrutador repetidamente, una vez que una compañía aérea empiece a utilizarlo con carácter voluntario, debe estar obligada a seguir utilizándolo, a menos que existan razones objetivas que lleven a interrumpir su utilización para la transferencia de información a las autoridades responsables del Estado miembro de que se trate, tales como que se haya puesto de manifiesto que la información no se transfiere de manera lícita, segura, eficaz y rápida. En aras de la correcta aplicación de la posibilidad de utilizar voluntariamente el enrutador, teniendo debidamente en cuenta los derechos e intereses de todas las partes afectadas, deben establecerse las normas necesarias en materia de consultas y suministro de información en el presente Reglamento. No debe entenderse que tal uso voluntario del enrutador en aplicación de la Directiva 2004/82/CE conforme a lo establecido en el presente Reglamento afecte en modo alguno a las obligaciones de las compañías aéreas y de los Estados miembros con arreglo a dicha Directiva. |
|
(28) |
El enrutador que se cree y explote en virtud del presente Reglamento y del Reglamento (UE) 2025/13 debe reducir y simplificar las conexiones técnicas necesarias para transferir los datos API en virtud del presente Reglamento, limitándolas a una única conexión por compañía aérea y por autoridad fronteriza competente. Por consiguiente, el presente Reglamento debe establecer la obligación de que las autoridades fronterizas competentes y las compañías aéreas establezcan dicha conexión con el enrutador y logren la integración necesaria en él, a fin de garantizar el correcto funcionamiento del sistema de transferencia de datos API establecido por el presente Reglamento. El diseño y el desarrollo del enrutador por parte de eu-LISA debe permitir la conexión e integración efectivas y eficientes de los sistemas e infraestructuras de las compañías aéreas mediante el establecimiento de todas las normas y requisitos técnicos pertinentes. A fin de garantizar el correcto funcionamiento del sistema establecido en virtud del presente Reglamento, deben establecerse normas detalladas. Al diseñar y desarrollar el enrutador, eu-LISA debe garantizar que los datos API transferidos por las compañías aéreas y transmitidos a las autoridades fronterizas competentes estén cifrados en tránsito. |
|
(29) |
Habida cuenta de los intereses de la Unión en juego, todos los costes en que incurra eu-LISA para el desempeño de sus funciones en virtud del presente Reglamento con respecto al enrutador deben sufragarse con cargo al presupuesto de la Unión, incluidos el diseño y el desarrollo del enrutador, el alojamiento y la gestión técnica del enrutador, y la estructura de gobernanza en eu-LISA para apoyar el diseño, el desarrollo, el alojamiento y la gestión técnica del enrutador. Lo mismo cabría aplicarse a los costes correspondientes en que incurran los Estados miembros en relación con sus conexiones con el enrutador, su integración en él y su mantenimiento, tal como se exige en el presente Reglamento, de conformidad con el Derecho de la Unión aplicable. Es importante que el presupuesto de la Unión proporcione un apoyo financiero adecuado a los Estados miembros para dichos costes. A tal fin, las necesidades financieras de los Estados miembros deben recibir apoyo del presupuesto general de la Unión, de conformidad con las normas de subvencionabilidad y los porcentajes de cofinanciación establecidos en los actos jurídicos de la Unión pertinentes. La contribución anual de la Unión asignada a eu-LISA debe cubrir las necesidades relacionadas con el alojamiento y la gestión técnica del enrutador sobre la base de una evaluación realizada por eu-LISA. El presupuesto de la Unión también debe cubrir el apoyo, por ejemplo la formación, que ofrezca eu-LISA a las compañías aéreas y a las autoridades fronterizas competentes para permitir la transferencia y transmisión efectivas de datos API a través del enrutador. Los costes en que incurran las autoridades nacionales de control independientes en relación con las tareas que se les encomiendan con arreglo al presente Reglamento deben ser sufragados por los Estados miembros correspondientes. |
|
(30) |
No puede excluirse que, debido a circunstancias excepcionales y a pesar de que se hayan tomado todas las medidas razonables de conformidad con el presente Reglamento, la infraestructura central o uno de los componentes técnicos del enrutador o las infraestructuras de comunicación que lo conectan con las autoridades fronterizas competentes y las compañías aéreas no funcionen correctamente, lo que dé lugar a la imposibilidad técnica de que las compañías aéreas transfieran los datos API o las autoridades fronterizas competentes los reciban. Habida cuenta de la indisponibilidad del enrutador y de que, por lo general, no será razonablemente posible que las compañías aéreas transfieran los datos API afectados por el fallo de una manera lícita, segura, eficaz y rápida por medios alternativos, la obligación de las compañías aéreas de transferir dichos datos API al enrutador debe dejar de aplicarse mientras persista la imposibilidad técnica. No obstante, para garantizar la disponibilidad de los datos API necesarios para mejorar y facilitar la eficacia y la eficiencia de las inspecciones fronterizas en las fronteras exteriores y luchar contra la inmigración ilegal, las compañías aéreas deben seguir recogiendo y conservando los datos API para que puedan transferirse tan pronto se haya resuelto la imposibilidad técnica. Con el fin de reducir al mínimo la duración y las consecuencias negativas de cualquier imposibilidad técnica, las partes afectadas deben informarse mutuamente de inmediato y tomar inmediatamente todas las medidas necesarias para hacer frente a la imposibilidad técnica. Esta medida debe entenderse sin perjuicio de las obligaciones que impone el presente Reglamento a todas las partes interesadas de garantizar el correcto funcionamiento del enrutador y de sus respectivos sistemas e infraestructuras, así como del hecho de a las compañías aéreas se les impongan sanciones cuando incumplan dichas obligaciones, también en aquellos casos en los que pretendan acogerse a esta medida injustificadamente. Para disuadir de la comisión de tal abuso y facilitar la supervisión y, en su caso, la imposición de sanciones, las compañías aéreas que se acojan a esta medida debido al fallo de su propio sistema e infraestructura deben informar al respecto a la autoridad de supervisión competente. |
|
(31) |
Cuando las compañías aéreas mantengan conexiones directas a las autoridades fronterizas competentes para la transferencia de datos API, dichas conexiones pueden constituir medios adecuados que garanticen el nivel necesario de seguridad de los datos para transferir datos API directamente a las autoridades fronterizas competentes cuando sea técnicamente imposible utilizar el enrutador. En el caso excepcional de una imposibilidad técnica de utilizar el enrutador, las autoridades fronterizas competentes deben poder solicitar a las compañías aéreas que utilicen esos medios adecuados, lo que no implica la obligación de las compañías aéreas de mantener o introducir tales conexiones directas o cualquier otro medio adecuado que garantice el nivel necesario de seguridad de los datos para transferir datos API directamente a las autoridades fronterizas competentes. La transferencia excepcional de datos API por cualquier otro medio adecuado, como el correo electrónico cifrado o un portal web seguro, y excluido el uso de formatos electrónicos no normalizados, debe garantizar el nivel necesario de seguridad, calidad y protección de los datos. Los datos API recibidos por las autoridades fronterizas competentes por esos otros medios adecuados deben ser tratados posteriormente de conformidad con las normas y las garantías de protección de datos establecidas en el Reglamento (UE) 2016/399 y el Derecho nacional aplicable. Tras la notificación de eu-LISA de que la imposibilidad técnica se ha resuelto satisfactoriamente, y cuando se confirme que se ha completado la transmisión de los datos API a través del enrutador a la autoridad fronteriza competente, esta debe suprimir inmediatamente los datos API que haya recibido previamente por cualquier otro medio adecuado. Esa supresión no debe afectar a casos específicos en los que los datos API que las autoridades fronterizas competentes hayan recibido por cualquier otro medio adecuado hayan sido tratados posteriormente de conformidad con el Reglamento (UE) 2016/679 con los fines específicos de mejorar y facilitar la eficacia y la eficiencia de las inspecciones fronterizas en las fronteras exteriores y de luchar contra la inmigración ilegal. |
|
(32) |
Con el fin de garantizar el respeto del derecho fundamental a la protección de los datos de carácter personal, el presente Reglamento debe identificar al responsable y al encargado del tratamiento y establecer normas sobre las auditorías. En aras de una supervisión efectiva, que garantice la protección adecuada de los datos personales y reduzca al mínimo los riesgos para la seguridad, deben establecerse asimismo normas sobre el registro, la seguridad del tratamiento y el autocontrol. Cuando se refieran al tratamiento de datos personales, dichas disposiciones deben estar en consonancia con los actos jurídicos de la Unión generalmente aplicables en materia de protección de datos personales, en particular el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo y el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (15). |
|
(33) |
Sin perjuicio de las normas más específicas establecidas en el presente Reglamento para el tratamiento de datos personales, el Reglamento (UE) 2016/679 debe aplicarse al tratamiento de datos personales por los Estados miembros y las compañías aéreas en virtud del presente Reglamento. El Reglamento (UE) 2018/1725 debe aplicarse al tratamiento de datos personales por eu-LISA en el ejercicio de sus responsabilidades con arreglo al presente Reglamento. |
|
(34)
(35) |
Teniendo en cuenta el derecho de los pasajeros a ser informados del tratamiento de sus datos personales, los Estados miembros deben garantizar que los pasajeros reciban información precisa, fácilmente accesible y fácil de entender, sobre la recogida de datos API, la transferencia de dichos datos a las autoridades fronterizas competentes y sus derechos como interesados, en el momento de la reserva y en el momento de la facturación.
Las auditorías sobre la protección de datos personales de las que son responsables los Estados miembros deben ser realizadas por las autoridades de control independientes a que se refiere el artículo 51 del Reglamento (UE) 2016/679 o por un organismo de auditoría al que la autoridad de control confíe esta tarea. |
|
(36) |
Los fines de las operaciones de tratamiento en virtud del presente Reglamento, a saber, la transmisión de datos API de las compañías aéreas a través del enrutador a las autoridades fronterizas competentes de los Estados miembros, son ayudar a dichas autoridades en el desempeño de sus obligaciones en materia de gestión de fronteras y en las funciones relacionadas con la lucha contra la inmigración ilegal. Por consiguiente, los Estados miembros deben designar a las autoridades responsables del tratamiento de los datos en el enrutador, la transmisión de los datos del enrutador a las autoridades fronterizas competentes y el posterior tratamiento de dichos datos para mejorar y facilitar las inspecciones fronterizas en las fronteras exteriores. Los Estados miembros deben comunicar esas autoridades a la Comisión y a eu-LISA. Para el tratamiento de datos personales en el enrutador, los Estados miembros deben ser corresponsables del tratamiento de conformidad con el artículo 26 del Reglamento (UE) 2016/679. Las compañías aéreas, a su vez, deben ser responsables independientes del tratamiento de los datos API que constituyan datos personales en virtud del presente Reglamento. Sobre esta base, tanto las compañías aéreas como las autoridades fronterizas competentes deben ser responsables independientes por lo que respecta a las operaciones de tratamiento de los datos API en virtud del presente Reglamento. Dado que es la responsable del diseño, el desarrollo, el alojamiento y la gestión técnica del enrutador, eu-LISA debe ser la encargada del tratamiento de los datos API que constituyan datos personales a través del enrutador, incluida la transmisión de los datos del enrutador a las autoridades fronterizas competentes y la conservación de dichos datos en el enrutador, en la medida en que dicha conservación sea necesaria para fines técnicos. |
|
(37) |
A fin de garantizar la aplicación efectiva de las normas del presente Reglamento por parte de las compañías aéreas, conviene prever la designación y la habilitación de las autoridades nacionales en calidad de autoridades nacionales de supervisión de API encargadas de la supervisión de la aplicación de dichas normas. Los Estados miembros pueden designar a sus autoridades fronterizas competentes como autoridades nacionales de supervisión de API. Las normas del presente Reglamento relativas a dicha supervisión, incluidas las relativas a la imposición de sanciones cuando sea necesario, no deben afectar a las funciones y competencias de las autoridades de control establecidas de conformidad con el Reglamento (UE) 2016/679, también en relación con el tratamiento de datos personales en virtud del presente Reglamento. |
|
(38) |
Los Estados miembros deben establecer sanciones efectivas, proporcionadas y disuasorias, tanto financieras como no financieras, contra las compañías aéreas que incumplan sus obligaciones en virtud del presente Reglamento, incluidas las relativas a la recogida de datos API por medios automatizados y la transferencia de los datos de conformidad con los plazos, formatos y protocolos exigidos. En particular, los Estados miembros deben garantizar que el incumplimiento persistente por parte de las compañías aéreas en calidad de personas jurídicas de su obligación de transferir los datos API al enrutador de conformidad con el presente Reglamento sea objeto de sanciones financieras proporcionadas de hasta el 2 % del volumen de negocios mundial de la compañía aérea en el ejercicio precedente. Además, los Estados miembros deben poder imponer sanciones, también financieras, a las compañías aéreas por otras formas de incumplimiento de las obligaciones que les incumben en virtud del presente Reglamento. |
|
(39) |
Al establecer las normas en materia de sanciones aplicables a las compañías aéreas en virtud del presente Reglamento, los Estados miembros pueden tener en cuenta la viabilidad técnica y operativa de garantizar la exactitud completa de los datos. Además, cuando se impongan sanciones, se debe determinar su aplicación y su valor. Las autoridades nacionales de supervisión de API pueden tener en cuenta las medidas adoptadas por la compañía aérea para atenuar el problema, así como su nivel de cooperación con las autoridades nacionales. |
|
(40) |
Debe existir una estructura de gobernanza única a efectos del presente Reglamento y del Reglamento (UE) 2025/13. Con el objetivo de permitir y fomentar la comunicación entre los representantes de las compañías aéreas y los representantes de las autoridades de los Estados miembros competentes en virtud del presente Reglamento y del Reglamento (UE) 2025/13 para que los datos API se transmitan desde el enrutador, deben crearse dos órganos específicos a más tardar dos años después de la entrada en funcionamiento del enrutador. Las cuestiones técnicas relacionadas con el uso y el funcionamiento del enrutador deben debatirse en el grupo de contacto API-PNR, en el que también deben estar presentes representantes de eu-LISA. Las cuestiones políticas, como las relativas a las sanciones, deben debatirse en el grupo de expertos API. |
|
(41) |
Dado que el presente Reglamento prevé el establecimiento de nuevas normas sobre la recogida y la transferencia de datos API con el fin de mejorar y facilitar la eficacia y la eficiencia de las inspecciones fronterizas en las fronteras exteriores, procede derogar la Directiva 2004/82/CE. |
|
(42) |
Dado que el enrutador debe ser diseñado, desarrollado, alojado y gestionado técnicamente por eu-LISA, es necesario modificar el Reglamento (UE) 2018/1726 a fin de añadir esa tarea a las funciones de eu-LISA. Con el fin de conservar los informes y las estadísticas del enrutador en el repositorio central para la presentación de informes y estadísticas (RCIE) creado por el Reglamento (UE) 2019/817 del Parlamento Europeo y del Consejo (16), es necesario modificar dicho Reglamento. Con el fin de apoyar el cumplimiento del presente Reglamento por parte de la autoridad nacional de supervisión de API, es necesario que entre las modificaciones del Reglamento (UE) 2019/817 se incluyan disposiciones en materia de estadísticas que se refieran a si los datos API son exactos y están completos, por ejemplo, indicando si los datos se recogieron por medios automatizados. También es importante recopilar estadísticas fiables y útiles sobre la aplicación del presente Reglamento para apoyar sus objetivos y servir de base para las evaluaciones en virtud del presente Reglamento. En estas estadísticas no debe figurar ningún dato personal. Por consiguiente, el RCIE debe proporcionar estadísticas basadas en datos API únicamente para la aplicación y la supervisión efectiva de la aplicación del presente Reglamento. Los datos que el enrutador transmita automáticamente al RCIE a tal fin no deben permitir la identificación de los pasajeros de que se trate. |
|
(43) |
A fin de aumentar la claridad y la seguridad jurídica, de contribuir a garantizar la calidad de los datos, a garantizar el uso responsable de los medios automatizados de recogida de datos API de lectura mecánica en virtud del presente Reglamento y a garantizar la recogida manual de datos API en circunstancias excepcionales y durante el período transitorio, de aportar claridad sobre los requisitos técnicos aplicables a las compañías aéreas y necesarios para garantizar que los datos API recogidos en virtud del presente Reglamento se transfieran al enrutador de manera segura, eficaz y rápida, y de garantizar que los datos inexactos o incompletos o los datos que ya no estén actualizados se corrijan, completen o actualicen, deben delegarse en la Comisión los poderes para adoptar actos con arreglo al artículo 290 del Tratado de Funcionamiento de la Unión Europea (TFUE), destinados a poner fin al período transitorio para la recogida manual de datos API; a adoptar medidas relativas a los requisitos técnicos y las normas operativas que deben cumplir las compañías aéreas en lo que respecta al uso de medios automatizados para la recogida de los datos API de lectura mecánica en virtud del presente Reglamento, para la recogida manual de datos API en circunstancias excepcionales, y para la recogida de datos API durante el período transitorio, también en lo relativo a los requisitos en materia de seguridad de los datos; a establecer normas detalladas sobre los protocolos comunes y los formatos de datos admitidos que deben utilizar las compañías aéreas para la transferencia cifrada de datos API, incluidos los requisitos en materia de seguridad de los datos, y a establecer normas relativas a la corrección, la compleción y la actualización de los datos API. Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas con las partes interesadas pertinentes, incluidas las compañías aéreas, durante la fase preparatoria, en particular con expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación (17). En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupen de la preparación de los actos delegados. Teniendo en cuenta el estado actual de la técnica, dichos requisitos técnicos y normas operativas podrían cambiar con el tiempo. |
|
(44) |
A fin de garantizar condiciones uniformes de ejecución del presente Reglamento, a saber, en lo que respecta a la entrada en funcionamiento del enrutador, a las normas técnicas y de procedimiento aplicables a las verificaciones y notificaciones de datos, a las normas técnicas y de procedimiento para la transmisión de los datos API del enrutador a las autoridades fronterizas competentes de manera que se garantice que la transmisión sea segura, eficaz y rápida y que no afecte más de lo necesario a los viajes de los pasajeros y a las compañías aéreas, ni a las conexiones de las autoridades fronterizas y las compañías aéreas competentes con el enrutador y su integración en él, y de especificar las responsabilidades de los Estados miembros como corresponsables del tratamiento, por ejemplo en relación con la identificación y gestión de incidentes de seguridad, incluidas las violaciones de la seguridad de los datos personales, y la relación entre los corresponsables del tratamiento y eu-LISA como encargada del tratamiento, incluida la asistencia de eu-LISA a los responsables del tratamiento con las medidas técnicas y organizativas adecuadas, en la medida de lo posible, para el cumplimiento de las obligaciones del responsable del tratamiento de responder a las solicitudes de ejercicio de los derechos del interesado, deben conferirse a la Comisión competencias de ejecución. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo (18). |
|
(45) |
Todas las partes interesadas, y en particular las compañías aéreas y las autoridades fronterizas competentes, deben disponer de tiempo suficiente para hacer los preparativos necesarios para poder cumplir sus respectivas obligaciones en virtud del presente Reglamento, teniendo en cuenta que algunos de esos preparativos, como los relativos a las obligaciones en materia de conexión con el enrutador e integración en él, pueden finalizarse únicamente cuando se hayan completado las fases de diseño y desarrollo del enrutador y este entre en funcionamiento. Por lo tanto, el presente Reglamento solo debe aplicarse a partir de una fecha adecuada posterior a la fecha en que el enrutador entre en funcionamiento, especificada por la Comisión de conformidad con el presente Reglamento y el Reglamento (UE) 2025/13. No obstante, la Comisión debe tener la posibilidad de adoptar actos delegados y de ejecución en virtud del presente Reglamento a partir de una fecha anterior, a fin de garantizar que el sistema establecido por el presente Reglamento sea operativo lo antes posible. |
|
(46) |
Las fases de diseño y desarrollo del enrutador establecido en virtud del presente Reglamento y del Reglamento (UE) 2025/13 deben iniciarse y completarse lo antes posible para que el enrutador pueda entrar en funcionamiento cuanto antes, lo que también requiere la adopción de los actos delegados y de ejecución pertinentes previstos en el presente Reglamento. Para un desarrollo fluido y eficaz de esas fases, debe crearse un consejo de administración del programa específico con la función de supervisar a eu-LISA en el desempeño de sus funciones durante esas fases. Ese consejo debe dejar de existir dos años después de que el enrutador haya entrado en funcionamiento. Además, debe crearse un órgano consultivo específico, el grupo consultivo API-PNR, de conformidad con el Reglamento (UE) 2018/1726, con el objetivo de proporcionar conocimientos especializados a eu-LISA y al consejo de administración del programa sobre las fases de diseño y desarrollo del enrutador, así como a eu-LISA sobre el alojamiento y la gestión del enrutador. El consejo de administración del programa y el grupo consultivo API-PNR deben crearse y funcionar siguiendo los modelos de los consejos de administración del programa y los grupos consultivos existentes. |
|
(47) |
El presente Reglamento debe ser objeto de evaluaciones periódicas para garantizar la supervisión de su aplicación efectiva. En particular, la recogida de datos API no debe ir en detrimento de la experiencia de viaje de los pasajeros en regla. Por consiguiente, la Comisión debe incluir en sus informes de evaluación periódicos sobre la aplicación del presente Reglamento una evaluación de cómo afecta el presente Reglamento a la experiencia de viaje de los pasajeros en regla. La evaluación también debe incluir una valoración de la calidad de los datos enviados por el enrutador, así como del rendimiento del enrutador con respecto a las autoridades fronterizas competentes. |
|
(48) |
La aclaración proporcionada por el presente Reglamento en relación con la aplicación de las especificaciones relativas al uso de medios automatizados en aplicación de la Directiva 2004/82/CE también debe aportarse sin demora. Por consiguiente, las disposiciones sobre estas materias deben aplicarse a partir de la fecha de entrada en vigor del presente Reglamento. Además, a fin de permitir el uso voluntario del enrutador lo antes posible, las disposiciones sobre tal uso, así como algunas otras disposiciones necesarias para garantizar que dicho uso se haga de manera responsable, deben aplicarse lo antes posible, es decir, desde el momento en que el enrutador entre en funcionamiento. |
|
(49) |
Dado que el presente Reglamento requiere ajustes y costes administrativos adicionales por parte de las compañías aéreas, la carga normativa global para el sector de la aviación debe ser objeto de un estrecho seguimiento. En este contexto, el informe de evaluación del funcionamiento del presente Reglamento debe evaluar en qué medida se han cumplido los objetivos del presente Reglamento y en qué medida ha afectado a la competitividad del sector. |
|
(50)
(51) |
El presente Reglamento se entiende sin perjuicio de las competencias de los Estados miembros en lo que respecta al Derecho nacional en materia de seguridad nacional, siempre que dicho Derecho sea conforme con el Derecho de la Unión.
El presente Reglamento se entiende sin perjuicio de las competencias de los Estados miembros para recoger, con arreglo a su Derecho nacional, datos de pasajeros procedentes de prestadores de transporte distintos de los especificados en el presente Reglamento, siempre que dicho Derecho nacional sea conforme con el Derecho de la Unión. |
|
(52) |
Dado que los objetivos del presente Reglamento, a saber, mejorar y facilitar la eficacia y la eficiencia de las inspecciones fronterizas en las fronteras exteriores y luchar contra la inmigración ilegal, se refieren a cuestiones de carácter intrínsecamente transfronterizo, no pueden ser alcanzados de manera suficiente por los Estados miembros individualmente, sino que pueden lograrse mejor a escala de la Unión. La Unión puede, por tanto, adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea (TUE). De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dichos objetivos. |
|
(53) |
De conformidad con los artículos 1 y 2 del Protocolo n.o 22 sobre la posición de Dinamarca, anejo al TUE y al TFUE, Dinamarca no participa en la adopción del presente Reglamento y no queda vinculada por él ni sujeta a su aplicación. Dado que el presente Reglamento desarrolla el acervo de Schengen, Dinamarca decidirá, de conformidad con el artículo 4 de dicho Protocolo, dentro de un período de seis meses a partir de que el Consejo haya tomado una medida sobre el presente Reglamento, si lo incorpora a su legislación nacional. |
|
(54)
(55) |
Irlanda participa en el presente Reglamento de conformidad con el artículo 5, apartado 1, del Protocolo n.o 19 sobre el acervo de Schengen integrado en el marco de la Unión Europea, anejo al TUE y al TFUE, y con el artículo 6, apartado 2, de la Decisión 2002/192/CE del Consejo (19).
Por lo que respecta a Islandia y Noruega, el presente Reglamento constituye un desarrollo de las disposiciones del acervo de Schengen en el sentido del Acuerdo celebrado por el Consejo de la Unión Europea con la República de Islandia y el Reino de Noruega sobre la asociación de estos dos Estados a la ejecución, aplicación y desarrollo del acervo de Schengen (20), que entran en el ámbito mencionado en el artículo 1, punto A, de la Decisión 1999/437/CE del Consejo (21). |
|
(56) |
Por lo que respecta a Suiza, el presente Reglamento constituye un desarrollo de las disposiciones del acervo de Schengen en el sentido del Acuerdo entre la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, aplicación y desarrollo del acervo de Schengen (22), que entran en el ámbito mencionado en el artículo 1, punto A, de la Decisión 1999/437/CE del Consejo, en relación con el artículo 3 de la Decisión 2008/146/CE del Consejo (23). |
|
(57) |
Por lo que respecta a Liechtenstein, el presente Reglamento constituye un desarrollo de las disposiciones del acervo de Schengen en el sentido del Protocolo entre la Unión Europea, la Comunidad Europea, la Confederación Suiza y el Principado de Liechtenstein sobre la adhesión del Principado de Liechtenstein al Acuerdo entre la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, aplicación y desarrollo del acervo de Schengen (24), que entran en el ámbito mencionado en el artículo 1, punto A, de la Decisión 1999/437/CE, en relación con el artículo 3 de la Decisión 2011/350/UE del Consejo (25). |
|
(58)
(59) |
Por lo que respecta a Chipre, el presente Reglamento constituye un acto que desarrolla el acervo de Schengen o está relacionado con él de otro modo, en el sentido del artículo 3, apartado 1, del Acta de Adhesión de 2003.
El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725, emitió su dictamen el 8 de febrero de 2023 (26). |
HAN ADOPTADO EL PRESENTE REGLAMENTO:
Objeto
Con el fin de mejorar y facilitar la eficacia y la eficiencia de las inspecciones fronterizas en las fronteras exteriores y de luchar contra la inmigración ilegal, el presente Reglamento establece normas relativas a lo siguiente:
a) la recogida de información anticipada sobre los pasajeros (API, por sus siglas en inglés) por parte de las compañías aéreas;
b) la transferencia de los datos API por parte de las compañías aéreas al enrutador;
c) la transmisión de los datos API desde el enrutador a las autoridades fronterizas competentes.
El presente Reglamento se entiende sin perjuicio de los Reglamentos (UE) 2016/679 y (UE) 2018/1725.
Ámbito de aplicación
El presente Reglamento se aplica a las compañías aéreas que realizan vuelos con destino a la Unión.
Definiciones
A los efectos del presente Reglamento, se entenderá por:
1) «compañía aérea», una compañía aérea tal como se define en el artículo 3, punto 1, de la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo (27);
2) «inspecciones fronterizas», las inspecciones fronterizas tal como se definen en el artículo 2, punto 11, del Reglamento (UE) 2016/399;
3) «vuelos con destino a la Unión», los vuelos procedentes del territorio de un tercer país o de un Estado miembro al que no se aplique el presente Reglamento y que tengan previsto aterrizar en el territorio de un Estado miembro o Estados miembros a los que se aplique el presente Reglamento;
4) «paso fronterizo», un paso fronterizo tal como se define en el artículo 2, punto 8, del Reglamento (UE) 2016/399;
5) «vuelo programado», un vuelo que se explota con arreglo a un horario fijo y para el cual el público en general puede adquirir billetes;
6) «vuelo no programado», un vuelo que no se explota con arreglo a un horario fijo y que no forma parte necesariamente de una ruta regular o programada;
7) «autoridad fronteriza competente», la autoridad facultada por un Estado miembro para efectuar inspecciones fronterizas que ha sido designada y notificada por dicho Estado miembro de conformidad con el artículo 14, apartado 2;
8) «pasajero», toda persona, a excepción de los miembros en servicio de la tripulación, transportada o que vaya a ser transportada en una aeronave con el consentimiento de la compañía aérea, consentimiento que se manifiesta mediante la inscripción de tal persona en la lista de pasajeros;
9) «información anticipada sobre los pasajeros» o «datos API», los datos del pasajero y la información de vuelo a que se refiere el artículo 4, apartados 2 y 3, respectivamente;
10) «enrutador», el enrutador a que se refieren el artículo 11 del presente Reglamento y el artículo 9 del Reglamento (UE) 2025/13;
11) «datos personales», los datos personales tal como se definen en el artículo 4, punto 1, del Reglamento (UE) 2016/679;
12) «datos de tráfico de vuelo en tiempo real», la información sobre el tráfico de entrada y de salida de un aeropuerto al que se aplique el presente Reglamento.
Recogida de datos API por las compañías aéreas
1. Las compañías aéreas recogerán los datos API de cada pasajero en los vuelos con destino a la Unión que han de transferirse al enrutador de conformidad con el artículo 6. En caso de compañías aéreas que compartan el código del vuelo, la obligación de transferir los datos API recaerá en la compañía aérea que explote el vuelo.
2. Los datos API consistirán únicamente en los siguientes datos relativos a cada pasajero en el vuelo:
a) los apellidos y los nombres de pila;
b) la fecha de nacimiento, el sexo y la nacionalidad;
c) el tipo y el número del documento de viaje y el código de tres letras del país de expedición del documento de viaje;
d) la fecha de caducidad del documento de viaje;
e) el número de identificación del registro de nombres de los pasajeros utilizado por las compañías aéreas para localizar a un pasajero en su sistema de información (localizador de registro PNR);
f) la información sobre el asiento asignado a un pasajero en la aeronave, cuando se disponga de dicha información;
g) el número o los números de la etiqueta del equipaje y el número y el peso del equipaje facturado, cuando se disponga de dicha información;
h) un código que indique el método utilizado para recoger y validar los datos a que se refieren las letras a) a d).
3. Asimismo, los datos API consistirán únicamente en la siguiente información sobre el vuelo relativa al vuelo de cada pasajero:
a) el número de identificación del vuelo o, en caso de compañías aéreas que compartan el código del vuelo, los números de identificación de los vuelos, o, en su defecto, otros medios claros y adecuados para identificar el vuelo;
b) cuando proceda, el paso fronterizo de entrada en el territorio del Estado miembro;
c) el código del aeropuerto de llegada o, cuando el vuelo tenga previsto aterrizar en uno o varios aeropuertos situados en el territorio de uno o varios Estados miembros a los que se aplica el presente Reglamento, los códigos de los aeropuertos de escala en los territorios de los Estados miembros de que se trate;
d) el código del aeropuerto de salida del vuelo;
e) el código del aeropuerto del punto de embarque inicial, cuando se disponga de él;
f) la fecha y hora local de salida;
g) la fecha y hora local de llegada;
h) los datos de contacto de la compañía aérea;
i) el formato utilizado para la transferencia de los datos API.
Medios de recogida de los datos API
1. Las compañías aéreas recogerán los datos API de conformidad con el artículo 4 de tal manera que se garantice que los datos API que transfieran con arreglo al artículo 6 sean exactos y completos y estén actualizados.
2. Las compañías aéreas recogerán los datos API a que se refiere el artículo 4, apartado 2, letras a) a d), utilizando medios automatizados para recoger los datos de lectura mecánica del documento de viaje del pasajero de que se trate. Lo harán de conformidad con los requisitos técnicos detallados y las normas operativas a que se refiere el apartado 7 del presente artículo, una vez que dichas normas se hayan adoptado y sean aplicables.
Cuando las compañías aéreas ofrezcan un proceso de facturación en línea, permitirán que los pasajeros proporcionen los datos API a que se refiere el artículo 4, apartado 2, letras a) a d), utilizando medios automatizados durante ese proceso de facturación en línea. En el caso de los pasajeros que no facturen en línea, las compañías aéreas deben permitirles proporcionar los datos API utilizando medios automatizados durante la facturación en el aeropuerto con la asistencia de un quiosco de autoservicio o del personal de las compañías aéreas en el mostrador.
Cuando no sea técnicamente posible utilizar medios automatizados, las compañías aéreas recogerán manualmente de manera excepcional los datos API a que se refiere el artículo 4, apartado 2, letras a) a d), ya sea como parte de la facturación en línea o de la facturación en el aeropuerto, de manera que se garantice el cumplimiento de lo dispuesto en el apartado 1 del presente artículo.
3. Los medios automatizados utilizados por las compañías aéreas para recoger los datos API en virtud del presente Reglamento serán fiables y seguros y estarán actualizados. Las compañías aéreas garantizarán que los datos API estén cifrados durante su transferencia del pasajero a la compañía aérea.
4. Durante un período transitorio, y además de los medios automatizados a que se refiere el apartado 3, las compañías aéreas ofrecerán a los pasajeros la posibilidad de proporcionar los datos API manualmente como parte de la facturación en línea. En esos casos, las compañías aéreas utilizarán técnicas de verificación de datos para garantizar el cumplimiento del apartado 1.
5. El período transitorio a que se refiere el apartado 4 no afectará al derecho de las compañías aéreas a verificar, en el aeropuerto antes del embarque en la aeronave, los datos API recogidos como parte de la facturación en línea, para garantizar el cumplimiento del apartado 1, de conformidad con el Derecho de la Unión aplicable.
6. La Comisión estará facultada para adoptar, una vez transcurridos cuatro años después de la entrada en funcionamiento del enrutador a que se refiere el artículo 34, y sobre la base de una evaluación de la disponibilidad y accesibilidad de los medios automatizados para recoger datos API, un acto delegado con arreglo al artículo 44 para poner fin al período transitorio a que se refiere el apartado 4 del presente artículo.
7. La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 44 a fin de completar el presente Reglamento por los que se establezcan requisitos técnicos detallados y normas operativas para la recogida de los datos API a que se refiere el artículo 4, apartado 2, letras a) a d), utilizando medios automatizados de conformidad con los apartados 2 y 3 del presente artículo, y para la recogida manual de datos API en circunstancias excepcionales de conformidad con el apartado 2 del presente artículo y durante el período transitorio a que se refiere el apartado 4 del presente artículo. Dichos requisitos técnicos y normas operativas incluirán requisitos relativos a la seguridad de los datos y a la utilización de los medios automatizados más fiables disponibles para recoger los datos de lectura mecánica de un documento de viaje.
8. Las compañías aéreas que usen medios automatizados para recoger la información a que se refiere el artículo 3, apartados 1 y 2, de la Directiva 2004/82/CE tendrán derecho a hacerlo aplicando los requisitos técnicos relativos a tal uso a que se refiere el apartado 7 del presente artículo, de conformidad con dicha Directiva.
Obligaciones de las compañías aéreas en relación con la transferencia de los datos API
1. Las compañías aéreas transferirán los datos API cifrados al enrutador por medios electrónicos a efectos de su transmisión a las autoridades fronterizas competentes de conformidad con el artículo 14. Las compañías aéreas transferirán los datos API de conformidad con las normas detalladas a que se refiere el apartado 3 del presente artículo, una vez que dichas normas se hayan adoptado y sean aplicables.
2. Las compañías aéreas transferirán los datos API:
a) de cada pasajero en el momento de la facturación, pero no antes de las cuarenta y ocho horas previas a la hora prevista de salida del vuelo, y
b) de todos los pasajeros que hayan embarcado inmediatamente después del cierre del vuelo, es decir, una vez que los pasajeros hayan embarcado en la aeronave en preparación de la salida y no sea posible para los pasajeros embarcar o desembarcar.
3. La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 44 a fin de completar el presente Reglamento por los que se establezcan las normas detalladas necesarias sobre los protocolos comunes y los formatos de datos admitidos que deben utilizarse para las transferencias cifradas de datos API al enrutador a que se refiere el apartado 1 del presente artículo, incluidos la transferencia de datos API en el momento de la facturación y los requisitos de seguridad de los datos. Dichas normas detalladas garantizarán que las compañías aéreas transfieran los datos API con una estructura y un contenido idénticos.
Tratamiento de los datos API por las autoridades fronterizas competentes
Las autoridades fronterizas competentes tratarán los datos API que reciban de conformidad con el presente Reglamento únicamente para los fines de mejorar y facilitar la eficacia y la eficiencia de las inspecciones fronterizas en las fronteras exteriores y de luchar contra la inmigración ilegal.
Las autoridades fronterizas competentes no tratarán los datos API de una manera que conduzca a la elaboración de perfiles de personas a que se refiere el artículo 22 del Reglamento (UE) 2016/679 ni a la discriminación de personas por las razones enumeradas en el artículo 21 de la Carta.
Plazo de conservación y supresión de los datos API
1. Las compañías aéreas conservarán, durante un plazo de cuarenta y ocho horas a partir del momento en que el enrutador reciba los datos API que se le transfieran de conformidad con el artículo 6, apartado 2, letras a) y b), los datos API que hayan recogido de conformidad con el artículo 4. Suprimirán inmediata y permanentemente dichos datos API una vez expirado dicho plazo, sin perjuicio de la posibilidad de que las compañías aéreas conserven y utilicen los datos cuando sea necesario para el desarrollo normal de su actividad comercial de conformidad con el Derecho aplicable y con el artículo 16, apartados 1 y 3.
2. Las autoridades fronterizas competentes conservarán, durante un plazo de cuarenta y ocho horas a partir del momento de su recepción, los datos API que se les hayan transmitido con arreglo al artículo 14 tras la transferencia de conformidad con el artículo 6, apartado 2, letras a) y b). Suprimirán inmediata y permanentemente dichos datos API una vez expirado dicho plazo.
En casos excepcionales, las autoridades fronterizas competentes podrán conservar los datos API durante un período adicional de hasta cuarenta y ocho horas únicamente en la medida en que dichos datos API se refieran a pasajeros que no se hayan presentado en un paso fronterizo durante el plazo a que se refiere el párrafo primero.
Corrección, compleción y actualización de los datos API
1. Cuando una compañía aérea tenga conocimiento de que los datos que conserva en virtud del presente Reglamento han sido tratados ilícitamente, o de que no constituyen datos API, los suprimirá de forma inmediata y permanente. Si dichos datos se han transferido al enrutador, la compañía aérea informará inmediatamente a la Agencia de la Unión Europea para la Gestión Operativa de Sistemas Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia (eu-LISA). Una vez recibida dicha información, eu-LISA informará inmediatamente a la autoridad fronteriza competente que haya recibido los datos transmitidos a través del enrutador. Dicha autoridad fronteriza competente suprimirá de forma inmediata y permanente esos datos.
2. Cuando una compañía aérea tenga conocimiento de que los datos que conserva en virtud del presente Reglamento son inexactos o incompletos o ya no están actualizados, los corregirá, completará o actualizará inmediatamente. Lo anterior se entiende sin perjuicio de la posibilidad de que las compañías aéreas conserven y utilicen los datos cuando sea necesario para el desarrollo normal de su actividad comercial de conformidad con el Derecho aplicable.
3. Cuando una compañía aérea tenga conocimiento, después de la transferencia de datos API con arreglo al artículo 6, apartado 2, letra a), pero antes de la transferencia con arreglo al artículo 6, apartado 2, letra b), de que los datos que ha transferido son inexactos, la compañía aérea transferirá inmediatamente los datos API corregidos al enrutador.
4. Cuando una compañía aérea tenga conocimiento, después de la transferencia de datos API con arreglo al artículo 6, apartado 2, letras a) o b), de que los datos que ha transferido son inexactos o incompletos o han dejado de estar actualizados, la compañía aérea transferirá inmediatamente los datos API corregidos, completados o actualizados al enrutador.
5. Cuando una autoridad fronteriza competente tenga conocimiento, tras la transmisión de los datos API con arreglo al artículo 14, de que los datos son inexactos o están incompletos o han dejado de estar actualizados, los suprimirá inmediatamente, a menos que sean necesarios para garantizar el cumplimiento de las obligaciones establecidas en el presente Reglamento.
6. La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 44 a fin de completar el presente Reglamento por lo que se establezcan las normas detalladas necesarias sobre la corrección, compleción y actualización de los datos API en el sentido del presente artículo.
Derechos fundamentales
1. La recogida y el tratamiento de datos personales de conformidad con el presente Reglamento y el Reglamento (UE) 2025/13 por parte de las compañías aéreas y las autoridades competentes no dará lugar a discriminación alguna de las personas por los motivos enumerados en el artículo 21 de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»).
2. El presente Reglamento deberá respetar plenamente la dignidad humana y los derechos fundamentales y los principios reconocidos en la Carta, incluidos los derechos a la intimidad, al asilo, a la protección de los datos personales, a la libre circulación y a vías de recurso efectivas.
3. Se prestará especial atención a los menores, las personas mayores, las personas con discapacidad y las personas vulnerables. El interés superior del niño constituirá una consideración primordial al aplicar el presente Reglamento.
El enrutador
1. eu-LISA diseñará, desarrollará, alojará y gestionará técnicamente, de conformidad con los artículos 25 y 26, un enrutador con el fin de facilitar la transferencia de datos API cifrados por parte de las compañías aéreas a las autoridades fronterizas competentes, de conformidad con el presente Reglamento.
2. El enrutador estará compuesto por:
a) una infraestructura central, que incluye un conjunto de componentes técnicos que permiten la recepción y la transmisión de datos API cifrados;
b) un canal de comunicación seguro entre la infraestructura central y las autoridades fronterizas competentes y un canal de comunicación seguro entre la infraestructura central y las compañías aéreas, para la transferencia y la transmisión de datos API y para cualquier comunicación relacionada con ellos;
c) un canal seguro para recibir datos de tráfico de vuelo en tiempo real.
3. Sin perjuicio de lo dispuesto en el artículo 12 del presente Reglamento, el enrutador compartirá y reutilizará, cuando proceda y en la medida en que sea técnicamente posible, los componentes técnicos, incluidos los componentes de soporte físico (hardware) y soporte lógico (software), del servicio web a que se refiere el artículo 13 del Reglamento (UE) 2017/2226, la pasarela para los transportistas a que se refiere el artículo 6, apartado 2, letra k), del Reglamento (UE) 2018/1240 y la pasarela para los transportistas a que se refiere el artículo 45 quater del Reglamento (CE) n.o 767/2008.
eu-LISA diseñará el enrutador, en la medida en que sea técnica y operativamente posible, de manera coherente y compatible con las obligaciones de las compañías aéreas establecidas en los Reglamentos (CE) n.o 767/2008, (UE) 2017/2226 y (UE) 2018/1240.
4. El enrutador extraerá automáticamente los datos, de conformidad con el artículo 38 del presente Reglamento, y los pondrá a disposición del repositorio central para la presentación de informes y estadísticas (RCIE) creado por el artículo 39 del Reglamento (UE) 2019/817.
5. eu-LISA diseñará y desarrollará el enrutador de manera que, para cualquier transferencia de datos API desde las compañías aéreas al enrutador de conformidad con el artículo 6 y para cualquier transmisión de datos API desde el enrutador a las autoridades fronterizas competentes de conformidad con el artículo 14 y al RCIE de conformidad con el artículo 38, apartado 2, los datos API estén cifrados de extremo a extremo en el momento del tránsito.
Uso exclusivo del enrutador
A efectos del presente Reglamento, el enrutador solo será utilizado por las entidades siguientes:
a) las compañías aéreas para transferir datos API cifrados de conformidad con el presente Reglamento;
b) las autoridades fronterizas competentes para recibir datos API cifrados de conformidad con el presente Reglamento.
El presente artículo se entiende sin perjuicio de lo dispuesto en el artículo 10 del Reglamento (UE) 2025/13.
Verificación del formato de los datos y de la transferencia
1. El enrutador verificará, de manera automatizada y sobre la base de datos de tráfico aéreo en tiempo real, si la compañía aérea transfirió los datos API de conformidad con el artículo 6, apartado 1.
2. El enrutador verificará, de forma inmediata y automatizada, si los datos API que se le transfieran de conformidad con el artículo 6, apartado 1, cumplen las normas detalladas sobre los formatos de datos admitidos a que se refiere el artículo 6, apartado 3.
3. Cuando la verificación a que se refiere el apartado 1 del presente artículo determine que los datos no han sido transferidos por la compañía aérea o cuando la verificación a que se refiere el apartado 2 del presente artículo determine que los datos no cumplen las normas detalladas sobre los formatos de datos admitidos, el enrutador lo notificará inmediatamente y de manera automatizada a la compañía aérea de que se trate y a las autoridades fronterizas competentes de los Estados miembros a los que deban transmitirse los datos con arreglo al artículo 14, apartado 1. En tales casos, la compañía aérea transferirá inmediatamente los datos API de conformidad con el artículo 6.
4. La Comisión adoptará actos de ejecución que especifiquen las normas técnicas y de procedimiento detalladas necesarias para las verificaciones y notificaciones a que se refieren los apartados 1, 2 y 3 del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 43, apartado 2.
Transmisión de datos API del enrutador a las autoridades fronterizas competentes
1. Tras las verificaciones del formato de los datos y de la transferencia a que se refiere el artículo 13, el enrutador transmitirá los datos API cifrados que le hayan sido transferidos con arreglo al artículo 6 o al artículo 9, apartados 3 y 4, a las autoridades fronterizas competentes del Estado miembro o, cuando el vuelo tenga previsto aterrizar en uno o varios aeropuertos situados en el territorio de uno o más Estados miembros a los que se aplica el presente Reglamento, a las autoridades fronterizas competentes de los Estados miembros a que se refiere el artículo 4, apartado 3, letra c). Transmitirá dichos datos inmediatamente y de manera automatizada, sin modificar en modo alguno su contenido, y de conformidad con las normas detalladas a que se refiere el apartado 5 del presente artículo, una vez que dichas normas se hayan adoptado y sean de aplicación.
A efectos de dicha transmisión, eu-LISA establecerá y mantendrá actualizado un cuadro de correspondencias entre los distintos aeropuertos de origen y de destino y los países a los que pertenecen.
2. Los Estados miembros designarán a las autoridades fronterizas competentes autorizadas para recibir del enrutador los datos API que les sean transmitidos de conformidad con el presente Reglamento. Notificarán a eu-LISA y a la Comisión, a más tardar en la fecha de aplicación del presente Reglamento a que se refiere el artículo 46, párrafo segundo, el nombre y los datos de contacto de las autoridades fronterizas competentes y, en caso necesario, notificarán a eu-LISA y a la Comisión cualquier actualización de dicha información.
La Comisión, sobre la base de dichas notificaciones y actualizaciones, recopilará y pondrá a disposición del público una lista de las autoridades fronterizas competentes notificadas, incluidos sus datos de contacto.
3. Los Estados miembros se asegurarán de que sus autoridades fronterizas competentes, una vez reciban datos API de conformidad con el apartado 1, confirmen de forma inmediata y automatizada la recepción de tales datos al enrutador.
4. Los Estados miembros se asegurarán de que solo el personal debidamente autorizado y formado de sus autoridades fronterizas competentes, designadas de conformidad con el apartado 2, tenga acceso a los datos API que les hayan sido transmitidos a través del enrutador. Los Estados miembros establecerán las normas necesarias a tal efecto. Entre ellas se incluirán normas sobre la creación y actualización periódica de una lista de dicho personal y sus perfiles.
5. La Comisión adoptará actos de ejecución por los que se especifiquen las normas técnicas y de procedimiento detalladas necesarias para la transmisión de datos API del enrutador a que se refiere el apartado 1 del presente artículo, también en lo relativo a los requisitos de seguridad de los datos. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 43, apartado 2.
Supresión de los datos API del enrutador
Los datos API, transferidos al enrutador con arreglo al presente Reglamento, se conservarán en el enrutador únicamente en la medida en que sea necesario para completar la transmisión a las autoridades fronterizas competentes pertinentes de conformidad con el presente Reglamento, y se suprimirán del enrutador inmediata y permanentemente de forma automatizada cuando se haya confirmado, de acuerdo con el artículo 14, apartado 3, que se ha completado la transmisión de los datos API a las autoridades fronterizas competentes pertinentes.
Acciones en caso de imposibilidad técnica de utilizar el enrutador
1. Cuando sea técnicamente imposible utilizar el enrutador para transmitir datos API debido a un fallo del enrutador, eu-LISA notificará inmediatamente de manera automatizada dicha imposibilidad técnica a las compañías aéreas y a las autoridades fronterizas competentes. En tal caso, eu-LISA tomará inmediatamente medidas para hacer frente a la imposibilidad técnica de utilizar el enrutador y lo notificará inmediatamente a las compañías aéreas y a las autoridades fronterizas competentes cuando esta se haya resuelto satisfactoriamente.
Durante el período comprendido entre dichas notificaciones, no se aplicarán el artículo 6, apartado 1, ni el artículo 8, apartado 1, en la medida en que la imposibilidad técnica impida la transferencia de datos API al enrutador. Las compañías aéreas conservarán los datos API hasta que se haya resuelto satisfactoriamente la imposibilidad técnica. Tan pronto se haya resuelto satisfactoriamente la imposibilidad técnica, las compañías aéreas transferirán los datos al enrutador de conformidad con el artículo 6, apartado 1.
Cuando los datos API se reciban más de noventa y seis horas después de la hora de salida a que se refiere el artículo 4, apartado 3, letra f), el enrutador no transmitirá los datos API a las autoridades fronterizas competentes, sino que los suprimirá.
Cuando sea imposible técnicamente utilizar el enrutador y en casos excepcionales relacionados con los objetivos del presente Reglamento que hagan necesario que las autoridades fronterizas competentes reciban inmediatamente datos API durante la imposibilidad técnica de utilizar el enrutador, las autoridades fronterizas competentes podrán solicitar a las compañías aéreas que utilicen cualquier otro medio adecuado que garantice el nivel necesario de seguridad, calidad y protección de los datos para transferir los datos API directamente a las autoridades fronterizas competentes. Las autoridades fronterizas competentes tratarán los datos API recibidos por cualquier otro medio adecuado de conformidad con las normas y garantías establecidas en el Reglamento (UE) 2016/399 y el Derecho nacional aplicable.
Tras la notificación de eu-LISA de que la imposibilidad técnica se ha resuelto satisfactoriamente, y cuando se confirme, de acuerdo con el artículo 14, apartado 3, que se ha completado la transmisión de los datos API a través del enrutador a la autoridad fronteriza competente pertinente, la autoridad fronteriza competente suprimirá inmediatamente los datos API que haya recibido por cualquier otro medio adecuado.
2. Cuando sea técnicamente imposible utilizar el enrutador para transmitir los datos API debido a un fallo de los sistemas o las infraestructuras a que se refiere el artículo 23 de un Estado miembro, las autoridades fronterizas competentes de dicho Estado miembro notificarán inmediatamente dicha imposibilidad técnica de manera automatizada a las compañías aéreas, a las autoridades competentes de los demás Estados miembros, a eu-LISA y a la Comisión. En tal caso, dicho Estado miembro tomará inmediatamente medidas para hacer frente a la imposibilidad técnica de utilizar el enrutador y lo notificará inmediatamente a las compañías aéreas, a las autoridades competentes de los demás Estados miembros, a eu-LISA y a la Comisión cuando esta se haya resuelto satisfactoriamente. El enrutador conservará los datos API hasta que se haya resuelto satisfactoriamente la imposibilidad técnica. Tan pronto se haya resuelto satisfactoriamente la imposibilidad técnica, el enrutador transmitirá los datos de conformidad con el artículo 14, apartado 1.
Durante el período comprendido entre dichas notificaciones, no se aplicará el artículo 6, apartado 1, ni el artículo 8, apartado 1, en la medida en que la imposibilidad técnica impida la transferencia de datos API al enrutador. Las compañías aéreas conservarán los datos API hasta que se haya resuelto satisfactoriamente la imposibilidad técnica. Tan pronto se haya resuelto satisfactoriamente la imposibilidad técnica, las compañías aéreas transferirán los datos al enrutador de conformidad con el artículo 6, apartado 1.
Cuando los datos API se reciban más de noventa y seis horas después de la hora de salida a que se refiere el artículo 4, apartado 3, letra f), el enrutador no transmitirá los datos API a las autoridades fronterizas competentes, sino que los suprimirá.
Cuando sea técnicamente imposible utilizar el enrutador y en casos excepcionales relacionados con los objetivos del presente Reglamento que hagan necesario que las autoridades fronterizas competentes reciban inmediatamente datos API durante la imposibilidad técnica de utilizar el enrutador, las autoridades fronterizas competentes podrán solicitar a las compañías aéreas que utilicen cualquier otro medio adecuado que garantice el nivel necesario de seguridad, calidad y protección de los datos para transferir los datos API directamente a las autoridades fronterizas competentes. Las autoridades fronterizas competentes tratarán los datos API recibidos por cualquier otro medio adecuado de conformidad con las normas y garantías establecidas en el Reglamento (UE) 2016/399 y el Derecho nacional aplicable.
Tras la notificación de eu-LISA de que la imposibilidad técnica se ha resuelto satisfactoriamente, y cuando se confirme, de acuerdo con el artículo 14, apartado 3, que se ha completado la transmisión de los datos API a través del enrutador a la autoridad fronteriza competente pertinente, la autoridad fronteriza competente suprimirá inmediatamente los datos API que haya recibido por cualquier otro medio adecuado.
3. Cuando sea técnicamente imposible utilizar el enrutador para transferir los datos API debido a un fallo de los sistemas o las infraestructuras a que se refiere el artículo 24 de una compañía aérea, dicha compañía aérea notificará inmediatamente esta imposibilidad técnica de manera automatizada a las autoridades fronterizas competentes, a eu-LISA y a la Comisión. En tal caso, dicha compañía aérea tomará inmediatamente medidas para hacer frente a la imposibilidad técnica de utilizar el enrutador y lo notificará inmediatamente a eu-LISA y a la Comisión cuando esta se haya resuelto satisfactoriamente.
Durante el período comprendido entre dichas notificaciones, no se aplicará el artículo 6, apartado 1, ni el artículo 8, apartado 1, en la medida en que la imposibilidad técnica impida la transferencia de datos API al enrutador. Las compañías aéreas conservarán los datos API hasta que se haya resuelto satisfactoriamente la imposibilidad técnica. Tan pronto se haya resuelto satisfactoriamente la imposibilidad técnica, las compañías aéreas transferirán los datos al enrutador de conformidad con el artículo 6, apartado 1. No obstante, el enrutador no transmitirá los datos API a las autoridades fronterizas competentes, sino que los suprimirá si se reciben más de noventa y seis horas después de la hora de salida a que se refiere el artículo 4, apartado 3, letra f).
Cuando sea técnicamente imposible utilizar el enrutador y en casos excepcionales relacionados con los objetivos del presente Reglamento que hagan necesario que las autoridades fronterizas competentes reciban inmediatamente datos API durante la imposibilidad técnica de utilizar el enrutador, las autoridades fronterizas competentes podrán solicitar a las compañías aéreas que utilicen cualquier otro medio adecuado que garantice el nivel necesario de seguridad, calidad y protección de los datos para transferir los datos API directamente a las autoridades fronterizas competentes. Las autoridades fronterizas competentes tratarán los datos API recibidos por cualquier otro medio adecuado de conformidad con las normas y garantías establecidas en el Reglamento (UE) 2016/399 y el Derecho nacional aplicable.
Tras la notificación de eu-LISA de que la imposibilidad técnica se ha resuelto satisfactoriamente, y cuando se confirme, de acuerdo con el artículo 14, apartado 3, que se ha completado la transmisión de los datos API a través del enrutador a la autoridad fronteriza competente pertinente, la autoridad fronteriza competente suprimirá inmediatamente los datos API que haya recibido por cualquier otro medio adecuado.
Cuando se haya resuelto satisfactoriamente la imposibilidad técnica, la compañía aérea afectada presentará sin demora a la autoridad nacional de supervisión de API a que se refiere el artículo 36 un informe que contenga todos los pormenores necesarios de la imposibilidad técnica, incluidas las razones de la imposibilidad técnica, su alcance y consecuencias, así como las medidas tomadas para resolverla.
Conservación de registros
1. Las compañías aéreas crearán registros de todas las operaciones de tratamiento relativas a datos API realizadas en virtud del presente Reglamento utilizando los medios automatizados a que se refiere el artículo 5, apartado 2. Dichos registros incluirán la fecha, la hora y el lugar de transferencia de los datos API. Dichos registros no contendrán datos personales, excepto la información necesaria para identificar al miembro pertinente del personal de la compañía aérea.
2. eu-LISA conservará registros de todas las operaciones de tratamiento relacionadas con la transferencia y la transmisión de datos API a través del enrutador en virtud del presente Reglamento. Dichos registros incluirán:
a) la compañía aérea que transfirió los datos API al enrutador;
b) las autoridades fronterizas competentes a las que se transmitieron los datos API a través del enrutador;
c) la fecha y hora de la transferencia o transmisión a que se refieren las letras a) y b), y el lugar de dicha transferencia o transmisión;
d) todo acceso del personal de eu-LISA necesario para el mantenimiento del enrutador, tal como se contempla en el artículo 26, apartado 3;
e) cualquier otra información relativa a esas operaciones de tratamiento necesaria para supervisar la seguridad e integridad de los datos API y la licitud de dichas operaciones de tratamiento.
Dichos registros no incluirán datos personales distintos de la información necesaria para identificar al miembro pertinente del personal de eu-LISA a que se refiere el párrafo primero, letra d).
3. Los registros a que se refieren los apartados 1 y 2 del presente artículo se utilizarán únicamente para garantizar la seguridad e integridad de los datos API y la licitud del tratamiento, en particular en lo que se refiere al cumplimiento de los requisitos establecidos en el presente Reglamento, incluidos los procedimientos y sanciones por el incumplimiento de dichos requisitos de conformidad con los artículos 36 y 37.
4. Las compañías aéreas y eu-LISA tomarán las medidas adecuadas para proteger los registros que hayan creado de conformidad con los apartados 1 y 2, respectivamente, contra el acceso no autorizado y otros riesgos para la seguridad.
5. La autoridad nacional de supervisión de API a que se refiere el artículo 36 y las autoridades fronterizas competentes tendrán acceso a los registros pertinentes a que se refiere el apartado 1 del presente artículo cuando sea necesario para los fines a que se refiere el apartado 3 del presente artículo.
6. Las compañías aéreas y eu-LISA conservarán los registros que hayan creado de conformidad con los apartados 1 y 2, respectivamente, durante un período de un año a partir del momento de la creación de dichos registros. Suprimirán inmediata y permanentemente dichos registros una vez expirado dicho plazo.
No obstante, si dichos registros son necesarios para procedimientos destinados a supervisar o garantizar la seguridad e integridad de los datos API o la licitud de las operaciones de tratamiento a que se refiere el apartado 3, y esos procedimientos ya han comenzado en el momento de la expiración del plazo a que se refiere el párrafo primero del presente apartado, eu-LISA y las compañías aéreas conservarán dichos registros durante el tiempo que sea necesario para dichos procedimientos. En tal caso, suprimirán inmediatamente esos registros cuando ya no sean necesarios para dichos procedimientos.
Responsabilidades en materia de protección de datos
1. Las compañías aéreas serán responsables, en el sentido del artículo 4, punto 7, del Reglamento (UE) 2016/679, del tratamiento de los datos API que constituyan datos personales en relación con la recogida de dichos datos y su transferencia al enrutador en virtud del presente Reglamento.
2. Cada Estado miembro designará una autoridad competente como responsable del tratamiento de conformidad con el presente artículo. Los Estados miembros notificarán dichas autoridades a la Comisión, a eu-LISA y a los demás Estados miembros.
Todas las autoridades competentes designadas por los Estados miembros serán corresponsables del tratamiento de conformidad con el artículo 26 del Reglamento (UE) 2016/679 a efectos del tratamiento de datos personales en el enrutador.
3. eu-LISA será una encargada del tratamiento en el sentido del artículo 3, punto 12, del Reglamento (UE) 2018/1725, a efectos del tratamiento de datos API que constituyan datos personales con arreglo al presente Reglamento a través del enrutador, incluida la transmisión de los datos del enrutador a las autoridades fronterizas competentes y la conservación por razones técnicas de esos datos en el enrutador. eu-LISA se asegurará de que el enrutador se opere de conformidad con el presente Reglamento.
4. La Comisión adoptará actos de ejecución por los que se establezcan las responsabilidades respectivas de los corresponsables del tratamiento y las obligaciones respectivas entre los corresponsables del tratamiento y la encargada del tratamiento. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 43, apartado 2.
Información a los pasajeros
De conformidad con el artículo 13 del Reglamento (UE) 2016/679, las compañías aéreas deben proporcionar a los pasajeros, en los vuelos regulados por el presente Reglamento, información sobre la finalidad de la recogida de sus datos personales, el tipo de datos personales recogidos, los destinatarios de los datos personales y los medios para ejercer sus derechos como interesados.
Esa información se comunicará a los pasajeros por escrito y en un formato fácilmente accesible en el momento de la reserva y en el momento de la facturación, con independencia de los medios utilizados para recoger los datos personales en el momento de la facturación de conformidad con el artículo 5.
Seguridad
1. eu-LISA garantizará la seguridad y el cifrado de los datos API, en particular los datos API que constituyan datos personales, que trate con arreglo al presente Reglamento. Las autoridades fronterizas competentes y las compañías aéreas garantizarán la seguridad de los datos API, en particular los datos API que constituyan datos personales, que traten con arreglo al presente Reglamento. eu-LISA, las autoridades fronterizas competentes y las compañías aéreas cooperarán entre sí, de conformidad con sus responsabilidades respectivas y de conformidad con el Derecho de la Unión, para garantizar dicha seguridad.
2. eu-LISA tomará las medidas necesarias para garantizar la seguridad del enrutador y de los datos API, en particular los datos API que constituyan datos personales, transmitidos a través del enrutador, también estableciendo, aplicando y actualizando periódicamente un plan de seguridad, un plan de continuidad de las actividades y un plan de recuperación en caso de catástrofe, a fin de:
a) proteger físicamente el enrutador, por ejemplo mediante la elaboración de planes de contingencia para la protección de sus componentes críticos;
b) impedir todo tratamiento no autorizado de los datos API, incluido el acceso no autorizado a los mismos y su copia, modificación o supresión, tanto durante la transferencia de los datos API hacia y desde el enrutador como durante la conservación de los datos API en el enrutador cuando sea necesario para completar la transmisión, en particular mediante técnicas adecuadas de cifrado;
c) garantizar que las personas autorizadas a acceder al enrutador solo tengan acceso a los datos previstos en su autorización de acceso;
d) garantizar que sea posible verificar y determinar a qué autoridades fronterizas competentes se transmiten los datos API a través del enrutador;
e) informar adecuadamente a su Consejo de Administración de cualquier fallo en el funcionamiento del enrutador;
f) supervisar la eficacia de las medidas de seguridad exigidas en virtud del presente artículo y del Reglamento (UE) 2018/1725, y evaluar y actualizar dichas medidas de seguridad cuando sea necesario a la luz de los avances tecnológicos u operativos.
Las medidas a que se refiere el párrafo primero del presente apartado no afectarán al artículo 32 del Reglamento (UE) 2016/679 ni al artículo 33 del Reglamento (UE) 2018/1725.
Autocontrol
Las compañías aéreas y las autoridades fronterizas competentes supervisarán el cumplimiento de sus respectivas obligaciones en virtud del presente Reglamento, en particular en lo que respecta al tratamiento por su parte de los datos API que constituyan datos personales. En el caso de las compañías aéreas, la supervisión incluirá la verificación frecuente de los registros a que se refiere el artículo 17, apartado 1.
Auditorías sobre la protección de datos personales
1. Las autoridades de control independientes a que se refiere el artículo 51 del Reglamento (UE) 2016/679 efectuarán, al menos una vez cada cuatro años, una auditoría de las operaciones de tratamiento de los datos API que constituyan datos personales realizadas por las autoridades fronterizas competentes a efectos del presente Reglamento. Los Estados miembros garantizarán que sus autoridades de control independientes dispongan de medios y conocimientos técnicos suficientes para desempeñar las tareas que les encomienda el presente Reglamento.
2. El Supervisor Europeo de Protección de Datos, al menos una vez al año, efectuará una auditoría de las operaciones de tratamiento de los datos API que constituyan datos personales realizadas por eu-LISA a efectos del presente Reglamento, de conformidad con las normas internacionales de auditoría pertinentes. Se enviará un informe de la auditoría al Parlamento Europeo, al Consejo, a la Comisión, a los Estados miembros y a eu-LISA. Se brindará a eu-LISA la oportunidad de formular observaciones antes de la adopción de los informes.
3. En relación con las operaciones de tratamiento a que se refiere el apartado 2 del presente artículo, eu-LISA, previa petición, proporcionará al Supervisor Europeo de Protección de Datos la información que le solicite, le dará acceso a todos los documentos que le solicite y a los registros a que se refiere el artículo 17, apartado 2, y le permitirá acceder a los locales de eu-LISA en todo momento.
Conexiones de las autoridades fronterizas competentes con el enrutador
1. Los Estados miembros se asegurarán de que sus autoridades fronterizas competentes estén conectadas con el enrutador. Garantizarán que los sistemas e infraestructuras de las autoridades fronterizas competentes para la recepción y posterior tratamiento de los datos API transferidos con arreglo al presente Reglamento estén integrados en el enrutador.
Los Estados miembros se asegurarán de que la conexión con el enrutador y la integración en él permitan a sus autoridades fronterizas competentes recibir y seguir tratando los datos API, así como intercambiar cualquier comunicación relacionada con ellos, de manera lícita, segura, eficaz y rápida.
2. La Comisión adoptará actos de ejecución por los que se especifiquen las normas detalladas necesarias sobre las conexiones con el enrutador y la integración en él a que se refiere el apartado 1 del presente artículo, también en lo relativo a los requisitos de seguridad de los datos. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 43, apartado 2.
Conexiones de las compañías aéreas con el enrutador
1. Las compañías aéreas se asegurarán de estar conectadas con el enrutador. Garantizarán que sus sistemas e infraestructuras para la transferencia de los datos API al enrutador con arreglo al presente Reglamento estén integrados en el enrutador.
Las compañías aéreas se asegurarán de que la conexión con el enrutador y la integración en él les permitan transferir los datos API, así como intercambiar cualquier comunicación relacionada con ellos, de manera lícita, segura, eficaz y rápida. A tal fin, las compañías aéreas realizarán ensayos de la transferencia de datos API al enrutador en cooperación con eu-LISA de conformidad con el artículo 27, apartado 3.
2. La Comisión adoptará actos de ejecución por los que se especifiquen las normas detalladas necesarias sobre las conexiones con el enrutador y la integración en él a que se refiere el apartado 1 del presente artículo, también en lo relativo a los requisitos de seguridad de los datos. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 43, apartado 2.
Funciones de eu-LISA relacionadas con el diseño y el desarrollo del enrutador
1. eu-LISA será responsable del diseño de la arquitectura física del enrutador, incluida la determinación de sus especificaciones técnicas.
2. eu-LISA será responsable del desarrollo del enrutador, incluidas las adaptaciones técnicas necesarias para el funcionamiento del enrutador.
El desarrollo del enrutador consistirá en la elaboración y aplicación de las especificaciones técnicas, los ensayos y la gestión global del proyecto, y la coordinación de la fase de desarrollo.
3. eu-LISA se asegurará de que el enrutador esté diseñado y desarrollado de tal manera que proporcione las funcionalidades especificadas en el presente Reglamento, y de que el enrutador entre en funcionamiento lo antes posible tras la adopción por la Comisión de los actos de ejecución y delegados contemplados en el artículo 5, apartado 7, el artículo 6, apartado 3, el artículo 9, apartado 6, el artículo 23, apartado 2, y el artículo 24, apartado 2, del presente Reglamento y tras haber realizado la evaluación de impacto relativa a la protección de datos de conformidad con el artículo 35 del Reglamento (UE) 2016/679.
4. eu-LISA proporcionará a las autoridades fronterizas competentes, a otras autoridades pertinentes de los Estados miembros y a las compañías aéreas un conjunto de ensayos de conformidad. El conjunto de ensayos de conformidad incluirá un entorno de ensayos, un simulador, conjuntos de datos de ensayos y un plan de ensayos. El conjunto de ensayos de conformidad permitirá el ensayo exhaustivo del enrutador a que se refiere el apartado 5, y seguirá estando disponible una vez finalizado dicho ensayo.
5. Cuando eu-LISA considere que se ha completado la fase de desarrollo, efectuará, sin demora indebida, un ensayo exhaustivo del enrutador en cooperación con las autoridades fronterizas competentes y otras autoridades pertinentes de los Estados miembros, y las compañías aéreas, e informará a la Comisión del resultado de dicho ensayo.
Funciones de eu-LISA relacionadas con el alojamiento y la gestión técnica del enrutador
1. eu-LISA alojará el enrutador en sus emplazamientos técnicos.
2. eu-LISA será responsable de la gestión técnica del enrutador, incluidos su mantenimiento y sus avances técnicos, de tal manera que se garantice que los datos API se transmitan de forma segura, eficaz y rápida a través del enrutador, de conformidad con el presente Reglamento.
La gestión técnica del enrutador consistirá en desempeñar todas las funciones y adoptar todas las soluciones técnicas necesarias para el correcto funcionamiento del enrutador de conformidad con el presente Reglamento, de manera ininterrumpida, todos los días del año y las veinticuatro horas del día. Incluirá el trabajo de mantenimiento y los avances técnicos necesarios para garantizar que el enrutador funcione con un nivel satisfactorio de calidad técnica, en particular en lo que se refiere a la disponibilidad, exactitud y fiabilidad de la transmisión de los datos API, de conformidad con las especificaciones técnicas y, en la medida de lo posible, en consonancia con las necesidades operativas de las autoridades fronterizas competentes y las compañías aéreas.
3. El personal de eu-LISA no tendrá acceso a ninguno de los datos API que se transmitan a través del enrutador. No obstante, esa prohibición no impedirá que el personal de eu-LISA disponga de tal acceso en la medida en que sea estrictamente necesario para el mantenimiento y la gestión técnica del enrutador.
4. Sin perjuicio de lo dispuesto en el apartado 3 del presente artículo y en el artículo 17 del Estatuto de los funcionarios de la Unión Europea, establecido por el Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo (28), eu-LISA aplicará al personal a su cargo que deba trabajar con los datos API transmitidos a través del enrutador normas adecuadas de secreto profesional u otras obligaciones equivalentes de confidencialidad. Esta obligación seguirá siendo aplicable después de que dichos miembros del personal hayan cesado en el cargo o el empleo, o tras la terminación de sus actividades.
Funciones de apoyo de eu-LISA relacionadas con el enrutador
1. eu-LISA impartirá formación sobre el uso técnico del enrutador y sobre la conexión e integración con este de las autoridades fronterizas competentes, de otras autoridades pertinentes de los Estados miembros y de las compañías aéreas que lo soliciten.
2. eu-LISA prestará apoyo a las autoridades fronterizas competentes en relación con la recepción de datos API a través del enrutador con arreglo al presente Reglamento, en particular en lo que respecta a la aplicación de los artículos 14 y 23.
3. De conformidad con el artículo 24, apartado 1, y haciendo uso del conjunto de ensayos de conformidad a que se refiere el artículo 25, apartado 4, eu-LISA efectuará ensayos de la transferencia de datos API al enrutador, en cooperación con las compañías aéreas.
Consejo de Administración del Programa
1. A más tardar el 28 de enero de 2025, el Consejo de Administración de eu-LISA creará el Consejo de Administración del Programa. Estará compuesto por diez miembros, a saber:
a) siete miembros nombrados por el Consejo de Administración de eu-LISA de entre sus miembros o suplentes;
b) la persona que ostente la presidencia del grupo consultivo API-PNR a que se refiere el artículo 29;
c) un miembro del personal de eu-LISA nombrado por su director ejecutivo, y
d) un miembro nombrado por la Comisión.
Por lo que se refiere a la letra a), los miembros nombrados por el Consejo de Administración de eu-LISA solo serán elegidos de entre sus miembros o suplentes de los Estados miembros a los que se aplique el presente Reglamento.
2. El Consejo de Administración del Programa elaborará su reglamento interno, que será aprobado por el Consejo de Administración de eu-LISA.
La presidencia será ejercida por un Estado miembro que sea miembro del Consejo de Administración del Programa.
3. El Consejo de Administración del Programa supervisará el cumplimiento efectivo de las funciones de eu-LISA relacionadas con el diseño y el desarrollo del enrutador de conformidad con el artículo 25.
A petición del Consejo de Administración del Programa, eu-LISA proporcionará información pormenorizada y actualizada sobre el diseño y el desarrollo del enrutador, incluidos los recursos asignados por eu-LISA.
4. El Consejo de Administración del Programa presentará periódicamente, y al menos tres veces por trimestre, informes escritos sobre los avances en el diseño y el desarrollo del enrutador al Consejo de Administración de eu-LISA.
5. El Consejo de Administración del Programa no tendrá competencias para adoptar decisiones ni mandato alguno de representación del Consejo de Administración de eu-LISA o de sus miembros.
6. El Consejo de Administración del Programa dejará de existir en la fecha de aplicación del presente Reglamento a que se refiere el artículo 46, párrafo segundo.
Grupo consultivo API-PNR
1. A partir del 28 de enero de 2025, el grupo consultivo API-PNR, creado en virtud del artículo 27, apartado 1, letra d sexies), del Reglamento (UE) 2018/1726, proporcionará al Consejo de Administración de eu-LISA los conocimientos especializados necesarios sobre API-PNR, en particular en el contexto de la preparación de su programa de trabajo anual y su informe anual de actividades.
2. Siempre que estén disponibles, eu-LISA proporcionará al grupo consultivo API-PNR versiones, incluso intermedias, de las especificaciones técnicas y los conjuntos de ensayos de conformidad a que se refiere el artículo 25, apartados 1, 2 y 4.
3. El grupo consultivo API-PNR ejercerá las funciones siguientes:
a) proporcionará a eu-LISA y al Consejo de Administración del Programa conocimientos especializados sobre el diseño y el desarrollo del enrutador, de conformidad con el artículo 25;
b) proporcionará a eu-LISA conocimientos especializados sobre el alojamiento y la gestión técnica del enrutador de conformidad con el artículo 26;
c) proporcionará al Consejo de Administración del Programa, a petición de este, su dictamen sobre los avances en el diseño y el desarrollo del enrutador, incluidos los avances de las especificaciones técnicas y los conjuntos de ensayos de conformidad a que se refiere el apartado 2.
4. El grupo consultivo API-PNR no tendrá competencias para adoptar decisiones ni mandato alguno de representación del Consejo de Administración de eu-LISA o de sus miembros.
Grupo de contacto API-PNR
1. A más tardar en la fecha de aplicación del presente Reglamento a que se refiere el artículo 46, párrafo segundo, el Consejo de Administración de eu-LISA creará un grupo de contacto API-PNR.
2. El grupo de contacto API-PNR permitirá la comunicación entre las autoridades competentes de los Estados miembros y las compañías aéreas sobre cuestiones técnicas relacionadas con sus respectivas funciones y obligaciones en virtud del presente Reglamento.
3. El grupo de contacto API-PNR estará compuesto por representantes de las autoridades competentes de los Estados miembros y de las compañías aéreas, la persona que ostente la presidencia del grupo consultivo API-PNR y expertos de eu-LISA.
4. El Consejo de Administración de eu-LISA establecerá el reglamento interno del grupo de contacto API-PNR, previo dictamen del grupo consultivo API-PNR.
5. Cuando se considere necesario, el Consejo de Administración de eu-LISA también podrá crear subgrupos del grupo de contacto API-PNR para debatir cuestiones técnicas específicas relacionadas con las respectivas funciones y obligaciones de las autoridades competentes de los Estados miembros y de las compañías aéreas en virtud del presente Reglamento.
6. El grupo de contacto API-PNR, así como sus subgrupos, no tendrán competencias para adoptar decisiones ni mandato alguno de representación del Consejo de Administración de eu-LISA o de sus miembros.
Grupo de expertos API
1. A más tardar en la fecha de aplicación del presente Reglamento a que se refiere el artículo 46, párrafo segundo, la Comisión creará un grupo de expertos API de conformidad con las normas horizontales sobre la creación y el funcionamiento de los grupos de expertos de la Comisión.
2. El grupo de expertos API hará posible la comunicación entre las autoridades competentes de los Estados miembros y entre estas autoridades y las compañías aéreas sobre cuestiones políticas relacionadas con sus respectivas funciones y obligaciones en virtud del presente Reglamento, también en relación con las sanciones a que se refiere el artículo 37.
3. El grupo de expertos API estará presidido por la Comisión y se constituirá de conformidad con las normas horizontales sobre la creación y funcionamiento de los grupos de expertos de la Comisión. Estará compuesto por representantes de las autoridades competentes de los Estados miembros, representantes de las compañías aéreas y expertos de eu-LISA. Cuando proceda para el desempeño de sus tareas, el grupo de expertos API podrá invitar a las partes interesadas pertinentes, y en particular, a representantes del Parlamento Europeo, del Supervisor Europeo de Protección de Datos y de las autoridades nacionales de supervisión independientes, a participar en sus trabajos.
4. El grupo de expertos API desempeñará sus funciones de conformidad con el principio de transparencia. La Comisión publicará las actas de las reuniones del grupo de expertos API y otros documentos pertinentes en el sitio web de la Comisión.
Costes incurridos por eu-LISA, el Supervisor Europeo de Protección de Datos, las autoridades nacionales de supervisión y los Estados miembros
1. Los costes en que incurra eu-LISA en relación con el establecimiento y el funcionamiento del enrutador en virtud del presente Reglamento se sufragarán con cargo al presupuesto general de la Unión.
2. Los costes en que incurran los Estados miembros en relación con la aplicación del presente Reglamento, en particular su conexión con el enrutador y la integración en él a que se refiere el artículo 23, serán financiados con cargo al presupuesto general de la Unión, de conformidad con las normas de subvencionabilidad y los porcentajes de cofinanciación establecidos en los actos jurídicos de la Unión aplicables.
3. Los costes en que incurra el Supervisor Europeo de Protección de Datos en relación con las funciones que se le encomienden con arreglo al presente Reglamento se sufragarán con cargo al presupuesto general de la Unión.
4. Los costes en que incurran las autoridades nacionales de supervisión independientes en relación con las funciones que se les encomienden con arreglo al presente Reglamento serán sufragados por los Estados miembros.
Responsabilidad relativa al enrutador
Si un incumplimiento por parte de un Estado miembro o de una compañía aérea de las obligaciones que les impone el presente Reglamento causa daños al enrutador, dicho Estado miembro o dicha compañía aérea serán considerados responsables de dichos daños, tal y como se establezca en el Derecho de la Unión o el nacional aplicable, a no ser que se demuestre que eu-LISA, otro Estado miembro u otra compañía aérea no tomó medidas razonables para impedir que se produjeran dichos daños o para atenuar sus efectos.
Entrada en funcionamiento del enrutador
La Comisión determinará, sin demora indebida, la fecha de entrada en funcionamiento del enrutador mediante un acto de ejecución, una vez que eu-LISA haya informado a la Comisión de que se ha completado satisfactoriamente el ensayo exhaustivo del enrutador a que se refiere el artículo 25, apartado 5. Dicho acto de ejecución se adoptará de conformidad con el procedimiento de examen contemplado en el artículo 43, apartado 2.
La Comisión establecerá que la fecha a que se refiere el párrafo primero no sea posterior a los treinta días siguientes a la fecha de adopción del acto de ejecución.
Uso voluntario del enrutador en aplicación de la Directiva 2004/82/CE
1. Las compañías aéreas tendrán derecho a usar el enrutador para transmitir la información a que se refiere el artículo 3, apartados 1 y 2, de la Directiva 2004/82/CE a una o varias de las autoridades responsables mencionadas en él, de conformidad con dicha Directiva, siempre que el Estado miembro interesado haya accedido a dicho uso, a partir de una fecha adecuada fijada por dicho Estado miembro. Dicho Estado miembro solo accederá tras haber establecido que, en particular por lo que respecta a la conexión de sus propias autoridades responsables con el enrutador y a la de la compañía aérea de que se trate, la información pueda transmitirse de manera lícita, segura, eficaz y rápida.
2. Cuando una compañía aérea empiece a usar el enrutador de conformidad con el apartado 1 del presente artículo, seguirá usándolo para transmitir tal información a las autoridades responsables del Estado miembro de que se trate hasta la fecha de aplicación del presente Reglamento a que se refiere el artículo 46, párrafo segundo. No obstante, dicho uso se interrumpirá, a partir de una fecha adecuada fijada por tal Estado miembro, cuando ese Estado miembro considere que existen razones objetivas que lo exigen y haya informado de ello a la compañía aérea.
3. El Estado miembro de que se trate:
a) consultará a eu-LISA antes de acceder al uso voluntario del enrutador de conformidad con el apartado 1;
b) excepto en situaciones de urgencia debidamente justificadas, ofrecerá a la compañía aérea de que se trate la oportunidad de formular observaciones sobre su intención de interrumpir tal uso de conformidad con el apartado 2 y, en su caso, consultará también a eu-LISA al respecto;
c) informará inmediatamente a eu-LISA y a la Comisión de tal uso al que haya accedido y de cualquier interrupción de dicho uso, aportando toda la información necesaria, incluida la fecha de inicio del uso, la fecha de la interrupción y los motivos de la interrupción, según proceda.
Autoridad nacional de supervisión de API
1. Los Estados miembros designarán una o varias autoridades nacionales de supervisión de API responsables de supervisar la aplicación en su territorio por parte de las compañías aéreas de las disposiciones del presente Reglamento y de garantizar el cumplimiento de dichas disposiciones.
2. Los Estados miembros se asegurarán de que las autoridades nacionales de supervisión de API dispongan de todos los medios necesarios y todas las competencias de investigación y ejecución necesarias que se requieran en el desempeño de sus funciones con arreglo al presente Reglamento, incluso mediante la imposición, en su caso, de las sanciones a que se refiere el artículo 37. Los Estados miembros se asegurarán de que el ejercicio de las competencias conferidas a la autoridad nacional de supervisión API esté sometido a garantías adecuadas de conformidad con los derechos fundamentales garantizados por el Derecho de la Unión.
3. A más tardar en la fecha de aplicación del presente Reglamento a que se refiere el artículo 46, párrafo segundo, los Estados miembros notificarán a la Comisión el nombre y los datos de contacto de las autoridades que hayan designado con arreglo al apartado 1 del presente artículo. Notificarán a la Comisión sin demora cualquier variación o modificación ulterior al respecto.
4. El presente artículo se entiende sin perjuicio de las competencias de las autoridades de control a que hace referencia el artículo 51 del Reglamento (UE) 2016/679.
Sanciones
1. Los Estados miembros establecerán el régimen de sanciones aplicables a cualquier infracción del presente Reglamento y adoptarán todas las medidas necesarias para garantizar su ejecución. Tales sanciones serán efectivas, proporcionadas y disuasorias.
2. Los Estados miembros comunicarán a la Comisión el régimen establecido y las medidas adoptadas, a más tardar en la fecha de aplicación del presente Reglamento a que hace referencia el artículo 46, párrafo segundo, y le notificarán sin demora toda modificación posterior.
3. Los Estados miembros se asegurarán de que las autoridades nacionales de supervisión de API, al decidir si se imponen sanciones y al determinar el tipo y el grado de las sanciones, tengan en cuenta las circunstancias pertinentes, que pueden ser:
a) la naturaleza, la gravedad y la duración de la infracción;
b) el grado de responsabilidad de la compañía aérea;
c) las infracciones anteriores de la compañía aérea;
d) el nivel general de cooperación de la compañía aérea con las autoridades competentes;
e) el tamaño de la compañía aérea, determinado, por ejemplo, mediante el número anual de pasajeros transportados;
f) la aplicación de sanciones previas a la misma compañía aérea por la misma infracción por parte de otras autoridades nacionales de supervisión de API.
4. Los Estados miembros garantizarán que la falta persistente de transferencia de datos API de conformidad con el artículo 6, apartado 1, sea objeto de sanciones económicas proporcionadas de hasta el 2 % del volumen de negocios mundial de la compañía aérea en el ejercicio precedente. Los Estados miembros se asegurarán de que en caso de incumplimiento de otras obligaciones establecidas en el presente Reglamento se impongan sanciones proporcionadas, incluidas sanciones económicas.
Estadísticas
1. Con miras a apoyar la aplicación y supervisión de la aplicación del presente Reglamento, y sobre la base de la información estadística a que se refiere el apartado 5, eu-LISA publicará trimestralmente estadísticas sobre el funcionamiento del enrutador y sobre el cumplimiento por parte de las compañías aéreas de las obligaciones establecidas en el presente Reglamento. Esas estadísticas no permitirán la identificación de personas.
2. A los efectos establecidos en el apartado 1, el enrutador transmitirá automáticamente los datos enumerados en el apartado 5 al RCIE.
3. Con miras a apoyar la aplicación y supervisión de la aplicación del presente Reglamento, eu-LISA compilará cada año los datos estadísticos en un informe anual correspondiente al año anterior. Publicará dicho informe anual y lo transmitirá al Parlamento Europeo, al Consejo, a la Comisión, al Supervisor Europeo de Protección de Datos, a la Agencia Europea de la Guardia de Fronteras y Costas y a las autoridades nacionales de supervisión de API a que se refiere el artículo 36. El informe anual no revelará métodos de trabajo confidenciales ni pondrá en riesgo las investigaciones en curso de las autoridades competentes de los Estados miembros.
4. A petición de la Comisión, eu-LISA le proporcionará estadísticas sobre aspectos específicos relacionados con la aplicación del presente Reglamento, así como las estadísticas con arreglo al apartado 3.
5. El RCIE proporcionará a eu-LISA las estadísticas siguientes necesarias para la notificación a que se refiere el artículo 45 y para generar estadísticas de conformidad con el presente artículo, sin que dichas estadísticas relativas a datos API permitan la identificación de los pasajeros de que se trate:
a) la nacionalidad, el sexo y el año de nacimiento del pasajero;
b) la fecha y el punto de embarque inicial, la fecha y el aeropuerto de salida, y la fecha y el aeropuerto de llegada;
c) el tipo de documento de viaje, el código de tres letras del país de expedición y la fecha de caducidad del documento de viaje;
d) el número de pasajeros que facturaron para el mismo vuelo;
e) el código de la compañía aérea que opera el vuelo;
f) si se trata de un vuelo programado o no programado;
g) si los datos API se transfirieron inmediatamente después del cierre del vuelo;
h) si los datos personales del pasajero son exactos y completos y están actualizados;
i) los medios técnicos utilizados para recoger los datos API.
6. A efectos de los informes a que se refiere el artículo 45 y para generar estadísticas de conformidad con el presente artículo, eu-LISA conservará los datos a que se refiere el apartado 5 del presente artículo en el RCIE. Conservará tales datos durante un plazo de cinco años, de conformidad con el apartado 2, sin que los datos permitan la identificación de los pasajeros de que se trate. El RCIE proporcionará al personal debidamente autorizado de las autoridades fronterizas competentes y a otras autoridades pertinentes de los Estados miembros informes y estadísticas personalizables sobre los datos API a que se refiere el apartado 5 del presente artículo, para la aplicación y supervisión de la aplicación del presente Reglamento.
7. La utilización de los datos a que se refiere el apartado 5 del presente artículo no conducirá a la elaboración de perfiles de personas a que se refiere el artículo 22 del Reglamento (UE) 2016/679 ni a la discriminación de personas por las razones enumeradas en el artículo 21 de la Carta. Los datos a que se refiere el apartado 5 del presente artículo no se utilizarán para compararlos o cotejarlos con datos personales ni para combinarlos con datos personales.
8. Los procedimientos puestos en práctica por eu-LISA para supervisar el desarrollo y el funcionamiento del enrutador a que hace referencia el artículo 39, apartado 2, del Reglamento (UE) 2019/817 incluirán la posibilidad de producir estadísticas periódicas para garantizar dicha supervisión.
Manual práctico
La Comisión, en estrecha cooperación con las autoridades competentes y otras autoridades pertinentes de los Estados miembros, las compañías aéreas y los órganos y las agencias pertinentes de la Unión, elaborará y pondrá a disposición del público un manual práctico que contenga las directrices, recomendaciones y mejores prácticas para la aplicación del presente Reglamento, también en lo que atañe al respeto de los derechos fundamentales y a las sanciones de conformidad con el artículo 37.
El manual práctico tendrá en cuenta otros manuales pertinentes.
La Comisión adoptará el manual práctico en forma de recomendación.
Derogación de la Directiva 2004/82/CE
Queda derogada la Directiva 2004/82/CE a partir de la fecha de aplicación del presente Reglamento, a que hace referencia el artículo 46, párrafo segundo.
Modificaciones del Reglamento (UE) 2018/1726
El Reglamento (UE) 2018/1726 se modifica como sigue:
1) Se inserta el artículo siguiente:
«Artículo 13 bis
Funciones relacionadas con el enrutador
En relación con los Reglamentos (UE) 2025/12 (*1) y (UE) 2025/13 (*2) del Parlamento Europeo y del Consejo, la Agencia desempeñará las funciones relacionadas con el enrutador que le confieren dichos Reglamentos.
(*1) Reglamento (UE) 2025/12 del Parlamento Europeo y del Consejo, de 19 de diciembre de 2024, relativo a la recogida y la transferencia de información anticipada sobre los pasajeros para reforzar y facilitar las inspecciones en las fronteras exteriores, por el que se modifican los Reglamentos (UE) 2018/1726 y (UE) 2019/817 y se deroga la Directiva 2004/82/CE del Consejo (DO L, 2025/12, 8.1.2025, ELI: http://data.europa.eu/eli/reg/2025/12/oj)."
(*2) Reglamento (UE) 2025/13 del Parlamento Europeo y del Consejo, de 19 de diciembre de 2024, relativo a la recogida y la transferencia de información anticipada sobre los pasajeros para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de los delitos graves, y por el que se modifica el Reglamento (UE) 2019/818 (DO L, 2025/13, 8.1.2025, ELI: http://data.europa.eu/eli/reg/2025/13/oj).»."
2) En el artículo 17, el apartado 3 se sustituye por el texto siguiente:
«3. La sede de la Agencia será Tallin (Estonia).
Las funciones relacionadas con el desarrollo y la gestión operativa mencionados en el artículo 1, apartados 4 y 5, en los artículos 3 a 9 y en los artículos 11 y 13 bis se realizarán en el emplazamiento técnico de Estrasburgo (Francia).
Se instalará en Sankt Johann im Pongau (Austria) un emplazamiento de reserva de continuidad capaz de garantizar el funcionamiento de un sistema informático de gran magnitud en caso de fallo de ese tipo de sistema.».
3) En el artículo 19, el apartado 1 se modifica como sigue:
a) se inserta la letra siguiente:
«ee quater) aprobará los informes sobre el estado de desarrollo del enrutador de conformidad con el artículo 45, apartado 2, del Reglamento (UE) 2025/12;»;
b) en la letra ff), el inciso vi) se sustituye por el texto siguiente:
«vi) los componentes de interoperabilidad con arreglo al artículo 78, apartado 3, del Reglamento (UE) 2019/817 y al artículo 74, apartado 3, del Reglamento (UE) 2019/818, y del enrutador con arreglo al artículo 80, apartado 5, del Reglamento (UE) 2024/982 y al artículo 45, apartado 5, del Reglamento (UE) 2025/12,»
c) la letra hh) se sustituye por el texto siguiente:
«hh) aprobará observaciones formales sobre los informes de auditoría del Supervisor Europeo de Protección de Datos con arreglo al artículo 56, apartado 2, del Reglamento (UE) 2018/1861; al artículo 42, apartado 2, del Reglamento (CE) n.o 767/2008; al artículo 31, apartado 2, del Reglamento (UE) n.o 603/2013; al artículo 56, apartado 2, del Reglamento (UE) 2017/2226; al artículo 67 del Reglamento (UE) 2018/1240; al artículo 29, apartado 2, del Reglamento (UE) 2019/816; al artículo 52 del Reglamento (UE) 2019/817, el artículo 52 del Reglamento (UE) 2019/818 y al artículo 58, apartado 1, del Reglamento (UE) 2024/982, y al artículo 22, apartado 3, del Reglamento (UE) 2025/12, y garantizará el seguimiento adecuado de dichas auditorías;».
4) En el artículo 27, apartado 1, se inserta la letra siguiente:
«d sexies) el grupo consultivo API-PNR.».
Modificaciones del Reglamento (UE) 2019/817
En el artículo 39 del Reglamento (UE) 2019/817, los apartados 1 y 2 se sustituyen por el texto siguiente:
«1. Se crea un repositorio central para la presentación de informes y estadísticas (RCIE) con el fin de apoyar los objetivos del SES, el VIS, el SEIAV y el SIS, de conformidad con los respectivos instrumentos jurídicos que rigen dichos sistemas, y de proporcionar datos estadísticos transversales entre sistemas e informes analíticos con fines operativos, de formulación de políticas y de calidad de los datos. El RCIE apoyará, asimismo, los objetivos del Reglamento (UE) 2025/12 del Parlamento Europeo y del Consejo (*3).
2. eu-LISA establecerá, implementará y alojará en sus sitios técnicos el RCIE que contenga los datos y estadísticas a que se hace referencia en el artículo 63 del Reglamento (UE) 2017/2226, el artículo 17 del Reglamento (CE) n.o 767/2008, el artículo 84 del Reglamento (UE) 2018/1240, el artículo 60 del Reglamento (UE) 2018/1861 y el artículo 16 del Reglamento (UE) 2018/1860, separados de forma lógica por el sistema de información de la UE. eu-LISA recogerá también los datos y estadísticas del enrutador a que se hace referencia en el artículo 38, apartado 1, del Reglamento (UE) 2025/12. Las autoridades a las que se refieren el artículo 63 del Reglamento (UE) 2017/2226, el artículo 17 del Reglamento (CE) n.o 767/2008, el artículo 84 del Reglamento (UE) 2018/1240, el artículo 60 del Reglamento (UE) 2018/1861 y el artículo 45, apartado 2, del Reglamento (UE) 2025/12 tendrán acceso al RCIE por medio de un acceso controlado y seguro y perfiles de usuario específicos, a efectos únicamente de la elaboración de informes y estadísticas.
Procedimiento de comité
1. La Comisión estará asistida por un comité. Dicho comité será un comité en el sentido del Reglamento (UE) n.o 182/2011.
2. En los casos en que se haga referencia al presente apartado, se aplicará el artículo 5 del Reglamento (UE) n.o 182/2011. Cuando el comité no emita ningún dictamen, la Comisión no adoptará el proyecto de acto de ejecución y se aplicará el artículo 5, apartado 4, párrafo tercero, del Reglamento (UE) n.o 182/2011.
Ejercicio de la delegación
1. Se otorgan a la Comisión los poderes para adoptar actos delegados en las condiciones establecidas en el presente artículo.
2. Los poderes para adoptar los actos delegados mencionados en el artículo 5, apartados 6 y 7, el artículo 6, apartado 3, y el artículo 9, apartado 6, se otorgan a la Comisión por un período de cinco años a partir del 28 de enero de 2025. La Comisión elaborará un informe sobre la delegación de poderes a más tardar nueve meses antes de que finalice el período de cinco años. La delegación de poderes se prorrogará tácitamente por períodos de idéntica duración, excepto si el Parlamento Europeo o el Consejo se oponen a dicha prórroga a más tardar tres meses antes del final de cada período.
Por lo que respecta a los actos delegados adoptados en virtud del artículo 5, apartado 6, si el Parlamento Europeo o el Consejo formulan objeciones en virtud del apartado 6 del presente artículo, no se opondrán a la prórroga tácita a que se refiere el párrafo primero del presente apartado.
3. La delegación de poderes mencionada en el artículo 5, apartado 7, el artículo 6, apartado 3, y el artículo 9, apartado 6, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. La decisión surtirá efecto el día siguiente al de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en ella. No afectará a la validez de los actos delegados que ya estén en vigor.
4. Antes de la adopción de un acto delegado, la Comisión consultará a los expertos designados por cada Estado miembro de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación.
5. Tan pronto como la Comisión adopte un acto delegado lo notificará simultáneamente al Parlamento Europeo y al Consejo.
6. Los actos delegados adoptados en virtud del artículo 5, apartados 6 o 7, el artículo 6, apartado 3, o el artículo 9, apartado 6, entrarán en vigor únicamente si, en un plazo de dos meses a partir de su notificación al Parlamento Europeo y al Consejo, ninguna de estas instituciones formula objeciones o si, antes del vencimiento de dicho plazo, ambas informan a la Comisión de que no las formularán. El plazo se prorrogará dos meses a iniciativa del Parlamento Europeo o del Consejo.
Supervisión y evaluación
1. eu-LISA se asegurará de que se establezcan procedimientos para supervisar el desarrollo del enrutador a la luz de los objetivos en materia de planificación y costes, y para supervisar el funcionamiento del enrutador a la luz de los objetivos en materia de resultados técnicos, rentabilidad, seguridad y calidad del servicio.
2. A más tardar el 29 de enero de 2026, y posteriormente cada año durante la fase de desarrollo del enrutador, eu-LISA elaborará un informe sobre el estado de desarrollo del enrutador y lo presentará al Parlamento Europeo y al Consejo. El informe contendrá información pormenorizada sobre los costes en que se haya incurrido y sobre cualesquiera riesgos que puedan afectar a los costes globales que deban sufragarse con cargo al presupuesto general de la Unión de conformidad con el artículo 32.
3. Una vez que el enrutador entre en funcionamiento, eu-LISA elaborará un informe y lo presentará al Parlamento Europeo y al Consejo en el que se explique con detalle cómo se han conseguido los objetivos, en particular en lo relativo a la planificación y los costes, y se expongan los motivos de cualquier divergencia.
4. A más tardar el 29 de enero de 2029, y posteriormente cada cuatro años, la Comisión elaborará un informe que contenga una evaluación global del presente Reglamento, también sobre la necesidad y el valor añadido de la recogida de datos API, que incluya un examen de:
a) la aplicación del presente Reglamento;
b) la medida en que el presente Reglamento ha alcanzado sus objetivos;
c) el impacto del presente Reglamento en los derechos fundamentales protegidos por el Derecho de la Unión;
d) el impacto del presente Reglamento en la experiencia de viaje de los pasajeros en regla;
e) el impacto del presente Reglamento en la competitividad del sector de la aviación y la carga que soportan las empresas;
f) la calidad de los datos API transmitidos por el enrutador a las autoridades fronterizas competentes;
g) el rendimiento del enrutador con respecto a las autoridades fronterizas competentes.
A efectos de la letra e) del párrafo primero, el informe de la Comisión también abordará la interacción del presente Reglamento con otros actos legislativos pertinentes de la Unión, en particular los Reglamentos (CE) n.o 767/2008, (UE) 2017/2226 y (UE) 2018/1240, a fin de evaluar el impacto global de las obligaciones de información conexas para las compañías aéreas, determinar las disposiciones que puedan actualizarse y simplificarse, en su caso, para reducir la carga que soportan las compañías aéreas, y estudiar acciones y medidas que podrían adoptarse para reducir la presión de los costes totales sobre las compañías aéreas.
5. La Comisión presentará el informe de evaluación al Parlamento Europeo, al Consejo, al Supervisor Europeo de Protección de Datos y a la Agencia de los Derechos Fundamentales de la Unión Europea. Si procede, a la luz de la evaluación realizada, la Comisión presentará una propuesta legislativa al Parlamento Europeo y al Consejo con vistas a modificar el presente Reglamento.
6. Los Estados miembros y las compañías aéreas proporcionarán a eu-LISA y a la Comisión, previa petición, la información necesaria para elaborar los informes a que se refieren los apartados 2, 3 y 4, como datos relacionados con los resultados de los controles previos de los sistemas de información de la Unión y las bases de datos nacionales efectuados en las fronteras exteriores utilizando datos API. En particular, los Estados miembros proporcionarán información cuantitativa y cualitativa sobre la recogida de datos API desde el punto de vista operativo. La información proporcionada no incluirá datos personales. Los Estados miembros podrán abstenerse de proporcionar dicha información si ello es necesario, y en la medida necesaria, para evitar revelar métodos de trabajo confidenciales o poner en peligro las investigaciones en curso de las autoridades fronterizas competentes. La Comisión garantizará que toda información confidencial facilitada quede debidamente protegida.
Entrada en vigor y aplicación
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Será aplicable a partir de dos años a partir de la fecha en que el enrutador entre en funcionamiento, según determine la Comisión de conformidad con el artículo 34.
No obstante:
a) el artículo 5, apartados 7 y 8, el artículo 6, apartado 3, el artículo 9, apartado 6, el artículo 13, apartado 4, el artículo 14, apartado 5, el artículo 18, apartado 4, el artículo 23, apartado 2, el artículo 24, apartado 2, los artículos 25, 28 y 29, el artículo 32, apartado 1, y los artículos 34, 43 y 44 serán aplicables a partir del 28 de enero de 2025;
b) el artículo 5, apartado 6, los artículos 12 y 15, el artículo 17, apartados 1, 3 y 4, el artículo 18, apartados 1, 2 y 3, y los artículos 19, 20, 26, 27, 33 y 35 serán aplicables a partir de la fecha en que el enrutador entre en funcionamiento, tal como se determine por la Comisión de conformidad con el artículo 34.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en los Estados miembros de conformidad con los Tratados.
Hecho en Bruselas, el 19 de diciembre de 2024.
Por el Parlamento Europeo
La Presidenta
R. METSOLA
Por el Consejo
El Presidente
BÓKA J.
(1) DO C 228 de 29.6.2023, p. 97.
(2) Posición del Parlamento Europeo de 25 de abril de 2024 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 12 de diciembre de 2024.
(3) Reglamento (UE) 2016/399 del Parlamento Europeo y del Consejo, de 9 de marzo de 2016, por el que se establece un Código de normas de la Unión para el cruce de personas por las fronteras (Código de fronteras Schengen) (DO L 77 de 23.3.2016, p. 1).
(4) Directiva 2004/82/CE del Consejo, de 29 de abril de 2004, sobre la obligación de los transportistas de comunicar los datos de las personas transportadas (DO L 261 de 6.8.2004, p. 24).
(5) Reglamento (UE) 2019/1157 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, sobre el refuerzo de la seguridad de los documentos de identidad de los ciudadanos de la Unión y de los documentos de residencia expedidos a ciudadanos de la Unión y a los miembros de sus familias que ejerzan su derecho a la libre circulación (DO L 188 de 12.7.2019, p. 67).
(6) Reglamento (CE) n.o 2252/2004 del Consejo, de 13 de diciembre de 2004, sobre normas para las medidas de seguridad y datos biométricos en los pasaportes y documentos de viaje expedidos por los Estados miembros (DO L 385 de 29.12.2004, p. 1).
(7) Directiva (UE) 2019/997 del Consejo, de 18 de junio de 2019, por la que se establece un documento provisional de viaje de la UE y se deroga la Decisión 96/409/PESC (DO L 163 de 20.6.2019, p. 1).
(8) Reglamento (CE) n.o 1107/2006 del Parlamento Europeo y del Consejo, de 5 de julio de 2006, sobre los derechos de las personas con discapacidad o movilidad reducida en el transporte aéreo (DO L 204 de 26.7.2006, p. 1).
(9) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
(10) Reglamento (UE) 2025/13 del Parlamento Europeo y del Consejo, de 19 de diciembre de 2024, relativo a la recogida y la transferencia de información anticipada sobre los pasajeros para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de los delitos graves, y por el que se modifica el Reglamento (UE) 2019/818 (DO L, 2025/13, 8.1.2025, ELI: http://data.europa.eu/eli/reg/2025/13/oj).
(11) Reglamento (UE) 2017/2226 del Parlamento Europeo y del Consejo, de 30 de noviembre de 2017, por el que se establece un Sistema de Entradas y Salidas (SES) para registrar los datos de entrada y salida y de denegación de entrada relativos a nacionales de terceros países que crucen las fronteras exteriores de los Estados miembros, se determinan las condiciones de acceso al SES con fines policiales y se modifican el Convenio de aplicación del Acuerdo de Schengen y los Reglamentos (CE) n.o 767/2008 y (UE) n.o 1077/2011 (DO L 327 de 9.12.2017, p. 20).
(12) Reglamento (UE) 2018/1240 del Parlamento Europeo y del Consejo, de 12 de septiembre de 2018, por el que se crea un Sistema Europeo de Información y Autorización de Viajes (SEIAV) y por el que se modifican los Reglamentos (UE) n.o 1077/2011, (UE) n.o 515/2014, (UE) 2016/399, (UE) 2016/1624 y (UE) 2017/2226 (DO L 236 de 19.9.2018, p. 1).
(13) Reglamento (CE) n.o 767/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008, sobre el Sistema de Información de Visados (VIS) y el intercambio de información entre los Estados miembros sobre visados para estancias de corta duración, visados para estancias de larga duración y permisos de residencia (Reglamento VIS) (DO L 218 de 13.8.2008, p. 60).
(14) Reglamento (UE) 2018/1726 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018, relativo a la Agencia de la Unión Europea para la Gestión Operativa de Sistemas Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia (eu-LISA), y por el que se modifican el Reglamento (CE) n.o 1987/2006 y la Decisión 2007/533/JAI del Consejo y se deroga el Reglamento (UE) n.o 1077/2011 (DO L 295 de 21.11.2018, p. 99).
(15) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).
(16) Reglamento (UE) 2019/817 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativo al establecimiento de un marco para la interoperabilidad de los sistemas de información de la UE en el ámbito de las fronteras y los visados y por el que se modifican los Reglamentos (CE) n.o 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 y (UE) 2018/1861 del Parlamento Europeo y del Consejo, y las Decisiones 2004/512/CE y 2008/633/JAI del Consejo (DO L 135 de 22.5.2019, p. 27).
(17) DO L 123 de 12.5.2016, p. 1.
(18) Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).
(19) Decisión 2002/192/CE del Consejo, de 28 de febrero de 2002, sobre la solicitud de Irlanda de participar en algunas de las disposiciones del acervo de Schengen (DO L 64 de 7.3.2002, p. 20).
(20) DO L 176 de 10.7.1999, p. 36.
(21) Decisión 1999/437/CE del Consejo, de 17 de mayo de 1999, relativa a determinadas normas de desarrollo del Acuerdo celebrado por el Consejo de la Unión Europea con la República de Islandia y el Reino de Noruega sobre la asociación de estos dos Estados a la ejecución, aplicación y desarrollo del acervo de Schengen (DO L 176 de 10.7.1999, p. 31).
(22) DO L 53 de 27.2.2008, p. 52.
(23) Decisión 2008/146/CE del Consejo, de 28 de enero de 2008, relativa a la celebración, en nombre de la Comunidad Europea, del Acuerdo entre la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, aplicación y desarrollo del acervo de Schengen (DO L 53 de 27.2.2008, p. 1).
(24) DO L 160 de 18.6.2011, p. 21.
(25) Decisión 2011/350/UE del Consejo, de 7 de marzo de 2011, relativa a la celebración, en nombre de la Unión Europea, del Protocolo entre la Unión Europea, la Comunidad Europea, la Confederación Suiza y el Principado de Liechtenstein sobre la adhesión del Principado de Liechtenstein al Acuerdo entre la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, aplicación y desarrollo del acervo de Schengen, sobre la supresión de controles en las fronteras internas y la circulación de personas (DO L 160 de 18.6.2011, p. 19).
(26) DO C 84 de 7.3.2023, p. 2.
(27) Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave (DO L 119 de 4.5.2016, p. 132).
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
