Diario del Derecho. Edición de 10/01/2025
  • Diario del Derecho en formato RSS
  • ISSN 2254-1438
  • EDICIÓN DE 09/01/2025
 
 

Transferencia de información anticipada sobre los pasajeros para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de los delitos graves

09/01/2025
Compartir: 

Reglamento (UE) 2025/13 del Parlamento Europeo y del Consejo, de 19 de diciembre de 2024, relativo a la recogida y la transferencia de información anticipada sobre los pasajeros para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de los delitos graves, y por el que se modifica el Reglamento (UE) 2019/818 (DOUE de 8 de enero de 2025) Texto completo.

REGLAMENTO (UE) 2025/13 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, DE 19 DE DICIEMBRE DE 2024, RELATIVO A LA RECOGIDA Y LA TRANSFERENCIA DE INFORMACIÓN ANTICIPADA SOBRE LOS PASAJEROS PARA LA PREVENCIÓN, DETECCIÓN, INVESTIGACIÓN Y ENJUICIAMIENTO DE LOS DELITOS DE TERRORISMO Y DE LOS DELITOS GRAVES, Y POR EL QUE SE MODIFICA EL REGLAMENTO (UE) 2019/818

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea Vínculo a legislación, y en particular su artículo 82, apartado 1, letra d), y su artículo 87, apartado 2, letra a),

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo (1),

De conformidad con el procedimiento legislativo ordinario (2),

Considerando lo siguiente:

(1)

La dimensión transnacional de los delitos graves y de la delincuencia organizada y la amenaza continua de atentados terroristas en suelo europeo requieren una actuación a escala de la Unión para adoptar medidas adecuadas que garanticen la seguridad en un espacio de libertad, seguridad y justicia sin fronteras interiores. La información sobre los pasajeros, como los registros de nombres de los pasajeros (PNR, por sus siglas en inglés) y, en particular, la información anticipada sobre los pasajeros (API, por sus siglas en inglés), es esencial para identificar a los pasajeros de alto riesgo, incluidos aquellos de los que las autoridades policiales no tengan conocimiento de otro modo, y para establecer vínculos entre los miembros de grupos delictivos y luchar contra las actividades terroristas.

(2)

Si bien la Directiva 2004/82/CE del Consejo Vínculo a legislación (3) establece un marco jurídico para la recogida y la transferencia de datos API por parte de las compañías aéreas con el objetivo de mejorar los controles fronterizos y luchar contra la inmigración ilegal, también dispone que los Estados miembros pueden utilizar los datos API con fines policiales. Sin embargo, limitarse únicamente a ofrecer esta posibilidad da lugar a lagunas y deficiencias. En particular, supone que los datos API no son recogidos y transferidos sistemáticamente con fines policiales por las compañías aéreas. La posibilidad de utilizar datos API con fines policiales también significa que, cuando los Estados miembros actúan con arreglo a la posibilidad que se les ofrece, las compañías aéreas se enfrentan a requisitos divergentes con arreglo al Derecho nacional en cuanto a cuándo y cómo deben recopilar y transferir datos API con tales fines. Esas divergencias no solo dan lugar a costes y complicaciones innecesarios para las compañías aéreas, sino que también resultan perjudiciales para la seguridad interior de la Unión y la cooperación eficaz entre las autoridades policiales competentes de los Estados miembros. Además, habida cuenta de la diferente naturaleza de los fines de la facilitación de los controles fronterizos y los fines policiales, conviene establecer un marco jurídico diferenciado para la recogida y la transferencia de datos API para cada uno de ellos.

(3)

La Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo (4) establece normas relativas a la utilización de datos PNR para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de los delitos graves. Con arreglo a esta Directiva, los Estados miembros tienen que adoptar las medidas necesarias para garantizar que las compañías aéreas transfieran los datos PNR, incluidos cualesquiera datos API recogidos, a las Unidades de Información sobre los Pasajeros (UIP) nacionales creadas de conformidad con dicha Directiva en la medida en que ya los hayan recogido en el curso normal de sus actividades comerciales. Por consiguiente, dicha Directiva no garantiza la recogida y la transferencia de datos API en todos los casos, ya que para las compañías aéreas la recogida de un conjunto completo de tales datos no tiene finalidad comercial alguna. Es importante garantizar que las UIP reciban los datos API junto con los datos PNR, ya que el tratamiento conjunto de dichos datos es necesario para que las autoridades competentes de los Estados miembros puedan prevenir, detectar, investigar y enjuiciar eficazmente los delitos de terrorismo y los delitos graves. En particular, este tratamiento conjunto permite la identificación exacta de los pasajeros que puedan tener que ser examinados con más detenimiento, de conformidad con el Derecho aplicable, por dichas autoridades. Además, dicha Directiva no especifica en detalle qué información constituye datos API. Por dichas razones, deben establecerse normas complementarias que exijan a las compañías aéreas recoger y transferir posteriormente un conjunto definido específicamente de datos API, requisitos que deben aplicarse en la medida en que las compañías aéreas estén obligadas, en virtud de dicha Directiva, a recoger y transferir datos PNR del mismo vuelo.

(4)

Por consiguiente, es necesario establecer normas claras, armonizadas y eficaces a escala de la Unión sobre la recogida y la transferencia de datos API con el fin de prevenir, detectar, investigar y enjuiciar los delitos de terrorismo y los delitos graves.

(5)

Teniendo en cuenta la estrecha relación entre ambos actos, debe entenderse que el presente Reglamento completa las normas establecidas en la Directiva (UE) 2016/681, con arreglo a la interpretación del Tribunal de Justicia de la Unión Europea (TJUE). Por lo tanto, los datos API solo han de recogerse y transferirse en virtud del presente Reglamento de conformidad con los requisitos específicos que en él se especifican, también en lo que respecta a las situaciones y la manera en que debe hacerse. No obstante, las normas de dicha Directiva se aplican a asuntos en los que no incide específicamente el presente Reglamento, en particular con relación a las normas sobre el tratamiento posterior de los datos API recibidos por las UIP, el intercambio de información entre Estados miembros, las condiciones de acceso por parte de la Agencia de la Unión Europea para la Cooperación Policial (Europol), las transferencias a terceros países, la conservación y despersonalización, así como la protección de los datos personales. En la medida en que esas normas sean de aplicación, también se aplicarán las normas de dicha Directiva sobre las sanciones y las autoridades nacionales de supervisión. El presente Reglamento no debe afectar a dichas normas y, por tanto, debe entenderse, en particular, sin perjuicio de los requisitos y garantías aplicables al tratamiento de los datos API por parte de las UIP.

(6)

La recogida y la transferencia de los datos API afectan a la privacidad de las personas e implican el tratamiento de sus datos personales. A fin de respetar plenamente sus derechos fundamentales, en particular el derecho al respeto de la vida privada y el derecho a la protección de los datos de carácter personal, de conformidad con la Carta de los Derechos Fundamentales de la Unión Europea Vínculo a legislación (en lo sucesivo, “Carta”), deben establecerse las garantías y los límites adecuados. Por ejemplo, todo tratamiento de datos API y, en particular, de datos API que constituyan datos personales, debe limitarse estrictamente a lo necesario y proporcionado para alcanzar los objetivos perseguidos por el presente Reglamento. Además, debe garantizarse que el tratamiento de cualquier dato API recogido y transferido en virtud del presente Reglamento no dé lugar a ninguna forma de discriminación prohibida por la Carta.

(7)

Habida cuenta del carácter complementario del presente Reglamento en relación con la Directiva (UE) 2016/681, las obligaciones de las compañías aéreas en virtud del presente Reglamento deben aplicarse a todos los vuelos con respecto a los cuales los Estados miembros deban exigir a las compañías aéreas que transmitan datos PNR en virtud de la Directiva (UE) 2016/681, con independencia del lugar de establecimiento de las compañías aéreas que efectúen los vuelos. Dichos vuelos deben abarcar tanto los vuelos programados como los no programados, ya sea entre Estados miembros y terceros países (vuelos exteriores de la UE) o entre varios Estados miembros (vuelos interiores de la UE), siempre que dichos vuelos interiores de la UE tengan su origen, destino o escala en el territorio de al menos un Estado miembro que haya notificado su decisión de aplicar la Directiva (UE) 2016/681 a los vuelos interiores de la UE de conformidad con el artículo 2, apartado 1, de dicha Directiva y en consonancia con la jurisprudencia del TJUE. Por lo que se refiere a los vuelos interiores de la UE a los que se aplica el presente Reglamento, también debe exigirse este enfoque específico, adoptado en aplicación del artículo 2 de la Directiva (UE) 2016/681 y centrado en las exigencias de la eficacia policial, habida cuenta de la necesidad de garantizar el cumplimiento de los requisitos del Derecho de la Unión sobre la necesidad y proporcionalidad del tratamiento de datos, la libre circulación de personas y la supresión de los controles en las fronteras interiores. La recogida de datos de cualquier otra actividad de aviación civil, como escuelas de vuelo, vuelos médicos, vuelos de emergencia, así como de vuelos militares, no entra en el ámbito de aplicación del presente Reglamento. El presente Reglamento se entiende sin perjuicio de la recogida de datos de dichos vuelos con arreglo a lo dispuesto en el Derecho nacional que sea compatible con el Derecho de la Unión. La Comisión debe evaluar la viabilidad de un régimen de la Unión que obligue a los operadores de vuelos privados a recoger y transferir datos de los pasajeros aéreos.

(8)

Las obligaciones de las compañías aéreas de recoger y transferir datos API en virtud del presente Reglamento deben incluir a todos los pasajeros y miembros de la tripulación de los vuelos con destino a la Unión, a los pasajeros en tránsito y a los miembros de la tripulación cuyo destino final se encuentre fuera de la Unión y a cualquier miembro de la tripulación fuera de servicio situado en un vuelo por una compañía aérea en relación con sus funciones.

(9)

Por consiguiente, dado que la Directiva (UE) 2016/681 no se aplica a los vuelos nacionales con origen y destino en el territorio del mismo Estado miembro sin escala en el territorio de otro Estado miembro o de un tercer país, y habida cuenta de la dimensión transnacional de los delitos terroristas y de los delitos graves contemplados en el presente Reglamento, el presente Reglamento tampoco debe aplicarse a dichos vuelos. No debe entenderse que el presente Reglamento afecte a la posibilidad de que los Estados miembros establezcan, en virtud de su Derecho nacional y de conformidad con el Derecho de la Unión, obligaciones para las compañías aéreas de recoger y transferir datos API de tales vuelos nacionales.

(10)

Habida cuenta de la estrecha relación entre los actos jurídicos de la Unión afectados y en aras de la consistencia y la coherencia, las definiciones establecidas en el presente Reglamento deben ajustarse, cuando proceda, a las definiciones establecidas en la Directiva (UE) 2016/681 y en el Reglamento (UE) 2025/12 del Parlamento Europeo y del Consejo (5) y deben interpretarse y aplicarse a la luz de las mismas.

(11)

En particular, los elementos de información que constituyen conjuntamente los datos API que deben recogerse y transferirse posteriormente en virtud del presente Reglamento deben enumerarse de manera clara y exhaustiva, abarcando tanto la información relativa a cada pasajero y miembro de la tripulación como la información del vuelo de ese pasajero o miembro de la tripulación. En virtud del presente Reglamento y de conformidad con las normas internacionales Vínculo a legislación, dicha información de vuelo debe abarcar la información sobre el asiento y el equipaje, cuando esté disponible, y la información sobre el paso fronterizo de entrada en el territorio del Estado miembro de que se trate solo cuando proceda, es decir, no cuando los datos API se refieran a vuelos interiores de la UE. Cuando la información sobre el equipaje o el asiento esté disponible en otros sistemas informáticos de los que disponga la compañía aérea, su gestor de asistencia en tierra, su proveedor de sistemas o la autoridad aeroportuaria, las compañías aéreas deben integrar esa información en los datos API que debe transferirse a las UIP. Los datos API definidos y regulados por el presente Reglamento no incluyen los datos biométricos.

(12)

Para que sea posible viajar sin llevar un documento de viaje cuando los Estados miembros permitan tal práctica con arreglo al Derecho nacional de conformidad con el Derecho de la Unión, también sobre la base de un acuerdo internacional, debe ser posible que un Estado miembro imponga a las compañías aéreas la obligación de ofrecer a los pasajeros la posibilidad de introducir voluntariamente datos API por medios automatizados y de que la compañía aérea conserve dichos datos con vistas a transferirlos para vuelos futuros.

(13)

A fin de permitir la flexibilidad y la innovación, debe dejarse en principio a cada compañía aérea la tarea de determinar cómo va a cumplir sus obligaciones en cuanto a la recogida de datos API establecida en el presente Reglamento, teniendo en cuenta los diferentes tipos de compañía aérea, tal como se definen en el presente Reglamento, y sus respectivos modelos de negocio, incluidos con relación a los horarios de facturación y la cooperación con los aeropuertos. No obstante, teniendo en cuenta que existen soluciones tecnológicas adecuadas que permiten recoger automáticamente determinados datos API, garantizando al mismo tiempo que los datos API en cuestión sean exactos y completos y estén actualizados, y teniendo en cuenta las ventajas del uso de dicha tecnología en términos de eficacia y eficiencia, debe exigirse a las compañías aéreas que recojan dichos datos API utilizando medios automatizados, mediante la lectura de la información a partir de los datos de lectura mecánica del documento de viaje. Si el uso de dichos medios automatizados no es técnicamente posible en circunstancias excepcionales, las compañías aéreas deben recoger, de forma excepcional, los datos API manualmente, ya sea como parte del proceso de facturación en línea o como parte de la facturación en el aeropuerto, de una manera que garantice el cumplimiento de sus obligaciones que les incumben en virtud del presente Reglamento.

(14)

La recogida de datos API por medios automatizados debe limitarse estrictamente a los datos alfanuméricos contenidos en el documento de viaje y no debe dar lugar a la recogida de ningún dato biométrico de este. Dado que la recogida de datos API forma parte del proceso de facturación, ya sea en línea o en el aeropuerto, el presente Reglamento no obliga a las compañías aéreas a que comprueben un documento de viaje del pasajero en el momento del embarque. El cumplimiento del presente Reglamento no incluye obligación alguna para los pasajeros de llevar consigo un documento de viaje en el momento del embarque. Esto debe entenderse sin perjuicio de las obligaciones derivadas de otros actos jurídicos de la Unión o del Derecho nacional que sea compatible con el Derecho de la Unión.

(15)

La recogida de los datos API a partir de los documentos de viaje también debe ser coherente con las directrices de la Organización de Aviación Civil Internacional (OACI) sobre documentos de viaje de lectura mecánica, que se han incorporado al Derecho de la Unión mediante el Reglamento (UE) 2019/1157 del Parlamento Europeo y del Consejo (6), el Reglamento (CE) n.o 2252/2004 del Consejo (7) y la Directiva (UE) 2019/997 del Consejo (8).

(16)

A fin de evitar una situación en la que las compañías aéreas tengan que establecer y mantener múltiples conexiones con las UIP de los Estados miembros para la transferencia de los datos API recogidos en virtud del presente Reglamento y evitar así las consiguientes ineficiencias y riesgos para la seguridad, debe preverse un enrutador único, creado y explotado a escala de la Unión, de conformidad con el presente Reglamento y el Reglamento (UE) 2025/12, que sirva de punto de conexión y distribución para dichas transferencias. En aras de la eficiencia y la rentabilidad, el enrutador debe basarse, en la medida en que sea técnicamente posible y cumpliendo plenamente las normas del presente Reglamento y del Reglamento (UE) 2025/12, en componentes técnicos de otros sistemas pertinentes creados en virtud del Derecho de la Unión, en particular el servicio web a que se refiere el Reglamento (UE) 2017/2226 del Parlamento Europeo y del Consejo (9), la pasarela para los transportistas a que se refiere el Reglamento (UE) 2018/1240 del Parlamento Europeo y del Consejo (10) y la pasarela para los transportistas a que se refiere el Reglamento (CE) n.o 767/2008 del Parlamento Europeo y del Consejo (11). A fin de reducir el impacto en las compañías aéreas y garantizar un enfoque armonizado con respecto a ellas, la Agencia de la Unión Europea para la Gestión Operativa de Sistemas Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia (eu-LISA), creada por el Reglamento (UE) 2018/1726 del Parlamento Europeo y del Consejo (12), debe diseñar el enrutador, en la medida en que sea técnica y operativamente posible, de manera coherente y compatible con las obligaciones impuestas a las compañías aéreas en los Reglamentos (CE) n.o 767/2008, (UE) 2017/2226 y (UE) 2018/1240.

(17)

Con el fin de garantizar la legibilidad de los datos PNR por parte de las UIP y el correcto funcionamiento de sus sistemas PNR, los mensajes digitales enviados por una compañía aérea que contengan uno o varios PNR (en lo sucesivo, “mensajes PNR”) deben ser transferidos por las compañías aéreas y transmitidos por el enrutador en un formato normalizado mediante campos o códigos de datos normalizados, tanto en lo que respecta al contenido como a la estructura. Antes de que el enrutador entre en funcionamiento con respecto a otros datos PNR, los ensayos que ha de realizar eu-LISA, deberán garantizar la capacidad, velocidad y fiabilidad del enrutador para proporcionar tal normalización. A tal fin, la Comisión debe adoptar las medidas necesarias para revisar la legislación de aplicación vigente adoptada de conformidad con el artículo 16 de la Directiva (UE) 2016/681, que establece protocolos comunes y formatos de datos admitidos. Dicha revisión debe efectuarse en estrecha consulta con los representantes de los Estados miembros, a fin de aprovechar sus conocimientos especializados y garantizar que las mejores prácticas que hayan desarrollado al aplicar la Directiva (UE) 2016/681 a nivel nacional se tengan en cuenta a escala de la Unión para el funcionamiento del enrutador. El grupo de contacto API-PNR debe apoyar dicha revisión.

(18)

Con el fin de mejorar la eficiencia de la transmisión de datos de tráfico aéreo y apoyar la supervisión de los datos API transmitidos a las UIP, el enrutador debe recibir la información de tráfico de vuelo en tiempo real recogida por otras organizaciones, como la Organización Europea para la Seguridad de la Navegación Aérea (Eurocontrol).

(19)

El enrutador debe servir únicamente para facilitar la transferencia de los datos API y de otros datos PNR de las compañías aéreas a las UIP de conformidad con el presente Reglamento, y no debe ser un repositorio de datos API o de otros datos PNR. Por consiguiente, y con el fin de minimizar cualquier riesgo de acceso no autorizado o de otro uso indebido, y de conformidad con el principio de minimización de datos, no debe procederse a la conservación salvo en caso estrictamente necesario para los fines técnicos relacionados con la transmisión, y los datos API y otros datos PNR deben suprimirse del enrutador, de forma inmediata, permanente y automatizada, desde el momento en que se haya completado la transmisión o, cuando proceda en virtud del presente Reglamento, los datos API y otros datos PNR no han de transmitirse en absoluto.

(20)

A fin de que puedan beneficiarse cuanto antes de las ventajas que ofrece el uso del enrutador desarrollado por eu-LISA de conformidad con el presente Reglamento y el Reglamento (UE) 2025/12 y adquirir experiencia al utilizarlo, las compañías aéreas deben tener la posibilidad, pero no la obligación, de utilizar el enrutador para transferir la información que están obligadas a transferir en virtud de la Directiva 2004/82 Vínculo a legislación /CE durante un período temporal. Ese período temporal debe comenzar en el momento en que el enrutador entre en funcionamiento y finalizar cuando dejen de aplicarse las obligaciones en virtud de dicha Directiva. Con el fin de garantizar que tal uso voluntario del enrutador se haga de manera responsable, debe exigirse el acuerdo previo por escrito del Estado miembro que vaya a recibir la información, a petición de la compañía aérea y una vez que dicho Estado miembro haya realizado las verificaciones y obtenido las garantías necesarias. Del mismo modo, a fin de evitar una situación en la que las compañías aéreas utilicen y dejen de utilizar el uso del enrutador repetidamente, una vez que una compañía aérea empiece a utilizarlo con carácter voluntario, debe estar obligada a seguir utilizándolo, a menos que existan razones objetivas que lleven a interrumpir su utilización para la transferencia de información al Estado miembro de que se trate, tales como que se haya puesto de manifiesto que la información no se transfiere de manera lícita, segura, eficaz y rápida. En aras de la correcta aplicación de la posibilidad de utilizar voluntariamente el enrutador, teniendo debidamente en cuenta los derechos e intereses de todas las partes afectadas, deben establecerse las normas necesarias en materia de consultas y suministro de información en el presente Reglamento. No debe entenderse que tal uso voluntario del enrutador en aplicación de la Directiva 2004/82 Vínculo a legislación /CE conforme a lo establecido en el presente Reglamento afecte en modo alguno a las obligaciones de las compañías aéreas y de los Estados miembros con arreglo a dicha Directiva.

(21)

Los requisitos establecidos en el presente Reglamento y en los actos delegados y de ejecución correspondientes deben conducir a una aplicación uniforme del presente Reglamento por parte de las compañías aéreas, minimizando así el coste de interconexión de sus respectivos sistemas. Para facilitar una aplicación armonizada de esos requisitos por parte de las compañías aéreas, en particular por lo que se refiere a la estructura, el formato y el protocolo de transmisión de los datos, la Comisión, sobre la base de su cooperación con las UIP, las autoridades de otros Estados miembros, las compañías aéreas y los organismos pertinentes de la Unión, debe garantizar que el manual práctico que debe elaborar la Comisión proporcione todas las directrices y aclaraciones necesarias.

(22)

Con el fin de mejorar la calidad de los datos API, el enrutador que se establezca en virtud del presente Reglamento debe verificar si los datos API que le transfieren las compañías aéreas cumplen los formatos de datos admitidos. Cuando la verificación determine que los datos no se ajustan a dichos formatos de datos, el enrutador lo debe notificar inmediatamente y de manera automatizada a la compañía aérea de que se trate.

(23)

Los pasajeros deben tener la posibilidad de proporcionar determinados datos API por medios automatizados durante el proceso de facturación en línea, por ejemplo, a través de una aplicación segura en el teléfono inteligente, el ordenador o la cámara web de un pasajero con capacidad para leer los datos de lectura mecánica del documento de viaje. Cuando los pasajeros no hayan facturado en línea, las compañías aéreas deben ofrecerles la posibilidad de proporcionar los datos API de lectura mecánica requeridos durante la facturación en el aeropuerto con la asistencia de un quiosco de autoservicio o del personal de la compañía aérea en el mostrador de facturación. Sin perjuicio de la libertad de las compañías aéreas para fijar tarifas aéreas y definir su política comercial, es importante que las obligaciones en virtud del presente Reglamento no den lugar a obstáculos desproporcionados para los pasajeros que no puedan utilizar medios en línea para proporcionar los datos API, como tasas adicionales por proporcionar dichos datos en el aeropuerto. Además, el presente Reglamento debe establecer un período transitorio durante el cual los pasajeros tengan la posibilidad de proporcionar los datos API manualmente como parte del proceso de facturación en línea. En tales casos, las compañías aéreas deben utilizar técnicas de verificación de datos.

(24)

Es importante que los sistemas de recogida de datos automatizados y otros procesos establecidos en virtud del presente Reglamento no afecten negativamente a los trabajadores del sector de la aviación, a los que debe proporcionarse oportunidades de mejora de las capacidades y reciclaje profesional, lo que incrementaría la eficiencia y la fiabilidad de la recogida y la transferencia de datos y mejoraría las condiciones de trabajo en el sector.

(25)

Con el fin de garantizar el tratamiento conjunto de los datos API y los datos PNR para luchar eficazmente contra el terrorismo y los delitos graves en la Unión y, al mismo tiempo, minimizar la injerencia en los derechos fundamentales de los pasajeros protegidos en virtud de la Carta, las UIP deben ser las autoridades competentes de los Estados miembros encargadas de recibir, y posteriormente tratar y proteger, los datos API recogidos y transferidos en virtud del presente Reglamento. En aras de la eficiencia y para mitigar cualquier riesgo para la seguridad, el enrutador, tal como esté diseñado, desarrollado, alojado y mantenido técnicamente por eu-LISA, de conformidad con el presente Reglamento y el Reglamento (UE) 2025/12, debe transmitir los datos API, recogidos y transferidos a él por las compañías aéreas en virtud del presente Reglamento, a las UIP pertinentes. Dado el nivel necesario de protección de los datos API que constituyen datos personales, en particular para garantizar la confidencialidad de la información de que se trate, el enrutador debe transmitir los datos API a las UIP pertinentes de manera automatizada. El presente Reglamento no debe afectar a la posibilidad de que los Estados miembros establezcan un punto de entrada de datos único que garantice su conexión con el enrutador y su integración en él.

(26)

Con el fin de garantizar el cumplimiento de los derechos previstos en la Carta y de garantizar opciones de viaje accesibles e inclusivas, especialmente para los grupos vulnerables y las personas con discapacidad, y de conformidad con los derechos de las personas con discapacidad y de las personas con movilidad reducida en el transporte aéreo establecidos en el Reglamento (CE) n.o 1107/2006 del Parlamento Europeo y del Consejo (13), las compañías aéreas, con el apoyo de los Estados miembros, deben garantizar que se disponga en todo momento de una opción para que los pasajeros proporcionen los datos necesarios en el aeropuerto.

(27)

En el caso de los vuelos exteriores de la UE, la UIP del Estado miembro en cuyo territorio vaya a aterrizar el vuelo o de cuyo territorio salga el vuelo debe recibir del enrutador los datos API de todos aquellos vuelos para los que se recojan datos PNR de conformidad con la Directiva (UE) 2016/681. El enrutador debe identificar el vuelo y las UIP correspondientes utilizando la información contenida en el localizador del registro PNR, un elemento de datos común a los conjuntos de datos API y los conjuntos de datos PNR que permiten el tratamiento conjunto de datos API y PNR por parte de las UIP.

(28)

Por lo que se refiere a los vuelos interiores de la UE, en consonancia con la jurisprudencia del TJUE, a fin de evitar injerencias indebidas en los derechos fundamentales pertinentes de los pasajeros protegidos en virtud de la Carta y garantizar el cumplimiento de los requisitos del Derecho de la Unión en materia de libre circulación de personas y supresión de los controles en las fronteras interiores, debe establecerse un enfoque selectivo. Habida cuenta de la importancia de garantizar que los datos API puedan tratarse junto con los datos PNR, ese enfoque debe ajustarse con el de la Directiva (UE) 2016/681. Por esas razones, los datos API de esos vuelos solo deben transmitirse desde el enrutador a las UIP pertinentes cuando los Estados miembros hayan seleccionado los vuelos en cuestión en aplicación del artículo 2 de la Directiva (UE) 2016/681 y de conformidad con el enfoque selectivo establecido en el presente Reglamento. Solo en situaciones de amenaza terrorista real, ya sea actual o previsible, y sobre la base de una decisión fundada en una evaluación de la amenaza, limitada en el tiempo a lo estrictamente necesario y que esté abierta a una revisión efectiva, los Estados miembros deben poder aplicar la Directiva (UE) 2016/681 a todos los vuelos interiores de la UE que lleguen a su territorio o salgan de él. En otras situaciones, debe establecerse un enfoque selectivo. Como recordó el TJUE, la selección implica que los Estados miembros se centren en las obligaciones en cuestión únicamente, entre otras cosas, en determinadas rutas, patrones de viaje o aeropuertos, a reserva de la revisión periódica de dicha selección. Asimismo, la selección debe basarse en una evaluación objetiva, debidamente motivada y no discriminatoria que tenga en cuenta únicamente los criterios que sean pertinentes para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de los delitos graves con una vinculación objetiva, aunque sea indirecta, con el transporte aéreo de pasajeros. Los Estados miembros deben conservar toda la documentación pertinente relacionada con la evaluación a fin de permitir una supervisión adecuada y revisar su evaluación periódicamente y como mínimo cada doce meses, de conformidad con el artículo 13, apartado 7, del presente Reglamento.

(29)

A fin de permitir la aplicación de ese enfoque selectivo en virtud del presente Reglamento a los vuelos interiores de la UE, debe exigirse a los Estados miembros que elaboren listas de los vuelos o rutas que hayan seleccionado y las incorporen en el enrutador, de manera que eu-LISA pueda garantizar que se transmitan datos API relativos únicamente a esos vuelos o rutas desde el enrutador a las UIP pertinentes y que los datos API de otros vuelos interiores de la UE se supriman de forma inmediata y permanente.

(30)

Con el fin de aumentar la cohesión entre los enfoques selectivos adoptados por los distintos Estados miembros, la Comisión debe facilitar un intercambio periódico de puntos de vista sobre la elección de los criterios de selección, que incluya el intercambio de mejores prácticas, así como, de forma voluntaria, el intercambio de información sobre los vuelos seleccionados.

(31)

A fin de no poner en peligro la eficacia del sistema basado en la recogida y la transferencia de datos API establecido por el presente Reglamento, y de los datos PNR en el marco del sistema establecido por la Directiva (UE) 2016/681, con el fin de prevenir, detectar, investigar y enjuiciar los delitos de terrorismo y los delitos graves, en particular creando un riesgo de elusión, la información relativa a los vuelos interiores de la UE que hayan seleccionado los Estados miembros debe tratarse de manera confidencial. Por este motivo, dicha información no debe compartirse con las compañías aéreas, a quienes, por tanto, se les debe exigir que recojan datos API sobre todos los vuelos cubiertos por el presente Reglamento, incluidos todos los vuelos interiores de la UE, y posteriormente la transfieran al enrutador, cuando deba aplicarse dicha selección. Además, al recoger datos API sobre todos los vuelos interiores de la UE, no se informa a los pasajeros sobre qué datos API de los vuelos interiores de la UE seleccionados -y, por tanto, tampoco sobre qué datos PNR- se transmiten a las UIP de conformidad con la evaluación de los Estados miembros. Dicho enfoque también garantiza que cualquier cambio relacionado con dicha selección pueda aplicarse con rapidez y eficacia, sin imponer cargas económicas y operativas indebidas a las compañías aéreas.

(32)

El presente Reglamento no permite la recogida o transferencia de datos API sobre vuelos interiores de la UE con el fin de luchar contra la inmigración ilegal, de conformidad con el Derecho de la Unión y la jurisprudencia del TJUE.

(33)

Con el fin de garantizar el respeto del derecho fundamental a la protección de los datos de carácter personal, el presente Reglamento debe identificar al responsable y al encargado del tratamiento y establecer normas sobre las auditorías. En aras de una supervisión eficaz que garantice la protección adecuada de los datos personales y reduzca al mínimo los riesgos para la seguridad, también deben establecerse normas sobre el registro, la seguridad del tratamiento y el autocontrol. Cuando se refieran al tratamiento de los datos personales, dichas disposiciones deben estar en consonancia con los actos jurídicos de la Unión generalmente aplicables en materia de protección de datos personales, en particular los Reglamentos (UE) 2016/679 (14) y (UE) 2018/1725 (15). del Parlamento Europeo y del Consejo

(34)

Sin perjuicio de las normas más específicas establecidas en el presente Reglamento para el tratamiento de datos personales, el Reglamento (UE) 2016/679 debe aplicarse al tratamiento de datos personales por las compañías aéreas en virtud del presente Reglamento. La Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (16) debe aplicarse al tratamiento de datos personales en virtud del presente Reglamento por parte de las autoridades nacionales competentes -tal como se definen en dicha Directiva- con fines de prevención Vínculo a legislación, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública. El Reglamento (UE) 2018/1725 debe aplicarse al tratamiento de datos personales por eu-LISA en el ejercicio de sus responsabilidades con arreglo al presente Reglamento.

(35)

Teniendo en cuenta el derecho de los pasajeros a ser informados del tratamiento de sus datos personales, los Estados miembros deben garantizar que los pasajeros reciban información precisa, fácilmente accesible y fácil de entender sobre la recogida de datos API, la transferencia de dichos datos a la UIP y sus derechos como interesados, en el momento de la reserva y en el momento de la facturación.

(36)

Las auditorías sobre la protección de datos personales de las que son responsables los Estados miembros deben ser realizadas por las autoridades de control independientes a que se refiere el artículo 41 de la Directiva (UE) 2016/680 o por un organismo de auditoría al que la autoridad de control confíe esta tarea.

(37)

Los fines de las operaciones de tratamiento en virtud del presente Reglamento, a saber, la transmisión de datos API de las compañías aéreas a través del enrutador a las UIP de los Estados miembros, son ayudar a dichas autoridades en el desempeño de sus obligaciones y funciones de conformidad con la Directiva (UE) 2016/681. Por consiguiente, los Estados miembros deben designar a las autoridades responsables del tratamiento de los datos en el enrutador, la transmisión de los datos del enrutador a la UIP y el posterior tratamiento de dichos datos de conformidad con la Directiva (UE) 2016/681. Los Estados miembros deben comunicar esas autoridades a la Comisión y a eu-LISA. Para el tratamiento de datos personales en el enrutador, los Estados miembros deben ser corresponsables del tratamiento de conformidad con el artículo 21 de la Directiva (UE) 2016/680. Las compañías aéreas, a su vez, deben ser responsables independientes del tratamiento de los datos API que constituyan datos personales en virtud del presente Reglamento. Sobre esta base, tanto las compañías aéreas como las UIP deben ser responsables del tratamiento independientes por lo que respecta a las operaciones de tratamiento de los datos API en virtud del presente Reglamento. Dado que es la responsable del diseño, el desarrollo, el alojamiento y la gestión técnica del enrutador, eu-LISA debe ser la encargada del tratamiento de los datos API que constituyan datos personales a través del enrutador, incluida la transmisión de los datos del enrutador a las UIP y la conservación de dichos datos en el enrutador, en la medida en que dicha conservación sea necesaria para fines técnicos.

(38)

El enrutador que se cree y explote en virtud del presente Reglamento y del Reglamento (UE) 2025/12 debe reducir y simplificar las conexiones técnicas necesarias para transferir los datos API en el marco del presente Reglamento, limitándolas a una única conexión por compañía aérea y por UIP. Por consiguiente, el presente Reglamento debe establecer la obligación de que las UIP y las compañías aéreas establezcan dicha conexión con el enrutador y logren la integración necesaria en él, a fin de garantizar el correcto funcionamiento del sistema de transferencia de datos API establecido por el presente Reglamento. El diseño y el desarrollo del enrutador por parte de eu-LISA debe permitir la conexión e integración efectivas y eficientes de los sistemas e infraestructuras de las compañías aéreas mediante el establecimiento de todas las normas y requisitos técnicos pertinentes. A fin de garantizar el correcto funcionamiento del sistema establecido en virtud del presente Reglamento, deben establecerse normas detalladas. Al diseñar y desarrollar el enrutador, eu-LISA debe garantizar que los datos API y otros datos PNR transferidos por las compañías aéreas y transmitidos a las UIP estén cifrados en tránsito.

(39)

Habida cuenta de los intereses de la Unión en juego, todos los costes en que incurra eu-LISA para el desempeño de sus funciones en virtud del presente Reglamento en lo con respecto al enrutador deben sufragarse con cargo al presupuesto de la Unión, incluidos el diseño y el desarrollo del enrutador, el alojamiento y la gestión técnica del enrutador, y la estructura de gobernanza en eu-LISA para apoyar el diseño, el desarrollo, el alojamiento y la gestión técnica del enrutador. Lo mismo cabría aplicarse a los costes correspondientes en que incurran los Estados miembros en relación con sus conexiones con el enrutador, su integración en él y su mantenimiento, tal como se exige en el presente Reglamento, de conformidad con el Derecho de la Unión aplicable. Es importante que el presupuesto de la Unión proporcione un apoyo financiero adecuado a los Estados miembros para dichos costes. A tal fin, las necesidades financieras de los Estados miembros deben recibir apoyo del presupuesto general de la Unión, de conformidad con las normas de subvencionabilidad y los porcentajes de cofinanciación establecidos en los actos jurídicos de la Unión pertinentes. La contribución anual de la Unión asignada a eu-LISA debe cubrir las necesidades relacionadas con el alojamiento y la gestión técnica del enrutador sobre la base de una evaluación realizada por eu-LISA. El presupuesto de la Unión también debe cubrir el apoyo, por ejemplo la formación, que ofrezca eu-LISA a las compañías aéreas y a las UIP para permitir la transferencia y transmisión efectivas de datos API a través del enrutador. Los costes en que incurran las autoridades nacionales de supervisión independientes en relación con las tareas que se les encomiendan con arreglo al presente Reglamento deben ser sufragados por los Estados miembros correspondientes.

(40)

De conformidad con el Reglamento (UE) 2018/1726, los Estados miembros pueden confiar a eu-LISA la tarea de facilitar la conectividad con las compañías aéreas con el fin de ayudar a los Estados miembros en la aplicación de la Directiva (UE) 2016/681, en particular mediante la recogida y la transferencia de datos PNR a través de un enrutador. A tal fin, y por razones de rentabilidad y eficiencia tanto para los Estados miembros como para las compañías aéreas, el presente Reglamento debe exigir a las compañías aéreas que utilicen el enrutador para la transferencia a las bases de datos de sus respectivas UIP de otros datos PNR a los que se aplica la Directiva (UE) 2016/681, como parte de las medidas nacionales de aplicación de la disposición de dicha Directiva relativa a la obligación de que los Estados miembros se aseguren de que las compañías aéreas envían los datos PNR a las UIP pertinentes mediante el método de transmisión.

(41)

A fin de garantizar que los datos en cuestión se traten de manera lícita, segura, eficaz y rápida, las normas establecidas por el presente Reglamento en relación con el enrutador y la transmisión de los datos API del enrutador a las UIP también deben aplicarse en consecuencia a otros datos PNR. Dichas normas también incluyen las obligaciones del presente Reglamento relativas a la transferencia y transmisión de datos en relación con vuelos interiores de la UE, en consonancia con la jurisprudencia del TJUE, así como con las conexiones de las compañías aéreas y de la UIP con el enrutador. Por lo que se refiere a las normas sobre el momento en que debe realizarse la transferencia, los protocolos de transmisión y los formatos de datos en los que deben transferirse los mensajes PNR al enrutador, se aplicarán las disposiciones pertinentes de la Directiva (UE) 2016/681.

(42)

Conviene aclarar que el uso del enrutador en relación con otros datos PNR solo afecta a la forma en que dichos datos se transfieren y transmiten a las bases de datos de las UIP de los Estados miembros de que se trate. Las obligaciones del presente Reglamento relativas a la recogida de datos API no son aplicables a todos esos otros datos PNR. Por el contrario, dicha recogida debe seguir rigiéndose únicamente por la Directiva (UE) 2016/681, solo en la medida en que las compañías aéreas ya hayan recogido tales datos en el ejercicio normal de su actividad en el sentido de la disposición pertinente de dicha Directiva. Además, al igual que en el caso de los datos API recogidos por las compañías aéreas y transferidos a las UIP de conformidad con el presente Reglamento, no deben verse afectadas las normas de dicha Directiva relativas a cuestiones no reguladas específicamente por el presente Reglamento, en particular las normas sobre el tratamiento posterior de otros datos PNR recibidos por las UIP. Por lo tanto, dichas normas siguen siendo aplicables a esos datos.

(43)

No puede excluirse que, debido a circunstancias excepcionales y a pesar de que se hayan tomado todas las medidas razonables de conformidad con el presente Reglamento, la infraestructura central o uno de los componentes técnicos del enrutador o las infraestructuras de comunicación que lo conectan con las UIP y las compañías aéreas no funcionen correctamente, lo que dé lugar a la imposibilidad técnica de que las compañías aéreas transfieran los datos API o las UIP los reciban. Habida cuenta de la indisponibilidad del enrutador y de que, por lo general, no será razonablemente posible que las compañías aéreas transfieran los datos API afectados por el fallo de una manera lícita, segura, eficaz y rápida por medios alternativos, la obligación de las compañías aéreas de transferir dichos datos API al enrutador debe dejar de aplicarse mientras persista la imposibilidad técnica. No obstante, para garantizar la disponibilidad de los datos API necesarios para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de los delitos graves, las compañías aéreas deben seguir recopilando y conservando datos API para que puedan transferirse tan pronto se haya resuelto la imposibilidad técnica. Con el fin de reducir al mínimo la duración y las consecuencias negativas de cualquier imposibilidad técnica, las partes afectadas deben informarse mutuamente de inmediato y tomar inmediatamente todas las medidas necesarias para hacer frente a la imposibilidad técnica. Esta medida debe entenderse sin perjuicio de las obligaciones que impone el presente Reglamento a todas las partes interesadas de garantizar el correcto funcionamiento del enrutador y de sus respectivos sistemas e infraestructuras, así como del hecho de que a las compañías aéreas se les impongan sanciones cuando incumplan dichas obligaciones, también en aquellos casos en los pretendan acogerse a esta medida injustificadamente. Para disuadir de la comisión de tal abuso y facilitar la supervisión y, en su caso, la imposición de sanciones, las compañías aéreas que se acojan a esta medida debido al fallo de su propio sistema e infraestructura deben informar al respecto a la autoridad de supervisión competente.

(44)

Cuando las compañías aéreas mantengan conexiones directas a las UIP para la transferencia de datos API, dichas conexiones pueden constituir medios adecuados que garanticen el nivel necesario de seguridad de los datos para transferir datos API directamente a las UIP cuando sea técnicamente imposible utilizar el enrutador. En el caso excepcional de una imposibilidad técnica de utilizar el enrutador, las UIP deben poder solicitar a las compañías aéreas que utilicen esos medios adecuados, lo que no implica la obligación de las compañías aéreas de mantener o introducir tales conexiones directas o cualquier otro medio adecuado que garantice el nivel necesario de seguridad de los datos para transferir datos API directamente a las UIP. La transferencia excepcional de datos API por cualquier otro medio adecuado, como el correo electrónico cifrado o un portal web seguro, y excluido el uso de formatos electrónicos no normalizados, debe garantizar el nivel necesario de seguridad, calidad y protección de los datos. Los datos API recibidos por las UIP por esos otros medios adecuados deben ser tratados posteriormente de conformidad con las normas y las garantías de protección de datos establecidas en la Directiva (UE) 2016/681. Tras la notificación de eu-LISA de que la imposibilidad técnica se ha resuelto satisfactoriamente, y cuando se confirme que se ha completado la transmisión de los datos API a la UIP a través del enrutador, la UIP debe suprimir inmediatamente los datos API que haya recibido previamente por cualquier otro medio adecuado. Esa supresión no debe afectar a casos específicos en los que los datos API que las UIP hayan recibido por cualquier otro medio adecuado hayan sido tratados posteriormente de conformidad con la Directiva (UE) 2016/681 con los fines específicos de prevención, detección, investigación o enjuiciamiento de los delitos de terrorismo o de los delitos graves.

(45)

A fin de garantizar la aplicación efectiva de las normas del presente Reglamento por parte de las compañías aéreas, conviene prever la designación y la habilitación de las autoridades nacionales en calidad de autoridades nacionales de supervisión de API encargadas de la supervisión de la aplicación de dichas normas. Los Estados miembros podrán designar a sus UIP como autoridades nacionales de supervisión de API. Las normas del presente Reglamento relativas a dicha supervisión, incluidas las relativas a la imposición de sanciones cuando sea necesario, no deben afectar a las funciones y competencias de las autoridades de control establecidas de conformidad con el Reglamento (UE) 2016/679 y la Directiva (UE) 2016/680, también en relación con el tratamiento de datos personales en virtud del presente Reglamento.

(46)

Los Estados miembros deben establecer sanciones efectivas, proporcionadas y disuasorias, tanto financieras como no financieras, contra las compañías aéreas que incumplan sus obligaciones en virtud del presente Reglamento, incluidas las relativas a la recogida de datos API por medios automatizados y la transferencia de los datos de conformidad con los plazos, formatos y protocolos exigidos. En particular, los Estados miembros deben garantizar que el incumplimiento persistente por parte de las compañías aéreas en calidad de personas jurídicas de su obligación de transferir los datos API al enrutador de conformidad con el presente Reglamento sea objeto de sanciones económicas proporcionadas de hasta el 2 % del volumen de negocios mundial de la compañía aérea en el ejercicio precedente. Además, los Estados miembros deben poder imponer sanciones, también financieras, a las compañías aéreas por otras formas de incumplimiento de las obligaciones que les incumben en virtud del presente Reglamento.

(47)

Al establecer las normas en materia de sanciones aplicables a las compañías aéreas en virtud del presente Reglamento, los Estados miembros pueden tener en cuenta la viabilidad técnica y operativa de garantizar la exactitud completa de los datos. Además, cuando se impongan sanciones, se deben determinar su aplicación y su valor. Las autoridades nacionales de supervisión de API pueden tener en cuenta las medidas adoptadas por la compañía aérea para atenuar el problema, así como su nivel de cooperación con las autoridades nacionales.

(48)

Dado que el enrutador debe ser diseñado, desarrollado, alojado y gestionado técnicamente por eu-LISA, es necesario modificar el Reglamento (UE) 2018/1726 a fin de añadir esa tarea a las funciones de eu-LISA. Con el fin de conservar los informes y las estadísticas del enrutador en el repositorio central para la presentación de informes y estadísticas (RCIE) creado por el Reglamento (UE) 2019/818 del Parlamento Europeo y del Consejo (17), es necesario modificar dicho Reglamento. Con el fin de apoyar el cumplimiento del presente Reglamento por parte de la autoridad nacional de supervisión de API, es necesario que entre las modificaciones del Reglamento (UE) 2019/818 se incluyan disposiciones en materia de estadísticas que se refieran a si los datos API son exactos y están completos, por ejemplo, indicando si los datos se recogieron por medios automatizados. También es importante recopilar estadísticas fiables y útiles sobre la aplicación del presente Reglamento para apoyar sus objetivos y servir de base para las evaluaciones en virtud del presente Reglamento. eu-LISA debe proporcionar a la Comisión, a petición de esta, estadísticas sobre aspectos específicos relacionados con la aplicación del presente Reglamento, como estadísticas agregadas sobre la transmisión de datos API a las UIP. En estas estadísticas no debe figurar ningún dato personal. Por consiguiente, el RCIE debe proporcionar estadísticas basadas en datos API únicamente para la aplicación y la supervisión eficaz de la aplicación del presente Reglamento. Los datos que el enrutador transmita automáticamente al RCIE a tal fin no deben permitir la identificación de los pasajeros de que se trate.

(49)

A fin de aumentar la claridad y la seguridad jurídica, de contribuir a garantizar la calidad de los datos, a garantizar el uso responsable de los medios automatizados de recogida de datos API de lectura mecánica en virtud del presente Reglamento y a garantizar la recogida manual de datos API en circunstancias excepcionales y durante el período transitorio, de aportar claridad sobre los requisitos técnicos aplicables a las compañías aéreas y necesarios para garantizar que los datos API recogidos en virtud del presente Reglamento se transfieran al enrutador de manera segura, eficaz y rápida de forma que no impacte a los pasajeros ni a las compañías aéreas más de lo necesario, y de garantizar que los datos inexactos o incompletos o los datos que ya no estén actualizados se corrijan, completen o actualicen, deben delegarse en la Comisión los poderes para adoptar actos con arreglo al artículo 290 Vínculo a legislación del Tratado de Funcionamiento de la Unión Europea (TFUE) destinados a poner fin al período transitorio para la recogida manual de los datos API; a adoptar medidas relativas a los requisitos técnicos y las normas operativas que deben cumplir las compañías aéreas en lo que respecta al uso de medios automatizados para la recogida de los datos API de lectura mecánica en virtud del presente Reglamento y para la recogida manual de datos API en circunstancias excepcionales y durante el período transitorio, también en lo relativo a los requisitos en materia de seguridad de los datos; a establecer normas detalladas sobre los protocolos comunes y los formatos de datos admitidos que deben utilizarse para las transferencias cifradas de datos API al enrutador, incluidos los requisitos en materia de seguridad de los datos, y a establecer normas detalladas relativas a la corrección, la cumplimentación y la actualización de los datos API. Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas con las partes interesadas pertinentes, incluidas las compañías aéreas, durante la fase preparatoria, en particular con expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril Vínculo a legislación de 2016 sobre la mejora de la legislación (18). En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, conviene que el Parlamento Europeo y el Consejo reciban toda la documentación al mismo tiempo que los expertos de los Estados miembros, y que sus expertos tengan sistemáticamente acceso a las reuniones de los grupos de expertos de la Comisión que se ocupen de la preparación de los actos delegados. Teniendo en cuenta el estado actual de la técnica, dichos requisitos técnicos y normas operativas podrían cambiar con el tiempo.

(50)

A fin de garantizar condiciones uniformes para la aplicación del presente, a saber, en lo que respecta a la entrada en funcionamiento del enrutador, a las normas técnicas y de procedimiento aplicables a las verificaciones y notificaciones de datos, a las normas técnicas y de procedimiento para la transmisión de los datos API del enrutador a las UIP de manera que se garantice que la transmisión sea segura, eficaz y rápida y no afecte más de lo necesario a los viajes de los pasajeros y a las compañías aéreas, así como a las conexiones de la UIP con el enrutador y su integración en él, y de especificar las responsabilidades de los Estados miembros como corresponsables del tratamiento, por ejemplo en relación con la detección y gestión de incidentes de seguridad, incluidas las violaciones de la seguridad de los datos personales, y la relación entre los corresponsables del tratamiento y eu-LISA como encargada del tratamiento, incluida la asistencia de eu-LISA a los responsables del tratamiento con las medidas técnicas y organizativas adecuadas, en la medida en que sea posible, para el cumplimiento de las obligaciones del responsable del tratamiento de responder a las solicitudes de ejercicio de los derechos del interesado, deben conferirse a la Comisión competencias de ejecución. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo (19).

(51)

Todas las partes interesadas, y en particular las compañías aéreas y las UIP, deben disponer de tiempo suficiente para hacer los preparativos necesarios a fin de poder cumplir sus respectivas obligaciones en virtud del presente Reglamento, teniendo en cuenta que algunos de esos preparativos, como los relativos a las obligaciones en materia de conexión con el enrutador e integración en él, pueden finalizarse únicamente cuando se hayan completado las fases de diseño y desarrollo del enrutador y este entre en funcionamiento. Por lo tanto, el presente Reglamento solo debe aplicarse a partir de una fecha adecuada posterior a la fecha en que el enrutador entre en funcionamiento, especificada por la Comisión de conformidad con el presente Reglamento y el Reglamento (UE) 2025/12. No obstante, la Comisión debe tener la posibilidad de adoptar actos delegados y de ejecución en virtud del presente Reglamento a partir de una fecha anterior, a fin de garantizar que el sistema establecido por el presente Reglamento sea operativo lo antes posible.

(52)

Las fases de diseño y desarrollo del enrutador establecidas en virtud del presente Reglamento y del Reglamento (UE) 2025/12 deben iniciarse y completarse lo antes posible para que el enrutador pueda entrar en funcionamiento cuanto antes, lo que también requiere la adopción de los actos de ejecución pertinentes previstos en el presente Reglamento. Para un desarrollo fluido y eficaz de esas fases, debe crearse un consejo de administración del programa específico con la función de supervisar a eu-LISA en el desempeño de sus funciones durante esas fases. Ese consejo debe dejar de existir dos años después de que el enrutador haya entrado en funcionamiento. Además, debe crearse un órgano consultivo específico, el grupo consultivo API-PNR, de conformidad con el Reglamento (UE) 2018/1726, con el objetivo de proporcionar conocimientos especializados a eu-LISA y al consejo de administración del programa sobre las fases de diseño y desarrollo del enrutador, así como a eu-LISA sobre el alojamiento y la gestión del enrutador. El consejo de administración del programa y el grupo consultivo API-PNR deben crearse y funcionar siguiendo los modelos de los consejos de administración de programas y los grupos consultivos existentes.

(53)

La aclaración proporcionada por el presente Reglamento en relación con la aplicación de las especificaciones relativas al uso de medios automatizados en aplicación de la Directiva 2004/82 Vínculo a legislación /CE también debe aportarse sin demora. Por consiguiente, las disposiciones sobre esas materias deben aplicarse a partir de la fecha de entrada en vigor del presente Reglamento. Además, a fin de permitir el uso voluntario del enrutador lo antes posible, las disposiciones sobre tal uso, así como algunas otras disposiciones necesarias para garantizar que dicho uso se haga de manera responsable, deben aplicarse lo antes posible, es decir, desde el momento en que el enrutador entre en funcionamiento.

(54)

Debe existir una estructura de gobernanza única a efectos del presente Reglamento y del Reglamento (UE) 2025/12. Con el objetivo de permitir y fomentar la comunicación entre los representantes de las compañías aéreas y los representantes de las autoridades de los Estados miembros competentes en virtud del presente Reglamento y del Reglamento (UE) 2025/12 para que los datos API se transmitan desde el enrutador, deben crearse dos organismos específicos a más tardar dos años después de la entrada en funcionamiento del enrutador. Las cuestiones técnicas relacionadas con el uso y el funcionamiento del enrutador deben debatirse en el grupo de contacto API-PNR, en el que también deben estar presentes representantes de eu-LISA. Las cuestiones políticas, como las relativas a las sanciones, deben debatirse en el grupo de expertos API.

(55)

El presente Reglamento debe ser objeto de evaluaciones periódicas para garantizar la supervisión de su aplicación efectiva. En particular, la recogida de datos API no debe ir en detrimento de la experiencia de viaje de los pasajeros en regla. Por consiguiente, la Comisión debe incluir en sus informes de evaluación periódicos sobre la aplicación del presente Reglamento una evaluación de cómo afecta el presente Reglamento a la experiencia de viaje de los pasajeros en regla. La evaluación también debe incluir una valoración de la calidad de los datos enviados por el enrutador, así como del rendimiento del enrutador con respecto a las UIP.

(56)

Dado que el presente Reglamento requiere ajustes y costes administrativos adicionales por parte de las compañías aéreas, la carga normativa global para el sector de la aviación debe ser objeto de un estrecho seguimiento. En este contexto, el informe de evaluación del funcionamiento del presente Reglamento debe evaluar en qué medida se han cumplido los objetivos del presente Reglamento y en qué medida ha afectado a la competitividad del sector.

(57)

Dado que los objetivos del presente Reglamento, a saber, contribuir a la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de los delitos graves, habida cuenta de la dimensión transnacional de los delitos en cuestión y de la necesidad de cooperar a escala transfronteriza para hacerles frente eficazmente, no pueden ser alcanzados de manera suficiente por los Estados miembros individualmente, sino que pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea (TUE). De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dichos objetivos.

(58)

El presente Reglamento se entiende sin perjuicio de las competencias de los Estados miembros en lo que respecta al Derecho nacional en materia de seguridad nacional, siempre que dicho Derecho sea conforme con el Derecho de la Unión.

(59)

El presente Reglamento se entiende sin perjuicio de las competencias de los Estados miembros para recoger, con arreglo a su Derecho nacional, datos de pasajeros procedentes de prestadores de transporte distintos de los especificados en el presente Reglamento, siempre que dicho Derecho nacional sea conforme con el Derecho de la Unión.

(60)

De conformidad con los artículos 1 Vínculo a legislación y 2 Vínculo a legislación del Protocolo n.o 22 sobre la posición de Dinamarca, anejo al TUE y al TFUE Vínculo a legislación, Dinamarca no participa en la adopción del presente Reglamento y no queda vinculada por él ni sujeta a su aplicación.

(61)

De conformidad con el artículo 3 Vínculo a legislación del Protocolo n.o 21 sobre la posición del Reino Unido y de Irlanda respecto del espacio de libertad, seguridad y justicia, anejo al TUE y al TFUE Vínculo a legislación, Irlanda ha notificado su deseo de participar en la adopción y aplicación del presente Reglamento.

(62)

El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725, emitió su dictamen el 8 de febrero de 2023 (20),

HAN ADOPTADO EL PRESENTE REGLAMENTO:

CAPÍTULO 1

DISPOSICIONES GENERALES

Artículo 1

Objeto

Con el fin de prevenir, detectar, investigar y enjuiciar los delitos de terrorismo y los delitos graves, el presente Reglamento establece las normas relativas a lo siguiente:

a)

la recogida por parte de las compañías aéreas de información anticipada sobre los pasajeros (API, por sus siglas en inglés) de los vuelos exteriores de la UE y de vuelos interiores de la UE;

b)

la transferencia de los datos API y otros datos PNR por parte de las compañías aéreas al enrutador;

c)

la transmisión desde el enrutador a las Unidades de Información sobre los Pasajeros (UIP) de los datos API y otros datos PNR de los vuelos exteriores de la UE y de vuelos interiores de la UE seleccionados.

El presente Reglamento se entiende sin perjuicio de los Reglamentos (UE) 2016/679 y (UE) 2018/1725 y de la Directiva (UE) 2016/680.

Artículo 2

Ámbito de aplicación

El presente Reglamento se aplica a las compañías aéreas que realizan:

a)

vuelos exteriores de la UE;

b)

vuelos interiores de la UE con origen, llegada o escala en el territorio de al menos un Estado miembro que haya notificado a la Comisión su decisión de aplicar la Directiva (UE) 2016/681 a los vuelos interiores de la UE de conformidad con el artículo 2, apartado 1, de dicha Directiva.

Artículo 3

Definiciones

A los efectos del presente Reglamento, se entenderá por:

1)

“compañía aérea”, una compañía aérea tal como se define en el artículo 3, punto 1, de la Directiva (UE) 2016/681;

2)

“vuelo exterior de la UE”, cualquier vuelo exterior de la UE tal como se define en el artículo 3, punto 2, de la Directiva (UE) 2016/681;

3)

“vuelo interior de la UE”, cualquier vuelo interior de la UE tal como se define en el artículo 3, punto 3, de la Directiva (UE) 2016/681;

4)

“vuelo programado”, un vuelo programado tal como se define en el artículo 3, punto 5, del Reglamento (UE) 2025/12;

5)

“vuelo no programado”, un vuelo no programado tal como se define en el artículo 3, punto 6, del Reglamento (UE) 2025/12;

6)

“pasajero”, un pasajero tal como se define en el artículo 3, punto 4, de la Directiva (UE) 2016/681;

7)

“tripulación”, cualquier persona a bordo de una aeronave durante el vuelo, a excepción de los pasajeros, que trabaje en la aeronave o la haga funcionar, incluida la tripulación de vuelo y la tripulación de cabina de pasajeros;

8)

“información anticipada sobre los pasajeros” o “datos API”, los datos y la información de vuelo a que se refiere el artículo 4, apartados 2 y 3, respectivamente;

9)

“otros datos de registro de nombres de los pasajeros” u “otros datos PNR”, el registro de nombres de los pasajeros, tal como se definen en el artículo 3, punto 5, de la Directiva (UE) 2016/681, y tal como recoge el anexo I de dicha Directiva, a excepción del punto 18 de dicho anexo;

10)

“Unidad de Información sobre los Pasajeros” o “UIP”, la Unidad de Información sobre los Pasajeros, tal como figure en las notificaciones de los Estados miembros a la Comisión y las modificaciones de estas publicadas por la Comisión con arreglo al artículo 4, apartado 5, de la Directiva (UE) 2016/681;

11)

“delitos de terrorismo”, los delitos de terrorismo a que se refieren los artículos 3 a 12 de la Directiva (UE) 2017/541 del Parlamento Europeo y del Consejo (21);

12)

“delitos graves”, los delitos graves tal como se definen en el artículo 3, punto 9, de la Directiva (UE) 2016/681;

13)

“enrutador”, el enrutador a que se refieren el artículo 9 Vínculo a legislación del presente Reglamento y el artículo 11 del Reglamento (UE) 2025/12;

14)

“datos personales”, los datos personales tal como se definen en el artículo 3, punto 1, de la Directiva (UE) 2016/680, y en el artículo 4, punto 1, del Reglamento (UE) 2016/679;

15)

“datos de tráfico de vuelo en tiempo real”, la información sobre el tráfico de entrada y de salida de un aeropuerto al que se aplique el presente Reglamento.

CAPÍTULO 2

RECOGIDA, TRANSFERENCIA, CONSERVACIÓN Y SUPRESIÓN DE LOS DATOS API

Artículo 4

Recogida de datos API por las compañías aéreas

1. Las compañías aéreas recogerán los datos API de cada pasajero y miembro de la tripulación en los vuelos a que se refiere el artículo 2 que han de transferirse al enrutador de conformidad con el artículo 5. En caso de compañías aéreas que compartan el código del vuelo, la obligación de transferir los datos API recaerá en la compañía aérea que explote el vuelo.

2. Los datos API consistirán únicamente en los siguientes datos relativos a cada pasajero y miembro de la tripulación en el vuelo:

a)

los apellidos y los nombres de pila;

b)

la fecha de nacimiento, el sexo y la nacionalidad;

c)

el tipo y el número del documento de viaje y el código de tres letras del país de expedición del documento de viaje;

d)

la fecha de caducidad del documento de viaje;

e)

el número de identificación del registro de nombres de los pasajeros utilizado por las compañías aéreas para localizar a un pasajero en su sistema de información (localizador del registro PNR);

f)

la información sobre el asiento asignado a un pasajero en la aeronave, cuando se disponga de dicha información;

g)

el número o los números de la etiqueta del equipaje y el número y el peso del equipaje facturado, cuando se disponga de dicha información;

h)

un código que indique el método utilizado para recoger y validar los datos a que se refieren las letras a) a d).

3. Asimismo, los datos API consistirán únicamente en la siguiente información sobre el vuelo relativa al vuelo de cada pasajero y miembro de la tripulación:

a)

el número de identificación del vuelo o, en caso de compañías aéreas que compartan el código de vuelo, los números de identificación de los vuelos, o, en su defecto, otros medios claros y adecuados para identificar el vuelo;

b)

cuando proceda, el paso fronterizo de entrada en el territorio del Estado miembro;

c)

el código del aeropuerto de llegada o, cuando el vuelo tenga previsto aterrizar en uno o varios aeropuertos situados en el territorio de uno o varios Estados miembros a los que se aplica el presente Reglamento, los códigos de los aeropuertos de escala en los territorios de los Estados miembros de que se trate;

d)

el código del aeropuerto de salida del vuelo;

e)

el código del aeropuerto del punto de embarque inicial, cuando se disponga de él;

f)

la fecha y hora locales de salida;

g)

la fecha y hora locales de llegada;

h)

los datos de contacto de la compañía aérea;

i)

el formato utilizado para la transferencia de los datos API.

4. Las compañías aéreas recogerán los datos API de tal manera que los datos API que transfieran con arreglo al artículo 5 sean exactos y completos y estén actualizados. El cumplimiento de la presente obligación no exige que las compañías aéreas comprueben el documento de viaje en el momento del embarque en la aeronave, sin perjuicio del Derecho nacional que sea compatible con el Derecho de la Unión.

5. El presente Reglamento no impondrá a los pasajeros la obligación de llevar un documento de viaje cuando viajen, sin perjuicio de otros actos jurídicos de la Unión o del Derecho nacional que sea compatible con el Derecho de la Unión.

6. Un Estado miembro podrá imponer a las compañías aéreas la obligación de ofrecer a los pasajeros la posibilidad de introducir voluntariamente los datos a que se refiere el artículo 4, apartado 2, letras a) a d), del Reglamento (UE) 2025/12 utilizando medios automatizados y de que las compañías aéreas conserven tales datos con vistas a transferirlos para vuelos futuros de conformidad con el artículo 5 del presente Reglamento y de manera conforme con los requisitos establecidos en los apartados 4, 7 y 8 del presente artículo. Los Estados miembros que impongan dicha obligación establecerán las normas y garantías en materia de protección de datos, de conformidad con el Reglamento (UE) 2016/679, incluidas normas sobre el plazo de conservación. No obstante, los datos se suprimirán cuando el pasajero deje de autorizar la conservación de los datos o, a más tardar, en la fecha de caducidad del documento de viaje.

7. Las compañías aéreas recogerán los datos API a que se refiere el apartado 2, letras a) a d), utilizando medios automatizados para recoger los datos de lectura mecánica del documento de viaje del pasajero de que se trate. Lo harán de conformidad con los requisitos técnicos detallados y las normas operativas a que se refiere el apartado 12, una vez que dichas normas se hayan adoptado y sean aplicables.

Cuando las compañías aéreas ofrezcan un proceso de facturación en línea, permitirán que los pasajeros proporcionen los datos API a que se refiere el apartado 2, letras a) a d), utilizando medios automatizados durante este proceso de facturación en línea. En el caso de los pasajeros que no facturen en línea, las compañías aéreas deben permitirles proporcionar los datos API utilizando medios automatizados durante la facturación en el aeropuerto con la asistencia de un quiosco de autoservicio o del personal de la compañía aérea en el mostrador.

Cuando no sea técnicamente posible utilizar medios automatizados, las compañías aéreas recogerán manualmente de manera excepcional los datos API a que se refiere el apartado 2, letras a) a d), ya sea como parte de la facturación en línea o de la facturación en el aeropuerto, de manera que se garantice el cumplimiento de lo dispuesto en el apartado 4.

8. Los medios automatizados utilizados por las compañías aéreas para recoger los datos API en virtud del presente Reglamento serán fiables y seguros y estarán actualizados. Las compañías aéreas garantizarán que los datos API estén cifrados durante su transferencia del pasajero a la compañía aérea.

9. Durante un período transitorio, y además de los medios automatizados a que se refiere el apartado 7, las compañías aéreas ofrecerán a los pasajeros la posibilidad de proporcionar los datos API manualmente como parte de la facturación en línea. En esos casos, las compañías aéreas utilizarán técnicas de verificación de datos para garantizar el cumplimiento del apartado 4.

10. El período transitorio a que se refiere el apartado 9 no afectará al derecho de las compañías aéreas a verificar en el aeropuerto antes del embarque en la aeronave los datos API recogidos como parte de la facturación en línea, para garantizar el cumplimiento del apartado 4, de conformidad con el Derecho de la Unión aplicable.

11. La Comisión estará facultada para adoptar, una vez transcurridos cuatro años de la entrada en funcionamiento del enrutador en relación con los datos API a que se refiere el artículo 34, y sobre la base de una evaluación de la disponibilidad y accesibilidad de los medios automatizados para recopilar datos API, un acto delegado de conformidad con el artículo 43 para poner fin al período transitorio a que se refiere el apartado 9 del presente artículo.

12. La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 43 a fin de completar el presente Reglamento por los que se establezcan requisitos técnicos detallados y normas operativas para la recogida de los datos API a que se refiere el apartado 2, letras a) a d), del presente artículo, utilizando medios automatizados de conformidad con los apartados 7 y 8 del presente artículo, y para la recogida manual de datos API en circunstancias excepcionales de conformidad con el apartado 7 del presente artículo y durante el período transitorio a que se refiere el apartado 9 del presente artículo. Dichos requisitos técnicos y normas operativas incluirán requisitos relativos a la seguridad de los datos y al uso de los medios automatizados más fiables disponibles para recoger los datos de lectura mecánica que figuran en un documento de viaje.

Artículo 5

Obligaciones de las compañías aéreas en relación con las transferencias de datos API y otros datos PNR

1. Las compañías aéreas transferirán por medios electrónicos al enrutador los datos API cifrados, a los efectos de su transmisión a las UIP de conformidad con el artículo 12. Las compañías aéreas transferirán los datos API de conformidad con las normas detalladas a que se refiere el apartado 4 del presente artículo, una vez que dichas normas se hayan adoptado y sean aplicables.

2. Al adoptar medidas de conformidad con el artículo 8, apartado 1, de la Directiva (UE) 2016/681, los Estados miembros exigirán a las compañías aéreas que transfieran exclusivamente al enrutador cualquier otro dato PNR que recojan en el desarrollo normal de su actividad, de conformidad con los protocolos y formatos de datos comunes establecidos de conformidad con el artículo 16 de dicha Directiva.

3. Las compañías aéreas transferirán los datos API:

a)

de los pasajeros:

i)

de cada pasajero, en el momento de la facturación, pero no antes de las cuarenta y ocho horas anteriores a la hora prevista de salida del vuelo, y

ii)

de todos los pasajeros que hayan embarcado inmediatamente después del cierre del vuelo, es decir, una vez que los pasajeros hayan embarcado en el avión en preparación de la salida y no sea posible embarcar o desembarcar pasajeros;

b)

de todos los miembros de la tripulación inmediatamente después del cierre del vuelo, es decir, una vez que la tripulación haya embarcado en la aeronave en preparación de la salida y ya no pueda abandonar la aeronave.

4. La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 43 a fin de completar el presente Reglamento por los que se establezcan las normas detalladas necesarias sobre los protocolos comunes y los formatos de datos admitidos que deben utilizarse para las transferencias cifradas de datos API al enrutador a que se refiere el apartado 1 del presente artículo, incluidos la transferencia de datos API en el momento de la facturación y los requisitos de seguridad de los datos. Dichas normas detalladas garantizarán que las compañías aéreas transfieran los datos API con una estructura y un contenido idénticos.

Artículo 6

Plazo de conservación y supresión de los datos API

Las compañías aéreas conservarán, durante un plazo de cuarenta y ocho horas a partir del momento en que el enrutador reciba los datos API que se le transfieran de conformidad con el artículo 5, apartado 3, letra a), inciso ii) y el artículo 5, apartado 3, letra b), los datos API relativos a todos los pasajeros y miembros de la tripulación que hayan recogido con arreglo al artículo 4. Suprimirán inmediata y permanentemente dichos datos API una vez expirado dicho plazo, sin perjuicio de la posibilidad de que las compañías aéreas conserven y utilicen los datos cuando sea necesario para el desarrollo normal de su actividad comercial de conformidad con el Derecho aplicable y con el artículo 16, apartados 1 y 3.

Artículo 7

Corrección, compleción y actualización de los datos API

1. Cuando una compañía aérea tenga conocimiento de que los datos que conserva en virtud del presente Reglamento han sido tratados ilícitamente, o de que no constituyen datos API, los suprimirá de forma inmediata y permanente. Si dichos datos se han transferido al enrutador, la compañía aérea informará inmediatamente a la Agencia de la Unión Europea para la Gestión Operativa de Sistemas Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia (eu-LISA). Una vez recibida dicha información, eu-LISA informará inmediatamente a las UIP que hayan recibido los datos transmitidos a través del enrutador.

2. Cuando una compañía aérea tenga conocimiento de que los datos que conserva en virtud del presente Reglamento son inexactos o incompletos o han dejado de estar actualizados, los corregirá, completará o actualizará inmediatamente. Lo anterior se entiende sin perjuicio de la posibilidad de que las compañías aéreas conserven y utilicen los datos cuando sea necesario para el desarrollo normal de su actividad comercial de conformidad con el Derecho aplicable.

3. Cuando una compañía aérea tenga conocimiento, después de la transferencia de datos API con arreglo al artículo 5, apartado 3, letra a), inciso i), pero antes de la transferencia con arreglo al artículo 5, apartado 3, letra a), inciso ii), de que los datos que ha transferido son inexactos, la compañía aérea transferirá inmediatamente los datos API corregidos al enrutador.

4. Cuando una compañía aérea tenga conocimiento, después de la transferencia de datos API con arreglo al artículo 5, apartado 3, letra a), inciso ii), o al artículo 5, apartado 3, letra b), de que los datos que ha transferido son inexactos o incompletos o han dejado de estar actualizados, la compañía aérea transferirá inmediatamente los datos API corregidos, completados o actualizados al enrutador.

5. La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 43 a fin de completar el presente Reglamento por los que se establezcan las normas detalladas necesarias sobre la corrección, compleción y actualización de los datos API en el sentido del presente artículo.

Artículo 8

Derechos fundamentales

1. La recogida y el tratamiento de datos personales de conformidad con el presente Reglamento y el Reglamento (UE) 2025/12 por parte de las compañías aéreas y las autoridades competentes no dará lugar a discriminación alguna de las personas por los motivos enumerados en el artículo 21 Vínculo a legislación de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, “Carta”).

2. El presente Reglamento deberá respetar plenamente la dignidad humana y los derechos fundamentales y los principios reconocidos en la Carta, incluidos los derechos a la intimidad, al asilo, a la protección de los datos personales, a la libre circulación y a vías de recurso efectivas.

3. Se prestará especial atención a los menores, las personas mayores, las personas con discapacidad y las personas vulnerables. El interés superior del niño constituirá una consideración primordial al aplicar el presente Reglamento.

CAPÍTULO 3

DISPOSICIONES RELATIVAS AL ENRUTADOR

Artículo 9

El enrutador

1. eu-LISA diseñará, desarrollará, alojará y gestionará técnicamente, con arreglo a los artículos 25 y 26, un enrutador con el fin de facilitar la transferencia de datos API y otros datos PNR cifrados por parte de las compañías aéreas a las UIP, de conformidad con el presente Reglamento.

2. El enrutador estará compuesto por:

a)

una infraestructura central, que incluye un conjunto de componentes técnicos que permiten la recepción y la transmisión de datos API y otros datos PNR cifrados;

b)

un canal de comunicación seguro entre la infraestructura central y las UIP, y un canal de comunicación seguro entre la infraestructura central y las compañías aéreas, para la transferencia y la transmisión de datos API y otros datos PNR y para cualquier comunicación relacionada con ellos, y para la inserción en el enrutador, por parte de los Estados miembros, de determinados vuelos a que se refiere el artículo 12, apartado 4, y todas las actualizaciones conexas;

c)

un canal seguro para recibir datos de tráfico de vuelo en tiempo real.

3. Sin perjuicio de lo dispuesto en el artículo 10 del presente Reglamento, el enrutador compartirá y reutilizará, cuando proceda y en la medida en que sea técnicamente posible, los componentes técnicos, incluidos los componentes de soporte físico (hardware) y soporte lógico (software), del servicio web a que se refiere el artículo 13 del Reglamento (UE) 2017/2226, la pasarela para los transportistas a que se refiere el artículo 6, apartado 2, letra k), del Reglamento (UE) 2018/1240 y la pasarela para los transportistas a que se refiere el artículo 45 quater del Reglamento (CE) n.o 767/2008.

eu-LISA diseñará el enrutador, en la medida en que sea técnica y operativamente posible, de manera coherente y compatible con las obligaciones de las compañías aéreas establecidas en los Reglamentos (CE) n.o 767/2008, (UE) 2017/2226 y (UE) 2018/1240.

4. El enrutador extraerá automáticamente los datos, de conformidad con el artículo 39 del presente Reglamento, y los pondrá a disposición del repositorio central para la presentación de informes y estadísticas (RCIE) creado por el artículo 39 del Reglamento (UE) 2019/818.

5. eu-LISA diseñará y desarrollará el enrutador de manera que, para cualquier transferencia de datos API y otros datos PNR desde las compañías aéreas al enrutador, de conformidad con el artículo 5, y para cualquier transmisión de datos API y otros datos PNR desde el enrutador a las UIP, de conformidad con el artículo 12, y al RCIE, de conformidad con el artículo 39, apartado 2, los datos API y otros datos PNR estén cifrados de extremo a extremo durante el tránsito.

Artículo 10

Uso exclusivo del enrutador

A efectos del presente Reglamento, el enrutador solo será utilizado por las entidades siguientes:

a)

por las compañías aéreas para transferir datos API y otros datos PNR cifrados de conformidad con el presente Reglamento;

b)

por las UIP para recibir datos API y otros datos PNR cifrados de conformidad con el presente Reglamento;

c)

sobre la base de acuerdos internacionales que permitan la transferencia de datos PNR a través del enrutador, celebrados por la Unión con terceros países que hayan celebrado un acuerdo que establezca su asociación a la ejecución, aplicación y desarrollo del acervo de Schengen.

El presente artículo se entiende sin perjuicio de lo dispuesto en el artículo 12 del Reglamento (UE) 2025/12.

Artículo 11

Verificación del formato de los datos y de la transferencia

1. El enrutador verificará, de manera automatizada y sobre la base de los datos de tráfico de vuelo en tiempo real, si la compañía aérea transfirió los datos API de conformidad con el artículo 5, apartado 1, u otros datos PNR de conformidad con el artículo 5, apartado 2.

2. El enrutador verificará, de forma inmediata y automatizada, si los datos API que se le transfieran de conformidad con el artículo 5, apartado 1, cumplen las normas detalladas sobre los formatos de datos admitidos a que se refiere el artículo 5, apartado 4.

3. El enrutador comprobará, de forma inmediata y automatizada, si los otros datos PNR que se le transfieran de conformidad con el artículo 5, apartado 2, cumplen las normas sobre los formatos de datos admitidos a que se refiere el artículo 16 de la Directiva (UE) 2016/681.

4. Cuando la verificación a que se refiere el apartado 1 determine que los datos no han sido transferidos por la compañía aérea o cuando la verificación a que se refieren los apartados 2 o 3 determine que los datos no cumplen las normas detalladas sobre los formatos de datos admitidos, el enrutador lo notificará inmediatamente y de manera automatizada a la compañía aérea de que se trate y a las UIP de los Estados miembros a los que deban transmitirse los datos con arreglo al artículo 12, apartado 1. En tales casos, la compañía aérea transferirá inmediatamente los datos API y otros datos PNR de conformidad con el artículo 5.

5. La Comisión adoptará actos de ejecución que especifiquen las normas técnicas y de procedimiento detalladas necesarias para las comprobaciones y notificaciones a que se refieren los apartados 1 a 4 del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 42, apartado 2.

Artículo 12

Transmisión de datos API y otros datos PNR del enrutador a las UIP

1. Tras las verificaciones del formato de datos y de la transferencia a que se refiere el artículo 11, el enrutador transmitirá los datos API y otros datos PNR cifrados que le hayan sido transferidos por las compañías aéreas con arreglo al artículo 5, apartados 1 y 2, y, cuando proceda, el artículo 7, apartados 3 y 4, a las UIP del Estado miembro en cuyo territorio vaya a aterrizar o desde cuyo territorio vaya a salir el vuelo, o a ambos en el caso de los vuelos interiores de la UE. Transmitirá dichos datos inmediatamente y de forma automatizada, sin modificar en modo alguno su contenido. Cuando un vuelo tenga una o más escalas en el territorio de otros Estados miembros distintos de aquel de donde salió, el enrutador transmitirá los datos API y cualquier otro dato PNR a las UIP de todos los Estados miembros afectados.

A efectos de dicha transmisión, eu-LISA establecerá y mantendrá actualizado un cuadro de correspondencias entre los distintos aeropuertos de origen y de destino y los países a los que pertenecen.

No obstante, en el caso de los vuelos interiores de la UE, el enrutador solo transmitirá datos API y otros datos PNR de los vuelos incluidos en la lista a que se refiere el apartado 4 a las UIP pertinentes.

2. El enrutador transmitirá los datos API y otros datos PNR de conformidad con las normas detalladas a que se refiere el apartado 6, una vez que dichas normas se hayan adoptado y sean aplicables.

3. Los Estados miembros se asegurarán de que sus UIP, una vez reciban datos API y otros datos PNR de conformidad con el apartado 1, confirmen de forma inmediata y automatizada la recepción de tales datos al enrutador.

4. Los Estados miembros que decidan aplicar la Directiva (UE) 2016/681 a los vuelos interiores de la UE de conformidad con el artículo 2 de dicha Directiva establecerán una lista de los vuelos interiores de la UE o las rutas seleccionados. Los Estados miembros podrán utilizar el código del aeropuerto de salida y del aeropuerto de llegada para indicar los vuelos o rutas seleccionados. Esos Estados miembros, de conformidad con el artículo 2 de dicha Directiva y el artículo 13 del presente Reglamento, revisarán periódicamente y, en caso necesario, actualizarán dichas listas. Los Estados miembros podrán seleccionar todos los vuelos o rutas interiores de la UE cuando esté debidamente justificado, de conformidad con la Directiva (UE) 2016/681 y el artículo 13 del presente Reglamento.

A más tardar en la fecha pertinente de aplicación del presente Reglamento a que se refiere el artículo 45, párrafo segundo, los Estados miembros introducirán los vuelos o rutas seleccionados en el enrutador, por medios automatizados a través del canal de comunicación seguro a que se refiere el artículo 9, apartado 2, letra b), y, posteriormente, proporcionarán al enrutador cualquier actualización de los mismos.

5. La información introducida por los Estados miembros el enrutador será tratada confidencialmente y el acceso a esa información por parte del personal de eu-LISA se limitará a lo estrictamente necesario para la resolución de problemas técnicos. Tras la recepción por parte del enrutador de esa información o de cualquier actualización de la misma desde un Estado miembro, eu-LISA garantizará que el enrutador transmita inmediatamente a la UIP de ese Estado miembro los datos API y otros datos PNR relativos a los vuelos o rutas seleccionados, de conformidad con el apartado 1.

6. La Comisión adoptará actos de ejecución por los que se especifiquen las normas técnicas y de procedimiento detalladas necesarias para la transmisión de datos API y otros datos PNR del enrutador a que se refiere el apartado 1 del presente artículo y para la introducción de información en el enrutador a que se refiere el apartado 4 del presente artículo, también en lo relativo a los requisitos de seguridad de los datos. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 42, apartado 2.

Artículo 13

Selección de vuelos interiores de la UE

1. Los Estados miembros que decidan, de conformidad con el artículo 2 de la Directiva (UE) 2016/681, aplicar dicha Directiva y, en consecuencia, el presente Reglamento a los vuelos interiores de la UE seleccionarán tales vuelos de conformidad con el presente artículo.

2. Los Estados miembros podrán aplicar la Directiva (UE) 2016/681 y, en consecuencia, el presente Reglamento a todos los vuelos interiores de la UE que lleguen a su territorio o salgan de él únicamente en situaciones de amenaza terrorista real, actual o previsible, sobre la base de una decisión basada en una evaluación de la amenaza, limitada en el tiempo a lo estrictamente necesario y que pueda ser objeto de un recurso efectivo por un órgano jurisdiccional o por un órgano administrativo independiente cuya decisión sea vinculante.

3. En ausencia de una amenaza terrorista real, actual o previsible, los Estados miembros que apliquen la Directiva (UE) 2016/681 y, en consecuencia, el presente Reglamento a los vuelos interiores de la UE seleccionarán tales vuelos en función del resultado de una evaluación realizada sobre la base de los requisitos establecidos en los apartados 4 a 7 del presente artículo.

4. La evaluación a que se refiere el apartado 3:

a)

se realizará de una manera objetiva, debidamente motivada y no discriminatoria de conformidad con el artículo 2 de la Directiva (UE) 2016/681;

b)

tendrá en cuenta únicamente los criterios que sean pertinentes para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y de los delitos graves que tengan una vinculación objetiva, aunque sea indirecta, con el transporte aéreo de pasajeros, y no se basen únicamente en las razones enumeradas en el artículo 21 de la Carta de los Derechos Fundamentales de la Unión Europea en relación con cualquier pasajero o grupo de pasajeros;

c)

utilizará únicamente información que puedan servir de base para una evaluación objetiva, debidamente motivada y no discriminatoria.

5. Sobre la base de la evaluación a que se refiere el apartado 3, los Estados miembros solo seleccionarán vuelos interiores de la UE relativos, entre otras cosas, a rutas, patrones de viaje o aeropuertos específicos para los que existan indicios de delitos terroristas y de delitos graves y que justifiquen el tratamiento de los datos API y otros datos PNR. La selección de vuelos interiores de la UE se limitará a lo estrictamente necesario para alcanzar los objetivos de la Directiva (UE) 2016/681 y del presente Reglamento.

6. Los Estados miembros conservarán toda la documentación de la evaluación a que se refiere el apartado 3, incluidas, cuando procedan, sus revisiones, y la pondrán a disposición de sus autoridades de control independientes y de las autoridades nacionales de supervisión, previa solicitud, de conformidad con la Directiva (UE) 2016/680.

7. De conformidad con el artículo 2 de la Directiva (UE) 2016/681, los Estados miembros revisarán periódicamente y al menos cada doce meses la evaluación a que se refiere el apartado 3, a fin de tener en cuenta los cambios en las circunstancias que justificaron la selección de vuelos interiores de la UE y con el fin de garantizar que la selección de los vuelos interiores de la UE siga limitándose a lo estrictamente necesario.

8. La Comisión facilitará un intercambio periódico de puntos de vista sobre los criterios de selección para la evaluación a que se refiere el apartado 3, que incluya el intercambio de mejores prácticas, así como, de forma voluntaria, el intercambio de información sobre los vuelos seleccionados.

Artículo 14

Supresión de datos API y otros datos PNR del enrutador

Los datos API y otros datos PNR, transferidos al enrutador con arreglo al presente Reglamento, se conservarán en el enrutador únicamente en la medida en que sea necesario para completar la transmisión a las UIP pertinentes de conformidad con el presente Reglamento y se suprimirán del enrutador de inmediata y permanentemente de forma automatizada en las dos situaciones siguientes:

a)

cuando se confirme, de conformidad con el artículo 12, apartado 3, que se ha completado la transmisión de los datos API y otros datos PNR a las UIP pertinentes;

b)

cuando los datos API y otros datos PNR correspondan a vuelos interiores de la UE distintos de los incluidos en las listas a que se refiere el artículo 12, apartado 4.

El enrutador informará automáticamente a eu-LISA y a las UIP de la supresión inmediata de los vuelos interiores de la UE a que se refiere la letra b).

Artículo 15

Tratamiento de datos API y otros datos PNR por parte de las UIP

Los datos API y otros datos PNR transmitidos a las UIP de conformidad con el presente Reglamento serán tratados posteriormente por las UIP de conformidad con la Directiva (UE) 2016/681, en particular en lo que respecta a las normas sobre el tratamiento de los datos API y otros datos PNR por parte de las UIP, incluidas las establecidas en los artículos 6, 10, 12 y 13 de dicha Directiva, y únicamente con fines de prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y de delitos graves.

Las UIP u otras autoridades competentes no tratarán en ningún caso los datos API y otros datos PNR con fines de elaboración de perfiles, en el sentido del artículo 11, apartado 3, de la Directiva (UE) 2016/680.

Artículo 16

Acciones en caso de imposibilidad técnica de utilizar el enrutador

1. Cuando sea técnicamente imposible utilizar el enrutador para transmitir datos API u otros datos PNR debido a un fallo del enrutador, eu-LISA notificará inmediatamente de manera automatizada dicha imposibilidad técnica a las compañías aéreas y a las UIP. En tal caso, eu-LISA tomará inmediatamente medidas para hacer frente a la imposibilidad técnica de utilizar el enrutador y lo notificará inmediatamente a las compañías aéreas y a las UIP cuando esta se haya resuelto satisfactoriamente.

Durante el período comprendido entre dichas notificaciones, no se aplicará el artículo 5, apartado 1, en la medida en que la imposibilidad técnica impida la transferencia de datos API u otros datos PNR al enrutador. Las compañías aéreas conservarán los datos API u otros datos PNR hasta que se haya resuelto satisfactoriamente la imposibilidad técnica. Tan pronto se haya resuelto satisfactoriamente la imposibilidad técnica, las compañías aéreas transferirán los datos al enrutador de conformidad con el artículo 5, apartado 1.

Cuando sea técnicamente imposible utilizar el enrutador y en casos excepcionales relacionados con los objetivos del presente Reglamento que hagan necesario que las UIP reciban inmediatamente datos API u otros datos PNR durante la imposibilidad técnica de utilizar el enrutador, las UIP podrán solicitar a las compañías aéreas que utilicen cualquier otro medio adecuado que garantice el nivel necesario de seguridad, calidad y protección de los datos para transferir los datos API u otros datos PNR directamente a las UIP. Las UIP tratarán los datos API u otros datos PNR recibidos por cualquier otro medio adecuado de conformidad con las normas y garantías establecidas en la Directiva (UE) 2016/681.

Tras la notificación de eu-LISA de que la imposibilidad técnica se ha resuelto satisfactoriamente, y cuando se confirme, de acuerdo con el artículo 12, apartado 3, que se ha completado la transmisión de los datos API u otros datos PNR a través del enrutador a la UIP pertinente, la UIP suprimirá inmediatamente los datos API u otros datos PNR que haya recibido por cualquier otro medio adecuado.

2. Cuando sea técnicamente imposible utilizar el enrutador para transmitir los datos API u otros datos PNR debido a un fallo de los sistemas o las infraestructuras a que se refiere el artículo 23 de un Estado miembro, la UIP de dicho Estado miembro notificará inmediatamente esta imposibilidad técnica de manera automatizada a las demás UIP, a eu-LISA y a la Comisión. En tal caso, dicho Estado miembro tomará inmediatamente medidas para hacer frente a la imposibilidad técnica de utilizar el enrutador y lo notificará inmediatamente a las demás UIP, a eu-LISA y a la Comisión cuando esta se haya resuelto satisfactoriamente. El enrutador conservará los datos API u otros datos PNR hasta que se haya resuelto satisfactoriamente la imposibilidad técnica. Tan pronto se haya resuelto satisfactoriamente la imposibilidad técnica, el enrutador transmitirá los datos de conformidad con el artículo 12, apartado 1.

Cuando sea técnicamente imposible utilizar el enrutador y en casos excepcionales relacionados con los objetivos del presente Reglamento que hagan necesario que las UIP reciban inmediatamente datos API u otros datos PNR durante la imposibilidad técnica de utilizar el enrutador, las UIP podrán solicitar a las compañías aéreas que utilicen cualquier otro medio adecuado que garantice el nivel necesario de seguridad, de calidad y de protección de los datos para transferir los datos API u otros datos PNR directamente a las UIP. Las UIP tratarán los datos API u otros datos PNR recibidos por cualquier otro medio adecuado de conformidad con las normas y garantías establecidas en la Directiva (UE) 2016/681.

Tras la notificación de eu-LISA de que la imposibilidad técnica se ha resuelto satisfactoriamente, y cuando se confirme, de conformidad con el artículo 12, apartado 3, que se ha completado la transmisión de los datos API u otros datos PNR a través del enrutador a la UIP pertinente, la UIP suprimirá inmediatamente los datos API u otros datos PNR que haya recibido por cualquier otro medio adecuado.

3. Cuando sea técnicamente imposible utilizar el enrutador para transferir los datos API u otros datos PNR debido a un fallo de los sistemas o las infraestructuras a que se refiere el artículo 24 de una compañía aérea, dicha compañía aérea notificará inmediatamente esta imposibilidad técnica de manera automatizada a las UIP, a eu-LISA y a la Comisión. En tal caso, dicha compañía aérea tomará inmediatamente medidas para hacer frente a la imposibilidad técnica de utilizar el enrutador y lo notificará inmediatamente a las UIP, a eu-LISA y a la Comisión cuando esta se haya resuelto satisfactoriamente.

Durante el período comprendido entre dichas notificaciones, no se aplicará el artículo 5, apartado 1, en la medida en que la imposibilidad técnica impida la transferencia de datos API u otros datos PNR al enrutador. Las compañías aéreas conservarán los datos API u otros datos PNR hasta que se haya resuelto satisfactoriamente la imposibilidad técnica. Tan pronto se haya resuelto satisfactoriamente la imposibilidad técnica, las compañías aéreas transferirán los datos al enrutador de conformidad con el artículo 5, apartado 1.

Cuando sea técnicamente imposible utilizar el enrutador y en casos excepcionales relacionados con los objetivos del presente Reglamento que hagan necesario que las UIP reciban inmediatamente datos API u otros datos PNR durante la imposibilidad técnica de utilizar el enrutador, las UIP podrán solicitar a las compañías aéreas que utilicen cualquier otro medio adecuado que garantice el nivel necesario de seguridad, calidad y protección de los datos para transferir los datos API u otros datos PNR directamente a las UIP. Las UIP tratarán los datos API u otros datos PNR recibidos por cualquier otro medio adecuado de conformidad con las normas y garantías establecidas en la Directiva (UE) 2016/681.

Tras la notificación de eu-LISA de que la imposibilidad técnica se ha resuelto satisfactoriamente, y cuando se confirme, de conformidad con el artículo 12, apartado 3, que se ha completado la transmisión de los datos API u otros datos PNR a través del enrutador a la UIP pertinente, la UIP suprimirá inmediatamente los datos API u otros datos PNR que haya recibido por cualquier otro medio adecuado.

Cuando se haya resuelto satisfactoriamente la imposibilidad técnica, la compañía aérea afectada presentará sin demora a la autoridad nacional de supervisión de API a que se refiere el artículo 37 un informe que contenga todos los pormenores necesarios de la imposibilidad técnica, incluidas las razones de la imposibilidad técnica, su alcance y consecuencias, así como las medidas tomadas para resolverla.

CAPÍTULO 4

DISPOSICIONES ESPECÍFICAS SOBRE LA PROTECCIÓN DE LOS DATOS PERSONALES Y SEGURIDAD

Artículo 17

Conservación de registros

1. Las compañías aéreas crearán registros de todas las operaciones de tratamiento relativas a datos API realizadas en virtud del presente Reglamento utilizando los medios automatizados a que se refiere el artículo 4, apartado 7. Dichos registros incluirán la fecha, la hora y el lugar de transferencia de los datos API. Dichos registros no contendrán datos personales, excepto la información necesaria para identificar al miembro pertinente del personal de la compañía aérea.

2. eu-LISA conservará registros de todas las operaciones de tratamiento relacionadas con la transferencia y la transmisión de datos API y otros datos PNR a través del enrutador en virtud del presente Reglamento. Dichos registros incluirán lo siguiente:

a)

la compañía aérea que transfirió los datos API y otros datos PNR al enrutador;

b)

la compañía aérea que transfirió otros datos PNR al enrutador;

c)

las UIP a las que se transmitieron los datos API a través del enrutador;

d)

las UIP a las que se transmitieron otros datos PNR a través del enrutador;

e)

la fecha y hora de la transferencia o transmisión a que se refieren las letras a) a d), y el lugar de dicha transferencia o transmisión;

f)

todo acceso del personal de eu-LISA necesario para el mantenimiento del enrutador, tal como se contempla en el artículo 26, apartado 3;

g)

cualquier otra información relativa a esas operaciones de tratamiento necesaria para supervisar la seguridad e integridad de los datos API y otros datos PNR y la licitud de esas operaciones de tratamiento.

Dichos registros no incluirán datos personales distintos de la información necesaria para identificar al miembro pertinente del personal de eu-LISA a que se refiere el párrafo primero, letra f).

3. Los registros a que se refieren los apartados 1 y 2 del presente artículo se utilizarán únicamente para garantizar la seguridad e integridad de los datos API y otros datos PNR y la licitud del tratamiento, en particular en lo que se refiere al cumplimiento de los requisitos establecidos en el presente Reglamento, incluidos los procedimientos y sanciones por el incumplimiento de dichos requisitos de conformidad con los artículos 37 y 38.

4. Las compañías aéreas y eu-LISA tomarán las medidas adecuadas para proteger los registros que hayan creado de conformidad con los apartados 1 y 2, respectivamente, contra el acceso no autorizado y otros riesgos para la seguridad.

5. Las autoridades nacionales de supervisión de API a que se refiere el artículo 37 y las UIP tendrán acceso a los registros pertinentes a que se refiere el apartado 1 del presente artículo cuando sea necesario para los fines a que se refiere el apartado 3 del presente artículo.

6. Las compañías aéreas y eu-LISA conservarán los registros que hayan creado de conformidad con los apartados 1 y 2, respectivamente, durante un período de un año a partir del momento de la creación de esos registros. Suprimirán inmediata y permanentemente dichos registros una vez expirado dicho plazo.

No obstante, si dichos registros son necesarios para procedimientos destinados a supervisar o garantizar la seguridad e integridad de los datos API o la licitud de las operaciones de tratamiento a que se refiere el apartado 3, y esos procedimientos ya han comenzado en el momento de la expiración del plazo a que se refiere el párrafo primero del presente apartado, las compañías aéreas y eu-LISA conservarán dichos registros durante el tiempo que sea necesario para dichos procedimientos. En tal caso, suprimirán inmediatamente esos registros cuando ya no sean necesarios para dichos procedimientos.

Artículo 18

Responsabilidades en materia de protección de datos

1. Las compañías aéreas serán responsables, en el sentido del artículo 4, punto 7, del Reglamento (UE) 2016/679, del tratamiento de los datos API y otros datos PNR que constituyan datos personales en relación con la recogida de dichos datos y su transferencia al enrutador en virtud del presente Reglamento.

2. Cada Estado miembro designará una autoridad competente como responsable del tratamiento de conformidad con el presente artículo. Los Estados miembros notificarán dichas autoridades a la Comisión, a eu-LISA y a los demás Estados miembros.

Todas las autoridades competentes designadas por los Estados miembros serán corresponsables del tratamiento de conformidad con el artículo 21 de la Directiva (UE) 2016/680 a efectos del tratamiento de datos personales en el enrutador.

3. eu-LISA será la encargada del tratamiento en el sentido del artículo 3, punto 12, del Reglamento (UE) 2018/1725, a efectos del tratamiento de datos API y otros datos PNR que constituyan datos personales con arreglo al presente Reglamento trasmitidos a través del enrutador, incluida la transmisión de los datos del enrutador a las UIP y la conservación por razones técnicas de esos datos en el enrutador. eu-LISA se asegurará de que el enrutador se opere de conformidad con el presente Reglamento.

4. La Comisión adoptará actos de ejecución por los que se establezcan las responsabilidades respectivas de los corresponsables del tratamiento y las obligaciones respectivas entre los corresponsables del tratamiento y la encargada del tratamiento. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 42, apartado 2.

Artículo 19

Información a los pasajeros

De conformidad con el artículo 13 del Reglamento (UE) 2016/679, las compañías aéreas deben proporcionar a los pasajeros, en los vuelos regulados por el presente Reglamento, información sobre la finalidad de la recogida de sus datos personales, el tipo de datos personales recogidos, los destinatarios de los datos personales y los medios para ejercer sus derechos como interesados.

Esa información se debe comunicar a los pasajeros por escrito y en un formato fácilmente accesible en el momento de la reserva y en el momento de la facturación, con independencia de los medios utilizados para recoger los datos personales en el momento de la facturación de conformidad con el artículo 4.

Artículo 20

Seguridad

1. eu-LISA garantizará la seguridad y el cifrado de los datos API y otros datos PNR, en particular los datos que constituyan datos personales, que trate con arreglo al presente Reglamento. Las UIP y las compañías aéreas garantizarán la seguridad de los datos API, en particular de los datos API que constituyan datos personales, que traten con arreglo al presente Reglamento. eu-LISA, las UIP y las compañías aéreas cooperarán entre sí, de conformidad con sus responsabilidades respectivas y con arreglo al Derecho de la Unión, para garantizar dicha seguridad.

2. eu-LISA garantizará la seguridad y la confidencialidad de los datos relativos a los vuelos y rutas seleccionados por los Estados miembros de conformidad con el artículo 12, apartado 4. Las UIP y las compañías aéreas garantizarán la seguridad de los datos API, en particular de los datos API que constituyan datos personales, que traten con arreglo al presente Reglamento. eu-LISA, las UIP y las compañías aéreas cooperarán entre sí, de conformidad con sus responsabilidades respectivas y con arreglo al Derecho de la Unión, para garantizar dicha seguridad.

3. eu-LISA tomará las medidas necesarias para garantizar la seguridad del enrutador y de los datos API y otros datos PNR, en particular los datos que constituyan datos personales, transmitidos a través del enrutador, también estableciendo, aplicando y actualizando periódicamente un plan de seguridad, un plan de continuidad de las actividades y un plan de recuperación en caso de catástrofe, a fin de:

a)

proteger físicamente el enrutador, por ejemplo, mediante la elaboración de planes de contingencia para la protección de sus componentes críticos;

b)

impedir todo tratamiento no autorizado de los datos API u otros datos PNR, incluido el acceso no autorizado a los mismos y su copia, modificación o supresión, tanto durante la transferencia de los datos API u otros datos PNR hacia y desde el enrutador como durante la conservación de los datos API u otros datos PNR en el enrutador cuando sea necesario para completar la transmisión, en particular mediante técnicas adecuadas de cifrado;

c)

garantizar que las personas autorizadas a acceder al enrutador solo tengan acceso a los datos previstos en su autorización de acceso;

d)

garantizar que sea posible comprobar y determinar a qué UIP se transmiten los datos API u otros datos PNR a través del enrutador;

e)

informar adecuadamente a su Consejo de Administración de cualquier fallo en el funcionamiento del enrutador;

f)

supervisar la eficacia de las medidas de seguridad exigidas en virtud del presente artículo y del Reglamento (UE) 2018/1725, y evaluar y actualizar dichas medidas de seguridad cuando sea necesario a la luz de los avances tecnológicos u operativos.

Las medidas a que se refiere el párrafo primero del presente apartado no afectarán al artículo 32 del Reglamento (UE) 2016/679, al artículo 33 del Reglamento (UE) 2018/1725 ni al artículo 29 de la Directiva (UE) 2016/680.

Artículo 21

Autocontrol

Las compañías aéreas y las UIP supervisarán el cumplimiento de sus respectivas obligaciones en virtud del presente Reglamento, en particular en lo que respecta al tratamiento por su parte de los datos API que constituyan datos personales. En el caso de las compañías aéreas, la supervisión incluirá la verificación frecuente de los registros a que se refiere el artículo 17.

Artículo 22

Auditorías sobre la protección de datos personales

1. Las autoridades de control independientes a que se refiere el artículo 41 de la Directiva (UE) 2016/680 efectuarán, al menos una vez cada cuatro años, una auditoría de las operaciones de tratamiento de datos API que constituyan datos personales realizadas por las UIP a efectos del presente Reglamento. Los Estados miembros garantizarán que sus autoridades de control independientes dispongan de medios y conocimientos técnicos suficientes para desempeñar las tareas que les encomienda el presente Reglamento.

2. El Supervisor Europeo de Protección de Datos, al menos una vez al año, efectuará una auditoría de las operaciones de tratamiento de los datos API y otros datos PNR que constituyan datos personales realizadas por eu-LISA a efectos del presente Reglamento, de conformidad con las normas internacionales de auditoría pertinentes. Se enviará un informe de la auditoría al Parlamento Europeo, al Consejo, a la Comisión, a los Estados miembros y a eu-LISA. Se brindará a eu-LISA la oportunidad de formular observaciones antes de la adopción de los informes.

3. En relación con las operaciones de tratamiento a que se refiere el apartado 2, eu-LISA, previa petición, proporcionará al Supervisor Europeo de Protección de Datos la información que le solicite, le dará acceso a todos los documentos que le solicite y a los registros a que hace referencia el artículo 17, apartado 2, y le permitirá acceder a los locales de eu-LISA en todo momento.

CAPÍTULO 5

ASUNTOS RELACIONADOS CON EL ENRUTADOR

Artículo 23

Conexiones de las UIP con el enrutador

1. Los Estados miembros se asegurarán de que sus UIP estén conectadas con el enrutador. Garantizarán que sus sistemas e infraestructuras nacionales para la recepción y posterior tratamiento de los datos API y otros datos PNR transferidos con arreglo al presente Reglamento estén integrados en el enrutador.

Los Estados miembros se asegurarán de que la conexión con el enrutador y la integración en él permitan a sus UIP recibir y seguir tratando dichos datos API y otros datos PNR, así como intercambiar cualquier comunicación relacionada con ellos, de manera lícita, segura, eficaz y rápida.

2. La Comisión adoptará actos de ejecución por los que se especifiquen las normas detalladas necesarias sobre las conexiones con el enrutador y la integración en él a que se refiere el apartado 1 del presente artículo, también en lo relativo a los requisitos de seguridad de los datos. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 42, apartado 2.

Artículo 24

Conexiones de las compañías aéreas con el enrutador

1. Las compañías aéreas se asegurarán de estar conectadas con el enrutador. Garantizarán que sus sistemas e infraestructuras para la transferencia de los datos API y otros datos PNR al enrutador con arreglo al presente Reglamento estén integrados en el enrutador.

Las compañías aéreas se asegurarán de que la conexión con el enrutador y la integración en él les permitan transferir dichos datos API y otros datos PNR, así como intercambiar cualquier comunicación relacionada con ellos, de manera lícita, segura, eficaz y rápida. A tal fin, las compañías aéreas realizarán ensayos de la transferencia de datos API y otros datos PNR al enrutador en cooperación con eu-LISA de conformidad con el artículo 27, apartado 3.

2. La Comisión adoptará actos de ejecución por los que se especifiquen las normas detalladas necesarias sobre las conexiones con el enrutador y la integración en él a que se refiere el apartado 1 del presente artículo, también en lo relativo a los requisitos de seguridad de los datos. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 42, apartado 2.

Artículo 25

Funciones de eu-LISA relacionadas con el diseño y el desarrollo del enrutador

1. eu-LISA será responsable del diseño de la arquitectura física del enrutador, incluida la determinación de sus especificaciones técnicas.

2. eu-LISA será responsable del desarrollo del enrutador, incluidas de las adaptaciones técnicas necesarias para el funcionamiento del enrutador.

El desarrollo del enrutador consistirá en la elaboración y aplicación de las especificaciones técnicas, los ensayos y la gestión global del proyecto, y la coordinación de la fase de desarrollo.

3. eu-LISA se asegurará de que el enrutador esté diseñado y desarrollado de tal manera que proporcione las funcionalidades especificadas en el presente Reglamento, y de que el enrutador entre en funcionamiento lo antes posible tras la adopción por parte de la Comisión de los actos delegados contemplados en el artículo 4, apartado 12, el artículo 5, apartado 3, y el artículo 7, apartado 2, y de los actos de ejecución contemplados en el artículo 11, apartado 5, el artículo 12, apartado 4, el artículo 23, apartado 2, el artículo 24, apartado 2 del presente Reglamento, y de los actos de ejecución previstos en el artículo 16, apartado 3, de la Directiva (UE) 2016/681, y tras haber realizado la evaluación de impacto relativa a la protección de datos de conformidad con el artículo 35 del Reglamento (UE) 2016/679.

4. eu-LISA proporcionará a las UIP, a otras autoridades de los Estados miembros pertinentes y a las compañías aéreas un conjunto de ensayos de conformidad. El conjunto de ensayos de conformidad incluirá un entorno de ensayos, un simulador, conjuntos de datos de ensayos y un plan de ensayos. El conjunto de ensayos de conformidad permitirá los ensayos exhaustivos del enrutador a que se refieren los apartados 5 y 6, y seguirá estando disponible una vez finalizados dichos ensayos.

5. Cuando eu-LISA considere que la fase de desarrollo se ha completado con respecto a los datos API, efectuará, sin demora indebida, un ensayo exhaustivo del enrutador en cooperación con las UIP y otras autoridades competentes de los Estados miembros, y las compañías aéreas, e informará a la Comisión del resultado de dicho ensayo.

6. Cuando eu-LISA considere que la fase de desarrollo se ha completado con respecto a otros datos PNR, efectuará, sin demora indebida, ensayos exhaustivos del enrutador para garantizar la fiabilidad de las conexiones del enrutador con las compañías aéreas y las UIP, la necesaria transmisión normalizada de otros datos PNR por las compañías aéreas y la transferencia y transmisión de otros datos PNR de conformidad con el artículo 16 de la Directiva (UE) 2016/681, incluido el uso de los protocolos comunes y los formatos de datos normalizados admitidos a que se refiere el artículo 16, apartados 2 y 3, de dicha Directiva para garantizar la legibilidad de los demás datos PNR. Tales ensayos se efectuarán en cooperación con las UIP y otras autoridades competentes de los Estados miembros, y las compañías aéreas. eu-LISA informará a la Comisión del resultado de dichos ensayos.

Artículo 26

Funciones de eu-LISA relacionadas con el alojamiento y la gestión técnica del enrutador

1. eu-LISA alojará el enrutador en sus emplazamientos técnicos.

2. eu-LISA será responsable de la gestión técnica del enrutador, incluidos su mantenimiento y sus avances técnicos, de tal manera que se garantice que los datos API y otros datos PNR se transmitan de forma segura, eficaz y rápida a través del enrutador, de conformidad con el presente Reglamento.

La gestión técnica del enrutador consistirá en desempeñar todas las funciones y adoptar todas las soluciones técnicas necesarias para el correcto funcionamiento del enrutador de conformidad con el presente Reglamento, de manera ininterrumpida, todos los días del año y las veinticuatro horas del día. Incluirá el trabajo de mantenimiento y los avances técnicos necesarios para garantizar que el enrutador funcione con un nivel satisfactorio de calidad técnica, en particular en lo que se refiere a la disponibilidad, exactitud y fiabilidad de la transmisión de los datos API y otros datos PNR, de conformidad con las especificaciones técnicas y, en la medida de lo posible, en consonancia con las necesidades operativas de las UIP y las compañías aéreas.

3. El personal de eu-LISA no tendrá acceso a ninguno de los datos API u otros datos PNR que se transmitan a través del enrutador. No obstante, esa prohibición no impedirá que el personal de eu-LISA disponga de tal acceso en la medida en que sea estrictamente necesario para el mantenimiento y la gestión técnica del enrutador.

4. Sin perjuicio de lo dispuesto en el apartado 3 del presente artículo y en el artículo 17 del Estatuto de los funcionarios de la Unión Europea, establecido por el Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo (22), eu-LISA aplicará al personal a su cargo que deba trabajar con los datos API y otros datos PNR transmitidos a través del enrutador normas adecuadas de secreto profesional u otras obligaciones equivalentes de confidencialidad. Esta obligación seguirá siendo aplicable después de que dichos miembros del personal hayan cesado en el cargo o el empleo, o tras la terminación de sus actividades.

Artículo 27

Funciones de apoyo de eu-LISA relacionadas con el enrutador

1. eu-LISA impartirá formación sobre el uso técnico del enrutador y sobre la conexión e integración con este de las UIP, de otras autoridades pertinentes de los Estados miembros o de las compañías aéreas que lo soliciten.

2. eu-LISA prestará apoyo a las UIP en relación con la recepción de datos API y otros datos PNR a través del enrutador con arreglo al presente Reglamento, en particular en lo que respecta a la aplicación de los artículos 12 y 23.

3. De conformidad con el artículo 24, apartado 1, y haciendo uso del conjunto de pruebas de cumplimiento a que se refiere el artículo 25, apartado 4, eu-LISA efectuará ensayos la transferencia de datos API y otros datos PNR al enrutador, en cooperación con las compañías aéreas.

CAPÍTULO 6

GOBERNANZA

Artículo 28

Consejo de Administración del Programa

1. A más tardar el 28 de enero de 2025, el Consejo de Administración de eu-LISA creará el Consejo de Administración del Programa. Estará compuesto por diez miembros, a saber:

a)

siete miembros nombrados por el Consejo de Administración de eu-LISA de entre sus miembros o suplentes;

b)

a persona que ostente la presidencia del grupo consultivo API-PNR a que se refiere el artículo 29;

c)

un miembro del personal de eu-LISA nombrado por su director ejecutivo, y

d)

un miembro nombrado por la Comisión.

Por lo que se refiere a la letra a), los miembros nombrados por el Consejo de Administración de eu-LISA solo serán elegidos de entre sus miembros o suplentes de los Estados miembros a los que se aplique el presente Reglamento.

2. El Consejo de Administración del Programa elaborará su reglamento interno, que será aprobado por el Consejo de Administración de eu-LISA.

La presidencia será ejercida por un Estado miembro que sea miembro del Consejo de Administración del Programa.

3. El Consejo de Administración del Programa supervisará el cumplimiento efectivo de las funciones de eu-LISA relacionadas con el diseño y el desarrollo del enrutador de conformidad con el artículo 25.

A petición del Consejo de Administración del Programa, eu-LISA proporcionará información pormenorizada y actualizada sobre el diseño y el desarrollo del enrutador, incluidos los recursos asignados por eu-LISA.

4. El Consejo de Administración del Programa presentará periódicamente, y al menos tres veces por trimestre, informes escritos sobre los avances en el diseño y el desarrollo del enrutador al Consejo de Administración de eu-LISA.

5. El Consejo de Administración del Programa no tendrá competencias para adoptar decisiones ni mandato alguno de representación del Consejo de Administración de eu-LISA o de sus miembros.

6. El Consejo de Administración del Programa dejará de existir en la fecha de aplicación del presente Reglamento a que se refiere el artículo 45, párrafo segundo.

Artículo 29

Grupo consultivo API-PNR

1. A partir del 28 de enero de 2025, el grupo consultivo API-PNR, creado en virtud del artículo 27, apartado 1, letra d sexies), del Reglamento (UE) 2018/1726, proporcionará al Consejo de Administración de eu-LISA los conocimientos especializados necesarios sobre API-PNR, en particular en el contexto de la preparación de su programa de trabajo anual y su informe anual de actividades.

2. Siempre que estén disponibles, eu-LISA proporcionará al grupo consultivo API-PNR versiones, incluso intermedias, de las especificaciones técnicas y los conjuntos de ensayos de conformidad a que se refiere el artículo 25, apartados 1, 2 y 4.

3. El grupo consultivo API-PNR ejercerá las funciones siguientes:

a)

proporcionará a eu-LISA y al Consejo de Administración del Programa conocimientos especializados sobre el diseño y el desarrollo del enrutador, de conformidad con el artículo 25;

b)

proporcionará a eu-LISA conocimientos especializados sobre el alojamiento y la gestión técnica del enrutador de conformidad con el artículo 26;

c)

proporcionará al Consejo de Administración del Programa, a petición de este, su dictamen sobre los avances en el diseño y el desarrollo del enrutador, incluidos los avances de las especificaciones técnicas y los conjuntos de ensayos de conformidad a que se refiere el apartado 2.

4. El grupo consultivo API-PNR no tendrá competencias para adoptar decisiones ni mandato alguno de representación del Consejo de Administración de eu-LISA o de sus miembros.

Artículo 30

Grupo de contacto API-PNR

1. A más tardar en la fecha de aplicación pertinente del presente Reglamento a que se refiere el artículo 45, párrafo segundo, el Consejo de Administración de eu-LISA creará un grupo de contacto API-PNR.

2. El grupo de contacto API-PNR permitirá la comunicación entre las autoridades competentes de los Estados miembros y las compañías aéreas sobre cuestiones técnicas relacionadas con sus respectivas funciones y obligaciones en virtud del presente Reglamento.

3. El grupo de contacto API-PNR estará compuesto por representantes de las autoridades competentes de los Estados miembros y de las compañías aéreas, la persona que ostente la presidencia del grupo consultivo API-PNR y expertos de eu-LISA.

4. El Consejo de Administración de eu-LISA establecerá el reglamento interno del grupo de contacto API-PNR, previo dictamen del grupo consultivo API-PNR.

5. Cuando se considere necesario, el Consejo de Administración de eu-LISA también podrá crear subgrupos del grupo de contacto API-PNR para debatir cuestiones técnicas específicas relacionadas con las respectivas funciones y obligaciones de las autoridades competentes de los Estados miembros y de las compañías aéreas en virtud del presente Reglamento.

6. El grupo de contacto API-PNR, así como sus subgrupos, no tendrán competencias para adoptar decisiones ni mandato alguno de representación del Consejo de Administración de eu-LISA o de sus miembros.

Artículo 31

Grupo de expertos API

1. A más tardar en la fecha de aplicación del presente Reglamento a que se refiere el artículo 45, párrafo segundo, letra a), la Comisión creará un grupo de expertos API de conformidad con las normas horizontales sobre la creación y el funcionamiento de los grupos de expertos de la Comisión.

2. El grupo de expertos API hará posible la comunicación entre las autoridades competentes de los Estados miembros, y entre estas autoridades y las compañías aéreas sobre cuestiones políticas relacionadas con sus respectivas funciones y obligaciones en virtud del presente Reglamento, también en relación con las sanciones a que se refiere el artículo 38.

3. El grupo de expertos API estará presidido por la Comisión y se constituirá de conformidad con las normas horizontales sobre la creación y funcionamiento de los grupos de expertos de la Comisión. Estará compuesto por representantes de las autoridades competentes de los Estados miembros, representantes de las compañías aéreas y expertos de eu-LISA. Cuando proceda para el desempeño de sus tareas, el grupo de expertos API podrá invitar a las partes interesadas pertinentes, y en particular, a representantes del Parlamento Europeo, del Supervisor Europeo de Protección de Datos y de las autoridades nacionales de supervisión independientes, a participar en sus trabajos.

4. El grupo de expertos API desempeñará sus funciones de conformidad con el principio de transparencia. La Comisión publicará las actas de las reuniones del grupo de expertos API y otros documentos pertinentes en el sitio web de la Comisión.

Artículo 32

Costes incurridos por eu-LISA, el Supervisor Europeo de Protección de Datos, las autoridades nacionales de supervisión y los Estados miembros

1. Los costes en que incurra eu-LISA en relación con el establecimiento y el funcionamiento del enrutador en virtud del presente Reglamento se sufragarán con cargo al presupuesto general de la Unión.

2. Los costes en que incurran los Estados miembros en relación con la aplicación del presente Reglamento, en particular su conexión con el enrutador y la integración en él a que se refiere el artículo 23, serán financiados con cargo al presupuesto general de la Unión, de conformidad con las normas de subvencionabilidad y los porcentajes de cofinanciación establecidos en los actos jurídicos de la Unión aplicables.

3. Los costes en que incurra el Supervisor Europeo de Protección de Datos en relación con las funciones que se le encomienden con arreglo al presente Reglamento se sufragarán con cargo al presupuesto general de la Unión.

4. Los costes en que incurran las autoridades nacionales de supervisión independientes en relación con las funciones que se les encomienden con arreglo al presente Reglamento serán sufragados por los Estados miembros.

Artículo 33

Responsabilidad relativa al enrutador

Si un incumplimiento por parte de un Estado miembro o de una compañía aérea de las obligaciones que les impone el presente Reglamento causa daños al enrutador, dicho Estado miembro o dicha compañía aérea serán considerados responsables de dichos daños, tal y como se establezca en el Derecho de la Unión o el nacional, a no ser que se demuestre que eu-LISA, otro Estado miembro u otra compañía aérea no tomó medidas razonables para impedir que se produjeran dichos daños o para atenuar sus efectos.

Artículo 34

Entrada en funcionamiento del enrutador con respecto a los datos API

La Comisión determinará, sin demora indebida, la fecha de entrada en funcionamiento del enrutador con respecto a los datos API mediante un acto de ejecución, una vez que eu-LISA haya informado a la Comisión de que se ha completado satisfactoriamente el ensayo exhaustivo del enrutador a que se refiere el artículo 25, apartado 5. Dicho acto de ejecución se adoptará de conformidad con el procedimiento de examen a que se refiere el artículo 42, apartado 2.

La Comisión establecerá que la fecha a que se refiere el párrafo primero no sea posterior a los treinta días siguientes a la fecha de adopción del acto de ejecución.

Artículo 35

Entrada en funcionamiento del enrutador con respecto a otros datos PNR

La Comisión determinará, sin demora indebida, la fecha de entrada en funcionamiento del enrutador con respecto a otros datos PNR mediante un acto de ejecución, una vez que eu-LISA haya informado a la Comisión de que se han completado satisfactoriamente los ensayos exhaustivos del enrutador a que se refiere el artículo 25, apartado 6, también sobre la fiabilidad de las conexiones del enrutador con compañías aéreas y UIP y sobre la legibilidad de otros datos PNR transferidos por las compañías aéreas y transmitidos por el enrutador en el formato normalizado necesario, de conformidad con el artículo 16 de la Directiva (UE) 2016/681. Dicho acto de ejecución se adoptará de conformidad con el procedimiento de examen a que se refiere el artículo 42, apartado 2.

La Comisión establecerá que la fecha a que se refiere el párrafo primero no sea posterior a los treinta días siguientes a la fecha de adopción del acto de ejecución.

Artículo 36

Uso voluntario del enrutador

1. Las compañías aéreas tendrán derecho a usar el enrutador para transmitir la información a que se refiere el artículo 3 Vínculo a legislación, apartados 1 Vínculo a legislación y 2 Vínculo a legislación, de la Directiva 2004/82/CE u otros datos PNR recogidos en virtud del artículo 8 de la Directiva (UE) 2016/681 a una o varias de las UIP, de conformidad con esas Directivas, siempre que el Estado miembro interesado haya accedido a dicho uso, a partir de una fecha adecuada fijada por dicho Estado miembro. Dicho Estado miembro solo accederá tras haber establecido que, en particular por lo que respecta a la conexión de sus propias UIP con el enrutador y a la de la compañía aérea de que se trate, la información pueda transmitirse de manera lícita, segura, eficaz y rápida.

2. Cuando una compañía aérea empiece a usar el enrutador de conformidad con el apartado 1 del presente artículo, seguirá usándolo para transmitir tal información a la UIP del Estado miembro de que se trate hasta la fecha de aplicación pertinente del presente Reglamento a que se refiere el artículo 45, párrafo segundo. No obstante, dicho uso se interrumpirá, a partir de una fecha adecuada fijada por tal Estado miembro, cuando ese Estado miembro considere que existen razones objetivas que lo exigen y haya informado de ello a la compañía aérea.

3. El Estado miembro de que se trate:

a)

consultará a eu-LISA antes de acceder al uso voluntario del enrutador de conformidad con el apartado 1;

b)

excepto en situaciones de urgencia debidamente justificadas, ofrecerá a la compañía aérea de que se trate la oportunidad de formular observaciones sobre su intención de interrumpir tal uso de conformidad con el apartado 2 y, en su caso, consultará también a eu-LISA al respecto;

c)

informará inmediatamente a eu-LISA y a la Comisión de tal uso al que haya accedido y de cualquier interrupción de dicho uso, aportando toda la información necesaria, incluida la fecha de inicio del uso, la fecha de la interrupción y los motivos de la interrupción, según proceda.

CAPÍTULO 7

SUPERVISIÓN, SANCIONES, ESTADÍSTICAS Y MANUAL

Artículo 37

Autoridad nacional de supervisión de API

1. Los Estados miembros designarán una o varias autoridades nacionales de supervisión de API responsables de supervisar la aplicación en su territorio por parte de las compañías aéreas de las disposiciones del presente Reglamento y de garantizar el cumplimiento de dichas disposiciones.

2. Los Estados miembros se asegurarán de que las autoridades nacionales de supervisión de API dispongan de todos los medios todas las competencias de investigación y ejecución que se requieran en el desempeño de sus funciones con arreglo al presente Reglamento, incluso mediante la imposición, en su caso, de las sanciones a que se refiere el artículo 38. Los Estados miembros se asegurarán de que el ejercicio de las competencias conferidas a la autoridad nacional de supervisión de la API esté sometido a garantías adecuadas de conformidad con los derechos fundamentales garantizados por el Derecho de la Unión.

3. A más tardar en la fecha de aplicación del presente Reglamento a que se refiere el artículo 45, párrafo segundo, los Estados miembros notificarán a la Comisión el nombre y los datos de contacto de las autoridades que hayan designado con arreglo al apartado 1 del presente artículo. Notificarán a la Comisión sin demora cualquier variación o modificación ulterior al respecto.

4. El presente artículo se entiende sin perjuicio de las competencias de las autoridades de control a que hacen referencia el artículo 51 del Reglamento (UE) 2016/679, el artículo 41 de la Directiva (UE) 2016/680 y el artículo 15 de la Directiva (UE) 2016/681.

Artículo 38

Sanciones

1. Los Estados miembros establecerán el régimen de sanciones aplicables a cualquier infracción del presente Reglamento y adoptarán todas las medidas necesarias para garantizar su ejecución. Tales sanciones serán efectivas, proporcionadas y disuasorias.

2. Los Estados miembros comunicarán a la Comisión el régimen establecido y las medidas adoptadas, a más tardar en la fecha de aplicación pertinente del presente Reglamento a que hace referencia el artículo 45, párrafo segundo, y le notificarán sin demora toda modificación posterior.

3. Los Estados miembros se asegurarán de que las autoridades nacionales de supervisión de API, al decidir si se imponen sanciones y al determinar el tipo y el grado de las sanciones, tengan en cuenta las circunstancias pertinentes, que pueden ser:

a)

la naturaleza, la gravedad y la duración de la infracción;

b)

el grado de responsabilidad de la compañía aérea;

c)

las infracciones anteriores de la compañía aérea;

d)

el nivel general de cooperación de la compañía aérea con las autoridades competentes;

e)

el tamaño de la compañía aérea, determinado, por ejemplo, mediante el número anual de pasajeros transportados;

f)

la aplicación de sanciones previas a la misma compañía aérea por la misma infracción por parte de otras autoridades nacionales de supervisión de API.

4. Los Estados miembros garantizarán que la falta persistente de transferencia de datos API de conformidad con el artículo 5, apartado 1, sea objeto de sanciones económicas proporcionadas de hasta el 2 % del volumen de negocios mundial de la compañía aérea en el ejercicio precedente. Los Estados miembros se asegurarán de que en caso de incumplimiento de otras obligaciones establecidas en el presente Reglamento se impongan sanciones proporcionadas, incluidas sanciones económicas.

Artículo 39

Estadísticas

1. Con miras a apoyar la aplicación y supervisión de la aplicación presente Reglamento, y sobre la base de la información estadística a que se refieren los apartados 5 y 6, eu-LISA publicará trimestralmente estadísticas sobre el funcionamiento del enrutador y sobre el cumplimiento por parte de las compañías aéreas de las obligaciones establecidas en el presente Reglamento. Esas estadísticas no permitirán la identificación de personas.

2. A los efectos establecidos en el apartado 1, el enrutador transmitirá automáticamente los datos enumerados en los apartados 5 y 6 al RCIE.

3. Con miras a apoyar la aplicación y supervisión de la aplicación del presente Reglamento, eu-LISA compilará cada año los datos estadísticos en un informe anual correspondiente al año anterior. Publicará dicho informe anual y lo transmitirá al Parlamento Europeo, al Consejo, a la Comisión, al Supervisor Europeo de Protección de Datos, a la Agencia Europea de la Guardia de Fronteras y Costas y a las autoridades nacionales de supervisión de API a que se refiere el artículo 37. El informe anual no revelará métodos de trabajo confidenciales ni pondrá en riesgo las investigaciones en curso de las autoridades competentes de los Estados miembros.

4. A petición de la Comisión, eu-LISA le proporcionará estadísticas sobre aspectos específicos relacionados con la aplicación del presente Reglamento, así como las estadísticas de conformidad con el apartado 3.

5. El RCIE proporcionará a eu-LISA las estadísticas siguientes necesarias para la notificación a que se refiere el artículo 44 y para generar estadísticas de conformidad con el presente artículo, sin que dichas estadísticas relativas a datos API permitan la identificación de los pasajeros de que se trate:

a)

si los datos conciernen a un pasajero o un miembro de la tripulación;

b)

la nacionalidad, el sexo y el año de nacimiento del pasajero o el miembro de la tripulación;

c)

la fecha y el punto inicial de embarque, la fecha y el aeropuerto de salida, y la fecha y el aeropuerto de llegada;

d)

el tipo y el número del documento de viaje, el código de tres letras del país de expedición y la fecha de caducidad del documento de viaje;

e)

el número de pasajeros que facturaron para el mismo vuelo;

f)

el código de la compañía aérea que opera el vuelo;

g)

si se trata de un vuelo programado o no programado;

h)

si los datos API se transfirieron inmediatamente después del cierre del vuelo;

i)

si los datos personales del pasajero son exactos y completos y están actualizados;

j)

los medios técnicos utilizados para recoger los datos API.

6. El RCIE proporcionará a eu-LISA las siguientes estadísticas necesarias para la notificación a que se refiere el artículo 44 y para generar estadísticas de conformidad con el presente artículo, sin que dichas estadísticas relativas a otros datos PNR permitan la identificación de los pasajeros de que se trate:

a)

la fecha y hora en que el enrutador recibió el mensaje PNR;

b)

la información de vuelo contenida en el itinerario de viaje del mensaje PNR específico;

c)

la información sobre códigos compartidos contenida en el mensaje PNR específico.

7. A efectos de los informes a que se refiere el artículo 44 y para generar estadísticas de conformidad con el presente artículo, eu-LISA conservará los datos a que se refieren los apartados 5 y 6 del presente artículo en el RCIE. Conservará tales datos durante un período de cinco años, de conformidad con el apartado 2, sin que los datos permitan la identificación de los pasajeros de que se trate. El RCIE proporcionará al personal debidamente autorizado, a las UIP y a otras autoridades competentes de los Estados miembros informes y estadísticas personalizables sobre los datos API a que se refiere el apartado 5 del presente artículo y sobre otros datos PNR a que se refiere el apartado 6 del presente artículo, para la aplicación y supervisión de la aplicación del presente Reglamento.

8. La utilización de los datos a que se refieren los apartados 5 y 6 del presente artículo no conducirá a la elaboración de perfiles de personas a que se refiere el artículo 11, apartado 3, de la Directiva (UE) 2016/680 ni a la discriminación de personas por las razones enumeradas en el artículo 21 de la Carta. Los datos a que se refieren los apartados 5 y 6 del presente artículo no se utilizarán para compararlos o cotejarlos con datos personales ni para combinarlos con datos personales.

9. Los procedimientos puestos en práctica por eu-LISA para supervisar el desarrollo y el funcionamiento del enrutador a que se refiere el artículo 39, apartado 2, del Reglamento (UE) 2019/818 incluirán la posibilidad de producir estadísticas periódicas para garantizar esa supervisión.

Artículo 40

Manual práctico

La Comisión, en estrecha cooperación con las UIP, otras autoridades pertinentes de los Estados miembros, las compañías aéreas y los órganos y las agencias pertinentes de la Unión, elaborará y pondrá a disposición del público un manual práctico que contenga las directrices, recomendaciones y mejores prácticas para la aplicación del presente Reglamento, también en lo que atañe al respeto de los derechos fundamentales y a las sanciones de conformidad con el artículo 38.

El manual práctico tendrá en cuenta otros manuales pertinentes.

La Comisión adoptará el manual práctico en forma de recomendación.

CAPÍTULO 8

RELACIÓN CON OTROS INSTRUMENTOS EN VIGOR

Artículo 41

Modificaciones del Reglamento (UE) 2019/818

En el artículo 39 del Reglamento (UE) 2019/818, los apartados 1 y 2 se sustituyen por el texto siguiente:

“1. Se crea un repositorio central para la presentación de informes y estadísticas (RCIE) con el fin de apoyar los objetivos del SIS, Eurodac y ECRIS-TCN, de conformidad con los respectivos instrumentos jurídicos que rigen esos sistemas, y de proporcionar datos estadísticos transversales entre sistemas e informes analíticos con fines operativos, de formulación de políticas y de calidad de los datos. El RCIE también apoyará los objetivos del Reglamento (UE) 2025/13 del Parlamento Europeo y del Consejo (*1).

2. eu-LISA establecerá, implementará y alojará en sus sitios técnicos el RCIE que contenga los datos y estadísticas a que se hace referencia en el artículo 74 del Reglamento (UE) 2018/1862 y el artículo 32 del Reglamento (UE) 2019/816, separados de forma lógica por el sistema de información de la UE. eu-LISA también recopilará los datos y las estadísticas del enrutador a que se refiere el artículo 39, apartado 1, del Reglamento (UE) 2025/13. El acceso al RCIE se concederá por medio de un acceso seguro, con un control de acceso y unos perfiles de usuario específicos, únicamente a efectos de la presentación de informes y estadísticas, a las autoridades a las que se refieren el artículo 74 del Reglamento (UE) 2018/1862, el artículo 32 del Reglamento (UE) 2019/816 y el artículo 13, apartado 1, del Reglamento (UE) 2025/13.

CAPÍTULO 9

DISPOSICIONES FINALES

Artículo 42

Procedimiento de comité

1. La Comisión estará asistida por un comité. Dicho comité será un comité en el sentido del Reglamento (UE) n.o 182/2011.

2. En los casos en que se haga referencia al presente apartado, se aplicará el artículo 5 del Reglamento (UE) n.o 182/2011. Cuando el comité no emita ningún dictamen, la Comisión no adoptará el proyecto de acto de ejecución y se aplicará el artículo 5, apartado 4, párrafo tercero, del Reglamento (UE) n.o 182/2011.

Artículo 43

Ejercicio de la delegación

1. Se otorgan a la Comisión los poderes para adoptar actos delegados en las condiciones establecidas en el presente artículo.

2. Los poderes para adoptar los actos delegados mencionados en el artículo 4, apartados 11 y 12, el artículo 5, apartado 4, y el artículo 7, apartado 5, se otorgan a la Comisión por un período de cinco años a partir del 28 de enero de 2025. La Comisión elaborará un informe sobre la delegación de poderes a más tardar nueve meses antes de que finalice el período de cinco años. La delegación de poderes se prorrogará tácitamente por períodos de idéntica duración, excepto si el Parlamento Europeo o el Consejo se oponen a dicha prórroga a más tardar tres meses antes del final de cada período.

Por lo que respecta a los actos delegados adoptados en virtud del artículo 4, apartado 11, si el Parlamento Europeo o el Consejo formulan objeciones en virtud del apartado 6 del presente artículo, no se opondrán a la prórroga tácita a que se refiere el párrafo primero del presente apartado.

3. La delegación de poderes mencionada en el artículo 4, apartado 12, el artículo 5, apartado 4, y el artículo 7, apartado 5, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. La decisión surtirá efecto el día siguiente al de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en ella. No afectará a la validez de los actos delegados que ya estén en vigor.

4. Antes de la adopción de un acto delegado, la Comisión consultará a los expertos designados por cada Estado miembro de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril Vínculo a legislación de 2016 sobre la mejora de la legislación.

5. Tan pronto como la Comisión adopte un acto delegado lo notificará simultáneamente al Parlamento Europeo y al Consejo.

6. Los actos delegados adoptados en virtud del artículo 4, apartados 11 o 12, del artículo 5, apartado 4, o del artículo 7, apartado 5, entrarán en vigor únicamente si, en un plazo de dos meses desde su notificación al Parlamento Europeo y al Consejo, ninguna de estas instituciones formulan objeciones o si, antes del vencimiento de dicho plazo, ambas informan a la Comisión de que no las formularán. El plazo se prorrogará dos meses a iniciativa del Parlamento Europeo o del Consejo.

Artículo 44

Supervisión y evaluación

1. eu-LISA se asegurará de que se establezcan procedimientos para supervisar el desarrollo del enrutador a la luz de los objetivos en materia de planificación y costes, y para supervisar el funcionamiento del enrutador a la luz de los objetivos en materia de resultados técnicos, rentabilidad, seguridad y calidad del servicio.

2. A más tardar el 29 de enero de 2026, y posteriormente cada año durante la fase de desarrollo del enrutador, eu-LISA elaborará un informe sobre el estado de desarrollo del enrutador y lo presentará al Parlamento Europeo y al Consejo. El informe contendrá información pormenorizada sobre los costes en que se haya incurrido y sobre cualesquiera riesgos que puedan afectar a los costes globales que deban sufragarse con cargo al presupuesto general de la Unión de conformidad con el artículo 32.

3. Una vez que el enrutador entre en funcionamiento, eu-LISA elaborará un informe y lo presentará al Parlamento Europeo y al Consejo en el que se explique con detalle cómo se han conseguido los objetivos, en particular en lo relativo a la planificación y los costes, y se expongan los motivos de cualquier divergencia.

4. A más tardar el 29 de enero de 2029, y posteriormente cada cuatro años, la Comisión elaborará un informe que contenga una evaluación global del presente Reglamento, también sobre la necesidad y el valor añadido de la recogida de datos API, que incluya un examen de:

a)

la aplicación del presente Reglamento;

b)

la medida en que el presente Reglamento ha alcanzado sus objetivos;

c)

el impacto del presente Reglamento en los derechos fundamentales protegidos por el Derecho de la Unión;

d)

el impacto del presente Reglamento en la experiencia de viaje de los pasajeros en regla;

e)

el impacto del presente Reglamento en la competitividad del sector de la aviación y la carga que soportan las empresas;

f)

la calidad de los datos API transmitidos por el enrutador a las UIP;

g)

el rendimiento del enrutador con respecto a las UIP.

A efectos del párrafo primero, letra e), el informe de la Comisión también abordará la interacción del presente Reglamento con otros actos legislativos pertinentes de la Unión, en particular los Reglamentos (CE) n.o 767/2008, (UE) 2017/2226 y (UE) 2018/1240, a fin de evaluar el impacto global de las obligaciones de información conexas para las compañías aéreas, determinar las disposiciones que puedan actualizarse y simplificarse, en su caso, para reducir la carga que soportan las compañías aéreas, y estudiar acciones y medidas que podrían adoptarse para reducir la presión de los costes totales sobre las compañías aéreas.

5. La evaluación a que se refiere el apartado 4 incluirá también un análisis de la necesidad, proporcionalidad y eficacia de incluir la recogida y transferencia obligatorias de datos API relativos a los vuelos interiores de la UE en el ámbito de aplicación del presente Reglamento.

6. La Comisión presentará el informe de evaluación al Parlamento Europeo, al Consejo, al Supervisor Europeo de Protección de Datos y a la Agencia de los Derechos Fundamentales de la Unión Europea. Si procede, a la luz de la evaluación realizada, la Comisión presentará una propuesta legislativa al Parlamento Europeo y al Consejo con vistas a modificar el presente Reglamento.

7. Los Estados miembros y las compañías aéreas proporcionarán a eu-LISA y a la Comisión, previa solicitud, la información necesaria para elaborar los informes a que se refieren los apartados 2, 3 y 4. En particular, los Estados miembros proporcionarán información cuantitativa y cualitativa sobre la recogida de datos API desde el punto de vista operativo. La información proporcionada no incluirá datos personales. Los Estados miembros podrán abstenerse de proporcionar dicha información si ello es necesario, y en la medida en que sea necesario, para evitar revelar métodos de trabajo confidenciales o poner en peligro las investigaciones en curso de sus UIP u otras autoridades competentes. La Comisión garantizará que toda información confidencial proporcionada esté adecuadamente protegida.

Artículo 45

Entrada en vigor y aplicación

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Será aplicable:

a)

en relación con los datos API, a partir de dos años después de la fecha en que el enrutador entre en funcionamiento, especificada por la Comisión de conformidad con el artículo 34, y

b)

en relación con otros datos PNR, a partir de cuatro años después de la fecha en que el enrutador entre en funcionamiento, especificada por la Comisión de conformidad con el artículo 35.

No obstante:

a)

el artículo 4, apartado 12, el artículo 5, apartado 3, el artículo 7, apartado 5, el artículo 11, apartado 5, el artículo 12, apartado 6, el artículo 18, apartado 4, el artículo 23, apartado 2, el artículo 24, apartado 2, los artículos 25, 28 y 29, el artículo 32, apartado 1, los artículos 34, 35, 42 y 43 serán aplicables a partir del 28 de enero de 2025.

b)

el artículo 6, el artículo 17, apartados 1, 2 y 3, el artículo 18, apartados 1, 2 y 3, los artículos 19, 20, 26, 27, 33 y 36 serán aplicables a partir de la fecha en que el enrutador entre en funcionamiento, tal como se determine por la Comisión de conformidad con los artículos 34 y 35.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en los Estados miembros de conformidad con los Tratados.

(1) DO C 228 de 29.6.2023, p. 97.

(2) Posición del Parlamento Europeo de 25 de abril de 2024 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 12 de diciembre de 2024.

(3) Directiva 2004/82/CE del Consejo, de 29 de abril Vínculo a legislación de 2004, sobre la obligación de los transportistas de comunicar los datos de las personas transportadas (DO L 261 de 6.8.2004, p. 24).

(4) Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave (DO L 119 de 4.5.2016, p. 132).

(5) Reglamento (UE) 2025/12 del Parlamento Europeo y del Consejo, de 19 de diciembre de 2024, relativo a la recogida y la transferencia de información anticipada sobre los pasajeros para reforzar y facilitar las inspecciones en las fronteras exteriores, por el que se modifican los Reglamentos (UE) 2018/1726 y (UE) 2019/817 y se deroga la Directiva 2004/82/CE del Consejo Vínculo a legislación (DO L, 2025/12, 8.1.2025, ELI: http://data.europa.eu/eli/reg/2025/12/oj).

(6) Reglamento (UE) 2019/1157 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, sobre el refuerzo de la seguridad de los documentos de identidad de los ciudadanos de la Unión y de los documentos de residencia expedidos a ciudadanos de la Unión y a los miembros de sus familias que ejerzan su derecho a la libre circulación (DO L 188 de 12.7.2019, p. 67).

(7) Reglamento (CE) n.o 2252/2004 del Consejo, de 13 de diciembre de 2004, sobre normas para las medidas de seguridad y datos biométricos en los pasaportes y documentos de viaje expedidos por los Estados miembros (DO L 385 de 29.12.2004, p. 1).

(8) Directiva (UE) 2019/997 del Consejo, de 18 de junio de 2019, por la que se establece un documento provisional de viaje de la UE y se deroga la Decisión 96/409/PESC (DO L 163 de 20.6.2019, p. 1).

(9) Reglamento (UE) 2017/2226 del Parlamento Europeo y del Consejo, de 30 de noviembre de 2017, por el que se establece un Sistema de Entradas y Salidas (SES) para registrar los datos de entrada y salida y de denegación de entrada relativos a nacionales de terceros países que crucen las fronteras exteriores de los Estados miembros, se determinan las condiciones de acceso al SES con fines policiales y se modifican el Convenio de aplicación del Acuerdo de Schengen y los Reglamentos (CE) n.o 767/2008 y (UE) n.o 1077/2011 (DO L 327 de 9.12.2017, p. 20).

(10) Reglamento (UE) 2018/1240 del Parlamento Europeo y del Consejo, de 12 de septiembre de 2018, por el que se establece un Sistema Europeo de Información y Autorización de Viajes (SEIAV) y por el que se modifican los Reglamentos (UE) n.o 1077/2011, (UE) n.o 515/2014, (UE) 2016/399, (UE) 2016/1624 y (UE) 2017/2226 (DO L 236 de 19.9.2018, p. 1).

(11) Reglamento (CE) n.o 767/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008, sobre el Sistema de Información de Visados (VIS) y el intercambio de datos sobre visados de corta duración entre los Estados miembros (Reglamento VIS) (DO L 218 de 13.8.2008, p. 60).

(12) Reglamento (UE) 2018/1726 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018, relativo a la Agencia de la Unión Europea para la Gestión Operativa de Sistemas Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia (eu-LISA), y por el que se modifican el Reglamento (CE) n.o 1987/2006 y la Decisión 2007/533 Vínculo a legislación /JAI del Consejo y se deroga el Reglamento (UE) n.o 1077/2011 (DO L 295 de 21.11.2018, p. 99).

(13) Reglamento (CE) n.o 1107/2006 del Parlamento Europeo y del Consejo, de 5 de julio de 2006, sobre los derechos de las personas con discapacidad o movilidad reducida en el transporte aéreo (DO L 204 de 26.7.2006, p. 1).

(14) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE Vínculo a legislación (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(15) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).

(16) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo Vínculo a legislación (DO L 119 de 4.5.2016, p. 89).

(17) Reglamento (UE) 2019/818 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativo al establecimiento de un marco para la interoperabilidad entre los sistemas de información de la UE en el ámbito de la cooperación policial y judicial, el asilo y la migración y por el que se modifican los Reglamentos (UE) 2018/1726, (UE) 2018/1862 y (UE) 2019/816 (DO L 135 de 22.5.2019, p. 85).

(18) DO L 123 de 12.5.2016, p. 1.

(19) Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13, ELI: http://data.europa.eu/eli/reg/2011/182/oj).

(20) DO C 84 de 7.3.2023, p. 2.

(21) Directiva (UE) 2017/541 del Parlamento Europeo y del Consejo, de 15 de marzo de 2017, relativa a la lucha contra el terrorismo y por la que se sustituye la Decisión marco 2002/475/JAI del Consejo y se modifica la Decisión 2005/671/JAI del Consejo Vínculo a legislación (DO L 88 de 31.3.2017, p. 6).

(22) DO L 56 de 4.3.1968, p. 1.

Comentarios

Escribir un comentario

Para poder opinar es necesario el registro. Si ya es usuario registrado, escriba su nombre de usuario y contraseña:

 

Si desea registrase en www.iustel.com y poder escribir un comentario, puede hacerlo a través el siguiente enlace: Registrarme en www.iustel.com.

  • Iustel no es responsable de los comentarios escritos por los usuarios.
  • No está permitido verter comentarios contrarios a las leyes españolas o injuriantes.
  • Reservado el derecho a eliminar los comentarios que consideremos fuera de tema.

Revista El Cronista:

Revista El Cronista del Estado Social y Democrático de Derecho

Lo más leído:

  1. Actualidad: El TEDH avala que la Justicia dejase en manos de Irak la investigación de la muerte de un militar español en 2016
  2. Tribunal Supremo: La indemnización de daños y perjuicios por el incumplimiento empresarial de reincorporar al trabajador cuando debió hacerlo tras un periodo de excedencia voluntaria no lleva apareja los intereses por mora del art. 29.3 del ET
  3. Agenda: Aspectos prácticos procesales de la Ley Orgánica 1/2025, de 2 de enero, de medidas en materia de eficiencia del servicio público de justicia
  4. Tribunal Supremo: El TS condena a la aseguradora del Servicio Sanitario del Principado de Asturias a indemnizar a una recién nacida y a sus progenitores, que también tienen la condición de víctimas, por la negligente actuación de los sanitarios que atendieron el parto
  5. Actualidad: El TJUE aclara que la identidad de género del cliente no es dato necesario para la venta de títulos de transporte
  6. Legislación: Estructura orgánica del Departamento de Medio Ambiente y Turismo
  7. Actualidad: El Gobierno reforzará los juzgados de violencia de género ante el aumento de un 20% de casos
  8. Tribunal Supremo: El TS estima la declaración de error judicial padecido por un Juzgado al interpretar el cómputo de plazos de los escritos presentados por los interesados en el Punto de Acceso General de la Administración del Estado
  9. Actualidad: El Constitucional estudiará la próxima semana una ponencia que recomienda apartar a Macías del debate sobre la amnistía
  10. Actualidad: Condenan al exalcalde de Cogolludo (Guadalajara) a un año y seis meses de prisión por malversación de caudales públicos

Secciones:

Boletines Oficiales:

 

© PORTALDERECHO 2001-2025

Icono de conformidad con el Nivel Doble-A, de las Directrices de Accesibilidad para el Contenido Web 1.0 del W3C-WAI: abre una nueva ventana