El Informe 526/2006 de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la cesión de datos de pasajeros a la Dirección General de Aviación Civil (DGAC) en el contexto de la suspensión cautelar del Certificado de Operador Aéreo (AOC) de una compañía aérea. La consulta se centra en si esta cesión es conforme a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
La DGAC podría requerir a la compañía aérea que proporcione datos de pasajeros para identificar y localizar a aquellos afectados por la suspensión del AOC, especialmente si la compañía no cumple con las obligaciones establecidas en el Reglamento CE 261/2004. Este reglamento impone a las aerolíneas obligaciones de compensación y asistencia a los pasajeros en caso de cancelación o retraso de vuelos.
La Orden de 12 de marzo de 1998 y el artículo 11.2 de la misma establecen que la DGAC puede evaluar la situación económica de las compañías aéreas y suspender o revocar sus licencias si no pueden cumplir con sus obligaciones financieras. La suspensión de la licencia implica la cancelación de vuelos y, por ende, la necesidad de cumplir con las obligaciones del Reglamento CE 261/2004.
El artículo 16 del Reglamento CE 261/2004 designa a un organismo en cada Estado miembro para garantizar el cumplimiento de las normas de compensación y asistencia a los pasajeros. En España, este organismo es la DGAC, que tiene la competencia de adoptar las medidas necesarias para asegurar el respeto de los derechos de los pasajeros.
La cesión de datos de pasajeros a la DGAC se justifica bajo el artículo 11.2 c) de la Ley Orgánica 15/1999, que permite la cesión de datos sin el consentimiento del afectado cuando es necesaria para el desarrollo, cumplimiento y control de una relación jurídica. En este caso, la cesión es necesaria para que la DGAC pueda cumplir con las obligaciones del Reglamento CE 261/2004 y garantizar los derechos de los pasajeros.
Sin embargo, la AEPD subraya que la cesión debe limitarse a los datos estrictamente necesarios para identificar y localizar a los pasajeros afectados. Además, la DGAC debe usar estos datos únicamente para las finalidades específicas de mantenimiento y control de la relación jurídica entre el pasajero y la compañía aérea, sin emplearlos para otros fines.
En resumen, el informe concluye que la cesión de datos de pasajeros a la DGAC es conforme a la Ley Orgánica 15/1999, siempre y cuando se respeten las condiciones de adecuación, pertinencia y no excesividad de los datos, y se limite su uso a las finalidades específicas establecidas por el Reglamento CE 261/2004.