6.8.2008   

ES

Diario Oficial de la Unión Europea

C 200/1

1.

El 18 de octubre de 2007, la Comisión Europea presentó una propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (CE) no 2252/2004 (1) (en lo sucesivo «el Reglamento»). No se consultó al Supervisor Europeo de Protección de Datos (SEPD) sobre esta propuesta aunque el artículo 28, apartado 2, del Reglamento (CE) no 45/2001 dispone que la Comisión consulte al SEPD al «adoptar una propuesta legislativa relativa a la protección de los derechos y libertades de las personas en relación con el tratamiento de datos personales».

2.

El SEPD lamenta que la Comisión no haya cumplido su obligación jurídica de consultarle y espera ser consultado en el futuro sobre todas las propuestas que entren en el ámbito del artículo 28, apartado 2. El SEPD ha decidido dictaminar de motu propio. Habida cuenta del carácter imperativo del artículo 28, apartado 2, el presente dictamen deberá mencionarse en el preámbulo del texto.

3.

Los antecedentes de la propuesta son los siguientes. El 13 de diciembre de 2004, el Consejo adoptó el Reglamento (CE) no 2252/2004 sobre normas para las medidas de seguridad y datos biométricos en los pasaportes y documentos de viaje expedidos por los Estados miembros para introducir datos biométricos en los pasaportes. Junto con elementos de seguridad, el objetivo de los datos biométricos es reforzar el lazo entre el pasaporte y el titular de dicho documento. El 28 de febrero de 2005, la Comisión adoptó la primera parte de las especificaciones técnicas (2) referidas al almacenamiento de la imagen del rostro del titular en un chip sin contacto. El 28 de junio de 2006, la Comisión adoptó una segunda Decisión (3) relativa al almacenamiento adicional de dos impresiones dactilares en el chip del pasaporte.

4.

Para armonizar las excepciones en el pasaporte biométrico, la propuesta añadió las siguientes medidas: los menores de 6 años están exentos de la obligación de entregar impresiones dactilares y las personas que no puedan físicamente entregar impresiones dactilares también estarán exentas de este requisito.

5.

Además, la propuesta introduce la obligación «una persona, un pasaporte» descrita como medida de seguridad suplementaria y protección adicional para niños.

6.

El SEPD celebra que la Comisión tuviera en cuenta el punto relativo a los procedimientos de seguridad recogido en sus anteriores dictámenes mencionado en la exposición de motivos de la propuesta.

7.

El SEPD lamenta que la Comisión no realizara una evaluación de las consecuencias de esta propuesta. Por ello, no queda claro cómo pudo la Comisión evaluar adecuadamente la necesidad y la proporcionalidad de la propuesta respecto de los asuntos relativos a la protección de datos sin apoyarse en una evaluación de las consecuencias rigurosa. Un análisis de este tipo no debería ceñirse al coste generado por las nuevas medidas y podría aprovechar cuestiones parecidas ya planteadas en el contexto de otras propuestas como la evaluación de la Instrucción Consular Común (4). La carencia de evaluación de consecuencias también pone de relieve la necesidad de revisar el límite de edad indicado en la propuesta tal como se explica con más detalle en el punto 2.1 del presente dictamen.

8.

El SEPD reconoció en varias ocasiones las ventajas derivadas de la utilización de datos biométricos, aunque también manifestó que dichos beneficios dependerían de las garantías rigurosas que se aplicaran. En su dictamen sobre el SIS II (5), el SEPD propuso una lista no exhaustiva de obligaciones o requisitos comunes que es preciso respetar cuando se utilicen datos biométricos en un sistema. Dichos elementos contribuirán a evitar que el titular del pasaporte deba soportar los inconvenientes de las imperfecciones del sistema, como las consecuencias de una identificación errónea o una falta de inscripción.

9.

Por ello, el SEPD apoya decididamente la propuesta de la Comisión de introducir excepciones a la entrega de impresiones dactilares basadas en la edad de la persona y en su incapacidad de entregar dichas impresiones. Dichas excepciones forman parte de los procedimientos de garantía que deberían aplicarse. El SEPD también celebra el esfuerzo de la Comisión por seguir un planteamiento coherente en distintos instrumentos que tratan cuestiones parecidas, como una propuesta de excepción también introducida en la propuesta de revisión de la Instrucción Consular Común.

10.

Sin embargo, el SEPD sigue considerando insatisfactorias dichas excepciones, ya que no consiguen tratar todos los asuntos posibles y pertinentes derivados de las imperfecciones inherentes a los sistemas biométricos, y más concretamente las relativas a niños y ancianos.

11.

En la exposición de motivos de la propuesta, la Comisión menciona proyectos piloto en varios Estados miembros que pusieron de manifiesto que la calidad de las impresiones dactilares de «los menores de seis años no es suficiente para poder comprobar su identidad de forma unívoca». Sin embargo, se dispone de escasa o ninguna información sobre estos proyectos piloto y las circunstancias en que se realizaron; tampoco se explicó o definió hasta ahora el significado de «suficiente calidad».

12.

En opinión del SEPD, el límite de edad para que los menores entreguen impresiones dactilares debería definirse en un estudio coherente y pormenorizado, destinado a identificar adecuadamente la precisión de los sistemas conseguida en condiciones reales, y que reflejen la diversidad de los datos procesados. Los proyectos piloto como tales no ofrecen información suficiente que pueda servir de base a las opciones fundamentales del legislador comunitario.

13.

El SEPD ya destacó la necesidad de un estudio de este tipo antes de definir cualquier límite de edad en su dictamen (6) sobre la propuesta de Reglamento por el que se modifica la Instrucción Consular Común. Ni el material publicado disponible ni el estudio de consecuencias previo realizado por la Comisión en el marco de la propuesta del Sistema de Información de Visados (7) ofrecen pruebas concluyentes sobre un límite de edad con una base sólida para los menores.

14.

El SEPD recomienda por ello que el límite de edad seleccionado en la propuesta se considere provisional. Al cabo de tres años, debería revisarse el límite de edad sobre la base de un estudio a gran escala y pormenorizado. Habida cuenta de la sensibilidad de los datos biométricos, así como la dimensión competitiva de los sistemas biométricos, el SEPD sugiere que dicho estudio esté supervisado por una única institución europea que tenga una experiencia clara y las mejores instalaciones para experimentar en este ámbito (8). Debería invitarse a todos los interesados pertinentes desde la industria hasta las autoridades de los Estados miembros a que contribuyan a dicho estudio.

15.

Antes de que este estudio defina claramente el límite de edad y para evitar cualquier aplicación arriesgada, el SEPD recomienda que el límite aplicado corresponda a los que ya se adoptaron para amplias poblaciones en el Reglamento sobre el sistema Eurodac (9) relativo a los solicitantes de asilo (la edad límite para recoger las impresiones dactilares de los menores es de 14 años) o el programa de visitas de EE.UU. (10) (también una edad límite de 14 años). Dichos límites podrían incluso ser algo inferiores ya que la utilización de datos biométricos se limita estrictamente a un proceso de verificación (comparación uno/uno) con arreglo al artículo 4, apartado 3, del Reglamento (CE) no 2252/2004. En efecto, se producen en general pocos errores en un procedimiento de este tipo en comparación con un procedimiento de identificación (comparación uno/varios) que presenta mayores porcentajes de error.

16.

Los sistemas de tratamiento de impresiones dactilares no sólo producen imperfecciones en el caso de los niños de menor edad, sino también en el de las personas de edad avanzada. Se ha comprobado en la práctica que la precisión y la utilidad de las impresiones dactilares van disminuyendo al avanzar la edad (11) y que son también especialmente pertinentes aspectos como la conveniencia y la ergonomía. Siguiendo el mismo razonamiento que para el límite de edad de los niños, el Supervisor Europeo de Protección de Datos recomienda que se introduzca una nueva excepción para el límite de edad de las personas de edad avanzada, tomando como base experiencias similares con las que ya se cuenta (el programa US Visit aplica un límite de 79 años). En el estudio que antes se ha sugerido deberá incluirse también la calidad de las impresiones dactilares de las personas de edad avanzada en los procesos de inscripción en los registros y comprobaciones.

17.

Por último, el Supervisor Europeo de Protección de Datos recuerda que esas exenciones no deberán estigmatizar ni discriminar en modo alguno a quienes queden exentos por precaución a causa de la edad o porque sus impresiones dactilares sean manifiestamente ilegibles.

18.

Como se indica en el sitio web de la Organización de la Aviación Civil Internacional (OACI), la recomendación del principio de «una persona, un pasaporte» (12) se ha formulado, sobre todo, como posible solución ante la falta de normalización de los pasaportes familiares y la aparición de los pasaportes de lectura automática. El Supervisor Europeo de Protección de Datos reconoce que este principio podría ofrecer además la ventaja de ayudar en la lucha contra el tráfico de niños. No obstante, el principal objetivo de un pasaporte consiste en facilitar los viajes a los ciudadanos europeos y no luchar contra el secuestro de niños, para lo que ya se han elaborado otras medidas concretas y eficaces.

19.

Según un reciente estudio (13), son los menores que viajan solos los que corren el máximo riesgo de tráfico y secuestro. Es obvio que para esta categoría es una protección añadida disponer de un documento de viaje personal. Debe destacarse, sin embargo, que la Asociación de Transporte Aéreo Internacional (IATA) no permite que los niños menores de seis años viajen sin ir acompañados por una persona con autoridad parental.

20.

En la exposición de motivos de la propuesta, la Comisión ilustra la necesidad de esta medida de seguridad dando el ejemplo de que un padre y unos hijos aparezcan registrados en el mismo pasaporte y que los datos biométricos del padre estén almacenados en un chip, pero no los de los hijos. Hay que destacar el hecho de que en ningún caso estarán introducidos en el pasaporte los datos biométricos de los niños de edad inferior a la que propone la Comisión. En ese supuesto, en comparación con las ventajas que puede ofrecer este principio, parece excesiva la carga que supone para los padres el mayor coste y duración del procedimiento, además de la recogida de datos personales también de los niños.

21.

Hay que señalar también que, en muchos casos, hacer técnicamente viable el acceso a los datos o la inscripción de los mismos (expidiendo pasaporte biométrico a los niños que estén exentos de esa obligación) es un medio muy eficaz para el acceso o la recogida de hecho de esos datos. Puede suponerse, sin riesgo de equivocarse, que cuando se cuente con los medios técnicos, se usarán. O, dicho de otra forma, en ocasiones los medios justifican el fin, y no lo contrario. Puede llegarse de esta forma a ulteriores solicitudes de requisitos legales menos rigurosos (y a un menor límite de edad) para facilitar el uso de estos medios técnicos. Los cambios en la normativa podrían entonces limitarse a confirmar prácticas ya implantadas.

22.

El Supervisor Europeo de Protección de Datos recomienda que el principio de «una persona, un pasaporte» únicamente se aplique a los niños de edad superior a la de la propuesta de la Comisión o al límite de edad que revise y confirme el estudio mencionado.

23.

En los Estados miembros de la UE la expedición de pasaportes se rige por su Derecho interno. El Derecho interno exige que se presenten distintos tipos de documento, como certificado de nacimiento, certificado de ciudadanía, libro de familia, autorización de los padres, permiso de conducción, facturas de suministros básicos, etc. Podríamos llamar primarios a estos documentos porque los pasaportes pueden derivar de ellos.

24.

Entre el Derecho interno de los distintos Estados miembros de la UE hay grandes diferencias en este aspecto. Las formas de expedición de los distintos documentos primarios en los Estados miembros y de los documentos que se piden para la expedición del pasaporte responden a situaciones y a procedimientos muy distintos, lo que acaba llevando a una disminución de la calidad de los datos de los pasaportes e incluso a crear riesgos de usurpaciones de identidad.

25.

Por ir dotados normalmente de menores medidas de seguridad hay más riesgo de encontrar documentos primarios falsos y falsificados, lo que no sucedería con un pasaporte con más medidas en el que se utilicen datos biométricos protegidos por sistemas basados en una infraestructura de clave pública (PKI).

26.

Aunque el Supervisor Europeo de Protección de Datos considera satisfactorio el objetivo de la Comisión de aumentar las medidas de seguridad del pasaporte, desearía insistir en que el pasaporte es sólo un eslabón de una cadena de seguridad que comienza con esos documentos primarios y termina en los puestos de control de las fronteras y en que el nivel de seguridad de esa cadena será exactamente el de su eslabón más débil. En consecuencia, el Supervisor Europeo de Protección de Datos recomienda a la Comisión que proponga nuevas medidas para armonizar la forma en que se expiden esos documentos primarios y cuáles de estos se exigirán cuando se solicite un pasaporte.

27.

Según una detallada encuesta (14) realizada por el Grupo «Protección de Datos» a petición de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo, que se centró en la forma práctica de aplicar el Reglamento (CE) no 2252/2004, varios Estados miembros han contemplado la creación de una base de datos central para el almacenamiento de los datos biométricos de los pasaportes. Aunque es posible que los Estados miembros implanten únicamente un procedimiento de verificación de los datos biométricos utilizando una base de datos centralizada, según la estricta limitación del Reglamento, es esta una posibilidad que presenta nuevos riesgos para la protección de los datos personales, como la aparición de nuevos objetivos no previstos en el Reglamento, o incluso las búsquedas aleatorias dentro de la base de datos, que será difícil contrarrestar (15).

28.

El Supervisor Europeo de Protección de Datos recomienda a la Comisión que proponga nuevas medidas de armonización para que únicamente se recurra al almacenamiento descentralizado (en el chip sin contacto del pasaporte) de los datos biométricos recogidos para los pasaportes de los Estados miembros de la UE.

29.

La Decisión de la Comisión (16) C(2006) 2909, de 28 de junio de 2006, únicamente definía el formato y la calidad de las imágenes de las impresiones dactilares que habían de tratarse y la forma en que debían protegerse (el control de acceso ampliado). En la propuesta no aparece indicación alguna sobre el porcentaje posible de no inscripciones en el registro sobre el de comprobaciones. La propuesta sí incluye un procedimiento de recuperación en los casos de no inscripción para los niños de menor edad (límite de edad), pero no define el límite que determina cuándo las impresiones dactilares no se consideran suficientemente buenas para inscribirlas.

30.

En cuanto al proceso de comprobación, la propuesta tampoco definía el porcentaje de falsas denegaciones aplicable en la frontera ni lo que se debía hacer con las personas que aparentemente habían sido rechazadas erróneamente. Esta falta de porcentajes uniformes podría llevar a tratamientos distintos de los datos biométricos de los ciudadanos de la UE, según la frontera que el interesado eligiera para entrar en el espacio de Schengen, con el resultado de que no se aplicaría la igualdad de trato a los ciudadanos europeos en lo que respecta al riesgo residual de los sistemas biométricos. Dado que el proceso es un proceso de verificación caso por caso, el Supervisor Europeo de Protección de Datos reconoce que el porcentaje de falsas denegaciones será inferior al aplicado a los procesos de identificación, por lo que se darán menos casos en la práctica. No obstante, es necesario definir también para esas personas procedimientos de recuperación en caso de fallo, armonizados y satisfactorios.

31.

El Supervisor Europeo de Protección de Datos recomienda a la Comisión que, junto con las Administraciones de los Estados miembros, proponga porcentajes comunes para los procesos de inscripción y de comprobación, complementados con procedimientos de recuperación en caso de fallo.

32.

La propuesta de modificaciones de la normativa vigente sobre medidas de seguridad y datos biométricos para los pasaportes y documentos de viaje emitidos por los Estados miembros lleva a plantear cuestiones semejantes a las ya planteadas en anteriores dictámenes, aunque el Supervisor Europeo de Protección de Datos considera satisfactorio que en esta ocasión se haya tenido en cuenta la necesidad de procedimientos de recuperación en caso de fallo.

33.

El Supervisor Europeo de Protección de Datos muestra también su satisfacción por que se hayan introducido exenciones por razón de la edad de las personas o de su posibilidad de proporcionar las impresiones dactilares, y también por el intento de adoptar una orientación coherente entre los distintos instrumentos que tratan asuntos similares.

34.

El Supervisor Europeo de Protección de Datos estima, sin embargo, que esas exenciones no son satisfactorias, pues no responden a todas las cuestiones posibles y pertinentes generadas por las imperfecciones inherentes a los sistemas de tratamiento de datos biométricos, y más en concreto en el caso de los niños y las personas de edad avanzada.

35.

El límite de edad de los niños debería determinarse tras un estudio coherente y detallado que determinara adecuadamente la precisión de los sistemas en condiciones reales y reflejara la diversidad de los datos tratados. Debería realizar ese estudio una institución europea con experiencia clara e instalaciones adecuadas en este ámbito.

36.

Antes de definir el límite de edad en ese estudio, y para evitar aplicaciones prácticas arriesgadas, el límite provisional debería corresponder al que ya se ha adoptado para conjuntos grandes de población, como los del sistema Eurodac o el programa US Visit (una edad de 14 años), o ligeramente inferior únicamente en el contexto del proceso de verificación.

37.

Para el límite de edad de las personas mayores debería introducirse otra excepción, que podría basarse en experiencias similares (US Visit fija una edad de 79 años). Esas exenciones no deberán estigmatizar ni discriminar en modo alguno a los afectados.

38.

El principio de «una persona, un pasaporte» únicamente debería aplicarse a los menores a partir del correspondiente límite de edad.

39.

Teniendo en cuenta que los distintos Derechos internos exigen en la actualidad documentos distintos para la expedición de los pasaportes, la Comisión debería proponer nuevas medidas para armonizar la forma en que se expiden esos documentos primarios y el uso de los mismos.

40.

La Comisión debería proponer también otras medidas de armonización para que el almacenamiento descentralizado se realice únicamente con los datos biométricos tomados para los pasaportes de los Estados miembros.

41.

Por último, la Comisión debería proponer, de acuerdo con las administraciones de los Estados miembros, tasas comunes para los procesos de inscripción y de comprobación junto con los procedimientos de recuperación en caso de fallo.