COMISIÓN EUROPEA
Bruselas, 20.1.2021
COM(2021) 20 final
2021/0008(COD)
Propuesta de
DIRECTIVA DEL PARLAMENTO EUROPEO Y DEL CONSEJO
por la que se modifica la Decisión Marco 2002/465/JAI del Consejo en lo que respecta a su alineamiento con las normas de la UE sobre protección de datos personales
EXPOSICIÓN DE MOTIVOS
1.CONTEXTO DE LA PROPUESTA
•Razones y objetivos de la propuesta
La Directiva (UE) 2016/680 (Directiva sobre protección de datos en el ámbito penal) entró en vigor el 6 de mayo de 2016 y los Estados miembros tuvieron hasta el 6 de mayo de 2018 para transponerla a sus ordenamientos jurídicos. Derogó y sustituyó a la Decisión Marco 2008/977/JAI del Consejo, pero es un instrumento de protección de datos mucho más completo y general. Es importante destacar que se aplica al tratamiento tanto nacional como transfronterizo de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública (artículo 1, apartado 1).
El artículo 62, apartado 6, de la Directiva sobre protección de datos en el ámbito penal exigía a la Comisión que revisara, antes del 6 de mayo de 2019, otros actos jurídicos de la UE que regulen el tratamiento de datos personales por parte de las autoridades competentes con fines policiales, a fin de evaluar la necesidad de aproximarlos a las disposiciones de la Directiva y que presente, en su caso, las propuestas necesarias para modificarlos para garantizar la coherencia en la protección de datos personales en el ámbito de aplicación de la Directiva.
La Comisión expuso los resultados de su revisión en la Comunicación «Manera de avanzar en la alineación del acervo del antiguo tercer pilar con las normas en materia de protección de datos» (24 de junio de 2020), en la que se especifican diez actos jurídicos que deben adaptarse a la Directiva sobre protección de datos en el ámbito penal y un calendario para hacerlo. La lista incluye la Decisión Marco 2002/465/JAI del Consejo, sobre equipos conjuntos de investigación. La Comisión señaló que propondría modificaciones específicas de dicha Decisión Marco en el último trimestre de 2020; este es el objeto de la presente propuesta.
Esta iniciativa no se enmarca en el programa de adecuación y eficacia de la reglamentación (REFIT).
•Coherencia con las disposiciones existentes en la misma política sectorial
La presente propuesta tiene por objeto adaptar las normas de protección de datos de la Decisión Marco 2002/465/JAI a los principios y normas establecidos en la Directiva sobre protección de datos en el ámbito penal, con el fin de conformar un marco sólido y coherente de protección de datos en la Unión.
•Coherencia con otras políticas de la Unión
2.BASE JURÍDICA, SUBSIDIARIEDAD Y PROPORCIONALIDAD
•Base jurídica
La presente propuesta se basa en el artículo 16, apartado 2, del Tratado de Funcionamiento de la Unión Europea (TFUE).
El acto original se basaba en el artículo 34, apartado 2, letra b), del antiguo Tratado de la Unión Europea, que se corresponde con el artículo 82, apartado 1, del TFUE. Sin embargo, tanto el objetivo como el contenido de la modificación propuesta se limitan claramente a la protección de los datos personales.
En este sentido, el artículo 16, apartado 2, del TFUE es la base jurídica más adecuada. Este posibilita la adopción de normas sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de los Estados miembros cuando lleven a cabo actividades con arreglo al Derecho de la Unión y las normas sobre la libre circulación de datos personales.
De conformidad con el artículo 2 bis del Protocolo n.º 22, Dinamarca no está vinculada por las normas establecidas sobre la base del artículo 16 del TFUE que se refieran al tratamiento de datos personales en el ejercicio de las actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE. El mismo régimen se aplica a Irlanda en virtud del artículo 6 bis del Protocolo n.º 21.
•Subsidiariedad (en el caso de competencia no exclusiva)
Solo la Unión puede adoptar un acto legislativo que modifique la Decisión Marco 2002/465/JAI.
•Proporcionalidad
La presente propuesta se limita a lo necesario para adaptar la Decisión Marco 2002/465/JAI a la legislación de la Unión en materia de protección de datos personales (en particular, la Directiva sobre protección de datos en el ámbito penal) sin modificar los mecanismos de cooperación entre Estados miembros para la creación de un equipo conjunto de investigación. La presente Directiva no excede de lo necesario para alcanzar los objetivos perseguidos, de conformidad con lo dispuesto en el artículo 5, apartado 4, del Tratado de la Unión Europea.
•Elección del instrumento
Para modificar la Decisión Marco 2002/465/JAI, el instrumento más adecuado es una directiva.
3.RESULTADOS DE LAS EVALUACIONES EX POST, DE LAS CONSULTAS CON LAS PARTES INTERESADAS Y DE LAS EVALUACIONES DE IMPACTO
•Evaluaciones ex post / controles de la adecuación de la legislación existente
La presente propuesta se ajusta a los resultados de la revisión realizada por la Comisión en virtud del artículo 62, apartado 6, de la Directiva sobre protección de datos en el ámbito penal, tal y como se recogió en la Comunicación «Manera de avanzar en la alineación del acervo del antiguo tercer pilar con las normas en materia de protección de datos». En dicha Comunicación se enumeran los aspectos que precisan ser adaptados. En particular, se señala la necesidad de aclarar que cualquier tratamiento de datos personales obtenidos en virtud de la Decisión Marco 2002/465/JAI está sujeto a la Directiva sobre protección de datos en el ámbito penal o al Reglamento (UE) 2016/679 (Reglamento general de protección de datos o «RGPD»), según se trate de un procedimiento penal o no penal. La adaptación debe aclarar que los datos obtenidos en virtud de la Decisión Marco 2014/41/JAI pueden tratarse para fines distintos de aquellos para los que se recogen únicamente en las condiciones establecidas en la Directiva sobre protección de datos en el ámbito penal (artículo 4, apartado 2, o artículo 9, apartado 1) o en el RGPD (artículo 6, apartado 4).
Al proponer la modificación del artículo 1, apartado 10, de la Decisión Marco 2002/465/JAI, la presente propuesta se limita a lo necesario para poner en práctica los puntos anteriores.
•Consultas con las partes interesadas
•Obtención y uso de asesoramiento especializado
En su revisión, la Comisión tuvo en cuenta un estudio realizado en el marco de un proyecto piloto de revisión desde el punto de vista de los derechos fundamentales de los instrumentos y programas de recopilación de datos de la UE. En el estudio se enumeraban los actos de la Unión contemplados en el artículo 62, apartado 6, de la Directiva sobre protección de datos en el ámbito penal y se señalaban disposiciones que podían requerir una adaptación desde la perspectiva de la protección de datos.
•Evaluación de impacto
El impacto de la presente propuesta se limita al tratamiento de datos personales por parte de las autoridades competentes al aplicar la Decisión Marco 2002/465/JAI. El impacto de las nuevas obligaciones derivadas de la Directiva sobre protección de datos en el ámbito penal se evaluó durante los preparativos de la Directiva, por lo que resulta innecesaria una evaluación de impacto específica de la presente propuesta.
•Adecuación regulatoria y simplificación
n/d
•Derechos fundamentales
El derecho a la protección de los datos de carácter personal se establece en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea y en el artículo 16 del TFUE. La protección de datos también está estrechamente ligada al respeto de la vida privada y familiar, protegido por el artículo 7 de la Carta.
La presente propuesta garantiza que todo tratamiento de datos personales obtenidos en virtud de la Decisión Marco 2002/465/JAI esté sujeto a los principios y normas horizontales de la legislación de la UE en materia de protección de datos, con lo que se da aplicación al artículo 8 de la Carta. Dicha legislación tiene por objeto garantizar un nivel elevado de protección de los datos personales y aclarar que los principios y normas de la legislación de la UE en materia de protección de datos que se aplican plenamente al tratamiento de datos obtenidos en virtud de la Decisión Marco tendrán un efecto positivo en lo que respecta a los derechos fundamentales a la privacidad y a la protección de los datos.
4.REPERCUSIONES PRESUPUESTARIAS
5.OTROS ELEMENTOS
•Planes de ejecución y modalidades de seguimiento, evaluación e información
•Documentos explicativos (para las directivas)
La presente propuesta no requiere documentos explicativos sobre la transposición, ya que modifica de forma muy específica un artículo de la Decisión Marco 2002/465/JAI.
•Explicación detallada de las disposiciones específicas de la propuesta
La Directiva sobre protección de datos en el ámbito penal establece el marco jurídico para el tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública. En el artículo 4, apartado 2, y el artículo 9, apartado 1, se regula el tratamiento de datos personales para fines distintos de aquellos para los que se recogen.
En concreto, el artículo 1, apartado 10, de la Decisión Marco 2002/465/JAI establece que determinados datos personales podrán ser tratados, en determinadas condiciones, para otros fines distintos de aquellos para los que fueron inicialmente recogidos. Excede las condiciones de la Directiva sobre protección de datos en el ámbito penal y, por tanto, debe alinearse con esta. El artículo 1 de la presente Directiva modifica el artículo 1, apartado 10, de la Decisión Marco mediante:
–el alineamiento de los supuestos en que pueden usarse los datos personales recogidos por los equipos conjuntos de investigación [artículo 1, apartado 10, letra b)] con el principio de finalidad específica, tal como se regula en la Directiva sobre protección de datos en el ámbito penal; y
–la supresión del artículo 1, apartado 10, letras c) y d).
El artículo 2 fija el plazo para la transposición de la presente Directiva.
El artículo 3 fija la fecha de entrada en vigor de la presente Directiva.
El artículo 4 dispone que los destinatarios de la presente Directiva son los Estados miembros.
2021/0008 (COD)
Propuesta de
DIRECTIVA DEL PARLAMENTO EUROPEO Y DEL CONSEJO
por la que se modifica la Decisión Marco 2002/465/JAI del Consejo en lo que respecta a su alineamiento con las normas de la UE sobre protección de datos personales
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 16, apartado 2,
Vista la propuesta de la Comisión Europea,
Previa transmisión del proyecto de acto legislativo a los parlamentos nacionales,
De conformidad con el procedimiento legislativo ordinario,
Considerando lo siguiente:
(1)De conformidad con el artículo 62, apartado 6, de la Directiva (UE) 2016/680, la Comisión debe revisar otros actos del Derecho de la Unión que regulen el tratamiento de datos personales por parte de las autoridades competentes a los efectos expuestos en el artículo 1, apartado 1, de dicha Directiva, a fin de evaluar la necesidad de aproximarlos a dicha Directiva y debe presentar, en su caso, las propuestas necesarias para modificar dichos actos para garantizar un enfoque coherente de la protección de datos personales en el ámbito de aplicación de dicha Directiva. Como resultado de dicha revisión, se ha comprobado que la Decisión Marco 2002/465/JAI del Consejo es uno de esos otros actos que deben modificarse.
(2)En aras de la coherencia y la protección efectiva de los datos personales, el tratamiento de datos personales en virtud de la Decisión Marco 2002/465/JAI debe respetar las normas establecidas en la Directiva (UE) 2016/680.
(3)De conformidad con los artículos 1, 2 y 4 bis, apartado 1, del Protocolo n.º 21 sobre la posición del Reino Unido y de Irlanda respecto del espacio de libertad, seguridad y justicia, anejo al Tratado de la Unión Europea y al Tratado de Funcionamiento de la Unión Europea, y sin perjuicio del artículo 4 de dicho Protocolo, Irlanda no participa en la adopción de la presente Directiva y no queda vinculada por ella ni sujeta a su aplicación.
(4)De conformidad con los artículos 1 y 2 del Protocolo n.º 22 sobre la posición de Dinamarca, anejo al Tratado de la Unión Europea y al Tratado de Funcionamiento de la Unión Europea, Dinamarca no participa en la adopción de la presente Directiva y no queda vinculada por esta ni sujeta a su aplicación.
(5)Procede, por tanto, modificar la Decisión Marco 2002/465/JAI en consecuencia.
(6)El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42 del Reglamento (UE) 2018/1725, emitió su dictamen el XX de XX de XXXX.
HAN ADOPTADO LA PRESENTE DIRECTIVA:
Artículo 1
La Decisión Marco 2002/465/JAI se modifica como sigue:
1)en el artículo 1, apartado 10, la letra b) se sustituye por el texto siguiente:
«b) para otros fines, de conformidad con el artículo 4, apartado 2, de la Directiva (UE) 2016/680.»;
2)en el artículo 1, apartado 10, se suprimen las letras c) y d).
Artículo 2
1.Los Estados miembros pondrán en vigor a más tardar el [un año después de su adopción]las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la presente Directiva. Comunicarán inmediatamente a la Comisión el texto de dichas disposiciones.
Cuando los Estados miembros adopten dichas disposiciones, estas harán referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de la mencionada referencia.
2.Los Estados miembros comunicarán a la Comisión el texto de las principales disposiciones de Derecho interno que adopten en el ámbito regulado por la presente Directiva.
Artículo 3
La presente Directiva entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Artículo 4
Los destinatarios de la presente Directiva son los Estados miembros de conformidad con los Tratados.
Hecho en Bruselas, el
Por el Parlamento Europeo
Por el Consejo
El Presidente
El Presidente / La Presidenta