11.10.2017

ES

Diario Oficial de la Unión Europea

C 340/6

---

Resumen del Dictamen sobre la propuesta de Reglamento relativo a la creación de un portal digital único y al principio de «solo una vez»

[El texto completo del presente dictamen está disponible en inglés, francés y alemán en el sitio internet del SEPD: www.edps.europa.eu]

(2017/C 340/03)

La propuesta es uno de los primeros instrumentos de la UE que se refiere y aplica expresamente el principio de «una sola vez» destinado a garantizar que a los ciudadanos y las empresas se les pida una sola vez que presenten la misma información a una administración pública, la cual puede volver a utilizar la información con la que ya cuenta. La propuesta prevé que el intercambio de pruebas para los procedimientos transfronterizos especificados (como, por ejemplo, la solicitud de reconocimiento de un título profesional) se inicie a solicitud expresa de un usuario y tenga lugar en un sistema técnico creado por la Comisión y los Estados miembros, con un sistema integrado de previsualización que garantice la transparencia hacia el usuario.

El SEPD acoge favorablemente la propuesta de la Comisión de modernizar los servicios administrativos y aprecia su preocupación por el impacto que esta propuesta pueda tener en la protección de datos personales. El dictamen se emite por solicitud expresa tanto de la Comisión como del Parlamento. Asimismo, se inspira en las prioridades de la Presidencia estonia del Consejo, que incluyen específicamente «la Europa digital y la libre circulación de información».

Además de presentar recomendaciones concretas para mejorar la calidad de la legislación, el SEPD también quiere aprovechar esta oportunidad para presentar un resumen introductorio de los principales temas relacionados con el principio de «una sola vez» en general, si bien muchas de estas preocupaciones no están necesariamente avaladas por la propuesta en su versión actual. Estas se refieren, en particular, a la base jurídica del tratamiento, la limitación de los fines y los derechos de los titulares de los datos. El SEPD desea recalcar que, para garantizar la efectiva aplicación del principio de «una sola vez» en toda la UE y permitir el intercambio legal transfronterizo de información, dicho principio debe aplicarse de conformidad con los principios relevantes de protección de datos.

En cuanto a la propuesta en sí, el SEPD apoya los esfuerzos orientados a garantizar que los interesados mantengan el control sobre sus datos personales, incluso exigiendo una «petición explícita por parte del usuario» antes de cualquier transferencia de pruebas entre las autoridades competentes y ofreciendo al usuario la posibilidad de «previsualizar» las pruebas que vayan a intercambiarse. También acoge con satisfacción las modificaciones del Reglamento IMI que confirman y actualizan las disposiciones relativas al mecanismo de supervisión coordinada previsto para el IMI y que permitirían igualmente al Consejo Europeo de Protección de Datos (en lo sucesivo «CEPD») beneficiarse de las posibilidades técnicas que ofrece el IMI para el intercambio de información en el marco del Reglamento general de protección de datos (RGPD).

El dictamen formula recomendaciones sobre una serie de cuestiones y se centra en la base jurídica para el intercambio trasfronterizo de pruebas, la limitación de los fines y el ámbito del «principio de una sola vez», así como en cuestiones prácticas en torno al control del usuario. Entre las principales recomendaciones figura la de aclarar que la propuesta no ofrece una base jurídica para usar el sistema técnico de intercambio de información a fines distintos de los contemplados en las cuatro Directivas enumeradas o previstos en la legislación nacional o en la legislación aplicable de la UE, y que la propuesta no pretende restringir el principio de la limitación de fines contemplado en el RGPD; así como aclarar una serie de cuestiones relacionadas con la aplicación en la práctica del control del usuario. En cuanto a las modificaciones del Reglamento IMI, el SEPD recomienda añadir el RGPD al anexo del Reglamento IMI con el fin de habilitar el posible uso del IMI a fines de protección de datos.

1.   INTRODUCCIÓN Y ANTECEDENTES

El 2 de mayo de 2017, la Comisión Europea (en lo sucesivo «Comisión») adoptó una propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la creación de un portal digital único para el suministro de información, procedimientos y servicios de asistencia y resolución de problemas, y por el que se modifica el Reglamento (UE) n.o 1024/2012 (1) (en lo sucesivo «Propuesta»).

El objetivo de la Propuesta es facilitar las actividades transfronterizas de los ciudadanos y las empresas al ofrecerles un fácil acceso, a través de un único portal digital, a la información, procedimientos y servicios de asistencia y resolución de problemas que requieren para ejercer sus derechos en el mercado interior. A este respecto, la Propuesta representa una iniciativa importante de la Comisión para desarrollar un mercado interior más profundo y equitativo, así como un Mercado Único Digital (2).

Los artículos 4 a 6 de la Propuesta describen los «servicios» que ofrece el portal digital único. Son un claro reflejo del título de la propia Propuesta e incluyen:

—	acceso a la información,

—	acceso a procedimientos y

—	acceso a servicios de asistencia y resolución de problemas.

Cabe señalar igualmente que la Propuesta, en su artículo 36, se propone modificar varias disposiciones del Reglamento (UE) n.o 1024/2012 (en lo sucesivo «Reglamento IMI») (3), que establece la base jurídica para el funcionamiento del Sistema de Información del Mercado Interior (en lo sucesivo «IMI») (4).

La Propuesta es uno de los primeros instrumentos de la UE que se refiere y aplica expresamente el principio de «una sola vez» (5). La Propuesta se refiere al concepto de una sola vez y sus beneficios, y explica que «los ciudadanos y las empresas no deben estar obligados a presentar la misma información a las autoridades públicas más de una vez a efectos del intercambio transfronterizo de pruebas» (6). La Propuesta prevé que el intercambio de pruebas para determinados procedimientos se inicie a solicitud de un usuario y tenga lugar en el sistema técnico establecido por la Comisión y los Estados miembros (7) (para más información, véase la Sección 3).

El presente dictamen se expide en respuesta a una solicitud de la Comisión y a una solicitud posterior por separado del Parlamento Europeo (en lo sucesivo «Parlamento») al Supervisor Europeo de Protección de Datos (en lo sucesivo «SEPD»), en su calidad de autoridad independiente de supervisión, para que presente un dictamen sobre la Propuesta. El SEPD acoge con satisfacción el hecho de haber sido consultado por ambas instituciones. El dictamen es resultado de una consulta informal de la Comisión al SEPD anterior a la adopción de la Propuesta.

El SEPD toma nota y acoge con agrado la propuesta de la Comisión de modernizar servicios administrativos facilitando la disponibilidad, calidad y accesibilidad de la información en el conjunto de la Unión Europea. Asimismo destaca, en particular, que el principio de «una sola vez» podría contribuir a alcanzar estas metas, a condición de que se cumpla la legislación aplicable en materia de protección de datos y se respeten los derechos fundamentales de las personas.

El SEPD valora positivamente el interés mostrado por la Comisión y el Parlamento en relación con el impacto que esta Propuesta podría tener en la protección de los datos personales. Acoge con satisfacción que se hayan tenido en cuenta muchas de sus observaciones informales. En particular, apoya:

—

los esfuerzos orientados a garantizar que los interesados mantengan el control sobre sus datos personales, incluso exigiendo «una petición explícita por parte del usuario» antes de la transferencia de pruebas entre las autoridades competentes (artículo 12, apartado 4) y ofreciendo al usuario la posibilidad de «previsualizar» las pruebas que se van a intercambiar (artículo 12, apartado 2, letra e);

—	los esfuerzos consentidos para definir el ámbito de aplicación material del principio de «una sola vez» (artículo 12, apartado 1), y

—	la obligación expresa de usar datos anónimos o agregados para recopilar las observaciones de los usuarios y estadísticas correspondientes (artículos 21 a 23);

—	asimismo, acoge con agrado la modificación propuesta del Reglamento IMI, que confirma y actualiza las disposiciones relativas al mecanismo de supervisión coordinada previsto para el IMI a fin de garantizar un enfoque congruente y coherente (artículo 36, apartado 6, letra b);

—

por último, desearía que se adoptasen disposiciones de carácter más general que pusieran de manifiesto el compromiso de garantizar el respeto de los derechos fundamentales de las personas, entre ellos el derecho a la protección de los datos personales, como las que figuran en los considerandos 43 y 44, y en el artículo 29.

La finalidad de este dictamen es presentar recomendaciones específicas para resolver las objeciones pendientes en materia de protección de datos y mejorar así la calidad de la legislación (véase la Sección 3). De los tres servicios del portal enumerados anteriormente, este dictamen se centrará en el «acceso a los procedimientos» (artículo 5) y, en particular, en las disposiciones relativas al «intercambio fronterizo de pruebas entre las autoridades competentes» contemplado en el artículo 12, por ser los aspectos más relevantes para la protección de los datos personales. El resto de la Propuesta (incluidas sus disposiciones sobre el acceso a la información y a los servicios de asistencia y resolución de problemas) suscita un menor número de objeciones. Asimismo, el SEPD presenta unas sucintas observaciones sobre modificaciones concretas del Reglamento IMI.

Además, el SEPD también desea aprovechar esta oportunidad para presentar un resumen introductorio de las principales cuestiones relacionados con el principio de «una sola vez» en general, si bien muchas de estas preocupaciones no están avaladas por la propuesta en su versión actual (véase la Sección 2).

4.   CONCLUSIONES

El SEPD acoge con satisfacción la propuesta de la Comisión de modernizar los servicios administrativos al facilitar la disponibilidad, calidad y accesibilidad de la información en el conjunto de la Unión Europea, y valora positivamente la consulta de la Comisión y el Parlamento, así como su interés por el impacto que esta Propuesta pudiera tener en la protección de los datos personales.

Además de presentar recomendaciones específicas para mejorar la calidad de la legislación, el SEPD también desea aprovechar esta oportunidad para presentar un resumen introductorio de los principales temas relacionados con el principio de «una sola vez» en general, si bien muchas de estas preocupaciones no se basan necesariamente en la propuesta en su versión actual. Estas se refieren, en particular a:

—	la base jurídica para el tratamiento,

—	la limitación de fines

—	y los derechos de los titulares de los datos.

El SEPD desea recalcar que, para garantizar la aplicación eficaz del principio de «una sola vez» en toda la UE y permitir el intercambio legal transfronterizo de información, dicho principio debe aplicarse de conformidad con los principios relevantes de protección de datos.

En cuanto a la Propuesta en sí, el SEPD apoya:

—

los esfuerzos desplegados para garantizar que los interesados mantengan el control sobre sus datos personales, incluso exigiendo «una petición explícita por parte del usuario» antes de la transferencia de pruebas entre las autoridades competentes (artículo 12, apartados 4) y ofreciendo al usuario la posibilidad de «previsualizar» las pruebas que se van a intercambiar (artículo 12, apartado 2, letra e), y

—	los esfuerzos consentidos para definir el ámbito de aplicación material del principio de «una sola vez» (artículo 12, apartado 1);

—	asimismo, acoge con satisfacción la modificación propuesta del Reglamento IMI, que confirma y actualiza las disposiciones relativas al mecanismo de supervisión coordinada previsto para el IMI a fin de garantizar un enfoque congruente y coherente (artículo 36, apartado 6, letra b);

—

también acoge con satisfacción la inclusión en la Propuesta de los organismos de la UE en la definición de los actores del IMI, lo que podría permitir que el Consejo Europeo de Protección de Datos («CEPD») se beneficiase de las posibilidades técnicas que ofrece el IMI para el intercambio de información.

En lo que se refiere a la base jurídica del tratamiento, el SEPD recomienda añadir uno o varios considerando por aclarar:

—

que la Propuesta en sí no ofrece una base jurídica para el intercambio de pruebas y que los intercambios de pruebas previstos en el artículo 12, apartado 1, deben tener una base jurídica adecuada en otro instrumento, como las cuatro Directivas enumeradas en el artículo 12, apartado 1, o la legislación nacional o la legislación aplicable de la UE;

—	que la base jurídica para el uso del sistema técnico mencionado en el artículo 12 para el intercambio de pruebas constituye una tarea realizada en aras al interés público con arreglo al artículo 6, apartado 1, letra e, del RGPD, y

—	los usuarios tienen derecho a oponerse al tratamiento de sus datos personales en el sistema técnico en virtud del artículo 21, apartado 1, del RGPD.

En lo que se refiere a la limitación de fines, el SEPD recomienda que se añadan uno o varios considerandos para aclarar:

—	que la Propuesta no ofrece una base jurídica para el uso del sistema técnico con el fin de intercambiar información con fines distintos a los establecidos en las cuatro Directivas enumeradas o los previstos en la legislación nacional o la legislación aplicable de la UE;

—	y que la Propuesta no tiene por finalidad restringir en modo alguno el principio de limitación de fines conforme al artículo 6, apartado 4, y el artículo 23, apartado 1, del RGPD.

En cuanto al concepto de «petición explícita», el SEPD recomienda que la Propuesta aclare (de preferencia en una disposición material):

—	lo que hace que la petición sea «explícita» y hasta qué punto la petición ha de ser específica;

—	si la petición puede presentarse a través del sistema técnico mencionado en el artículo 12, apartado 1;

—	cuáles son las consecuencias de que el usuario elija no hacer una «petición explícita», y

—	si puede retirarse dicha petición. (Véanse en la Sección 3.3 supra las recomendaciones específicas).

En cuanto a la cuestión de la «previsualización», el SEPD recomienda:

—	que la Propuesta aclare cuáles son las opciones al alcance de los usuarios que recurran a la posibilidad de previsualizar los datos que se van a intercambiar;

—

en particular, el artículo 12, apartado 2, letra e, debería aclarar que se ofrece al usuario la posibilidad de ejercer la previsualización de forma oportuna, antes de que el receptor tenga acceso a las pruebas, y puede retirar la petición de intercambio de pruebas (véanse igualmente nuestras recomendaciones relativas a las «peticiones explícitas»);

—	ello podría hacerse, por ejemplo, introduciendo al final de la frase del artículo 12, apartado 2, letra e, el siguiente texto: «antes de que la autoridad requiriente tenga acceso a ellas, y podrá retirar la petición en cualquier momento».

En relación con la definición de la prueba y el ámbito de los procedimientos en línea incluidos, el SEPD recomienda:

—	sustituir la referencia al artículo 2, apartado 2, letra b, que figura en el artículo 3, apartado 4, por la referencia al artículo 12, apartado 1, o proporcionar otra solución legislativa que tenga un efecto similar;

—	el SEPD desea subrayar también que acoge con agrado los esfuerzos realizados en la Propuesta por limitar el intercambio de información a los procedimientos en línea enumerados en el anexo II y las cuatro Directivas indicadas específicamente;

—	por ello, recomienda que el ámbito de aplicación de la Propuesta siga estando claramente definido y siga incluyendo el anexo II y las referencias a las cuatro Directivas enumeradas específicamente.

Por último, el SEPD recomienda:

—	que se añada el RGPD al anexo del Reglamento IMI para permitir el potencial uso del IMI a fines de protección de datos, y

—	que se añadan las autoridades de supervisión de protección de datos a la lista de servicios de asistencia y resolución de problemas que figuran en el anexo III.

---

(1)  Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la creación de un portal digital único para el suministro de información, procedimientos y servicios de asistencia y resolución de problemas, y por el que se modifica el Reglamento (UE) n.o 1024/2012, COM(2017) 256 FINAL, 2017/0086 (COD) (en lo sucesivo «Propuesta»).

(2)  Exposición de motivos de la propuesta, p. 2.

(3)  Reglamento (UE) n.o 1024/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, relativo a la cooperación administrativa a través del Sistema de Información del Mercado Interior y por el que se deroga la Decisión 2008/49/CE de la Comisión («Reglamento IMI»), (DO L 316 de 14.11.2012, p. 1).

(4)  Véase igualmente el Dictamen del SEPD de 22 de noviembre de 2011 sobre la propuesta de la Comisión para un Reglamento del Parlamento Europeo y del Consejo relativo a la cooperación administrativa a través del Sistema de Información del Mercado Interior

(«IMI») disponible en https://edps.europa.eu/sites/edp/files/publication/11-11-22_imi_opinion_es.pdf.

(5)  Véase igualmente el artículo 14 de la Propuesta de Directiva del Parlamento Europeo y del Consejo relativa al marco jurídico y operativo de la tarjeta electrónica europea de servicios introducida por el Reglamento … [Reglamento relativo a la tarjeta electrónica europea de servicios] COM(2016) 823 final, 2016/0402(COD).

(6)  Considerando 28 de la Propuesta.

(7)  Artículo 12, apartados 1 y 4, de la Propuesta.

---