This document is an excerpt from the EUR-Lex website
Document 32023D0436
Council Decision (EU) 2023/436 of 14 February 2023 authorising Member States to ratify, in the interest of the European Union, the Second Additional Protocol to the Convention on Cybercrime on enhanced cooperation and disclosure of electronic evidence
Decisión (UE) 2023/436 del Consejo de 14 de febrero de 2023 por la que se autoriza a los Estados miembros a ratificar, en interés de la Unión Europea, el Segundo Protocolo adicional al Convenio sobre la Ciberdelincuencia, relativo a la cooperación reforzada y la revelación de pruebas electrónicas
Decisión (UE) 2023/436 del Consejo de 14 de febrero de 2023 por la que se autoriza a los Estados miembros a ratificar, en interés de la Unión Europea, el Segundo Protocolo adicional al Convenio sobre la Ciberdelincuencia, relativo a la cooperación reforzada y la revelación de pruebas electrónicas
ST/6438/2022/INIT
DO L 63 de 28.2.2023, p. 48–53
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
ELI: http://data.europa.eu/eli/dec/2023/436/oj
28.2.2023 |
ES |
Diario Oficial de la Unión Europea |
L 63/48 |
DECISIÓN (UE) 2023/436 DEL CONSEJO
de 14 de febrero de 2023
por la que se autoriza a los Estados miembros a ratificar, en interés de la Unión Europea, el Segundo Protocolo adicional al Convenio sobre la Ciberdelincuencia, relativo a la cooperación reforzada y la revelación de pruebas electrónicas
EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 16 y su artículo 82, apartado 1, en relación con su artículo 218, apartado 6,
Vista la propuesta de la Comisión Europea,
Vista la aprobación del Parlamento Europeo (1),
Considerando lo siguiente:
(1) |
El 6 de junio de 2019, el Consejo autorizó a la Comisión a participar, en nombre de la Unión, en las negociaciones sobre un segundo protocolo adicional al Convenio del Consejo de Europa sobre la Ciberdelincuencia (CETS n.o 185) (en lo sucesivo, «Convenio sobre la Ciberdelincuencia»). |
(2) |
El Segundo Protocolo adicional al Convenio sobre la Ciberdelincuencia, relativo a la cooperación reforzada y la revelación de pruebas electrónicas (en lo sucesivo, «Segundo Protocolo»), fue adoptado por el Comité de Ministros del Consejo de Europa el 17 de noviembre de 2021 y está previsto que se abra a la firma el 12 de mayo de 2022. |
(3) |
Las disposiciones del Segundo Protocolo afectan a un ámbito regulado en gran medida por normas comunes en el sentido del artículo 3, apartado 2, del Tratado de Funcionamiento de la Unión Europea (TFUE), incluidos los instrumentos que facilitan la cooperación judicial en materia penal, garantizan normas mínimas para los derechos procesales y salvaguardias en materia de protección de datos y privacidad. |
(4) |
La Comisión también ha presentado una propuesta legislativa de reglamento sobre los requerimientos europeos de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal, y una propuesta legislativa de directiva por la que se establecen normas armonizadas para la designación de representantes legales a efectos de recabar pruebas para procesos penales, con las que se pretende introducir requerimientos europeos vinculantes de entrega y conservación transfronterizas que deben dirigirse directamente a un representante de un proveedor de servicios en otro Estado miembro. |
(5) |
Con su participación en las negociaciones sobre el Segundo Protocolo, la Comisión veló por su compatibilidad con las normas comunes pertinentes de la Unión. |
(6) |
Son necesarias una serie de reservas, declaraciones, notificaciones y comunicaciones en relación con el Segundo Protocolo para garantizar la compatibilidad de este con el Derecho y las políticas de la Unión. Otras resultan pertinentes para garantizar la aplicación uniforme del Segundo Protocolo por los Estados miembros de la Unión que son Partes en el Segundo Protocolo (en lo sucesivo, «Estados miembros Partes») en sus relaciones con terceros países que son Partes en este (en lo sucesivo, «terceros países Partes»), y la aplicación efectiva del Segundo Protocolo. |
(7) |
Las reservas, declaraciones, notificaciones y comunicaciones sobre las que se dan directrices a los Estados miembros en el anexo de la presente Decisión, se entienden sin perjuicio de otras posibles reservas o declaraciones que formulen individualmente si así lo permite el Segundo Protocolo. |
(8) |
Los Estados miembros que no hayan formulado o efectuado reservas, declaraciones, notificaciones o comunicaciones de conformidad con el anexo de la presente Decisión en el momento de la firma deben hacerlo cuando depositen sus instrumentos de ratificación, aceptación o aprobación del Segundo Protocolo. |
(9) |
Tras la ratificación, aceptación o aprobación del Segundo Protocolo, los Estados miembros deben atenerse, además, a las indicaciones que figuran en el anexo de la presente Decisión. |
(10) |
El Segundo Protocolo establece procedimientos rápidos que mejoran el acceso transfronterizo a las pruebas electrónicas y un alto nivel de garantías. Por lo tanto, la entrada en vigor contribuirá a la lucha contra la ciberdelincuencia y otras formas de delincuencia de escala mundial, facilitando la cooperación entre los Estados miembros Partes y los terceros países Partes, otorgará un nivel elevado de protección a las personas y tratará la cuestión de los conflictos de leyes. |
(11) |
El Segundo Protocolo establece salvaguardias adecuadas en consonancia con los requisitos que imponen a las transferencias internacionales de datos personales el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (2) y la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (3). Por consiguiente, su entrada en vigor contribuirá a promover los estándares de protección de datos de la Unión en todo el mundo, facilitará los flujos de datos entre los Estados miembros Partes y los terceros países Partes y garantizará el cumplimiento por los Estados miembros Partes de las obligaciones que les imponen las normas de protección de datos de la Unión. |
(12) |
La rápida entrada en vigor del Segundo Protocolo confirmará además la importancia del Convenio sobre la Ciberdelincuencia como principal marco multilateral para la lucha contra la ciberdelincuencia. |
(13) |
La Unión no puede ratificar el Segundo Protocolo, ya que solo los Estados pueden ser Partes en él. |
(14) |
Por lo tanto, debe autorizarse a los Estados miembros a ratificar el Protocolo, actuando conjuntamente en interés de la Unión. |
(15) |
El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (4), emitió su dictamen el 21 de enero de 2022. |
(16) |
De conformidad con los artículos 1 y 2 del Protocolo n.o 21 sobre la posición del Reino Unido y de Irlanda respecto del espacio de libertad, seguridad y justicia, anejo al Tratado de la Unión Europea (TUE) y al TFUE, y sin perjuicio del artículo 4 de dicho Protocolo, Irlanda no participa en la adopción de la presente Decisión y no queda vinculada por ella ni sujeta a su aplicación. |
(17) |
De conformidad con los artículos 1 y 2 del Protocolo n.o 22 sobre la posición de Dinamarca, anejo al TUE y al TFUE, Dinamarca no participa en la adopción de la presente Decisión y no queda vinculada por ella ni sujeta a su aplicación. |
(18) |
Las versiones auténticas del Segundo Protocolo son las versiones en inglés y francés, adoptadas por el Comité de Ministros del Consejo de Europa el 17 de noviembre de 2021. |
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1
Se autoriza a los Estados miembros a ratificar, en interés de la Unión, el Segundo Protocolo adicional al Convenio sobre la Ciberdelincuencia, relativo a la cooperación reforzada y la revelación de pruebas electrónicas (en lo sucesivo, «Segundo Protocolo») (5).
Artículo 2
1. En el momento de ratificar el Segundo Protocolo, aquellos Estados miembros que no hayan formulado o efectuado, en el momento de su firma, reservas, declaraciones, notificaciones o comunicaciones de conformidad con los puntos 1 a 3 del anexo de la presente Decisión, lo harán cuando depositen su instrumento de ratificación, aceptación o aprobación del Segundo Protocolo.
2. Tras la ratificación, aceptación o aprobación del Segundo Protocolo, los Estados miembros se atendrán, además, a las indicaciones que figuran en el punto 4 del anexo de la presente Decisión.
Artículo 3
La presente Decisión entrará en vigor el día de su adopción.
Artículo 4
La presente Decisión se publicará en el Diario Oficial de la Unión Europea.
Artículo 5
Los destinatarios de la presente Decisión son los Estados miembros.
Hecho en Bruselas, el 14 de febrero de 2023.
Por el Consejo
La Presidenta
E. SVANTESSON
(1) Aprobación de 17 de enero de 2023 (pendiente de publicación en el Diario Oficial).
(2) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
(3) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).
(4) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).
(5) Véase la página 28 del presente Diario Oficial.
ANEXO
En el presente anexo figuran las reservas, declaraciones, notificaciones, comunicaciones e indicaciones a las que se refiere el artículo 2.
1. Reservas
En virtud del artículo 19, apartado 1, del Segundo Protocolo, toda Parte puede declarar que formula una o varias de las reservas previstas en determinadas disposiciones del Segundo Protocolo.
En virtud del artículo 7, apartado 9, letra a), del Segundo Protocolo, toda Parte puede reservarse el derecho a no aplicar el artículo 7 (revelación de información relativa a los abonados). Los Estados miembros se abstendrán de formular tal reserva.
En virtud del artículo 7, apartado 9, letra b), del Segundo Protocolo, toda Parte puede reservarse, en las condiciones que dicha disposición exige, el derecho a no aplicar el artículo 7 a determinados tipos de números de acceso. Los Estados miembros solo podrán formular tal reserva con respecto a números de acceso distintos de aquellos que sean necesarios exclusivamente para identificar al usuario.
En virtud del artículo 8, apartado 13, del Segundo Protocolo, toda Parte puede reservarse el derecho de no aplicar el artículo 8 (dar efecto a los requerimientos de otra Parte para la comunicación rápida de información relativa a los abonados y de datos relativos al tráfico) a los datos relativos al tráfico. Se anima a los Estados miembros a que se abstengan de formular tal reserva.
Respecto de las demás reservas en virtud del artículo 19, apartado 1, se autoriza a los Estados miembros a formularlas si lo consideran conveniente.
2. Declaraciones
En virtud del artículo 19, apartado 2, del Segundo Protocolo, toda Parte puede formular las declaraciones que se indican en determinados artículos del Segundo Protocolo.
En virtud del artículo 7, apartado 2, letra b), del Segundo Protocolo, toda Parte puede formular, con respecto a los requerimientos dirigidos a proveedores de servicios que se encuentren en su territorio, la declaración siguiente:
«El requerimiento contemplado en el artículo 7, apartado 1, debe ser emitido por la fiscalía u otra autoridad judicial o bajo su supervisión o bajo supervisión independiente.».
Los Estados miembros formularán, con respecto a los requerimientos emitidos a los proveedores de servicios en su territorio, la declaración a la que se refiere el párrafo segundo del presente punto.
En virtud del artículo 9 (revelación rápida de datos informáticos almacenados en caso de emergencia), apartado 1, letra b), del Segundo Protocolo, toda Parte puede declarar que no ejecutará las solicitudes formuladas en virtud del apartado l, letra a), de dicho artículo, en las que se solicite únicamente la revelación de información relativa a los abonados. Se anima a los Estados miembros a abstenerse de formular tal declaración.
Respecto de las demás declaraciones en virtud del artículo 19, apartado 2, se autoriza a los Estados miembros a formularlas si lo consideran conveniente.
3. Declaraciones, notificaciones o comunicaciones
En virtud del artículo 19, apartado 3, del Segundo Protocolo, toda Parte debe formular o efectuar las declaraciones, notificaciones o comunicaciones que se especifican en determinados artículos del Segundo Protocolo en las condiciones que se especifican en ellos.
En virtud del artículo 7, apartado 5, letra a), del Segundo Protocolo, toda Parte puede notificar a la Secretaría General del Consejo de Europa que, cuando se emita un requerimiento con arreglo al apartado 1 de dicho artículo, dirigido a un proveedor de servicios que se encuentre en su territorio, esa Parte exigirá, en todos los casos o en circunstancias determinadas, la notificación simultánea del requerimiento, de la información complementaria y de un resumen de los hechos relacionados con la investigación o el proceso. En consecuencia, los Estados miembros efectuarán la notificación siguiente a la Secretaría General del Consejo de Europa:
«Cuando se emita un requerimiento en virtud del artículo 7, apartado 1, a un proveedor de servicios en el territorio de [Estado miembro], se exigirá siempre la notificación simultánea del requerimiento, de la información complementaria y de un resumen de los hechos relacionados con la investigación o el proceso.».
De conformidad con el artículo 7, apartado 5, letra e), del Segundo Protocolo, los Estados miembros designarán una única autoridad competente para recibir la notificación prevista en el artículo 7, apartado 5, letra a), del Segundo Protocolo, llevar a cabo las acciones descritas en el artículo 7, apartado 5, letras b), c) y d), del Segundo Protocolo, y, en el momento de la primera notificación a la Secretaría General del Consejo de Europa en virtud del artículo 7, apartado 5, letra a), del Segundo Protocolo, comunicar a la Secretaría General del Consejo de Europa la información de contacto de dicha autoridad.
En virtud del artículo 8, apartado 4, del Segundo Protocolo, toda Parte puede declarar que es precisa información justificativa adicional para dar efecto a los requerimientos contemplados en el apartado 1 de dicho artículo. En consecuencia, los Estados miembros formularán la declaración siguiente:
«Es precisa información justificativa adicional para dar efecto a los requerimientos contemplados en el artículo 8, apartado 1. La información justificativa adicional necesaria dependerá de las circunstancias del requerimiento y de la investigación o proceso correspondiente.».
De conformidad con el artículo 8, apartado 10, letras a) y b), del Segundo Protocolo, los Estados miembros comunicarán y mantendrán actualizada la información de contacto de las autoridades designadas para cursar el requerimiento contemplado en el artículo 8, y de las autoridades designadas para recibir los requerimientos con arreglo al artículo 8, respectivamente. Los Estados miembros que participen en la cooperación reforzada establecida por el Reglamento (UE) 2017/1939 del Consejo (1), por el que se establece una cooperación reforzada para la creación de la Fiscalía Europea, incluirán a esta, dentro de los límites del ejercicio de las competencias que le confieren los artículos 22, 23 y 25 de dicho Reglamento, entre las autoridades comunicadas con arreglo al artículo 8, apartado 10, letras a) y b), del Segundo Protocolo, y lo harán de manera coordinada.
En consecuencia, los Estados miembros formularán la declaración siguiente:
«De conformidad con el artículo 8, apartado 10, [Estado miembro], en calidad de Estado miembro de la Unión Europea que participa en la cooperación reforzada para la creación de la Fiscalía Europea, designa como autoridad competente a la Fiscalía Europea, en el ejercicio de sus competencias, conforme a lo dispuesto en los artículos 22, 23 y 25 del Reglamento (UE) 2017/1939 del Consejo, de 12 de octubre de 2017, por el que se establece una cooperación reforzada para la creación de la Fiscalía Europea.».
De conformidad con el artículo 14, apartado 7, letra c), del Segundo Protocolo, los Estados miembros comunicarán a la Secretaría General del Consejo de Europa la autoridad o autoridades que deban ser notificadas con arreglo al apartado 7, letra b), de dicho artículo, a efectos del capítulo II, sección 2, del Segundo Protocolo, en relación con los incidentes que afecten a la seguridad.
De conformidad con el artículo 14, apartado 10, letra b), del Segundo Protocolo, los Estados miembros comunicarán a la Secretaría General del Consejo de Europa la autoridad o autoridades competentes para conceder una autorización a efectos del capítulo II, sección 2, del Segundo Protocolo, en relación con la transferencia ulterior a otro Estado u organización internacional de los datos recibidos en virtud del Segundo Protocolo.
Respecto de las demás declaraciones que contempla el artículo 19, apartado 3, del Segundo Protocolo, se autoriza a los Estados miembros a formular o efectuar tales declaraciones, notificaciones o comunicaciones si lo consideran conveniente.
4. Otras indicaciones
Los Estados miembros que participen en la cooperación reforzada establecida por el Reglamento (UE) 2017/1939 se asegurarán de que la Fiscalía Europea pueda solicitar, en el ejercicio de las competencias que le confieren los artículos 22, 23 y 25 de dicho Reglamento, cooperación en el marco del Segundo Protocolo del mismo modo que las fiscalías nacionales de dichos Estados miembros.
Por lo que se refiere a la aplicación del artículo 7, en particular, en relación con determinados tipos de números de acceso, los Estados miembros podrán someter los requerimientos a los que se aplique dicho artículo al control de la fiscalía u otra autoridad judicial, cuando su autoridad competente reciba una notificación simultánea del requerimiento antes de que el proveedor revele la información solicitada.
De conformidad con el artículo 14, apartado 11, letra c), del Segundo Protocolo, los Estados miembros velarán por que, cuando transfieran datos a efectos del Segundo Protocolo, se informe a la Parte receptora de que su ordenamiento jurídico interno requiere la notificación en persona de la persona cuyos datos se proporcionen.
En lo referente a las transferencias internacionales sobre la base del Acuerdo entre los Estados Unidos de América y la Unión Europea sobre la protección de datos personales relativa a la prevención, investigación, detección o enjuiciamiento de infracciones penales (2) (en lo sucesivo, «Acuerdo marco»), los Estados miembros comunicarán, a efectos del artículo 14, apartado 1, letra b), del Segundo Protocolo, a las autoridades competentes de los Estados Unidos que el Acuerdo marco se aplica a las transferencias recíprocas de datos personales realizadas en virtud del Segundo Protocolo entre las autoridades competentes. No obstante, los Estados miembros tendrán en cuenta que el Acuerdo marco debe complementarse con salvaguardias adicionales que atiendan a la especificidad de los requisitos para la transferencia de pruebas electrónicas directamente por los proveedores de servicios y no entre autoridades, como dispone el Segundo Protocolo. En consecuencia, los Estados miembros efectuarán la comunicación siguiente a las autoridades competentes de los Estados Unidos:
«A efectos del artículo 14, apartado 1, letra b), del Segundo Protocolo adicional al Convenio del Consejo de Europa sobre la Ciberdelincuencia (en lo sucesivo, «Segundo Protocolo»), [Estado miembro] considera que el Acuerdo entre los Estados Unidos de América y la Unión Europea sobre la protección de datos personales relativa a la prevención, investigación, detección o enjuiciamiento de infracciones penales (en lo sucesivo, «Acuerdo marco») es de aplicación a las transferencias recíprocas de datos personales realizadas en virtud del Segundo Protocolo entre las autoridades competentes. Para las transferencias entre proveedores de servicios y autoridades realizadas en virtud del Segundo Protocolo, el Acuerdo marco solo es de aplicación en combinación con otro acuerdo específico en el sentido del artículo 3, apartado 1, del Acuerdo marco, que trate la especificidad de los requisitos para la transferencia de pruebas electrónicas directamente por los proveedores de servicios y no entre autoridades. A falta de acuerdo específico de transferencia, dichas transferencias podrán tener lugar en virtud del Segundo Protocolo, en cuyo caso se aplicará el artículo 14, apartado 1, letra a), en relación con el artículo 14, apartados 2 a 15, del Segundo Protocolo.».
Los Estados miembros se asegurarán de aplicar el artículo 14, apartado 1, letra c), del Segundo Protocolo, únicamente si la Comisión Europea ha adoptado una decisión de adecuación de conformidad con el artículo 45 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (3) o con el artículo 36 de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (4) en relación con el país tercero de que se trate, que se aplique a las transferencias de datos correspondientes, o sobre la base de otro acuerdo o convenio que establezca salvaguardias adecuadas en materia de protección de datos con arreglo al artículo 46, apartado 2, letra a), del Reglamento (UE) 2016/679 o al artículo 37, apartado 1, letra a), de la Directiva (UE) 2016/680.
(1) Reglamento (UE) 2017/1939 del Consejo, de 12 de octubre de 2017, por el que se establece una cooperación reforzada para la creación de la Fiscalía Europea (DO L 283 de 31.10.2017, p. 1).
(2) DO L 336 de 10.12.2016, p. 3.
(3) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
(4) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).