This document is an excerpt from the EUR-Lex website
Document 52006XX1027(02)
Opinion of the European Data Protection Supervisor on the Proposal for a Council Decision establishing the European Police Office (Europol) — COM(2006) 817 final
Dictamen del Supervisor Europeo de Protección de Datos sobre la propuesta de Decisión del Consejo por la que se crea la Oficina Europea de Policía (Europol) — COM(2006) 817 final
Dictamen del Supervisor Europeo de Protección de Datos sobre la propuesta de Decisión del Consejo por la que se crea la Oficina Europea de Policía (Europol) — COM(2006) 817 final
DO C 255 de 27.10.2007, p. 13–21
(BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
27.10.2007 |
ES |
Diario Oficial de la Unión Europea |
C 255/13 |
Dictamen del Supervisor Europeo de Protección de Datos sobre la propuesta de Decisión del Consejo por la que se crea la Oficina Europea de Policía (Europol) — COM(2006) 817 final
(2007/C 255/02)
EL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS,
Visto el Tratado constitutivo de la Comunidad Europea y, en particular, su artículo 286,
Vista la Carta de los Derechos Fundamentales de la Unión Europea y, en particular, su artículo 8,
Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1),
Visto el Reglamento (CE) no 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (2), y, en particular, su artículo 41,
Vista la solicitud de dictamen, de conformidad con el artículo 28, apartado 2, del Reglamento (CE) no 45/2001, remitida al SEPD el 20 de diciembre de 2006,
HA ADOPTADO EL SIGUIENTE DICTAMEN:
I. OBSERVACIONES PRELIMINARES
Consulta al SEPD
1. |
De conformidad con el artículo 28, apartado 2, del Reglamento (CE) no 45/2001, la Comisión presentó al SEPD, para dictamen, la propuesta de Decisión del Consejo por la que se crea la Oficina Europea de Policía (Europol). A juicio del SEPD, el presente dictamen debería mencionarse en el preámbulo de la Decisión marco (3). |
Importancia de la propuesta
2. |
Con esta propuesta no se pretende alterar significativamente el mandato o las actividades de Europol, sino, fundamentalmente, proporcionar a Europol una base jurídica nueva y más flexible. Europol se creó en 1995 sobre la base de un convenio entre los Estados miembros, adoptado con arreglo al artículo K.6 del TUE (actualmente, artículo 34) (4). El inconveniente de este tipo de convenios en términos de flexibilidad y eficacia es la necesidad de que lo ratifiquen todos los Estados miembros, lo que como hemos tenido ocasión de comprobar recientemente, puede llevar varios años. Tal como se indica en la exposición de motivos de la presente propuesta, los tres protocolos que modifican el Convenio Europol, adoptados respectivamente en 2000, 2002 y 2003, aún no habían entrado en vigor a finales de 2006 (5). |
3. |
No obstante, la propuesta también contiene cambios sustantivos, con los que se pretende mejorar el funcionamiento de Europol. Entre otros, amplía el mandato de Europol y contiene varias disposiciones nuevas destinadas a facilitar la labor de Europol. Desde esta perspectiva, el intercambio de datos entre Europol y otras partes (como los organismos de la Comunidad Europea y la Unión Europea y las autoridades de los Estados miembros y terceros países) adquiere más relieve. La propuesta estipula que Europol hará todo lo posible por garantizar que sus sistemas de tratamiento de datos sean interoperables con los sistemas de tratamiento de datos de los Estados miembros y con los sistemas de tratamiento de datos utilizados por organismos relacionados con la Unión y la Comunidad (artículo 10, apartado 5 de la propuesta). Prevé además el acceso directo al sistema de Europol por parte de las unidades nacionales. |
4. |
Por otra parte, la posición de Europol como organismo regulado por el título VI del Tratado de la Unión Europea (tercer pilar) tiene consecuencias en cuanto a la legislación de protección de datos aplicable, ya que el Reglamento (CE) no 45/2001 sólo es aplicable al tratamiento efectuado en el ejercicio de actividades que entran en el ámbito del Derecho comunitario y, por consiguiente, no es aplicable, en principio, a las operaciones de tratamiento por parte de Europol. El capítulo V de la propuesta contiene normas específicas sobre protección de datos y seguridad de los datos que pueden considerarse lex specialis, generadoras de nuevas normas aplicables por encima de la lex generalis. Sin embargo, este marco jurídico general aún no ha sido adoptado para el tercer pilar (véanse más adelante puntos 37 a 40). |
5. |
Un último aspecto que cabe señalar es que hay otros cambios que aproximarán la posición de Europol a la de otros organismos de la Unión Europea establecidos en virtud del Tratado constitutivo de la Comunidad Europea. Aunque la posición de Europol no cambia de una manera fundamental, cabe ver en estos cambios un primer, y alentador, paso. Europol será financiada por el presupuesto de la Comunidad, y su personal pasará a regirse por el Estatuto del personal de la Comunidad. Con ello se fortalece el control del Parlamento Europeo (dada su posición en el procedimiento presupuestario) y del Tribunal de Justicia Europeo (en conflictos sobre el presupuesto y sobre asuntos del personal). El SEPD tendrá competencias con respecto al tratamiento de datos personales relativos al personal de la Comunidad (véase más adelante punto 47). |
Contenido del presente dictamen
6. |
El presente dictamen se ocupará, sucesivamente, de los cambios substantivos (véase punto 3), de la legislación aplicable en materia de protección de datos (referida en el punto 4) y de las crecientes similitudes entre Europol y otros organismos comunitarios (mencionadas en el punto 5). |
7. |
El dictamen prestará atención particular a la creciente importancia del intercambio de datos entre Europol y otros organismos de la Unión Europea, que en la mayoría de los casos están sometidos a la supervisión del SEPD. En este contexto, cabe mencionar de un modo específico los artículos 22, 25 y 48 de la propuesta. La complejidad de este tema es fuente de preocupación tanto en relación con el principio de limitación de uso, como con respecto a la legislación y supervisión en materia de protección de datos aplicable cuando sean competentes distintos órganos de supervisión para supervisar distintos organismos europeos, en función del pilar en que estén basados. Preocupa asimismo la interoperabilidad del Sistema de Información de Europol con otros sistemas de información. |
II. LA PROPUESTA EN SU CONTEXTO
8. |
El entorno legislativo de esta propuesta está cambiando rápidamente. |
9. |
En primer lugar, la presente propuesta es una entre una serie de actividades legislativas en el ámbito de la cooperación policial y judicial, destinada a facilitar las posibilidades de almacenamiento e intercambio de datos personales a efectos policiales y judiciales. Algunas de estas propuestas ya han sido adoptadas por el Consejo, como por ejemplo la Decisión marco del Consejo, de 18 de diciembre de 2006, sobre el intercambio de información e inteligencia (6), mientras que otras propuestas aún están en curso. |
10. |
El principio rector de estas actividades legislativas es el principio de disponibilidad, un importante principio de derecho de nuevo cuño, introducido en el Programa de La Haya, en noviembre de 2004. Con arreglo al mismo, la información necesaria para luchar contra la delincuencia debe cruzar las fronteras interiores de la UE sin obstáculos. |
11. |
Pero el principio de disponibilidad por sí solo no basta. Se precisan medidas legislativas adicionales que permitan a las autoridades policiales y judiciales intercambiar la información de modo efectivo. En algunos casos, el instrumento elegido para facilitar este intercambio incluye el establecimiento o la mejora de un sistema de información a escala europea. El Sistema de Información de Europol es uno de estos sistemas. El SEPD ha abordado las cuestiones básicas de dichos sistemas con respecto al Sistema de Información de Schengen, y abordará algunas de estas cuestiones también con respecto a la propuesta que nos ocupa. Entre tales cuestiones figuran las condiciones para conceder el acceso al sistema, la interconexión e interoperabilidad y las normas aplicables en materia de protección de datos y supervisión (7). |
12. |
Por otra parte, la propuesta debería ser examinada a la luz de los hechos más recientes, como la iniciativa presentada por la Presidencia alemana de la Unión Europea de incorporar el Tratado de Prüm al marco jurídico de la UE. |
13. |
En segundo lugar, aún no se ha adoptado el marco para la protección de los datos en el tercer pilar (como ya se ha indicado), que es condición indispensable para el intercambio de datos personales. A pesar de su necesidad, las negociaciones en el Consejo sobre la propuesta de Decisión marco del Consejo relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal han resultado bastante problemáticas. La Presidencia alemana del Consejo ha anunciado que propondrá un nuevo texto (8) con algunas diferencias esenciales con respecto al enfoque adoptado en la propuesta de la Comisión. |
14. |
En tercer lugar, la propuesta está directamente relacionada con la situación relativa al Tratado por el que se establece una Constitución para Europa. El artículo III-276 del Tratado Constitucional pretende ser un paso mayor en un proceso en el que, por un lado, el papel y las funciones de Europol van ampliándose cada vez más y, por otro, Europol va incorporándose progresivamente al marco institucional europeo. Como se indica en la Exposición de Motivos de la presente propuesta, este artículo incorpora la visión que surgió sobre el futuro de Europol. La presente Decisión incorpora esta visión, teniendo en cuenta la incertidumbre reinante en torno a la fecha de entrada en vigor de las disposiciones del Tratado Constitucional o incluso a la posibilidad misma de que esto suceda. |
III. CAMBIOS SUSTANTIVOS
Competencia y funciones de Europol
15. |
Los artículos 4 y 5 y el anexo I de la propuesta determinan el mandato de Europol. El mandato incluye ahora un tipo de delincuencia que no está estrictamente relacionada con la delincuencia organizada y abarca la misma lista de delitos graves que figura en la Decisión marco del Consejo sobre la orden de detención europea (9). Una segunda ampliación del papel de Europol consiste en que sus bases de datos incluyen ahora información e inteligencia remitida por entidades privadas. |
16. |
Por lo que respecta a la primera de las ampliaciones, se trata de un paso lógico dentro del desarrollo de la cooperación policial en materia penal. El SEPD reconoce que con ello se logra una mayor armonización de los instrumentos jurídicos destinados a facilitar la cooperación policial. La armonización no sólo es conveniente porque mejora las condiciones de la cooperación, sino también porque aumenta la seguridad jurídica del ciudadano y permite un control más eficaz de la cooperación policial, dado que el ámbito de todos los instrumentos abarca las mismas categorías de delitos. El SEPD parte de la base de que esta ampliación del mandato se propone teniendo en cuenta el principio de proporcionalidad. |
17. |
Por lo que respecta a la segunda ampliación, ésta entra en la reciente tendencia, cada vez más presente en la cooperación policial, de utilizar a efectos policiales y judiciales datos recabados por empresas privadas. El SEPD reconoce que esta utilización puede resultar necesaria. En particular, para luchar contra el terrorismo y otros delitos graves, las fuerzas de seguridad pueden verse en la necesidad de tener acceso a toda la información pertinente, incluida la que está en manos de entes privados (10). No obstante, el carácter de la información e inteligencia procedente de entes privados requiere salvaguardias adicionales, entre otras cosas, para asegurarse de la veracidad de esta información, ya que se trata de datos personales recogidos a efectos comerciales y en un entorno comercial. También hay que asegurarse de que la información haya sido recabada y procesada de un modo lícito antes de transmitirla a Europol, en virtud de la legislación nacional de aplicación de la Directiva 95/46/CE, y de que el acceso por parte de Europol se autorice exclusivamente bajo condiciones y limitaciones muy concretas: sólo debe autorizarse el acceso de un modo individualizado (caso por caso), para fines concretos y bajo el control judicial de los Estados miembros (11). Por consiguiente, el SEPD sugiere incluir estas condiciones y limitaciones en el texto de la Decisión. |
Artículo 10: Tratamiento de la información
18. |
El artículo 6 del Convenio de Europol adopta un enfoque restrictivo con relación al tratamiento de la información recabada por Europol. El tratamiento se limita a tres componentes: el Sistema de Información de Europol, los ficheros de trabajo de análisis y la función de índice. El artículo 10, apartado 1, de la propuesta sustituye este enfoque por una disposición general que permite a Europol el tratamiento de la información y los datos siempre que sea necesario para lograr sus objetivos. Sin embargo, el apartado 3 de ese mismo artículo establece que el tratamiento de datos personales al margen del Sistema de Información de Europol y de los ficheros de trabajo de análisis estará sujeto a condiciones, que deberán ser fijadas por el Consejo en una decisión, tras consultar al Parlamento Europeo. A juicio del SEPD, esta disposición está redactada de un modo suficientemente preciso para proteger los intereses legítimos de las personas a quienes se refieren los datos. Tal como se propone en el punto 55, en el artículo 10, apartado 3, debería añadirse la consulta a las autoridades de protección de datos previa a la adopción por el Consejo de este tipo de decisión. |
19. |
En el artículo 10, apartado 2, la posibilidad de Europol de «tratar datos con objeto de determinar si resultan pertinentes para sus cometidos» parece contraria al principio de proporcionalidad. Esta redacción no es muy precisa y en la práctica engendra el riesgo de efectuar el tratamiento para todo tipo de fines indeterminados. |
20. |
El SEPD entiende la necesidad de tratar datos personales en una fase en la que aún no se ha establecido su pertinencia para desempeñar una tarea de Europol. No obstante, hay que asegurarse de que el tratamiento de los datos personales cuya pertinencia aún no se haya establecido se limite estrictamente a efectos de su evaluación, que dicha evaluación se lleve a cabo en un plazo razonable y que, de no verificarse tal pertinencia, los datos no se traten a efectos policiales. Adoptar una solución distinta no sólo vulneraría los derechos de las personas a quienes se refieren los datos, sino que además entorpecería la eficacia policial. Por consiguiente, con el fin de ajustarse al principio de proporcionalidad, el SEPD propone que se añada una disposición en el artículo 10, apartado 2, en la que se establezca la obligación de conservar los datos en bases independientes hasta que se establezca su pertinencia para una tarea específica de Europol. Por otra parte, el tiempo durante el cual podrán tratarse dichos datos debe estar estrictamente limitado y en ningún caso sobrepasar los seis meses (12). |
21. |
Con arreglo al artículo 10, apartado 5, de la propuesta, se hará todo lo posible para garantizar la interoperabilidad con los sistemas de tratamiento de datos de los Estados miembros y con los sistemas de tratamiento de datos utilizados por organismos relacionados con la Unión y la Comunidad. Este planteamiento invierte el enfoque del Convenio Europol (artículo 6, apartado 2), que prohíbe la conexión a otros sistemas de tratamiento automatizado. |
22. |
En sus observaciones referentes a la Comunicación de la Comisión sobre la interoperabilidad de las bases de datos europeas, el SEPD argumentaba en contra de la opinión de que la interoperabilidad era ante todo un concepto técnico (13). Si las bases de datos pasan a ser interoperables desde el punto de vista técnico, lo cual brinda la posibilidad de acceder e intercambiar datos, habrá presiones para poder hacer uso efectivo de esta posibilidad. Ello conlleva riesgos específicos relacionados con el principio de limitación de uso, porque los datos pueden utilizarse fácilmente para una finalidad distinta a aquella que sirvió para su recogida. El SEPD insiste en aplicar condiciones y garantías estrictas en cuanto la interconexión con una base de datos sea una realidad. |
23. |
Por consiguiente, el SEPD recomienda añadir una disposición a la propuesta en la que se exija que la interconexión sólo se permita cuando haya una decisión que establezca las condiciones y garantías de esta interconexión, en particular, con relación a la necesidad de la misma y a los fines para los que se utilizarán los datos personales. Dicha decisión debería adoptarse tras haber consultado al SEPD y a la Autoridad Común de Control. La mencionada disposición podría relacionarse con el artículo 22 de la propuesta sobre relaciones con otros organismos y agencias. |
Artículo 11: Sistema de Información de Europol
24. |
Con relación al artículo 11, apartado 1, el SEPD observa que se ha suprimido la restricción de acceso existente para las unidades nacionales en cuanto a los datos personales de posibles delincuentes que (aún) no han delinquido. Dicha restricción aparece en la actualidad en el artículo 7, apartado 1 del Convenio y restringe el acceso directo a los datos de la identidad de las personas en cuestión. |
25. |
A juicio del SEPD, no existe justificación para esta modificación sustantiva. Por el contrario, estas salvaguardias específicas para esta categoría de personas son plenamente acordes con el enfoque de la propuesta de la Comisión de Decisión marco del Consejo sobre la protección de datos de carácter personal tratados en el marco de la cooperación policial y judicial en materia penal. El SEPD recomienda prever más salvaguardias para el acceso a los datos de estas personas que (aún) no han cometido un delito y, en cualquier caso, no debilitar la protección ofrecida por el Convenio Europol. |
Artículo 20: Plazos de conservación
26. |
Con arreglo al texto modificado del artículo 21, apartado 3 del Convenio Europol (14), deberá verificarse anualmente la necesidad de conservar los datos de las personas a que se refiere el artículo 10, apartado 1 y se dejará constancia de la verificación. No obstante, el artículo 20, apartado 1 de la propuesta sólo exige esta verificación de los datos dentro de un plazo de tres años de su introducción. El SEPD no está convencido de que esta mayor flexibilidad aportada sea necesaria y, por lo tanto, recomienda introducir en la propuesta una obligación de verificación anual. Modificar la propuesta en este sentido reviste aún más importancia si se considera que la propuesta debería contener la obligación de evaluar regularmente la conservación de los datos, y no sólo una vez después de tres años. |
Artículo 21: Acceso a bases de datos nacionales e internacionales
27. |
El artículo 21 es una disposición general que permite a Europol obtener acceso informatizado a otros sistemas de información nacional e internacional y recuperar datos de los mismos. Este acceso debería permitirse exclusivamente caso por caso y bajo condiciones estrictas. En cambio, el acceso que brinda el artículo 21 es generalizado en exceso para lo que en realidad necesita Europol. En este contexto, el SEPD se remite a su dictamen de 20 de enero de 2006 sobre el acceso al SIV por las autoridades responsables de la seguridad interior (15). El SEPD recomienda modificar en consecuencia el texto de la propuesta. |
28. |
Es importante tener en cuenta que la disposición, por lo que respecta al acceso a las bases de datos nacionales, es más amplia que la comunicación de información entre Europol y las unidades nacionales, en la que se centra el artículo 12, apartado 4 de la propuesta (entre otras disposiciones). Este acceso no sólo estará sujeto a las disposiciones de la presente Decisión del Consejo, sino que también se regirá por la legislación nacional en materia de acceso y utilización de los datos. El SEPD acoge con agrado la idea introducida en el artículo 21 de que se aplique la norma más estricta. Por otra parte, la importancia de la comunicación de datos personales entre Europol y las bases de datos nacionales, incluido el acceso de Europol a dichas bases de datos nacionales, es un motivo más para adoptar una Decisión marco del Consejo sobre protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal que ofrezca un nivel de protección adecuado. |
Artículo 24: Transmisión de datos a organismos terceros
29. |
El artículo 24, apartado 1 supedita la transmisión de datos a las autoridades públicas de terceros países y organizaciones internacionales a dos condiciones: a) la transmisión sólo puede tener lugar en casos concretos y cuando tal medida sea necesaria para prevenir o combatir actos delictivos y b) sobre la base de un acuerdo internacional con el organismo tercero en cuestión que garantice, por parte de éste último, un nivel adecuado de protección de los datos. El artículo 24, apartado 2 permite la inaplicación de lo anterior en casos excepcionales, tomando en consideración el nivel de protección de los datos del organismo receptor. El SEPD comprende la necesidad de estas excepciones, pero subraya que es necesario aplicarlas rigurosamente, caso por caso y en situaciones realmente excepcionales. El texto del artículo 24, apartado 2 refleja esas condiciones de forma satisfactoria. |
Artículo 29: Derecho de acceso a los datos personales
30. |
El artículo 29 se ocupa del derecho de acceso a los datos personales. Se trata de uno de los derechos básicos de los interesados, plasmado en el artículo 8, apartado 2 de la Carta de los Derechos Fundamentales de la Unión Europea y garantizado asimismo por el Convenio del Consejo de Europa de 28 de enero de 1981 y por la Recomendación R (87) 15 del Comité de Ministros, de 17 de septiembre de 1987. Este derecho forma parte del principio de tratamiento justo y lícito de los datos personales y está destinado a proteger los intereses básicos de las personas objeto de los datos. No obstante, las condiciones establecidas en el artículo 29 limitan este derecho de un modo inaceptable a la luz de lo anterior. |
31. |
Ante todo, el artículo 29, apartado 3 establece que la solicitud de acceso hecha en un Estado miembro de conformidad con el artículo 29, apartado 2 se tramitará de conformidad con el artículo 29 y con las leyes y procedimientos del Estado miembro en que se haya presentado la solicitud. En consecuencia, la legislación nacional puede limitar el alcance y el contenido del derecho de acceso e imponer obligaciones de procedimiento. Este resultado podría dejar que desear. Por ejemplo, las solicitudes de acceso a los datos personales pueden ser realizadas asimismo por personas cuyos datos no han sido tratados por Europol. Es esencial que el derecho de acceso se extienda a estas solicitudes. Por consiguiente, hay que asegurarse de que no sea aplicable una legislación nacional que implique un derecho de acceso más limitado. |
32. |
A juicio del SEPD, habría que suprimir la referencia a la legislación nacional del artículo 29, apartado 3 y, en su lugar, establecer normas armonizadas sobre el alcance, contenido y procedimiento, de preferencia, en la Decisión marco del Consejo sobre protección de los datos personales o, cuando fuese necesario, en la Decisión del Consejo. |
33. |
Por otra parte, el artículo 29, apartado 4 enumera los motivos para denegar el acceso a los datos personales cuando el interesado quiera ejercer su derecho de acceso a los datos personales que le conciernen y que han sido tratados por Europol. Con arreglo al artículo 29, apartado 4 el acceso debe denegarse cuando «este acceso pueda poner en peligro» ciertos intereses específicos. Esta redacción es mucho más general que la del artículo 19, apartado 3 del Convenio Europol, que permite la denegación de acceso sólo «cuando resulte necesario». |
34. |
El SEPD recomienda mantener la redacción más rigurosa que aparece en el Convenio de Europol. También hay que garantizar que el responsable del tratamiento esté obligado a declarar los motivos de la denegación, de manera que pueda controlarse eficazmente el recurso a esta excepción. Este principio se enuncia expresamente en la Recomendación R (87) 15 del Comité de Ministros del Consejo de Europa. La redacción de la propuesta de la Comisión no es aceptable, puesto que no hace justicia a la naturaleza fundamental del derecho de acceso. Sólo pueden aceptarse excepciones a este derecho cuando sea necesario para proteger otro interés fundamental, o lo que es lo mismo, cuando el acceso pudiera dañar este otro interés. |
35. |
Por último, aunque no menos importante, el derecho de acceso se ve considerablemente limitado por el mecanismo de consulta establecido en el artículo 29, apartado 5. Este mecanismo condiciona el acceso a la consulta de todas las autoridades competentes implicadas y, con respecto a los ficheros de análisis, también al consenso de Europol y de todos los Estados miembros participantes en el análisis o directamente afectados. Este mecanismo invalida de facto el carácter fundamental del derecho de acceso. La concesión del acceso debe ser el principio general y puede restringirse sólo en circunstancias específicas. En cambio, con arreglo al texto de la propuesta, el acceso se concedería únicamente tras haber llevado a cabo la consulta y haber alcanzado el consenso. |
IV. APLICABILIDAD DE UN MARCO GENERAL SOBRE PROTECCIÓN DE DATOS
Cuestión de carácter general
36. |
Europol será un organismo de la Unión Europea, pero no una institución u organismo comunitario en el sentido del artículo 3 del Reglamento (CE) no 45/2001. Por este motivo, dicho Reglamento no es aplicable en términos generales al tratamiento de datos personales por parte de Europol, a no ser en situaciones específicas. Así pues, el capítulo V de la propuesta introduce un régimen de protección de datos sui generis, que también se apoya en un marco jurídico general aplicable en materia de protección de datos en el tercer pilar. |
Marco jurídico general sobre protección de datos en el tercer pilar
37. |
La propuesta reconoce la necesidad de un marco jurídico general sobre protección de datos. Con arreglo al artículo 26 de la propuesta, Europol aplicará, como lex generalis, la Decisión marco del Consejo relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal. Esta referencia a la (propuesta de) Decisión marco del Consejo sustituye a la referencia que hace el artículo 14, apartado 3 del Convenio Europol al Convenio no 108 del Consejo de Europa, de 28 de enero de 1981, y a la Recomendación R (87) 15 del Comité de Ministros del Consejo de Europa, de 17 de septiembre de 1987. |
38. |
El SEPD aprueba el artículo 26 de la propuesta. Esta disposición es crucial para la eficacia de la protección de datos y también por motivos de coherencia, ya que facilita el intercambio de datos personales, lo que también beneficia a los cuerpos de seguridad y judiciales. No obstante, habría que velar por la compatibilidad entre ambos instrumentos, que no es tan evidente, habida cuenta de que:
Dependiendo del resultado de las negociaciones del Consejo sobre esta Decisión marco, probablemente basadas en la propuesta alemana, podrían necesitarse salvaguardias adicionales en la presente propuesta. Este punto debe evaluarse en una fase posterior, cuando se vea más claro el resultado de las negociaciones sobre la Decisión marco del Consejo. |
39. |
El SEPD pone de relieve que la presente Decisión del Consejo no debería adoptarse antes de que el Consejo adopte un marco para la protección de datos que garantice un nivel apropiado de protección de los datos, de conformidad con las conclusiones del SEPD en sus dos dictámenes sobre la propuesta de la Comisión de Decisión marco del Consejo (16). |
40. |
En este contexto, el SEPD pone de relieve dos elementos específicos de la propuesta de Decisión marco del Consejo presentada por la Comisión que son adecuados para aumentar la protección brindada a los interesados en caso de que Europol trate sus datos. En primer lugar, la propuesta brinda la posibilidad de diferenciar el tratamiento de datos en función de su grado de veracidad y de fiabilidad. Los datos que están basados en opiniones se diferencian de los que se basan en hechos objetivos. Esta diferenciación neta entre datos «blandos» y datos «duros» es un importante método para ajustarse al principio de calidad de los datos. En segundo lugar, la propuesta distingue entre distintas categorías de personas, basadas en su posible participación en un delito. |
Reglamento (CE) no 45/2001
41. |
Pasemos ahora a examinar la aplicabilidad del Reglamento (CE) no 45/2001 a las actividades de Europol. El Reglamento (CE) no 45/2001 se aplica ante todo al personal de Europol, al que me referiré en el punto 47. En segundo lugar, y ocupando la parte IV del presente dictamen, el Reglamento se aplicará a los intercambios de datos con organismos de la Comunidad, al menos en la medida en que dichos organismos envíen datos a Europol. Ejemplos importantes de organismos comunitarios son los mencionados en el artículo 22, apartado 1 de la propuesta. |
42. |
Cabe esperar que se pedirá a estos organismos el envío de datos personales a Europol con bastante regularidad. Al hacerlo, las instituciones y organismos comunitarios estarán sujetos a todas las obligaciones establecidas en el Reglamento (CE) no 45/2001, en particular, en cuanto a la licitud del tratamiento (artículo 5 del Reglamento), controles previos (artículo 27) y consulta al SEPD (artículo 28). Esto plantea dudas en relación con la aplicabilidad de los artículos 7, 8 y 9 del Reglamento (CE) no 45/2001. Al ser Europol un «destinatario distinto de las instituciones y los organismos comunitarios» y no estar sujeto a la Directiva 95/46/CE, bien podría entrar en el ámbito de aplicación del artículo 9. En tal caso, la adecuación de la protección ofrecida por Europol debería evaluarse con arreglo al artículo 9, apartado 2 del Reglamento (CE) no 45/2001, como ocurre con otras organizaciones internacionales o terceros países. Esta solución crearía inseguridad y además no sería conforme a la idea básica de la propuesta de aproximar el estatuto de Europol al de las instituciones y organismos del Tratado CE. Tratar a Europol como si fuera un organismo comunitario sería mejor solución, siempre que los datos objeto de tratamiento procedan de organismos comunitarios. El SEPD sugiere añadir un párrafo al artículo 22 en los siguientes términos: «Cuando los datos personales procedan de instituciones u organismos comunitarios, Europol tendrá la consideración de organismo comunitario en el sentido del artículo 7 del Reglamento (CE) no 45/2001». |
Intercambio de datos con la OLAF
43. |
Hay que prestar particular atención al intercambio de datos con la Oficina Europea de Lucha contra el Fraude (OLAF). En la actualidad, el intercambio de información entre Europol y la OLAF tiene lugar sobre la base de un acuerdo administrativo entre ambos organismos. Dicho acuerdo prevé el intercambio de información estratégica y técnica, pero excluye el intercambio de datos personales. |
44. |
La propuesta de Decisión del Consejo presenta una solución diferente. El artículo 22, apartado 3 prevé el intercambio de información, incluidos los datos personales, del mismo modo que se intercambian entre la OLAF y las autoridades de los Estados miembros (17). La finalidad de dicho intercambio se limita al fraude, la corrupción activa y pasiva y el blanqueo de dinero. Tanto la OLAF como Europol tendrán en cuenta, en cada caso concreto, las obligaciones de la confidencialidad de la investigación y de la protección de datos. Para la OLAF esto implica, en todo caso, garantizar el nivel de protección establecido en el Reglamento (CE) no 45/2001. |
45. |
Por otra parte, el artículo 48 de la propuesta establece que el Reglamento (CE) no 1073/1999 (18) será aplicable a Europol. La OLAF tendrá la facultad de llevar a cabo investigaciones administrativas dentro de Europol y para ello tendrá derecho a acceder inmediatamente y sin anuncio previo a cualquier información que tenga Europol (19). A juicio del SEPD, el alcance de esta disposición no está claro:
|
46. |
Sin embargo, la disposición no cubre, ni debe cubrir, las investigaciones sobre irregularidades fuera de Europol, sobre las cuales los datos tratados por Europol podrían arrojar alguna luz. Para esos casos bastaría con las disposiciones sobre intercambio de información, incluidos los datos personales, contempladas en el artículo 22, apartado 3. El SEPD recomienda que se aclare el alcance del artículo 48 de la propuesta en este sentido. |
V. APROXIMACIÓN DE EUROPOL A OTROS ORGANISMOS DE LA UNIÓN EUROPEA ESTABLECIDOS CON ARREGLO AL TRATADO CE
Personal de Europol
47. |
El personal de Europol entrará en el ámbito del Estatuto de los funcionarios y otros agentes del Comunidades Europeas. Cuando se traten datos relativos al personal de Europol, deberían aplicarse las normas sustantivas y de supervisión del Reglamento (CE) no 45/2001 por motivos de coherencia y de no discriminación. El considerando 12 de la propuesta menciona la aplicabilidad del Reglamento sobre el tratamiento de datos personales, en particular, por lo que respecta a los datos personales relativos al personal del Europol. En opinión del SEPD, no basta con aclarar este aspecto en los considerandos. Los considerandos de un acto comunitario no tienen carácter vinculante y no deben contener disposiciones normativas (20). Para asegurar plenamente la aplicación del Reglamento (CE) no 45/2001, debe añadirse un párrafo en el texto de la Decisión misma, por ejemplo en el artículo 38, indicando que el Reglamento (CE) no 45/2001 se aplicará al tratamiento de los datos relativos al personal de Europol. |
Supervisión del tratamiento de datos efectuado por Europol
48. |
La propuesta no pretende una transformación radical del sistema de supervisión de Europol, en el que juega un papel central la Autoridad Común de Control. Con arreglo al marco jurídico propuesto, la autoridad de control se establecerá de conformidad con el artículo 33 de la propuesta. No obstante, ciertos cambios en cuanto al estatuto y las actividades de Europol van a suponer una participación del SEPD limitada, aparte de sus funciones relacionadas con el personal de Europol. Por esta razón, el artículo 33, apartado 6 de la propuesta establece que la Autoridad Común de Control debe cooperar con el SEPD así como con otras autoridades de supervisión. Esta disposición refleja la obligación del SEPD de cooperar con la Autoridad Común de Control que figura en el artículo 46, letra f), inciso ii), del Reglamento (CE) no 45/2001. El SEPD acoge con satisfacción esta disposición, por considerarla un instrumento útil para promover un enfoque coherente en materia de supervisión de datos en toda la UE, independientemente del pilar del que se trate. |
49. |
Como ya se ha dicho, la propuesta actual no prevé ningún cambio fundamental en el sistema de supervisión. Sin embargo, dado que el contexto de esta propuesta es más amplio, podría ser necesaria una reflexión más profunda sobre el futuro sistema de supervisión de Europol. Cabe mencionar dos novedades específicas. En primer lugar, los artículos 44 a 47 del Reglamento (CE) no 1987/2006 (21) prevén una nueva estructura de supervisión para el SIS II. En segundo lugar, en el contexto de la Decisión marco del Consejo relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal, la Presidencia alemana anunció que estaba estudiando una nueva estructura de supervisión de los sistemas europeos de información con arreglo al tercer pilar, incluido Europol. |
50. |
A juicio del SEPD, el presente dictamen no constituye la ocasión más propicia para debatir cambios fundamentales en el sistema de supervisión. El sistema de supervisión del SIS II en tanto que sistema interconectado está basado en el primer pilar y no sería apropiado para Europol, en su condición de organismo del tercer pilar que conlleva limitadas competencias de las instituciones comunitarias, en particular la Comisión y el Tribunal de Justicia. En ausencia de las salvaguardias del tercer pilar, seguirá necesitándose un sistema de control específico. Por ejemplo, el artículo 31 se ocupa de los recursos de los particulares. Por otra parte, las ideas sobre la nueva estructura de supervisión de los sistemas europeos de información anunciada por la Presidencia alemana aún se encuentran en una fase muy temprana. Por último, el sistema actual funciona bien. |
51. |
El SEPD se centrará, pues, en sus observaciones relativas a su propio papel en relación con el intercambio de datos personales entre Europol y otros organismos a nivel de la Unión Europea. Las disposiciones relativas a este intercambio constituyen una importante novedad de la propuesta. El artículo 22, apartado 1 menciona Frontex, el Banco Central Europeo, el OEDT (22) y la OLAF. Todos estos organismos entran en el ámbito de supervisión del SEPD. El artículo 22, apartado 2 establece que Europol puede celebrar acuerdos de trabajo con dichos organismos en los que podrá preverse el intercambio de datos personales. Por lo que respecta a la OLAF, el intercambio puede tener lugar incluso sin necesidad de acuerdos de trabajo (artículo 22, apartado 3). Asimismo, el artículo 48 de la propuesta, tratado en los puntos 45 y 46, es pertinente a este respecto. |
52. |
Habría que velar por que el SEPD pueda ejercer las competencias que le confiere el Reglamento (CE) no 45/2001 con relación a los datos transferidos por organismos comunitarios. Esto será aún más importante cuando se trate de transferencias de datos personales en que Europol tenga la consideración de organismo comunitario con arreglo al artículo 7 del Reglamento (CE) no 45/2001, como se propuso anteriormente. De ahí la importancia de una estrecha cooperación con la Autoridad Común de Control de conformidad con el artículo 33. |
53. |
El SEPD tiene dos recomendaciones más que hacer en relación con los derechos de los interesados respecto de sus datos:
|
54. |
Dadas las anteriores consideraciones, el SEPD debería cooperar íntimamente con la Autoridad Común de Control, al menos, una vez establecidos los mecanismos para el intercambio de datos con los organismos comunitarios. Este es uno de los ámbitos principales en el que serán efectivas las obligaciones mutuas de cooperación. |
Consulta a las autoridades de protección de datos
55. |
El artículo 10, apartado 3 prevé una Decisión del Consejo en la que se determinarán las condiciones para el establecimiento de ciertos sistemas de tratamiento de datos personales por parte de Europol. El SEPD recomienda que se añada la obligación de consultar al SEPD y a la Autoridad Común de Control antes de adoptar dicha Decisión. |
56. |
El artículo 22 se ocupa de las relaciones de Europol con otros organismos y agencias de la Comunidad y de la Unión Europea. Las relaciones de cooperación mencionadas en este artículo pueden llevarse a cabo a través de acuerdos de trabajo, que podrán contemplar, entre otros, el intercambio de datos personales. Por esta razón, el SEPD y la Autoridad Común de Control deberían ser consultados sobre la adopción de los acuerdos a que se refiere el artículo 22, cuando tales acuerdos incidan en la protección de datos personales tratados por las instituciones y organismos comunitarios. El SEPD recomienda modificar en consecuencia el texto de la propuesta. |
57. |
El artículo 25, apartado 2 estipula que deberán establecerse las normas de desarrollo que regirán las relaciones con otros organismos y agencias de la Comunidad o de la Unión. El SEPD recomienda que, antes de adoptar tales normas, sean consultados no sólo la Autoridad Común de Control sino también el SEPD, en consonancia con la práctica, en virtud del Derecho comunitario, de que los organismos comunitarios consulten al SEPD con arreglo al artículo 28, apartado 1 del Reglamento (CE) no 45/2001. |
Responsable de la protección de datos
58. |
El SEPD acoge con satisfacción el artículo 27, referente al responsable de la protección de datos (RPD), quien, entre otras tareas, tendrá la de garantizar, de manera independiente, la legalidad y el cumplimiento de las disposiciones sobre el tratamiento de los datos personales. Esta función ha sido introducida a escala comunitaria, con éxito, por el Reglamento (CE) no 45/2001, en el seno de las instituciones y organismos de la Comunidad. Dentro de Europol, la función de RPD también se está ejerciendo, aunque hasta la fecha sin una base jurídica apropiada. |
59. |
Para que el funcionamiento del RPD tenga éxito, es esencial que su independencia esté eficazmente garantizada por la legislación. Por este motivo, el artículo 24 del Reglamento (CE) no 45/2001 contiene varias disposiciones que garantizan este objetivo. El RPD es nombrado por un determinado periodo y sólo puede ser destituido en circunstancias realmente excepcionales. Contará con el personal y el presupuesto necesarios. No puede recibir instrucciones en el ejercicio de sus atribuciones. |
60. |
Desafortunadamente, estas disposiciones no se han incluido en la presente propuesta, salvo en lo que respecta a no aceptar instrucciones. Por consiguiente, el SEPD recomienda vivamente que se incluyan las garantías relativas a la independencia del RPD, tales como las salvaguardias especiales para la designación y destitución del RPD y su independencia frente al Consejo de Administración. Estas disposiciones son necesarias para asegurar la independencia del RPD. Por otra parte, dichas disposiciones acercarían la posición del RPD de Europol a la de los RPD de las instituciones comunitarias. Por último, el SEPD pone de relieve que el artículo 27, apartado 5 de la propuesta, que insta al Consejo de Administración de Europol a adoptar normas de desarrollo sobre ciertos aspectos del funcionamiento del RPD, no resulta adecuado, por su propia naturaleza, como garantía de independencia del RPD. Ha de tenerse en cuenta que, más que nada, se requiere independencia frente a la administración de Europol. |
61. |
Aún hay otro motivo para armonizar las disposiciones referentes al RPD de la Decisión del Consejo con el artículo 24 del Reglamento (CE) no 45/2001. Con relación a los datos personales del personal de Europol (véase punto 47), dicho Reglamento será de aplicación, lo que significa que, para estos asuntos, el RPD de Europol entrará en el ámbito de aplicación del mismo. En cualquier caso, el RPD debería ser designado con arreglo a los requisitos del Reglamento. |
62. |
Además, el SEPD recomienda aplicar a Europol el sistema de control previo establecido en el artículo 27 del Reglamento (CE) no 45/2001 para los organismos comunitarios. El sistema de control previo ha demostrado ser un instrumento eficaz y desempeña un papel esencial en la protección de datos dentro de las instituciones y organismos de la Comunidad. |
63. |
Por último, sería conveniente que el RPD de Europol participase en la red de RPD existente en el primer pilar, incluso aparte de las actividades del RPD con relación al personal de Europol. Así se aseguraría más un enfoque en cuestiones de protección de datos común al adoptado por los organismos comunitarios y dicha participación sería perfectamente conforme con el objetivo formulado en el considerando 16 de la propuesta, en particular, la cooperación con organismos y agencias europeos que garanticen un nivel adecuado de protección de datos de conformidad con el Reglamento (CE) no 45/2001. El SEPD recomienda que se añada en los considerandos de la propuesta una frase que enuncie el objetivo de este enfoque común. La frase podría redactarse en los siguientes términos: «En el ejercicio de sus obligaciones, el responsable de la protección de datos cooperará con los Responsables de la Protección de Datos designados con arreglo al derecho comunitario.» |
VI. CONCLUSIONES
64. |
El SEPD reconoce la necesidad de dotar a Europol de una base jurídica nueva y más flexible, pero presta una atención particular a los cambios substantivos, las leyes aplicables sobre protección de datos y las crecientes similitudes entre Europol y los órganos comunitarios. |
65. |
Por lo que respecta a los cambios substantivos, el SEPD recomienda lo siguiente:
|
66. |
La presente Decisión del Consejo no debería adoptarse antes de adoptar un marco para la protección de datos que garantice un nivel apropiado de protección de los datos, de conformidad con las conclusiones del SEPD en sus dos dictámenes sobre la propuesta de la Comisión de Decisión marco del Consejo. Los datos basados en opiniones deberían diferenciarse de los datos basados en hechos. En la propuesta habría que clasificar los datos en función de distintas categorías de personas, diferenciadas con arreglo a su posible participación en un delito. |
67. |
El SEPD sugiere que se añada un párrafo al artículo 22 en los siguientes términos: «Cuando los datos personales procedan de instituciones u organismos comunitarios, Europol tendrá la consideración de organismo comunitario en el sentido del artículo 7 del Reglamento (CE) no 45/2001». |
68. |
En artículo 48 de la propuesta sobre las investigaciones de la Olaf no debería abarcar las investigaciones sobre irregularidades fuera de Europol, sobre las cuales los datos tratados por Europol podrían arrojar alguna luz. El SEPD recomienda que se aclare el alcance del artículo 48 de la propuesta. |
69. |
Para asegurar plenamente la aplicación del Reglamento (CE) no 45/2001, debe añadirse un párrafo en el texto de la Decisión indicando que el Reglamento (CE) no 45/2001 se aplicará al tratamiento de los datos relativos al personal de Europol. |
70. |
El alcance de las dos disposiciones sobre los datos de los interesados (artículo 30, apartado 2 y artículo 32, apartado 2) debería ampliarse para incluir los datos transmitidos por un organismo comunitario supervisado por el SEPD, con el fin de garantizar que Europol y este organismo comunitario actúen de un modo similar. |
71. |
Los artículos 10, apartado 3, 22 y 25, apartado 2 deberían contener una disposición (más precisa) sobre la consulta a las autoridades de protección de datos. |
72. |
El SEPD recomienda vivamente que se incluyan las garantías relativas a la independencia del RPD, tales como las salvaguardias especiales para la designación y destitución del RPD y su independencia frente al Consejo de Administración, de conformidad con el Reglamento (CE) no 45/2001. |
Hecho en Bruselas, el 16 de febrero de 2007.
Peter HUSTINX
Supervisor Europeo de Protección de Datos
(1) DO L 281 de 23.11.1995, p. 31.
(2) DO L 8 de 12.1.2001, p. 1.
(3) De conformidad con la práctica seguida por la Comisión en otros casos (recientes). Véase, últimamente, el Dictamen del SEPD de 12 de diciembre de 2006 sobre las propuestas de modificación del Reglamento financiero aplicable al presupuesto general de las Comunidades Europeas y de sus normas de desarrollo (COM(2006) 213 final y SEC(2006) 866 final), publicado en: www.edps.europa.eu
(4) DO C 316 de 27.7.1995, p. 1.
(5) Su entrada en vigor está prevista para marzo o abril de 2007.
(6) Decisión marco 2006/960/JAI del Consejo, de 18 de diciembre de 2006, sobre la simplificación del intercambio de información e inteligencia entre los servicios de seguridad de los Estados miembros de la Unión Europea (DO L 386 de 29.12.2006, p. 89).
(7) Esta es una selección de las principales cuestiones mencionadas en el dictamen del SEPD sobre el SIS II, basada en su pertinencia para la presente propuesta. Véase: Dictamen de 19 de octubre de 2005 sobre las tres propuestas referentes al Sistema de Información de Schengen de segunda generación (SIS II), (COM(2005) 230 final, COM(2005) 236 final y COM(2005) 237 final) (DO C 91 de 19.4.2006, p. 38).
(8) El nuevo texto aparecerá probablemente en marzo de 2007.
(9) Decisión marco del Consejo, de 13 de junio de 2002, relativa a la orden de detención europea y a los procedimientos de entrega entre Estados miembros (DO L 190 de 18.7.2002, p. 1).
(10) Véase a este respecto el Dictamen de 26 de septiembre de 2005 sobre la propuesta de Directiva del Parlamento Europeo y del Consejo sobre la retención de los datos procesados en conexión con la prestación de servicios públicos de comunicación electrónica y por la que se modifica la Directiva 2002/58/CE (COM(2005) 438 final) (DO C 298 de 29.11.2005, p. 1).
(11) Véanse asimismo recomendaciones similares en el Dictamen de 19 de diciembre de 2005 sobre la propuesta de Decisión marco del Consejo relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal (COM(2005) 475 final) (DO C 47 de 25.2.2006, p. 27).
(12) Este es el periodo máximo de conservación establecido en el artículo 6 bis del Convenio Europol, tras la introducción de las modificaciones aportadas por los tres protocolos mencionados en el punto 2.
(13) Observaciones de 10 de marzo de 2006, publicadas en el sitio web del SEPD.
(14) Tal como figura en el Convenio Europol tras la introducción de las modificaciones aportadas por los tres protocolos mencionados en el punto 2.
(15) Dictamen de 20 de enero de 2006 sobre la propuesta de Decisión del Consejo sobre el acceso para consultar el Sistema de Información de Visados (VIS) por las autoridades de los Estados miembros responsables de la seguridad interior y por Europol, con fines de prevención, detección e investigación de los delitos de terrorismo y otros delitos graves (COM(2005) 600 final) (DO C 97 de 25.4.2006, p. 6).
(16) Dictamen de 19 de diciembre de 2005 (DO C 47 de 25.2.2006, p. 27) y segundo dictamen, de 29 de noviembre de 2006, aún sin publicar en el DO (puede verse en: www.edps.europa.eu).
(17) Basado en el artículo 7 del Segundo Protocolo del Convenio sobre protección de los intereses financieros de las Comunidades Europeas (DO C 221 de 19.7.1997, p. 12).
(18) Reglamento (CE) no 1073/1999 del Parlamento Europeo y del Consejo, de 25 de mayo de 1999, relativo a las investigaciones efectuadas por la Oficina Europea de Lucha contra el Fraude (OLAF) (DO L 136 de 31.5.1999, p. 1).
(19) Véanse artículos 1, apartado 3 y 4, apartado 2 del Reglamento financiero.
(20) Véase en particular el Acuerdo interinstitucional, de 22 de diciembre de 1998, relativo a las Directrices comunes sobre la calidad de la redacción de la legislación comunitaria (DO C 73 de 17.3.1999, p. 1), directriz no 10.
(21) Reglamento (CE) no 1987/2006 del Parlamento Europeo y del Consejo, de 20 de diciembre de 2006, relativo al establecimiento, funcionamiento y utilización del Sistema de Información de Schengen de segunda generación (SIS II) (DO L 381 de 28.12.2006, p. 4).
(22) Observatorio Europeo de las Drogas y las Toxicomanías.