This document is an excerpt from the EUR-Lex website
Document 52019PC0070
Recommendation for a COUNCIL DECISION authorising the opening of negotiations in view of an agreement between the European Union and the United States of America on cross-border access to electronic evidence for judicial cooperation in criminal matters
Recomendación de DECISIÓN DEL CONSEJO por la que se autoriza la apertura de negociaciones para un Acuerdo entre la Unión Europea y los Estados Unidos de América sobre el acceso transfronterizo a las pruebas electrónicas para la cooperación judicial en materia penal
Recomendación de DECISIÓN DEL CONSEJO por la que se autoriza la apertura de negociaciones para un Acuerdo entre la Unión Europea y los Estados Unidos de América sobre el acceso transfronterizo a las pruebas electrónicas para la cooperación judicial en materia penal
COM/2019/70 final
COMISIÓN EUROPEA
Bruselas, 5.2.2019
COM(2019) 70 final
Recomendación de
DECISIÓN DEL CONSEJO
por la que se autoriza la apertura de negociaciones para un Acuerdo entre la Unión Europea y los Estados Unidos de América sobre el acceso transfronterizo a las pruebas electrónicas para la cooperación judicial en materia penal
EXPOSICIÓN DE MOTIVOS
1. CONTEXTO
Al tiempo que crece el uso de las redes sociales, el correo electrónico, los servicios de mensajería y las aplicaciones para comunicarse, trabajar, socializar y obtener información, incluso con fines ilegítimos, aumentan también los flujos transfronterizos de datos. Consecuentemente, un número cada vez mayor de investigaciones penales se apoya en pruebas electrónicas que no son accesibles al público. La naturaleza carente de fronteras de internet y el modo en que pueden prestarse servicios desde cualquier parte del mundo, también por empresas que no sean europeas, hacen que facilitar el acceso transfronterizo a las pruebas electrónicas se haya convertido en una cuestión acuciante para casi cualquier tipo de infracción. En concreto, los recientes atentados terroristas han puesto de relieve la necesidad, prioritaria, de encontrar herramientas para que los fiscales y jueces de los Estados miembros de la Unión Europea obtengan las pruebas electrónicas de manera más rápida y eficaz.
Más de la mitad de las investigaciones penales actuales requieren del acceso a pruebas electrónicas transfronterizas. Las pruebas electrónicas se necesitan en cerca del 85 % de las investigaciones penales, y, en dos tercios de estas investigaciones, es preciso obtener pruebas de proveedores de servicios en línea establecidos en otra jurisdicción. El número de solicitudes a los principales proveedores de servicios en línea aumentó un 84 % en el período comprendido entre 2013 y 2018. Estos tipos de datos son fundamentales en las investigaciones penales para identificar a una persona u obtener información sobre su actividad.
Las pruebas electrónicas incluyen diversos tipos de datos en formato electrónico que resultan pertinentes para investigar o enjuiciar delitos penales y que, con frecuencia, se almacenan en los servidores de proveedores de servicios en línea. Se trata tanto de los «datos de contenido», como correos electrónicos, mensajes de texto, fotografías y vídeos, como de los «datos sin contenido», como información sobre los abonados o sobre el tráfico de una cuenta en línea.
Tradicionalmente, la cooperación entre autoridades judiciales ha sido el método empleado para hacer frente a todo tipo de delitos. En la actualidad, la principal herramienta que utilizan los Estados miembros para solicitar el acceso a pruebas electrónicas transfronterizas en la mayoría de los demás países de la Unión Europea es la orden europea de investigación.
Con terceros países (así como con Dinamarca e Irlanda, que no participan en el sistema de orden europea de investigación), los Estados miembros de la Unión Europea pueden recurrir a las solicitudes de asistencia judicial mutua. Varias autoridades diferentes desempeñan un papel activo en ambos lados. Los procedimientos se diseñaron en una época anterior a internet, cuando el volumen de solicitudes era solo una fracción de lo que es hoy, y no sufrían el inconveniente de la volatilidad de las pruebas electrónicas.
Uno de los principales receptores de solicitudes de asistencia judicial mutua emitidas desde los Estados miembros de la Unión Europea (y desde el resto del mundo) para acceder a las pruebas electrónicas son los Estados Unidos de América, donde se encuentran las sedes de los mayores proveedores de servicios. El 25 de junio de 2003, se firmó un Acuerdo en materia de asistencia judicial mutua entre la Unión Europea y los Estados Unidos de América, cuya entrada en vigor se produjo el 1 de febrero de 2010. El Acuerdo es un mecanismo trasatlántico clave para velar por la eficacia de la cooperación en el ámbito de la justicia penal y combatir la delincuencia organizada y el terrorismo.
En 2016 se llevó a cabo su primera revisión conjunta 1 . Según las conclusiones de la revisión, el Acuerdo aporta un valor añadido a la relación entre la UE y los EE. UU. en materia de asistencia judicial mutua y, en general, funciona bien. Se prevén mayores esfuerzos para incrementar esta cooperación. Aunque la cooperación judicial entre las autoridades públicas, y, entre ellas, las de Estados Unidos de América, es fundamental, a menudo este método resulta demasiado lento si se tiene en cuenta el carácter volátil de las pruebas electrónicas, ya que requiere, de media, diez meses, y puede suponer un gasto desproporcionado de recursos. Además, considerando que la soberanía es un aspecto importante de la cooperación judicial en una investigación particular, cada vez es más frecuente que la única conexión con otro Estado sea la ubicación de los datos o el proveedor de servicios. En el caso concreto de las pruebas electrónicas, la revisión conjunta de 2016 animaba a los Estados miembros a que cooperaran directamente con los proveedores de servicios de los EE. UU. para obtener las pruebas electrónicas de manera más rápida y eficaz.
La cooperación directa con los proveedores de servicios de los EE. UU. se ha convertido en un canal alternativo a la cooperación judicial. Se limita a los datos sin contenido 2 y, de acuerdo con la legislación de los EE. UU., tiene carácter voluntario. En la práctica, las autoridades públicas del Estado miembro de la Unión Europea se ponen directamente en contacto con un proveedor de servicios de los Estados Unidos de América mediante solicitudes, conformes a las normas de enjuiciamiento penal nacionales, a las que pueden acceder los proveedores de servicios y que en general se refieren a información sobre un usuario de dichos servicios. Esto concierne a los proveedores de servicios con sede en los Estados Unidos de América y, en menor medida, en Irlanda, que responden directamente a las solicitudes de los cuerpos y fuerzas de seguridad de los Estados miembros de manera voluntaria, en la medida en que dichas solicitudes se refieran a datos sin contenido.
La legislación de los EE. UU. 3 permite que los proveedores de servicios ubicados en su territorio cooperen directamente con las autoridades públicas europeas en lo que se refiere a los datos sin contenido. No obstante, esta cooperación es voluntaria. Por ello, los proveedores han creado sus propias políticas o deciden caso por caso si cooperan o no y cómo lo harán. Además del incremento en la cooperación directa con los proveedores de servicios, en los Estados Unidos de América sentencias y causas judiciales recientes, entre las que destaca el caso de «Microsoft Ireland» 4 , han tratado de determinar si sus autoridades tienen derecho a solicitar la presentación de datos almacenados en el extranjero por un proveedor de servicios cuya sede principal se encuentre en los Estados Unidos de América.
El volumen de solicitudes de cooperación directa voluntaria ha aumentado rápidamente, con más de 124 000 en 2017. Aunque ofrece un acceso más rápido con respecto a la asistencia judicial mutua, la cooperación directa con carácter voluntario se limita a los datos sin contenido. Además, puede resultar poco fiable, es posible que no respete las garantías procesales pertinentes, solo es viable con un número limitado de proveedores de servicios que aplican todos políticas distintas, no es transparente, y carece de un mecanismo de rendición de cuentas. La fragmentación resultante puede generar inseguridad jurídica, dudas sobre la legalidad del proceso y preocupaciones en torno a la protección de los derechos fundamentales y las garantías procesales de las personas relacionadas con tales solicitudes. Además, menos de la mitad de las solicitudes efectuadas a proveedores de servicios reciben respuesta 5 .
En lo que se refiere a las posibles solicitudes recíprocas efectuadas por las autoridades de los EE. UU. a proveedores de servicios de la Unión Europea, en la actualidad, en numerosos Estados miembros el marco jurídico de las telecomunicaciones prohíbe a los proveedores de telecomunicaciones nacionales responder directamente a solicitudes de autoridades extranjeras, incluso las que se refieren a datos sin contenido. Además, no existe ningún marco jurídico que permita la cooperación directa en otros sectores de las comunicaciones. Normalmente, las autoridades de los EE. UU. solo pueden obtener dichos datos de los proveedores de servicios de la UE mediante una solicitud de asistencia judicial mutua.
2. OBJETIVOS DE LA PROPUESTA
La Comisión Europea se comprometió en la Agenda Europea de Seguridad de abril de 2015 6 a revisar los obstáculos a las investigaciones penales de los delitos facilitados por internet, especialmente en lo que se refiere al acceso transfronterizo a las pruebas electrónicas. El 17 de abril de 2018, la Comisión presentó al Parlamento Europeo y al Consejo una propuesta de Reglamento sobre las órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal 7 y una propuesta de Directiva por la que se establecen normas armonizadas para la designación de representantes legales a efectos de recabar pruebas para procesos penales («propuestas sobre pruebas electrónicas») 8 .
El objetivo de estas propuestas es acelerar el proceso para obtener en la Unión Europea pruebas electrónicas directamente de proveedores de servicios establecidos en otra jurisdicción. El ámbito de las propuestas incluye tipos concretos de proveedores que prestan sus servicios en la Unión Europea. Un proveedor presta servicios en la Unión Europea cuando permite que usuarios de uno o más Estados miembros utilicen sus servicios y cuando cuenta con una vinculación significativa con la Unión, por ejemplo porque tiene un establecimiento en un Estado miembro o porque presta servicios a un gran número de usuarios en dicho Estado. Aquellos que no tienen presencia en la Unión Europea están obligados a designar un representante legal contra quien poder ejecutar órdenes europeas de entrega.
El Consejo Europeo ha hecho hincapié en la importancia de este aspecto tanto en el ámbito interior como exterior. En las conclusiones del Consejo Europeo de 18 de octubre de 2018 se afirma lo siguiente: «Deben hallarse soluciones para garantizar el acceso transfronterizo rápido y efectivo a las pruebas electrónicas, con objeto de combatir eficazmente el terrorismo y otras formas de delincuencia grave y organizada, tanto en la UE como a escala internacional; debe alcanzarse un acuerdo, a más tardar al final de la legislatura, sobre las propuestas de la Comisión relativas a las pruebas electrónicas y al acceso a la información financiera, así como a la mejora de la lucha contra el blanqueo de capitales 9 . La Comisión debe presentar asimismo con urgencia mandatos de negociación para las negociaciones internacionales sobre las pruebas electrónicas».
Las propuestas de la Comisión sobre las pruebas electrónicas sientan las bases de un enfoque coordinado y coherente, tanto dentro de la Unión Europea como por parte de la Unión en el marco internacional, que presta la debida atención a las normas de la UE, incluidas las que prohíben la discriminación entre sus Estados miembros y los ciudadanos de estos. Aunque en su evaluación de impacto de las propuestas sobre las pruebas electrónicas, la Comisión ya señaló que dichas propuestas podrían completarse útilmente mediante acuerdos bilaterales o multilaterales de acceso transfronterizo a las pruebas electrónicas con las salvaguardias correspondientes, la Comisión decidió proponer normas de la UE relativas a las modalidades y salvaguardias adecuadas para el acceso transfronterizo a las pruebas electrónicas, antes de entablar negociaciones con terceros.
En el marco internacional, se están celebrando conversaciones como parte de las negociaciones sobre un segundo Protocolo adicional al Convenio sobre la Ciberdelincuencia del Consejo de Europa 10 . El acceso transfronterizo a las pruebas electrónicas ha sido un elemento recurrente en las recientes reuniones ministeriales sobre Justicia e Interior entre la UE y los EE. UU.
La Comisión prevé adoptar al mismo tiempo las dos recomendaciones para iniciar negociaciones con los Estados Unidos de América y participar en las negociaciones del segundo Protocolo Adicional al Convenio sobre la Ciberdelincuencia del Consejo de Europa. Aunque cada proceso avanzará a distinto ritmo, ambos abordan cuestiones interconectadas, y los compromisos adoptados en una negociación pueden tener un efecto directo en otros capítulos de las negociaciones.
Si bien las propuestas sobre pruebas electrónicas abordan la situación de ciertos tipos de proveedores de servicios que operan en el mercado de la UE, existe el riesgo de que se creen obligaciones contradictorias con la legislación de terceros países. Para resolver estos conflictos de leyes, y de acuerdo con el principio de cortesía internacional, las propuestas sobre pruebas electrónicas incluyen disposiciones sobre mecanismos específicos en caso de que un proveedor de servicios se enfrente a obligaciones contradictorias derivadas de la legislación de un tercer país cuando se soliciten pruebas. Estos mecanismos incluyen un procedimiento de revisión para aclarar esta situación. El objetivo de un Acuerdo entre la UE y los EE. UU. debe ser evitar que existan obligaciones contradictorias entre la Unión Europea y los Estados Unidos de América.
Los principales proveedores de servicios en cuyo poder obran pruebas pertinentes para las investigaciones penales operan sujetos a la jurisdicción de los EE. UU. La Ley sobre comunicaciones almacenadas de 1986 («Stored Communications Act of 1986») prohibía revelar datos de contenido, mientras que los datos sin contenido pueden facilitarse de manera voluntaria. La Ley de clarificación de la utilización lícita de los datos almacenados en el extranjero («Clarifying Lawful Overseas Use of Data, CLOUD») de los Estados Unidos, adoptada por el Congreso el 23 de marzo de 2018, aclara mediante una modificación de la Ley sobre comunicaciones almacenadas de 1986 que los proveedores de servicios de los EE. UU. están obligados a cumplir las órdenes de los EE. UU. y revelar los datos de contenido y los datos sin contenido, independientemente de donde estén almacenados, incluso en la Unión Europea. La Ley CLOUD también permite celebrar acuerdos ejecutivos con gobiernos extranjeros, según los cuales los proveedores de servicios de los EE. UU. podrían facilitar datos de contenido directamente a dichos gobiernos extranjeros. El ámbito de los datos contemplados en la Ley CLOUD son los datos almacenados y la interceptación de las comunicaciones por cable o electrónicas, siempre que las infracciones contempladas sean «delitos graves». Los acuerdos ejecutivos con gobiernos extranjeros están sujetos a determinadas condiciones: que el país extranjero cuente con una protección suficiente, que, entre otras cosas, le permita restringir el acceso a datos relativos a los ciudadanos de los EE. UU.
El objetivo de esta iniciativa es abordar, mediante normas comunes, la cuestión jurídica particular del acceso a los datos de contenido y los datos sin contenido que obren en poder de proveedores de servicios de la Unión Europea o los Estados Unidos de América. En el marco de un acuerdo internacional, esta iniciativa complementaría las propuestas sobre pruebas electrónicas de la UE abordando la cuestión de los conflictos de leyes, en concreto en lo que se refiere a los datos de contenido y la agilización del acceso a las pruebas electrónicas. La presente recomendación incluye directrices para entablar negociaciones sobre un acuerdo de toda la UE con los Estados Unidos de América sobre el acceso transfronterizo a las pruebas electrónicas. La Unión Europea está interesada en un acuerdo integral con los Estados Unidos de América, tanto desde la perspectiva de proteger los derechos y valores europeos como la privacidad y la protección de datos personales, como desde la perspectiva de nuestros propios intereses en materia de seguridad.
Como ya se ha indicado, en relación con los datos de contenido, la legislación de los Estados Unidos (la Ley sobre comunicaciones almacenadas de 1986) en su forma actual prohíbe a los proveedores de servicios de los Estados Unidos responder a solicitudes de las fuerzas o cuerpos de seguridad extranjeros. Actualmente, la legislación de los Estados Unidos exige que se muestre la «causa probable» antes de que un tercer país pueda efectuar una solicitud de asistencia judicial mutua. En la actualidad, los proveedores de servicios de un Estado miembro de la Unión Europea no pueden responder a solicitudes directas de las autoridades de un tercer país. Un Acuerdo entre la UE y los EE. UU. reforzaría el propósito y la eficacia de las propuestas sobre pruebas electrónicas, especialmente con relación a los datos de contenido en poder de proveedores de servicios de los Estados Unidos de América. Facilitaría la cooperación directa con los proveedores de servicios al crear un marco legal más eficiente para las autoridades judiciales, ya que, actualmente, los profesionales de la UE se enfrentan a dificultades a la hora de obtener datos de contenido mediante solicitudes de asistencia judicial mutua.
En lo que se refiere a los datos sin contenido, debido al número creciente de solicitudes de asistencia judicial mutua dirigidas a los Estados Unidos de América, las autoridades de los EE. UU. han animado a las fuerzas y cuerpos de seguridad y a las autoridades judiciales de la UE a solicitar datos sin contenido directamente a los proveedores de servicios de los EE. UU., y la legislación de los EE. UU. permite, pero no exige, que los proveedores de servicios ubicados en su territorio respondan a tales solicitudes. Un Acuerdo entre la UE y los EE. UU. ofrecería mayor certidumbre, aportaría unas claras garantías procesales y reduciría la fragmentación a la que se enfrentan las autoridades de la UE para acceder a los datos sin contenido que obran en poder de proveedores de servicios de los EE. UU. También permitiría el acceso recíproco de las autoridades de los EE. UU. a datos en poder de los proveedores de servicios de la UE.
La presente Recomendación de Decisión del Consejo tiene por objeto entablar negociaciones entre la Unión Europea y los Estados Unidos de América, de manera que se pueda alcanzar un acuerdo trasatlántico sobre el acceso transfronterizo a las pruebas electrónicas directamente a través de los proveedores de servicios para su uso en procesos penales. Pretende adaptar los mecanismos de cooperación a la era digital, ofreciendo a las autoridades judiciales y policiales herramientas para acceder a las vías de comunicación actuales de los delincuentes y luchar contra las nuevas formas de delincuencia.
Un Acuerdo entre la Unión Europea y los Estados Unidos ofrecería numerosas ventajas prácticas:
·facilitaría el acceso recíproco de las autoridades judiciales a los datos de contenido;
·abordaría la cuestión del acceso a los datos sin contenido mediante órdenes de las autoridades judiciales, aseguraría el acceso recíproco por parte de las autoridades de la UE y de los EE. UU., y revisaría las condiciones y garantías de los proveedores de servicios de cara a la cooperación directa;
·contribuiría a mejorar el acceso en tiempo útil a los datos de las autoridades judiciales;
·abordaría el riesgo de conflictos de leyes;
·reduciría el riesgo de fragmentación de las normas y los procedimientos, y armonizaría los derechos y garantías mediante un único mandato de negociación para todos los Estados miembros de la Unión Europea con los Estados Unidos que velara por la ausencia de discriminación entre los Estados miembros de la UE y sus ciudadanos;
·aclararía el carácter vinculante y los aspectos relativos a la ejecución de las órdenes dirigidas a los proveedores de servicios y detallaría, al mismo tiempo, las obligaciones de las autoridades judiciales.
El Acuerdo debe estar supeditado a unos sólidos mecanismos de protección de los derechos fundamentales. Estas directrices de negociación tienen por objeto mejorar la seguridad jurídica para las autoridades, los proveedores de servicios y las personas afectadas, velar por la proporcionalidad, la protección de los derechos fundamentales, la transparencia y la rendición de cuentas, por parte tanto de las autoridades judiciales como de los proveedores de servicios.
3. DISPOSICIONES PERTINENTES EN LA MISMA POLÍTICA SECTORIAL
El actual marco jurídico de la Unión Europea consta de instrumentos de cooperación de la Unión en materia penal, como la Directiva 2014/41/UE relativa a la orden europea de investigación en materia penal 11 , el Convenio relativo a la asistencia judicial en materia penal entre los Estados miembros de la Unión Europea 12 , el Reglamento 2018/1727 sobre Eurojust 13 , el Reglamento (UE) 2016/794 sobre Europol 14 , la Decisión marco 2002/465/JAI del Consejo sobre equipos conjuntos de investigación 15 , y la propuesta de Reglamento para la prevención de la difusión de contenidos terroristas en línea 16 .
El 17 de abril de 2018, la Comisión presentó al Parlamento Europeo y al Consejo una propuesta de Reglamento sobre las órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal 17 y una propuesta de Directiva por la que se establecen normas armonizadas para la designación de representantes legales a efectos de recabar pruebas para procesos penales 18 . En el ámbito exterior, la Unión Europea ha concluido varios acuerdos bilaterales con terceros países, como es el caso del Acuerdo sobre asistencia judicial mutua entre la Unión Europea y los Estados Unidos de América 19 . El presente Acuerdo está previsto como un complemento a estas medidas.
Los datos personales contemplados por la presente Recomendación de Decisión del Consejo están protegidos y solo podrán ser tratados de conformidad con el Reglamento general de protección de datos 20 y, en el caso de las autoridades de la Unión Europea, la Directiva sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes 21 . El Acuerdo debe complementar el Acuerdo entre la UE y los EE. UU. en materia de protección de datos y privacidad, también conocido como «Acuerdo marco», que entró en vigor el 1 de febrero de 2017, y la Ley sobre recursos judiciales de los Estados Unidos (U.S. Judicial Redress Act), por la que se amplían a los ciudadanos de la UE los beneficios de la Ley de privacidad de los Estados Unidos (U.S. Privacy Act), aprobada por el Congreso de los EE. UU. el 24 de febrero de 2016.
Los datos de las comunicaciones electrónicas contemplados en la presente Recomendación de Decisión del Consejo están protegidos y solo pueden ser tratados de conformidad con la Directiva 2002/58/CE (Directiva sobre privacidad y comunicaciones electrónicas) 22 .
El Acuerdo debe respetar los derechos fundamentales, las libertades y los principios generales del Derecho de la UE tal como los contemplan los Tratados de la Unión Europea y la Carta de Derechos Fundamentales, los derechos procesales, por ejemplo, los derechos a una tutela judicial efectiva y a un juez imparcial, la presunción de inocencia y los derechos de la defensa, los principios de legalidad y de proporcionalidad de los delitos y las penas, y cualesquiera obligaciones que correspondan a las autoridades policiales o judiciales al respecto. En lo que se refiere a las garantías de protección de datos necesarias para la transmisión de datos personales de la Unión Europea a las fuerzas o cuerpos de seguridad de los Estados Unidos, las disposiciones aplicables del Acuerdo en materia de privacidad y protección de datos entre la UE y los EE. UU. se complementarán mediante garantías adicionales que tengan en cuenta el nivel de sensibilidad de las categorías de datos afectados y la especificidad de los requisitos de la transferencia directa de pruebas electrónicas por parte de los proveedores de servicios.
El Acuerdo también debe entenderse sin perjuicio de otros acuerdos internacionales vigentes en el ámbito de la cooperación judicial en materia de enjuiciamiento criminal, como es el caso del Acuerdo de asistencia judicial mutua entre la UE y los EE. UU. En el marco de las relaciones bilaterales entre los Estados Unidos de América y la Unión Europea, el Acuerdo debe tener prioridad frente a cualquier otro acuerdo o solución adoptados en las negociaciones del segundo Protocolo Adicional al Convenio sobre la Ciberdelincuencia del Consejo de Europa.
El Consejo autorizará el inicio de las negociaciones, adoptará directrices de negociación y aprobará la firma y celebración del Acuerdo conforme a lo previsto en el artículo 218, apartados 3 y 4, del Tratado de Funcionamiento de la Unión Europea.
Derechos fundamentales
El Acuerdo podría afectar a una serie de derechos fundamentales:
·los derechos de la persona a cuyos datos se accede: el derecho a la protección de los datos de carácter personal; el derecho al respeto de la vida privada y familiar, el domicilio y las comunicaciones; el derecho a la libertad de expresión y de reunión; el derecho a la tutela judicial efectiva y a un juez imparcial, la presunción de inocencia y los derechos de la defensa, los principios de legalidad y de proporcionalidad de los delitos y las penas;
·los derechos del prestador de servicios: el derecho a la libertad de empresa; el derecho a la tutela judicial efectiva;
·el derecho a la libertad y a la seguridad de las personas.
Teniendo en cuenta el acervo pertinente en materia de privacidad y protección de datos, deben incluirse garantías suficientes e importantes en el acuerdo para velar por que los derechos de estas personas queden protegidos de conformidad con los principios generales del Derecho de la UE y la jurisprudencia correspondiente del Tribunal de Justicia Europeo.
El Acuerdo entre la UE y los EE. UU. debe ser compatible con las propuestas de la Comisión sobre las pruebas electrónicas, tanto a medida que evolucionen en el procedimiento legislativo como en la forma final en que se adopten.
Las definiciones de los procesos penales con relación a los cuales podrían obtenerse dichos datos, los tipos de datos incluidos, los requisitos para dictar una orden, las garantías y los recursos judiciales, y las categorías de los delitos en cuestión ocuparán en gran medida las negociaciones, a fin de evitar conflictos de leyes y mejorar el acceso para las autoridades. Las definiciones y el ámbito de aplicación deben ser compatibles con los de las normas interiores de la UE en materia de pruebas electrónicas y adaptarse a su evolución.
La Comisión considera que redunda en interés de la Unión Europea y de los Estados Unidos de América celebrar un acuerdo integral que proporcionaría claridad jurídica a las autoridades judiciales y policiales de ambas partes y evitaría contradicciones entre las obligaciones legales de los proveedores de servicios. Se trata también de la única manera de evitar que existan distintas normas para los ciudadanos y proveedores de servicios de la UE en función de su nacionalidad.
El Acuerdo debe aclarar el carácter vinculante y la ejecutoriedad de las órdenes dirigidas a los proveedores de servicios y detallar las obligaciones de las autoridades judiciales.
En los apartados 1 a 3 de las directrices de negociación, la Comisión propone los tres principales objetivos del acuerdo, a saber: establecer normas comunes y resolver los conflictos de leyes que pueden suscitar las órdenes sobre datos de contenido y datos sin contenido procedentes de una autoridad judicial de una Parte contratante y dirigidas a un proveedor de servicios sujeto a la legislación de otra Parte contratante; en segundo lugar, a partir de dicha orden, permitir la transferencia de pruebas electrónicas, directamente y con carácter recíproco, de un proveedor de servicios a la autoridad solicitante y, en tercer lugar, velar por el respeto de los derechos y libertades fundamentales y de los principios generales del Derecho de la UE tal como se contemplan en los Tratados de la Unión Europea y la Carta de Derechos Fundamentales.
En el apartado 4 de las directrices de negociación, la Comisión propone que el acuerdo sea aplicable en aquellos procesos penales que incluyen tanto fase de instrucción como de enjuiciamiento. Debe ser compatible con el artículo 3 de la propuesta de Reglamento sobre órdenes europeas de entrega y conservación de pruebas electrónicas a efectos del enjuiciamiento penal. Tanto durante la fase de instrucción como durante la fase de enjuiciamiento, todas las salvaguardias jurídicas de las personas afectadas y, en particular, las garantías procesales del derecho penal resultan de aplicación.
En el apartado 5 de las directrices de negociación, la Comisión propone que el Acuerdo prevea derechos y obligaciones recíprocos para las Partes del mismo.
En el apartado 6 de las directrices de negociación, la Comisión propone que el Acuerdo establezca las definiciones y los tipos de datos que deben regularse, incluyendo los datos de contenido y los datos sin contenido. Los datos de contenido comprenden el contenido de los intercambios electrónicos y se consideran la categoría más invasiva de las pruebas electrónicas. Los datos sin contenido contemplan tanto los datos de los abonados, que son el tipo de datos solicitado con mayor frecuencia con fines de investigación penal, y los datos de tráfico, que incluyen información sobre la identidad de los emisores y receptores de los mensajes electrónicos, así como metadatos sobre el momento, la frecuencia y duración de los intercambios.
En el apartado 7 de las directrices de negociación, la Comisión propone que el Acuerdo defina con precisión su ámbito de aplicación en términos de los delitos penales que contempla y de los umbrales para los niveles de las sanciones. Debe ser compatible con el artículo 5, apartado 4, de la propuesta de Reglamento sobre órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal. La autoridad emisora debe estar obligada a velar, en cada caso, por que la medida sea necesaria y proporcionada, teniendo en cuenta la gravedad de la infracción objeto de investigación. El Acuerdo debe incluir umbrales para los niveles de las sanciones adecuados a los datos de contenido y los datos sin contenido. Debe ser compatible con el umbral de tres años, lo que restringe el ámbito de aplicación del instrumento a los delitos más graves, sin limitar excesivamente las posibilidades de su uso por los profesionales.
En el apartado 8 de las directrices de negociación, la Comisión propone que el Acuerdo establezca las condiciones que deben cumplirse antes de que una autoridad judicial pueda emitir una orden, así como los modos en que puede notificarse dicha orden. Debe ser compatible con el artículo 5, relativo a las condiciones para la emisión de una orden, de la propuesta de Reglamento sobre órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal.
En el apartado 9 de las directrices de negociación, la Comisión propone que el Acuerdo incluya una cláusula que facilite vías de recurso efectivas para las personas sospechosas y acusadas en los procesos penales. El Acuerdo también debe definir en qué circunstancias tiene derecho el proveedor de servicios a oponerse a una orden. En cuanto a las personas afectadas, la referencia de estas disposiciones es el artículo 17 de la propuesta de Reglamento sobre las órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal que asegura que las personas afectadas por una orden europea de entrega cuenten con vías de recurso efectivas de acuerdo con el derecho nacional, en principio durante los procesos penales. Las vías de recurso de los interesados también se definen en la Directiva (UE) 2016/680 y el Reglamento (UE) 2016/679. Puesto que la orden es una medida vinculante, puede afectar también a los derechos de los proveedores de servicios, en particular, la libertad de empresa y las condiciones para ejercerla. Según la propuesta de la Comisión, el Acuerdo debe incluir el derecho del proveedor de servicios a presentar determinadas objeciones en el Estado emisor, por ejemplo en caso de que la orden no haya sido emitida o validada por una autoridad judicial.
En el apartado 10 de las directrices de negociación, la propuesta de la Comisión afirma que el Acuerdo debe establecer el período de suministro de los datos contemplados en la orden. Debe ser compatible con el artículo 9 de la propuesta de Reglamento sobre órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal que obliga a los destinatarios a responder en un plazo que habitualmente es de diez días, aunque las autoridades pueden fijar un plazo más breve cuando esté justificado.
En el punto 11 de las directrices de negociación, la Comisión propone que el Acuerdo debe entenderse sin perjuicio de otros acuerdos internacionales vigentes en el ámbito de la cooperación judicial entre autoridades en materia penal, como es el caso del Acuerdo de asistencia judicial mutua entre la UE y los EE. UU.
En el punto 12 de las directrices de negociación, la Comisión propone que, en el marco de las relaciones bilaterales entre los Estados Unidos de América y la Unión Europea, el Acuerdo debe tener prioridad frente a cualquier otro acuerdo o medida adoptados en las negociaciones del segundo Protocolo Adicional al Convenio sobre la Ciberdelincuencia del Consejo de Europa, así como los demás acuerdos o soluciones alcanzados en las negociaciones del segundo Protocolo adicional al Convenio, en la medida en que las disposiciones de estos últimos contemplen cuestiones previstas en el presente Acuerdo.
En el punto 13 de las directrices de negociación, la Comisión propone que el Acuerdo revista carácter recíproco en cuanto a las categorías de personas cuyos datos no deben solicitarse de conformidad con el Acuerdo. El Acuerdo no debe discriminar entre personas de distintos Estados miembros de la Unión Europea. La Comisión considera que el presente Acuerdo, que resulta aplicable a toda la UE, constituye una garantía para alcanzar este requisito.
Los puntos 14 a 16 de las directrices se refieren a las garantías de protección de datos exigidas en particular por el presente Acuerdo. El punto 14 de las directrices de negociación establece que el Acuerdo debe hacer aplicable por remisión el Acuerdo entre la UE y los EE. UU. en materia de protección de datos y privacidad, también conocido como el «Acuerdo Marco». En el punto 15, la Comisión establece que el Acuerdo debe complementar el Acuerdo Marco con garantías adicionales que tengan en cuenta el nivel de sensibilidad de las categorías de datos afectadas y los requisitos específicos de la transferencia de pruebas electrónicas directamente por los proveedores de servicios en lugar de entre autoridades. El punto 16 establece las garantías adicionales necesarias propuestas por la Comisión para el presente Acuerdo, incluidas la especificación de los objetivos, la limitación de los objetivos, la notificación y la transferencia posterior.
El punto 17 de las directrices de negociación incluye los derechos procesales adicionales que la Comisión propone que se exijan para tener en cuenta la especificidad de los requisitos de transferencia de pruebas electrónicas directamente por parte de proveedores de servicios en lugar de entre autoridades. Entre estos derechos se incluye el de que los datos no puedan ser solicitados para su uso en procesos penales que puedan conducir a la pena de muerte, la proporcionalidad de las órdenes, y garantías específicas en el caso de los datos protegidos por privilegios e inmunidades. Los privilegios e inmunidades de determinadas profesiones, como la de abogado, así como los intereses fundamentales de seguridad y defensa nacionales del Estado destinatario, también deberán tenerse en cuenta durante el proceso en el Estado emisor. La revisión por una autoridad judicial funciona como una garantía adicional a este respecto.
En las disposiciones sobre gobernanza de los puntos 18 a 23, la Comisión propone en las directrices de negociación que el Acuerdo incluya revisiones conjuntas periódicas de su aplicación, así como una cláusula sobre su duración. También propone que el Acuerdo contemple que las Partes se consulten mutuamente para facilitar la resolución de todo litigio relativo a la interpretación o aplicación del mismo. Las estadísticas deben recogerse en ambos lados a fin de facilitar el proceso de revisión. Además, las directrices de negociación proponen que el futuro Acuerdo incluya una cláusula de suspensión y terminación en caso de que el procedimiento de consulta no permita resolver el litigio.
Recomendación de
DECISIÓN DEL CONSEJO
por la que se autoriza la apertura de negociaciones para un Acuerdo entre la Unión Europea y los Estados Unidos de América sobre el acceso transfronterizo a las pruebas electrónicas para la cooperación judicial en materia penal
EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 218, apartados 3 y 4,
Vista la recomendación de la Comisión Europea,
1. El 17 de abril de 2018, la Comisión presentó dos propuestas legislativas para un Reglamento sobre las órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal y una Directiva por la que se establecen normas armonizadas para la designación de representantes legales a efectos de recabar pruebas para procesos penales («propuestas sobre pruebas electrónicas») 23 . El Consejo adoptó una orientación general sobre la propuesta de Reglamento de la Comisión en el Consejo de Justicia y Asuntos de Interior el 7 de diciembre de 2018 24 .
2. Las negociaciones deben entablarse con el objetivo de alcanzar un acuerdo entre la Unión y los Estados Unidos de América sobre el acceso transfronterizo, por parte de las autoridades judiciales en los procesos penales, a las pruebas electrónicas que obren en poder de un proveedor de servicios.
3. El Acuerdo debe incluir las garantías necesarias en materia de derechos y libertades fundamentales y respetar los principios reconocidos en la Carta de Derechos Fundamentales de la Unión Europea, en particular el derecho al respeto de la vida privada y familiar, el domicilio y las comunicaciones reconocido en el artículo 7 de la Carta, el derecho a la protección de los datos personales reconocido en el artículo 8 de la Carta, el derecho a una tutela efectiva y un juez imparcial reconocido en el artículo 47 de la Carta, la presunción de inocencia y los derechos de la defensa reconocidos en el artículo 48 de la Carta, y los principios de legalidad y proporcionalidad de los delitos y las penas reconocidos en el artículo 49 de la Carta. El Acuerdo debe aplicarse de conformidad con estos derechos y principios.
4. El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (CE) n.° 2018/1725 del Parlamento Europeo y del Consejo 25 , emitió un dictamen el [...] 26 .
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1
Se autoriza a la Comisión a negociar, en nombre de la Unión, un acuerdo entre la Unión y los Estados Unidos de América sobre el acceso transfronterizo, por parte de las autoridades judiciales en los procesos penales, a las pruebas electrónicas que obren en poder de un proveedor de servicios.
Artículo 2
Las directrices de negociación figuran en el anexo.
Artículo 3
Las negociaciones deben llevarse a cabo en consulta con un comité especial que deberá designar el Consejo.
Artículo 4
La destinataria de la presente Decisión es la Comisión.
Hecho en Bruselas, el
Por el Consejo
El Presidente
COMISIÓN EUROPEA
Bruselas, 5.2.2019
COM(2019) 70 final
ANEXO
a
la Recomendación de DECISIÓN DEL CONSEJO
por la que se autoriza la apertura de negociaciones para un Acuerdo entre la Unión Europea y los Estados Unidos de América sobre el acceso transfronterizo a las pruebas electrónicas para la cooperación judicial en materia penal
ANEXO
1.OBJETIVOS
En el curso de las negociaciones, la Comisión debe tratar de alcanzar los objetivos concretos que se detallan a continuación, velando al mismo tiempo por que el resultado de dichas negociaciones sea compatible con las normas internas de la Unión en materia de pruebas electrónicas, a medida que los colegisladores de la Unión les van dando forma durante el proceso legislativo y, llegado el momento, en su forma final de adopción. Estas normas internas servirán como punto de referencia para que la Unión adopte su posición de negociación.
1.Establecer normas comunes y resolver los conflictos de leyes relativos a las órdenes para obtener pruebas electrónicas en forma de datos de contenido y datos sin contenido emitidas por una autoridad judicial de una Parte contratante a un proveedor de servicios sujeto a la legislación de la otra Parte contratante. Con ello se reduciría el riesgo de fragmentación de las prácticas y las disposiciones jurídicas, y se incrementaría la seguridad jurídica entre la Unión y los Estados Unidos de América a la hora de obtener pruebas electrónicas en los procesos penales.
2.Permitir la transferencia de pruebas electrónicas directa y recíproca por un proveedor de servicios a la autoridad solicitante, de acuerdo con lo previsto en el punto 1.
3.Velar por el respeto de los derechos y las libertades fundamentales y los principios generales del Derecho de la UE tal como se contemplan en los Tratados de la Unión Europea y la Carta de Derechos Fundamentales, tales como la proporcionalidad, los derechos procesales, la presunción de inocencia y los derechos de la defensa de las personas incursas en un proceso penal, así como la privacidad y la protección de los datos personales y de las comunicaciones durante el tratamiento de dichos datos, incluso en las transferencias a las fuerzas o cuerpos de seguridad de terceros países, y cualesquiera obligaciones que correspondan a las autoridades policiales o judiciales al respecto.
A fin de alcanzar los objetivos establecidos en la primera parte, el Acuerdo debe abordar, en particular, los aspectos siguientes:
2.NATURALEZA Y ÁMBITO DE APLICACIÓN DEL ACUERDO
4.El Acuerdo debe aplicarse a aquellos procesos penales que incluyan tanto fase de instrucción como de enjuiciamiento.
5.El Acuerdo debe generar derechos y obligaciones recíprocos para las Partes.
6.El Acuerdo debe establecer las definiciones y los tipos de datos que deben queda regulados, tanto datos de contenido como datos sin contenido.
7.El Acuerdo debe definir con precisión su ámbito de aplicación en términos de los delitos que engloba y los umbrales correspondientes.
8.El Acuerdo debe establecer qué condiciones han de cumplirse antes de que una autoridad judicial pueda emitir una orden, así como los modos en que puede notificarse dicha orden.
9.El Acuerdo debe incluir una cláusula que facilite vías de recurso efectivas para los interesados durante los procesos penales. El Acuerdo también debe definir en qué circunstancias tiene derecho un proveedor de servicios a rechazar una orden.
10.El Acuerdo debe establecer el plazo de presentación de los datos contemplados en la orden.
11.El Acuerdo debe entenderse sin perjuicio de otros acuerdos internacionales vigentes en el ámbito de la cooperación judicial en materia penal entre autoridades, como es el caso del Acuerdo de asistencia judicial mutua entre la UE y los EE. UU.
12.En el marco de las relaciones bilaterales entre los Estados Unidos de América y la Unión, el Acuerdo debe tener prioridad frente al Convenio sobre la Ciberdelincuencia del Consejo de Europa y a todo acuerdo o solución alcanzados en las negociaciones del segundo Protocolo Adicional a dicho Convenio, en la medida en que las disposiciones de estos últimos contemplen cuestiones previstas en el Acuerdo.
3.GARANTÍAS
13.El Acuerdo debe revestir carácter recíproco en cuanto a las categorías de personas cuyos datos no deben solicitarse de conformidad con el mismo. El Acuerdo no debe discriminar entre personas de distintos Estados miembros.
14.El Acuerdo debe hacer aplicable por remisión el Acuerdo entre la UE y los EE. UU. en materia de protección de datos y privacidad, también conocido como el «Acuerdo Marco», que entró en vigor el 1 de febrero de 2017.
15.El Acuerdo debe complementar el Acuerdo Marco con garantías adicionales que tengan en cuenta el nivel de sensibilidad de las categorías de datos afectadas y la especificidad de los requisitos para la transferencia de pruebas electrónicas directamente por los proveedores de servicios en lugar de entre autoridades.
16.Las garantías adicionales en materia de privacidad y protección de datos, que deben revisarse conforme al ámbito de aplicación del Acuerdo, deben incluir, entre otras:
(a)La especificación de los objetivos para los que pueden solicitarse y transferirse los datos personales y los datos de las comunicaciones electrónicas.
(b)El requisito de que la orden se limite a los datos personales y los datos de las comunicaciones electrónicas que sean necesarios y proporcionados al objetivo por el que se accede a ellos.
(c)El requisito de que la divulgación y el uso por otras autoridades de los EE. UU. que no estén vinculadas al Acuerdo Marco estén sujetos a la notificación a la autoridad judicial competente —y a la autorización por parte de esta— designada en el Estado miembro en que esté establecido o representado el proveedor de servicios, y que solo puedan tener lugar si se garantiza que la autoridad receptora protege eficazmente los datos personales y de las comunicaciones electrónicas de conformidad con el Acuerdo. En el momento de considerar dicha autorización previa, la autoridad judicial competente debe tener debidamente en cuenta todos los factores pertinentes, como por ejemplo la gravedad del delito y el objetivo por el que se transfirieron inicialmente los datos.
(d)El requisito de que las transferencias posteriores a terceros países solo puedan dirigirse a los cuerpos o fuerzas de seguridad responsables de la prevención, investigación, detección o enjuiciamiento de delitos penales, incluido el terrorismo, y que deben estar sujetas a la notificación a la autoridad judicial competente —y a la autorización por parte de esta— designada por el Estado miembro en que está establecido o representado el proveedor de servicios. En el momento de considerar dicha autorización previa, la autoridad judicial competente debe tener debidamente en cuenta los factores contemplados en el artículo 7, apartado 2, del Acuerdo Marco.
(e)El Acuerdo puede considerar las circunstancias excepcionales y las garantías requeridas cuando sean posibles las transferencias posteriores sin autorización previa, en caso de una amenaza grave e inminente para la seguridad pública de un Estado miembro o tercer país.
(f)La notificación de un incidente de seguridad de la información a la autoridad competente designada por el Estado miembro en el que esté establecido o representado el proveedor de servicios se efectuará conforme al artículo 10, apartado 2, del Acuerdo Marco.
17.Las garantías de los derechos procesales adicionales, que deben revisarse conforme al ámbito de aplicación del Acuerdo, deben incluir, entre otras:
(a)Las garantías adecuadas para asegurar que no puedan solicitarse datos que vayan a ser utilizados en procesos penales que puedan conducir a la pena de muerte.
(b)Las condiciones adecuadas para velar por la necesidad y proporcionalidad de las órdenes de acceso a pruebas electrónicas, estableciendo una distinción particular entre categorías de datos según proceda.
(c)Las garantías procesales de las personas objeto de una orden de datos en el marco de los procesos penales.
(d)Las garantías específicas en el caso de los datos protegidos por privilegios e inmunidades.
(e)Las garantías de confidencialidad para las autoridades y proveedores de servicios, incluidos los requisitos de no divulgación.
4.GOBERNANZA DEL ACUERDO
18.El Acuerdo debe estipular que las Partes efectúen revisiones conjuntas periódicas de su aplicación y examinen cómo realizar el uso más eficaz del mismo. Para ello, deben reunirse estadísticas en ambos lados a fin de facilitar el proceso de revisión.
19.El Acuerdo debe incluir una cláusula sobre su duración. El carácter indefinido o definido de la duración se determinará en función de los resultados de la negociación. En ambos casos, debe incluirse una disposición que exija la revisión del Acuerdo a su debido tiempo.
20.El Acuerdo debe estipular que las Partes se consulten mutuamente para facilitar la resolución de todo litigio relativo a la interpretación o aplicación del mismo.
21.El Acuerdo debe contemplar la posibilidad de que cualquiera de las Partes lo suspenda o termine en caso de que el mencionado proceso de consulta no permita resolver el litigio.
22.El Acuerdo debe incluir una cláusula sobre su aplicación territorial.
23.Las versiones del Acuerdo en todas las lenguas oficiales de la Unión serán igualmente auténticas.