Accept Refuse

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52019DC0372

INFORME DE LA COMISIÓN AL PARLAMENTO EUROPEO Y AL CONSEJO sobre la interconexión de los mecanismos centralizados automatizados nacionales (registros centrales o sistemas centrales electrónicos de consulta de datos) de los Estados miembros relacionados con las cuentas bancarias

COM/2019/372 final

Bruselas, 24.7.2019

COM(2019) 372 final

INFORME DE LA COMISIÓN AL PARLAMENTO EUROPEO Y AL CONSEJO

sobre la interconexión de los mecanismos centralizados automatizados nacionales (registros centrales o sistemas centrales electrónicos de consulta de datos) de los Estados miembros relacionados con las cuentas bancarias


INFORME DE LA COMISIÓN AL PARLAMENTO EUROPEO Y AL CONSEJO

sobre la interconexión de los mecanismos centralizados automatizados nacionales (registros centrales o sistemas centrales electrónicos de consulta de datos) de los Estados miembros relacionados con las cuentas bancarias

1.Introducción

El artículo 32bis de la Directiva (UE) 2015/849 antiblanqueo 1 exige que los Estados miembros establezcan, a más tardar el 10 de septiembre de 2020, mecanismos centralizados automatizados nacionales, como registros centrales o sistemas centrales electrónicos de consulta de datos, que permitan la identificación de cualquier persona física o jurídica que posea o controle cuentas de pago, cuentas bancarias y cajas de seguridad. La Directiva antiblanqueo define un conjunto mínimo de información que debería incluirse en dichos mecanismos centralizados. Asimismo, estipula que las unidades de inteligencia financiera deben poder acceder a ella de forma inmediata y no filtrada, y que la información debe ser accesible a las demás autoridades competentes para el cumplimiento de las obligaciones que les impone la Directiva. La Directiva (UE) 2019/1153 para facilitar el acceso a información financiera y de otro tipo 2 obliga a los Estados miembros a designar las autoridades nacionales competentes para la prevención, detección, investigación o enjuiciamiento de infracciones penales que deberían poder acceder de forma directa, inmediata y sin filtros al conjunto mínimo de información de dichos mecanismos centralizados. Entre dichas autoridades competentes figurarán al menos los organismos de recuperación de activos.

El acceso por parte de las autoridades competentes a los registros centrales de cuentas bancarias o los sistemas de consulta será un elemento crucial de la lucha contra el blanqueo de capitales, los delitos subyacentes conexos o la financiación del terrorismo, así como para combatir los delitos graves en general. Teniendo presentes los objetivos de la Directiva antiblanqueo y la Directiva para facilitar el acceso a información financiera y de otro tipo, la futura interconexión de los registros de cuentas bancarias y los sistemas de consulta de datos de toda la UE facilitaría la cooperación transfronteriza de las autoridades competentes dedicadas a la lucha contra el blanqueo de capitales, la financiación del terrorismo y otros delitos graves.

El artículo 32bis, apartado 5, de la Directiva antiblanqueo solicita a la Comisión que evalúe las condiciones y las especificaciones y procedimientos técnicos que permitan garantizar la interconexión segura y eficiente de los mecanismos automatizados centralizados. Por consiguiente, el presente informe analiza las distintas soluciones informáticas que ya están en funcionamiento o se encuentran en proceso de desarrollo a escala de la UE, las cuales podrían servir como modelo si se interconectasen los mecanismos centralizados. Para que la interconexión sea posible, será necesario adoptar un acto normativo.

El presente informe debe interpretarse juntamente con el informe de la Comisión sobre la evaluación supranacional de los riesgos 3 , el informe de la Comisión sobre las unidades de inteligencia financiera 4 y el informe de la Comisión sobre la evaluación de los recientes casos de presunto blanqueo de capitales con la implicación de instituciones de crédito de la UE 5 , que se presentan en paralelo.

2.Situación actual

2.1.Registros centralizados o sistemas electrónicos de consulta de datos sobre cuentas bancarias en los Estados miembros

Por el momento 6 , quince Estados miembros 7 cuentan con mecanismos centralizados que contienen información relativa a las cuentas bancarias. De las respuestas recibidas de los Estados miembros se infiere una ligera preferencia por el registro central como solución técnica: mientras que diecisiete Estados miembros disponen o van a disponer de registros centrales, nueve Estados miembros declararon que tenían o preveían tener sistemas centrales de consulta de datos 8 . También se prefieren los sistemas que contienen más datos que el conjunto mínimo de información relativa al perfil de la cuenta, contemplado en el artículo 32bis, apartado 5, de la quinta Directiva antiblanqueo (once respuestas contra seis) 9 .

2.2.Sistemas de la UE que interconectan bases de datos electrónicas descentralizadas nacionales

Varios proyectos de la UE garantizan la interconexión descentralizada de las bases de datos electrónicas nacionales en toda la Unión 10 . A los efectos del presente informe, se consideran pertinentes los siguientes sistemas informáticos:

El Sistema Europeo de Información de Antecedentes Penales (ECRIS) entró en funcionamiento en abril de 2012 para mejorar el intercambio de información sobre antecedentes penales en toda la UE 11 . En la actualidad, todos los Estados miembros están conectados al sistema ECRIS, que vela por que los Estados miembros intercambien información relativa a las condenas penales de manera uniforme, rápida y compatible y facilita que los jueces y los fiscales accedan a información integral sobre los antecedentes penales de las personas implicadas 12 . 

El sistema europeo de información sobre vehículos y permisos de conducción (EUCARIS) conecta a los países de modo que puedan compartir información sobre vehículos, permisos de conducción y otros datos relacionados con el transporte. EUCARIS es un mecanismo que conecta a las autoridades de registro de vehículos y permisos de conducción de la Unión a través del cual los puntos de contacto nacionales de los Estados miembros pueden intercambiar información sobre el propietario y el seguro de un vehículo concreto 13 .

La interconexión de los registros de insolvencia (IRI) de la UE, que engloba dos proyectos distintos. A la primera versión del sistema (IRI 1.0) se puede acceder desde julio de 2014 a través del Portal Europeo de e-Justicia 14 . Se desarrolló como un proyecto piloto 15 con la participación voluntaria de determinados Estados miembros 16 . La segunda versión (IRI 2.0) se basa en el Reglamento (UE) 2015/848 sobre procedimientos de insolvencia e interconectará los registros nacionales de insolvencia de todos los Estados miembros (con la salvedad de Dinamarca). Todos los Estados miembros deben garantizar la compatibilidad con esta interconexión de aquí a junio de 2021. El sistema IRI 1.0 se basa en un protocolo de mensajes de servicio web seguro y estandarizado (SOAP sobre HTTPS), mientras que el sistema IRI 2.0 permite además el intercambio de datos aprovechando el módulo eDelivery del Mecanismo «Conectar Europa» 17 .

El sistema de interconexión de los registros empresariales (BRIS) interconecta los registros de empresas, de modo que puedan intercambiar mensajes transfronterizos sobre fusiones de empresas y sucursales y que los usuarios del Portal Europeo de e-Justicia puedan obtener información multilingüe acerca de las empresas de la UE. El sistema está operativo desde junio de 2017, conforme a la Directiva 2012/17/UE en lo que respecta a la interconexión de los registros centrales, mercantiles y de sociedades 18 . El sistema BRIS emplea el módulo eDelivery del Mecanismo «Conectar Europa» para el intercambio de mensajes estandarizados. El sistema está descentralizado y cuenta con un componente central (la Plataforma Central Europea) que almacena e indexa los nombres y los números de registro de las empresas.

La interconexión de los registros de la propiedad es un proyecto voluntario en curso 19 cuyo objetivo es ofrecer un único punto de acceso a los catastros de los países de la UE participantes a través del Portal Europeo de e-Justicia. Está previsto que empiece a funcionar en el segundo trimestre de 2020.

Las Estructuras Europeas de Propiedad y Control de Empresas (EBOCS) son un proyecto llevado a cabo por la Asociación de Registros Europeos de Empresas con el apoyo financiero del Fondo de Seguridad Interior-Policía (programas de trabajo anuales de 2016 y 2018). La plataforma EBOCS brinda un acceso simplificado y unificado a los datos de los registros empresariales relativos a las estructuras de propiedad y control de las empresas con fines de análisis financiero e investigación. También agrega los resultados de las consultas en un mapa de visualización. Conviene señalar que la UE no posee los derechos de propiedad intelectual de este sistema.

El sistema e-CODEX (comunicación para la Justicia en línea mediante el intercambio de datos en línea, por sus siglas en inglés) facilita la comunicación segura en los procesos civiles y penales mediante la prestación de un sistema descentralizado para el intercambio transfronterizo de mensajes electrónicos en el ámbito de la justicia 20 . En la actualidad, e-CODEX facilita la comunicación electrónica entre los ciudadanos y los tribunales, así como entre las administraciones de los Estados miembros que dirigen el requerimiento europeo de pago y el proceso europeo de escasa cuantía. En el ámbito de la justicia penal, e-CODEX es además la solución preferida del sistema de intercambio de pruebas electrónicas 21 para efectuar intercambios electrónicos en el contexto de la orden europea de investigación (OEI) y los tratados de asistencia judicial mutua.

3.Parámetros principales

3.1.Condición para el acceso de los usuarios

Al analizar los sistemas existentes, se constata que la accesibilidad del sistema del usuario final que interactúa con el sistema informático interconectado depende del objetivo para el que se haya establecido. Cuando la interconexión se establece con el propósito de incrementar la transparencia de la información para las empresas del mercado interior (BRIS, IRI), el sistema es de acceso público. Cuando el objetivo de la interconexión es mejorar la cooperación transfronteriza entre las autoridades competentes con vistas a aplicar las leyes o con fines de administración pública, como ocurre con el sistema ECRIS o el servicio Prüm de EUCARIS 22 , el acceso está restringido.

Cualquier persona puede utilizar la función del sistema BRIS para encontrar una empresa en el Portal Europeo de e-Justicia, mientras que en la actualidad la ley solo permite acceder a la infraestructura de mensajería a los registros empresariales nacionales. En cuanto a IRI, la información que se visualiza en su interfaz de búsqueda es de acceso público y los Estados miembros solo pueden restringir el acceso a los solicitantes que tengan un interés legítimo en el contexto de los «procedimientos de insolvencia de los consumidores». A ECRIS únicamente pueden acceder las autoridades centrales de los Estados miembros designadas a tal fin. Del mismo modo, las autoridades públicas pueden acceder a los servicios de EUCARIS a través de los puntos de contacto nacionales designados. En el caso de EBOCS, el acceso está limitado a las agencias de lucha contra la delincuencia participantes.

Sistema

Acceso público

Acceso restringido

Observaciones

BRIS

Sí

Cualquier persona puede utilizar la función del sistema BRIS para encontrar una empresa en el Portal Europeo de e-Justicia, mientras que en la actualidad la ley solo permite acceder a la infraestructura de mensajería a los registros empresariales nacionales.

IRI

Sí

ECRIS

Sí

Para las autoridades centrales de los Estados miembros a las que se haya asignado esta función.

EUCARIS

Sí

Para los puntos nacionales de contacto de EUCARIS, a través de los cuales pueden acceder las autoridades públicas dependiendo del fundamento jurídico de la cooperación.

EBOCS

Sí

Para las agencias de lucha contra la delincuencia que participen en el proyecto.

LRI

Sí 23*

Solo podrán emplear las funciones avanzadas profesionales jurídicos cuya identidad se verifique.

   Cuadro 1: Accesibilidad del sistema de los usuarios finales que interactúa con el sistema informático interconectado

En el marco de la Directiva antiblanqueo, los mecanismos centralizados relativos a las cuentas bancarias tienen por objeto mejorar la lucha contra el blanqueo de capitales y la financiación del terrorismo y solo determinadas autoridades públicas pueden acceder a ellos. La Directiva para facilitar el acceso a información financiera y de otro tipo amplía el objetivo del uso de la información de los mecanismos centrales a las infracciones penales graves y otorga el derecho de acceso a las autoridades competentes designadas a tal fin. Por último, los Estados miembros que operan los registros son los que determinan qué autoridades internas tienen acceso directo a los registros nacionales. Esto puede dar lugar a discrepancias, ya que es posible que ciertos tipos de autoridades tengan acceso en un Estado miembro, pero no en otro. En un intercambio transfronterizo a través del sistema de interconexión de toda la UE esto podría generar una situación en la que una autoridad solicite información al registro de otro Estado miembro donde una autoridad homóloga no pueda efectuar dicha búsqueda.

Una opción podría ser que las mismas autoridades, que tendrán acceso directo a los mecanismos centralizados de conformidad con la Directiva antiblanqueo y la Directiva para facilitar el acceso a información financiera y de otro tipo, puedan acceder a la plataforma de interconexión. Otra opción podría ser que todos los Estados miembros otorguen derechos de acceso al sistema de interconexión a los mismos tipos de autoridades, lo que podría conseguirse empleando una lista armonizada y cerrada al nivel de la UE en la que se especifiquen los tipos de autoridades en función del objetivo del acceso a la información.

Si la interconexión se extendiese a todas las autoridades que tienen acceso en virtud de las leyes nacionales en vigor, habría que elaborar disposiciones detalladas sobre las condiciones que deben cumplir las autoridades nacionales competentes para tener acceso y efectuar búsquedas. En este sentido, es importante poner de relieve que la Directiva para facilitar el acceso a información financiera y de otro tipo impone condiciones estrictas para que las autoridades competentes, designadas a nivel nacional, accedan a la información sobre cuentas bancarias que figura en los mecanismos automatizados centralizados y realicen búsquedas en ella. Entre dichas condiciones figuran, por ejemplo, que solo puedan acceder a los registros y los sistemas de consulta de datos las personas de cada autoridad competente específicamente designadas y autorizadas a tal fin. Otra medida para mitigar el riesgo que supone que las autoridades nacionales designadas cuenten con más derechos de acceso podría ser restringir el alcance de la información disponible en el sistema de interconexión al conjunto mínimo de información relacionada con el perfil de la cuenta, como estipula el artículo 32bis, apartado 3, de la Directiva antiblanqueo.

Con respecto al alcance, el artículo 32bis, apartado 3, de la Directiva antiblanqueo define la información que tienen que contener todos los sistemas centralizados, como datos sobre el titular de la cuenta, el número IBAN que identifique a cada cuenta bancaria e información sobre las cajas de seguridad que se encuentren en una entidad de crédito en el territorio nacional. No obstante, el artículo 32bis, apartado 4, contempla la posibilidad de que los Estados miembros incluyan en los registros otra información considerada esencial para el cumplimiento, por parte las unidades de inteligencia financiera y las autoridades competentes, de las obligaciones que les impone la Directiva. Desde el punto de vista de la protección de los datos personales, parece necesario restringir el alcance de la información a la que se puede acceder a través de la plataforma de interconexión al conjunto mínimo de información obligatorio que se estipula en el artículo 32bis, apartado 3, de la Directiva antiblanqueo. De conformidad con la normativa en materia de protección de datos, el acceso a datos personales debería ser proporcional a lo que sea necesario para alcanzar los objetivos previstos en la Directiva antiblanqueo. La Directiva adopta un planteamiento similar en lo que respecta al uso de información financiera y de otra índole. El artículo 4, apartado 2, de esta Directiva aclara que la información adicional que los Estados miembros incluyan en los mecanismos centralizados no estará accesible ni será consultable por las autoridades competentes.

3.2.Funcionalidad de búsqueda

Los criterios de búsqueda aplicables son imprescindibles para asegurar que la interconexión de los mecanismos automatizados centralizados aporte valor añadido a los usuarios. Los criterios de búsqueda deben diseñarse de tal modo que incrementen la capacidad de las autoridades pertinentes para desempeñar su función y acometer investigaciones de un modo más efectivo, al tiempo que se garantiza la proporcionalidad y se respetan los requisitos aplicables en materia de protección de datos.

Debe tenerse en cuenta qué personas estarán facultadas para efectuar la búsqueda (partes privadas o públicas) y qué datos puede esperarse que conozca o desconozca la persona que la lleve a cabo. Imponer el requisito de que la búsqueda contenga datos que la persona que realice la consulta probablemente desconozca podría provocar que búsquedas efectivas se compliquen o vuelvan imposibles. Cabe señalar igualmente que, en determinadas ocasiones, una unidad de inteligencia financiera o una autoridad policial o judicial de un Estado miembro desconocerá la fecha de nacimiento o el número de identificación nacional de un ciudadano de otro Estado miembro. Si la interconexión brinda acceso a esa información adicional en los sistemas centralizados, será importante determinar si también será posible efectuar búsquedas a partir de dichos datos.

Podría plantearse que los tipos de información que conforman el conjunto de información mínimo y armonizado previsto en el artículo 32bis, apartado 3, de la Directiva antiblanqueo se establezcan como criterios de búsqueda. De este modo, el sistema de interconexión se adecuaría a los propósitos originales de los mecanismos centralizados. Sería necesario establecer salvaguardias adicionales que permitan verificar las coincidencias (en particular cuando una búsqueda arroje varios resultados).

Las condiciones relativas a las modalidades de búsqueda aplicables son decisivas para que el uso de las bases de datos interconectadas sea efectivo. La opción de hacer «búsquedas aproximadas» —es decir, búsquedas que den resultados más amplios, aunque una palabra se haya escrito incorrectamente o esté incompleta—, aumentará el número de coincidencias, con lo que será más probable que se acceda a la información solicitada a través de la búsqueda. No obstante, esto podría plantear problemas en lo tocante a la protección de datos, ya que podría exponer datos personales que no formaban parte de la búsqueda. En cambio, la exigencia de que haya una «coincidencia exacta» mitiga el riesgo de que se expongan innecesariamente datos personales, pero el motor de búsqueda tendrá más probabilidades de pasar por alto la información solicitada (en el caso de que la entrada se haya escrito de una forma diferente o empleando unas normas de transliteración distintas).

La posibilidad de efectuar «búsquedas aproximadas» conllevaría un menor uso de los procedimientos automáticos de validación, con lo que se evitaría o reduciría el número de coincidencias erróneas, pero también disminuiría el valor operativo del sistema. En el caso de optar por las «búsquedas aproximadas», convendría valorar la posibilidad de utilizar otras herramientas que reduzcan el riesgo de que se realicen búsquedas aleatorias como sucede, por ejemplo, en IRI, que establece un límite máximo en el número de resultados que se muestran.

3.3.Estructura de gobernanza, responsabilidad en relación con el mantenimiento

En el caso de los sistemas BRIS, IRI, LRI y ECRIS, los distintos servicios de la Comisión Europea tienen la responsabilidad de mantener el sistema informático, lo que significa que tienen que garantizar la disponibilidad del componente de interconexión y que asumen los costes que supone establecerlo y mantenerlo. Por el momento, un consorcio de Estados miembros se encarga del mantenimiento de e-CODEX (el módulo eDelivery del Mecanismo «Conectar Europa» entra en el ámbito de competencia de la Comisión Europea). La responsabilidad de EUCARIS recae en los veintiocho Estados miembros y los terceros Estados participantes, mientras que el sistema EBOCS es propiedad de la Asociación de Registros Europeos de Empresas (EBRA). Puesto que estos sistemas informáticos interconectan bases de datos nacionales, los Estados miembros son los responsables de mantener dichas bases de datos y garantizar su disponibilidad.

En cuanto a la estructura de gobernanza de un sistema que interconecte bases de datos, las competencias decisorias en cuestiones políticas y operativas deben establecerse de un modo que sirva a los intereses de los componentes nacionales.

Por ejemplo, el Comité Director de BRIS actúa como el foro interno de la Comisión para la adopción de decisiones políticas, la supervisión y la gestión de dicho sistema, mientras que el Grupo de Expertos en Derecho de Sociedades – Registros de Empresas (CLEG-BRIS) es el foro que las partes implicadas emplean para colaborar a nivel político. Se observa una distinción similar entre las estructuras normativas y operativas de EUCARIS. En este caso, la Asamblea General, integrada por altos representantes de los organismos públicos, determina la política que debe seguirse, aprueba el presupuesto y las contribuciones anuales y dispone lo necesario para gestionar el sistema.

3.4.Responsabilidad relativa al tratamiento de los datos

La responsabilidad de mantener el sistema informático difiere de la responsabilidad desde la perspectiva de la protección de los datos. Conforme al Reglamento General de Protección de Datos 24 , el responsable del tratamiento es la persona física o jurídica que, sola o junto con otros, determina los fines y medios del tratamiento de datos personales y es la responsable del tratamiento de los datos personales. La cuestión de la responsabilidad del tratamiento es compleja y para evaluar a la persona que la ostenta deben tenerse en cuenta múltiples factores como, por ejemplo, quién almacena los datos y dónde lo hace.

En lo que respecta al sistema IRI, la plataforma de la UE solo interconecta las bases de datos nacionales descentralizadas. Todos los datos que figuran en la plataforma central no son más que «datos transitorios» que no se almacenan en el componente de la UE, como tampoco se guardan ni se conservan en el centro los archivos de las consultas realizadas por los usuarios a través del servicio web. La situación es ligeramente distinta en el caso de BRIS; que introdujo una función particular para almacenar los principales datos del perfil de las empresas en un componente central de la Comisión que los registros nacionales siguen actualizando periódicamente. La consulta inicial se efectúa en esta base de datos central que genera una lista de coincidencias con los nombres de las entidades. El solicitante puede obtener datos detallados sobre una entidad concreta seleccionando su nombre en la lista de coincidencias, lo que genera una interconexión directa con la información que figura en la base de datos nacional.

En cuanto a la posible interconexión de los mecanismos centralizados, debería estudiarse la posibilidad de desarrollar un sistema informático en el que el componente de enrutamiento central no almacene ningún dato personal y en el que todas las decisiones relativas a los medios y los fines del tratamiento de datos se adopten en el plano nacional. El objetivo del servicio de interconexión sería, simplemente, facilitar el tratamiento de datos en nombre de los mecanismos centralizados, que seguirían siendo los responsables del tratamiento de sus respectivos conjuntos de datos.

3.5.Costes de establecimiento y mantenimiento

Establecer un sistema que interconecte los mecanismos centrales nacionales generará costes tanto en términos de establecimiento como en términos de mantenimiento del sistema, los cuales tendrán que compartir la UE y sus Estados miembros. En el reparto de costes de los ejemplos tomados como modelo se observa, como norma general, que los costes asociados al componente de la UE (el componente de enrutamiento central, la plataforma de la UE) se financiaron con cargo al presupuesto general de la Unión, mientras que los Estados miembros sufragaron los costes necesarios para ajustar sus sistemas nacionales a fin de hacerlos interoperables con el sistema de interconexión de la UE. En el caso de BRIS, el desarrollo de la primera versión, que comenzó a funcionar en junio de 2017 e incluía la Plataforma Central Europea, costó alrededor de 1,7 millones EUR. En cuanto al sistema IRI, cuya arquitectura es más simple, el coste para desarrollar el sistema piloto central de búsqueda (IRI 1.0) ascendió a unos 280 000 EUR, mientras que la adaptación de la aplicación central de búsqueda necesaria para establecer IRI 2.0 costará alrededor de 170 000 EUR. En el caso de ECRIS, el despliegue de la «aplicación de referencia», que es el software usado para que los Estados miembros intercambien datos sobre los antecedentes penales, tuvo un coste de 2 050 000 EUR. El coste anual de mantenimiento del sistema ascendió a 150 000 EUR. Por otro lado, todos los países que participan en EUCARIS deben abonar una tarifa general de en torno a 20 000 EUR destinada a su mantenimiento.

De estas cifras se desprende que el coste de establecer y mantener un sistema de interconexión en toda la UE es relativamente bajo si se lo compara con los beneficios que dicho proyecto tiene para la Unión. Podría obtenerse una mayor rentabilidad reutilizando las capacidades existentes (como los puntos de acceso de eDelivery, los módulos del Mecanismo «Conectar Europa» o los vocabularios principales de la Dirección General de Informática de la Comisión Europea, entre otros elementos).

4.Especificaciones técnicas de los sistemas, incluida la seguridad de los datos

4.1.Red empleada y seguridad de los datos

El servicio Prüm de EUCARIS y ECRIS utiliza los Servicios transeuropeos de telemática entre administraciones (TESTA), una red privada completamente separada de la red pública de Internet. Los puntos de contacto nacionales designados tienen acceso a esta red privada. La Comisión dirige el servicio de red TESTA, que garantiza un buen rendimiento y un nivel elevado de seguridad. Es posible utilizar EUCARIS a través de la red pública de Internet, pero en la actualidad no se hace. Está conectada a todas las instituciones de la UE y las redes nacionales y su uso se prefiere en el contexto de la cooperación policial y judicial que conlleva el intercambio de información delicada. Las instituciones de la UE han desarrollado otras redes seguras, como la red común de comunicación/interfaz común de sistemas (CCN/CSI), que se emplea en el ámbito fiscal y de las políticas aduaneras.

BRIS, IRI, LRI y EBOCS emplean la red pública de Internet (con una tecnología de cifrado adecuada para los datos que fluyen a través de la web). A la hora de intercambiar información de manera segura a través de la red pública de Internet, el módulo eDelivery permite a las empresas y las administraciones públicas intercambiar datos electrónicos y documentos en formato digital de un modo interoperable, seguro, fiable y de confianza con otras organizaciones. Esto está en consonancia con la definición de los servicios de entrega electrónica certificada (conocidos como «ERDS») que figura en el artículo 3, apartado 36 del Reglamento eIDAS 25 . 

Podría contemplarse el uso de TESTA para la posible interconexión de los sistemas centralizados, que presumiblemente contiene información delicada, aunque también podrían valorarse soluciones que impliquen el uso de la red pública de Internet. Casi todos los sistemas centralizados nacionales emplean la red pública de Internet. Desde el punto de vista de la seguridad y la integridad de los datos, el hecho de que el sistema estará compuesto por bases de datos descentralizadas mitigará los posibles riesgos, dado que la descentralización y las tecnologías distribuidas son per se más resilientes a los ataques informáticos, pues con ellas resulta mucho más difícil dañar datos a escala general y se facilita enormemente la recuperación de datos después de incidentes.

4.2.Componente de enrutamiento central

Los sistemas informáticos pueden presentar dos tipos de arquitecturas principales: pueden ser sistemas puramente descentralizados o pueden contar con una plataforma central o un componente de enrutamiento desplegado a nivel de la UE que funcione como «conector» entre las bases de datos nacionales descentralizadas.

En los «sistemas puramente distribuidos», no existe una plataforma o componente de la UE, sino que todos los países se comunican directamente entre sí con la ayuda de unas normas establecidas de común acuerdo, lo que permite el intercambio directo entre homólogos entre los puntos conectados de los Estados miembros. Por tanto, cuando se lanza una consulta, esta se transmite individualmente a los sistemas nacionales de los demás países, y las respuestas recibidas se recopilan y muestran a través de la interfaz del cliente web del solicitante. EUCARIS, ECRIS y e-CODEX emplean esta tecnología utilizando una aplicación desarrollada conjuntamente.

Los «sistemas distribuidos con un componente de enrutamiento central» cuentan con una plataforma centralizada a nivel de la UE: un servicio web único y central que se mantiene y opera a nivel de la UE y está conectado a todos los sistemas nacionales. Los usuarios realizan consultas a través del servicio web central, que recaba la información de las bases de datos nacionales. BRIS, EBOCS e IRI usan esta tecnología 26 .

Una solución con un componente de enrutamiento central podría ser más fácil de llevar a la práctica desde el punto de vista de la conectividad. Cuando solo hay una plataforma, cada Estado miembro únicamente debe establecer y mantener una conexión entre el sistema nacional y esta plataforma centralizada. Sin embargo, en ausencia de una «verdadera» plataforma centralizada, cada Estado miembro tendrá que establecer, probar y mantener conexiones con todos los demás sistemas nacionales de los Estados miembros (por ejemplo, en la actualidad el servicio Prüm de EUCARIS cuenta con cerca de 756 conexiones). Un sistema puramente distribuido debe hacer frente a las dificultades derivadas del mayor número de conexiones, que podría aumentar los problemas en términos de gestión, control y auditoría. No obstante, existen soluciones tecnológicas para el desafío que supone gestionar un gran número de posibles conexiones. Al mismo tiempo, conviene tener debidamente en cuenta el hecho de que, en un sistema de enrutamiento central, el componente central podría convertirse en un único punto de error para todo el sistema.

4.3.Protocolo para el intercambio de datos

Los sistemas BRIS y e-CODEX se sirven del módulo eDelivery del Mecanismo «Conectar Europa», mientras que IRI 2.0 empleará tanto eDelivery como el protocolo de comunicación SOAP 27 . El servicio Prüm de EUCARIS y el sistema EBOCS utilizan interfaces basadas en SOAP. El LRI aplica los servicios web RESTful 28 .

El módulo eDelivery del Mecanismo «Conectar Europa» ayuda a los usuarios a intercambiar datos electrónicos de un modo seguro, fiable y de confianza. Esta solución se basa en un modelo descentralizado llamado el «modelo de cuatro esquinas», en el que los sistemas secundarios de los usuarios no intercambian los datos directamente entre sí, sino a través de puntos de acceso. Los puntos de acceso cumplen las mismas especificaciones técnicas, por lo que son capaces de comunicarse entre sí. Otra ventaja de eDelivery es que garantiza la seguridad de los datos intercambiados entre los distintos puntos de acceso sin necesidad de un desarrollo a medida. En consecuencia, los usuarios que adoptan el módulo eDelivery del Mecanismo «Conectar Europa» pueden intercambiar datos de una manera fácil y segura aun cuando sus sistemas informáticos se hayan desarrollado independientemente unos de otros. También es posible centralizar las diversas funcionalidades del modelo eDelivery —muy útil para establecer una interconexión con múltiples sistemas secundarios—. Si recurriesen a esta solución tecnológica, los Estados miembros (y, opcionalmente, la Comisión en el caso de que exista un componente de enrutamiento central) tendrían que desplegar una pasarela de eDelivery a su respectivo nivel. Pueden reutilizar las pasarelas existentes desarrolladas para otros servicios (lo que contribuye a la rentabilidad de la solución). La Dirección General de Informática de la Comisión Europea ha desarrollado una solución de software compatible que se ofrece de forma gratuita bajo una Licencia Pública de la Unión Europea (EUPL). Sin embargo, por lo general requiere cierto grado de adaptación y desarrollo. El modelo eDelivery se basa en una comunicación asíncrona que implícitamente genera ciertas latencias de funcionamiento (normalmente de entre tres y diez segundos). Existe una política general de la UE relativa a los módulos del Mecanismo «Conectar Europa» cuyo objetivo es lograr la convergencia de los distintos sistemas desarrollados en los diversos ámbitos políticos de la Unión.

Cuando se utiliza SOAP síncrono —que permite la comunicación por medio de una capa segura—, se suele elegir una arquitectura más simple con el fin de obtener el mejor rendimiento posible. El estilo arquitectónico de RESTful constituye una nueva solución frente a SOAP y está surgiendo la tendencia de sustituir a SOAP por la tecnología REST. Tanto en las metodologías basadas en eDelivery como en las que se basan en SOAP o REST, la confianza suele fundamentarse en un certificado digital y se realizan distintas comprobaciones.

Con respecto a la futura interconexión de los mecanismos centralizados, cabe señalar que se emplea el módulo eDelivery del Mecanismo «Conectar Europa» cuando se producen intercambios bilaterales entre las bases de datos nacionales descentralizadas, mientras que la interfaz basada en SOAP (o RESTful) es suficiente en aquellos sistemas en que la comunicación se produce exclusivamente entre una base de datos nacional y la plataforma central.

4.4.Funcionamiento en un entorno multilingüe e interoperabilidad semántica

Además de EBOCS, que en la actualidad opera en tres idiomas y se prevé que lo hará en todas las lenguas a largo plazo, todos los sistemas evaluados operan en un entorno multilingüe. En el caso de BRIS, la transliteración se efectúa a nivel de la UE, mientras que en el de IRI, LRI y EUCARIS se realiza a nivel nacional. En cuanto a la interoperabilidad semántica (glosarios), para la futura interconexión de los mecanismos centralizados no se precisa un vocabulario específico, ya que el conjunto mínimo de información no lo integran conceptos nacionales, sino datos personales como el nombre, un identificador único (por ejemplo, los números de identificación nacional) y el número de IBAN. Es necesario que todos los sistemas tengan una visión común, en especial porque los mecanismos nacionales centralizados no disponen de información relativa a entidades de la UE y de terceros países. Las normas de transliteración del Sistema de Información de Schengen (SIS) podrían constituir un ejemplo útil en este contexto.

Con arreglo al Marco Europeo de Interoperabilidad (EIF), el aspecto semántico se refiere al significado de los elementos de datos y la relación entre ellos. Incluye la creación de vocabularios y esquemas para describir los intercambios de datos y garantiza que todas las partes que se comunican entienden de la misma manera los elementos de datos.

El sistema destinado a interconectar los registros bancarios tendrá que intercambiar datos entre distintas bases de datos, cada una de las cuales tendrá sus propios modelos de datos y normas semánticas. Deberán establecerse normas semánticas comunes, bien de forma nativa en los sistemas o como capa de asignación entre las distintas normas de cada Estado miembro. No obstante, antes de crear una nueva norma semántica conviene valorar la posibilidad de reutilizar las normas existentes.

Los Core Vocabularies (Business, Location y Person, entre otros) creados por el programa ISA2 son modelos de datos simplificados, reutilizables y ampliables que pueden destinarse a este fin. Las distintas soluciones propuestas para interconectar registros de base, como el sistema BRIS, ya reutilizan algunas de estas normas (por ejemplo, el Core Business Vocabulary).

5.Próximas etapas

El presente informe expone varios elementos que deben tenerse en cuenta a la hora de plantear la posible interconexión de los registros de cuentas bancarias y los sistemas de consulta de datos, y muestra que la interconexión de dichos mecanismos centralizados es viable desde el punto de vista técnico. Dicho sistema podría ser un sistema descentralizado con una plataforma común a nivel de la UE. Podría aprovecharse la tecnología que la Comisión Europea ya ha desarrollado en el contexto de los distintos modelos analizados.

Durante los últimos años, diversos sistemas han reutilizado módulos comunes. Dichos módulos son, básicamente, un conjunto de normas y especificaciones técnicas conocidas que pueden aplicarse a retos recurrentes como el intercambio seguro de información. La actual política digital de la Comisión propone recurrir sistemáticamente a estos módulos, algo a lo que los Estados miembros se han comprometido en la Declaración de Tallin sobre administración electrónica 29 . La futura interconexión de los mecanismos automatizados centralizados nacionales podría aprovechar los mismos módulos para acelerar su creación y su adecuación a los reglamentos de la UE pertinentes, como el Reglamento eIDAS.

Dado que la futura interconexión en toda la UE de los mecanismos centralizados aceleraría el acceso a información financiera y facilitaría la cooperación transfronteriza de las autoridades competentes, la Comisión tiene previsto celebrar más consultas con las partes interesadas pertinentes, los gobiernos, las unidades de inteligencia financiera, las autoridades policiales y judiciales y los organismos de recuperación de activos como «usuarios finales» potenciales de un posible sistema de interconexión.

(1)

Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo, de 20 de mayo de 2015, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo, y por la que se modifica el Reglamento (UE) n.º 648/2012 del Parlamento Europeo y del Consejo, y se derogan la Directiva 2005/60/CE del Parlamento Europeo y del Consejo y la Directiva 2006/70/CE de la Comisión (DO L 141 de5.6.2015, p. 73).

(2)

Directiva (UE) 2019/1153 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, por la que se establecen normas destinadas a facilitar el uso de información financiera y de otro tipo para la prevención, detección, investigación o enjuiciamiento de infracciones penales (DO L 186 de 11.7.2019, pp. 122-137).

(3)

 Informe de la Comisión al Parlamento Europeo y al Consejo sobre la evaluación de los riesgos de blanqueo de capitales y financiación del terrorismo que afectan al mercado interior y están relacionados con actividades transfronterizas [COM(2019) 370].

(4)

Informe de la Comisión al Parlamento Europeo y el Consejo en el que se evalúa el marco de cooperación entre las unidades de inteligencia financiera [COM(2019) 371].

(5)

Informe de la Comisión al Parlamento Europeo y el Consejo sobre la evaluación de los recientes casos de presunto blanqueo de capitales con la implicación de instituciones de crédito de la UE [COM(2019) 373].

(6)

 La información que figura en el presente apartado se basa en las respuestas proporcionadas por los Estados miembros en un cuestionario específico que recibieron en marzo de 2019, en la información recabada en el taller de transposición organizado por la Comisión el 1 de abril de 2019 y en el anexo 7 de la Evaluación de Impacto que acompaña a la Propuesta de Directiva del Parlamento Europeo y del Consejo por la que se establecen normas destinadas a facilitar el uso de información financiera y de otros tipos para la prevención, detección, investigación o enjuiciamiento de determinados delitos y por la que se deroga la Decisión 2000/642/JAI del Consejo [SWD(2018) 114 final].

(7)

Bélgica, Bulgaria, Chequia, Alemania, Grecia, España, Francia, Croacia, Italia, Letonia, Lituania, Austria, Portugal, Rumanía, Eslovenia. Si bien Eslovaquia cuenta con un sistema centralizado electrónico de consulta de datos, en la actualidad solo pueden acceder a él agentes judiciales.

(8)

Finlandia seleccionó ambas opciones, ya que pronto instaurará un sistema que emplea las dos soluciones. Un registro central recopila y contiene la información pertinente en una base de datos central, mientras que el sistema central electrónico de consulta de datos está integrado por un portal informático central que recupera información de diversas bases de datos subyacentes (mantenidas, por ejemplo, por las instituciones financieras).

(9)

Conforme a las respuestas proporcionadas por los Estados miembros, dicha información podría incluir datos sobre los contratos financieros concertados por el titular de la cuenta o sobre las transacciones efectuadas en relación con ella.

(10)

Los sistemas informáticos centralizados con bases de datos únicas a nivel de la UE, como el Sistema de Información de Schengen o el Sistema de Información de Visados, no se incluyen en la evaluación porque son incompatibles con la preexistencia de bases de datos nacionales centralizadas.

(11)

Decisión Marco 2008/315/JAI del Consejo, de 26 de febrero de 2009, relativa a la organización y al contenido del intercambio de información de los registros de antecedentes penales entre los Estados miembros y Decisión 2009/316/JAI del Consejo, de 6 de abril de 2009, por la que se establece el Sistema Europeo de Información de Antecedentes Penales (ECRIS) en aplicación del artículo 11 de la Decisión Marco 2009/315/JAI, en la actualidad modificada por la Directiva (UE) 2019/884 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, en lo que respecta al intercambio de información sobre nacionales de terceros países y al Sistema Europeo de Información de Antecedentes Penales (ECRIS).

(12)

En abril de 2019, se adoptó un nuevo marco legislativo con el fin de complementar el sistema ECRIS con un mecanismo que permita el intercambio eficiente de información sobre los antecedentes penales de nacionales de terceros países condenados en el territorio de la UE. El sistema centralizado para la identificación de los Estados miembros que poseen información sobre condenas de nacionales de terceros países y apátridas a fin de complementar y apoyar el Sistema Europeo de Información de Antecedentes Penales (ECRIS-TCN) será un sistema centralizado de coincidencia/no coincidencia que únicamente contendrá información sobre la identidad de los nacionales de terceros países condenados e indicará el Estado miembro donde dicha persona fue condenada. Cuando se produzca una coincidencia, el Estado miembro solicitante tendrá que pedir, a través del sistema ECRIS existente, la información relativa a la condena al Estado o los Estados miembros que indique el ECRIS-TCN.

(13)

Los fundamentos jurídicos del servicio Prüm son la -    Decisión 2008/615/JAI del Consejo, de 23 de junio de 2008, sobre la profundización de la cooperación transfronteriza, en particular en materia de lucha contra el terrorismo y la delincuencia transfronteriza y la Decisión 2008/616/JAI del Consejo relativa a la ejecución de la Decisión 2008/615/JAI.

(14)

https://beta.e-justice.europa.eu/246/EN/bankruptcy_amp_insolvency_registers__search_for_insolvent_firms_in_the_eu

(15)

El proyecto piloto se aplicó sobre la base del Plan de acción plurianual 2009-2013 relativo a la justicia en red europea (DO C 75 de 31.3.2009, pp. 1-12) y del Plan de acción plurianual 2014-2018 relativo a la justicia en red europea (DO C 182 de 14.6.2014, pp. 2-13) y se ejecutó con arreglo a ellos.

(16)

En la actualidad participan Chequia, Alemania, Estonia, Italia, Letonia, los Países Bajos, Austria, Rumanía y Eslovenia.

(17)

  https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/eDelivery.

(18)

Directiva 2012/17/UE del Parlamento Europeo y del Consejo, de 13 de junio de 2012, por la que se modifican la Directiva 89/666/CEE del Consejo y las Directivas 2005/56/CE y 2009/101/CE del Parlamento Europeo y del Consejo, en lo que respecta a la interconexión de los registros centrales, mercantiles y de sociedades (DO L 156 de 16.6.2012).

(19)

La interconexión carece de fundamento jurídico, pero funciona como un sistema voluntario al que los Estados miembros pueden adherirse si lo desean.

(20)

El sistema e-CODEX consiste en un paquete de productos de software (el módulo eDelivery del Mecanismo «Conectar Europa» y el conector de e-CODEX) que puede emplearse para establecer un punto de acceso a nivel nacional que asegure dicha comunicación segura. Este sistema no interconecta bases de datos o registros nacionales, sino que es una infraestructura de comunicación que garantiza la comunicación y el intercambio de información seguros entre los sistemas informáticos nacionales. Como tal, se considera pertinente para su inclusión en la evaluación del presente informe. Veintiún Estados miembros desarrollaron e-CODEX entre 2010 y 2016 con la participación de otros países/territorios y organizaciones.

(21)

Establecido con arreglo a las conclusiones del Consejo del 9 de junio de 2016 relativas a la mejora de la justicia penal en el ciberespacio.

(22)

Si bien varias autoridades pueden acceder a EUCARIS, el servicio Prüm regula el acceso a este sistema por parte de las autoridades policiales y judiciales.

(23)

* Todavía no está operativo.

(24)

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016).

(25)

Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (DO L 257 de 28.8.2014, pp. 73-114).

(26)

Existen alternativas al componente central. Por ejemplo, el Editor de Metadatos de Servicios del módulo eDelivery del Mecanismo «Conectar Europa» permite que los participantes en una infraestructura de mensajería descubran las capacidades (jurídicas, organizativas y técnicas) de los demás de forma dinámica. Como la arquitectura está descentralizada, cada participante debe poseer un identificador único. Un componente central, llamado Localizador de Metadatos de Servicio, emplea estos identificadores para crear URL que, una vez resueltas, dirigen a los puntos de acceso de eDelivery a la información específica sobre el participante.

(27)

 Protocolo Simple de Acceso a Objetos (Simple Object Access Protocol).

(28)

La transferencia de estado representacional es un estilo de arquitectura de software que define una serie de restricciones que deben usarse en la creación de servicios web.

(29)

Todos los Estados miembros de la Unión Europea y los países de la Asociación Europea de Libre Comercio (AELC) firmaron la Declaración de Tallin sobre administración electrónica el 6 de octubre de 2017. El texto de la Declaración puede consultarse en http://ec.europa.eu/newsroom/document.cfm?doc_id=47559  

Top