Accept Refuse

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52010XX1229(03)

Dictamen del Supervisor Europeo de Protección de Datos sobre la Comunicación de la Comisión al Consejo y al Parlamento Europeo — «Panorama general de la gestión de la información en el espacio de libertad, seguridad y justicia»

OJ C 355, 29.12.2010, p. 16–23 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

29.12.2010   

ES

Diario Oficial de la Unión Europea

C 355/16


Dictamen del Supervisor Europeo de Protección de Datos sobre la Comunicación de la Comisión al Consejo y al Parlamento Europeo — «Panorama general de la gestión de la información en el espacio de libertad, seguridad y justicia»

2010/C 355/03

EL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS,

Visto el Tratado de Funcionamiento de la Unión Europea y, en particular, su artículo 16,

Vista la Carta de los Derechos Fundamentales de la Unión Europea y, en particular, su artículo 8,

Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1),

Vista la solicitud de dictamen, de conformidad con el Reglamento (CE) no 45/2001 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (2), en particular su artículo 41.

HA ADOPTADO EL SIGUIENTE DICTAMEN

I.   INTRODUCCIÓN

1.

El 20 de julio de 2010, la Comisión adoptó una Comunicación que lleva por título «Panorama general de la gestión de la información en el espacio de libertad, seguridad y justicia» (en adelante, la «Comunicación») (3) que fue remitida al SEPD para consulta.

2.

El SEPD se muestra satisfecho por haber sido consultado por la Comisión. Ya antes de que se adoptara la Comunicación, se le dio al SEPD la posibilidad de hacer comentarios informales. Muchos de estos comentarios se han tenido en cuenta en la versión final del documento.

Objetivos y alcance de la Comunicación

3.

El SEPD acoge con satisfacción el objetivo de la comunicación que consiste en presentar «por primera vez, un panorama completo de las medidas en vigor, en aplicación o en preparación en la UE para regular la recogida, el almacenamiento o el intercambio transfronterizo de información personal con fines represivos o de gestión de la migración» (4). El objetivo del documento es también presentar a los ciudadanos un panorama general de la información que se recoge, se almacena o intercambia sobre ellos, para qué y por quién. Además, según la Comisión, la Comunicación debería ser también una herramienta de referencia transparente para los interesados que deseen debatir sobre la futura dirección de la política de la UE en este ámbito. Por consiguiente, debería contribuir a un diálogo político informado con todos los interesados.

4.

En concreto, la Comunicación menciona que su propósito es aclarar el objetivo principal de los instrumentos, su estructura, los tipos de datos personales que cubre, «la lista de autoridades que tienen acceso a tales datos» (5) y las disposiciones que regulan la protección y la conservación de datos. Además, el anexo I recoge algunos ejemplos para ilustrar el funcionamiento práctico de estos instrumentos.

5.

Por otra parte, el documento recoge los amplios principios («Principios sustantivos» y «Principios orientados hacia el proceso») que la Comisión pretende seguir en el desarrollo futuro de instrumentos para la recogida, el almacenamiento o el intercambio de datos. Bajo «Principios sustantivos», la Comunicación enumera principios como salvaguardar los derechos fundamentales, en particular el derecho a la intimidad y a la protección de datos, la necesidad, la subsidiariedad y la gestión precisa del riesgo. Los «Principios orientados hacia el proceso» incluyen la rentabilidad, el diseño de la política desde la base, la asignación clara de responsabilidades y las cláusulas de revisión y extinción.

6.

Según la Comunicación, estos principios se usarán al evaluar los instrumentos existentes. Al adoptar este enfoque de desarrollo y evaluación de las políticas, basado en una serie de principios, en opinión de la Comisión, se mejorará la coherencia y eficacia de los instrumentos actuales y futuros de forma que se respeten plenamente los derechos fundamentales de los ciudadanos.

Objetivo el Dictamen del SEPD

7.

El SEPD observa que la Comunicación es un documento importante que presenta un panorama completo de los instrumentos existentes y (eventuales) instrumentos futuros para el intercambio de información en el espacio de libertad, seguridad y justicia. Contiene el desarrollo de los capítulos 4.2.2 (Gestionar el flujo de información) y 5.1 (Gestión integrada de las fronteras exteriores) del Programa de Estocolmo (6). Desempeñará un papel importante en el desarrollo futuro de este espacio. Por este motivo, el SEPD considera útil comentar los diferentes elementos de la Comunicación, a pesar de que el texto de la propia Comunicación no se modificará.

8.

El SEPD pretende proporcionar algunos conceptos adicionales que, en su opinión, deben tenerse en cuenta en el desarrollo del espacio de libertad, seguridad y justicia. Este dictamen detalla algunos conceptos presentados anteriormente en el Dictamen del SEPD de 10 de julio de 2009 sobre la Comunicación de la Comisión relativa a un espacio de libertad, seguridad y justicia al servicio de los ciudadanos (7), así como en algunos otros dictámenes y comentarios. También desarrolla las opiniones presentadas en ocasiones anteriores. En este contexto, también debería hacerse referencia al Informe sobre el Futuro de la Privacidad, adoptado el 1 de diciembre de 2009 por el Grupo de Trabajo del artículo 29 y el Grupo de Trabajo sobre Policía y Justicia. Este informe, que constituye una contribución conjunta a la consulta de la Comisión Europea sobre el marco jurídico para los derechos fundamentales a la protección de datos personales, y cuenta con el apoyo del SEPD, proporciona directrices importantes en cuanto al futuro de la protección de datos, aplicables también al intercambio de información en el ámbito de la cooperación policial y judicial en asuntos penales.

Contexto del dictamen

9.

El SEPD acoge con satisfacción la Comunicación, que responde al llamamiento del Consejo Europeo (8) para que se desarrollen instrumentos de gestión de la información a escala europea, de acuerdo con una Estrategia de Gestión de la Información de la UE, y se reflexione sobre un Modelo europeo para el intercambio de información.

10.

Además, el SEPD observa que la Comunicación también debería interpretarse como respuesta al Programa de Estocolmo, mencionado anteriormente, que hace un llamamiento a la coherencia y la consolidación en el desarrollo del intercambio de información en el ámbito de la seguridad interior de la UE. Más concretamente, el capítulo 4.2.2 del Programa de Estocolmo invita a la Comisión Europea a evaluar la necesidad de crear un Modelo europeo para el intercambio de información, basado en la evaluación de los instrumentos actualmente existentes, incluido el marco de Prüm y la llamada Decisión marco sueca. Estas evaluaciones permitirían determinar si dichos instrumentos funcionan según lo previsto inicialmente y si se adecuan a los objetivos de la Estrategia de gestión de la información.

11.

En este contexto, cabe destacar el hecho de que el Programa de Estocolmo se refiere a un sistema sólido de gestión de datos como principal requisito previo para la Estrategia de Gestión de la Información de la UE. Esta firme insistencia en la protección de datos está plenamente en consonancia con el Tratado de Lisboa que, como se ha mencionado anteriormente, recoge una disposición general sobre protección de datos que otorga a toda persona —incluidos los nacionales de terceros países— un derecho a la protección de datos exigible ante un juez y obliga al Consejo y al Parlamento Europeo a establecer un marco global de protección de datos.

12.

El SEPD también apoya el requisito de la Estrategia de Gestión de la Información de que toda nueva medida legislativa que facilite el almacenamiento e intercambio de datos personales sólo debería proponerse si se basa en una evidencia concreta de su necesidad. El SEPD ha defendido este enfoque en varios dictámenes sobre propuestas legislativas relativas al espacio de libertad, seguridad y justicia, como por ejemplo sobre el SIS de segunda generación (9), sobre el acceso de las fuerzas de seguridad a Eurodac (10), sobre la revisión de Eurodac y sobre el Reglamento de Dublín (11), sobre la Comunicación de la Comisión relativa al Programa de Estocolmo (12) y sobre el PNR (13).

13.

En efecto, la necesidad de evaluar todos los instrumentos existentes para el intercambio de información antes de proponer instrumentos nuevos tiene una importancia fundamental. Esto es todavía más importante si se considera el hecho de que el marco actual está compuesto por diferentes instrumentos y sistemas, algunos de los cuales sólo se han implementado recientemente de manera que no se ha podido evaluar todavía su eficacia, otros están en proceso de implementación y algunos nuevos se encuentran todavía en fase de proyecto legislativo.

14.

Por este motivo, el SEPD observa con satisfacción que la Comunicación establece un vínculo claro con otros ejercicios lanzados por la Comisión con el fin de hacer balance y evaluar este ámbito, dando continuidad al Programa de Estocolmo.

15.

En este contexto, el SEPD acoge con especial satisfacción un ejercicio de «cartografía de la información» iniciado por la Comisión en enero de 2010 y realizado en estrecha cooperación con un Equipo para el proyecto de cartografía de la información compuesto por representantes de los Estados miembros de la UE y la AELC, Europol, Eurojust, Frontex y el SEPD (14). Como se menciona en la Comunicación, la intención es presentar al Consejo y al Parlamento Europeo los resultados de este ejercicio de «cartografía de la información» en 2010. Como siguiente paso, también se pretende presentar una comunicación sobre el Modelo europeo para el intercambio de información.

16.

El SEPD acoge muy favorablemente que se establezca un vínculo claro entre la Comunicación y el ejercicio de «cartografía de la información», ya que ambos están claramente interrelacionados. Obviamente, todavía es pronto para evaluar cuál será el resultado de estos ejercicios y, de manera más general, de las discusiones acerca del Modelo europeo para el intercambio de información (de momento, la Comisión sólo ha presentado el «ejercicio de cartografía» como un «ejercicio para hacer balance de la situación»). El SEPD no dejará de seguir este trabajo. Además, ya en esta fase, llama la atención sobre la necesidad de establecer sinergias y evitar conclusiones divergentes de todos los ejercicios emprendidos por la Comisión en el contexto de las discusiones acerca del Modelo europeo para el intercambio de información.

17.

Por otra parte, el SEPD querría referirse a la revisión en curso del marco de protección de datos y, más en concreto, a la intención de la Comisión de presentar un marco global para la protección de datos, incluyendo asuntos relativos a la cooperación policial y judicial.

18.

A este respecto, el SEPD observa que la Comunicación se refiere —bajo el epígrafe «Salvaguardar los derechos fundamentales, en particular el derecho a la intimidad y a la protección de datos»— al artículo 16 del Tratado de Funcionamiento de la Unión Europea (TFUE) que establece una base jurídica para trabajar en dicho marco global de protección de datos. También observa, en este contexto, que la Comunicación menciona que no analiza en detalle las disposiciones de protección de datos de los instrumentos sometidos a debate, ya que la Comisión está realizando actualmente, sobre la base del artículo 16 antes mencionado, un ejercicio sobre un nuevo marco global para la protección de datos personales en la UE. El SEPD espera que, en este contexto, se ofrezca un buen panorama general de los marcos de protección de datos existentes y posiblemente divergentes y que, para seguir tomando decisiones, la Comisión se base en este panorama general.

19.

Por último, sin que sea por ello menos importante, si bien el SEPD se muestra satisfecho por los objetivos y el contenido fundamental de la Comunicación, también llama la atención sobre el hecho de que este documento debería considerarse únicamente un primer paso en el proceso de evaluación, y que debería ir seguido de más medidas concretas, cuyo resultado debería ser una política global, integrada y bien estructurada de la UE sobre gestión e intercambio de información.

II.   ANÁLISIS DE CUESTIONES CONCRETAS QUE CUBRE LA COMUNICACIÓN

Limitación de la finalidad

20.

En el texto de la Comunicación, la Comisión se refiere a la limitación de la finalidad como «una consideración clave de la mayoría de los instrumentos que cubre la presente comunicación».

21.

El SEPD se congratula de que la Comunicación haga hincapié en el principio de limitación de la finalidad, que requiere que la finalidad con la que se recogen datos personales esté claramente especificada antes del momento de la recogida de datos, y que los datos no sean tratados con finalidades incompatibles con la finalidad inicial. Toda desviación del principio de limitación de la finalidad debería constituir una excepción y sólo debería implementarse bajo condiciones estrictas y con las necesarias salvaguardias legales, técnicas y de otra índole.

22.

Sin embargo, el SEPD lamenta que la Comunicación describa este principio fundamental de protección de datos como una consideración clave sólo «de la mayoría de los instrumentos que cubre la presente comunicación». Además, en la página 22, la Comunicación se refiere al SIS, al SIS II y al VIS y menciona que «con excepción de estos sistemas de información centralizados, la finalidad limitada es un factor central a la hora de diseñar las medidas de gestión de la información a nivel de la UE».

23.

Podría interpretarse que esta formulación sugiere que dicho principio no ha sido una consideración clave en todos los casos y para todos los sistemas e instrumentos en relación con el intercambio de información en la UE. A este respecto, el SEPD observa que las excepciones y restricciones a este principio son posibles y pueden ser necesarias, como se reconoce en el artículo 13 de la Directiva 95/46/CE y en el artículo 3, apartado 2, de la Decisión marco 2008/977/JAI (15). Sin embargo, es preceptivo asegurar que todo nuevo instrumento en relación con el intercambio de información en la UE se proponga y se adopte sólo si se ha considerado debidamente el principio de limitación de la finalidad, y que toda posible excepción y restricción a este principio se decida caso a caso y tras una evaluación rigurosa. Estas consideraciones también son relevantes en el caso del SIS, del SIS II y del VIS.

24.

Cualquier otra práctica vulneraría el artículo 8 de la Carta de los Derechos Fundamentales de la UE y la normativa de la UE en materia de protección de datos [por ejemplo, la Directiva 95/46/CE, el Reglamento (CE) no 45/2001 o la Decisión marco 2008/977/JAI], así como la jurisprudencia del Tribunal Europeo de Derechos Humanos. La inobservancia del principio de limitación de la finalidad podría también dar lugar a la llamada «deriva funcional» de estos sistemas (16).

Necesidad y proporcionalidad

25.

En la página 29, la Comunicación se refiere a las condiciones establecidas por la jurisprudencia del Tribunal Europeo de Derechos Humanos en relación con el «examen de proporcionalidad» y dispone que: «En todas las propuestas políticas futuras, la Comisión evaluará el impacto que se espera pueda producir la iniciativa sobre el derecho de las personas a la intimidad y a la protección de los datos personales y expondrá por qué ese impacto es necesario y por qué la solución propuesta guarda proporción con el fin legítimo de mantener la seguridad interior de la Unión Europea, prevenir delitos o gestionar la migración».

26.

El SEPD se muestra satisfecho por las disposiciones antes referidas ya que él también viene insistiendo en el hecho de que el respeto de la proporcionalidad y la necesidad debe prevalecer a la hora de tomar cualquier decisión respecto a los sistemas existentes y a los nuevos sistemas que impliquen la recogida y el intercambio de datos personales. Mirando al futuro, también resulta esencial para la actual reflexión sobre cómo deberían conformarse la Estrategia de gestión de la información de la UE y el Modelo europeo para el intercambio de información.

27.

En este contexto, el SEPD se congratula por el hecho de que, a diferencia de la formulación empleada por la Comisión al referirse al principio de limitación de la finalidad (véanse los apartados 20-22 de este dictamen), en relación con la necesidad, la Comisión se compromete a evaluar todas las propuestas políticas futuras en términos de su impacto sobre el derecho de las personas a la intimidad y sobre los datos personales.

28.

Una vez dicho esto, el SEPD llama la atención sobre el hecho de que todos estos requisitos en relación con la proporcionalidad y la necesidad se desprenden del derecho comunitario vigente (en particular la Carta de los Derechos Fundamentales, que forma parte ahora del derecho primario de la UE) y la jurisprudencia consolidada del Tribunal Europeo de Derechos Humanos. Dicho de otro modo, la Comunicación no aporta ningún elemento nuevo. En opinión del SEPD, en lugar de limitarse a repetir estos requisitos, la Comunicación debería establecer medidas y mecanismos concretos destinados a asegurar que los principios de necesidad y proporcionalidad se respetan y se implementan en la práctica en todas las propuestas que tengan un impacto sobre los derechos de las personas. La evaluación de impacto sobre la intimidad, que se discute en los apartados 38-41, podría ser un buen instrumento para alcanzar este objetivo. Además, esta evaluación debería cubrir no sólo las nuevas propuestas, sino también los sistemas y mecanismos existentes.

29.

Por otra parte, el SEPD también quiere aprovechar esta oportunidad para hacer hincapié en que, a la hora de considerar la proporcionalidad y la necesidad en la Estrategia de gestión de la información de la UE, debe insistirse en la necesidad de un equilibrio adecuado entre la protección de datos, por una parte, y la represión, por otra parte. Este equilibrio no significa que la protección de datos pueda obstaculizar el uso de información necesaria para aclarar un delito. Toda información necesaria para este fin puede usarse, de conformidad con la normativa sobre protección de datos (17).

Una evaluación objetiva y completa también debería revelar deficiencias y problemas

30.

El Programa de Estocolmo también exige una evaluación objetiva y completa de todos los instrumentos y sistemas relacionados con el intercambio de información en la Unión Europea. Evidentemente, el SEPD apoya plenamente este enfoque.

31.

Sin embargo, en este aspecto, la Comunicación no parece totalmente equilibrada. Parece dar prioridad, al menos por lo que respecta a cifras y estadísticas, a los instrumentos que han demostrado tener éxito con los años y que se consideran «casos de éxito» (por ejemplo, número de respuestas positivas en el SIS y Eurodac). El SEPD no cuestiona el éxito global de estos sistemas. Sin embargo, a modo de ejemplo, menciona que los informes de actividad de la Autoridad de Control Común del SIS (18) ponen de manifiesto que, en un número no despreciable de casos, las alertas del SIS no estaban actualizadas, estaban mal escritas o eran incorrectas, lo que generó (o podría haber generado) consecuencias negativas para las personas afectadas. La Comunicación no recoge esta información.

32.

El SEPD recomendaría a la Comisión que considere de nuevo el enfoque adoptado en la Comunicación. El SEPD sugiere que, en el trabajo futuro sobre gestión de la información, se recojan también los fallos y debilidades del sistema— como, por ejemplo, el número de personas detenidas indebidamente o que hayan sufrido inconvenientes de cualquier tipo como consecuencia de una respuesta falsa del sistema— con el fin de asegurar un equilibrio justo.

33.

Por ejemplo, el SEPD sugiere que los datos sobre respuestas del SIS/Sirene (anexo 1) se completen con una referencia al trabajo realizado por la ACC sobre la fiabilidad y precisión de las alertas.

Rendición de cuentas

34.

Entre los «Principios orientados hacia el proceso» enumerados en las páginas 30-31, la Comunicación se refiere al principio de «Asignación clara de responsabilidades», en particular por lo que respecta a diseño inicial de las estructuras de gobernanza. En este contexto, la Comunicación se refiere a los problemas del proyecto SIS II y a las futuras responsabilidades de la Agencia de sistemas informáticos.

35.

El SEPD desea aprovechar esta oportunidad para subrayar la importancia el principio de «rendición de cuentas» que también debería implementare en el ámbito de la cooperación judicial y policial en asuntos criminales y desempeñar un papel importante en la concepción de la nueva política más desarrollada de la UE sobre intercambio de datos y gestión de la información. El principio se está debatiendo actualmente en el contexto del futuro del marco europeo de protección de datos, como herramienta para inducir más a los responsables del tratamiento a reducir el riesgo de incumplimiento mediante la implementación de mecanismos apropiados para la protección efectiva de los datos. La rendición de cuentas requiere que los responsables del tratamiento implanten mecanismos internos y sistemas de control que aseguren el cumplimiento y proporcionen pruebas —como, por ejemplo, informes de auditoría— que demuestren el cumplimiento ante partes interesadas externas, incluidas las autoridades de supervisión (19). El SEPD también ha hecho hincapié en la necesidad de tales medidas en sus dictámenes sobre el VIS y el SIS II en 2005.

Intimidad mediante el diseño

36.

En la página 29 de la Comunicación (bajo el epígrafe sobre Principios sustantivos «Salvaguardar los derechos fundamentales, en particular el derecho a la intimidad y a la protección de datos»), la Comisión se refiere al concepto de «Intimidad mediante el diseño» declarando que «al desarrollar nuevos instrumentos basados en el uso de tecnología de la información, la Comisión tratará de seguir el enfoque conocido como “intimidad mediante el diseño”».

37.

El SEPD se congratula por la referencia a este concepto (20) que se desarrolla actualmente para los sectores privado y público en general, y que también debe desempeñar un papel importante en el ámbito policial y judicial (21).

Evaluación de impacto sobre la intimidad y la protección de datos

38.

El SEPD está convencido de que esta Comunicación representa una buena oportunidad para reflexionar más sobre qué debería entenderse por una verdadera «evaluación de impacto sobre la intimidad y la protección de datos».

39.

El SEPD observa que ni las directrices generales descritas en esta Comunicación ni las Directrices para la evaluación de impacto de la Comisión (22) especifican este aspecto, ni lo desarrollan como requisito político.

40.

Por consiguiente, el SEPD recomienda que, para instrumentos futuros, se lleve a cabo una evaluación de impacto sobre la intimidad y la protección de datos más específica y rigurosa, ya sea como evaluación separada o como parte de la evaluación de impacto general sobre derechos fundamentales. Deberían desarrollarse características e indicadores específicos para asegurar que toda propuesta que tenga un impacto sobre la intimidad y la protección de datos sea objeto de una consideración en profundidad. El SEPD también sugiere que esta cuestión forme parte del trabajo en curso sobre el marco global de protección de datos.

41.

En este contexto, también sería útil referirse al artículo 4 de la Recomendación RFID (23), en la que la Comisión instaba a los Estados miembros a garantizar que la industria, en colaboración con las partes interesadas de la sociedad civil, elaborase un marco para la evaluación del impacto sobre la protección de datos y la intimidad. Asimismo, la Resolución de Madrid, adoptada en noviembre de 2009 por la Conferencia Internacional de Autoridades de Protección de Datos y Privacidad, promovía la puesta en práctica de estudios de impacto sobre la privacidad previos a la implementación de nuevos sistemas y/o tecnologías de información destinados al tratamiento de datos de carácter personal o a la realización de modificaciones sustanciales en tratamientos ya existentes.

Derechos de los interesados

42.

El SEPD observa que la Comunicación no se ocupa específicamente de la importante cuestión de los derechos de los interesados, que constituye un elemento decisivo de la protección de datos. Es esencial asegurar que, en todos los sistemas e instrumentos diferentes que implican intercambio de información, los ciudadanos tengan derechos similares en relación con el modo en que se tratan sus datos personales. En efecto, muchos de los sistemas que se mencionan en la Comunicación establecen reglas específicas sobre los derechos de los interesados, pero hay una gran variación entre los diferentes sistemas e instrumentos, sin la debida justificación.

43.

Por consiguiente, el SEPD invita a la Comisión a estudiar con mayor detenimiento la cuestión del alineamiento de los derechos de los interesados en la UE en un futuro próximo.

Uso de datos biométricos

44.

Si bien la Comisión se refiere al uso de datos biométricos (24), no aborda específicamente el actual fenómeno del uso creciente de datos biométricos en el ámbito del intercambio de información en la UE, incluidos los sistemas informáticos de gran magnitud de la UE y otras herramientas de gestión de fronteras. La Comunicación tampoco proporciona ninguna indicación concreta sobre cómo pretende la Comisión abordar esta cuestión en el futuro y si está trabajando en una política global en relación con esta tendencia creciente. Es de lamentar, ya que se trata de un asunto muy importante y sensible desde la perspectiva de la protección de datos.

45.

En este contexto, el SEPD desea mencionar que, en reiteradas ocasiones, en diversos foros y en diferentes dictámenes (25), ha subrayado los posibles riesgos asociados a los profundos impactos del uso de datos biométricos sobre los derechos de las personas. En estas ocasiones, el SEPD también ha sugerido que se incluyeran salvaguardias rigurosas para el uso de datos biométricos en instrumentos y sistemas específicos. El SEPD también ha llamado la atención sobre un problema relacionado con errores inherentes en la recogida y comparación de datos biométricos.

46.

Por estos motivos, el SEPD aprovecha esta oportunidad para solicitar a la Comisión que desarrolle una política clara y estricta sobre el uso de datos biométricos en el espacio de libertad, seguridad y justicia, basada en una evaluación rigurosa y en una valoración caso a caso de la necesidad de usar datos biométricos, respetando plenamente principios fundamentales de protección de datos como la proporcionalidad, la necesidad y la limitación de la finalidad.

Funcionamiento del sistema

47.

En una ocasión anterior (26), el SEPD planteó una serie de inquietudes en relación con el concepto de interoperabilidad. Una de las consecuencias de la interoperabilidad de los sistemas es que podría ser un incentivo para proponer nuevos objetivos para sistemas informáticos de gran magnitud que superen su finalidad original y/o para el uso de datos biométricos como clave primordial en este ámbito. Son necesarias condiciones y salvaguardias específicas para los diferentes tipos de interoperabilidad. En este contexto, el SEPD también ha hecho hincapié en que la interoperabilidad de los sistemas debe implementarse con el debido respeto a los principios de protección de datos, en particular, el principio de la limitación de la finalidad.

48.

En este contexto, el SEPD observa que la Comunicación no se refiere específicamente a la cuestión de la interoperabilidad de los sistemas. Por consiguiente, el SEPD hace un llamamiento para que la Comisión desarrolle una política sobre este aspecto esencial del intercambio de información en la UE, que debería formar parte del ejercicio de evaluación.

Propuestas legislativas que va a presentar la Comisión

49.

La Comunicación incluye un capítulo sobre las propuestas legislativas que va a presentar la Comisión en el futuro. El documento se refiere, entre otras, a una propuesta de un Programa de Viajeros Registrados (Registered Travellers Programme) (RTP) y a una propuesta de un sistema de entrada y salida (Enry/Exit System) (EES). El SEPD querría hacer algunas observaciones sobre estas dos propuestas, respecto a las cuales, según se desprende de la Comunicación, la Comisión ya ha tomado una decisión.

Programa de Viajeros Registrados

50.

Como se destaca en el punto 3 de este Dictamen, la Comunicación pretende presentar «un panorama completo de las medidas (…) en la UE para regular la recogida, el almacenamiento o el intercambio transfronterizo de información personal con fines represivos o de gestión de la migración».

51.

En ese contexto, el SEPD se pregunta cuál será el objetivo final del Programa de Viajeros Registrados y de qué modo esta propuesta, que la Comisión está considerando actualmente, está contemplada por la finalidad represiva o de gestión de la migración. La Comunicación plantea, en la página 23 que «este programa permitiría a determinados grupos de viajeros frecuentes de terceros países entrar en la UE (…) usando controles fronterizos simplificados en barreras automáticas». Así pues, la finalidad de los instrumentos parece ser facilitar el desplazamiento de viajeros frecuentes. Por consiguiente, estos instrumentos no tendrían una relación (directa o clara) con las finalidades de represión y gestión de la migración.

Sistema de entrada y salida de la UE

52.

Al referirse al futuro sistema de entrada y salida de la UE, la Comunicación (página 23) menciona el problema de las «personas que rebasan la duración de estancia autorizada» y plantea que esta categoría de personas «constituía el mayor grupo de migrantes irregulares de la UE». Este último argumento se presenta como la razón por la que la Comisión ha decidido proponer la introducción de un sistema de entrada y salida para los nacionales de terceros países que entren en la UE para estancias breves de hasta tres meses.

53.

Además, la Comunicación menciona que «este sistema registraría el momento y lugar de entrada y el tiempo de la estancia autorizada y transmitiría automáticamente alertas a las autoridades competentes para identificar a las personas que rebasaran la duración de la estancia autorizada. Basado en la verificación biométrica de datos, desplegaría el mismo sistema de correspondencias biométricas y equipo operativo que los que utilizan el SIS II y el VIS».

54.

El SEPD considera que es esencial especificar el grupo objetivo de personas que han rebasado la duración de la estancia autorizada, haciendo referencia a una definición legal existente o apoyándose en algún tipo de cifras o estadísticas fiables. Esto es todavía más importante habida cuenta de que todos los cálculos relativos al número de personas que han rebasado la duración de la estancia autorizada dentro de la UE se basan actualmente en meras estimaciones. También debería aclararse qué medidas se tomarían hacia las personas que han rebasado la duración de la estancia autorizada una vez hayan sido identificadas por el sistema, habida cuenta de que la UE carece de una política clara y global respecto a las personas que rebasan la duración de la estancia autorizada en el territorio de la UE.

55.

Además, la formulación de la Comunicación sugiere que la Comisión ya ha tomado la decisión de introducir el sistema, si bien, al mismo tiempo, la Comunicación menciona que la Comisión está llevando a cabo actualmente una evaluación de impacto. El SEPD hace hincapié en que una decisión de introducir un sistema tan complejo e intrusivo en la intimidad sólo debería tomarse sobre la base de una evaluación de impacto específica que proporcione información y pruebas concretas de porqué es necesario dicho sistema y porqué no se pueden plantear soluciones alternativas basadas en los sistemas existentes.

56.

Por último, la Comisión parece vincular este futuro sistema al sistema de correspondencias biométricas y equipo operativo del SIS II y el VIS. Sin embargo, no se menciona el hecho de que ni el SIS II ni el VIS están operativos todavía y que, en este momento, se desconoce las fechas exactas en que estarán operativos. Dicho de otro modo, el sistema de entrada y salida dependería en gran medida de sistemas biométricos y operativos que todavía no están en funcionamiento, por lo que no es posible que su operatividad y funcionalidades hayan sido objeto de una evaluación adecuada.

Iniciativas que debe estudiar la Comisión

57.

En el contexto de las iniciativas que debe estudiar la Comisión —respecto a las cuales la Comisión no ha tomado una decisión definitiva—, la Comunicación, sobre la base de las solicitudes incluidas en el Programa de Estocolmo, menciona tres iniciativas: un programa de seguimiento de la financiación del terrorismo (equivalente al TFTP de los EE.UU), un sistema electrónico de autorización de viaje (ESTA) y un Sistema Europeo de Fichero Policial (EPRIS).

58.

El SEPD hará un estrecho seguimiento de todos los desarrollos en relación con estas iniciativas y hará comentarios y sugerencias, en su caso.

III.   CONCLUSIÓN Y RECOMENDACIONES

59.

El SEPD apoya plenamente la Comunicación que presenta un panorama general de los sistemas existentes y previstos en el futuro para el intercambio de información en la UE. El SEPD ha defendido en varios dictámenes y comentarios la necesidad de que, antes de proponer instrumentos nuevos, se evalúen todos los instrumentos existentes para el intercambio de información.

60.

El SEPD también se muestra satisfecho por la referencia que se hace en la Comunicación al trabajo en curso sobre un marco global de protección de datos, de conformidad con el artículo 16 TFUE, que debería tenerse en cuenta también en el contexto del trabajo sobre el panorama general de la gestión de la información en la UE.

61.

El SEPD considera que esta Comunicación es un primer paso en el proceso de evaluación. Dicho paso debería ir seguido de una evaluación real, cuyo resultado debería ser una política global, integrada y bien estructurada de la UE sobre gestión e intercambio de la información. En este contexto, el SEPD muestra su satisfacción por el vínculo establecido con otros ejercicios lanzados por la Comisión como respuesta al Programa de Estocolmo, en particular el ejercicio de «cartografía de la información» realizado por la Comisión en estrecha cooperación con un Equipo para el proyecto de cartografía de la información.

62.

El SEPD sugiere que, en el trabajo futuro sobre gestión de la información, se comuniquen también y se tengan en cuenta las deficiencias y debilidades de los sistemas, como, por ejemplo, el número de personas detenidas indebidamente o que hayan sufrido inconvenientes de algún tipo debido a una respuesta falsa del sistema.

63.

El principio de la limitación de la finalidad debería ser una consideración clave para todos los instrumentos relacionados con el intercambio de información en la UE, y sólo pueden proponerse nuevos instrumentos si el principio de la limitación de la finalidad se ha tenido debidamente en cuenta y se ha respetado durante la elaboración de éstos. Y debe seguir haciéndose así durante su implementación.

64.

El SEPD también anima a la Comisión a que asegure, mediante el desarrollo de medidas y mecanismos concretos, que los principios de necesidad y proporcionalidad se respetan y se implementan en la práctica en todas las nuevas propuestas que tengan un impacto sobre los derechos de las personas. También es necesario evaluar los sistemas ya existentes en relación con esta cuestión.

65.

El SEPD también está convencido de que esta Comunicación brinda una excelente oportunidad para abrir un debate sobre qué se entiende realmente por una «evaluación de impacto sobre la intimidad y la protección de datos».

66.

También invita a la Comisión a desarrollar una política más coherente y consistente sobre los requisitos previos para el uso de datos biométricos, una política sobre operabilidad de los sistemas y una mayor alineación, a escala de la UE, en términos de derechos de los interesados.

67.

El SEPD también acoge con satisfacción la referencia al concepto de «intimidad mediante el diseño» que se está desarrollando actualmente para los sectores privado y público en general, y que debe, por tanto, desempeñar un papel importante en el ámbito judicial y policial.

68.

Por último, aunque no por ello menos importante, el SEPD llama la atención sobre sus comentarios e inquietudes respecto al capítulo titulado «Propuestas legislativas que va a presentar la Comisión» en relación con el Sistema de Entrada y Salida y el Programa de Viajeros Registrados.

Hecho en Bruselas, el 30 de septiembre de 2010.

Peter HUSTINX

Supervisor Europeo de Protección de Datos


(1)  DO L 281 de 23.11.1995, p. 31.

(2)  DO L 8 de 12.1.2001, p. 1.

(3)  COM(2010) 385 final.

(4)  Página 4 de la Comunicación.

(5)  En relación con este apartado, el SEPD cree que la formulación «(la Comunicación) aclara (…) la lista de autoridades que tienen acceso a tales datos» puede inducir a confusión, ya que la Comunicación no recoge dichas listas ni tampoco las aclara. Sólo se refiere a las principales categorías de personas o autoridades que tienen acceso a los datos.

(6)  El Programa de Estocolmo: una Europa abierta y segura que sirva y proteja al ciudadano, Documento del Consejo 5731/2010, 3.3.2010.

(7)  Dictamen del 10 de julio de 2009 sobre la Comunicación de la Comisión al Parlamento Europeo y al Consejo relativa a un espacio de libertad, seguridad y justicia al servicio de los ciudadanos.

(8)  Conclusiones del Consejo sobre una Estrategia de Gestión de la Información para la seguridad interior, Consejo de Justicia y Asuntos de Interior, 30.11.2009.

(9)  Dictamen del 19 de octubre de 2005 sobre tres Propuestas relativas al Sistema de Información de Schengen de Segunda Generación (SIS II).

(10)  Dictamen del 7 de octubre de 2009 sobre la propuesta relativa al acceso de las fuerzas de seguridad a Eurodac.

(11)  Dictamen del 18 de febrero de 2009 sobre la propuesta de Reglamento relativo a la creación del sistema «Eurodac» para la comparación de las impresiones dactilares para la aplicación efectiva del Reglamento (CE) no […/…] (por el que se establecen los criterios y mecanismos de determinación del Estado miembro responsable del examen de una solicitud de protección internacional presentada en uno de los Estados miembros por un nacional de un tercer país o un apátrida) y Dictamen del 18 de febrero de 2009 relativo a la propuesta de Reglamento por el que se establecen los criterios y mecanismos de determinación del Estado miembro responsable del examen de una solicitud de protección internacional presentada en uno de los Estados miembros por un tercer país o un apátrida.

(12)  Véase la nota a pie de página 6.

(13)  Dictamen del 20 de diciembre de 2007 acerca de la propuesta de Decisión marco del Consejo sobre utilización de datos del registro de nombres de los pasajeros (Passenger Name Record — PNR) con fines represivos.

(14)  El alcance funcional del ejercicio corresponde al alcance de la Decisión marco de Suecia (Decisión marco 2006/960/JAI del Consejo), es decir, el intercambio de información para llevar a cabo investigaciones criminales u operaciones de inteligencia criminal.

(15)  

«Se autorizará el tratamiento posterior para otros fines en la medida en que: a) el tratamiento no sea incompatible con los fines para los que se recogieron los datos; b) las autoridades competentes estén autorizadas a tratar los datos para tales otros fines con arreglo a la normativa aplicable; y c) el tratamiento sea necesario para ese otro fin y proporcionado a él».

(16)  Véase, en particular, el Dictamen del SEPD sobre las propuestas relativas al acceso de las fuerzas de seguridad a Eurodac al que se ha hecho referencia en la nota a pie de página 10.

(17)  Véase, por ejemplo, el Dictamen del SEPD sobre el PNR europeo, mencionado en la nota a pie de página 13.

(18)  Véanse los Informes de Actividades no 7 y 8 de SIS ACC, disponibles en http://www.schengen-jsa.dataprotection.org/ en particular los capítulos 96 y 99 del Convenio de Schengen.

(19)  Véase el discurso del SEPD en la Conferencia Internacional de Autoridades Europeas de Protección de Datos y Privacidad, Praga 29 de abril de 2010.

(20)  En relación con la intimidad mediante el diseño, véase el Dictamen del 18 de marzo de 2010 acerca de la promoción de la confianza en la Sociedad de la Información fomentando la protección de datos y la intimidad y el Dictamen del 22 de julio de 2009 sobre la Comunicación de la Comisión relativa a un Plan de acción para el despliegue de sistema de transporte inteligentes en Europa y a la propuesta que lo acompaña de Directiva del Parlamento Europeo y del Consejo por la que se establece el marco para el despliegue de los sistemas de transporte inteligentes en el sector del transporte por carretera y para sus interfaces con otros modos de transporte.

(21)  El Dictamen del SEPD sobre la Comunicación de la Comisión relativa al Programa de Estocolmo recomendaba que se estableciera una obligación jurídica, para los fabricantes y usuarios de sistemas de información, de desarrollar y utilizar sistemas acordes con el principio de la «privacidad desde el diseño».

(22)  SEC(2009) 92, 15.1.2009.

(23)  C(2009) 3200 final, 12.5.2009.

(24)  Por ejemplo, en el contexto de la finalidad limitada y posibles solapamientos de funciones (página 25) y de la gestión efectiva de la identidad (página 27).

(25)  Véase, por ejemplo: Dictamen sobre el Programa de Estocolmo (nota a pie de página 7), Dictamen sobre tres Propuestas en relación con el Sistema de Información Schengen de Segunda Generación (nota a pie de página 9) o Comentarios del 10 de marzo de 2006 sobre la Comunicación de la Comisión del 24 de noviembre de 2005 sobre una mayor eficacia, interoperabilidad y sinergia entre las bases de datos europeas en el ámbito de la Justicia y los Asuntos de Interior (nota a pie de página 22).

(26)  Comentarios del SEPD del 10 de marzo de 2006 sobre la Comunicación de la Comisión, de 24 de noviembre de 2005, sobre una mayor eficacia, interoperabilidad y sinergia entre las bases de datos europeas en el ámbito de la Justicia y los Asuntos de Interior.


Top