Resumen del dictamen del Supervisor Europeo de Protección de Datos sobre las propuestas relativas a las órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal

(El texto completo del presente dictamen está disponible en inglés, francés y alemán en el sitio web del SEPD: www.edps.europa.eu)

(2020/C 32/04)

En abril de 2018, la Comisión presentó dos propuestas, una de Reglamento y otra de Directiva, para crear un marco jurídico que permitiera a la policía y a las autoridades judiciales obtener y asegurar pruebas electrónicas en los casos transfronterizos de una manera más rápida y sencilla. Desde entonces, el Consejo ha adoptado unas orientaciones generales sobre las propuestas y el Parlamento Europeo ha presentado varios documentos de trabajo. El Comité Europeo de Protección de Datos también ha emitido su dictamen al respecto. A nivel internacional, se han producido avances similares, principalmente por el inicio de las negociaciones sobre un acuerdo internacional con Estados Unidos relativo al acceso transfronterizo a las pruebas electrónicas y por el trabajo encaminado a adoptar un Segundo Protocolo adicional al Convenio sobre la Ciberdelincuencia. Mediante el presente dictamen, el SEPD desea proporcionar al legislador de la Unión una nueva perspectiva de cara al futuro trabajo sobre las propuestas, que tenga en cuenta los avances citados.

En el mundo actual, transformado en virtud de las nuevas tecnologías, las autoridades deben actuar con celeridad para obtener los datos indispensables para realizar su labor. Al mismo tiempo, incluso en la investigación de casos nacionales, las fuerzas o cuerpos de seguridad se encuentran con creciente frecuencia en «situaciones transfronterizas» por el mero hecho de haberse utilizado un proveedor de servicios extranjero y de que la información se haya almacenado electrónicamente en otro Estado miembro. El SEPD apoya el objetivo de garantizar que las autoridades policiales y judiciales dispongan de unas herramientas eficaces para investigar y enjuiciar las infracciones penales y, en particular, acoge de buen grado el objetivo de las propuestas de acelerar y facilitar el acceso a los datos en los casos transfronterizos mediante la racionalización de los procedimientos dentro de la UE.

Al mismo tiempo, el SEPD desea subrayar que cualquier iniciativa en este campo debe ser plenamente respetuosa con la Carta de los Derechos Fundamentales de la UE y el marco de protección de datos de la UE y que resulta esencial aplicar todas las garantías necesarias. En particular, la protección de los derechos fundamentales en el proceso de recopilación transfronteriza de pruebas electrónicas requiere una mayor participación de las autoridades judiciales en el Estado miembro de ejecución. Estas deben participar de manera sistemática en el proceso lo antes posible, deben tener la posibilidad de revisar las órdenes cumplan la Carta y deben estar obligadas a alegar sobre esa base motivos de denegación en caso de incumplimiento.

Por otra parte, es necesario aclarar las definiciones de las categorías de datos incluidas en el Reglamento propuesto y garantizar su armonización con las demás definiciones de las categorías de datos previstas en el Derecho de la Unión. El SEPD también recomienda que el equilibrio entre los tipos de infracciones que justificarían la emisión de órdenes europeas de entrega y las categorías de datos afectadas vuelva a evaluarse a la luz de la jurisprudencia pertinente del Tribunal de Justicia de la UE.

Además, el SEPD realiza recomendaciones concretas sobre diversos aspectos de las propuestas relativas a las pruebas electrónicas que requieren mejoras en: la autenticidad y confidencialidad de las órdenes y los datos transmitidos, el carácter limitado de la conservación en virtud de las órdenes europeas de conservación, el marco de protección de datos aplicable, los derechos de los interesados, los interesados a los que se aplican privilegios e inmunidades, los representantes legales, los plazos para el cumplimiento de las órdenes europeas de entrega y la posibilidad de que los proveedores de servicios se opongan a las órdenes.

Por último, el SEPD solicita que se aclare la interacción entre el Reglamento propuesto y los futuros acuerdos internacionales. El Reglamento propuesto debe mantener el alto nivel de protección de datos de la UE y servir de referencia al negociar acuerdos internacionales sobre el acceso transfronterizo a las pruebas electrónicas.

1.   INTRODUCCIÓN Y ANTECEDENTES

1.

El 17 de abril de 2018, la Comisión publicó dos propuestas legislativas (en lo sucesivo, las «propuestas»), junto con una evaluación del impacto (1), en concreto: — una propuesta de Reglamento sobre las órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal (2) (en lo sucesivo, el «Reglamento propuesto»); — una propuesta de Directiva por la que se establecen normas armonizadas para la designación de representantes legales a efectos de recabar pruebas en procesos penales (3) (en lo sucesivo, la «Directiva propuesta»).

2.

El Reglamento propuesto coexistiría con la Directiva 2014/41/CE relativa a la orden europea de investigación en materia penal (en lo sucesivo, la «Directiva OEI») (4), que tiene por objeto facilitar el proceso de recopilación de pruebas en el territorio de otro Estado miembro y se aplica a todos los tipos de pruebas, incluidos los datos electrónicos (5). Todos los Estados miembros que participaron en la adopción de la Directiva OEI (6) tenían hasta mayo de 2017 para transponerla a su legislación nacional (7).

3.

El 26 de septiembre de 2018, el Comité Europeo de Protección de Datos (8) (en lo sucesivo, el «CEPD») adoptó un dictamen (9) sobre las propuestas.

4.

El 7 de diciembre de 2018 y el 8 de marzo de 2019, el Consejo adoptó su orientación general sobre el Reglamento propuesto (10) y la Directiva propuesta (11), respectivamente. El Parlamento Europeo publicó una serie de documentos de trabajo.

5.

El Supervisor Europeo de Protección de Datos (en lo sucesivo, «SEPD») agradece haber sido consultado de manera informal por los servicios de la Comisión antes de la adopción de las propuestas. El SEPD también acoge de buen grado las referencias al presente dictamen en el considerando 66 del Reglamento propuesto y en el considerando 24 de la Directiva propuesta.

6.

El 5 de febrero de 2019, la Comisión adoptó dos recomendaciones de Decisiones del Consejo: una recomendación para autorizar la apertura de negociaciones con vistas a un acuerdo internacional entre la Unión Europea (UE) y los Estados Unidos de América (EE. UU.) sobre el acceso transfronterizo a las pruebas electrónicas para la cooperación judicial en materia penal (12) y una recomendación para autorizar la participación de la Comisión, en nombre de la UE, en las negociaciones sobre un Segundo Protocolo adicional al Convenio del Consejo de Europa sobre la Ciberdelincuencia (STE n.o 185) (en lo sucesivo, el «Convenio sobre la Ciberdelincuencia») (13). Cada una de estas recomendaciones fue objeto de un dictamen del SEPD (14). Sin embargo, ambas negociaciones, con los Estados Unidos y en el Consejo de Europa, están estrechamente relacionadas.

7.

En febrero de 2019, la Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo envió sendas cartas similares al SEPD y al CEPD para solicitar una valoración jurídica de los efectos de la ley CLOUD de EE. UU. (15), aprobada por el Congreso de EE. UU. en marzo de 2018, sobre el marco jurídico europeo para la protección de datos. El 12 de julio de 2019, el SEPD y el CEPD adoptaron una respuesta conjunta a esta solicitud, en la que incluyen su evaluación preliminar (16).

8.

El 3 de octubre de 2019, el Reino Unido y los Estados Unidos firmaron un acuerdo bilateral sobre el acceso transfronterizo a las pruebas electrónicas para luchar contra los delitos graves (17). Se trata del primer acuerdo entre Gobiernos que permite a los proveedores de servicios de EE. UU. atender las solicitudes de datos de contenido de un país extranjero al amparo de la ley CLOUD de EE. UU.

El presente dictamen aborda ambas propuestas, aunque se centra más en el Reglamento propuesto. En consonancia con la misión del SEPD, se centra fundamentalmente en los derechos a la intimidad y a la protección de los datos de carácter personal y pretende ser coherente con el dictamen 23/2018 del CEPD y complementario al mismo, teniendo en cuenta, además, las orientaciones generales del Consejo y los documentos de trabajo del Parlamento Europeo.

5.   CONCLUSIONES

70.

El SEPD apoya el objetivo de garantizar que las autoridades policiales y judiciales dispongan de herramientas eficaces para investigar y enjuiciar las infracciones penales en un mundo que se ha visto transformado por las nuevas tecnologías. Al mismo tiempo, el SEPD considera que esta actuación debe ser plenamente respetuosa con la Carta y el acervo comunitario en materia de protección de datos. El Reglamento propuesto requiere el almacenamiento y la comunicación de datos personales dentro y fuera de la UE entre las autoridades competentes de los Estados miembros, entidades privadas y, en algunos casos, las autoridades de terceros países. Esto introduciría limitaciones en el ejercicio de dos derechos fundamentales: el respeto de la vida privada y la protección de datos de carácter personal, consagrados en los artículos 7 y 8 de la Carta. Para garantizar su licitud, dichas limitaciones deben cumplir las condiciones establecidas en el artículo 52, apartado 1, de la Carta, y, en particular, la condición de necesidad.

71.

El SEPD considera, en primer lugar, que deberían valorarse otras alternativas que permitieran alcanzar los mismos objetivos pero ofrecieran mayores garantías.

72.

En segundo lugar, observa que el Reglamento propuesto ya incluye varias garantías procesales. Sin embargo, al SEPD le preocupa que se deje en manos de los proveedores de servicios la importante responsabilidad de revisar que los certificados de orden europea de entrega (EPOC) y los certificados de orden europea de conservación (EPOC-PR) cumplan la Carta, y recomienda que las autoridades judiciales designadas por el Estado miembro de ejecución participen, lo antes posible, en el proceso de recopilación de pruebas electrónicas.

73.

El SEPD recomienda que se asegure una mayor coherencia entre las definiciones de las categorías de datos que constituyan pruebas electrónicas y las definiciones de las categorías de datos específicas ya incluidas en el Derecho de la Unión y se reconsidere la categoría de datos relativos al acceso, o que se el acceso a estos datos se someta a condiciones similares a las previstas para el acceso a las categorías de los datos de transacciones y los datos de contenido. El Reglamento propuesto debería establecer unas definiciones claras y sencillas de cada categoría de datos con el fin de garantizar la seguridad jurídica para todas las partes interesadas afectadas. También recomienda modificar la definición propuesta para la categoría de datos de abonado a fin de concretarla.

74.

Además de lo anterior, recomienda que el equilibrio entre los tipos de infracciones que justificarían la emisión de órdenes europeas de entrega y las categorías de datos afectadas vuelva a evaluarse teniendo en cuenta la jurisprudencia reciente y pertinente del TJUE. En concreto, la posibilidad de emitir una orden europea de entrega para obtener datos de transacciones y datos de contenido debe limitarse a los delitos graves. En el caso ideal, el SEPD, estaría a favor de definir una lista exhaustiva de infracciones penales graves que justificaran la emisión de órdenes europea de entrega para obtener datos de transacciones y datos de contenido, ya que esto aumentaría también la seguridad jurídica de todas las partes interesadas participantes.

75.

El SEPD también formula recomendaciones con el fin de garantizar el respeto de los derechos a la protección de datos y a la intimidad, a la vez que se agiliza la recopilación de pruebas para determinados procesos penales. Estas recomendaciones se centran en la seguridad de la transmisión de los datos entre todas las partes interesadas participantes, la autenticidad de las órdenes y los certificados, y el carácter limitado de la conservación de los datos con arreglo a las órdenes europeas de conservación.

76.

Al margen de los comentarios generales y de las principales recomendaciones antes mencionadas, el SEPD ha formulado recomendaciones adicionales en este dictamen en relación con los siguientes aspectos de las propuestas: — la referencia al marco de protección de datos aplicable; — los derechos de los interesados (mayor transparencia y derecho a la tutela judicial efectiva); — los interesados a los que se aplican privilegios e inmunidades; — la designación de representantes legales a efectos de recabar pruebas en procesos penales; — los plazos para cumplir el EPOC y entregar los datos; — la posibilidad de que los proveedores de servicios se opongan a las órdenes por motivos limitados.

77.

Por último, el SEPD es consciente del contexto más amplio en el que se ha presentado la iniciativa y está al corriente de las dos Decisiones adoptadas por el Consejo, una relativa al Segundo Protocolo adicional al Convenio del Consejo de Europa sobre la Ciberdelincuencia y otra relativa a la apertura de las negociaciones con los Estados Unidos. El SEPD solicita que se aclare la interacción entre el Reglamento propuesto y los acuerdos internacionales. Además, está dispuesto a contribuir de manera constructiva a los trabajos para garantizar la coherencia y la compatibilidad entre los textos finales y el marco de protección de datos de la UE.

---

(1)  Documento de trabajo de los servicios de la Comisión: evaluación del impacto, SWD(2018) 118 final (en lo sucesivo, la «evaluación del impacto»), disponible en: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=SWD%3A2018%3A118%3AFIN.

(2)  Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre las órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal, COM(2018) 225 final.

(3)  Propuesta de Directiva del Parlamento Europeo y del Consejo por la que se establecen normas armonizadas para la designación de representantes legales a efectos de recabar pruebas para procesos penales, COM(2018) 226 final.

(4)  Directiva 2014/41/CE del Parlamento Europeo y del Consejo, de 3 de abril de 2014, relativa a la orden europea de investigación en materia penal, DO L 130 de 1.5.2014, p. 1. Véase el artículo 23 del Reglamento propuesto.

(5)  La Directiva OEI prevé la cooperación directa entre la autoridad emisora de un Estado miembro y la autoridad encargada de la ejecución de otro Estado miembro o, en su caso, a través de la autoridad o las autoridades centrales designadas por el Estado o los Estados miembros afectados. Pretende facilitar y acelerar esta cooperación y, para ello, establece formularios normalizados y plazos estrictos y elimina diversos obstáculos a la cooperación transfronteriza. Así, por ejemplo, «[l]a autoridad de emisión podrá emitir una OEI con vistas a la adopción de cualquier medida de investigación destinada a impedir de forma cautelar la destrucción, transformación, desplazamiento, transferencia o enajenación de un objeto que pudiera emplearse como pruebas» y «[l]a autoridad de ejecución decidirá y comunicará la decisión sobre la medida cautelar lo antes posible y, siempre que sea viable, dentro de las 24 horas siguientes a la recepción de la OEI» (artículo 32); y, además, no se aplicará el requisitos de doble tipificación a la ejecución de una OEI para la identificación de personas que sean titulares de un número de teléfono o una dirección IP determinados [artículo 10, apartado 2, letra e), en combinación con el artículo 11, apartado 2].

(6)  Todos los Estados miembros de la UE, salvo Dinamarca e Irlanda.

(7)  Todos los Estados miembros participantes han transpuesto la Directiva OEI a su derecho interno en 2017 o 2018. Véase la situación actual de la incorporación en la Red Judicial Europea: https://www.ejn-crimjust.europa.eu/ejn/EJN_Library_StatusOfImpByCat.aspx?CategoryId=120.

(8)  El CEPD, establecido en virtud del artículo 68 del RGPD, sucedió al grupo de protección de las personas, establecido en virtud del artículo 29 de la Directiva 95/46/CE, que se derogó. Al igual que el grupo de protección de las personas previsto en dicho artículo 29, el CEPD está compuesto por representantes de las autoridades nacionales de protección de datos y el SEPD.

(9)  Dictamen 23/2018, de 26 de septiembre de 2018, sobre las propuestas de la Comisión relativas a las órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal [artículo 70, apartado 1, letra b)] (en lo sucesivo, el «Dictamen 23/2018 del CEPD»), disponible en: https://edpb.europa.eu/sites/edpb/files/files/file1/eevidence_opinion_final_en.pdf.

(10)  https://www.consilium.europa.eu/en/press/press-releases/2018/12/07/regulation-on-cross-border-access-to-e-evidence-council-agrees-its-position/#.

(11)  https://www.consilium.europa.eu/en/press/press-releases/2019/03/08/e-evidence-package-council-agrees-its-position-on-rules-to-appoint-legal-representatives-for-the-gathering-of-evidence/.

(12)  Recomendación de Decisión del Consejo por la que se autoriza la apertura de negociaciones para un Acuerdo entre la Unión Europea y los Estados Unidos de América sobre el acceso transfronterizo a las pruebas electrónicas para la cooperación judicial en materia penal, COM(2019) 70 final.

(13)  Recomendación de Decisión del Consejo por la que se autoriza la participación en las negociaciones sobre un Segundo Protocolo adicional al Convenio del Consejo de Europa sobre Ciberdelincuencia (STE n.o 185), COM(2019) 71 final. Hasta la fecha, todos los Estados miembros de la UE han firmado el Convenio del Consejo de Europa sobre una cooperación internacional reforzada en materia de ciberdelincuencia y pruebas electrónicas, y casi todos lo han ratificado. Irlanda y Suecia aún no han finalizado el proceso de ratificación del Convenio sobre la Ciberdelincuencia. Este Convenio es un instrumento internacional vinculante que obliga a las partes contratantes a tipificar, en su Derecho nacional, determinadas infracciones penales cometidas contra redes electrónicas o por medio de estas y a prever unas facultades e instaurar unos procedimientos específicos que permitan a las respectivas autoridades nacionales llevar a cabo la instrucción, incluida la recopilación de pruebas de las infracciones penales cometidas por medios electrónicos. También promueve la cooperación internacional entre las partes contratantes. Además, contempla unas medidas específicas para abordar los problemas relativos a la volatilidad de los datos. Al respecto, el Convenio prevé la conservación rápida de los datos informáticos almacenados. Puesto que la transmisión de las pruebas obtenidas al Estado solicitante depende de la resolución definitiva sobre la solicitud oficial de asistencia judicial mutua, no se aplicarán a la conservación todos los motivos de denegación y, en particular, únicamente se requerirá la doble tipificación en casos excepcionales (artículo 29).

(14)  Dictamen 2/2019 del SEPD sobre el mandato de negociación de un acuerdo entre la UE y los EE. UU. sobre el acceso transfronterizo a las pruebas electrónicas y dictamen 3/2019 del SEPD sobre la participación en las negociaciones con vistas a un Segundo Protocolo adicional al Convenio de Budapest sobre la Ciberdelincuencia.

(15)  Disponible en: https://www.congress.gov/bill/115th-congress/house-bill/1625/text.

(16)  https://edpb.europa.eu/our-work-tools/our-documents/letters/epdb-edps-joint-response-libe-committee-impact-us-cloud-act_fr.

(17)  https://www.gov.uk/government/publications/ukusa-agreement-on-access-to-electronic-data-for-the-purpose-of-countering-serious-crime-cs-usa-no62019.