29.12.2010   

ES

Diario Oficial de la Unión Europea

C 355/1

1.

En los últimos años se han redoblado los esfuerzos para mejorar la cooperación judicial en materia penal. Esta materia, que actualmente ocupa una posición clave en el Programa de Estocolmo (4), se caracteriza por la especial protección de los datos personales afectados y los efectos que el correspondiente tratamiento de datos pueda tener en los titulares de los datos.

2.

Por este motivo, el Supervisor Europeo de Protección de Datos (SEPD) ha prestado una especial atención sobre esta materia (5) y, mediante el presente dictamen, pretende una vez más poner énfasis en la necesidad de proteger los derechos fundamentales como piedra angular del Espacio de Libertad, Seguridad y Justicia (ELSJ), de conformidad con lo establecido en el Programa de Estocolmo.

3.

El presente dictamen trata sobre dos iniciativas para una Directiva de una serie de Estados miembros, de conformidad con lo previsto en el artículo 76 del Tratado de Funcionamiento de la Unión Europea (TFUE), en particular:

4.

El asesoramiento en relación con estas iniciativas está comprendido en la responsabilidad atribuida por el artículo 41 del Reglamento (CE) no 45/2001 al SEPD de asesorar a las instituciones y a los organismos de la Unión Europea en todas las cuestiones relacionadas con el tratamiento de datos personales. Por tanto, el presente dictamen emite observaciones sobre las iniciativas en lo que respecta al tratamiento de datos personales. Dado que en esta ocasión no ha sido solicitada la opinión del SEPD, el presente dictamen se emite por iniciativa propia (8).

5.

El SEPD recuerda que en virtud del artículo 28, apartado 2, del Reglamento (CE) no 45/2001, la Comisión está obligada a consultar al SEPD al adoptar una propuesta legislativa relativa a la protección de los derechos y libertades de las personas en relación con el tratamiento de datos personales. En el caso de una iniciativa de los Estados miembros esta obligación no se aplica de manera estricta. Sin embargo, desde la entrada en vigor del Tratado de Lisboa, el procedimiento legislativo ordinario también se aplica a la cooperación policial y judicial, con una única excepción específica prevista en el artículo 76 TFUE, a saber, que un cuarto de los Estados miembros adopte una iniciativa para establecer medidas en el ámbito de la Unión. Con arreglo al Tratado de Lisboa, estas iniciativas se acomodarán, tanto como sea posible, a las propuestas de la Comisión y deberán utilizarse, cuando sea posible, las garantías procedimentales. Por este motivo, dichas iniciativas van acompañadas de una evaluación del impacto.

6.

En este contexto, el SEPD no sólo lamenta no haber sido consultado en el momento en que se emitieron las iniciativas, sino que recomienda al Consejo que establezca un procedimiento en el que se consulte al SEPD en los casos en que una iniciativa de los Estados miembros esté relacionada con el tratamiento de datos personales.

7.

Aunque estas dos iniciativas tienen objetivos diferentes —es decir, mejorar la protección de las víctimas y la cooperación transfronteriza en materia penal a través de la obtención transfronteriza de pruebas— ambas tienen importantes similitudes:

Por todo lo anterior, el SEPD considera apropiado examinar estas iniciativas de manera conjunta.

8.

En este contexto, debe indicarse que también la Comisión Europea ha tratado recientemente la cuestión de la obtención de pruebas para presentarlas a las autoridades competentes en otros Estados miembros (objeto específico de la iniciativa OEP). De hecho, a finales de 2009 se publicó un Libro Verde  (11) —cuyo período de consulta ya ha sido cerrado (12)— con el objetivo por parte de la Comisión [derivado del «Plan de acción por el que se aplica el Programa de Estocolmo» (13)] de presentar en 2011 una propuesta legislativa para obtener un régimen general relativo a las pruebas en materia penal, basado en el principio de reconocimiento mutuo y que abarque todo tipo de pruebas (14).

9.

Las iniciativas arriba mencionadas se inscriben en la tendencia de las acciones de la UE y del ELSJ de los últimos años. Desde septiembre de 2001, ha habido un aumento significativo en la obtención y el intercambio de información en la Unión Europea (y con terceros países), gracias asimismo a los desarrollos de las TIC y a la ayuda de una serie de instrumentos legales europeos. Asimismo, las iniciativas OEP y EEI tienen como fin mejorar el intercambio de información en lo que respecta a las personas físicas en el ELSJ.

10.

La iniciativa OEP —basada en el artículo 82, apartado 1, letra d), del TFUE— se centra en la protección de las víctimas de actos delictivos, en especial de las mujeres, y tiene como fin garantizarles una protección efectiva en toda la Unión. Para lograr este objetivo, la iniciativa OEP permite ampliar la protección de las medidas contempladas en su artículo 2, apartado 2, y que han sido adoptadas de conformidad con la legislación de un Estado miembro («el Estado de emisión») a otro Estado miembro al que se traslade la persona objeto de protección («el Estado de ejecución»), sin que la víctima tenga necesidad de incoar nuevos procedimientos o de presentar las pruebas nuevamente en el Estado de ejecución.

11.

Las medidas de protección impuestas (a instancia de la víctima) sobre la persona causante del peligro tienen, por tanto, el fin de proteger la vida, la integridad física y psicológica, la libertad o la integridad sexual de la víctima en toda la Unión, con independencia de las fronteras nacionales, e intentan evitar nuevos delitos contra la misma víctima.

12.

La OEP deberá ser emitida, a instancia de la víctima, en el «Estado (miembro) de emisión», por una autoridad judicial (o equivalente). El proceso se compone de los siguientes pasos:

13.

Para lograr este objetivo, deberán adoptarse medidas administrativas. Dichas medidas abarcarán en parte el intercambio de información personal entre los Estados miembros «de emisión» y «de ejecución» relativa a la persona en cuestión (la «víctima») y a la persona causante del peligro. El intercambio de datos personales está previsto en las siguientes disposiciones:

14.

La información mencionada en el apartado anterior se encuadra claramente dentro del ámbito de aplicación de los datos personales, definida en sentido amplio en la legislación de protección de datos como «toda información sobre una persona física identificada o identificable» (15), y que el Grupo de Trabajo del Artículo 29 explica con más detalle. La iniciativa OEP trata de la información relacionada con una persona (la víctima o la persona causante del peligro) o sobre la información que se utiliza o que se puede utilizar para evaluar, tratar de determinada manera o influir en la situación de una persona (en particular, en relación con la persona causante del peligro) (16).

15.

La iniciativa OEP —basada en el artículo 82, apartado 1, letra a), del TFUE— requiere a los Estados miembros que obtengan, almacenen y transmitan pruebas, aún cuando no estén disponibles en la jurisdicción nacional. Por tanto, la iniciativa excede el principio de disponibilidad, el cual se presentó en el Programa de La Haya de 2004 como un enfoque innovador del intercambio transfronterizo de información policial (17). Excede asimismo lo establecido en la Decisión marco 2008/978/JAI del Consejo, de 18 de diciembre de 2008, relativa al exhorto europeo de obtención de pruebas, que resulta únicamente de aplicación a las pruebas (proporcionadas) que ya existan (18).

16.

Un EEI se expedirá a efectos de obtener una o varias medidas de investigación específicas que se llevarán a cabo en el Estado de ejecución, con vistas a la obtención de pruebas (potencialmente no existentes al emitir la orden) y a su traslado (artículo 12). Se aplica a casi todas las medidas de investigación (véanse los considerandos 6 y 7 de la iniciativa).

17.

El objetivo de la iniciativa EEI es crear un único instrumento eficaz y flexible para obtener pruebas localizadas en otro Estado miembro en el marco de los procedimientos penales, en lugar de los actuales instrumentos legales utilizados por las autoridades judiciales (basados, por un lado, en la asistencia judicial, y por otro, en el reconocimiento mutuo) (19).

18.

Evidentemente, las pruebas obtenidas mediante un EEI (véase asimismo el anexo A de la iniciativa) pueden contener datos personales, como en el caso de la información sobre cuentas bancarias (artículo 23), la información sobre transacciones bancarias (artículo 24) y el control de las transacciones bancarias (artículo 25) o puede cubrir la comunicación de datos personales (como en el caso de las videoconferencias o las conferencias por teléfono, establecidas en los artículos 21 y 22).

19.

Por ello, la iniciativa EEI tiene un impacto significativo sobre el derecho de protección de los datos personales. Asimismo, considerando que todavía no ha expirado la fecha de la aplicación de la Decisión marco 2008/978/JAI (y que, por tanto, resulta difícil valorar la eficacia del instrumento y la necesidad de medidas legales adicionales) (20), el SEPD recuerda la necesidad de verificar periódicamente, a la luz de los principios de protección de datos, la eficacia y la proporcionalidad de las medidas legales adoptadas en el ELSJ (21). Por tanto, el SEPD recomienda añadir una cláusula de evaluación a la iniciativa OEP, que exija a los Estados miembros que emitan periódicamente informes en relación con la aplicación del instrumento y que la Comisión sintetice dichos informes y, cuando resulte apropiado, emita las pertinentes propuestas de modificación.

20.

Tal como se ha indicado en los puntos 13, 14 y 18, resulta claro que, de conformidad con las Directivas propuestas, las autoridades competentes de los diversos Estados miembros tratarán e intercambiarán datos personales. Teniendo en cuenta estas circunstancias, la información queda protegida por el derecho fundamental de protección de datos, reconocido en el artículo 16 del TFUE y el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea.

21.

A pesar de lo anterior, en la «Declaración detallada» aneja a la iniciativa OEP el «Riesgo de menoscabo de derechos fundamentales» se ha identificado con un «0» (cero) (22), y en el análisis del impacto incluido en la «Declaración detallada» aneja a la iniciativa OEP las cuestiones de protección de datos no se han tenido en cuenta (23).

22.

El SEPD lamenta estas conclusiones y pone énfasis en la importancia de proteger los datos en el contexto particular en que se tratan los datos personales, a saber:

23.

Este contexto proporciona a las operaciones de tratamiento de datos un particular impacto y podrá afectar de manera significativa a los derechos fundamentales en materia de datos, incluido el derecho de la protección de datos personales.

24.

Debido a las anteriores consideraciones, el SEPD se pregunta el motivo por el que las iniciativas no tratan la protección de los datos personales (aparte de referirse, en el artículo 18 de la iniciativa EEI, a las obligaciones de confidencialidad impuestas a los actores implicados en una investigación) ni hacen referencia de manera explícita a la Decisión marco 2008/977/JAI. De hecho, la Decisión marco sería aplicable a las operaciones de tratamiento previstas por ambas iniciativas [véase el artículo 1, apartado 2, letra a)].

25.

Por este motivo, el SEPD considera una buena noticia el que durante los trabajos preparatorios en el Consejo relativos a la iniciativa OEP, se haya introducido (25) una referencia a la Decisión marco 2008/977/JAI y confía que el Parlamento Europeo confirme este cambio en las iniciativas originales (26).

26.

El SEPD lamenta de que todavía no se haya introducido un considerando similar en la iniciativa EEI, la cual implica un intercambio de datos personales mucho más amplio. El SEPD recibe con agrado que, en este contexto, la Comisión Europea, al comentar la iniciativa EEI, sugiera que debe introducirse una referencia (ya sea en un considerando o en la parte dispositiva) a la aplicabilidad de la Decisión marco 2008/977/JAI (27).

27.

Por tanto, sin perjuicio de lo dispuesto en la sección III, ambas iniciativas deberían incluir una disposición específica que aclare que la Decisión marco 2008/977/JAI resulta de aplicación a los tratamientos de datos previstos por dichas iniciativas.

28.

Una vez más, las dos iniciativas plantean la cuestión esencial de una aplicación incompleta e incoherente de los principios de protección de datos personales en el ámbito de la cooperación judicial en materia penal (28).

29.

El SEPD es consciente de la importancia de mejorar la eficacia de la cooperación judicial entre los Estados miembros, también en los ámbitos cubiertos por las iniciativas OEP y EEI (29). Por otra parte, reconoce las ventajas y la necesidad de intercambiar información, pero desea subrayar que el tratamiento de datos debe respetar —entre otras  (30) — las normas de la Unión Europea en materia de protección de datos. Esto resulta aún más evidente en vistas de que el Tratado de Lisboa introduce el artículo 16 del TFUE y dota de carácter vinculante al artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea.

30.

Las situaciones que impliquen un intercambio transfronterizo de información en el territorio de la Unión merecen una especial atención, ya que el tratamiento de datos personales en más de una jurisdicción aumenta los riesgos contra los derechos y los intereses de las personas físicas implicadas. En esos casos, los datos personales se procesan en múltiples jurisdicciones que poseen distintas exigencias legales y en las que el marco técnico no es necesariamente idéntico.

31.

Por otra parte, esta situación conduce a una inseguridad jurídica para los titulares de los datos, ya que pueden verse implicadas partes de otros Estados miembros, resultar aplicables las legislaciones nacionales de varios Estados miembros y pueden ser distintas de las leyes a las que están habituados o puede resultar aplicable un sistema jurídico al que no están habituados. Esto exige que se lleven a cabo mayores esfuerzos para garantizar que se cumplen los requisitos que emanan de la legislación de la Unión Europea en materia de protección de datos (31).

32.

En opinión del SEPD, la aclaración de la aplicabilidad de la Decisión marco 2008/977/JAI, tal como se contempla en el punto 27, no es más que un primer paso.

33.

Los desafíos específicos para una tutela efectiva en el ámbito de la cooperación judicial en materia penal, junto con la Decisión marco 2008/977/JAI (véanse los puntos 52-56) que no resulta del todo satisfactoria, pueden requerir que se adopten disposiciones específicas en materia de protección de datos, cuando los actos jurídicos específicos de la Unión Europea impliquen el intercambio de datos personales.

34.

La tutela efectiva de los datos personales (tal como se ha resaltado en el punto 29) no sólo es importante para los interesados sino que también contribuye a que la propia cooperación judicial tenga éxito. De hecho, la voluntad de intercambio de estos datos con autoridades de otros Estados miembros se ve incrementada si se garantiza un nivel de protección, exactitud y fiabilidad de los datos personales en el otro Estado miembro (32). En resumen, el establecimiento de un (elevado) nivel común en este delicado ámbito promovería la confianza mutua entre los Estados miembros y reforzaría la cooperación judicial basada en el reconocimiento mutuo, mejorando así la calidad de los datos sometidos a un intercambio de información.

35.

En este concreto contexto, el SEPD recomienda incluir en las iniciativas OEP y EEI garantías específicas para la protección de datos, además de una referencia general a la Decisión marco 2008/977/JAI (tal como se ha propuesto en el punto 27).

36.

Algunas de estas garantías son más de carácter general y están destinadas a ser incluidas en ambas iniciativas, en especial las garantías que tienen como fin mejorar la exactitud de los datos, así como la seguridad y la confidencialidad. En cambio, otras garantías se refieren a disposiciones específicas de la iniciativa OEP o de la iniciativa EEI.

37.

En las situaciones previstas en las iniciativas en que los Estados miembros intercambian datos debe ponerse especial énfasis en garantizar que la información sea exacta. A este respecto, el SEPD recibe con satisfacción que la iniciativa OEP incluya en su artículo 14 una obligación clara de la autoridad competente del Estado de emisión de informar a la autoridad competente del Estado de ejecución de toda modificación, expiración o revocación de la orden de protección.

38.

Asimismo, el SEPD también destaca que la necesidad de traducción podría afectar a la exactitud de la información, en especial dado que las iniciativas hacen referencia a instrumentos jurídicos específicos que podrían tener un significado distinto en diversas lenguas y en los distintos sistemas jurídicos. En este contexto, el SEPD además de recibir con agrado el hecho de que la iniciativa OEP trate la cuestión de las traducciones (artículo 16), sugiere asimismo que se incluya una disposición similar en la iniciativa EEI.

39.

El aumento de la cooperación transfronteriza que podría resultar de la adopción de estas dos iniciativas exige una atenta consideración de los aspectos de seguridad de la transmisión transfronteriza de los datos personales relacionados con la aplicación de las órdenes europeas de protección y de los exhortos europeos de investigación (33). Esto es necesario, no sólo para cumplir los niveles de seguridad del tratamiento de los datos personales establecidos en el artículo 22 de la Decisión marco 2008/977/JAI, sino también para garantizar el secreto de las investigaciones y la confidencialidad de los procedimientos penales, regulada en el artículo 18 de la iniciativa EEI y, como norma general, para los datos personales derivados del intercambio transfronterizo, en virtud del artículo 21 de la Decisión marco 2008/977/JAI.

40.

El SEPD pone énfasis en la necesidad de contar con sistemas de telecomunicaciones seguros en los procedimientos de transmisión. Por tanto, recibe con satisfacción la disposición para el uso de la Red Judicial Europea (34) como medio para garantizar que la OEP y el EEI se envían correctamente a las autoridades nacionales competentes, impidiendo o minimizando el riesgo de que resulten implicadas autoridades inadecuadas en el intercambio de datos personales (véase el artículo 7, apartados 2 y 3, de la iniciativa OEP y el artículo 6, apartados 3 y 4, de la iniciativa EEI).

41.

Por ello, las iniciativas deberían incluir disposiciones que exijan a los Estados miembros que garanticen que:

42.

Asimismo, el SEPD recomienda la introducción de disposiciones que garanticen que se observan los principios sustantivos de protección de datos al procesar datos personales y que se dispone de los mecanismos internos necesarios para demostrar su cumplimiento a las partes interesadas externas. Dichas disposiciones serían instrumentos para responsabilizar a las personas que se encargan de controlar los datos [de conformidad con el «principio de responsabilización» que se discute en el contexto de la actual revisión del marco de protección de datos (35)]. Esto les exige que adopten las medidas necesarias para garantizar el cumplimiento. Dichas disposiciones deberán incluir:

43.

Teniendo en cuenta las características especialmente intrusivas de determinadas medidas de investigación, el SEPD invita a que se haga una reflexión general sobre la admisibilidad de las pruebas obtenidas para fines distintos de los de la prevención, la investigación, la detección o el enjuiciamiento de delitos, o para la aplicación de sanciones penales y el ejercicio del derecho de defensa. En particular, debe considerarse detenidamente el uso de las pruebas obtenidas en virtud del artículo 11, apartado 1, letra d), de la Decisión marco 2008/977/JAI (36).

44.

Por tanto, debe incluirse en la iniciativa EEI una excepción a lo dispuesto en el artículo 11, apartado 1, letra d), que indique que las pruebas obtenidas mediante un EEI no podrán ser utilizadas para fines distintos de los de la prevención, la investigación, la detección o el enjuiciamiento de delitos, o la aplicación de sanciones penales y el ejercicio del derecho de defensa.

45.

En lo que respecta a la iniciativa OEP, el SEPD reconoce que los datos personales intercambiados entre las autoridades competentes y que se contemplan en el anexo I de la iniciativa (relativos tanto a la víctima como a la persona causante del peligro) son adecuados, relevantes y no excesivos en relación con los fines para los que han sido obtenidos y posteriormente tratados.

46.

Sin embargo, lo que no queda suficientemente claro en la iniciativa —especialmente en el artículo 8, apartado 1, letra b)— es cuáles son los datos personales relacionados con la víctima que la autoridad competente del Estado de ejecución comunicará a la persona causante del peligro.

47.

El SEPD estima que es adecuado tener en cuenta las circunstancias y el contenido de las medidas de protección dictadas por el Estado miembro de emisión antes de informar a la persona causante del peligro. Por tanto, esta última deberá conocer únicamente aquellos datos personales de la víctima (que, en algunos casos, podrá incluir datos de contacto) que sean estrictamente relevantes para la plena ejecución de la medida de protección.

48.

El SEPD es consciente de que facilitar información de contacto (por ejemplo, números de teléfono, la dirección de la víctima así como otros lugares que frecuente, como el lugar de trabajo o la escuela de sus hijos) puede, de hecho, poner en peligro el bienestar físico y psicológico de la víctima, así como afectar a su derecho a la intimidad y a la protección de los datos personales. Por otro lado, en algunos casos es necesario indicar las direcciones pertinentes para advertir a la persona causante del peligro de los lugares a los que tiene prohibido ir, y facilitar de este modo que cumpla con la orden y evitar las eventuales sanciones por un posible incumplimiento. Asimismo, dependiendo de las circunstancias, puede ser necesaria la identificación del lugar al que la persona causante del peligro tiene prohibido ir, con el fin de no limitar de manera innecesaria su libre circulación.

49.

Teniendo en cuenta estas consideraciones, el SEPD destaca la importancia de esta cuestión y recomienda que la iniciativa OEP establezca claramente que, en función de las circunstancias del caso, la persona causante del peligro pueda únicamente conocer aquellos datos personales de la víctima (que en algunos casos pueden incluir los datos de contacto) que sean estrictamente necesarios para la plena ejecución de la medida de protección (37).

50.

Por último, el SEPD pide que se aclare la expresión «medios electrónicos» incluida en el considerando 10 de la iniciativa OEP. En particular, debe explicarse si los datos personales se tratan usando «medios electrónicos» y, en ese caso, las garantías que se proporcionan.

51.

La Decisión marco 2008/977/JAI se aplicará a todos los intercambios de datos personales en virtud de las iniciativas OEP y EEI.

52.

El SEPD, aunque reconoce que la Decisión marco 2008/977/JAI (cuando son los Estados miembros quienes la aplican) constituye un importante paso adelante para la protección de datos en la cooperación policial y judicial (38), opina que la propia Decisión marco no es del todo satisfactoria (39). La principal cuestión sin resolver está relacionada con su restringido ámbito de aplicación. La Decisión marco se limita a los intercambios de datos personales en el ámbito policial y judicial entre las autoridades y los sistemas de los distintos Estados miembros y a nivel de la Unión (40).

53.

Aunque esta cuestión no puede solucionarse en el contexto de las iniciativas OEP y EEI, el SEPD insiste en resaltar que la falta de un (elevado) nivel común de protección de datos en la cooperación judicial podría implicar que cuando una autoridad judicial a nivel nacional o de la Unión se ocupe de un expediente penal que incluya información que tiene origen en otros Estados miembros (incluida, por ejemplo, las pruebas obtenidas sobre la base de un EEI) deba aplicar distintas normas de tratamiento de datos: régimen autónomo nacional (que deberá cumplir con el Convenio del Consejo de Europa no 108) para datos procedentes del propio Estado miembro y las normas de desarrollo de la Decisión marco 2008/977/JAI para los datos procedentes de otros Estados miembros. Por ello, distintos «elementos de información» pueden estar incluidos en sistemas jurídicos diferentes.

54.

Las consecuencias de la aplicación de este «doble» nivel de protección de datos a cada expediente penal con elementos transfronterizos son importantes en la práctica diaria (por ejemplo, conservación de la información establecida por las leyes aplicables a cada organismo transmisor; en caso de solicitud de un tercer país, cada organismo transmisor dará su consentimiento de acuerdo con su propia evaluación de la adecuación o de los compromisos internacionales; y las diferencias de las normativas sobre el derecho de acceso de los interesados). Además, la protección de los ciudadanos y sus derechos podrían variar enormemente y estarían sujetos a diversas excepciones generales dependiendo del Estado miembro en que tenga lugar el tratamiento (41).

55.

Por tanto, el SEPD desea aprovechar esta ocasión para reiterar su opinión en relación con la necesidad de un marco jurídico de protección de datos general que cubra todos los ámbitos de competencia de la Unión Europea, incluidos el ámbito policial y judicial, que se aplique tanto a los datos personales transmitidos o puestos a disposición por las autoridades competentes de otros Estados miembros como al tratamiento nacional en el ELSJ (42).

56.

Por último, el SEPD observa que las normas de protección de datos deberían aplicarse a todos los sectores y al uso de los datos para todos los fines (43). Por supuesto, son posibles las excepciones debidamente justificadas y redactadas con claridad, en especial respecto de los datos personales tratados a efectos represivos (44). Las diferencias en el nivel de protección de los datos personales son contrarias al actual marco jurídico (renovado) de la Unión Europea. El artículo 3, apartado 2, de la Directiva 95/46/CE —con excepción del ámbito de aplicación de la Directiva en el ámbito policial y judicial— no es conforme con la filosofía que dimana del artículo 16 del TFUE. Asimismo, estas diferencias tampoco están lo suficientemente cubiertas por el Convenio no 108 del Consejo de Europa (45), que obliga a todos los Estados miembros.

57.

El SEPD recomienda en relación tanto con la iniciativa OEP como con la iniciativa EEI:

58.

En relación con la iniciativa OEP, el SEPD recomienda:

59.

En relación con la iniciativa EEI, el SEPD recomienda:

60.

Por otro lado, de manera más general, el SEPD: