COMISIÓN EUROPEA
Bruselas, 1.12.2021
COM(2021) 767 final
2021/0399(COD)
Propuesta de
DIRECTIVA DEL PARLAMENTO EUROPEO Y DEL CONSEJO
por la que se modifica la Decisión 2005/671/JAI del Consejo en lo que respecta a su alineamiento con las normas de la Unión sobre protección de datos personales
EXPOSICIÓN DE MOTIVOS
1.Razones y objetivos de la propuesta
1.1.Razones de la propuesta
La Directiva (UE) 2016/680 1 (Directiva sobre protección de datos en el ámbito penal) entró en vigor el 6 de mayo de 2016 y los Estados miembros tuvieron hasta el 6 de mayo de 2018 para transponerla a sus ordenamientos jurídicos. Derogó y sustituyó la Decisión Marco 2008/977/JAI del Consejo 2 . Su ámbito de aplicación es muy amplio, ya que es el primer instrumento que asume un planteamiento global para el tratamiento de datos en el ámbito penal. Se aplica al tratamiento tanto nacional como transfronterizo de datos personales por parte de las autoridades competentes para prevenir, investigar, detectar o enjuiciar infracciones penales y ejecutar sanciones penales, especialmente proteger frente a las amenazas contra la seguridad pública y prevenirlas.
El artículo 62, apartado 6, de la Directiva sobre protección de datos en el ámbito penal obliga a la Comisión a revisar, antes del 6 de mayo de 2019, otros actos jurídicos de la UE que regulen el tratamiento de datos personales por parte de las autoridades competentes con fines penales. El objetivo de esta revisión es valorar la necesidad de armonizarlos con la Directiva sobre protección de datos en el ámbito penal y presentar propuestas de modificación a fin de asegurar la coherencia con la protección de datos que garantiza la Directiva.
La Comisión expuso las conclusiones de su revisión en la Comunicación «Manera de avanzar en la alineación del acervo del antiguo tercer pilar con las normas en materia de protección de datos» 3 (24 de junio de 2020), en la que se especifican los actos jurídicos que deben armonizarse con la Directiva sobre protección de datos en el ámbito penal. La Decisión 2005/671/JAI del Consejo figura en la lista, por lo que la Comisión indicó que presentaría modificaciones específicas.
De conformidad con el artículo 6 de la Directiva sobre protección de datos en el ámbito penal, los Estados miembros deben disponer que las autoridades competentes establezcan una distinción clara entre los datos personales de las distintas categorías de interesados, especialmente:
·personas respecto de las cuales existan motivos fundados para presumir que han cometido o van a cometer una infracción penal;
·personas condenadas por una infracción penal;
·víctimas de una infracción penal o terceras partes involucradas en una infracción penal.
De conformidad con el artículo 8, apartado 1, de la Directiva sobre protección de datos en el ámbito penal, los Estados miembros deben velar por que el tratamiento sea lícito. Esto significa que una autoridad competente solo puede tratar datos personales en la medida en que sea necesario para la ejecución de una tarea contemplada en la Directiva sobre protección de datos en el ámbito penal. El artículo 8, apartado 2, de la Directiva sobre protección de datos en el ámbito penal exige que el Derecho nacional que regule el tratamiento dentro del ámbito de aplicación de la Directiva indique al menos los objetivos del tratamiento, los datos personales que vayan a ser objeto del mismo y las finalidades del tratamiento.
Para luchar contra el terrorismo de forma efectiva, es fundamental que las autoridades competentes y agencias de la Unión intercambien entre ellas de manera eficaz la información que consideren pertinente las autoridades competentes en materia de prevención, detección, investigación o enjuiciamiento de delitos de terrorismo. Este intercambio de información debe llevarse a cabo respetando plenamente el derecho a la protección de datos y en consonancia con las condiciones establecidas por la Directiva sobre protección de datos en el ámbito penal.
La Decisión 2005/671/JAI del Consejo, de 20 de septiembre de 2005, relativa al intercambio de información y a la cooperación sobre delitos de terrorismo 4 , establece que, para luchar contra el terrorismo, es esencial disponer de la información más completa y actualizada posible. La persistencia y complejidad de la amenaza terrorista hacen necesario un mayor intercambio de información.
En este contexto, la Decisión 2005/671/JAI del Consejo establece que los Estados miembros deben recabar toda la información pertinente relativa a las investigaciones criminales por delitos de terrorismo que afecten o puedan afectar a dos o más Estados miembros y transmitirla a Europol 5 . Los Estados miembros también deben recabar toda la información pertinente relativa a los procesos y condenas penales por delitos de terrorismo que afecten o puedan afectar a dos o más Estados miembros y enviarla a Eurojust. Cada Estado miembro debe también comunicar toda la información pertinente recabada por sus autoridades competentes en los procesos penales relacionados con delitos de terrorismo. Esta información debe comunicarse rápidamente a las autoridades competentes de otro Estado miembro en el que pueda utilizarse para prevenir, detectar, investigar o enjuiciar delitos de terrorismo.
Desde 2005, la importancia del intercambio de información entre los Estados miembros y con Europol y Eurojust se ha hecho más evidente. La Directiva (UE) 2017/541, relativa a la lucha contra el terrorismo 6 , modificó la Decisión 2005/671/JAI del Consejo para garantizar que la información se comparta entre los Estados miembros de manera eficaz y oportuna, teniendo en cuenta la amenaza grave que plantean los delitos de terrorismo.
El considerando 7 de la Decisión 2005/671/JHA del Consejo reconoce que la Decisión respeta los derechos fundamentales y los principios reconocidos por la Carta de los Derechos Fundamentales de la Unión Europea. El artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea consagra como derecho fundamental la protección de los datos de carácter personal. El artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE) establece asimismo el principio según el cual toda persona tiene derecho a la protección de sus datos de carácter personal. Además, el artículo 16, apartado 2, del TFUE introdujo una base jurídica específica para la adopción de normativa de protección de datos personales.
La normativa de la Unión en materia de protección de datos ha evolucionado desde la adopción de la Decisión 2005/671/JAI del Consejo. En particular y como ya se ha mencionado, basándose en el artículo 16, apartado 2, del TFUE, el Parlamento Europeo y el Consejo adoptaron la Directiva sobre protección de datos en el ámbito penal, que entró en vigor el 6 de mayo de 2016. La Directiva sobre protección de datos en el ámbito penal es un instrumento horizontal y global de protección de datos. Es importante señalar que se aplica a todas las operaciones de tratamiento (tanto nacionales como transfronterizas) llevadas a cabo por las autoridades competentes con fines penales.
1.2.Objetivo de la propuesta
La propuesta tiene por objeto aproximar la Decisión 2005/671/JAI del Consejo a los principios y reglas establecidos en la Directiva sobre protección de datos en el ámbito penal, con el fin de garantizar un enfoque coherente de la protección concedida a las personas en lo que respecta al tratamiento de datos personales. Según la Comunicación de la Comisión de 24 de junio de 2020, la alineación de la Decisión 2005/671/JAI debe:
·especificar que el tratamiento de datos personales en virtud de la Decisión 2005/671/JAI del Consejo solo podrá tener lugar para la prevención, investigación, detección y enjuiciamiento de delitos de terrorismo, de conformidad con el principio de limitación de la finalidad;
·definir de manera más precisa en el Derecho de la Unión o de los Estados miembros las categorías de datos personales que pueden intercambiarse, en cumplimiento de los requisitos del artículo 8, apartado 2, de la Directiva sobre protección de datos en el ámbito penal, teniendo debidamente en cuenta las necesidades operativas de las autoridades de que se trate.
1.3.Coherencia con las disposiciones existentes en la misma política sectorial
La presente propuesta de Directiva tiene en cuenta las modificaciones de la Decisión 2005/671/JAI ligadas a la propuesta de Reglamento relativo al intercambio de información digital en casos de terrorismo, que la Comisión presentó junto con la presente propuesta. Dicha propuesta de Reglamento forma parte del paquete de digitalización de la justicia, elaborado por la Comisión a raíz de la Comunicación sobre la digitalización de la justicia 7 . Una vez se adopte, derogará las disposiciones sobre el intercambio de información en casos transfronterizos de terrorismo relativas a Eurojust de la Decisión 2005/671/JAI y las introducirá en el Reglamento sobre Eurojust [Reglamento (UE) 2018/1727] 8 . Otra modificación conexa es la eliminación de las referencias a Eurojust en la Decisión 2005/671/JAI del Consejo. Será necesaria una coordinación estrecha en todo el proceso legislativo para garantizar la coherencia de las modificaciones que recogen la propuesta de Reglamento y la presente propuesta de Directiva.
2.BASE JURÍDICA, SUBSIDIARIEDAD Y PROPORCIONALIDAD
2.1.Base jurídica
La armonización de la Decisión 2005/671/JAI del Consejo con la Directiva sobre protección de datos en el ámbito penal se basa en el artículo 16, apartado 2, del TFUE. El artículo 16, apartado 2, del TFUE contempla la adopción de normas de protección de las personas físicas en lo que respecta al tratamiento de los datos personales por parte de las autoridades competentes de los Estados miembros cuando lleven a cabo actividades de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales que entren dentro del ámbito de aplicación del Derecho de la UE. También contempla la adopción de normas sobre la libre circulación de los datos personales, especialmente en lo que se refiere a los intercambios de datos personales por parte de las autoridades competentes dentro de la UE.
2.2.Subsidiariedad (en el caso de competencia no exclusiva)
Solo la UE puede adaptar los actos de la UE a las reglas establecidas en la Directiva sobre protección de datos en el ámbito penal. Por lo tanto, solo la UE puede adoptar un acto legislativo por el que se modifique la Decisión 2005/671/JAI del Consejo.
2.3.Proporcionalidad
La presente propuesta tiene por objeto adaptar un acto jurídico de la UE vigente a un acto jurídico de la UE posterior, como dispone este último, sin modificar su ámbito de aplicación. De acuerdo con el principio de proporcionalidad y con el fin de lograr los objetivos básicos de garantizar un nivel elevado de protección de las personas físicas en relación con el tratamiento de los datos personales y la libre circulación de los datos personales en toda la UE, es necesario establecer normas sobre el tratamiento de los datos personales por parte de las autoridades competentes de los Estados miembros para prevenir, investigar, detectar o enjuiciar las infracciones penales, inclusive la protección frente a las amenazas contra la seguridad pública y la prevención de las mismas. La presente propuesta no excede de lo necesario para lograr los objetivos perseguidos, de conformidad con lo dispuesto en el artículo 5, apartado 4, del TUE.
2.4.Elección del instrumento
La presente propuesta tiene por objeto modificar una Decisión del Consejo que se adoptó antes de la entrada en vigor del Tratado de Lisboa en 2009. La base jurídica de la Decisión 2005/671/JAI del Consejo, a saber, el artículo 34, apartado 2, letra c), del TUE, que era aplicable en 2005, ya no existe. Las disposiciones pertinentes de la Decisión 2005/671/JAI establecen obligaciones para los Estados miembros similares a las de una directiva, en lugar de normas autónomas directamente aplicables. Por consiguiente, el instrumento más adecuado para modificar la Decisión del Consejo con arreglo al artículo 16, apartado 2, del TFUE es una directiva del Parlamento Europeo y del Consejo.
3.Explicación de las disposiciones específicas de la propuesta
La presente propuesta modifica la Decisión 2005/671/JAI del Consejo en los extremos siguientes:
Para definir los fines del tratamiento de datos personales, el artículo 1, apartado 2, letra a), de la propuesta introduce un nuevo párrafo en el artículo 2, apartado 3, de la Decisión del Consejo, que especifica que los datos personales se tratan para prevenir, investigar, detectar o enjuiciar delitos de terrorismo.
Para definir las categorías de datos que deben tratarse, el artículo 1, apartado 2, letras b) y c), de la propuesta añade nuevos párrafos al artículo 2 de la Decisión del Consejo, que especifican que las categorías de datos personales que pueden intercambiarse con Europol deben ser las especificadas en el Reglamento Europol, y que las categorías de datos personales que pueden intercambiar los Estados miembros con fines de prevención, investigación, detección o enjuiciamiento de delitos de terrorismo deben ser las especificadas en los respectivos Derechos nacionales.
Además, con el fin de actualizar la Decisión del Consejo a la luz de la evolución posterior de la normativa y, en particular, de garantizar que la disposición modificativa mencionada remita al instrumento normativo correcto, la propuesta suprime la letra b) del artículo 1 de la Decisión del Consejo, que alude al Convenio Europol. Las disposiciones pertinentes de la Decisión del Consejo, en su versión modificada, se refieren, en cambio, al Reglamento Europol.
2021/0399 (COD)
Propuesta de
DIRECTIVA DEL PARLAMENTO EUROPEO Y DEL CONSEJO
por la que se modifica la Decisión 2005/671/JAI del Consejo en lo que respecta a su alineamiento con las normas de la Unión sobre protección de datos personales
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 16, apartado 2,
Vista la propuesta de la Comisión Europea,
Previa transmisión del proyecto de acto legislativo a los parlamentos nacionales,
De conformidad con el procedimiento legislativo ordinario,
Considerando lo siguiente:
(1)La Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo 9 establece normas armonizadas para la protección y libre circulación de datos personales tratados con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención. La Directiva exige a la Comisión que revise otros actos pertinentes del Derecho de la Unión con el fin de valorar la necesidad de adaptarlos a dicha Directiva y presentar, en caso necesario, las propuestas de modificación de dichos actos para garantizar un enfoque coherente de la protección de los datos personales incluidos en el ámbito de aplicación de dicha Directiva.
(2)La Decisión 2005/671/JAI del Consejo 10 establece reglas específicas sobre el intercambio de información y la cooperación en materia de delitos de terrorismo. Con el fin de garantizar un enfoque coherente de la protección de los datos personales en la Unión, dicha Decisión debe modificarse para adaptarla a la Directiva (UE) 2016/680. En particular, dicha Decisión debe especificar, de manera coherente con la Directiva (UE) 2016/680, la finalidad del tratamiento de datos personales e indicar las categorías de datos personales que pueden intercambiarse, de conformidad con los requisitos del artículo 8, apartado 2, de la Directiva (UE) 2016/680, teniendo debidamente en cuenta las necesidades operativas de las autoridades de que se trate.
(3)En aras de la claridad, deben actualizarse las referencias que figuran en la Decisión 2005/671/JAU a los instrumentos normativos que rigen el funcionamiento de la Agencia de la Unión Europea para la Cooperación Policial (Europol).
(4)De conformidad con el artículo 6 bis del Protocolo n.º 21 sobre la posición del Reino Unido y de Irlanda respecto del espacio de libertad, seguridad y justicia, anejo al Tratado de la Unión Europea y al Tratado de Funcionamiento de la Unión Europea, Irlanda está vinculada por la Decisión 2005/671/JAI y, por lo tanto, participa en la adopción de la presente Directiva.
(5)De conformidad con los artículos 1 y 2 del Protocolo n.º 22 sobre la posición de Dinamarca, anejo al Tratado de la Unión Europea y al Tratado de Funcionamiento de la Unión Europea, Dinamarca no participa en la adopción de la presente Directiva y no queda vinculada por esta ni sujeta a su aplicación.
(6)El Supervisor Europeo de Protección de Datos, a quien se consultó de conformidad con el artículo 42, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo 11 , emitió su dictamen el XX de XX de 20XX.
HAN ADOPTADO LA PRESENTE DIRECTIVA:
Artículo 1
La Decisión 2005/671/JAI se modifica como sigue:
1)En el artículo 1, se suprime la letra b).
2)El artículo 2 se modifica como sigue:
a)en el apartado 3, se añade el párrafo siguiente:
«Cada Estado miembro se asegurará de que los datos personales sean tratados de conformidad con el párrafo primero únicamente con fines de prevención, investigación, detección o enjuiciamiento de delitos de terrorismo.»;
b)en el apartado 4, se añade el párrafo siguiente:
«Las categorías de datos personales que deban transmitirse a Europol para los fines mencionados en el apartado 3 se limitarán a las especificadas en el anexo II, sección B, punto 2, del Reglamento (UE) 2016/794.»;
c)en el apartado 6, se añade el párrafo siguiente:
«Las categorías de datos personales que podrán intercambiar los Estados miembros para los fines mencionados en el párrafo primero se limitarán a las especificadas en el anexo II, sección B, punto 2, del Reglamento (UE) 2016/794.».
Artículo 2
1.Los Estados miembros pondrán en vigor a más tardar [un año después de su adopción] las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la presente Directiva. Comunicarán inmediatamente a la Comisión el texto de dichas disposiciones.
Cuando los Estados miembros adopten dichas disposiciones, estas harán referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de la mencionada referencia.
2.Los Estados miembros comunicarán a la Comisión el texto de las principales disposiciones de Derecho interno que adopten en el ámbito regulado por la presente Directiva.
Artículo 3
La presente Directiva entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Artículo 4
Los destinatarios de la presente Directiva son los Estados miembros de conformidad con los Tratados.
Hecho en Bruselas, el
Por el Parlamento Europeo Por el Consejo
El Presidente El Presidente / La Presidenta