9.6.2022   

ES

Diario Oficial de la Unión Europea

C 225/6


Resumen del Dictamen del Supervisor Europeo de Protección de Datos sobre la propuesta de un Reglamento relativo al intercambio automatizado de datos para la cooperación policial («Prüm II»)

El texto completo del presente Dictamen está disponible en inglés, francés y alemán en el sitio web del SEPD: www.edps.europa.eu.

(2022/C 225/04)

El 8 de diciembre de 2021, la Comisión Europea adoptó una propuesta de Reglamento del Parlamento Europeo y del Consejo relativo al intercambio automatizado de datos para la cooperación policial («Prüm II»), por el que se modifican las Decisiones 2008/615/JAI y 2008/616/JAI del Consejo (las conocidas como «Decisiones Prüm») y los Reglamentos (UE) 2018/1726, 2019/817 y 2019/818 del Parlamento Europeo y del Consejo. La propuesta se inscribe dentro de un paquete legislativo más amplio, también conocido como «Código de cooperación policial de la UE», que también incluye una propuesta de Directiva del Parlamento Europeo y del Consejo relativa al intercambio de información entre las autoridades policiales de los Estados miembros ( objeto de otro dictamen del SEPD) y una propuesta de Recomendación del Consejo relativa a la cooperación policial operativa.

El objetivo de la propuesta es intensificar la cooperación policial y, en particular, el intercambio de información entre las autoridades responsables de la prevención, detección e investigación de infracciones penales, estableciendo para ello las condiciones y procedimientos para la búsqueda automatizada de perfiles de ADN, datos dactiloscópicos (impresiones dactilares), imágenes faciales, ficheros policiales y ciertos datos de matriculación de vehículos, así como el intercambio de datos tras una concordancia.

Pese a que el SEPD entiende la necesidad que tienen las autoridades policiales de disponer de las mejores herramientas jurídicas y técnicas posibles para detectar, investigar y prevenir infracciones penales, observa que el nuevo marco propuesto de Prüm no establece de un modo claro algunos elementos esenciales del intercambio de datos, como los tipos de infracciones penales que podrían justificar una consulta, y no indica con suficiente claridad a qué interesados afecta el intercambio automatizado de datos: si, p. ej., las bases de datos consultadas contienen exclusivamente datos de sospechosos y delincuentes condenados o también de otros interesados, como las víctimas o los testigos.

El SEPD considera en particular que la búsqueda automatizada de perfiles de ADN e imágenes faciales solo debe permitirse en el contexto de las investigaciones individuales de delitos graves y no, como prevé la propuesta, en la investigación de cualquier infracción penal. Además, el SEPD también considera necesario introducir en la propuesta unos requisitos y condiciones comunes para los datos incluidos en las bases de datos nacionales que se pongan a disposición de las búsquedas automatizadas, teniendo debidamente en cuenta la obligación, contemplada en el artículo 6 de la Directiva 2016/680 sobre protección de datos, en el ámbito penal, de distinguir entre diferentes categorías de interesados (esto es, delincuentes condenados, sospechosos, víctimas, etc.).

Al SEPD le preocupan, además, las implicaciones que tendrían para los derechos fundamentales de las personas afectadas la búsqueda y el intercambio automatizados de ficheros policiales, tal como se recoge en la propuesta. Considera en este sentido que no se ha demostrado suficientemente la necesidad de la búsqueda y el intercambio automatizados de datos de ficheros policiales. Si, aun así, llegara a adoptarse este tipo de medida, incluso con carácter voluntario, serían necesarias unas sólidas salvaguardias adicionales para cumplir con el principio de proporcionalidad. Teniendo en cuenta, en concreto, las dificultades para garantizar la calidad de los datos, el futuro Reglamento debería, entre otras cuestiones, definir de manera explícita los tipos y/o la gravedad de las infracciones penales que puedan justificar una consulta automatizada en los ficheros policiales nacionales.

Por lo que respecta a la inclusión de Europol en el marco de Prüm, el SEPD estima que sus observaciones y recomendaciones, formuladas en el Dictamen 4/2021, sobre la propuesta de modificación del Reglamento relativo a Europol son plenamente aplicables en el contexto de la cooperación Prüm, en particular, las relativas al denominado «reto de los macrodatos»; esto es, el tratamiento por la Agencia de enormes y complejos conjuntos de datos. El SEPD desea recordar al respecto dos de los principales mensajes del citado Dictamen sobre el Reglamento relativo a Europol: en primer lugar, que, dadas las mayores competencias, la supervisión también debería ser mayor, y, en segundo lugar, pero no menos importante, que no debe permitirse que ninguna excepción aplicable prevista en la normativa acabe convirtiéndose en la norma.

La propuesta prevé una arquitectura compleja para la búsqueda y el intercambio automatizados de datos dentro del marco de Prüm, con tres soluciones técnicas independientes, desarrolladas y gestionadas por tres entidades diferentes. El SEPD considera que la propuesta debería recoger de un modo más explícito la responsabilidad por el tratamiento de los datos personales, en particular, en EUCARIS, que no se basa en el Derecho de la Unión y tiene naturaleza intergubernamental. Además, el SEPD considera que, habida cuenta de la magnitud y la sensibilidad de las operaciones de tratamiento de datos personales, el modelo de gobernanza horizontal propuesto en el marco de Prüm no es el adecuado y debería reforzarse, p. ej., asignando tareas centrales de coordinación a una entidad de la UE, como, por ejemplo, la Comisión.

Por otra parte, en aras de la seguridad jurídica, el SEPD considera que debería aclararse expresamente la relación entre las disposiciones de la propuesta relativas a la protección de datos y el marco jurídico de la UE en esta materia, en particular, la Directiva sobre protección de datos en el ámbito penal y el Reglamento (UE) 2018/1725.

El Dictamen también analiza otros aspectos concretos y ofrece recomendaciones sobre los mismos, como el vínculo entre el marco de Prüm y el marco de interoperabilidad, la transferencia de datos a terceros países y organizaciones internacionales o la supervisión de las operaciones de tratamiento a efectos de la cooperación Prüm.

1.   INTRODUCCIÓN Y ANTECEDENTES

1.

El 8 de diciembre de 2021, la Comisión Europea adoptó una propuesta de Reglamento del Parlamento Europeo y del Consejo relativo al intercambio automatizado de datos para la cooperación policial («Prüm II»), por el que se modifican las Decisiones 2008/615/JAI y 2008/616/JAI del Consejo y los Reglamentos (UE) 2018/1726, 2019/817 y 2019/818 del Parlamento Europeo y del Consejo (en lo sucesivo, la «propuesta») (1).

2.

La propuesta se inscribe dentro de un paquete legislativo más amplio, conocido como «Código de cooperación policial de la UE», que también incluye:

una propuesta de Directiva del Parlamento Europeo y del Consejo relativa al intercambio de información entre las autoridades policiales de los Estados miembros, por la que se deroga la Decisión Marco 2006/960/JAI del Consejo (2); y

una propuesta de Recomendación del Consejo relativa a la cooperación policial operativa (3).

3.

Tal como ha señalado la Comisión, el Código de cooperación policial de la UE tiene por objeto intensificar la cooperación policial entre los Estados miembros y, en particular, el intercambio de información entre las autoridades responsables (4). A tal efecto, la propuesta establece las condiciones y procedimientos para la búsqueda automatizada de perfiles de ADN, datos dactiloscópicos (impresiones dactilares), imágenes faciales, ficheros policiales y ciertos datos de matriculación de vehículos, así como el intercambio de datos entre las autoridades responsables de la prevención, detección e investigación de infracciones penales tras una concordancia.

4.

La propuesta y, en términos más generales, el Código de cooperación policial de la UE están relacionados con los objetivos políticos contemplados en varios documentos estratégicos de la UE en el área de Justicia y Asuntos de Interior, en particular, la Estrategia de la UE para una Unión de la Seguridad (5), la Estrategia de la UE contra la Delincuencia Organizada 2021-2025 (6) y la Estrategia de 2021 para el espacio Schengen (7). Por otra parte, las propuestas por las que se establece el Código de cooperación policial deben estudiarse a la luz de la reforma actual de Europol y el creciente papel de la Agencia como eje para el intercambio de información penal en la Unión, donde se recopila y trata una cantidad de datos cada vez mayor (8).

5.

El 5 de enero de 2022, la Comisión realizó una consulta al SEPD acerca de la propuesta de Reglamento Prüm II en virtud del artículo 42, apartado 1, del Reglamento (UE) 2018/1725. Las observaciones y recomendaciones del presente Dictamen se limitan a las disposiciones de la propuesta que resultan más pertinentes desde el punto de vista de la protección de datos.

4.   CONCLUSIONES

73.

El nuevo marco de Prüm propuesto no establece de un modo claro algunos elementos esenciales del intercambio de datos, como, por ejemplo, los tipos de infracciones penales que podrían justificar una consulta (búsqueda), especialmente de perfiles de ADN; esto es: todas las infracciones penales o solo los delitos más graves. La propuesta tampoco indica con suficiente claridad a qué interesados afecta el intercambio automatizado de datos; es decir, si las bases de datos consultadas contienen exclusivamente datos de sospechosos o delincuentes condenados, o también de otros interesados, como las víctimas o los testigos.

74.

A fin de garantizar la necesidad y la proporcionalidad de la injerencia en el derecho fundamental a la protección de los datos de carácter personal, contempladas en el artículo 52, apartado 1, de la Carta, resulta esencial aclarar el ámbito de aplicación personal y material de las medidas; es decir, las categorías de interesados a los que afectarán directamente y las condiciones objetivas que puedan justificar una consulta automatizada en la respectiva base de datos de otros Estados miembros o de Europol.

75.

El SEPD considera en particular que la búsqueda automatizada de perfiles de ADN e imágenes faciales solo debe permitirse en el contexto de las distintas investigaciones de delitos graves y no, como prevé la propuesta, en la investigación de cualquier infracción penal. Por otra parte, en cumplimiento de la obligación, prevista en el artículo 6 de la Directiva 2016/680, de distinguir entre diferentes categorías de interesados, la propuesta debería restringir las categorías de interesados cuyos perfiles de ADN e imágenes faciales almacenados en las bases de datos nacionales deban estar disponibles para las búsquedas automatizadas, teniendo en cuenta en especial la finalidad limitada inherente a los datos de otras categorías distintas de los delincuentes condenados o los sospechosos.

76.

El SEPD considera que no se ha demostrado de manera suficiente la necesidad de la búsqueda y el intercambio automatizados de datos de ficheros policiales. Si, aun así, llegara a adoptarse este tipo de medida, incluso con carácter voluntario, serían necesarias unas sólidas salvaguardias adicionales para cumplir con el principio de proporcionalidad. Teniendo en cuenta en concreto las dificultades para garantizar la calidad de los datos, que no pueden subsanarse exclusivamente mediante medidas técnicas, como la seudonimización, el futuro Reglamento debería, como mínimo, establecer los tipos o la gravedad de las infracciones penales que puedan justificar una búsqueda automatizada en los ficheros policiales nacionales.

77.

Por lo que respecta a la inclusión de Europol en el marco de Prüm, el SEPD estima que sus observaciones y recomendaciones formuladas en el Dictamen 4/2021 sobre la propuesta de modificación del Reglamento relativo a Europol son plenamente aplicables en el contexto de la cooperación Prüm, en particular, las relativas al tratamiento por la Agencia de conjuntos de datos de gran tamaño. También recomienda aclarar el ámbito de aplicación personal; esto es, especificar las categorías de interesados que pueden ser objeto de consulta en virtud de los artículos 49 y 50, así como armonizar los períodos de retención de los registros con los previstos en el Reglamento relativo a Europol, con el fin de garantizar la coherencia entre ambos Reglamentos.

78.

La propuesta prevé una arquitectura compleja para la búsqueda y el intercambio automatizados de datos dentro del marco de Prüm, con tres soluciones técnicas independientes, desarrolladas y gestionadas por tres entidades diferentes. A esto hay que añadir que una de ellas (EUCARIS) tiene naturaleza intergubernamental y, por tanto, no está basada en un acto jurídico de la Unión. En consecuencia, el SEPD considera que la propuesta debería recoger de un modo más explícito la responsabilidad por el tratamiento de los datos personales en EUCARIS. También cree que, habida cuenta de la magnitud y la sensibilidad de las operaciones de tratamiento de datos personales, el modelo de gobernanza horizontal actual del marco de Prüm no resulta adecuado y debería reforzarse, p. ej., asignando tareas centrales de coordinación a una entidad de la UE, como podría ser la Comisión.

79.

Otro elemento importante de la propuesta, cuyas consecuencias para los derechos fundamentales requieren de un análisis pormenorizado, es la armonización del marco de Prüm con el marco de interoperabilidad de los sistemas de información de la UE en el área de Justicia y Asuntos de Interior. El SEPD invita al colegislador a que considere si es necesario adoptar unas disposiciones adicionales al respecto, p. ej., por medio de un acto de ejecución o delegado, que debería abordar determinadas cuestiones problemáticas, como la calidad y la precisión de los algoritmos de coincidencia para las imágenes faciales.

80.

Teniendo en cuenta que la base jurídica de la propuesta incluye, entre otros, el artículo 16 del TFUE, el SEPD recomienda, en aras de la claridad y la seguridad jurídica, que se especifique en la propuesta que las disposiciones del capítulo 6 en materia de protección de datos se aplican al tratamiento de los datos personales en el contexto de la cooperación policial con arreglo al marco de Prüm sin perjuicio de lo dispuesto en la Directiva 2016/680 y el Reglamento (UE) 2018/1725.

81.

Por otra parte, el SEPD cree que la obligación de realizar auditorías regulares de las operaciones de tratamiento de datos personales a los efectos del Reglamento Prüm II debería ampliarse y aplicarse también a las operaciones de tratamiento de estos datos a nivel nacional. En este contexto, el SEPD recomienda que el artículo 60, apartado 2, de la propuesta contenga una referencia general a las potestades del SEPD previstas en el artículo 58 del Reglamento (UE) 2018/1725 en lugar de limitarse a hacer referencia a algunas de ellas.

Bruselas, 2 de marzo de 2022

Wojciech Rafał WIEWIÓROWSKI


(1)  COM(2021) 784 final.

(2)  COM(2021) 782 final.

(3)  COM(2021) 780 final.

(4)  https://ec.europa.eu/home-affairs/news/boosting-police-cooperation-across-borders-enhanced-security-2021-12-08_en

(5)  Comunicación de la Comisión sobre la Estrategia de la UE para una Unión de la Seguridad, COM(2020) 605 final.

(6)  Comunicación de la Comisión sobre la Estrategia de la UE contra la Delincuencia Organizada 2021-2025, COM(2021) 170 final.

(7)  Comunicación de la Comisión «Una estrategia para un espacio Schengen plenamente operativo y resiliente», COM(2021) 277 final.

(8)  Más información en el Dictamen 4/2021 del SEPD: https://edps.europa.eu/system/files/2021-03/21-03-08_opinion_europol_reform_en.pdf