23.9.2009   

ES

Diario Oficial de la Unión Europea

C 229/1

1.

El 3 de diciembre de 2008, la Comisión remitió al SEPD para consulta, de conformidad con el artículo 28, apartado 2 del Reglamento (CE) no 45/2001, la Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen los criterios y mecanismos de determinación del Estado miembro responsable del examen de una solicitud de protección internacional presentada en uno de los Estados miembros por un nacional de un tercer país o un apátrida (denominada en lo sucesivo «Propuesta» o «Propuesta de la Comisión»). Dicha consulta debería mencionarse explícitamente en el preámbulo del Reglamento.

2.

El SEPD contribuyó a la propuesta en una fase anterior, y muchos de los puntos que planteó de manera informal durante el proceso preparatorio han sido tenidos en cuenta por la Comisión en su texto final de la Propuesta.

3.

La Propuesta es una refundición del Reglamento (CE) no 343/2003 del Consejo, de 18 de febrero de 2003, por el que se establecen los criterios y mecanismos de determinación del Estado miembro responsable del examen de una solicitud de asilo presentada en uno de los Estados miembros por un nacional de un tercer país (3) (denominado en lo sucesivo «el Reglamento de Dublín»). Ha sido presentado por la Comisión como parte de un primer conjunto de propuestas que pretende lograr un mayor grado de armonización en este ámbito y unos niveles más elevados de protección para el sistema europeo común de asilo, tal y como se pide en el programa de La Haya de 4-5 de noviembre de 2004 y se anuncia en el Plan de política de asilo de la Comisión de 17 de junio de 2008. El programa de La Haya invitó a la Comisión a llevar a cabo la evaluación de los instrumentos jurídicos de la primera fase y a remitir al Parlamento Europeo y al Consejo los instrumentos y medidas de la segunda fase con vistas a su adopción antes de 2010.

4.

La Propuesta fue objeto de un intenso proceso de evaluación y consulta. Tiene en cuenta en particular los resultados del informe de evaluación de la Comisión sobre el sistema de Dublín emitido el 6 de junio de 2007 (2) (4), que identificó una serie de deficiencias jurídicas y prácticas existentes en el actual sistema, así como contribuciones recibidas por la Comisión de varias partes interesadas en respuesta al Libro verde sobre el futuro sistema europeo común de asilo (5).

5.

El principal objetivo de la propuesta es aumentar la eficacia del sistema de Dublín y garantizar unas normas más estrictas de protección otorgadas a los solicitantes de protección internacional sujetos al procedimiento de Dublín. Además, tiene como objetivo reforzar la solidaridad respecto a aquellos Estados miembros que tienen que hacer frente a situaciones de concretas presiones migratorias (6).

6.

La Propuesta amplía el ámbito de aplicación del Reglamento de Dublín para incluir a los solicitantes (y beneficiarios) de la protección subsidiaria. Esta modificación resulta necesaria para garantizar la coherencia con el acervo de la UE y, en particular, con la Directiva 2004/83/CE del Consejo, de 29 de abril de 2004, por la que se establecen normas mínimas relativas a los requisitos para el reconocimiento y el estatuto de nacionales de terceros países o apátridas como refugiados o personas que necesitan otro tipo de protección internacional y al contenido de la protección concedida (7) (denominada en lo sucesivo «Directiva de reconocimiento»), que introdujo el concepto de protección subsidiaria. Además, la propuesta adapta la terminología y las definiciones utilizadas en el Reglamento de Dublín a las de otros instrumentos de asilo.

7.

Con el fin de aumentar la eficacia del sistema, la propuesta fija, en particular, el plazo de presentación de las peticiones de readmisión y reduce el plazo para contestar a las solicitudes de información. Asimismo, aclara las cláusulas de cese de responsabilidad así como las circunstancias y procedimientos de aplicación de las cláusulas discrecionales (motivos humanitarios y soberanía). Añade normas sobre traslados y amplía el mecanismo de conciliación existente. La Propuesta contiene, también, una disposición relativa a la organización de una entrevista obligatoria.

8.

Además, y también con el fin de aumentar el nivel de protección concedido a los solicitantes, la propuesta de la Comisión establece el derecho de recurso contra la decisión de traslado así como la obligación de la autoridad competente de decidir sobre la eventual supresión de la ejecución de dicha decisión. Trata el derecho a la representación o asistencia jurídica y a la asistencia lingüística. Asimismo, la propuesta menciona el principio de que no se puede detener a una persona únicamente por haber solicitado la protección internacional. Amplía, también, el derecho a la reagrupación familiar y trata las necesidades de los menores no acompañados y de otros grupos vulnerables.

9.

La razón de ser de este dictamen es tratar principalmente las modificaciones del texto que resultan más relevantes desde el punto de vista de la protección de datos personales:

10.

El SEPD apoya los objetivos de la propuesta de la Comisión, en particular aumentar la eficacia del sistema de Dublín y garantizar unas normas más estrictas de protección otorgadas a los solicitantes de protección internacional sujetos al procedimiento de Dublín. También comparte y entiende las razones que han llevado a la Comisión a decidir que se lleve a cabo una revisión del sistema de Dublín.

11.

El garantizar un nivel adecuado de protección de datos es una condición sine qua non para garantizar, también, la efectiva aplicación y un alto nivel de protección de otros derechos fundamentales. El SEDP emite su dictamen plenamente consciente de la importante dimensión de los derechos fundamentales de la propuesta, que afecta no sólo al tratamiento de datos personales, sino también a otros muchos derechos de los nacionales de terceros países o de los apátridas, tales como en particular el derecho de asilo, el derecho a la información en un amplio sentido, el derecho a la reagrupación familiar, el derecho a la tutela judicial efectiva, el derecho a la libertad y a la libre circulación, los derechos del niño y los derechos de los menores no acompañados.

12.

Tanto el considerando 34 de la Propuesta, como la exposición de motivos, hacen hincapié en los esfuerzos llevados a cabo por el legislador para garantizar la coherencia de la Propuesta con la Carta de los Derechos Fundamentales. En este contexto, en la exposición de motivos se hace referencia explícitamente a la protección de los datos personales y al derecho de asilo. También se subraya en la exposición de motivos el hecho de que la Propuesta se formuló tras haber sido sometida a un examen en profundidad con la finalidad de garantizar que sus disposiciones son plenamente compatibles con lo derechos fundamentales como principios generales del Derecho comunitario, así como con el Derecho internacional. Sin embargo, dado el mandato del SEPD, el presente dictamen se centrará principalmente en los aspectos relativos a la protección de datos de la Propuesta. En este contexto, el SEPD se felicita de la considerable atención que se ha dedicado en la Propuesta a los derechos fundamentales y considera que ello resulta esencial para garantizar la eficacia del procedimiento de Dublín respetando al mismo tiempo plenamente los requisitos de los derechos fundamentales.

13.

El SEPD observa, también, que la Propuesta de la Comisión se esfuerza por ser coherente con otros instrumentos jurídicos que regulan el establecimiento y uso de los sistemas de TI a gran escala. En particular, desea resaltar que tanto el compartir responsabilidades respecto a la base de datos, como la manera en que se formula el modelo de supervisión en la propuesta resultan coherentes con el marco del Sistema de Información de Schengen II y con el Sistema de Información de Visados.

14.

El SEPD se felicita de que su papel en el ámbito de la supervisión se haya establecido claramente, lo que no fue el caso, por razones obvias, en el texto anterior.

15.

En el artículo 4, apartado 1, letras f) y g) se estipula:

«En cuanto se presente la solicitud de protección internacional, las autoridades competentes de los Estados miembros informarán al solicitante de asilo de la aplicación del presente Reglamento y, en particular, de:

El artículo 4, apartado 2 describe las formas en que debe facilitarse al solicitante la información a la que se hace referencia en el apartado 1 de la disposición.

16.

La aplicación efectiva del derecho a la información resulta crucial para el correcto funcionamiento del procedimiento de Dublín. En particular, resulta esencial garantizar que la información se facilita de tal manera que permite al solicitante de asilo comprender plenamente su situación así como la amplitud de los derechos, inclusive las medidas de procedimiento que pueda tomar tras las decisiones administrativas adoptadas en su caso.

17.

Por lo que respecta a los aspectos prácticos de la aplicación de los derechos, el SPED desea hacer referencia a que de acuerdo con el artículo 4, apartado 1, legra g) y apartado 2 de la Propuesta, el Estado miembro debe utilizar un prospecto común para los solicitantes, que deberá contener, entre otras informaciones: «los datos de contacto de las autoridades nacionales de supervisión de datos, que atenderán las reclamaciones relativas a la protección de datos personales». En este contexto, el SPED desea subrayar que aunque las autoridades nacionales de supervisión de datos, a las que se refiere el artículo 4, apartado 2 de la Propuesta, son por supuesto competentes para atender las reclamaciones relativas a la protección de datos personales, la redacción de la propuesta no debería impedir al solicitante (persona a la que se refieren los datos) dirigir su reclamación en primer lugar al responsable del tratamiento de los datos (en este caso las autoridades nacionales competentes a cargo de la cooperación de Dublín). La disposición del artículo 4, apartado 2 en su redacción actual parece que implica que el solicitante debería presentar su solicitud — directamente y en cada una de las ocasiones — a la autoridad nacional de supervisión de datos, mientras que el procedimiento habitual y la práctica en los Estados miembros es que el solicitante presente su reclamación en primer lugar al responsable del tratamiento de los datos.

18.

Asimismo, el SEPD sugiere que se reformule la redacción del artículo 4, letra g) con el fin de clarificar los derechos que se otorgan al solicitante. La redacción tal y como se propone no resulta clara, ya que puede interpretarse como que se considera «el derecho a recibir información sobre los procedimientos para el ejercicio de tales derechos […]» parte del derecho de acceso a los datos o del derecho a solicitar que los datos inexactos se corrijan o de ambos derechos […]. Sin embargo, de acuerdo con la redacción actual de la mencionada disposición, los Estados miembros tienen que informar al solicitante no del contenido del derecho sino de su «existencia». Como lo último parece ser una cuestión de estilo, el SEPD sugiere que el artículo 4, apartado 1, letra g) se redacte de la siguiente manera:

«En cuanto se presente la solicitud de protección internacional, las autoridades competentes de los Estados miembros informarán al solicitante de asilo […] de:

19.

Por lo que se refiere a los métodos para facilitar información a los solicitantes, el SEPD cita el trabajo llevado a cabo por el Grupo de Coordinación del Control de Eurodac (8) (compuesto por representantes de las autoridades de protección de datos de cada uno de los Estados participantes y el SEPD). Dicho Grupo está actualmente examinando este asunto en el marco de Eurodac con el fin de de proponer orientaciones pertinentes, tan pronto como se cuente con los resultados de las investigaciones nacionales y se hayan compilado. Aunque dicha investigación coordinada concierna específicamente a Eurodac, sus hallazgos muy probablemente sean de interés en el contexto de Dublín, ya que tratan asuntos como lenguas/traducciones y evaluación de la comprensión real de la información por parte del solicitante de asilo, etc.

20.

Por lo que se refiere a las autoridades mencionadas en el artículo 33 de la propuesta, el SEPD se felicita de que la Comisión publicará en el Diario Oficial de la Unión Europea una lista completa de las autoridades mencionadas en el apartado 1 de la disposición de referencia. Si la lista se modifica, la Comisión publicará una vez al año la lista completa actualizada. La publicación de la lista completa ayudará a garantizar la transparencia y facilitará la supervisión por parte de las autoridades nacionales de protección de datos.

21.

El SEPD observa que se ha introducido un nuevo mecanismo de intercambio de información relevante entre los Estados miembros antes de la ejecución de los traslados (establecido en el artículo 30 de la Propuesta). El SEPD considera legítima la finalidad de dicho intercambio de información.

22.

El SEPD es consciente, asimismo, de la existencia de garantías específicas de protección de datos en la Propuesta, de conformidad con el artículo 8, apartados 1 a 3 de la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, tales como: a) el consentimiento expreso del solicitante o su representante, b) la inmediata supresión de los datos por parte del Estado miembro que proceda al traslado una vez que se hayan completado los traslados y c) el «tratamiento de datos personales sanitarios sólo será realizado por profesionales de la salud sujetos a la obligación de secreto profesional, en virtud de la legislación nacional o de las normas establecidas por los organismos nacionales competentes, o por otra persona sujeta a una obligación equivalente de secreto» (que haya obtenido una formación médica adecuada). El SEPD apoya, también, el hecho de que el intercambio se haga únicamente mediante el sistema garantizado «DubliNet» y por las autoridades comunicadas con anterioridad.

23.

La manera en que se estructure este mecanismo resulta de crucial importancia para su conformidad con el régimen de protección de datos, en particular dado que el intercambio de información también abarcará los datos personales de carácter confidencial, tales como, por ejemplo, la información sobre «las necesidades especiales del solicitante que deba ser trasladado que, en determinados casos específicos, incluirá información sobre el estado de salud física y mental de dicho solicitante». En este contexto, el SEPD apoya plenamente la inclusión del artículo 36 de la Propuesta que obliga a los Estados miembros a tomar las medidas necesarias para garantizar que toda utilización indebida de los datos […] sea objeto de una sanción […], incluidas las sanciones administrativas y penales previstas en el Derecho nacional.

24.

El artículo 32 de la Propuesta de la Comisión regula el intercambio de información. El SEPD contribuyó en una fase anterior a la elaboración de esta disposición, y apoya la redacción propuesta por la Comisión.

25.

El SEPD subraya que resulta importante que las autoridades de los Estados miembros intercambien información sobre los individuos utilizando la red DubliNet. Ello permite no sólo contar con una mayor seguridad, sino también garantizar una mejor trazabilidad de las transacciones. Al respecto, el SEPD cita el documento de trabajo de la Comisión de 6 de junio de 2007, llamado «Documento de acompañamiento del Informe de la Comisión al Parlamento Europeo y al Consejo sobre la evaluación del sistema de Dublín» (9), en el que la Comisión recuerda que «el uso de DubliNet es siempre obligatorio salvo para las excepciones que figuran en el artículo 15, apartado 1, párrafo segundo» del Reglamento (CE) no 1560/2003 de la Comisión, de 2 de septiembre de 2003, por el que se establecen las disposiciones de aplicación del Reglamento (CE) no 343/2003 del Consejo por el que se establecen los criterios y mecanismos de determinación del Estado miembro responsable del examen de una solicitud de asilo presentada en uno de los Estados miembros por un nacional de un tercer país (10) (denominado en lo sucesivo «Reglamento de aplicación de Dublín»). El SEPD insiste en que la posibilidad de establecer una excepción a la utilización de DubliNet mencionada en el citado artículo 15, apartado 1, debería interpretarse restrictivamente.

26.

Algunas disposiciones se han insertado o redactado de nuevo en la Propuesta para garantizarlo, y el SEPD se felicita de todos estos esfuerzos realizados. Por ejemplo, el nuevo artículo 33, apartado 4 de la Propuesta se ha reformulado con el fin de aclarar que no sólo las peticiones sino también las respuestas y toda la correspondencia escrita estarán sujetas a las disposiciones relativas a la creación de canales de transmisión electrónica seguros (se establece en el artículo 15, apartado 1 del Reglamento de aplicación de Dublín). Sin embargo, la supresión del apartado 2 en el nuevo artículo 38 que en el texto anterior (artículo 25) obligaba a los Estados miembros a enviar las peticiones y respuestas «por cualquier medio que pueda acusar recibo» se realiza para que quede claro que los Estados miembros deberían utilizar también DubliNet a este respecto.

27.

El SEPD observa que se ha regulado relativamente poco en el marco del sistema de Dublín por lo que respecto al intercambio de información personal. Aunque algunos aspectos del intercambio se han tratado en el Reglamento de aplicación de Dublín, el presente Reglamento no parece abarcar todos los aspectos del intercambio de información personal, lo que resulta lamentable (11).

28.

En este contexto, merece la pena mencionar que este asunto del intercambio de información sobre el solicitante de asilo ha sido también objeto de debate en el Grupo de Coordinación del Control de Eurodac. Sin anticipar los resultados del trabajo del Grupo, el SEPD desea mencionar ya en esta fase que una de las posibles recomendaciones podría ser la adopción de un conjunto de normas similares a las acordadas en el Manual Sirene de Schengen.

29.

El SEPD apoya la propuesta de la Comisión de Reglamento por el que se establecen los criterios y mecanismos de determinación del Estado miembro responsable del examen de una solicitud de protección internacional presentada en uno de los Estados miembros por un nacional de un tercer país o un apátrida. El SEPD comparte las razones que llevan a que se revise el sistema existente.

30.

El SEPD se felicita de la coherencia de la Propuesta de la Comisión respecto a otros instrumentos jurídicos que regulan el complejo marco jurídico en este ámbito.

31.

El SEPD se felicita de la considerable atención que se ha dedicado en la Propuesta al respecto de los derechos fundamentales, en particular a la protección de datos personales. Considera el presente enfoque como un requisito previo esencial para mejorar el procedimiento de Dublín. Llama la atención de los legisladores en particular respecto a los nuevos mecanismos de intercambio de datos, que incluirán, entre otros, los datos personales de carácter extremadamente confidencial de los solicitantes de asilo.

32.

El SEPD desea, asimismo, aludir al importante trabajo llevado a cabo en este ámbito por el Grupo de Coordinación del Control de Eurodac y cree que los resultados del Grupo pueden resultar muy útiles para una mejor formulación de las características del sistema.

33.

El SEPD considera que algunas de las observaciones realizadas en este dictamen podrán desarrollarse más a medida que se observe la aplicación práctica del sistema revisado. En particular, piensa contribuir a la definición de las medidas de ejecución relativas al intercambio de información mediante el DubliNet tal y como se menciona en los puntos 24 a 27 del presente dictamen.

23.9.2009   

ES

Diario Oficial de la Unión Europea

C 229/6

1.

La Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la creación del sistema «Eurodac» para la comparación de las impresiones dactilares para la aplicación efectiva del Reglamento (CE) no […/…] (por el que se establecen los criterios y mecanismos de determinación del Estado miembro responsable del examen de una solicitud de protección internacional presentada en uno de los Estados miembros por un nacional de un tercer país o un apátrida) (en lo sucesivo, «Propuesta» o «Propuesta de la Comisión») fue remitida por la Comisión al SEPD para consulta el 3 de diciembre de 2008, de conformidad con el artículo 28, apartado 2 del Reglamento (CE) no 45/2001. Esta consulta debería mencionarse explícitamente en el preámbulo del Reglamento.

2.

Como se menciona en la exposición de motivos, el SEPD ha aportado su contribución a esta Propuesta en una fase temprana y muchos de los puntos que suscitó informalmente se han tenido en cuenta en el texto final de la Propuesta de la Comisión.

3.

El Reglamento (CE) no 2725/2000 del Consejo (3), de 11 de diciembre de 2000, relativo a la creación del sistema «Eurodac» (en lo sucesivo, Reglamento Eurodac) entró en vigor el 15 de diciembre de 2000. Eurodac, un sistema de tecnología de la información a escala comunitaria, se creó para facilitar la aplicación del Convenio de Dublín, que pretendía establecer un mecanismo claro y práctico para determinar la responsabilidad en relación con las solicitudes de asilo presentadas en uno de los Estados miembros de la UE. El Convenio fue sustituido por un instrumento legislativo comunitario, el Reglamento (CE) no 343/2003 del Consejo, de 18 de febrero de 2003, por el que se establecen los criterios y mecanismos de determinación del Estado miembro responsable del examen de una solicitud de asilo presentada en uno de los Estados miembros por un nacional de un tercer país (4) (Reglamento de Dublín) (5). Eurodac empezó a funcionar el 15 de enero de 2003.

4.

La Propuesta es una revisión del Reglamento Eurodac y del Reglamento de aplicación, Reglamento (CE) no 407/2002, y pretende, entre otras cosas:

5.

Cabe destacar que uno de los principales objetivos de la Propuesta es garantizar en mayor medida el respeto de los derechos fundamentales, en particular la protección de los datos personales. El presente dictamen analizará si las disposiciones de la Propuesta cumplen adecuadamente este objetivo.

6.

La Propuesta tiene en cuenta los resultados del informe sobre la evaluación del sistema de Dublín, publicado por la Comisión en junio de 2007 (en lo sucesivo, informe de evaluación), que abarca los tres primeros años de funcionamiento de Eurodac (2003-2005).

7.

Al tiempo que reconocía que el sistema establecido por el Reglamento se había aplicado en los Estados miembros de forma generalmente satisfactoria, el informe de evaluación de la Comisión incluía algunas cuestiones relacionadas con la eficacia de las disposiciones vigentes y destacaba las que tenían que abordarse para mejorar el sistema Eurodac y facilitar la aplicación del Reglamento de Dublín. En concreto, el informe de evaluación observaba que algunos Estados miembros remitían las impresiones dactilares con un retraso sistemático. En la actualidad, el Reglamento Eurodac establece un plazo muy vago para la transmisión de las impresiones dactilares, lo que en la práctica puede causar retrasos significativos. Esta es una cuestión clave, ya que cualquier retraso que se produzca en la transmisión puede producir resultados contrarios a los principios de responsabilidad establecidos en el Reglamento de Dublín.

8.

El informe de evaluación subrayaba asimismo que la ausencia de un método eficaz para que los Estados miembros se informen mutuamente de la situación en la que se encuentra el solicitante de asilo ha conducido a la gestión ineficiente de las cancelaciones de datos. Los Estados miembros que introducen datos sobre una persona determinada suelen desconocer que otro Estado miembro de origen ha procedido a la cancelación de datos y, por tanto, no son conscientes de la conveniencia de suprimir los datos que obran en su poder en relación con esa persona. Como consecuencia de ello, no es posible verificar suficientemente si se cumple el principio de que «ningún dato personal debería conservarse en una forma que permita la identificación de los interesados durante un período superior al necesario para los fines para los que los datos fueron recogidos».

9.

Además, según el análisis del informe de evaluación, la confusa especificación de las autoridades que tienen acceso a Eurodac entorpece la función de verificación de la Comisión y del Supervisor Europeo de Protección de Datos.

10.

En vista de su función actual como autoridad de control de Eurodac, el SEPD tiene especial interés en la Propuesta de la Comisión y en que la revisión global del sistema Eurodac conduzca a un resultado positivo.

11.

El SEPD observa que la Propuesta reúne varios aspectos relativos a los derechos fundamentales de los solicitantes de asilo, tales como el derecho a asilo, el derecho a ser informados en el sentido más amplio, el derecho a la protección de sus datos personales. Sin embargo, dada la misión del SEPD, el presente dictamen se centrará sobre todo en las cuestiones de protección de datos abordadas en el Reglamento en revisión. A este respecto, el SEPD se congratula del considerable cuidado que pone la Propuesta en el respeto y protección de los datos personales, y aprovecha esta oportunidad para insistir en que garantizar un elevado grado de protección de los datos personales y una mayor eficacia en su aplicación en la práctica deben considerarse condición esencial para la mejora del funcionamiento de Eurodac.

12.

El presente dictamen aborda principalmente las siguientes modificaciones del texto, puesto que son las que mayor incidencia tienen desde el punto de vista de la protección de los datos personales:

13.

El SEPD se felicita de que la Propuesta busque la coherencia con otros instrumentos jurídicos que regulan el establecimiento o el uso de otros sistemas de TI de gran escala. En particular, el hecho de que se compartan competencias respecto de la base de datos y la manera de formular el modelo de supervisión en la Propuesta se ajustan a los instrumentos jurídicos que establecen el Sistema de Información de Schengen (SIS II) y el Sistema de Información de Visados (VIS).

14.

El SEPD observa que la Propuesta se ajusta a la Directiva 95/46/CE y al Reglamento (CE) no 45/2001. A este respecto, el SEPD se felicita sobre todo por los nuevos considerandos 17, 18 y 19, que disponen que la Directiva 95/46/CE y el Reglamento (CE) no 45/2001 son aplicables al tratamiento de datos personales que lleven a cabo, en aplicación del Reglamento propuesto, los Estados miembros y las instituciones y organismos comunitarios, respectivamente.

15.

Por último, el SEPD señala que hay que garantizar también plena coherencia entre los Reglamentos Eurodac y Dublín, y aprovecha la oportunidad que le brinda el presente dictamen para hacer indicaciones más precisas respecto de dicha coherencia. Observa, sin embargo, que algunos aspectos de esta cuestión ya se abordan en la Propuesta, por ejemplo en la exposición de motivos, que menciona que «La coherencia con el Reglamento de Dublín (así como los problemas relativos a la protección de datos, especialmente el principio de proporcionalidad) se logrará armonizando el período de conservación de los datos relativos a los nacionales de terceros países o apátridas a los que se tomen las impresiones dactilares con ocasión del cruce irregular de una frontera exterior con el período hasta el cual el artículo 14, apartado 1, del Reglamento de Dublín asigna la responsabilidad en función de dicha información (es decir, un año)».

16.

El SEPD acoge favorablemente el modelo de supervisión que establece la Propuesta, así como las funciones concretas que se le encomiendan en virtud de los artículos 25 y 26 de la Propuesta. El artículo 25 encomienda al SEPD dos funciones de supervisión:

El artículo 26 tiene por objeto la cooperación entre las autoridades nacionales de control y el SEPD.

17.

El SEPD observa asimismo que la Propuesta presenta un enfoque similar al del SIS II y el VIS: un sistema de supervisión en capas, en que las autoridades nacionales de protección de datos y el SEPD supervisan las actuaciones nacionales y de la UE, respectivamente, al que se suma un sistema de cooperación entre ambos planos. La forma en que se prevé el modelo de cooperación en la Propuesta refleja también la práctica actual, que ha resultado eficaz y ha alentado una estrecha cooperación entre el SEPD y las autoridades nacionales de protección de datos. Por tanto, el SEPD se felicita de que se formalice en la Propuesta, y del hecho de que, al disponerlo así, el legislador ha logrado que sea coherente con los sistemas de supervisión de otros sistemas de TI a gran escala.

18.

El SEPD observa que la Propuesta no aborda la cuestión de la subcontratación de parte de los cometidos de la Comisión a otras organizaciones o entidades (tales como una sociedad privada). Sin embargo, la Comisión recurre con frecuencia a la subcontratación para la gestión y el desarrollo tanto del sistema como de las infraestructuras de comunicaciones. Aunque la subcontratación en sí no es un obstáculo para el cumplimiento de los requisitos de protección de datos, deben instaurarse unas salvaguardias estrictas para garantizar que la aplicabilidad del Reglamento (CE) no 45/2001, y con ella la vigilancia por parte del SEPD, no se verán en absoluto afectadas por la subcontratación de actividades. Además deben adoptarse también otras salvaguardias de carácter más técnico.

19.

A este respecto, el SEPD sugiere que, en el marco de la revisión del Reglamento Eurodac, se dispongan salvaguardias jurídicas similares a las previstas en los instrumentos jurídicos del SIS II, en las que se especifique que incluso cuando la Comisión delegue la gestión del sistema a otro organismo, ello «no [afectará] negativamente a ningún mecanismo de control efectivo previsto en el derecho comunitario, corresponda éste al Tribunal de Justicia, al Tribunal de Cuentas o al Supervisor Europeo de Protección de Datos» (artículo 15, apartado 7, del Reglamento y de la Decisión SIS II).

20.

Las disposiciones son aún más precisas en el artículo 47 del Reglamento SIS II, que estipula: «En caso de que […] la Comisión delegue sus responsabilidades en otro organismo […] se asegurará de que el Supervisor Europeo de Protección de Datos tenga el derecho y la posibilidad de desempeñar plenamente sus funciones, incluida la posibilidad de realizar comprobaciones in situ, o de ejercer cualesquiera otras competencias que le hayan sido conferidas en virtud del artículo 47 del Reglamento (CE) no 45/2001».

21.

Las disposiciones citadas tiene la claridad necesaria en cuanto a las consecuencias de subcontratar una parte de las funciones de la Comisión a otras entidades. Por ello, el SEPD propone que se añadan al texto de la Propuesta de la Comisión disposiciones que persigan los mismos efectos.

22.

El artículo 3, apartado 5, de la Propuesta regula el procedimiento para tomar las impresiones dactilares. Esta disposición establece que el procedimiento «se adoptará y se aplicará de acuerdo con la práctica del Estado miembro de que se trate y con las garantías establecidas en la Carta de los Derechos Fundamentales de la Unión Europea, el Convenio para la protección de los derechos humanos y de las libertades fundamentales y el Convenio Europeo de Derechos Humanos y en la Convención de las Naciones Unidas sobre los Derechos del Niño». El artículo 6 dispone que la edad mínima a la que se pueden tomar impresiones dactilares es de 14 años y que dichas impresiones habrán de tomarse antes de transcurridas cuarenta y ocho horas desde la presentación de la solicitud.

23.

En primer lugar, en relación con el límite de edad, el SEPD destaca la necesidad de coherencia de la Propuesta con el Reglamento de Dublín. El sistema Eurodac se estableció para garantizar la aplicación efectiva del Reglamento de Dublín, lo que significa que si el resultado de la revisión en curso de dicho Reglamento tiene efectos en su aplicación a los solicitantes de asilo menores de edad, ello debe reflejarse en el Reglamento Eurodac (6).

24.

En segundo lugar, respecto de la determinación de los límites de edad para la toma de impresiones dactilares en general, el SEPD desea señalar que la mayor parte de la documentación de que se dispone en la actualidad tiende a indicar que la exactitud de la identificación por medio de las impresiones dactilares disminuye con el avance de la edad. En ese sentido, es aconsejable seguir atentamente el estudio sobre impresiones dactilares realizado en el marco de la aplicación del VIS. Sin adelantarse a los resultados del estudio, el SEPD desea subrayar ya, que en todos los casos en que tomar impresiones dactilares resulte imposible o de resultados que no sean fiables, es importante recurrir a procedimientos alternativos, que deberán asimismo respetar plenamente la dignidad de la persona.

25.

En tercer lugar, el SEPD advierte el empeño del legislador para garantizar que las disposiciones sobre toma de impresiones dactilares se ajusten a los requisitos internacionales y europeos relativos a los derechos humanos. No obstante, señala las dificultades que están experimentando varios Estados miembros para determinar la edad de los solicitantes de asilo jóvenes. Es frecuente que los solicitantes de asilo o los inmigrantes ilegales no lleven documentos de identidad y, para decidir si hay que tomarles impresiones dactilares o no, hay que determinar su edad. Los métodos para hacerlo están provocando mucho debate en varios Estados miembros.

26.

A este respecto, el SEPD llama la atención sobre el hecho de que el Grupo de Coordinación de la Supervisión de Eurodac (7) emprendió una inspección coordinada de esta cuestión, cuyos resultados —que se esperan en la primera mitad de 2009— deberían facilitar la instauración de procedimientos comunes a este respecto.

27.

Como última observación sobre esta cuestión, el SEPD considera necesario coordinar mejor y armonizar en el nivel de la UE, en la mayor medida posible, los procedimientos de toma de impresiones dactilares.

28.

El artículo 4, apartado 1, dispone: «Después de un período transitorio, la gestión operativa de Eurodac será competencia de una Autoridad de Gestión, que se financiará con cargo al presupuesto general de la Unión Europea. La Autoridad de Gestión se asegurará, en cooperación con los Estados miembros, de que en el Sistema Central se utilice en todo momento la mejor tecnología disponible, sobre la base de un análisis de costes y beneficios». Aunque el SEPD se felicita del requisito establecido en el artículo 4, apartado 1, desea advertir que la expresión «la mejor tecnología disponible» incluida en dicha disposición debe sustituirse por «las mejores técnicas disponibles», que incluye la tecnología empleada, la forma en que se ha concebido y construido la instalación y la forma en que se mantiene y se hace funcionar.

29.

El artículo 9, apartado 1, de la Propuesta aborda la cuestión de la supresión anticipada de los datos. Esta disposición obliga al Estado miembro de origen a suprimir del Sistema Central «los datos relativos a una persona que haya adquirido la ciudadanía de uno de los Estados miembros […] antes de que expire el plazo mencionado en el artículo 8», en cuanto el Estado miembro de origen se entere de que la persona ha adquirido dicha ciudadanía. El SEPD se felicita de esta obligación de supresión, ya que se corresponde perfectamente con el principio de calidad de los datos. Además, el SEPD opina que la revisión de esta disposición brinda la oportunidad de animar a los Estados miembros a instaurar procedimientos que garanticen la supresión fiable y en plazo (automática, si es posible) de los datos cuando una persona obtenga la ciudadanía de uno de los Estados miembros.

30.

Por otra parte, el SEPD desea señalar que el artículo 9, apartado 2, que trata de la supresión anticipada, debe redactarse de nuevo, ya que el texto propuesto no es claro. Como observación de estilo, el SEPD sugiere que el texto «datos que hubiera transmitido» se sustituya por «datos que hubieran transmitido».

31.

El artículo 12 de la Propuesta regula la conservación de los datos. El SEPD entiende que establecer un año como período de conservación (en lugar de los dos años del texto del Reglamento actual) constituye una buena aplicación del principio de calidad de los datos, que estipula que los datos no deben conservarse más allá de lo necesario para alcanzar el fin para el que se trataron. Es una mejora del texto muy satisfactoria.

32.

El SEPD acoge favorablemente la disposición de que la Autoridad de Gestión publique la lista de las autoridades con acceso a los datos de Eurodac. Con ello se logrará una mayor transparencia y se creará un instrumento práctico para una mejor supervisión del sistema, por ejemplo por parte de las autoridades nacionales de protección de datos.

33.

El artículo 21 de la Propuesta se refiere a la conservación de los registros de todas las operaciones de tratamiento de datos en el Sistema Central. El apartado 2 establece que esos registros sólo podrán emplearse para controlar la conformidad del tratamiento de datos […]. Podría aclararse que esto incluye también las medidas de auditoría interna.

34.

El artículo 23, apartado 1, letra e), de la Propuesta dice:

«Las personas contempladas en el presente Reglamento serán informadas por el Estado miembro de origen […] de lo que sigue:

35.

El SEPD observa que la efectiva aplicación del derecho a la información es fundamental para que Eurodac funcione adecuadamente. En particular, es esencial garantizar que la información se proporcione de tal forma que permita al solicitante de asilo comprender por completo su situación y el alcance de sus derechos, así como los procedimientos que tiene que seguir tras las decisiones administrativas que se adopten en su caso.

36.

En cuanto a los aspectos prácticos del ejercicio del derecho, el SEPD desea destacar que aunque las autoridades nacionales de protección de datos son efectivamente competentes para atender las reclamaciones relativas a la protección de los datos personales, el texto de la Propuesta no debe impedir al solicitante (sujeto de los datos) que dirija su reclamación en primer lugar al responsable del tratamiento. La disposición del artículo 23, apartado 1, letra e), tal como está redactada actualmente parece suponer que el solicitante debe presentar su petición, directamente y en cada caso, a la autoridad de protección de datos, cuando el procedimiento y la práctica habituales en los Estados miembros es que el solicitante presente su reclamación en primer lugar al responsable del tratamiento.

37.

El SEPD también sugiere que se reformule el texto del artículo 23, apartado 1, letra e) para aclarar los derechos que asisten al solicitante. La redacción propuesta no es clara, ya que puede interpretarse que «el derecho a la información sobre los procedimientos para el ejercicio de tales derechos» es parte del derecho de acceso a los datos y del derecho a que se corrijan los datos inexactos. Además, según la actual redacción de la citada disposición, los Estados miembros deberán informar a la persona contemplada en el Reglamento no del contenido de los derechos sino de su «existencia». Como esto parece una cuestión de estilo, el SEPD sugiere que el texto del artículo 23, apartado 1, letra e) se modifique como sigue:

«Las personas contempladas en el presente Reglamento serán informadas por el Estado miembro de origen […] de lo que sigue:

38.

Siguiendo el mismo razonamiento, el artículo 23, apartado 10, debe modificarse como sigue: «En cada Estado miembro, la autoridad nacional de control, de conformidad con el artículo 28, apartado 4, de la Directiva 95/46/CE, asistirá al sujeto de los datos, cuando proceda (o: a petición de éste) en el ejercicio de sus derechos». De nuevo, el SEPD desea insistir en que la intervención de la autoridad nacional de control no debería ser necesaria al principio; por el contrario, debe incitarse al responsable del tratamiento a responder de la forma adecuada a las reclamaciones de los sujetos de los datos. E igualmente, cuando sea necesaria la cooperación entre autoridades de distintos Estados miembros: los responsables del tratamiento deben ser los primeros encargados de tratar las solicitudes y de cooperar a tal efecto.

39.

Por lo que se refiere al artículo 23, apartado 9, el SEPD se felicita no sólo de la finalidad misma de esta disposición (que persigue el control de las «búsquedas especiales», tal como recomendaban las autoridades nacionales de protección de datos en su primer informe sobre inspecciones coordinadas), sino que también acoge con satisfacción el procedimiento propuesto para lograrlo.

40.

En cuanto a los métodos de información a los solicitantes, el SEPD se remite a la labor emprendida por el Grupo de Coordinación de la Supervisión de Eurodac, el cual está estudiando esta cuestión en el marco de Eurodac, con el fin de proponer las orientaciones adecuadas, en cuanto se conozcan y compilen los resultados de las investigaciones.

41.

El SEPD apoya la Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la creación del sistema «Eurodac» para la comparación de las impresiones dactilares para la aplicación efectiva del Reglamento (CE) no […/…] por el que se establecen los criterios y mecanismos de determinación del Estado miembro responsable del examen de una solicitud de protección internacional presentada en uno de los Estados miembros por un nacional de un tercer país o un apátrida.

42.

El SEPD se felicita del modelo de supervisión que propugna la Propuesta, así como la función y los cometidos que se le encomiendan en el nuevo sistema. El modelo propuesto refleja la actual práctica, que ha resultado eficaz.

43.

El SEPD observa que la Propuesta se esfuerza por mantener la coherencia con otros instrumentos jurídicos que rigen la creación y el uso de otros sistemas de TI de gran escala.

44.

El SEPD se felicita por la considerable atención que presta la Propuesta al respeto de los derechos fundamentales y, en particular, a la protección de los datos personales. Como ya se mencionó en el dictamen sobre el Reglamento de Dublín, el SEPD considera que este planteamiento es una condición esencial para la mejora de los procedimientos de asilo en la Unión Europea.

45.

El SEPD llama la atención sobre la necesidad de lograr plena coherencia entre los Reglamentos de Dublín y Eurodac.

46.

El SEPD estima necesaria una mejor coordinación y armonización en el plano de la UE de los procedimientos de toma de impresiones dactilares, ya afecten a los solicitantes de asilo o a cualquier otra persona sujeta al procedimiento Eurodac. Llama especialmente la atención sobre los límites de edad para la toma de impresiones dactilares y, en particular, sobre las dificultades que experimentan varios Estados miembros para determinar la edad de los solicitantes de asilo jóvenes.

47.

El SEPD insiste en que se aclaren las disposiciones relativas a los derechos de los sujetos de los datos y subraya en particular que los responsables nacionales del tratamiento son los primeros encargados de garantizar la observancia de esos derechos.

23.9.2009   

ES

Diario Oficial de la Unión Europea

C 229/12

1.

La Iniciativa de la República Francesa con vistas a la adopción de la Decisión del Consejo sobre la utilización de la tecnología de la información a efectos aduaneros se publicó en el Diario Oficial de 5 de febrero de 2009 (4). Ni el Consejo ni el Estado miembro que presentó la Iniciativa solicitaron dictamen alguno al Supervisor Europeo de Protección de Datos. Fue la Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo la que solicitó al Supervisor Europeo su comentario sobre la Iniciativa francesa, de conformidad con el artículo 41 del Reglamento (CE) no 45/2001, en el contexto del dictamen del Parlamento Europeo sobre la Iniciativa. Aunque, en casos similares (5), el Supervisor Europeo haya emitido un dictamen por iniciativa propia, el presente dictamen debe considerarse asimismo como una respuesta a la mencionada petición del Parlamento Europeo.

2.

Según el Supervisor Europeo de Protección de Datos, el presente dictamen debería mencionarse en el preámbulo de la Decisión del Consejo del mismo modo en que otros dictámenes suyos han sido mencionados en una serie de instrumentos jurídicos adoptados a partir de una Propuesta de la Comisión.

3.

Aunque no exista ninguna obligación jurídica de solicitar el dictamen del Supervisor Europeo de Protección de Datos por parte del Estado miembro que presenta una iniciativa sobre una medida legislativa con arreglo al Título VI del Tratado de la UE, las normas aplicables tampoco excluyen que se solicite. El Supervisor Europeo lamenta que ni la República Francesa ni el Consejo le hayan solicitado su dictamen en el presente caso.

4.

El Supervisor Europeo hace hincapié en que, debido a la actual evolución de la Propuesta en el Consejo, los comentarios presentados en el presente dictamen se basan en la versión de la Propuesta de 24 de febrero de 2009 (5903/2/09 REV 2), publicada en el sitio web del Parlamento Europeo (6).

5.

El Supervisor Europeo considera que se requieren más explicaciones en cuanto a la justificación de la Iniciativa, así como de algunos artículos específicos y los mecanismos a los que se refieren. Lamenta que no acompañen a la Iniciativa una evaluación de impacto ni una exposición de motivos. Se trata de elementos necesarios que mejoran la transparencia y, de forma más general, la calidad del proceso legislativo. La información explicativa también facilitaría la evaluación de una serie de propuestas que figuran en el texto, por ejemplo con respecto a la necesidad de conceder a Europol y Eurojust acceso al Sistema de Información Aduanero y la justificación de esta medida.

6.

El Supervisor Europeo ha tenido en cuenta el Dictamen 09/03 de la Autoridad de Supervisión Común relativo al proyecto de Decisión del Consejo sobre la utilización de la tecnología de la información a efectos aduaneros de 24 de marzo de 2009.

7.

El marco jurídico del Sistema de Información Aduanero (en lo sucesivo «SIA») está regulado actualmente por instrumentos tanto del primer como del tercer pilar. El marco jurídico del tercer pilar que regula el sistema consiste fundamentalmente en el Convenio de 26 de julio de 1995 establecido sobre la base del artículo K.3 del Tratado de la Unión Europea, relativo a la utilización de la tecnología de la información a efectos aduaneros (denominado en lo sucesivo «Convenio SIA» (7), así como los Protocolos de 12 de marzo de 1999 y de 8 de marzo de 2003.

8.

Las disposiciones vigentes sobre protección de datos conllevan la aplicación del Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, de 28 de enero de 1981 (en lo sucesivo «Convenio 108 del Consejo de Europa»). Además, la Decisión Marco 2008/977/JAI del Consejo es aplicable al SIA con arreglo a la Propuesta.

9.

La parte del sistema correspondiente al primer pilar está regulada por el Reglamento (CE) no 515/97 del Consejo, de 13 de marzo de 1997, relativo a la asistencia mutua entre las autoridades administrativas de los Estados miembros y a la colaboración entre estas y la Comisión con objeto de asegurar la correcta aplicación de las reglamentaciones aduanera y agraria (8).

10.

El objetivo del Convenio SIA, de conformidad con su artículo 2, apartado 2, era contribuir a prevenir, investigar y perseguir las infracciones graves de las Leyes nacionales, aumentando, mediante la rápida difusión de información, la eficacia de los procedimientos de cooperación y control de las Administraciones aduaneras de los Estados miembros.

11.

De conformidad con el Convenio SIA, el Sistema de Información Aduanero consiste en un banco central de datos accesible a través de terminales situadas en cada uno de los Estados miembros. Otras características fundamentales son las siguientes:

12.

La Iniciativa francesa, basada en el artículo 30, apartado 1, letra a), y el artículo 34, apartado 2, del Tratado de la Unión Europea, tiene por objeto sustituir el Convenio SIA y los Protocolos de 12 de marzo de 1999 y de 8 de marzo de 2003 con objeto de adecuar la parte del sistema que depende del tercer pilar con los instrumentos del primer pilar.

13.

No obstante, la Propuesta va más allá de la sustitución del texto del Convenio SIA por una Decisión del Consejo: modifica un número significativo de disposiciones del Convenio y amplía el ámbito de acceso actual del SIA al dar acceso a Europol y Eurojust. Además, la Propuesta incorpora disposiciones relativas al funcionamiento del SIA similares a las que establecía el citado Reglamento (CE) no 766/2008, por ejemplo en lo que respecta a la creación de un fichero de identificación de los expedientes de investigación aduanera (capítulo VI).

14.

La Propuesta también tiene en cuenta nuevos instrumentos jurídicos, como la Decisión Marco 2008/977/JAI y la Decisión Marco 2006/960/JAI, de 13 de diciembre de 2006, sobre la simplificación del intercambio de información e inteligencia entre los servicios de seguridad de los Estados miembros de la Unión Europea (10).

15.

La Propuesta tiene por objeto, entre otros:

16.

En este contexto, el objetivo del SIA, de conformidad con el artículo 1 de la Propuesta, consiste «en contribuir a prevenir, investigar y perseguir las infracciones graves de las leyes nacionales, acelerando la disponibilidad de los datos y aumentando así la eficacia de los procedimientos de cooperación y control de las administraciones aduaneras de los Estados miembros». Esta disposición recoge en gran parte el contenido del artículo 2, apartado 2, del Convenio SIA.

17.

Con el fin de alcanzar este objetivo, la Propuesta amplía el ámbito de aplicación en lo referente a la utilización de los datos del SIA e incluye consultas en los sistemas y la posibilidad de análisis estratégicos u operativos. El Supervisor Europeo de Protección de Datos toma nota de la ampliación de la finalidad y de la lista de categorías de datos de carácter personal que se van a recopilar y tratar, así como de la ampliación de la lista de personas que tendrán acceso directo al SIA.

18.

Dada su función actual de autoridad supervisora del segmento central de la parte correspondiente al primer pilar del SIA, el Supervisor Europeo está particularmente interesado en la Iniciativa y la reciente evolución registrada en el Consejo en relación con el contenido de ésta. El Supervisor destaca la necesidad de garantizar un planteamiento coherente y general con objeto de adecuar las partes del sistema correspondientes al primer pilar con las del tercer pilar.

19.

El Supervisor observa que la Propuesta implica varios aspectos relacionados con los derechos humanos, en particular la protección de los datos de carácter personal, así como el derecho a la información y otros derechos de los interesados.

20.

Por lo que se refiere al régimen actual de protección de datos en el Convenio SIA, el Supervisor Europeo desea mencionar que una serie de disposiciones vigentes del Convenio requieren modificación y actualización, dado que no se ajustan a los requisitos y normas actuales en materia de protección de datos. El Supervisor aprovecha la oportunidad para hacer hincapié en que garantizar un alto nivel de protección de los datos de carácter personal así como una aplicación más eficiente en la práctica debería considerarse un requisito previo esencial para la mejora del funcionamiento del SIA.

21.

Tras algunas observaciones de carácter general, el presente dictamen se propone tratar principalmente las siguientes cuestiones pertinentes desde el punto de vista de la protección de datos de carácter personal:

22.

Como se menciona en la observaciones introductorias, el Supervisor Europeo de Protección de Datos está particularmente interesado en la reciente evolución relativa a la parte de SIA correspondiente al tercer pilar, dado que ya realiza labores de supervisión sobre la parte central regida por el primer pilar, de conformidad con el nuevo Reglamento (CE) no 766/2008 del Parlamento Europeo y del Consejo (11) con objeto de asegurar la correcta aplicación de las reglamentaciones aduanera y agraria.

23.

En este contexto, el Supervisor Europeo desea llamar la atención del legislador sobre el hecho de que ya ha tratado cuestiones relacionadas con la supervisión de la parte del primer pilar del SIA en una serie de dictámenes, en particular en su dictamen de 22 de febrero de 2007 (12).

24.

En este dictamen, el Supervisor Europeo destacó que «la creación y mejora de los diversos instrumentos para intensificar la cooperación comunitaria, tales como el SIA, (…) suponen un aumento de la parte de la información personal que será recogida en primer lugar por las autoridades administrativas de los Estados miembros y luego intercambiada entre ellas y, en algunos casos, incluso con terceros países. La información personal sometida a tratamiento y compartida en fases sucesivas puede incluir información relativa a infracciones, supuestas o confirmadas, en materia aduanera o agraria. (…) Por otra parte, su importancia aumenta si se piensa en el tipo de datos recogidos y compartidos, en especial las sospechas sobre la participación de individuos en actos ilícitos, y, en general, en la finalidad y el resultado del tratamiento.».

25.

El Supervisor Europeo destaca que, a diferencia de las modificaciones introducidas por el Reglamento (CE) no 766/2008 en el instrumento del primer pilar que rige el SIA, la Propuesta plantea una revisión completa del Convenio SIA, que da al legislador la oportunidad de tener una visión más global del conjunto del sistema, basada en un planteamiento coherente y general.

26.

A juicio del Supervisor Europeo este planteamiento debe también estar orientado hacia el futuro. Novedades como la adopción de la Decisión Marco 2008/977/JAI y la (posible) entrada en vigor futura del Tratado de Lisboa deberían reflejarse debidamente en la Propuesta y tenerse en cuenta a la hora de decidir del contenido de la misma.

27.

Por lo que se refiere a la entrada en vigor del Tratado de Lisboa, el Supervisor Europeo llama la atención del legislador sobre la necesidad de proceder a un análisis profundo de los posibles efectos de la supresión de la estructura de pilares de la UE sobre el SIA en el momento de la entrada en vigor del Tratado de Lisboa, dado que el sistema reposa actualmente en una combinación de instrumentos pertenecientes al primer y al tercer pilar. El Supervisor Europeo lamente la falta de información explicativa sobre esta importante evolución futura, que afectaría significativamente al marco jurídico que haya de regir al SIA en el futuro. De manera más general, el Supervisor Europeo plantea la cuestión de si no sería más oportuno que el legislador esperara a que el Tratado de Lisboa entrara en vigor para efectuar esta revisión, con objeto de evitar toda posible inseguridad jurídica.

28.

Desde el punto de vista del Supervisor Europeo la sustitución del Convenio SIA en su conjunto constituye asimismo una buena oportunidad para garantizar la coherencia del SIA con otros sistemas y mecanismos que se han desarrollado desde la adopción del Convenio. A este respecto, el Supervisor Europeo hace un llamamiento a la coherencia —también en cuanto al modelo de supervisión— con otros instrumentos jurídicos, en particular los que establecen el Sistema de Información de Schengen II y el Sistema de Información de Visados.

29.

El Supervisor Europeo acoge con satisfacción que la Propuesta tenga en cuenta la Decisión Marco relativa a la protección de datos personales, dado el intercambio de datos entre los Estados miembros que tiene lugar en el marco del SIA. El artículo 20 de la Propuesta estipula claramente que a menos que la Decisión disponga lo contrario, la Decisión Marco 2008/977/JAI se aplicará a la protección del intercambio de datos. El Supervisor observa asimismo que la Propuesta hace referencia a la Decisión Marco también en otras disposiciones, como el artículo 4, apartado 5, que estipula que en ningún caso se incluirán los datos personales contemplados en el artículo 6 de la Decisión Marco 2008/977/JAI del Consejo; el artículo 8, relativo al uso de los datos obtenidos del SIA con el fin de alcanzar el objetivo formulado en el artículo 1, apartado 2, de la Decisión; el artículo 22 de la Propuesta, relativo a los derechos de las personas en relación con los datos personales del SIA, y el artículo 29 sobre responsabilidades.

30.

El Supervisor Europeo considera que los conceptos y principios establecidos en esta Decisión Marco son adecuados en el contexto del SIA, y deberían por consiguiente ser aplicables tanto en aras de la seguridad jurídica como de la coherencia entre los regímenes jurídicos.

31.

Una vez dicho lo anterior, el Supervisor Europeo insiste no obstante en que el legislador debería proporcionar las garantías necesarias de que, a la espera de la plena aplicación de la Decisión Marco 2008/977/JAI, de conformidad con sus disposiciones finales, no habrá ninguna laguna normativa en el sistema de protección de datos. En otras palabras, el Supervisor desea destacar que está a favor del planteamiento consistente en que se establezcan las salvaguardias necesarias y adecuadas antes de que se lleven a cabo nuevos intercambios de datos.

32.

El Supervisor Europeo estima que la aplicación efectiva del derecho de protección de datos y el derecho a la información constituyen elementos fundamentales para el correcto funcionamiento del SIA. Las salvaguardias relativas a la protección de datos no son únicamente necesarias para garantizar la protección efectiva de las personas cuyos datos figuran en el SIA, sino que pueden servir asimismo para facilitar un funcionamiento adecuado y más eficiente del sistema.

33.

El Supervisor Europeo llama la atención del legislador sobre el hecho de que la necesidad de salvaguardias sólidas y eficientes en materia de protección de datos resulta aún más evidente cuando se considera que el SIA es una base de datos basada más en «sospechas» que en condenas o otras resoluciones de carácter judicial o administrativo. Esto se refleja en el artículo 5 de la Propuesta que estipula que «los datos relativos a las categorías mencionadas en el artículo 3 sólo se introducirán en el Sistema de Información Aduanero con fines de observación e informe, de vigilancia discreta, de controles específicos y de análisis estratégico u operativo. A efectos de las acciones sugeridas […], sólo podrán introducirse en el Sistema de Información Aduanero los datos personales […], si, sobre todo por la existencia de actividades ilegales previas, existen razones objetivas para creer que la persona en cuestión ha cometido, está cometiendo o pretende cometer infracciones graves de las leyes nacionales». Habida cuenta de esta característica del SIA, la Propuesta requiere salvaguardias equilibradas, eficientes y actualizadas en materia de protección de datos personales y mecanismos de control.

34.

Por lo que se refiere a las disposiciones específicas de la Propuesta sobre protección de datos personales, el Supervisor Europeo toma nota de los esfuerzos que realiza el legislador por proporcionar más salvaguardias que las existentes en el Convenio SIA. No obstante, el Supervisor ha de exponer aún una serie de graves inquietudes relativas a las disposiciones sobre protección de datos, y en particular con respecto a la aplicación del principio de limitación de la finalidad.

35.

Debe mencionarse asimismo en este contexto que las observaciones sobre las salvaguardias relativas a la protección de datos formuladas en el presente dictamen no se limitan únicamente a las disposiciones que modifican o amplían el ámbito de aplicación del Convenio SIA, sino que también afectan a las partes copiadas del texto vigente del Convenio. El motivo de ello, como se menciona en las observaciones de carácter general, es que a juicio del Supervisor Europeo algunas de las disposiciones del Convenio no parecen cumplir ya los requisitos actuales de protección de datos, y la Iniciativa francesa brinda una buena oportunidad de contemplar con nuevos ojos el sistema en su conjunto y garantizar el nivel adecuado de protección de datos, equivalente al de la parte del sistema regulada por el primer pilar.

36.

El Supervisor Europeo observa con satisfacción que la lista de datos personales que puede incluirse en el SIA deberá ser cerrada y exhaustiva. También se congratula de que la Propuesta aporte una definición más amplia de la expresión «datos personales», con respecto a la del Convenio SIA. Con arreglo al artículo 2, apartado 2, de la Propuesta, se define la expresión «datos personales» como «toda información sobre una persona física identificada o identificable (el interesado). Se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos característicos de su identidad física, fisiológica, psíquica, económica, cultural o social.».

37.

Un ejemplo de las disposiciones que provocan graves inquietudes acerca de la protección de datos es el artículo 8 de la Propuesta, en el que se estipula que «los Estados miembros únicamente podrán hacer uso de los datos obtenidos del SIA para alcanzar el objetivo enunciado en el artículo 1, apartado 2. No obstante, podrán utilizarlos también para fines administrativos o de otra índole con la autorización previa del Estado miembro que los haya introducido en el Sistema y bajo las condiciones que éste haya impuesto. Cualquier otro uso de dichos datos se hará de conformidad con las disposiciones legales y reglamentarias y los procedimientos del Estado miembro que pretenda su utilización, de conformidad con el artículo 3, apartado 2, de la Decisión marco 2008/977/JAI». Esta disposición relativa al uso de los datos obtenidos del SIA es fundamental para la estructura del sistema y requiere, por tanto, especial atención.

38.

El artículo 8 de la Propuesta se refiere al artículo 3, apartado 2, de la Decisión Marco 2008/977/JAI que trata de los «Principios de licitud, proporcionalidad y finalidad». El artículo 3 de la Decisión Marco establece que:

«1.   Las autoridades competentes solo podrán recoger datos personales con fines determinados, explícitos y legítimos en el marco de sus funciones y solo podrán tratarlos para el mismo fin con el que se hayan recogido. El tratamiento de los datos deberá ser lícito y adecuado, pertinente y no excesivo con respecto a los fines para los que se recojan.

2.   Se autorizará el tratamiento posterior para otros fines en la medida en que:

39.

Sin perjuicio de la aplicación del artículo 3, apartado 2, de la Decisión Marco 2008/977/JAI en el que se establecen las condiciones generales con arreglo a las cuales puede permitirse el tratamiento con otros fines, el Supervisor Europeo llama la atención sobre el hecho de que el artículo 8 de la Propuesta, al permitir el uso de los datos pertenecientes al SIA para fines administrativos o de otra índole, que no se definen en la Propuesta, suscita inquietud en cuanto al cumplimiento de los requisitos de protección de datos, en particular respecto al principio de limitación de la finalidad. Además, el instrumento del primer pilar no permite un uso tan general. Por consiguiente, el Supervisor insta a que se precisen los fines para los cuales pueden utilizarse los datos. Esta cuestión es esencial desde la perspectiva de la protección de datos ya que atañe a los principios básicos del uso de datos en los sistemas de gran envergadura: «los datos deberán emplearse únicamente para fines bien definidos y claramente limitados regulados por el marco jurídico.».

40.

El artículo 8, apartado 4, de la Propuesta trata de los datos que podrán ser transferidos a terceros países y a organizaciones internacionales. Esta disposición estipula que «los datos obtenidos del SIA podrán ser transferidos, con la autorización previa y bajo las condiciones impuestas por el Estado miembro que los haya introducido en el Sistema, […] a países terceros y a organizaciones internacionales o regionales que hayan manifestado su deseo de utilizarlos. Los Estados miembros adoptarán medidas especiales para garantizar la seguridad de esos datos al transferirlos a servicios situados fuera de su territorio. Deberán comunicar los pormenores de esas medidas a la Autoridad de Supervisión Común contemplada en el artículo 25.».

41.

El Supervisor Europeo toma nota de que el artículo 11 de la Decisión Marco sobre la protección de datos personales es aplicable en este contexto. No obstante, debe destacarse que, habida cuenta del carácter muy general de la aplicación de la disposición del artículo 8, apartado 4, de la Propuesta, que en principio permite a los Estados miembros transferir los datos obtenidos del SIA a países terceros y a organizaciones internacionales o regionales que hayan manifestado su deseo de utilizarlos, las salvaguardias contempladas en dicho artículo no son suficientes desde el punto de vista de la protección de datos personales. El Supervisor insta a que se reconsidere el artículo 8, apartado 4 con objeto de garantizar un sistema uniforme de evaluación de la adecuación mediante un mecanismo apropiado; por ejemplo, cabría implicar en dicha evaluación al Comité establecido en el artículo 26 de la Propuesta.

42.

El Supervisor Europeo toma nota con satisfacción de las disposiciones sobre modificación de datos (capítulo IV, artículo 13), que constituyen un elemento importante del principio de calidad de los datos. El Supervisor acoge con satisfacción, en particular, el ámbito de aplicación de esta disposición, ampliado y modificado con respecto al Convenio SIA, que añade ahora la rectificación y borrado de datos. Por ejemplo, el artículo 13, apartado 2, estipula que si un Estado miembro suministrador o Europol advirtiese o fuese advertido de que los datos que ha incluido son materialmente inexactos o han sido introducidos o almacenados contraviniendo la presente Decisión, modificará, completará, rectificará o borrará los datos, según proceda, e informará de ello a los demás Estados miembros y a Europol.

43.

El Supervisor Europeo toma nota de las disposiciones del capítulo V relativas a la Conservación de datos, ampliamente basadas en el Convenio SIA, y que establecen, entre otras cosas, plazos para la conservación de datos copiados procedentes del SIA.

44.

El capítulo IX (Protección de los datos personales) refleja numerosas disposiciones del Convenio SIA. No obstante, aporta un cambio significativo: la aplicación de la Decisión Marco sobre la protección de datos personales al SIA y la mención, en el artículo 22 de la Propuesta, de que «los derechos de las personas en relación con los datos personales del Sistema de Información Aduanero, especialmente el derecho de acceso a ellos, su rectificación, borrado o bloqueo, se ejercerán de conformidad con las disposiciones legales y reglamentarias y los procedimientos del Estado miembro en el que se invoquen esos derechos, en aplicación de la Decisión marco 2008/977/JAI». En este contexto, el Supervisor Europeo desea destacar en particular la importancia de mantener el procedimiento para que los interesados puedan invocar sus derechos y solicitar acceso en cualquier Estado miembro. El Supervisor vigilará cuidadosamente la aplicación práctica de este importante derecho de los interesados.

45.

La Propuesta también amplía el ámbito de aplicación del Convenio SIA por lo que respecta a la prohibición de copiar datos del SIA en otros ficheros nacionales de datos. El Convenio SIA menciona explícitamente en su artículo 14, apartado 2, que «los datos personales incluidos por otros Estados miembros no podrán ser copiados del Sistema de Información Aduanero en otros ficheros nacionales de datos». La Propuesta, en su artículo 21, apartado 3, permite dicha copia «salvo que se trate de copias a sistemas de gestión de riesgos destinados a orientar los controles aduaneros a escala nacional o de copias a sistemas de análisis operativo que permitan coordinar las actuaciones». Con respecto a lo anterior, el Supervisor Europeo comparte las observaciones realizadas por la Autoridad de Supervisión Común en su Dictamen 09/03, en particular en lo que se refiere a la expresión «sistemas de gestión de riesgos», así como la necesidad de estipular el momento y las circunstancias en las que sería posible la copia permitida por el artículo 21, apartado 3.

46.

El Supervisor Europeo acoge con satisfacción las disposiciones sobre seguridad, que son fundamentales para el funcionamiento eficiente del SIA (capítulo XII).

47.

La Propuesta añade disposiciones relativas al fichero de identificación de los expedientes de investigación aduanera (artículos 16 a 19). Ello refleja la creación de dichos ficheros en el instrumento del primer pilar. Aunque el Supervisor Europeo no cuestiona la necesidad de estas nuevas bases de datos en el marco del SIA, llama la atención sobre la necesidad de salvaguardias adecuadas para la protección de datos. En este contexto, el Supervisor acoge con satisfacción el hecho de que la excepción prevista en el artículo 21, apartado 3, no se aplique al citado fichero de identificación.

48.

La Propuesta da acceso al sistema a la Oficina Europea de Policía (Europol) y a la Unidad Europea de Cooperación Judicial (Eurojust).

49.

En primer lugar, el Supervisor Europeo hace hincapié en la necesidad de definir claramente el objetivo del acceso y evaluar la proporcionalidad y necesidad de ampliar el acceso. La información sobre los motivos de la necesidad de ampliar a Europol y Eurojust el acceso al sistema brilla por su ausencia. El Supervisor destaca asimismo que cuando lo que está en juego es el acceso a los ficheros, a las funcionalidades y al tratamiento de la información personal, existe una necesidad clara de evaluar anticipadamente no sólo la utilidad de dicho acceso, sino también la necesidad real y documentada de dicha Propuesta. El Supervisor destaca que no se ha facilitado justificación alguna de los motivos.

50.

El Supervisor Europeo también insta a que se incluyan en el texto definiciones precisas de las tareas para las cuales se puede dar acceso a Europol y Eurojust a los datos.

51.

Con arreglo al artículo 11, «Europol estará facultada, dentro de los límites de su mandato y para llevar a cabo sus tareas, para acceder a los datos introducidos en el SIA y consultarlos directamente, y para introducir datos en dicho sistema.».

52.

El Supervisor Europeo se congratula de las limitaciones introducidas en la Propuesta, como:

53.

El Supervisor Europeo quisiera asimismo mencionar que siempre que la Propuesta se refiere al Convenio Europol debería tenerse en cuenta la Decisión del Consejo sobre la base de la cual, y con efecto a partir del 1 de enero de 2010, Europol se convertirá en agencia de la UE.

54.

El artículo 12 de la Propuesta trata del acceso del Eurojust al SIA. Estipula que «a reserva de lo dispuesto en el capítulo IX, los miembros nacionales […] y sus asistentes estarán facultados, dentro de los límites de su mandato y con el fin de llevar a cabo sus tareas, para acceder a los datos introducidos en el SIA de conformidad con los artículos 1, 3, 4, 5 y 6, y para consultarlos». La Propuesta contempla, en lo relativo al consentimiento del Estado miembro que ha introducido los datos, mecanismos similares a los previstos para Europol. Las observaciones anteriores, que instan a justificar la necesidad de dar acceso y de establecer límites adecuados y necesarios en caso de concederse dicho acceso, son asimismo aplicables a Eurojust.

55.

El Supervisor Europeo acoge con satisfacción que el acceso al SIA esté limitado únicamente a los miembros nacionales de Eurojust, sus suplentes y sus asistentes. El Supervisor observa, sin embargo, que el artículo 12, apartado 1, menciona únicamente a los miembros y sus asistentes, mientras que en otros apartados del artículo 12 se incluye a los suplentes de los miembros nacionales. Los legisladores deberían garantizar la claridad y coherencia en este contexto.

56.

Con respecto a la Propuesta de supervisión de la parte del SIA regulada por el tercer pilar, el Supervisor Europeo llama la atención del legislador sobre la necesidad de garantizar una supervisión coherente y general de todo el sistema. Debería tenerse en cuenta el complejo marco jurídico que regula el SIA, basado en dos bases jurídicas, y debería evitarse que coexistan dos modelos diferentes de supervisión, tanto en aras de una mayor claridad como por motivos de carácter práctico.

57.

Como ya se ha mencionado anteriormente en el presente Dictamen, en la actualidad el Supervisor Europeo actúa como supervisor del segmento central de la parte del sistema correspondiente al primer pilar. Y ello de conformidad con el artículo 37 del Reglamento (CE) no 515/97 que estipula que «el Supervisor Europeo de Protección de Datos verificará que el SIA cumple lo dispuesto en el Reglamento (CE) no 45/2001». El Supervisor observa que el modelo de supervisión que propone la Propuesta francesa no tiene en cuenta este papel. El modelo de supervisión se basa en el papel de la Autoridad de Supervisión Común del SIA.

58.

Si bien el Supervisor Europeo aprecia la labor realizada por la Autoridad de Supervisión Común del SIA, destaca dos motivos por los cuales debería aplicarse un modelo de supervisión coordinada, coherente con sus actuales tareas de supervisión en otros sistemas de gran envergadura. En primer lugar, un modelo de este tipo garantizaría la coherencia interna entre las partes del sistema reguladas por el primer pilar y las reguladas por el tercer pilar. En segundo lugar, también aportaría coherencia con respecto a los modelos establecidos en otros sistemas de gran envergadura. Por tanto, el Supervisor aconseja que se aplique al SIA en su conjunto un modelo similar al utilizado en el SIS II («supervisión coordinada» o «modelo de distintos niveles»). Como se menciona en el Dictamen del Supervisor Europeo sobre la parte del SIA regulada por el primer pilar, «en el marco del SIS II, el legislador europeo ha optado por racionalizar el modelo de supervisión, aplicando el mismo modelo de distintos niveles que se describe supra a los entornos del sistema correspondientes al primer y tercer pilar.».

59.

El Supervisor Europeo considera que la solución más oportuna a lo anteriormente expuesto consiste en introducir un sistema de supervisión más uniforme, el modelo ya experimentado basado en una estructura de tres niveles: las autoridades encargadas de la protección de datos a nivel nacional, el Supervisor Europeo de Protección de Datos a nivel central y un nivel de coordinación entre ambos. El Supervisor Europeo tiene la convicción de que el Convenio SIA brinda una ocasión única de simplificar y dar mayor coherencia a la supervisión, en plena consonancia con otros sistemas de gran envergadura (VIS, SIS II y Eurodac).

60.

Por último, el modelo de supervisión coordinada también tiene en cuenta de manera más adecuada los cambios que se introducirán con la entrada en vigor del Tratado de Lisboa y la supresión de la estructura de pilares de la UE.

61.

El Supervisor Europeo no se pronuncia en lo que respecta a si la inserción de un modelo de supervisión coordinada requeriría modificaciones del instrumento que regula el SIA correspondiente al primer pilar, es decir, el Reglamento (CE) no 766/2008, pero llama la atención del legislador sobre la necesidad de analizar este aspecto también desde el punto de vista de la coherencia jurídica.

62.

El artículo 7, apartado 2, establece que cada Estado miembro tiene la obligación de enviar a los demás Estados miembros y al Comité mencionado en el artículo 26 la lista de las autoridades competentes que ha designado para que tengan acceso al SIA, precisando para cada autoridad a qué datos puede tener acceso y con qué finalidad.

63.

El Supervisor Europeo advierte de que la Propuesta sólo establece que los Estados miembros deben intercambiar la información sobre las autoridades que tienen acceso al SIA e informar al Comité a que se refiere el artículo 26, pero sin que se contemple la publicación de dicha lista de autoridades. Ello es de lamentar, ya que la publicación contribuiría a una mayor transparencia y crearía una herramienta práctica para la supervisión efectiva del sistema, por ejemplo por parte de las autoridades competentes encargadas de la protección de datos.

64.

El Supervisor Europeo apoya la Propuesta de Decisión del Consejo sobre la utilización de la tecnología de la información a efectos aduaneros. Insiste en que, debido a los trabajos legislativos en curso en el Consejo, sus observaciones no se basan en el texto definitivo de la Propuesta.

65.

Lamenta la ausencia de documentos explicativos que pudieran facilitar ciertas aclaraciones e informaciones necesarias sobre los objetivos y la especificidad de algunas de las disposiciones de la Propuesta.

66.

El Supervisor Europeo hace un llamamiento para que se preste mayor atención en la Propuesta a la necesidad de establecer salvaguardias específicas relativas a la protección de datos. Considera que en una serie de cuestiones debería garantizarse mejor la aplicación práctica de la protección de datos, en particular en lo que se refiere a la aplicación de la limitación de la finalidad con respecto al uso de los datos introducidos en el SIA. El Supervisor considera que ello constituye un requisito previo esencial para la mejora del funcionamiento del Sistema de Información Aduanera.

67.

El Supervisor Europeo insta a que se introduzca en la Propuesta un modelo de supervisión coordinada. Obsérvese que el Supervisor desempeña en la actualidad tareas de supervisión sobre la parte del sistema regulada por el primer pilar. Destaca que, en aras de una mayor coherencia, el mejor planteamiento consistiría en aplicar el modelo de supervisión coordinada también a la parte del sistema regulada por el tercer pilar. Este modelo garantizaría asimismo, cuando sea necesario y adecuado, la coherencia con otros instrumentos jurídicos que rigen el establecimiento y el uso de otros sistemas de tecnologías de la información de gran envergadura.

68.

El Supervisor Europeo insta a facilitar más explicaciones sobre la necesidad y proporcionalidad de conceder a Europol y Eurojust acceso al SIA. Hace hincapié en la ausencia de información explicativa sobre esta cuestión en la Propuesta.

69.

El Supervisor Europeo insiste asimismo en que se refuerce el artículo 8, apartado 4, de la propuesta en lo que se refiere a la transferencia de datos a terceros Estados o a organizaciones internacionales. Ello incluye la necesidad de garantizar un sistema uniforme de evaluación de la adecuación.

70.

El Supervisor Europeo insta a que se incluya una disposición sobre la publicación de la lista de autoridades que tienen acceso al SIA con el fin de aumentar la transparencia y facilitar la supervisión del sistema.

23.9.2009   

ES

Diario Oficial de la Unión Europea

C 229/19

1.

El 10 de diciembre de 2008, la Comisión adoptó dos propuestas relativas a la modificación del Reglamento (CE) no 726/2004 y de la Directiva 2001/83/CE respectivamente (3). El Reglamento (CE) no 726/2004 del Parlamento Europeo y del Consejo (4) establece procedimientos comunitarios para la autorización y el control de medicamentos de uso humano y veterinario y crea la Agencia Europea de Medicamentos (en los sucesivo, «la EMEA»). La Directiva 2001/83/CE del Parlamento Europeo y del Consejo (5) contiene normas relativas al código comunitario sobre medicamentos para uso humano y regula procesos específicos de los Estados miembros a escala nacional. Las propuestas de modificación se refieren a las partes de ambos instrumentos que se ocupan de la farmacovigilancia de medicamentos de uso humano.

2.

La farmacovigilancia puede definirse como la ciencia y las actividades relativas a la detección, evaluación, comprensión y prevención de los efectos adversos de los medicamentos (6). El sistema de farmacovigilancia vigente en Europa permite que los pacientes y los profesionales sanitarios notifiquen reacciones adversas de los medicamentos a los organismos públicos y privados competentes de los ámbitos nacional y europeo. La EMEA gestiona una base de datos europea (la base de datos EudraVigilance), que funciona como punto centralizado para administrar y notificar sospechas de reacciones adversas causadas por medicamentos.

3.

La farmacovigilancia se considera un complemento necesario al sistema comunitario de autorización de medicamentos que se remonta a 1965, año en que se adoptó la Directiva 65/65/CEE del Consejo (7).

4.

De las exposiciones de motivos y de la evaluación del impacto adjunta a las propuestas se deriva que el sistema vigente de farmacovigilancia tiene algunas deficiencias como, por ejemplo, la falta de claridad por lo que se refiere a las funciones y responsabilidades de los diversos participantes, la complicación de los procedimientos de notificación de reacciones adversas de medicamentos, la necesidad de potenciar la transparencia y la comunicación en cuanto a la seguridad de los medicamentos y la necesidad de racionalizar la planificación de la gestión del riesgo de los medicamentos.

5.

El objetivo general de ambas propuestas consiste en remediar estas deficiencias y mejorar y potenciar el sistema comunitario de farmacovigilancia con la finalidad general de mejorar la protección de la salud pública, garantizando al mismo tiempo el buen funcionamiento del mercado interior y simplificando las normas y los procedimientos actuales (8).

6.

El funcionamiento general del sistema vigente de farmacovigilancia se basa en el tratamiento de datos personales. Estos datos se incluyen en la notificación de las reacciones adversas a medicamentos y pueden considerarse datos relativos a la salud («datos sanitarios») de las personas de que se trate, ya que desvelan información sobre el uso de medicamentos y sobre los problemas de salud relacionados con ellos. El tratamiento de dichos datos está sometido a normas estrictas de protección de datos según se dispone en el artículo 10 del Reglamento (CE) no 45/2001 y en el artículo 8 de la Directiva 95/46/CE (9). La importancia de proteger dichos datos ha sido puesta de relieve recientemente en varias ocasiones por el Tribunal Europeo de Derechos Humanos en el contexto del artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales. Este Tribunal ha afirmado que la protección de los datos personales, en particular los datos médicos, reviste una importancia fundamental para que las personas puedan disfrutar del derecho al respeto de la vida privada y de la vida familiar que garantiza el artículo 8 del Convenio (10).

7.

A pesar de esto, en el texto actual del Reglamento (CE) no 726/2004 y de la Directiva 2001/83/CE no se hace ninguna referencia a la protección de datos, salvo una referencia específica que se ha incluido en el Reglamento que se tratará a partir del punto 21.

8.

El Supervisor Europeo de Protección de Datos (SEPD) lamenta que en las propuestas de modificación no se consideren los aspectos de la protección de datos y que no se le haya consultado oficialmente en relación con ambas propuestas de modificación de conformidad con lo dispuesto en el artículo 28, apartado 2 del Reglamento (CE) no 45/2001. El presente Dictamen se basa, por consiguiente, en el artículo 41, apartado 2 de dicho Reglamento. El SEPD recomienda que se incluya una referencia a este Dictamen en el preámbulo de ambas propuestas.

9.

El SEPD toma nota de que, aunque la protección de datos no se considere suficientemente en el marco jurídico vigente relativo a la farmacovigilancia ni tampoco en estas propuestas, la aplicación práctica del sistema comunitario central EudraVigilance plantea claramente cuestiones de protección de los datos. Con este fin, la EMEA notificó el sistema vigente EudraVigilance al SEPD en junio de 2008 para que se realizara un control previo en virtud del artículo 27 del Reglamento (CE) no 45/2001.

10.

El presente Dictamen y las conclusiones del SEPD sobre el control previo (cuya publicación se espera para finales de este año) necesariamente se solaparán en alguna medida. Sin embargo, cada instrumento se centra en un aspecto diferente: mientras que el presente Dictamen se centra en el marco jurídico general en que se basa el sistema tal como se deriva del Reglamento (CE) no 726/2004 y de la Directiva 2001/83/CE, así como de las propuestas de modificación de ambos instrumentos, el control previo constituye un análisis detallado de la protección de datos que se centra en la solución de las normas vigentes en instrumentos posteriores (por ejemplo Decisiones y directrices) publicados por la EMEA o por la Comisión y la EMEA conjuntamente, y en el funcionamiento del sistema EudraVigilance en la práctica.

11.

En este Dictamen se brinda, en primer lugar, una explicación simplificada del sistema de farmacovigilancia de la UE tal como se deriva del Reglamento (CE) no 726/2004 y de la Directiva 2001/83/CE en su redacción actual. Posteriormente, se analiza la necesidad del tratamiento de datos personales en el contexto de la farmacovigilancia. Después de esto, se tratan las propuestas de la Comisión destinadas a mejorar el marco jurídico vigente y el previsto, y se hacen recomendaciones sobre cómo garantizar y mejorar las normas relativas a la protección de datos.

12.

En la Unión Europea, son varios los agentes que participan en la recopilación y difusión de información sobre los efectos adversos de los medicamentos. A escala nacional, los dos agentes principales son los titulares de las autorizaciones de comercialización (empresas autorizadas a comercializar medicamentos) y las autoridades nacionales competentes (autoridades responsables de las autorizaciones de comercialización). Las autoridades nacionales competentes autorizan productos a través de procedimientos nacionales, que incluyen el «procedimiento de reconocimiento mutuo» y el «procedimiento descentralizado» (11). En relación con los productos que se autorizan a través del denominado «procedimiento centralizado», la Comisión Europea también puede actuar como autoridad competente. Un participante adicional importante a nivel europeo es la EMEA. Una de las tareas de esta agencia es velar por la difusión de la información sobre reacciones adversas a medicamentos autorizados en la Comunidad, mediante una base de datos, la base de datos mencionada anteriormente EudraVigilance.

13.

La Directiva 2001/83/CE se refiere en términos generales a la responsabilidad de los Estados miembros de administrar un sistema de farmacovigilancia en que se recopila información que sea «útil para la supervisión de medicamentos» (artículo 102). En virtud de los artículos 103 y 104 de la Directiva 2001/83/CE [véanse también los artículos 23 y 24 del Reglamento (CE) no 726/2004], los titulares de la autorización de comercialización deben haber establecido su propio sistema de farmacovigilancia para asumir la responsabilidad y la obligación de rendir cuentas por los productos que haya comercializado y garantizar que se puedan adoptar las medidas adecuadas cuando sea necesario. Se recopila la información procedente de los profesionales sanitarios o de los pacientes directamente. El titular de la autorización de comercialización debe facilitar electrónicamente a la autoridad competente toda la información pertinente para la relación beneficio-riesgo del medicamento.

14.

La propia Directiva 2001/83/CE no es muy precisa sobre qué tipo de información sobre efectos adversos debe recopilarse a nivel nacional, cómo debe almacenarse o cómo debe notificarse. Los artículos 104 y 106 únicamente hacen referencia a que se han de elaborar informes. En las directrices elaboradas por la Comisión tras consultar con la EMEA, los Estados miembros y las partes interesadas en virtud del artículo 106, figuran normas más detalladas sobre dichos informes. En estas directrices sobre farmacovigilancia para medicamentos de uso humano (en lo sucesivo, «las directrices») se hace referencia a los denominados informes sobre casos de seguridad específicos, que son informes sobre efectos adversos de medicamentos en relación con un paciente específico (12). De las directrices se deriva que un elemento de la información mínima requerida en los informes sobre casos de seguridad específicos es el «paciente identificable» (13). Se indica que el paciente puede ser identificado mediante sus iniciales, el número de paciente, la fecha de nacimiento, el peso, la altura y el sexo, el número de registro del hospital, la información sobre el historial clínico del paciente, la información sobre los padres del paciente (14).

15.

Al poner de relieve la identificabilidad del paciente, el tratamiento de esta información se mantiene claramente dentro del ámbito de las normas sobre protección de los datos establecidas en la Directiva 95/46/CE. Efectivamente, aunque no se mencione el paciente por su nombre, es posible identificarlo reuniendo los diversos elementos de información (por ejemplo, el hospital, la fecha de nacimiento, las iniciales) y en condiciones específicas (por ejemplo, en las comunidades cerradas o en lugares pequeños). Por lo tanto, debería considerarse que la información tratada en el contexto de la farmacovigilancia se refiere, en principio, a una persona física identificable en el sentido del artículo 2, letra a) de la Directiva 95/46/CE (15). Aunque esto no se aclare en el Reglamento ni en la Directiva, en las directrices sí se reconoce cuando se declara que la información debe ser todo lo completa que sea posible, teniendo en cuenta la legislación de la UE sobre la protección de datos (16).

16.

Debe subrayarse que, a pesar de las directrices, la forma de notificar efectos adversos a nivel nacional dista de ser uniforme, lo que se trata más detalladamente en los puntos 24 y 25 infra.

17.

La base de datos EudraVigilance mantenida por la EMEA desempeña un papel crucial en el sistema de farmacovigilancia de la UE. Como se ha mencionado anteriormente, EudraVigilance es una red y un sistema de gestión centralizados de tratamiento de datos cuya finalidad consiste en notificar y evaluar sospechas de reacciones adversas durante el desarrollo y tras la autorización de comercialización de medicamentos en la Comunidad Europea y en los países que forman parte del Espacio Económico Europeo. La base jurídica de la base de datos EudraVigilance es el artículo 57, apartado 1, letra d) del Reglamento (CE) no 726/2004.

18.

La base de datos EudraVigilance actual tiene dos componentes: 1) la información dimanante de los ensayos clínicos (que tienen lugar antes de que se comercialice el medicamento, por lo que el período se denomina «período previo a la autorización») y 2) información que se deriva de informes sobre efectos adversos (recopilada posteriormente, por lo que el período se denomina «período posterior a la autorización»). El presente Dictamen se centra en el período posterior a la autorización, ya que las propuestas de modificación así lo hacen.

19.

La base de datos EudraVigilance contiene datos sobre pacientes que se derivan de los informes sobre casos de seguridad específicos. Las autoridades nacionales competentes [véase el artículo 102 de la Directiva 2001/83/CE y el artículo 22 del Reglamento (CE) no 726/2004], y en algunos casos los titulares de la autorización de comercialización directamente [véase el artículo 104 de la Directiva 2001/83/CE y el artículo 24 del Reglamento (CE) no 726/2004], facilitan a la EMEA informes sobre casos de seguridad específicos.

20.

El presente Dictamen se centra en el tratamiento de la información personal relativa a los pacientes. No obstante, conviene observar que la base de datos EudraVigilance también recopila información personal sobre las personas que trabajan para la autoridad nacional competente o sobre los titulares de la autorización de comercialización cuando introducen información en la base de datos. El nombre completo, la dirección, los datos de contacto y datos del documento de identificación de estas personas se mantienen en el sistema. Otra categoría de información personal es la de los datos relativos a las personas denominadas «personas cualificadas responsables en materia de farmacovigilancia», nombradas por los titulares de la autorización de comercialización de conformidad con el artículo 103 de la Directiva 2001/83/CE, como se ha mencionado anteriormente. Obviamente, los derechos y las obligaciones dimanantes del Reglamento (CE) no 45/2001 se aplican plenamente al tratamiento de esta información.

21.

En el artículo 57, apartado 1, letra d) del Reglamento (CE) no 726/2004 se dispone que todos los Estados miembros podrán consultar la base de datos de forma permanente. Los profesionales de los servicios sanitarios, los titulares de autorizaciones de comercialización y el público en general deben tener, por consiguiente, niveles adecuados de acceso a esta base de datos, en la que se garantizará la protección de los datos personales. Como se ha indicado anteriormente en el punto 7, ésta es la única disposición tanto en el reglamento como en la Directiva 2001/83/CE que hace referencia a la protección de datos.

22.

El artículo 57, apartado 1, letra d) ha llevado al siguiente régimen de acceso. Una vez que la EMEA recibe un informe sobre un caso de seguridad específico, este se introduce directamente en la pasarela de EudraVigilance, a la que la EMEA, las autoridades nacionales competentes y la Comisión pueden acceder plenamente. Después de que la EMEA haya validado el informe (mediante la comprobación de que es auténtico y único), la información recogida en él se transfiere a la base de datos. La EMEA, las autoridades nacionales competentes y la Comisión pueden acceder plenamente a la base de datos, mientras que los titulares de autorizaciones de comercialización solamente pueden acceder a la base de datos con determinadas restricciones, a saber, pueden acceder solamente a los datos que ellos mismos hayan facilitado a la EMEA. En el sitio Internet de EudraVigilance se incluye información agregada relativa a los informes sobre casos de seguridad específicos a la que puede acceder el público en general, incluidos los profesionales sanitarios.

23.

El 19 de diciembre de 2008, la EMEA publicó en su sitio Internet un proyecto de política de acceso sobre las consultas públicas (17). El documento muestra cómo prevé la EMEA aplicar el artículo 57, apartado 1, letra d) del Reglamento (CE) no 726/2004. El SEPD vuelve a tratar este tema brevemente a partir del punto 48 infra.

24.

La evaluación de impacto de la Comisión demuestra que el sistema actual de farmacovigilancia de la UE, considerado complejo y poco claro, adolece de varias deficiencias. La complicación del sistema de recopilación, almacenamiento y divulgación de datos por diversos agentes en los ámbitos nacional y europeo se presenta como una de las deficiencias principales. El hecho de que existan disparidades en la aplicación de la Directiva 2001/83/CE en los Estados miembros agrava la situación (18). Por consiguiente, las autoridades nacionales competentes y la EMEA se enfrentan a menudo al hecho de que la notificación de casos de reacción adversa a medicamentos sea incompleta o redundante (19).

25.

Esto se debe a que, aunque se facilita una descripción del contenido de los informes sobre casos de seguridad específicos en las directrices mencionadas anteriormente, los Estados miembros tienen la facultad de decidir cómo utilizar estos informes a nivel nacional, lo que incluye tanto el medio de comunicación aplicado a la notificación a las autoridades nacionales competentes por los titulares de autorizaciones de comercialización, como la información efectiva incluida en los informes (en Europa no se utiliza un formato normalizado único para las notificaciones). Por otra parte, algunas autoridades nacionales competentes pueden aplicar criterios de calidad específicos a la admisibilidad de los informes (en función de su contenido, del nivel de compleción, etc.), mientras que puede no ser así en otros países. Es obvio que el planteamiento utilizado a nivel nacional en relación con la notificación y el control de calidad de los informes sobre casos de seguridad específicos tiene un impacto directo en la manera en que se hacen estas notificaciones a la EMEA, es decir, en la base de datos EudraVigilance.

26.

El SEPD quisiera poner de relieve que las deficiencias previamente mencionadas no sólo ocasionan molestias de carácter práctico sino que también plantean una considerable amenaza a la protección de los datos sanitarios de los ciudadanos. Aunque, tal y como se muestra anteriormente, el tratamiento de datos sanitarios tiene lugar en varias etapas del proceso de farmacovigilancia, no existe actualmente ninguna disposición relativa a la protección de esos datos. La única excepción a esta situación es la referencia general a la protección de datos del artículo 57, apartado 1, letra d) del Reglamento (CE) no 726/2004, que solamente se refiere a la última etapa del tratamiento de los datos, a saber, la accesibilidad de los datos que contiene la base de datos EudraVigilance. Además, la falta de claridad por lo que se refiere a las funciones y a las responsabilidades de los diversos agentes participantes en el tratamiento de datos y la falta de normas específicas sobre el propio tratamiento de datos suponen una amenaza para la confidencialidad, la integridad y la rendición de cuentas en relación con los datos personales tratados.

27.

El SEPD, por consiguiente, desea subrayar que la ausencia de un análisis completo de la protección de datos en el marco jurídico que forma la base del sistema de farmacovigilancia de la UE debe también considerarse como una de las deficiencias del sistema actual. Esta deficiencia debe remediarse modificando la legislación actual.

28.

Como preocupación preliminar y general, el SEPD desea plantear la cuestión de si el tratamiento de datos sanitarios de personas físicas identificables es realmente necesario en todas las etapas del sistema de farmacovigilancia (tanto a nivel nacional como europeo).

29.

Como se ha explicado anteriormente, en los informes sobre casos de seguridad específicos no se menciona al paciente por el nombre y no se le identifica como tal. Sin embargo, el paciente podría ser identificado en algunos casos combinando diversos elementos de información del informe de que se trate. Como se deriva de las directrices, en algunos casos se da el número de un paciente específico, lo que implica que el sistema en su conjunto permite rastrear a la persona de que se trate. Sin embargo, ni la Directiva ni el Reglamento hacen referencia a la rastreabilidad de las personas como parte de la finalidad del sistema de farmacovigilancia.

30.

El SEPD, por consiguiente, exhorta al legislador a que aclare si realmente una de las finalidades de la farmacovigilancia debe ser la rastreabilidad de las personas en los diversos niveles del tratamiento de los datos y más específicamente en el marco de la base de datos EudraVigilance.

31.

A este respecto, es instructivo hacer una comparación con el régimen previsto sobre la donación y el trasplante de órganos (20). En el contexto del trasplante de órganos, la rastreabilidad de un órgano hasta el donante así como hasta el receptor del órgano es de vital importancia, especialmente en caso de reacciones o episodios adversos graves.

32.

En el contexto de la farmacovigilancia, no obstante, el SEPD no dispone de suficientes pruebas para concluir que dicha rastreabilidad es siempre realmente necesaria. La farmacovigilancia se refiere a la notificación de efectos adversos de los medicamentos que utiliza un número desconocido (normalmente) de personas y que utilizará un número desconocido (normalmente) de personas. Existe, por lo tanto, en todo caso en el período posterior a la autorización, una conexión menos automática y específica entre la información relativa al efecto adverso y la persona afectada que en el caso de la información sobre órganos y las personas participantes en el trasplante de un órgano específico. Es obvio que los pacientes que han utilizado un determinado medicamento y han notificado sus efectos adversos tienen interés en conocer el resultado de cualquier evaluación posterior que tenga lugar. Esto, sin embargo, no implica que la información notificada deba vincularse en todos los casos a esa persona específica en todo el proceso de farmacovigilancia. En muchas ocasiones, debería ser suficiente vincular la información sobre los efectos adversos al propio medicamento, lo que permitiría a los agentes participantes, quizás a través de los profesionales sanitarios, informar a los pacientes en general de las consecuencias que tiene tomar o haber tomado un determinado medicamento.

33.

Si después de todo se prevé dicha rastreabilidad, el SEPD desea recordar el análisis que hizo en su Dictamen sobre la propuesta de la Comisión de Directiva sobre normas de calidad y seguridad de los órganos humanos destinados a trasplantes. En aquel Dictamen explicó la relación entre la rastreabilidad, la identificabilidad, el anonimato y la confidencialidad de los datos. La identificabilidad es un término crucial en la legislación sobre la protección de datos (21). Las normas de protección de datos se aplican a los datos relativos a las personas que han sido identificadas o que son identificables  (22). La rastreabilidad de los datos hasta una persona específica puede asimilarse a la identificabilidad. En la legislación relativa a la protección de datos, el anonimato es lo contrario de la identificabilidad y, por lo tanto, de la rastreabilidad. Los datos se consideran como anónimos solamente si es imposible identificar (o rastrear) a la persona a quien se refieren dichos datos. El concepto de «anonimato» es, por lo tanto, distinto del concepto habitual de esta palabra normalmente en la vida cotidiana, a saber, que un individuo no puede ser identificado a partir de los propios datos, por ejemplo, porque se ha retirado su nombre. En esas situaciones se hace referencia, en cambio, a la confidencialidad de los datos, lo que significa que la información es solamente (plenamente) accesible a quienes están autorizados a acceder a ella. Mientras que la rastreabilidad y el anonimato no pueden coexistir, la rastreabilidad y la confidencialidad sí.

34.

Aparte de la rastreabilidad, otra justificación para mantener la identificabilidad de los pacientes durante todo el proceso de farmacovigilancia podría ser el buen funcionamiento del sistema. El SEPD entiende que cuando la información se refiere a un individuo identificable y, por lo tanto, único es más fácil para las autoridades competentes (es decir, las autoridades nacionales competentes y la EMEA) examinar y controlar el contenido de un informe sobre un caso de seguridad específico (por ejemplo, comprobar si existe más de un ejemplar). Aunque el SEPD considera que es necesario disponer de un mecanismo de control de esta índole, no está convencido de que sólo este argumento justifique el mantenimiento de la identificabilidad de los datos en todas las etapas del proceso de farmacovigilancia y, especialmente, en la base de datos EudraVigilance. Mediante la mejora de la estructuración y la coordinación del sistema de notificación, por ejemplo mediante un sistema descentralizado, como se trata a partir del punto 42 infra, podría evitarse la duplicación ya a escala nacional.

35.

El SEPD reconoce que, en determinadas circunstancias, es imposible mantener el anonimato de los datos. Esto es así, por ejemplo, cuando un grupo muy limitado de personas utiliza determinados medicamentos. Para esos casos deben establecerse salvaguardias específicas de modo que se puedan cumplir las obligaciones dimanantes de la legislación relativa a la protección de datos.

36.

Para concluir, el SEPD duda seriamente de si la rastreabilidad o el empleo de datos sobre pacientes identificables es algo necesario en cada una de las etapas del proceso de farmacovigilancia. El SEPD es consciente de que puede no ser posible excluir el tratamiento de datos identificables en todas las etapas, especialmente en el ámbito nacional, ámbito en que tiene lugar la recopilación de información sobre efectos adversos. No obstante, las normas sobre la protección de datos requieren que el tratamiento de los datos sanitarios tenga lugar únicamente cuando sea estrictamente necesario. El empleo de datos identificables debe, por lo tanto, reducirse en la medida de lo posible y prevenirse o detenerse lo antes posible cuando dicho empleo no se considere necesario. El SEPD, por lo tanto, exhorta al legislador a que evalúe de nuevo la necesidad de utilizar información de esa índole a nivel europeo y a nivel nacional.

37.

Se toma nota de que, en caso de que exista una necesidad real de tratar datos identificables o de que no se pueda mantener el anonimato de dichos datos (véase el punto 35 supra), deben estudiarse las posibilidades técnicas de identificación indirecta de las personas a que se refieren dichos datos, por ejemplo mediante la utilización de mecanismos de seudonimización (23).

38.

El SEPD, por consiguiente, recomienda que se incluya en el Reglamento (CE) no 726/2004 y en la Directiva 2001/83/CE un nuevo artículo en que se disponga que las disposiciones del Reglamento (CE) no 726/2004 y de la Directiva 2001/83/CE se entenderán sin perjuicio de los derechos y de las obligaciones dimanantes respectivamente de las disposiciones del Reglamento (CE) no 45/2001 y de la Directiva 95/46/CE, y que se haga una referencia específica al artículo 10 del Reglamento (CE) no 45/2001 y al artículo 8 de la Directiva 95/46/CE respectivamente. A esto debería añadirse que los datos sanitarios identificables se tratarán solamente cuando sea estrictamente necesario y que los agentes participantes deben evaluar esta necesidad en cada etapa del proceso de farmacovigilancia.

39.

Aunque la protección de datos apenas se tiene en cuenta en las propuestas de modificación, un análisis más detallado de la propuesta sigue siendo instructivo, ya que muestra que parte de las modificaciones previstas aumentan el impacto y los riesgos subsiguientes en relación con la protección de datos.

40.

La finalidad general de ambas propuestas es mejorar la coherencia de las normas, aclarar la cuestión de las responsabilidades, simplificar el sistema de notificación y potenciar la base de datos EudraVigilance (24).

41.

Claramente la Comisión ha intentado aclarar más la cuestión de las responsabilidades proponiendo la modificación de las disposiciones vigentes de tal modo que en la propia legislación figure de manera más explícita quién debe hacer qué. No cabe duda de que aclarar la cuestión de los agentes participantes y sus obligaciones respectivas en relación con la notificación de efectos adversos aumenta la transparencia del sistema y es, por lo tanto, una evolución positiva también desde la perspectiva de la protección de datos. Los pacientes deberían, por lo general, poder entender la legislación relativa a cómo, cuándo y por quién son tratados sus datos personales. Sin embargo, la aclaración que se propone respecto de los deberes y las responsabilidades también debería explicitarse en relación con los deberes y las responsabilidades dimanantes de la legislación en materia de protección de datos.

42.

La simplificación del sistema de notificación se debe lograr mediante el empleo de portales nacionales sobre la seguridad de los medicamentos que enlacen con el portal europeo sobre la seguridad de los medicamentos [véanse los nuevos artículos propuestos 106 de la Directiva 2001/83/CE y 26 del Reglamento (CE) no 726/2004]. Los portales nacionales harán públicos formularios para la notificación de reacciones adversas sospechosas por profesionales sanitarios y pacientes [véanse los nuevos artículos propuestos 106, apartado 3 de la Directiva 2001/83/CE y 25 del Reglamento (CE) no 726/2004]. Asimismo, el portal europeo contendrá información sobre cómo realizar notificaciones de esta índole y, entre otras cosas, formularios normalizados para la notificación por Internet por pacientes y profesionales sanitarios.

43.

El SEPD desea subrayar que, aunque la utilización de estos portales y formularios normalizados aumenta la eficacia del sistema de notificación, al mismo tiempo incrementa los riesgos del sistema en relación con la protección de datos. El SEPD exhorta al legislador a que elabore un sistema de notificación de esa índole dentro del respeto de los requisitos de la legislación en materia de protección de datos. Esto implica, como se ha indicado, que la necesidad de tratar datos personales debe evaluarse correctamente en cada etapa del proceso, lo que debe reflejarse en la manera en que se organice la notificación a nivel nacional, así como la transmisión de información a la EMEA y a la base de datos EudraVigilance. En un sentido más amplio, el SEPD recomienda encarecidamente la elaboración de formularios uniformes a nivel nacional, lo que impediría que la disparidad de prácticas llevara a niveles dispares de protección de datos.

44.

El sistema previsto parece implicar que los pacientes pueden informar directamente a la EMEA, o quizás incluso directamente a la propia base de datos EudraVigilance. Esto significaría que, en la versión actual de la base de datos EudraVigilance, la información se colocaría en la pasarela de la EMEA, a la que, como ya se ha explicado en los puntos 21 y 22, pueden acceder plenamente la Comisión y las autoridades nacionales competentes.

45.

En términos generales, el SEPD defiende firmemente la descentralización del sistema de notificación. La transmisión de información al portal europeo debe coordinarse mediante la utilización de portales nacionales, de los que son responsables las autoridades nacionales competentes. La notificación indirecta por pacientes, es decir, a través de profesionales sanitarios (mediante el uso de portales o no) también se debe utilizar, en lugar de la posibilidad de notificación directa por los pacientes, especialmente a la base de datos EudraVigilance.

46.

En cualquier caso, un sistema de notificación a través de portales exige normas estrictas de seguridad. A ese respecto, el SEPD quisiera hacer referencia a su Dictamen, mencionado anteriormente, sobre la propuesta de Directiva relativa a la asistencia sanitaria transfronteriza, especialmente la parte relativa a la seguridad de los datos en los Estados miembros y a la privacidad en las aplicaciones de la sanidad electrónica (25). En ese Dictamen, el SEPD ya puso de relieve que la privacidad y la seguridad debían formar parte del diseño y de la implementación de cualquier aplicación de la sanidad electrónica (privacidad en la fase de diseño) (26). La misma consideración se aplica a los portales previstos.

47.

El SEPD, por consiguiente, recomienda la inclusión en los nuevos artículos propuestos 25 y 26 del Reglamento (CE) no 726/2004 y 106 de la Directiva 2001/83/CE, que regulan el desarrollo de un sistema de notificación de efectos adversos a través de portales, la obligación de incorporar medidas adecuadas de seguridad y de privacidad. Los principios de confidencialidad, integridad, responsabilidad y disponibilidad de los datos también podrían mencionarse como objetivos principales de seguridad, que deben garantizarse en un nivel uniforme en todos los Estados miembros. También se podría incluir el empleo de normas técnicas y medios adecuados, como el cifrado y la autentificación de la firma digital.

48.

El nuevo artículo propuesto 24 del Reglamento (CE) no 726/2004 se ocupa de la base de datos EudraVigilance. Este artículo deja claro que potenciar la base de datos implica incrementar el uso que de la base de datos hacen los diversos agentes participantes al suministrar información a la base de datos y al obtener información que esta contiene. Dos apartados del artículo 24 revisten un interés particular.

49.

El artículo 24, apartado 2 se ocupa de la accesibilidad de la base de datos. Reemplaza el actual artículo 57, apartado 1, letra d) del Reglamento (CE) no 726/2004, que se ha tratado anteriormente como la única disposición que actualmente hace referencia a la protección de datos. Se mantiene la referencia a la protección de los datos, pero se reduce el número de agentes a los que se aplica. Para los casos en que el texto actual indica que se darán niveles adecuados de acceso a la base de datos, con la debida protección de los datos personales, a los profesionales sanitarios, a los titulares de una autorización de comercialización y al público en general, la Comisión propone ahora retirar a los titulares de una autorización de comercialización de esta lista y darles acceso «en la medida necesaria para cumplir sus obligaciones de farmacovigilancia», sin ninguna referencia a la protección de los datos. Las razones para ello no quedan claras.

50.

Además, el tercer apartado del artículo 24 establece normas relativas al acceso a los informes sobre casos de seguridad específicos. Cualquier persona puede solicitar el acceso a dichos informes, que se proporcionará en el plazo de 90 días «salvo que su divulgación comprometa el anonimato de quienes figuran en los informes». El SEPD apoya la idea que subyace a esta disposición, a saber, que solamente se pueden divulgar los datos anónimos. Sin embargo, desea poner de relieve, como se ha explicado anteriormente, que el anonimato debe entenderse como la imposibilidad total de identificar a la persona que ha notificado el efecto adverso (véase también el punto 33).

51.

La accesibilidad del sistema EudraVigilance debe, en términos generales, evaluarse de nuevo teniendo en cuenta las normas en materia de protección de datos. Esto también tiene consecuencias directas para el proyecto de política de acceso publicado por la EMEA en diciembre de 2008, mencionado anteriormente en el punto 23 (27). Como la información que contiene la base de datos EudraVigilance se refiere necesariamente a personas físicas identificables, el acceso a esos datos debe ser todo lo restrictivo que sea posible.

52.

El SEPD, por lo tanto, recomienda incluir en la propuesta de artículo 24, apartado 2 del Reglamento (CE) no 726/2004 una frase que disponga que la accesibilidad de la base de datos EudraVigilance se regulará de conformidad con los derechos y las obligaciones dimanantes de la legislación comunitaria relativa a la protección de datos.

53.

El SEPD desea subrayar que, una vez que se tratan los datos identificables, la parte responsable de dicho tratamiento debe cumplir todos los requisitos de la legislación comunitaria en materia de protección de datos. Esto implica, entre otras cosas, que la persona interesada está bien informada de qué se va a hacer con los datos y de quién los tratará, así como de cualquier otra información requerida en virtud del artículo 11 del Reglamento (CE) no 45/2001 o del artículo 10 de la Directiva 95/46/CE. Se debería, además, permitir a la persona interesada invocar sus derechos tanto a escala nacional como europea, como el derecho de acceso [artículo 12 de la Directiva 95/46/CE y artículo 13 del Reglamento (CE) no 45/2001], el derecho de oposición [artículo 18 del Reglamento (CE) no 45/2001 y artículo 14 de la Directiva 95/46/CE], etcétera.

54.

El SEPD, por consiguiente, recomienda que en el artículo propuesto 101 de la Directiva 2001/83/CE se añada un apartado en que se disponga que en caso de tratamiento de datos personales, se informará correctamente al interesado de conformidad con el artículo 10 de la Directiva 95/46/CE.

55.

El problema del acceso de una persona a su propia información contenida en la base de datos EudraVigilance no se aborda ni en la legislación vigente ni en la propuesta de legislación. Cabe poner de relieve que en los casos en que se considere necesario mantener datos personales en la base de datos, como se acaba de mencionar, se debe permitir que el paciente interesado invoque su derecho de acceso a sus datos personales de conformidad con el artículo 13 del Reglamento (CE) no 45/2001. El SEPD, por lo tanto, recomienda que en el artículo propuesto 24 se añada un apartado en que se establezca que se adoptarán medidas que garanticen que la persona a que se refieren los datos pueda ejercer su derecho de acceso a sus datos personales de conformidad con lo dispuesto en el artículo 13 del Reglamento (CE) no 45/2001.

56.

El SEPD considera que la ausencia de una evaluación adecuada de las implicaciones de la protección de datos de la farmacovigilancia constituye una de las deficiencias del marco jurídico vigente establecido por el Reglamento (CE) no 726/2004 y la Directiva 2001/83/CE. Debería considerarse que la modificación actual del Reglamento (CE) no 726/2004 y de la Directiva 2001/83/CE brinda la oportunidad de desarrollar plenamente la protección de datos como un elemento importante de la farmacovigilancia.

57.

Una cuestión general que debe abordarse en ese contexto es si existe la necesidad real de tratar datos sanitarios personales en todas las etapas del proceso de farmacovigilancia. Como se ha explicado en el presente Dictamen, el SEPD alberga serias dudas sobre esta necesidad y exhorta al legislador a que evalúe de nuevo los distintos niveles del proceso. Está claro que en muchos casos se puede alcanzar el objetivo de la farmacovigilancia compartiendo información sobre efectos adversos, información que es anónima en el sentido de la legislación relativa a la protección de datos. La duplicación de notificaciones puede evitarse mediante la aplicación de procedimientos de notificación de datos bien estructurados ya a nivel nacional.

58.

Las propuestas de modificación prevén la simplificación del sistema de notificación y la potenciación de la base de datos EudraVigilance. El SEPD ha explicado que estas enmiendas suponen un aumento de los riesgos para la protección de datos, especialmente en el caso de la notificación directa de los pacientes a la EMEA o a la base de datos EudraVigilance. A este respecto, el SEPD defiende firmemente un sistema descentralizado e indirecto de notificación en el que se coordine la transmisión de información al portal europeo mediante la utilización de portales nacionales. Además, el SEPD pone de relieve que la privacidad y la seguridad deben formar parte del diseño y de la ejecución de todo sistema de notificación mediante portales («privacidad en la fase de diseño»).

59.

El SEPD, además, subraya que una vez que se tratan los datos relativos a la salud de personas físicas identificadas o identificables, la persona responsable de dicho tratamiento debe cumplir todos los requisitos de la legislación comunitaria relativa a la protección de los datos.

60.

Más específicamente, el SEPD recomienda que:

23.9.2009   

ES

Diario Oficial de la Unión Europea

C 229/27

23.9.2009   

ES

Diario Oficial de la Unión Europea

C 229/28

1.

Barcs–Terezino Polje

2.

Beremend–Baranjsko Petrovo Selo

3.

Berzence–Gola

4.

Drávaszabolcs–Donji Miholjac

5.

Drávaszabolcs (río, previa solicitud) (1)

6.

Gyékényes–Koprivnica (ferrocarril)

7.

Letenye–Goričan I

8.

Letenye–Goričan II (autopista)

9.

Magyarboly–Beli Manastir (ferrocarril)

10.

Mohács (río)

11.

Murakeresztúr–Kotoriba (ferrocarril)

12.

Udvar–Dubosevica

1.

Bácsalmás–Bajmok (2)

2.

Hercegszántó–Bački Breg

3.

Kelebia–Subotica (ferrocarril)

4.

Mohács (río)

5.

Röszke–Horgoš (autopista)

6.

Röszke–Horgoš (ferrocarril)

7.

Szeged (río) (2)

8.

Tiszasziget–Đjala (Gyála) (2)

9.

Tompa–Kelebija

1.

Ágerdőmajor (Tiborszállás)–Carei (ferrocarril)

2.

Ártánd–Borș

3.

Battonya–Turnu

4.

Biharkeresztes–Episcopia Bihorului (ferrocarril)

5.

Csengersima–Petea

6.

Gyula–Vărșand

7.

Kiszombor–Cenad

8.

Kötegyán–Salonta (ferrocarril)

9.

Létavértes–Săcuieni (3)

10.

Lőkösháza–Curtici (ferrocarril)

11.

Méhkerék–Salonta

12.

Nagylak–Nădlac

13.

Nyírábrány–Valea Lui Mihai (ferrocarril)

14.

Nyírábrány–Valea Lui Mihai

15.

Vállaj–Urziceni

1.

Barabás–Kosino (4)

2.

Beregsurány–Luzhanka

3.

Eperjeske–Salovka (ferrocarril)

4.

Lónya–Dzvinkove (5)

5.

Tiszabecs–Vylok

6.

Záhony–Čop (ferrocarril)

7.

Záhony–Čop

1.

Budapest Nemzetközi Repülőtér

2.

Debrecen Repülőtér

3.

Sármellék

1.

Békéscsaba

2.

Budaörs

3.

Fertőszentmiklós

4.

Győr–Pér

5.

Kecskemét

6.

Nyíregyháza

7.

Pápa

8.

Pécs–Pogány

9.

Siófok–Balatonkiliti

10.

Szeged

11.

Szolnok

23.9.2009   

ES

Diario Oficial de la Unión Europea

C 229/30