DICTAMEN DEL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS SOBRE LA PROPUESTA DE MODIFICACIÓN DEL REGLAMENTO DE EUROPOL

 

Por: Carlos A. FERREYROS SOTO

        Doctor en Derecho
        Université de Montpellier I Francia.
        M. Sc. Institut Agronomique Méditerranéen

        cferreyros@hotmail.com

PROLOGO

El 9 de diciembre de 2020, la Comisión Europea presentó una propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) n.^o 2016/794 en lo que se refiere a la cooperación de Europol con entidades privadas, el tratamiento de datos personales por Europol en apoyo de investigaciones penales y el papel de Europol en materia de investigación e innovación.

El objetivo de esta propuesta legislativa es reforzar y, en ciertos casos, ampliar el mandato de Europol, en respuesta al panorama de la seguridad en constante evolución y a las amenazas cambiantes y cada vez más complejas.

La Comisión Europea consultó formalmente al Supervisor Europeo de Protección de Datos Personales, SEPD el 7 de enero de 2021 sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) n° 2016/794 y ha adoptado el dictamen actual de conformidad con el artículo 42, apartado 3, del Reglamento (CE) n.° 2018/1725.

En vista de lo anterior, el SEPD formula las recomendaciones siguientes:

Las Conclusiones sobre la modificatoria del Reglamento (UE) n.^o 2016/794 en lo que se refiere a la cooperación de Europol con entidades privadas, el tratamiento de datos personales por Europol en apoyo de investigaciones penales y el papel de Europol en materia de investigación e innovación, se presentan en la rubricas siguientes:

· En relación con la cooperación con entidades privadas

· En relación con el tratamiento de conjuntos de datos grandes y complejos, incluido el destinado a apoyar investigaciones penales específicas

· En relación con el uso de datos para la investigación y la innovación

· En relación con la cooperación de Europol con terceros países

· En relación con el marco de protección de datos aplicable a Europol,

· En relación con otros elementos de la propuesta,

_____________________________________________________________

Resumen del Dictamen del Supervisor Europeo de Protección de Datos sobre la propuesta de modificación del Reglamento de Europol

(El texto completo del presente dictamen puede consultarse en inglés, francés y alemán en el sitio web del SEPD www.edps.europa.eu)

(2021/C 143/05)

El 9 de diciembre de 2020, la Comisión Europea presentó una propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) n.^o 2016/794 en lo que se refiere a la cooperación de Europol con entidades privadas, el tratamiento de datos personales por Europol en apoyo de investigaciones penales y el papel de Europol en materia de investigación e innovación. El objetivo de esta propuesta legislativa es reforzar y, en ciertos casos, ampliar el mandato de Europol, en respuesta al panorama de la seguridad en constante evolución y a las amenazas cambiantes y cada vez más complejas.

El SEPD comprende la necesidad de que las autoridades policiales se beneficien de las mejores herramientas jurídicas y técnicas posibles para desempeñar su cometido, que consiste en detectar, investigar y prevenir delitos y otras amenazas para la seguridad pública. Además, está convencido de que no existe un conflicto inherente e irreconciliable entre la seguridad y los derechos fundamentales, incluido el derecho a la protección de datos. Por consiguiente, el presente dictamen tiene por objeto ofrecer una evaluación justa y objetiva de la necesidad y proporcionalidad de las medidas propuestas, acompañada de una serie de recomendaciones específicas para garantizar el equilibrio adecuado entre los valores y los intereses en juego.

Las investigaciones penales y las operaciones de inteligencia criminal incluyen cada vez más la recopilación y el tratamiento de conjuntos de datos grandes y complejos por parte de las autoridades policiales. Aunque el SEPD valora positivamente las salvaguardias que acompañan a las excepciones propuestas en tales casos, manifiesta su preocupación por que las excepciones a las normas de protección de datos, aplicables a Europol, acaben siendo la norma en la práctica. En consecuencia, recomienda que el Reglamento de Europol defina mejor las situaciones y condiciones en las que puede recurrir a las excepciones propuestas. Además, incluso en estos casos, el tratamiento de datos personales por parte de la Agencia debe ser plenamente conforme con los principios y las obligaciones generales establecidos en el capítulo IX del Reglamento (CE) n.^o 2018/1725.

En lo que atañe a las mayores posibilidades jurídicas para que Europol coopere con entidades privadas, en particular en el caso de conjuntos de datos multijurisdiccionales o no atribuibles a ninguna jurisdicción específica, el SEPD considera que están contrarrestadas con salvaguardias específicas, como la prohibición de transferencias de datos sistemáticas, masivas o estructurales. Al mismo tiempo, el SEPD recomienda que esta importante restricción se aplique a todos los intercambios entre Europol y las entidades privadas, con independencia de si estas se encuentran dentro o fuera de la UE. El SEPD considera, asimismo, que la función y las responsabilidades jurídicas exactas de Europol, cuando actúa como proveedor de servicios a las autoridades nacionales y, por tanto, como encargado del tratamiento de datos, deberían precisarse con más detalle en un acto jurídico vinculante. Además, considera necesario efectuar una evaluación de los posibles riesgos para la seguridad que entraña la apertura de la infraestructura de comunicación de Europol para su uso por entidades privadas.

El SEPD presta especial atención, asimismo, al uso previsto de datos personales por parte de Europol con fines de investigación e innovación. De igual modo, es muy consciente de que la alternativa (es decir, que Europol y las autoridades policiales nacionales utilicen herramientas y productos desarrollados por proveedores externos, a menudo ubicados fuera de la UE) plantea claramente riesgos mucho mayores en lo que atañe a los derechos fundamentales. A pesar de ello, el SEPD considera que el nuevo fin del tratamiento está definido de manera demasiado amplia y recomienda que el alcance de las actividades de investigación e innovación se aclare en un documento vinculante.

El SEPD acoge con satisfacción y apoya plenamente la propuesta de reforzar aún más el marco de protección de datos de Europol y, en particular, la aplicación directa de las normas horizontales del capítulo IX del Reglamento (CE) n.^o 2018/1725 al tratamiento operativo de datos por parte de la Agencia. Constituye, asimismo, un paso importante hacia una armonización exhaustiva del marco de protección de datos para todas las instituciones, los órganos y las agencias de la Unión, algo que el SEPD ha solicitado reiteradamente.

Con un mandato más rotundo de Europol, la supervisión debería ser siempre mayor. Por consiguiente, el SEPD pide una armonización plena de sus competencias de supervisión respecto a Europol con las competencias generales del SEPD previstas en el Reglamento (UE) n.^o 2018/1725 y aplicables a las demás instituciones, agencias y organismos de la Unión, incluido el Parlamento Europeo, el Consejo y la Comisión. Tal armonización sería coherente con la voluntad del legislador de la UE y contribuiría asimismo a evitar un trato diferenciado y una posición más o menos privilegiada para los órganos de la Unión.

1.   INTRODUCCIÓN Y ANTECEDENTES

   1.    La Agencia de la Unión Europea para la Cooperación Policial (Europol) se creó en virtud del Reglamento (UE) n.^o 2016/794 del Parlamento Europeo y del Consejo (el Reglamento de Europol) para apoyar y reforzar la actuación de las autoridades competentes de los Estados miembros y su cooperación mutua en la prevención y lucha contra la delincuencia transfronteriza grave, el terrorismo y otras actividades delictivas que afectan a los intereses comunes de la Unión. El Reglamento de Europol sustituyó al anterior acto jurídico básico, la Decisión 2009/371/JAI del Consejo (¹), y concedió al SEPD la tarea de supervisar la legalidad del tratamiento de datos personales por parte de Europol a partir del 1 de mayo de 2017.

 

   2.    El 9 de diciembre de 2020, la Comisión Europea adoptó una propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) n.^o 2016/794, en lo que se refiere a la cooperación de Europol con entidades privadas, el tratamiento de datos personales por Europol en apoyo de investigaciones penales y el papel de Europol en materia de investigación e innovación (²).

 

   3.    La propuesta se ha incluido en el programa de trabajo de la Comisión para 2020 como iniciativa legislativa para «reforzar el mandato de Europol con el fin de mejorar la cooperación policial operativa». También es una de las medidas clave de la Estrategia de la UE para una Unión de la Seguridad, presentada en julio de 2020 (³). Por otra parte, la propuesta legislativa forma parte de un paquete de medidas, anunciado por la Comisión el 9 de diciembre de 2020, para reforzar la respuesta de la Unión a la amenaza que representa el terrorismo (⁴).

 

   4.    El objetivo de la propuesta es reforzar y, cuando se considere necesario, ampliar el mandato de Europol en el marco de la misión y las tareas de la Agencia establecidas en el artículo 88 del Tratado de Funcionamiento de la UE (TFUE). Los tres ámbitos principales, abordados por la propuesta, se mencionan explícitamente en el título del proyecto de Reglamento, a saber, la cooperación con entidades privadas, el apoyo operativo a las investigaciones penales, y la investigación y la innovación. No obstante, hay una serie de cambios adicionales en otros aspectos importantes de la labor de Europol, como el régimen jurídico de la protección de datos, las transferencias de datos a terceros países, la introducción de descripciones en el Sistema de Información de Schengen, etc. Este último elemento se ha abordado en una propuesta legislativa (⁵) independiente sobre la que el SEPD también ha sido consultado y ha formulado sus observaciones en un dictamen aparte.

 

   5.    Según la exposición de motivos, la propuesta legislativa es una respuesta al panorama de la seguridad en constante evolución y a las amenazas cambiantes y cada vez más complejas, incluido el aprovechamiento por parte de grupos delictivos de la transformación digital, las nuevas tecnologías y la crisis de la COVID-19. En este contexto, la Comisión recuerda varias declaraciones políticas recientes del Consejo y el Parlamento Europeo, que abordan de manera expresa la necesidad de reforzar aún más el mandato y la capacidad de Europol (⁶).

 

   6.    Durante el proceso de preparación de la propuesta legislativa, la Comisión realizó consultas sin carácter oficial al SEPD en varias ocasiones, la última el 25 de noviembre de 2020, y este comunicó sus observaciones informales. El SEPD celebra que se hayan solicitado sus puntos de vista en una fase temprana del procedimiento y anima a la Comisión a seguir con esta buena práctica. Además, el 9 de octubre de 2020, el SEPD organizó un seminario web de expertos titulado «The Europol reform: the data protection perspective» (La reforma de Europol: la perspectiva de la protección de datos), que prestaba especial atención a la adecuación de las disposiciones sobre protección de datos del Reglamento de Europol a las normas generales sobre el tratamiento de datos personales operativos.

 

   7.    La Comisión consultó formalmente al SEPD el 7 de enero de 2021 sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) n.^o 2016/794 y ha adoptado el dictamen actual de conformidad con el artículo 42, apartado 3, del Reglamento (CE) n.^o 2018/1725.

2.   CONCLUSIONES

     49.         En vista de lo anterior, el SEPD formula las recomendaciones siguientes:

En relación con la cooperación con entidades privadas

—      la prohibición de transferencias de datos sistemáticas, masivas o estructurales (último párrafo del artículo 26, apartado 6) debe aplicarse a todos los intercambios con entidades privadas, incluso dentro de la UE;

 

—      las obligaciones de Europol al actuar como encargado del tratamiento de datos/proveedor de servicios y, en particular, los elementos obligatorios establecidos en el artículo 87, apartado 3, del Reglamento (UE) n.^o 2018/1725, deben establecerse en un acto jurídico vinculante con arreglo al Derecho de la Unión o de los Estados miembros;

 

—      Europol debe llevar a cabo una evaluación de los posibles riesgos para la seguridad que entraña la apertura de su infraestructura para su uso por entidades particulares y, en caso necesario, aplicar las medidas preventivas y atenuantes oportunas.

En relación con el tratamiento de conjuntos de datos grandes y complejos, incluido el destinado a apoyar investigaciones penales específicas

—      el Reglamento de Europol debe proporcionar salvaguardias suficientes para garantizar que las excepciones previstas en el artículo 18, apartado 5 bis, y el artículo 18 bis, no acaben siendo la norma en la práctica;

 

—      el Reglamento de Europol debe definir con mayor precisión los casos en los que Europol podría recurrir a la excepción con arreglo al artículo 18, apartado 5 bis, respectivamente, cuando la Agencia pueda solicitar la ampliación del plazo máximo de un año. Además, debe aclararse la interacción entre los apartados 5 bis y 6 del artículo 18;

 

—      el artículo 18 bis debe establecer otras condiciones y umbrales para el tratamiento por parte de Europol de los datos no pertenecientes a las categorías de interesados enumeradas en el anexo II en apoyo de una investigación penal específica, como la escala, la complejidad, el tipo o la importancia de la investigación;

 

—      el tratamiento de datos personales en virtud de las excepciones contempladas en el artículo 18, apartado 5 bis, y el artículo 18 bis, debe cumplir en todos los casos los principios generales y las obligaciones establecidos en el capítulo IX del Reglamento (UE) n.^o 2018/1725.

En relación con el uso de datos para la investigación y la innovación

—      el alcance de las actividades de investigación e innovación debe definirse mejor en el Reglamento de Europol y precisarse con más detalle en un documento vinculante, que podría actualizarse posteriormente.

En relación con la cooperación de Europol con terceros países

—      el significado de «categorías de transferencias» en el artículo 25, apartado 5, así como la distinción de «conjuntos de transferencias» en el apartado 6 del mismo artículo, deben definirse y aclararse con mayor detalle en el Reglamento de Europol.

En relación con el marco de protección de datos aplicable a Europol,

—      las competencias de supervisión del SEPD respecto a Europol deben armonizarse plenamente con las competencias generales del SEPD previstas en el artículo 58 del Reglamento (UE) n.^o 2018/1725;

 

—      el nuevo fin propuesto en el artículo 37 bis debe suprimirse y, por tanto, la limitación del tratamiento de datos personales por parte de Europol debe regularse directamente mediante lo dispuesto en el artículo 82 del Reglamento (UE) n.^o 2018/1725.

En relación con otros elementos de la propuesta,

—      las condiciones de transmisión de datos a otros órganos de la Unión previstas en el artículo 24 del Reglamento de Europol deben ajustarse a las normas generales del artículo 71, apartado 2, del Reglamento (UE) n.^o 2018/1725, en particular al requisito de proporcionalidad;

 

—      el concepto de «análisis operativo conjunto», así como las normas jurídicas aplicables al tratamiento de datos personales en el mismo, deben definirse claramente en el Reglamento de Europol.

Bruselas, 8 de marzo de 2021.

Wojciech Rafał WIEWIÓROWSKI

---

(¹)  Decisión 2009/371/JAI del Consejo, de 6 de abril de 2009, por la que se crea la Oficina Europea de Policía (Europol) (DO L 121 de 15.5.2009, p. 37).

(²)  COM(2020) 796 final.

(³)  COM(2020) 605 final (24 de julio de 2020).

(⁴)  https://ec.europa.eu/commission/presscorner/detail/es/ip_20_2326

(⁵)  Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) n.^o 2018/1862 relativo al establecimiento, funcionamiento y utilización del Sistema de Información de Schengen (SIS) en el ámbito de la cooperación policial y de la cooperación judicial en materia penal en lo que respecta a la introducción de descripciones por Europol, COM(2020) 791 final.

(⁶)  Véanse, en particular, la Resolución del Parlamento Europeo, de 10 de julio de 2020, sobre la política global de la Unión para la prevención del blanqueo de capitales y la financiación del terrorismo (2020/2686(RSP)); las conclusiones del Consejo sobre la cooperación de Europol con entidades privadas, de 2 de diciembre de 2019, o la declaración de los ministros de Asuntos de Interior de la UE («Diez puntos sobre el futuro de Europol»), de 21 de octubre de 2020.