Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
Resumen
Algunas Conclusiones tienen en cuenta la proliferación de la ciberdelincuencia
y la creciente importancia de las pruebas electrónicas para las investigaciones
penales, en vista de la complejidad de la obtención de dichas pruebas cuando no
están dentro de la jurisdicción de los Estados miembros, el Supervisor Europeo
de Proteccion de Datos, SEPD, entiende la necesidad de que las autoridades
policiales obtengan pruebas electrónicas de manera rápida y eficaz para
garantizar que puedan luchar eficazmente contra la delincuencia.
Por lo tanto, el SEPD está a
favor de encontrar una respuesta internacional con las salvaguardias adecuadas
a los problemas existentes en este contexto.
El Protocolo pretende tanto
mejorar los canales tradicionales de cooperación como establecer una
cooperación directa entre las autoridades policiales y los proveedores de
servicios a nivel transfronterizo. No contiene disposiciones sobre el acceso
directo a los datos por parte de las autoridades policiales, lo que el SEPD
acoge con satisfacción.
Aunque se reconoce que no es
posible replicar en su totalidad la terminología y las definiciones del Derecho
de la Unión en un acuerdo internacional multilateral, el SEPD subraya que deben
garantizarse las salvaguardias adecuadas de protección de datos para las
personas a fin de cumplir plenamente el Derecho de la UE.
El SEPD se congratula de que el
Protocolo contenga un artículo específico sobre la protección de datos
personales. También observa positivamente las numerosas salvaguardias que se
han incluido en el Protocolo.
Para mayor
información o análisis sobre la presente Resumen, referencias
legislativas, perspectivas de investigación asi como sus implicancias en
América Latina, consúltenos al correo electrónico cferreyros@hotmail.com
_________________________________________________________
Resumen del Dictamen del Supervisor Europeo de
Protección de Datos sobre las dos Propuestas de Decisiones del Consejo por las
que se autoriza a los Estados miembros a firmar y ratificar, en interés de la
Unión Europea, el Protocolo adicional segundo al Convenio sobre la
Ciberdelincuencia, relativo a la cooperación reforzada y la revelación de
pruebas electrónicas
(El texto completo de este dictamen puede consultarse
en inglesa, francesa y alemana en el sitio web del SEPD www.edps.europa.eu)
(2022/C 182/04)
El 25 de noviembre
de 2021, la Comisión adoptó dos Propuestas de Decisiones del Consejo, en virtud
del artículo 16, el artículo 82, apartado 1, y el artículo 218, apartados 5 y 6,
del Tratado de Funcionamiento de la Unión Europea, una de las cuales autoriza a
los Estados miembros a firmar y la otra a ratificar, en interés de la Unión
Europea, el Protocolo adicional segundo al Convenio de Budapest sobre la
Ciberdelincuencia. En el Anexo de las Propuestas se recogen las directrices del
Consejo para las reservas, declaraciones y comunicaciones al firmar y ratificar
el Protocolo.
La
investigación y el enjuiciamiento de los delitos es un objetivo legítimo y la
cooperación internacional, incluido el intercambio de información, es ahora más
importante que nunca. Como argumenta desde hace tiempo el SEPD, la UE necesita
regímenes sostenibles para intercambiar datos personales con terceros países
con fines policiales y judiciales, que sean plenamente compatibles con los
Tratados de la UE y la Carta de los Derechos Fundamentales. Incluso en la
investigación de casos nacionales, las autoridades con funciones coercitivas se
encuentran cada vez más en «situaciones transfronterizas», debido al hecho de
que la información se almacena electrónicamente en un tercer país. El creciente
volumen de solicitudes y la volatilidad de la información ejercen una presión
sobre los modelos de cooperación existentes, como los tratados de asistencia
jurídica mutua. El SEPD comprende que las autoridades se enfrentan a una
carrera contrarreloj a la hora de obtener datos para sus investigaciones y
apoya los esfuerzos para idear nuevos modelos de cooperación, también en el
contexto de la cooperación con terceros países.
El Protocolo
pretende mejorar los canales tradicionales de cooperación e incluye
disposiciones para mejorar la cooperación directa entre las autoridades
policiales y los proveedores de servicios en un contexto transfronterizo. En
particular, el Protocolo reforzará la cooperación en materia de
ciberdelincuencia y de obtención de pruebas en formato electrónico de delitos a
efectos de investigaciones y procesos penales específicos.
Aunque se reconoce
que no es posible replicar en su totalidad la terminología y las definiciones
del Derecho de la Unión en un acuerdo internacional multilateral, el SEPD
subraya que deben garantizarse las salvaguardias adecuadas para las personas a
fin de cumplir plenamente el Derecho de la UE.
Los principios
de protección de datos, como la imparcialidad, la exactitud y la pertinencia de
la información, la supervisión independiente y los derechos individuales de las
personas, son tan pertinentes para los organismos públicos como para las
empresas privadas. Estos principios básicos resultan aún más importantes en
vista de la sensibilidad de los datos necesarios para las investigaciones
penales.
El presente
Dictamen pretende ofrecer un análisis objetivo y un asesoramiento constructivo
a las instituciones de la UE mientras el Consejo examina las Propuestas de la
Comisión para firmar y ratificar el Protocolo y antes de que el Parlamento
Europeo deba dar su aprobación a la celebración del mismo.
El SEPD acoge
con satisfacción que no se haya incluido en el texto final del Protocolo
ninguna disposición sobre el acceso directo a los datos por parte de las
autoridades policiales. También se congratula de que el Protocolo contenga un
artículo específico sobre la protección de datos personales. Además, el SEPD
observa positivamente las numerosas salvaguardias que se han incluido en el
Protocolo.
El SEPD
entiende que se confirma que el Acuerdo marco sobre la protección de datos
UE-EE. UU. se aplicará a las transferencias de la UE a los Estados Unidos de
América en el marco de las disposiciones establecidas en el Protocolo relativas
a la cooperación entre autoridades. El SEPD lamenta este resultado.
En caso de que
se adopte una Decisión del Consejo por la que se autorice a los Estados
miembros a firmar y ratificar, respectivamente, en interés de la Unión, el
Protocolo, el SEPD acoge con satisfacción las propuestas de la Comisión para
que los Estados miembros realicen, en interés de la Unión, la declaración, la
notificación y la comunicación previstas en el artículo 7, apartado 2, letra
b), y apartado 5, letras a) y e), del Protocolo. Estas propuestas garantizan
que solo se podrá solicitar a los proveedores de servicios de la Unión la
transferencia de datos personales sobre la base de requerimientos dictados, en
el tercer país solicitante que sea parte del Protocolo, por un fiscal u otra
autoridad judicial, o bajo su supervisión, o bajo la supervisión independiente
y el control de una autoridad competente del Estado miembro solicitado.
El SEPD también
toma nota positivamente de la propuesta de que los Estados miembros hagan la
declaración prevista en el artículo 8, apartado 4, del Protocolo (sobre la
cooperación entre las autoridades competentes para dar efecto a los
requerimientos de presentación de información sobre los abonados y los datos
relativos al tráfico), a fin de garantizar que se requiera información
justificativa adicional para dar efecto a los requerimientos en virtud de esta
disposición.
Además, el SEPD
tiene las siguientes recomendaciones en relación con las futuras Decisiones del
Consejo, en caso de que los Estados miembros firmen y ratifiquen el Protocolo
en interés de la Unión:
|
— |
determinados datos incluidos en la categoría de información relativa a
los abonados, en el sentido del Convenio sobre la Ciberdelincuencia, pueden
considerarse, en virtud del Derecho de la UE, datos relativos al tráfico que
suponen una grave injerencia en los derechos fundamentales del interesado,
cuyo acceso solo puede estar justificado por la lucha contra la delincuencia
grave. Por lo tanto, el SEPD recomienda a los Estados miembros, en contra de
la propuesta de la Comisión, que se reserven el derecho a no aplicar el
artículo 7 del Protocolo sobre la divulgación de la información de los
abonados por parte de los proveedores de servicios directamente a las
autoridades competentes de otro país en relación con determinados tipos de
números de acceso, de conformidad con el artículo 7, apartado 9, letra b); |
|
— |
los Estados miembros deben designar, de conformidad con el artículo 7,
apartado 5, letra e), del Protocolo, una autoridad judicial u otra autoridad
independiente; |
|
— |
debe aclararse la comunicación propuesta por los Estados miembros a las
autoridades de Estados Unidos, en el momento de la firma o al depositar su
instrumento de ratificación, aceptación o aprobación, en relación con el
Acuerdo marco sobre la protección de datos UE-EE. UU.; |
|
— |
debería modificarse la consideración propuesta en relación con otros
acuerdos o convenios en virtud del artículo 14, apartado 1, letra c), del
Protocolo que podrían sustituir a la disposición de protección de datos del
Protocolo (artículo 14). |
1. INTRODUCCIÓN Y ANTECEDENTES
|
1. |
En junio de 2017, el Comité del Convenio sobre la
Ciberdelincuencia del Consejo de Europa aprobó el mandato para la preparación
de un segundo Protocolo adicional al Convenio sobre la Ciberdelincuencia
durante el período comprendido entre septiembre de 2017 y diciembre de 2019 (1). |
|
2. |
El 5 de febrero de 2019, la Comisión adoptó una
Recomendación (2) de Decisión del Consejo para
autorizar la participación de la Comisión, en nombre de la Unión Europea, en
las negociaciones sobre un Segundo Protocolo adicional (en adelante, «el
Protocolo») (3) al Convenio del Consejo de Europa
relativo a la cooperación reforzada y la revelación de pruebas electrónicas
(en adelante, «Convenio sobre la Ciberdelincuencia») (STCE n.o 185)
(4). |
|
3. |
El Supervisor Europeo de Protección de Datos (en
adelante, «el SEPD») adoptó un Dictamen relativo a la Recomendación el 2 de abril
de 2019 (5). Mediante Decisión de 6 de junio
de 2019, el Consejo de la Unión Europea autorizó a la Comisión a participar,
en nombre de la Unión Europea, en las negociaciones con vistas a la adopción
del Protocolo (6). |
|
4. |
El Comité del Convenio sobre la Ciberdelincuencia
prorrogó el mandato dos veces, hasta diciembre de 2020, y posteriormente
hasta mayo de 2021. El Protocolo fue elaborado por el Comité del Convenio
sobre la Ciberdelincuencia (T-CY) entre septiembre de 2017 y mayo de 2021. En
este período se celebraron más de noventa sesiones del Pleno de Redacción del
Protocolo T-CY, del Grupo de Redacción y de los subgrupos, así como seis
rondas de consultas con las partes interesadas. |
|
5. |
El Comité Europeo de Protección de Datos
contribuyó a las consultas públicas sobre el proyecto de Protocolo el 13 de noviembre
de 2019, el 2 de febrero de 2021 y el 4 de mayo de 2021 (7). |
|
6. |
El Parlamento Europeo reconoció la necesidad de
concluir los trabajos del Protocolo en su Resolución de 2021 sobre la
Estrategia de Ciberseguridad de la UE para la Década Digital (8). |
|
7. |
El 17 de noviembre de 2021, el Comité de
Ministros del Consejo de Europa adoptó el Protocolo. Debería estar abierto a
la firma en mayo de 2022. Por lo tanto, las enmiendas al mismo solo las puede
proponer una Parte del Protocolo y las tiene que adoptar el Comité de
Ministros. El Protocolo requiere la aceptación de todas las Partes para que
las enmiendas entren en vigor (9). |
|
8. |
La Unión Europea no puede convertirse en Parte
del Protocolo, ya que tanto el Protocolo como el Convenio sobre la
Ciberdelincuencia solo están abiertos a la firma de los Estados (10). |
|
9. |
El 25 de noviembre de 2021, la Comisión adoptó
dos Propuestas de Decisión del Consejo, en virtud del artículo 16, el
artículo 82, apartado 1, y el artículo 218, apartados 5 y 6, del Tratado de
Funcionamiento de la Unión Europea (TFUE) (11). |
|
10. |
Según estas Propuestas (12), el Protocolo entra en un
ámbito cubierto en gran medida por normas comunes en el sentido del artículo 3,
apartado 2, del TFUE. La Comisión pretende obtener, con estas Propuestas, dos
Decisiones del Consejo por las que se autoriza a los Estados miembros a
firmar y ratificar, respectivamente, el Protocolo en interés de la Unión
Europea. Ambas Propuestas van acompañadas de un anexo (en adelante, «el
Anexo») que proporciona instrucciones a los Estados miembros sobre las
reservas, declaraciones, notificaciones o comunicaciones y otras
consideraciones que deben hacerse al firmar y ratificar, en interés de la
Unión Europea, el Protocolo. La Propuesta relativa a la ratificación también
va acompañada del texto del Protocolo en el Anexo. |
|
11. |
Para que el acuerdo se celebre, en caso de que el
Consejo decida autorizar su firma por parte de los Estados miembros, en
interés de la Unión, el Consejo debe adoptar una decisión por la que se
autorice a los Estados miembros, en interés de la Unión, a ratificar el
acuerdo, previo consentimiento del Parlamento Europeo. El Protocolo entrará
en vigor el primer día del mes siguiente a la expiración de un plazo de tres
meses a partir de la fecha en que cinco Partes en el Convenio sobre la
Ciberdelincuencia hayan expresado su consentimiento en obligarse por el
presente Protocolo, de conformidad con lo dispuesto en el artículo 16,
apartados 1 y 2, del Protocolo (13). |
|
12. |
La Comisión Europea consultó al SEPD sobre ambas
Propuestas tras su adopción, de conformidad con el artículo 42, apartado 1,
del Reglamento (UE) 2018/1725 (14). Se hace referencia a este
Dictamen en los considerandos 12 y 13 de las Propuestas sobre la ratificación
y la firma del Protocolo, respectivamente. El SEPD desea subrayar que el
presente Dictamen se entiende sin perjuicio de las observaciones adicionales que
pueda formular sobre la base de la información disponible. |
7. CONCLUSIONES
|
129. |
Teniendo en cuenta la proliferación de la
ciberdelincuencia y la creciente importancia de las pruebas electrónicas para
las investigaciones penales, en vista de la complejidad de la obtención de
dichas pruebas cuando no están dentro de la jurisdicción de los Estados
miembros, el SEPD entiende la necesidad de que las autoridades policiales
obtengan pruebas electrónicas de manera rápida y eficaz para garantizar que
puedan luchar eficazmente contra la delincuencia. |
|
130. |
Por lo tanto, el SEPD está a favor de encontrar
una respuesta internacional con las salvaguardias adecuadas a los problemas
existentes en este contexto. |
|
131. |
El Protocolo pretende tanto mejorar los canales
tradicionales de cooperación como establecer una cooperación directa entre
las autoridades policiales y los proveedores de servicios a nivel
transfronterizo. No contiene disposiciones sobre el acceso directo a los
datos por parte de las autoridades policiales, lo que el SEPD acoge con
satisfacción. |
|
132. |
Aunque se reconoce que no es posible replicar en
su totalidad la terminología y las definiciones del Derecho de la Unión en un
acuerdo internacional multilateral, el SEPD subraya que deben garantizarse
las salvaguardias adecuadas de protección de datos para las personas a fin de
cumplir plenamente el Derecho de la UE. |
|
133. |
El SEPD se congratula de que el Protocolo
contenga un artículo específico sobre la protección de datos personales.
También observa positivamente las numerosas salvaguardias que se han incluido
en el Protocolo. |
|
134. |
El SEPD entiende que se confirma que el Acuerdo
marco sobre la protección de datos se aplicará a las transferencias de la UE
a los Estados Unidos de América en el marco de las disposiciones establecidas
en el Protocolo relativas a la cooperación entre autoridades. El SEPD lamenta este resultado. |
|
135. |
En caso de que se adopte una Decisión del Consejo
por la que se autorice a los Estados miembros a firmar y ratificar,
respectivamente, en interés de la Unión, el Protocolo, el SEPD acoge con
satisfacción las propuestas de la Comisión para que los Estados miembros
realicen, en interés de la Unión, la declaración, la notificación y la
comunicación previstas en el artículo 7, apartado 2, letra b), y apartado 5,
letras a) y e), del Protocolo. Estas propuestas garantizan que solo se podrá
solicitar a los proveedores de servicios de la Unión la transferencia de
datos personales sobre la base de requerimientos dictados, en el tercer país
solicitante que sea parte del Protocolo, por un fiscal u otra autoridad
judicial, o bajo su supervisión, o bajo la supervisión independiente y el
control de una autoridad competente del Estado miembro solicitado. |
|
136. |
También toma nota positivamente de la propuesta
de que los Estados miembros hagan la declaración prevista en el artículo 8,
apartado 4, del Protocolo (sobre la cooperación entre las autoridades
competentes para dar efecto a los requerimientos de presentación de
información sobre los abonados y los datos relativos al tráfico), a fin de
garantizar que se requiera información justificativa adicional para dar
efecto a los requerimientos en virtud de esta disposición. |
|
137. |
El SEPD tiene las siguientes recomendaciones en
relación con las futuras Decisiones del Consejo, en caso de que los Estados
miembros firmen y ratifiquen el Protocolo en interés de la Unión:
|
|
138. |
El SEPD subraya, por último, que un fiscal de un
Estado miembro y, por tanto, también la Fiscalía Europea deberían poder
presentar un requerimiento o transferir datos a partir del requerimiento de
otra Parte en virtud del artículo 8 solo cuando se compruebe que dicho
requerimiento está sujeto a revisión por parte de una autoridad judicial o de
un organismo independiente en el sentido de la jurisprudencia del TJUE. |
|
139. |
El SEPD sigue estando a disposición de la
Comisión, el Consejo y el Parlamento Europeo para prestar asesoramiento en
etapas ulteriores de este proceso. El presente Dictamen se entiende sin
perjuicio de las observaciones adicionales que pueda formular el SEPD sobre
la base de la información disponible. |
En Bruselas, a 20 de enero de
2022
Wojciech Rafał
WIEWIÓROWSKI
(1) https://rm.coe.int/t-cy-terms-of-reference-protocol/1680a03690
(2) Recomendación de Decisión del Consejo por la que se autoriza la participación en las negociaciones sobre un Segundo Protocolo adicional al Convenio del Consejo de Europa sobre Ciberdelincuencia (STCE n.o 185), COM(2019) 71 final.
(3) https://rm.coe.int/1680a49dab (versión provisional aprobada por el Comité de Ministros).
(4) https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=0900001680081561
(5) Dictamen 3/2019 del SEPD sobre la participación en las negociaciones con vistas a un Segundo Protocolo adicional al Convenio de Budapest sobre la ciberdelincuencia de 2 de abril de 2019.
(6) Decisión del Consejo adoptada el 6 de junio de 2019 por la que se autoriza a la Comisión Europea a participar, en nombre de la Unión Europea, en las negociaciones sobre un Segundo Protocolo adicional al Convenio del Consejo de Europa sobre la Ciberdelincuencia (STCE n.o 185).
(7) «Contribución del CEPD a la consulta sobre un proyecto de segundo protocolo adicional al Convenio del Consejo de Europa sobre la Ciberdelincuencia (Convenio de Budapest) de 13 de noviembre de 2019»; «Declaración 2/2021 sobre el nuevo proyecto de disposiciones del Segundo Protocolo adicional al Convenio del Consejo de Europa sobre la Ciberdelincuencia (Convenio de Budapest) adoptada el 2 de febrero de 2021»; «Contribución del CEPD a la sexta ronda de consultas sobre el proyecto de Segundo Protocolo adicional al Convenio de Budapest del Consejo de Europa sobre la Ciberdelincuencia de 4 de mayo de 2021».
(8) Resolución del Parlamento Europeo, de 10 de junio de 2021, sobre la Estrategia de Ciberseguridad de la UE para la Década Digital.
(9) Artículo 21 del Protocolo.
(10) Considerando 10 de las Propuestas por las que se autoriza a los Estados miembros a firmar y ratificar, en interés de la Unión Europea, el Segundo Protocolo adicional al Convenio sobre la Ciberdelincuencia, relativo a la cooperación reforzada y la revelación de pruebas electrónicas.
(11) Propuesta por la que se autoriza a los Estados miembros a firmar, en interés de la Unión Europea, el Segundo Protocolo adicional al Convenio sobre la Ciberdelincuencia, relativo a la cooperación reforzada y la revelación de pruebas electrónicas (COM(2021)718 final).
Propuesta por la que se autoriza a los Estados miembros a ratificar, en interés de la Unión Europea, el Segundo Protocolo adicional al Convenio sobre la Ciberdelincuencia, relativo a la cooperación reforzada y la revelación de pruebas electrónicas (COM(2021)719 final).
De acuerdo con los considerandos 14 y 15 de la Propuesta sobre la firma y los considerandos 13 y 14 de la Propuesta sobre la ratificación, Irlanda tiene la opción de participar en la adopción y aplicación de la Decisión y Dinamarca no participa en la adopción de la presente Decisión y no queda vinculada por esta ni sujeta a su aplicación.
(12) Considerando 3 de las Propuestas.
(13) Artículo 16, apartado 1. «[...][Las Partes en el Convenio] podrán manifestar su consentimiento para obligarse por medio de:
a. | firma sin reserva en cuanto a la ratificación, aceptación o aprobación, o |
b. | firma sujeta a ratificación, aceptación o aprobación, seguida por la ratificación, aceptación o aprobación». |
2. Los instrumentos de ratificación, aceptación o aprobación se depositarán ante la Secretaría General del Consejo de Europa.
(14) DO L 295 de 21.11.2018, p. 39.
No hay comentarios:
Publicar un comentario