Derecho y NBIC: RESUMEN DEL DICTAMEN DEL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS SOBRE LA RECOMENDACIÓN DE DECISIÓN DEL CONSEJO POR LA QUE SE AUTORIZAN LAS NEGOCIACIONES DE UN CONVENIO INTERNACIONAL INTEGRAL SOBRE LA LUCHA CONTRA LA UTILIZACIÓN DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN CON FINES DELICTIVOS

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho
Universidad de Montpellier I Francia.

Resumen

El 14 de junio último publiqué en este mismo Blog una crónica sobre una Decision del Consejo Europeo: DECISION QUE AUTORIZA APERTURA DE NEGOCIACIONES EN NOMBRE DE LA UNIÓN EUROPEA CON EL FIN DE NEGOCIAR UN CONVENIO INTERNACIONAL INTEGRAL SOBRE LA LUCHA CONTRA LA UTILIZACIÓN DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN CON FINES DELICTIVOS.

El Supervisor Europeo de Datos Personales acaba de emitir Dictamen sobre esta Decisión, cuyo Resumen ponemos a disposicion. El texto íntegro del Dictamen se encuentra disponible en inglés, francés y alemán en el enlace siguiente: www.edps.europa.eu,

La principal Conclusion del SEPD es su respaldo a la adopción de una Decisión del Consejo por la que se otorgue un mandato claro a la Comisión Europea sobre su participación, en nombre de la UE, en las negociaciones en curso en las Naciones Unidas en relación con este Convenio. Subraya, sin embargo, que la autorización para participar en las negociaciones no debe obligar a que la UE sea parte en el Convenio una vez que este se haya adoptado y, en particular, que la UE no debe solicitar la adhesión al Convenio cuando se vea menoscabado el grado de protección de los datos de las personas físicas garantizado por el Derecho de la Unión.

Para mayor información o análisis sobre la Decision, sus referencias legislativas, perspectivas de investigación así como sus implicancias y efectos en América Latina, consúltenos al correo electrónico cferreyros@hotmail.com

_____________________________________________________________

Resumen del Dictamen del Supervisor Europeo de Protección de Datos sobre la Recomendación de Decisión del Consejo por la que se autorizan las negociaciones de un convenio internacional integral sobre la lucha contra la utilización de las tecnologías de la información y la comunicación con fines delictivos

(El texto completo del presente Dictamen está disponible en inglés, francés y alemán en el sitio web del SEPD: www.edps.europa.eu)

(2022/C 240/05)

El 29 de marzo de 2022, la Comisión Europea formuló una Recomendación de Decisión del Consejo por la que se autoriza la participación de la Comisión, en nombre de la Unión Europea, en las negociaciones, en el seno de las Naciones Unidas, de un convenio internacional integral sobre la lucha contra la utilización de las tecnologías de la información y la comunicación con fines delictivos.

El SEPD comprende la necesidad de que las autoridades policiales garanticen y obtengan pruebas electrónicas de manera rápida y eficaz. Subraya, sin embargo, que ya se encuentra en vigor un instrumento internacional similar: el Convenio de Budapest y su Segundo Protocolo Adicional, que está abierto para su firma.

El SEPD observa, por otra parte, que, en las Naciones Unidas, han comenzado las negociaciones de otro convenio dirigido a abordar la ciberdelincuencia y la cooperación transfronteriza en materia penal. En consecuencia, apoya recomendar la autorización para que la Comisión negocie en nombre de la UE, puesto que ello contribuiría a mantener el grado de protección conferido por el marco de la UE en materia de protección de datos. El SEPD constata, sin embargo, que el número de Estados miembros de las Naciones Unidas es ingente y que sus ordenamientos jurídicos presentan una gran heterogeneidad. Con todo esto en mente, el SEPD considera que existe un riesgo importante de que el texto definitivo del Convenio conduzca a un deterioro de los derechos fundamentales y las libertades de las personas físicas amparadas por el Derecho de la Unión, en particular, de sus derechos a la protección de datos y a la intimidad. Por tanto, cabe subrayar que, en el supuesto de que el Consejo autorice a la Comisión a negociar en este marco en nombre de la UE, dicha autorización no implicaría la obligación de que la UE se adhiriera al Convenio en caso de que este se adoptara. El SEPD considera que la UE no debe solicitar la adhesión a tal Convenio cuando se vea menoscabado el grado de protección de los datos de las personas físicas amparado por el Derecho de la UE.

El presente Dictamen tiene por objeto ofrecer asesoramiento constructivo y objetivo a las instituciones de la UE con vistas a garantizar que el nivel de protección de datos garantizado por el Derecho de la UE no se vea socavado. El SEPD agradece que el mandato aspire a garantizar desde un principio que el Convenio estipule condiciones estrictas y garantías sólidas para asegurar que los Estados miembros de la UE puedan respetar y proteger los derechos fundamentales, las libertades y los principios generales del Derecho de la Unión consagrados en los Tratados de la UE y en la Carta de los Derechos Fundamentales de la UE.

En este contexto, el SEPD hace hincapié en la necesidad de garantizar, en particular, el pleno respeto de los derechos fundamentales a la intimidad y a la protección de los datos personales. El régimen jurídico de la UE en materia de protección de datos establece, en principio, que la transferencia de datos a un país tercero solo puede realizarse sin requisitos adicionales cuando el país tercero en cuestión garantice un nivel de protección adecuado. Si el nivel de un país tercero no se ha declarado adecuado, se aplicarán excepciones a transferencias concretas, siempre que se ofrezcan las garantías apropiadas. Si bien el SEPD reconoce que quizá no resulte factible replicar la terminología y las definiciones del Derecho de la UE en un acuerdo celebrado con una gran número de terceros países, las garantías para las personas deben ser claras y eficaces a fin de cumplir plenamente el Derecho de la UE. En los últimos años, el Tribunal de Justicia de la Unión Europea ha reafirmado algunos principios en materia de protección de datos, entre ellos, la tutela judicial efectiva y los derechos individuales de las personas. Estos principios resultan aún más importantes cuando se tiene en cuenta el carácter especialmente sensible de los datos necesarios para las investigaciones penales.

Teniendo en cuenta todo lo anterior, y pese a acoger de buen grado muchas de las directrices de negociación ya previstas, el SEPD considera que estas aún deben reforzarse. En particular, a fin de asegurar que se cumplan la Carta de la UE y el artículo 16 del TFUE, el SEPD formula cuatro recomendaciones importantes sobre las directrices de negociación:

— que las disposiciones en materia de cooperación internacional se limiten a los delitos previstos en el Convenio;

— que se excluya el acceso directo a los datos por parte de las autoridades de los cuerpos de seguridad de terceros países y la cooperación transfronteriza directa con los prestadores de servicios;

— que se asegure que los futuros acuerdos bilaterales y multilaterales con terceros países prevalezcan sobre el Convenio en aquellos casos en los que dichos futuros acuerdos ofrezcan una mayor protección de los derechos fundamentales, en particular, el derecho a la intimidad y la protección de datos;

— que se asegure que el Convenio no surtirá efecto entre dos Estados contratantes cuando uno de ellos notifique que la ratificación, la aceptación, la aprobación o la adhesión de otro Estado contratante no tendrá por efecto el establecimiento de relaciones entre ambos Estados contratantes en virtud del Convenio.

El Dictamen también ofrece ulteriores recomendaciones para mejorar y aclarar las directrices de negociación. Las observaciones que figuran en el presente Dictamen se entienden sin perjuicio de cualesquiera observaciones adicionales que el SEPD tenga a bien formular a medida que puedan surgir otras cuestiones, que se abordarán una vez que se disponga de más información. El SEPD espera ser consultado en una fase posterior sobre las disposiciones del proyecto de Convenio antes de su finalización.

1. INTRODUCCIÓN Y ANTECEDENTES

1. La Organización de las Naciones Unidas es una organización intergubernamental, integrada en la actualidad por 193 Estados miembros (¹). Tanto esta organización como su trabajo se guían por los fines y principios recogidos en su carta fundacional. Con arreglo a la Carta de las Naciones Unidas, los objetivos de la organización son mantener la paz y la seguridad internacionales, proteger los derechos humanos, suministrar ayuda humanitaria, promover el desarrollo sostenible y defender el derecho internacional (²).

2. El 17 de diciembre de 2018, la Asamblea General de las Naciones Unidas adoptó la resolución 73/187, sobre «Lucha contra la utilización de las tecnologías de la información y las comunicaciones con fines delictivos» (³). Posteriormente, el 27 de diciembre de 2019, adoptó la resolución 74/247 (⁴), en virtud de la cual decidió establecer un comité intergubernamental especial de expertos de composición abierta (en lo sucesivo, el «Comité Especial») encargado de elaborar una convención internacional integral sobre la lucha contra la utilización de las tecnologías de la información y las comunicaciones con fines delictivos. La resolución 74/247 subraya la necesidad de mejorar la coordinación y la cooperación entre los Estados en la lucha contra la utilización de las tecnologías de la información y las comunicaciones con fines delictivos, entre otros medios, prestando asistencia técnica a los países en desarrollo que la soliciten. La resolución también hace hincapié en la necesidad de mejorar la legislación y los marcos nacionales y reforzar la capacidad de sus autoridades nacionales para hacer frente a este fenómeno en todas sus formas, en concreto mediante su prevención, su detección, su investigación y su enjuiciamiento, (⁵) teniendo plenamente en cuenta los instrumentos internacionales y las iniciativas existentes en los planos nacional, regional e internacional para combatir la utilización de las tecnologías de la información y las comunicaciones con fines delictivos, en particular, la labor y los resultados del Grupo de Expertos encargado de Realizar un Estudio Exhaustivo sobre el Delito Cibernético, de carácter intergubernamental y de composición abierta (⁶). Tres Estados miembros de la UE (Estonia, Polonia y Portugal) son vicepresidentes del Comité Especial (⁷).

3. El 26 de mayo de 2021, la Asamblea General de las Naciones Unidas, mediante la resolución 75/282 (⁸), reafirmó que el Comité Especial tendrá plenamente en cuenta los instrumentos internacionales y las iniciativas existentes en los planos nacional, regional e internacional para combatir la utilización de las tecnologías de la información y las comunicaciones con fines delictivos (⁹). Decidió también que este Comité Especial deberá celebrar al menos seis períodos de sesiones y concluir sus trabajos a fin de presentarle un proyecto de convención en su septuagésimo octavo período de sesiones, que debería comenzar en septiembre de 2023 y finalizar en septiembre de 2024.

4. El primer período de sesiones de negociación se celebró del 28 de febrero al 11 de marzo de 2022. Con motivo del mismo, se debatieron los objetivos, el alcance, la estructura y los principales aspectos del Convenio (¹⁰). Según queda reflejado en el proyecto de informe de este primer período de sesiones de negociación, se acordó que la estructura del Convenio esté conformada por los siguientes elementos (¹¹):

Preámbulo

1. Disposiciones generales

2. Criminalización

3. Medidas procesales y aplicación de la ley

4. Cooperación internacional

5. Asistencia técnica, incluido el intercambio de experiencias

6. Medidas preventivas

7. Mecanismo de aplicación

8. Disposiciones finales

5. La Comisión Europea participó en las reuniones del Comité Especial en calidad de observador. Los días 24 y 25 de marzo de 2022 tuvo lugar una reunión entre períodos de sesiones con el fin de recabar la opinión de diversas partes interesadas acerca de la elaboración del proyecto de Convenio (¹²). Está previsto que el próximo período de sesiones de negociación comience el 30 de mayo de 2022 (¹³).

6. El 29 de marzo de 2022, la Comisión Europea formuló una Recomendación de Decisión del Consejo por la que se autoriza la participación de la Comisión, en nombre de la Unión Europea, en las negociaciones de un convenio internacional integral sobre la lucha contra la utilización de las tecnologías de la información y la comunicación con fines delictivos, en el marco de las Naciones Unidas (en lo sucesivo, la «Recomendación») (¹⁴). Acompaña a la Recomendación un anexo (en lo sucesivo, el «Anexo»), que contiene la propuesta de directrices de negociación del Convenio formuladas por el Consejo.

7. La Comisión recomienda la adopción de una Decisión del Consejo sobre la base del procedimiento establecido en el artículo 218 del Tratado de Funcionamiento de la Unión Europea (TFUE) para los acuerdos celebrados entre la UE y terceros países. Mediante esta Recomendación, la Comisión espera obtener la autorización del Consejo para su designación como negociador principal en nombre de la UE a fin de garantizar la adecuada participación de la UE en las negociaciones en el seno de las Naciones Unidas, ya que se espera que estas aborden elementos relacionados con la legislación y la competencia de la UE, en particular en el ámbito de la ciberdelincuencia (¹⁵).

8. El presente Dictamen del SEPD se emite en respuesta a una consulta de la Comisión Europea, de 29 de marzo de 2022, de conformidad con el artículo 42, apartado 1, del RPDUE. EL SEPD también acoge con agrado la referencia a esta consulta en el considerando 5 de la Recomendación.

7. CONCLUSIONES

42. El SEPD respalda la adopción de una Decisión del Consejo por la que se otorgue un mandato claro a la Comisión Europea sobre su participación, en nombre de la UE, en las negociaciones en curso en las Naciones Unidas en relación con este Convenio. Subraya, sin embargo, que la autorización para participar en las negociaciones no debe obligar a que la UE sea parte en el Convenio una vez que este se haya adoptado y, en particular, que la UE no debe solicitar la adhesión al Convenio cuando se vea menoscabado el grado de protección de los datos de las personas físicas garantizado por el Derecho de la Unión.

43. El SEPD agradece y subraya la importancia de los puntos 6, 17 y 23 del Anexo, orientados a preservar los instrumentos globales y regionales existentes, y de las salvaguardias recogidas en los puntos 8, 9, 10, 11, 13, 18, 19 y 24 del Anexo.

44. En vista de lo anterior, el SEPD desea formular las recomendaciones siguientes:

Acerca de la relación entre el Convenio y otros instrumentos

— Que el mandato indique que la Unión Europea debe procurar conseguir que los futuros acuerdos con terceros países prevalezcan sobre el Convenio en aquellos casos en los que dichos futuros acuerdos ofrezcan una mayor protección de los derechos fundamentales, en particular, el derecho a la intimidad y a la protección de datos.

Acerca del alcance del Convenio

— Que las disposiciones sobre cooperación se limiten a los delitos previstos en el Convenio.

— Que el mandato deje claro que la Unión Europea deberá oponerse a toda disposición sobre el acceso transfronterizo directo a los datos y la cooperación transfronteriza directa con los prestadores de servicios.

— Que se aclare que las directrices contempladas en el punto 15 del Anexo no se aplican a la cooperación transfronteriza.

Acerca de la necesidad de unas salvaguardias adecuadas y del respeto de los derechos fundamentales

— Que el mandato deje claro que la Unión Europea deberá asegurarse de que exista una separación clara entre las categorías de datos.

— Que en el mandato incluya una directriz en la que se disponga que deberá procurarse que el Convenio vaya acompañado de una lista exhaustiva de los órganos competentes en los países receptores a los que vayan a transferirse los datos, así como una breve descripción de sus competencias.

Acerca de las disposiciones finales del Convenio:

— Que el mandato especifique que la Unión Europea deberá velar por que, en el momento de la firma, la ratificación o la adhesión, un Estado contratante pueda declarar que no dará curso a una solicitud de transferencia de datos personales a otra parte cuando existan indicios de que el Estado solicitante no podrá garantizar un nivel esencial de protección de los datos.

— Que se incluya en el mandato que la Unión Europea deberá procurar que se incorpore una disposición en el Convenio en la que se establezca la obligación de revisar periódicamente la aplicación práctica del mismo. Esta revisión deberá tener lugar, a más tardar, a los cinco años después de su entrada en vigor y, posteriormente, a intervalos regulares, debiendo especificarse la frecuencia de dichas revisiones adicionales. Deberá especificarse el contenido de la revisión. La revisión no solo deberá centrarse en la aplicación del Convenio: también deberá evaluar su necesidad y proporcionalidad. Los equipos de revisión deberán contar con expertos en protección de datos, entre ellos, representantes de las autoridades nacionales de protección de datos.

— Que el mandato disponga que la Unión Europea deberá intentar que se garantice que el Convenio no surtirá efecto entre dos Estados contratantes cuando uno de ellos notifique que la ratificación, la aceptación, la aprobación o la adhesión de otro Estado contratante no tendrá por efecto el establecimiento de relaciones entre ambos Estados contratantes en virtud del Convenio.

45. Por último, el SEPD queda a disposición de la Comisión, el Consejo y el Parlamento Europeo para prestar asesoramiento en etapas ulteriores de este proceso. Las observaciones que figuran en el presente Dictamen se entienden sin perjuicio de cualesquiera observaciones adicionales que el SEPD tenga a bien formular a medida que puedan surgir otras cuestiones, que se abordarán una vez que se disponga de más información. El SEPD espera ser consultado sobre las disposiciones del proyecto de Convenio antes de su finalización.

Bruselas, 18 de mayo de 2022.

Wojciech Rafał Wiewiórowski

(¹) Consúltense aquí los Estados miembros de las Naciones Unidas: https://www.un.org/en/about-us/member-states.

(²) Véase el preámbulo de la Carta de las Naciones Unidas, firmada en San Francisco el 26 de junio de 1945: https://www.un.org/en/about-us/un-charter/full-text.

(³) Resolución de la Asamblea General de las Naciones Unidas, de 17 de diciembre de 2018 (A/RES/73/187).

(⁴) Resolución de la Asamblea General de las Naciones Unidas, de 27 de diciembre de 2019 (A/RES/74/247).

(⁵) Véase la página 1 de la resolución.

(⁶) El Grupo de Expertos encargado de Realizar un Estudio Exhaustivo sobre el Delito Cibernético, de carácter intergubernamental y de composición abierta, fue creado por la Comisión de Prevención del Delito y Justicia Penal (CCPCJ), con sede en Viena, a petición de la Asamblea General de las Naciones Unidas en su resolución 65/230, y es un órgano subsidiario de la CCPCJ. El Grupo de Expertos es independiente del Comité Especial encargado de negociar el Convenio, ya que este es un órgano subsidiario de la Asamblea General y ha recibido un mandato diferente.

(⁷) Los miembros del Comité Especial son los siguientes: Argelia (presidente), Egipto, Nigeria, China, Japón, Estonia, Polonia, Federación de Rusia, República Dominicana, Nicaragua, Brasil, Australia, Portugal, Estados Unidos (vicepresidentes), Indonesia (ponente).

(⁸) Resolución de la Asamblea General de las Naciones Unidas, de 26 de mayo de 2021 (A/RES/75/282).

(⁹) Véase el punto 11 de la Resolución.

(¹⁰) En el siguiente enlace se pueden consultar las opiniones expresadas por los distintos participantes: https://www.unodc.org/unodc/en/cybercrime/ad_hoc_committee/ahc-first-session.html.

(¹¹) https://documents-dds-ny.un.org/doc/UNDOC/LTD/V22/012/09/PDF/V2201209.pdf?OpenElement.

(¹²) https://www.unodc.org/unodc/en/cybercrime/ad_hoc_committee/intersessional-consultations/1st-intersessional-consultation.

(¹³) https://www.unodc.org/unodc/en/cybercrime/ad_hoc_committee/ahc-second-session.html.

(¹⁴) Recomendación de Decisión del Consejo por la que se autorizan las negociaciones de un convenio internacional integral sobre la lucha contra la utilización de las tecnologías de la información y la comunicación con fines delictivos [COM(2022)132 final].

(¹⁵) Véase la página 2 de la exposición de motivos y el artículo 1 de la Recomendación.

Derecho y NBIC

miércoles, 22 de junio de 2022

No hay comentarios:

Publicar un comentario