Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
Resumen
El
14 de junio último publiqué en este mismo Blog una crónica sobre una Decision
del Consejo Europeo: DECISION
QUE AUTORIZA APERTURA DE NEGOCIACIONES EN NOMBRE DE LA UNIÓN EUROPEA CON EL FIN
DE NEGOCIAR UN CONVENIO INTERNACIONAL INTEGRAL SOBRE LA LUCHA CONTRA LA
UTILIZACIÓN DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN CON FINES
DELICTIVOS.
El Supervisor
Europeo de Datos Personales acaba de emitir Dictamen sobre esta Decisión, cuyo
Resumen ponemos a disposicion. El texto íntegro del Dictamen se encuentra
disponible en inglés, francés y alemán en el enlace siguiente: www.edps.europa.eu,
La principal Conclusion del SEPD es
su respaldo a la adopción de una Decisión del Consejo por la que se otorgue un
mandato claro a la Comisión Europea sobre su participación, en nombre de la UE,
en las negociaciones en curso en las Naciones Unidas en relación con este
Convenio. Subraya, sin embargo, que la autorización para participar en las
negociaciones no debe obligar a que la UE sea parte en el Convenio una vez que
este se haya adoptado y, en particular, que la UE no debe solicitar la adhesión
al Convenio cuando se vea menoscabado el grado de protección de los datos de
las personas físicas garantizado por el Derecho de la Unión.
Para mayor
información o análisis sobre la Decision, sus referencias legislativas,
perspectivas de investigación así como sus implicancias y efectos en América
Latina, consúltenos al correo electrónico cferreyros@hotmail.com
_____________________________________________________________
Resumen del Dictamen del Supervisor Europeo de Protección de Datos sobre la Recomendación de Decisión del Consejo por la que se autorizan las negociaciones de un convenio internacional integral sobre la lucha contra la utilización de las tecnologías de la información y la comunicación con fines delictivos
(El texto completo del presente Dictamen está disponible en inglés, francés y alemán en el sitio web del SEPD: www.edps.europa.eu)
(2022/C 240/05)
El 29 de marzo
de 2022, la Comisión Europea formuló una Recomendación de Decisión del Consejo
por la que se autoriza la participación de la Comisión, en nombre de la Unión
Europea, en las negociaciones, en el seno de las Naciones Unidas, de un
convenio internacional integral sobre la lucha contra la utilización de las
tecnologías de la información y la comunicación con fines delictivos.
El SEPD
comprende la necesidad de que las autoridades policiales garanticen y obtengan
pruebas electrónicas de manera rápida y eficaz. Subraya, sin embargo, que ya se
encuentra en vigor un instrumento internacional similar: el Convenio de
Budapest y su Segundo Protocolo Adicional, que está abierto para su firma.
El SEPD
observa, por otra parte, que, en las Naciones Unidas, han comenzado las
negociaciones de otro convenio dirigido a abordar la ciberdelincuencia y la
cooperación transfronteriza en materia penal. En consecuencia, apoya recomendar
la autorización para que la Comisión negocie en nombre de la UE, puesto que
ello contribuiría a mantener el grado de protección conferido por el marco de
la UE en materia de protección de datos. El SEPD constata, sin embargo, que el
número de Estados miembros de las Naciones Unidas es ingente y que sus
ordenamientos jurídicos presentan una gran heterogeneidad. Con todo esto en
mente, el SEPD considera que existe un riesgo importante de que el texto
definitivo del Convenio conduzca a un deterioro de los derechos fundamentales y
las libertades de las personas físicas amparadas por el Derecho de la Unión, en
particular, de sus derechos a la protección de datos y a la intimidad. Por
tanto, cabe subrayar que, en el supuesto de que el Consejo autorice a la
Comisión a negociar en este marco en nombre de la UE, dicha autorización no
implicaría la obligación de que la UE se adhiriera al Convenio en caso de que
este se adoptara. El SEPD considera que la UE no debe solicitar la adhesión a
tal Convenio cuando se vea menoscabado el grado de protección de los datos de
las personas físicas amparado por el Derecho de la UE.
El presente
Dictamen tiene por objeto ofrecer asesoramiento constructivo y objetivo a las
instituciones de la UE con vistas a garantizar que el nivel de protección de
datos garantizado por el Derecho de la UE no se vea socavado. El SEPD agradece
que el mandato aspire a garantizar desde un principio que el Convenio estipule
condiciones estrictas y garantías sólidas para asegurar que los Estados
miembros de la UE puedan respetar y proteger los derechos fundamentales, las
libertades y los principios generales del Derecho de la Unión consagrados en
los Tratados de la UE y en la Carta de los Derechos Fundamentales de la UE.
En este
contexto, el SEPD hace hincapié en la necesidad de garantizar, en particular,
el pleno respeto de los derechos fundamentales a la intimidad y a la protección
de los datos personales. El régimen jurídico de la UE en materia de protección
de datos establece, en principio, que la transferencia de datos a un país
tercero solo puede realizarse sin requisitos adicionales cuando el país tercero
en cuestión garantice un nivel de protección adecuado. Si el nivel de un país
tercero no se ha declarado adecuado, se aplicarán excepciones a transferencias
concretas, siempre que se ofrezcan las garantías apropiadas. Si bien el SEPD
reconoce que quizá no resulte factible replicar la terminología y las
definiciones del Derecho de la UE en un acuerdo celebrado con una gran número
de terceros países, las garantías para las personas deben ser claras y eficaces
a fin de cumplir plenamente el Derecho de la UE. En los últimos años, el
Tribunal de Justicia de la Unión Europea ha reafirmado algunos principios en
materia de protección de datos, entre ellos, la tutela judicial efectiva y los
derechos individuales de las personas. Estos principios resultan aún más
importantes cuando se tiene en cuenta el carácter especialmente sensible de los
datos necesarios para las investigaciones penales.
Teniendo en
cuenta todo lo anterior, y pese a acoger de buen grado muchas de las
directrices de negociación ya previstas, el SEPD considera que estas aún deben
reforzarse. En particular, a fin de asegurar que se cumplan la Carta de la UE y
el artículo 16 del TFUE, el SEPD formula cuatro recomendaciones importantes
sobre las directrices de negociación:
— que las disposiciones en materia de cooperación
internacional se limiten a los delitos previstos en el Convenio;
— que se excluya el acceso directo a los datos por parte
de las autoridades de los cuerpos de seguridad de terceros países y la
cooperación transfronteriza directa con los prestadores de servicios;
— que se asegure que los futuros acuerdos bilaterales y
multilaterales con terceros países prevalezcan sobre el Convenio en aquellos
casos en los que dichos futuros acuerdos ofrezcan una mayor protección de los
derechos fundamentales, en particular, el derecho a la intimidad y la
protección de datos;
— que se asegure que el Convenio no surtirá efecto entre
dos Estados contratantes cuando uno de ellos notifique que la ratificación, la
aceptación, la aprobación o la adhesión de otro Estado contratante no tendrá
por efecto el establecimiento de relaciones entre ambos Estados contratantes en
virtud del Convenio.
El Dictamen
también ofrece ulteriores recomendaciones para mejorar y aclarar las
directrices de negociación. Las observaciones que figuran en el presente
Dictamen se entienden sin perjuicio de cualesquiera observaciones adicionales
que el SEPD tenga a bien formular a medida que puedan surgir otras cuestiones,
que se abordarán una vez que se disponga de más información. El SEPD espera ser
consultado en una fase posterior sobre las disposiciones del proyecto de
Convenio antes de su finalización.
1. INTRODUCCIÓN Y
ANTECEDENTES
1. La Organización de las
Naciones Unidas es una organización intergubernamental, integrada en la
actualidad por 193 Estados miembros (1).
Tanto esta organización como su trabajo se guían por los fines y principios recogidos
en su carta fundacional. Con arreglo a la Carta de las Naciones Unidas, los
objetivos de la organización son mantener la paz y la seguridad
internacionales, proteger los derechos humanos, suministrar ayuda humanitaria,
promover el desarrollo sostenible y defender el derecho internacional (2).
2. El 17 de diciembre de 2018,
la Asamblea General de las Naciones Unidas adoptó la resolución 73/187, sobre
«Lucha contra la utilización de las tecnologías de la información y las
comunicaciones con fines delictivos» (3).
Posteriormente, el 27 de diciembre de 2019, adoptó la resolución 74/247 (4),
en virtud de la cual decidió establecer un comité intergubernamental especial
de expertos de composición abierta (en lo sucesivo, el «Comité Especial»)
encargado de elaborar una convención internacional integral sobre la lucha
contra la utilización de las tecnologías de la información y las comunicaciones
con fines delictivos. La resolución 74/247 subraya la necesidad de mejorar la
coordinación y la cooperación entre los Estados en la lucha contra la
utilización de las tecnologías de la información y las comunicaciones con fines
delictivos, entre otros medios, prestando asistencia técnica a los países en
desarrollo que la soliciten. La resolución también hace hincapié en la
necesidad de mejorar la legislación y los marcos nacionales y reforzar la
capacidad de sus autoridades nacionales para hacer frente a este fenómeno en
todas sus formas, en concreto mediante su prevención, su detección, su
investigación y su enjuiciamiento, (5)
teniendo plenamente en cuenta los instrumentos
internacionales y las iniciativas existentes en los planos nacional, regional e
internacional para combatir la utilización de las tecnologías de la información
y las comunicaciones con fines delictivos, en particular, la
labor y los resultados del Grupo de Expertos encargado de Realizar un Estudio
Exhaustivo sobre el Delito Cibernético, de carácter intergubernamental y de
composición abierta (6).
Tres Estados miembros de la UE (Estonia, Polonia y Portugal) son
vicepresidentes del Comité Especial (7).
3. El 26 de mayo de 2021, la
Asamblea General de las Naciones Unidas, mediante la resolución 75/282 (8),
reafirmó que el Comité Especial tendrá plenamente en
cuenta los instrumentos internacionales y las iniciativas
existentes en los planos nacional, regional e internacional para combatir la
utilización de las tecnologías de la información y las comunicaciones con fines
delictivos (9).
Decidió también que este Comité Especial deberá celebrar al menos seis períodos
de sesiones y concluir sus trabajos a fin de presentarle un proyecto de
convención en su septuagésimo octavo período de sesiones, que debería comenzar
en septiembre de 2023 y finalizar en septiembre de 2024.
4. El primer período de sesiones
de negociación se celebró del 28 de febrero al 11 de marzo de 2022. Con motivo
del mismo, se debatieron los objetivos, el alcance, la estructura y los
principales aspectos del Convenio (10).
Según queda reflejado en el proyecto de informe de este primer período de sesiones
de negociación, se acordó que la estructura del Convenio esté conformada por
los siguientes elementos (11):
Preámbulo
1.
Disposiciones generales
2.
Criminalización
3.
Medidas procesales y aplicación de la ley
4.
Cooperación internacional
5.
Asistencia técnica, incluido el intercambio de experiencias
6.
Medidas preventivas
7.
Mecanismo de aplicación
8. Disposiciones finales
5. La Comisión Europea participó
en las reuniones del Comité Especial en calidad de observador. Los días 24 y 25
de marzo de 2022 tuvo lugar una reunión entre períodos de sesiones con el fin
de recabar la opinión de diversas partes interesadas acerca de la elaboración
del proyecto de Convenio (12).
Está previsto que el próximo período de sesiones de negociación comience el 30 de
mayo de 2022 (13).
6. El 29 de marzo de 2022, la
Comisión Europea formuló una Recomendación de Decisión del Consejo por la que
se autoriza la participación de la Comisión, en nombre de la Unión Europea, en
las negociaciones de un convenio internacional integral sobre la lucha contra
la utilización de las tecnologías de la información y la comunicación con fines
delictivos, en el marco de las Naciones Unidas (en lo sucesivo, la
«Recomendación») (14).
Acompaña a la Recomendación un anexo (en lo sucesivo, el «Anexo»), que contiene
la propuesta de directrices de negociación del Convenio formuladas por el
Consejo.
7. La Comisión recomienda la
adopción de una Decisión del Consejo sobre la base del procedimiento
establecido en el artículo 218 del Tratado de Funcionamiento de la Unión
Europea (TFUE) para los acuerdos celebrados entre la UE y terceros países.
Mediante esta Recomendación, la Comisión espera obtener la autorización del
Consejo para su designación como negociador principal en nombre de la UE a fin
de garantizar la adecuada participación de la UE en las negociaciones en el
seno de las Naciones Unidas, ya que se espera que estas aborden elementos
relacionados con la legislación y la competencia de la UE, en particular en el
ámbito de la ciberdelincuencia (15).
8. El presente Dictamen del SEPD
se emite en respuesta a una consulta de la Comisión Europea, de 29 de marzo de
2022, de conformidad con el artículo 42, apartado 1, del RPDUE. EL SEPD también
acoge con agrado la referencia a esta consulta en el considerando 5 de la
Recomendación.
7. CONCLUSIONES
42. El SEPD respalda la adopción
de una Decisión del Consejo por la que se otorgue un mandato claro a la
Comisión Europea sobre su participación, en nombre de la UE, en las
negociaciones en curso en las Naciones Unidas en relación con este Convenio.
Subraya, sin embargo, que la autorización para participar en las negociaciones
no debe obligar a que la UE sea parte en el Convenio una vez que este se haya
adoptado y, en particular, que la UE no debe solicitar la adhesión al Convenio
cuando se vea menoscabado el grado de protección de los datos de las personas
físicas garantizado por el Derecho de la Unión.
43. El SEPD agradece y subraya la
importancia de los puntos 6, 17 y 23 del Anexo, orientados a preservar los
instrumentos globales y regionales existentes, y de las salvaguardias recogidas
en los puntos 8, 9, 10, 11, 13, 18, 19 y 24 del Anexo.
44. En vista de lo anterior, el
SEPD desea formular las recomendaciones siguientes:
Acerca de la relación entre el Convenio y otros
instrumentos
— Que el mandato indique que la Unión
Europea debe procurar conseguir que los futuros acuerdos con terceros países
prevalezcan sobre el Convenio en aquellos casos en los que dichos futuros
acuerdos ofrezcan una mayor protección de los derechos fundamentales, en
particular, el derecho a la intimidad y a la protección de datos.
Acerca del alcance del Convenio
— Que las disposiciones sobre cooperación
se limiten a los delitos previstos en el Convenio.
— Que el mandato deje claro que la Unión
Europea deberá oponerse a toda disposición sobre el acceso transfronterizo
directo a los datos y la cooperación transfronteriza directa con los
prestadores de servicios.
— Que se aclare que las directrices
contempladas en el punto 15 del Anexo no se aplican a la cooperación
transfronteriza.
Acerca de la necesidad de unas salvaguardias adecuadas y
del respeto de los derechos fundamentales
— Que el mandato deje claro que la Unión
Europea deberá asegurarse de que exista una separación clara entre las
categorías de datos.
— Que en el mandato incluya una directriz
en la que se disponga que deberá procurarse que el Convenio vaya acompañado de
una lista exhaustiva de los órganos competentes en los países receptores a los
que vayan a transferirse los datos, así como una breve descripción de sus
competencias.
Acerca de las disposiciones finales del Convenio:
— Que el mandato especifique que la Unión
Europea deberá velar por que, en el momento de la firma, la ratificación o la
adhesión, un Estado contratante pueda declarar que no dará curso a una
solicitud de transferencia de datos personales a otra parte cuando existan
indicios de que el Estado solicitante no podrá garantizar un nivel esencial de
protección de los datos.
— Que se incluya en el mandato que la
Unión Europea deberá procurar que se incorpore una disposición en el Convenio
en la que se establezca la obligación de revisar periódicamente la aplicación
práctica del mismo. Esta revisión deberá tener lugar, a más tardar, a los cinco
años después de su entrada en vigor y, posteriormente, a intervalos regulares,
debiendo especificarse la frecuencia de dichas revisiones adicionales. Deberá
especificarse el contenido de la revisión. La revisión no solo deberá centrarse
en la aplicación del Convenio: también deberá evaluar su necesidad y
proporcionalidad. Los equipos de revisión deberán contar con expertos en
protección de datos, entre ellos, representantes de las autoridades nacionales
de protección de datos.
— Que el mandato disponga que la Unión Europea deberá intentar que se garantice que el Convenio no surtirá efecto entre dos Estados contratantes cuando uno de ellos notifique que la ratificación, la aceptación, la aprobación o la adhesión de otro Estado contratante no tendrá por efecto el establecimiento de relaciones entre ambos Estados contratantes en virtud del Convenio.
45. Por último, el SEPD queda a
disposición de la Comisión, el Consejo y el Parlamento Europeo para prestar
asesoramiento en etapas ulteriores de este proceso. Las observaciones que
figuran en el presente Dictamen se entienden sin perjuicio de cualesquiera observaciones
adicionales que el SEPD tenga a bien formular a medida que puedan surgir otras
cuestiones, que se abordarán una vez que se disponga de más información. El
SEPD espera ser consultado sobre las disposiciones del proyecto de Convenio
antes de su finalización.
Bruselas,
18 de mayo de 2022.
Wojciech Rafał
Wiewiórowski
(1) Consúltense aquí los Estados miembros de las
Naciones Unidas: https://www.un.org/en/about-us/member-states.
(2) Véase el preámbulo de la Carta de las
Naciones Unidas, firmada en San Francisco el 26 de junio de 1945:
https://www.un.org/en/about-us/un-charter/full-text.
(3) Resolución de la Asamblea General de las
Naciones Unidas, de 17 de diciembre de 2018 (A/RES/73/187).
(4) Resolución de la Asamblea General de las
Naciones Unidas, de 27 de diciembre de 2019 (A/RES/74/247).
(5) Véase la página 1 de la resolución.
(6) El Grupo de Expertos encargado de Realizar un
Estudio Exhaustivo sobre el Delito Cibernético, de carácter intergubernamental
y de composición abierta, fue creado por la Comisión de Prevención del Delito y
Justicia Penal (CCPCJ), con sede en Viena, a petición de la Asamblea General de
las Naciones Unidas en su resolución 65/230, y es un órgano subsidiario de la
CCPCJ. El Grupo de Expertos es independiente del Comité Especial encargado de
negociar el Convenio, ya que este es un órgano subsidiario de la Asamblea
General y ha recibido un mandato diferente.
(7) Los miembros del Comité Especial son los
siguientes: Argelia (presidente), Egipto, Nigeria, China, Japón, Estonia,
Polonia, Federación de Rusia, República Dominicana, Nicaragua, Brasil,
Australia, Portugal, Estados Unidos (vicepresidentes), Indonesia (ponente).
(8) Resolución de la Asamblea General de las
Naciones Unidas, de 26 de mayo de 2021 (A/RES/75/282).
(9) Véase el punto 11 de la Resolución.
(10) En el siguiente enlace se pueden consultar
las opiniones expresadas por los distintos participantes:
https://www.unodc.org/unodc/en/cybercrime/ad_hoc_committee/ahc-first-session.html.
(11) https://documents-dds-ny.un.org/doc/UNDOC/LTD/V22/012/09/PDF/V2201209.pdf?OpenElement.
(12) https://www.unodc.org/unodc/en/cybercrime/ad_hoc_committee/intersessional-consultations/1st-intersessional-consultation.
(13) https://www.unodc.org/unodc/en/cybercrime/ad_hoc_committee/ahc-second-session.html.
(14) Recomendación de Decisión del Consejo por la
que se autorizan las negociaciones de un convenio internacional integral sobre
la lucha contra la utilización de las tecnologías de la información y la
comunicación con fines delictivos [COM(2022)132 final].
(15) Véase la página 2 de la exposición de motivos
y el artículo 1 de la Recomendación.
