P9_TA(2023)0244
Examen del uso del
programa espía de vigilancia Pegasus y otros programas equivalentes
(Recomendación)
Recomendación del
Parlamento Europeo, de 15 de junio de 2023, al Consejo y a la
Comisión a raíz del examen de las alegaciones de infracción y de mala
administración en la aplicación del Derecho de la Unión en relación con el uso
del programa espía de vigilancia Pegasus y otros programas equivalentes
(2023/2500(RSP))
(C/2024/494)
El Parlamento Europeo,
— Visto el Tratado de la Unión
Europea (TUE) y, en particular, sus artículos 2, 4, 6 y 21,
— Vistos los artículos 16,
223, 225 y 226 del Tratado de Funcionamiento de la Unión Europea (TFUE),
— Vista la Carta de los Derechos
Fundamentales de la Unión Europea (en lo sucesivo, «Carta»), y en particular
sus artículos 7, 8, 11, 17, 21, 41, 42 y 47,
— Vista la Directiva 2002/58/CE
del Parlamento Europeo y del Consejo, de 12 de julio de 2002,
relativa al tratamiento de los datos personales y a la protección de la
intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la
privacidad y las comunicaciones electrónicas) (1),
— Visto el Reglamento (UE)
2016/679 del Parlamento Europeo y del Consejo, de 27 de abril
de 2016, relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos
datos, y por la que se deroga la Directiva 95/46/CE (Reglamento General de
Protección de Datos) (2),
— Vista la Directiva (UE)
2016/680 del Parlamento Europeo y del Consejo, de 27 de abril
de 2016, relativa a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales por parte de las autoridades
competentes para fines de prevención, investigación, detección o enjuiciamiento
de infracciones penales o de ejecución de sanciones penales, y a la libre
circulación de dichos datos, y por la que se deroga la Decisión Marco
2008/977/JAI del Consejo (3),
— Vista la Directiva 2013/40/UE
del Parlamento Europeo y del Consejo, de 12 de agosto de 2013,
relativa a los ataques contra los sistemas de información y por la que se
sustituye la Decisión marco 2005/222/JAI del Consejo (4) (Directiva
sobre ciberdelincuencia),
— Visto el Reglamento (UE)
2021/821 del Parlamento Europeo y del Consejo, de 20 de mayo
de 2021, por el que se establece un régimen de la Unión para el control de
las exportaciones, el corretaje, la asistencia técnica, el tránsito y la
transferencia de productos de doble uso (5) (Reglamento
sobre productos de doble uso),
— Vista la Decisión (PESC)
2019/797 del Consejo, de 17 de mayo de 2019, relativa a medidas
restrictivas contra los ciberataques que amenacen a la Unión o a sus Estados
miembros (6),
en su versión modificada por la Decisión (PESC) 2021/796 del Consejo, de
17 de mayo de 2021 (7),
— Vista el Acta relativa a la
elección de los diputados al Parlamento Europeo por sufragio universal
directo (8),
— Vista la Decisión 95/167/CE,
Euratom, CECA del Parlamento Europeo, del Consejo y de la Comisión, de
6 de marzo de 1995, relativa a las modalidades de ejercicio del
derecho de investigación del Parlamento Europeo (9),
— Vista la Decisión (UE) 2022/480
del Parlamento Europeo, de 10 de marzo de 2022, sobre la
constitución, el objeto de la investigación, las competencias, la composición
numérica y la duración del mandato de la Comisión de Investigación Encargada de
Examinar el Uso del Programa Espía de Vigilancia Pegasus y Otros Programas
Equivalentes (10),
— Vista la Directiva
(UE) 2018/843 del Parlamento Europeo y del Consejo, de
30 de mayo de 2018, por la que se modifica la Directiva
(UE) 2015/849 relativa a la prevención de la utilización del sistema
financiero para el blanqueo de capitales o la financiación del terrorismo, y
por la que se modifican las Directivas 2009/138/CE y 2013/36/UE (11) (en
lo sucesivo, «Directiva antiblanqueo»),
— Vista la propuesta de
Reglamento del Parlamento Europeo y del Consejo, de 16 de septiembre
de 2022, por el que se establece un marco común para los servicios de
medios de comunicación en el mercado interior (Ley Europea de Libertad de los
Medios de Comunicación) y se modifica la Directiva 2010/13/UE
(COM(2022)0457),
— Visto el artículo 12 de la
Declaración Universal de Derechos Humanos,
— Vista la sentencia del Tribunal
de Justicia de la Unión Europea (TJUE) en el asunto C-37/20 (12) sobre
la Directiva antiblanqueo, que afirma que la disposición que establece que la
información sobre la titularidad real de las sociedades constituidas en el
territorio de los Estados miembros esté en todos los casos a disposición de
cualquier miembro del público en general es inválida,
— Visto el artículo 17 del
Pacto Internacional de Derechos Civiles y Políticos,
— Vistos la Carta de las Naciones
Unidas y los Principios Rectores de las Naciones Unidas sobre las empresas y
los derechos humanos (13),
— Vista la declaración de la alta
comisionada de las Naciones Unidas para los Derechos Humanos Michelle Bachelet,
de 19 de julio de 2022, titulada «Use of spyware to surveil
journalists and human rights defenders» (El uso de programas espía para vigilar
a periodistas y defensores de los derechos humanos),
— Visto el comentario de la
comisaria para los Derechos Humanos del Consejo de Europa, Dunja Mijatović, de
27 de enero de 2023, titulado «Highly intrusive spyware
threatens the essence of human rights» (Los programas espía altamente invasivos
amenazan la esencia de los derechos humanos) (14),
— Vistas las observaciones
preliminares del Supervisor Europeo de Protección de Datos (SEPD), de
15 de febrero de 2022, sobre los programas espía modernos (15),
— Visto el Convenio Europeo para
la Protección de los Derechos Humanos y de las Libertades Fundamentales, y en
particular sus artículos 8, 10, 13, 14 y 17 y sus Protocolos,
— Vista la Evaluación de la
amenaza de la delincuencia grave y organizada (SOCTA) de Europol, de 2021,
titulada «A Corrupting Influence: the Infiltration and Undermining of Europe’s
Economy and Society by Organised Crime» (Una influencia corruptora: la
infiltración y el menoscabo de la economía y la sociedad europeas por la
delincuencia organizada),
— Visto el informe de 2017 de la
Agencia de los Derechos Fundamentales de la Unión Europea (FRA) titulado
«Surveillance by intelligence services: fundamental rights safeguards and
remedies in the EU» (Vigilancia a cargo de los servicios de inteligencia:
salvaguardias y tutela de los derechos fundamentales en la UE), y las
actualizaciones presentadas el 28 de febrero de 2023 a la
Comisión de Investigación para investigar el uso del programa espía de
vigilancia Pegasus y otros programas equivalentes (PEGA),
— Vistas su Resolución, de
12 de marzo de 2014, sobre el programa de vigilancia de la
Agencia Nacional de Seguridad de los EE. UU., los órganos de vigilancia en
diversos Estados miembros y su impacto en los derechos fundamentales de los
ciudadanos de la UE y en la cooperación transatlántica en materia de justicia y
asuntos de interior (16),
y en particular, sus recomendaciones formuladas en dicha Resolución sobre el
refuerzo de la seguridad informática en las instituciones, órganos y organismos
de la Unión,
— Visto el dictamen 24/2022 del
SEPD, de 11 de noviembre de 2022, sobre la Ley Europea de
Libertad de los Medios de Comunicación,
— Visto el glosario sobre
programas maliciosos y programas espía elaborado por la Agencia de la Unión
Europea para la Ciberseguridad (ENISA),
— Vista la Decisión de la
Defensora del Pueblo Europeo sobre cómo evaluó la Comisión Europea las
repercusiones para los derechos humanos antes de prestar apoyo a los países
africanos para desarrollar capacidades de vigilancia (asunto 1904/2021/MHZ),
— Vista la declaración, de
2 de febrero de 2023, de Irene Kahn, relatora especial de las
Naciones Unidas sobre la libertad de opinión y de expresión, y Fernand de
Varennes, relator especial de las Naciones Unidas sobre cuestiones de las minorías,
pidiendo que se investigue el supuesto programa de espionaje contra los líderes
catalanes (17),
— Visto el informe de la Comisión
Europea para la Democracia por el Derecho (Comisión de Venecia) sobre la
supervisión democrática de los servicios de seguridad (18) y
su dictamen titulado «Polonia — Dictamen sobre la Ley de
15 de enero de 2016 por la que se modifica la Ley de policía y
otras leyes» (19),
— Visto el informe de la Comisión
de Investigación Encargada de Examinar el Uso del Programa Espía de Vigilancia
Pegasus y Otros Programas Equivalentes (A9-0189/2023),
— Visto el artículo 208,
apartado 12, de su Reglamento interno,
A. Considerando que, gracias a los
esfuerzos de CitizenLab y Amnesty Tech y de numerosos periodistas de
investigación, se ha revelado que determinados órganos de la Administración en
varios países, tanto Estados miembros de la UE como países no pertenecientes a
la Unión, han utilizado el programa espía de vigilancia Pegasus y otros
programas equivalentes contra periodistas, políticos, funcionarios policiales,
diplomáticos, abogados, empresarios y agentes de la sociedad civil y de otros
ámbitos, con fines políticos e incluso delictivos; que dichas prácticas son
extremadamente alarmantes y demuestran el riesgo de que se abuse de las
tecnologías de vigilancia para socavar los derechos humanos fundamentales, la
democracia y los procesos electorales;
B. Considerando que, siempre que
se mencione el término «programa espía» en el informe, significa «el programa
espía de vigilancia Pegasus y otros programas equivalentes», tal como se define
en la Decisión del Parlamento por la que se crea la Comisión PEGA;
C. Considerando que se ha
observado que agentes estatales han utilizado deliberadamente programas espía
de una manera engañosa recurriendo a programas espía que pueden camuflarse como
un programa, archivo o contenido legítimos («troyano»), como mensajes falsos de
las instituciones públicas; que, en algunos casos, las autoridades públicas han
utilizado a operadores telefónicos para transmitir contenido malicioso al
dispositivo de la persona espiada; que los programas espía pueden desplegarse
explotando vulnerabilidades de día cero sin la interacción del objetivo con
contenido infectado, eliminar todo rastro de su presencia al desinstalarse, y
anonimizar la conexión entre operadores remotos y servidor;
D. Considerando que, en los
inicios de la comunicación móvil, las escuchas se llevaban a cabo mediante la
interceptación de llamadas y, posteriormente, de mensajes de texto en formato
simple;
E. Considerando que la aparición
de aplicaciones de comunicación móvil cifradas dio lugar al surgimiento de la
industria de los programas espía, que aprovechan las vulnerabilidades
existentes en los sistemas operativos de los teléfonos inteligentes con el fin
de instalar programas informáticos que importan los programas espía en el
teléfono, entre otras vías, a través de infecciones de «cero clics» sin el
conocimiento del usuario ni ninguna acción por su parte, lo que permite la
extracción de datos antes del cifrado; que dichos programas espía de «cero
clics», por su propio diseño, dificultan enormemente el control eficaz y
significativo de su uso;
F. Considerando que el
conocimiento de vulnerabilidades en sistemas informáticos se comercia
directamente entre las partes o es facilitado por agentes intermediarios; que
este comercio incluye a agentes no estatales y a organizaciones delictivas;
G. Considerando que la
adquisición, el comercio y el acopio de vulnerabilidades de día cero socavan de
manera fundamental la integridad y la seguridad de las comunicaciones y la
ciberseguridad de los ciudadanos de la UE;
H. Considerando que el uso de
programas espía de vigilancia debe seguir siendo la excepción y estar siempre
sujeto a una autorización judicial previa efectiva, vinculante y significativa
por parte de una autoridad judicial imparcial e independiente, que debe
garantizar que la medida sea necesaria, proporcionada y estrictamente limitada
a los casos que afecten a la seguridad nacional o que atañan al terrorismo o a
delitos graves; que las técnicas de vigilancia son susceptibles de abusos en
los entornos carentes de controles y equilibrios eficaces;
I. Considerando que toda
vigilancia mediante programas espía debe ser examinada por una autoridad de
supervisión independiente ex post, que debe garantizar que toda vigilancia
autorizada se lleve a cabo respetando los derechos fundamentales y de
conformidad con las condiciones establecidas por el TJUE, el Tribunal Europeo
de Derechos Humanos (TEDH) y la Comisión de Venecia; que dicha autoridad
de supervisión ex post debe ordenar el final de la vigilancia
de inmediato cuando se concluya que es incompatible con los derechos y las
condiciones antes mencionados;
J. Considerando que la vigilancia
de programas espía que no cumple los requisitos establecidos en el Derecho de
la Unión y en la jurisprudencia del TJUE y del TEDH es contraria a los valores
consagrados en el artículo 2 del TUE y los derechos fundamentales
consagrados en la Carta y, en particular, a los que figuran en sus
artículos 7, 8, 11, 17, 21 y 47, que reconocen derechos, libertades y
principios específicos, como el respeto de la vida privada y familiar, la protección
de los datos personales, la libertad de expresión e información, el derecho a
la propiedad, el derecho a la no discriminación, el derecho a la tutela
judicial efectiva y a un juicio justo y el derecho a la presunción de
inocencia;
K. Considerando que los derechos
de las personas afectadas se establecen en la Carta de los Derechos
Fundamentales y en los convenios internacionales, en particular el derecho a la
intimidad y el derecho a un juicio justo, y en las normas de la Unión sobre los
derechos de los sospechosos y acusados; que estos derechos han sido confirmados
por la jurisprudencia del TJUE y del TEDH;
L. Considerando que el impacto de
la vigilancia dirigida sobre las mujeres puede ser especialmente grave, dado
que las autoridades pueden aprovechar el mayor escrutinio social al que se
somete a las mujeres para utilizar como arma datos privados e íntimos extraídos
a través de programas espía para campañas de difamación;
M. Considerando que de los
testimonios de las personas objeto de estas actuaciones se desprende claramente
que, aunque sobre el papel existan recursos legales y derechos civiles, en la
mayoría de los casos resultan nulos ante la obstrucción por parte de los
órganos de la Administración, la ausencia o la no aplicación de los derechos de
dichas personas a ser informadas, y el obstáculo administrativo de las personas
que tienen que demostrar que han sido objeto de tales actuaciones; que incluso
en sistemas con procedimientos rápidos y abiertos, la naturaleza de los
programas espía hace muy difícil demostrar la autoría y la naturaleza y el
alcance de los ataques contra una persona;
N. Considerando que los
tribunales no han aceptado las pruebas forenses de expertos independientes,
sino únicamente las pruebas basadas en el examen de las autoridades o las
fuerzas de la seguridad o del orden que supuestamente están detrás de un
ataque; que esto deja a las víctimas en una situación paradójica y sin una
opción viable para demostrar una infección por programas espía;
O. Considerando que el Gobierno
polaco ha debilitado y eliminado las salvaguardias institucionales y jurídicas,
incluidos los procedimientos adecuados de supervisión y control, dejando
efectivamente a las personas espiadas sin ningún recurso significativo; que el
programa espía de vigilancia Pegasus se ha utilizado ilegalmente con fines
políticos para espiar a periodistas, políticos de la oposición, abogados,
fiscales y agentes de la sociedad civil;
P. Considerando que el Gobierno
húngaro ha debilitado y eliminado las salvaguardias institucionales y
jurídicas, incluidos los procedimientos adecuados de supervisión y control,
dejando efectivamente a las personas ilegalmente espiadas sin ningún recurso
significativo; que el programa espía de vigilancia Pegasus se ha utilizado
ilegalmente para espiar a periodistas, políticos de la oposición, abogados,
fiscales y agentes de la sociedad civil con fines políticos;
Q. Considerando que se ha
confirmado oficialmente que un diputado al Parlamento Europeo de Grecia y un
periodista griego han sido objeto de escuchas por el Servicio Nacional de
Inteligencia (EYP) griego y espiados con el programa espía Predator; que un
antiguo empleado greco-estadounidense de Meta fue simultáneamente objeto de
escuchas por parte del EYP y espiado con el programa espía Predator, cuyo uso
es ilegal con arreglo a la legislación griega; que, según diversos informes de
medios de comunicación, parlamentarios de partidos de la oposición y del
gobierno en Grecia, activistas de distintos partidos y periodistas también han sido
presuntamente víctimas del programa espía Predator o de escuchas telefónicas
convencionales por parte del EYP, o de ambas actuaciones; que el Gobierno
griego niega haber adquirido o utilizado el programa Predator, pero que es
muy probable que este programa haya sido utilizado por personas muy próximas al
gabinete del primer ministro o en su nombre; que el Gobierno griego ha admitido
haber concedido licencias de exportación a Intellexa para la venta del programa
espía Predator a Gobiernos represivos, como los de Madagascar y Sudán; que
el Gobierno ha respondido al escándalo introduciendo modificaciones
legislativas que reducen aún más el derecho de las personas vigiladas a ser
informada al término de dicha vigilancia y obstaculizan aún más el trabajo de las
autoridades independientes;
R. Considerando que la
información revelada indicaba la existencia de dos categorías de objetivos de
los programas espía en España; que la primera incluye al presidente del
Gobierno y a la ministra de Defensa, al ministro del Interior y a otros altos
funcionarios; que la segunda categoría forma parte de lo que la organización
Citizen Lab denomina «CatalanGate», e incluye a 65 personas espiadas, entre las
que figuran personalidades políticas de la Generalitat de Cataluña, miembros
del movimiento independentista catalán, diputados al PE, abogados, miembros del
mundo académico y agentes de la sociedad civil; que, en mayo de 2022, las
autoridades españolas admitieron haber espiado a 18 personas con autorización
judicial, aunque hasta la fecha no han divulgado las órdenes judiciales ni
ninguna otra información, aludiendo a motivos de seguridad nacional al dar
cuenta del uso de programas espía de vigilancia en España; que otras 47
personas han sido presuntamente objeto de estas actuaciones, pero no han
recibido más información que la de Citizen Lab;
S. Considerando que no se ha
confirmado ninguna acusación de infección por programas espía en Chipre; que
Chipre es un importante centro europeo de exportación para el sector de la
vigilancia y un lugar atractivo para las empresas que venden tecnologías de
vigilancia;
T. Considerando que existen
claros indicios de que los gobiernos de Marruecos y Ruanda, entre otros, han
vigilado con programas espía a ciudadanos de la Unión de perfil elevado, entre
los que se encuentran el presidente de Francia, el presidente del Gobierno, la
ministra de Defensa y el ministro del Interior de España, el antiguo primer
ministro de Bélgica, el expresidente de la Comisión y antiguo primer ministro
de Italia, y Carine Kanimba, la hija de Paul Rusesabagina;
U. Considerando que puede
suponerse con seguridad que todos los Estados miembros han comprado o utilizado
uno o varios sistemas de espionaje; que la mayoría de los gobiernos de la Unión
Europea se abstendrán del uso ilegítimo de los programas espía, pero que el
riesgo de abuso es muy plausible en ausencia de un marco jurídico sólido que
incluya salvaguardas y supervisión, y a la luz de los retos técnicos para
detectar y rastrear las infecciones;
V. Considerando que la mayoría de
los Gobiernos y los Parlamentos de los Estados miembros no han facilitado al
Parlamento Europeo información significativa sobre los marcos jurídicos que
rigen el uso de programas espía en sus Estados miembros más allá de lo que ya se
conocía públicamente, a pesar de la obligación de hacerlo de conformidad con el
artículo 3, apartado 4, de la Decisión del Parlamento Europeo, del
Consejo y de la Comisión, de 6 de marzo de 1995, relativa a las
modalidades de ejercicio del derecho de investigación del Parlamento Europeo;
que es difícil evaluar la aplicación de la legislación de la Unión y las
salvaguardias, la supervisión y las vías de recurso que impiden una protección
adecuada de los derechos fundamentales de los ciudadanos;
W. Considerando que el
artículo 4, apartado 3, del TUE establece que «[c]onforme al
principio de cooperación leal, la Unión y los Estados miembros se respetarán y
asistirán mutuamente en el cumplimiento de las misiones derivadas de los
Tratados»;
X. Considerando que varias
personas clave del sector de los programas espía han obtenido la ciudadanía
maltesa, lo que facilita sus operaciones en el seno de la Unión y desde esta;
Y. Considerando que múltiples
desarrolladores y proveedores de programas espía están registrados en uno o
varios Estados miembros o lo han estado; que entre tales desarrolladores y
proveedores figura el Grupo NSO, con presencia empresarial en Luxemburgo,
Chipre, los Países Bajos y Bulgaria; la sociedad matriz de Intellexa,
Thalestris Limited, en Irlanda, Grecia, Suiza y Chipre; DSIRF en Austria;
QuaDream en Chipre; Amesys y Nexa Technologies en Francia; Tykelab y RCS Lab en
Italia, y FinFisher (actualmente desaparecida) en Alemania;
Z. Considerando que la Unión no
participa en el Arreglo de Wassenaar sobre control de exportaciones de armas
convencionales y bienes y tecnología de doble uso; que todos los Estados
miembros, excepto Chipre, participan en el Arreglo de Wassenaar, aunque Chipre
presentó hace mucho tiempo una solicitud para adherirse al mismo; que Chipre
está sujeta al Reglamento sobre productos de doble uso;
AA. Considerando que el régimen
de exportación de Israel (20) se
aplica, en principio, a todos los ciudadanos israelíes, incluso cuando operan
desde la Unión; que Israel no participa en el Arreglo de Wassenaar, pero afirma
no obstante aplicar sus normas;
AB. Considerando que la
exportación de programas espía de la Unión a terceros países está regulada en
el Reglamento sobre productos de doble uso, que se revisó en 2021; que la
Comisión publicó un primer informe de ejecución en septiembre de 2022 (21);
AC. Considerando que algunos
productores de programas espía que exportan a terceros países se establecen
dentro de la Unión para ganar respetabilidad mientras comercian con programas
espía con regímenes represivos; que se están produciendo exportaciones de la
Unión a regímenes represivos o a agentes no estatales, lo que constituye una
violación de las normas de exportación de la Unión;
AD. Considerando que Amesys y
Nexa Technologies están siendo procesados actualmente en Francia por exportar
tecnología de vigilancia a Libia, Egipto y Arabia Saudí; que, al parecer, las
empresas de Intellexa radicadas en Grecia exportaron sus productos a
Bangladesh, Sudán, Madagascar y, al menos, a un país árabe; que el programa de
FinFisher es utilizado en decenas de países de todo el mundo, entre los que se
encuentran Angola, Baréin, Bangladesh, Egipto, Etiopía, Gabón, Jordania,
Kazajistán, Myanmar, Omán, Qatar, Arabia Saudí y Turquía, y por los servicios
de inteligencia de Marruecos, que han sido acusados de utilizar el programa
espía Pegasus contra periodistas, defensores de los derechos humanos, la
sociedad civil y políticos por Amnistía Internacional y Forbidden Stories; que
se desconoce si se concedieron licencias para la exportación de programas espía
a todos estos países; que la fiscalía de Múnich ha acusado a antiguos
ejecutivos de FinFisher por haber exportado tecnologías de vigilancia a Turquía
sin una licencia de exportación;
AE. Considerando que el número de
asistentes a las ferias de armamento e ISSWorld que comercializan programas
espía demuestran el predominio de proveedores de programas espía y de productos
y servicios relacionados procedentes de terceros países, un número
significativo de los cuales tiene su sede en Israel (por ejemplo, el Grupo NSO,
Wintego, Quadream y Cellebrite), y ponen de manifiesto la existencia de
importantes productores en la India (ClearTrail), el Reino Unido (BAe Systems y
Black Cube) y los Emiratos Árabes Unidos (DarkMatter), mientras que la lista de
entidades de los Estados Unidos que veta a los fabricantes de programas espía
ubicados en Israel (Grupo NSO y Candiru), Rusia (Positive Technologies) y
Singapur (Computer Security Initiative Consultancy PTE LTD.) resalta aún más la
diversidad de procedencia de los fabricantes de programas espía; que a la feria
también asiste una amplia gama de autoridades públicas europeas, entre las que
se encuentran las fuerzas de policía locales;
AF. Considerando que el
artículo 4, apartado 2, del TUE establece que la seguridad nacional
sigue siendo responsabilidad exclusiva de cada uno de los Estados miembros;
AG. Considerando, no obstante,
que el TJUE ha dictaminado en el asunto C-623/17 que «si bien corresponde
a los Estados miembros determinar sus intereses esenciales de seguridad y
adoptar las medidas adecuadas para garantizar su seguridad interior y exterior,
el mero hecho de que se haya adoptado una medida nacional con el fin de
proteger la seguridad nacional no puede dar lugar a la inaplicabilidad del
Derecho de la Unión ni dispensar a los Estados miembros de la necesaria
observancia de dicho Derecho»;
AH. Considerando que el TJUE ha
dictaminado en el asunto C-203/15 que «el artículo 15, apartado 1, de
la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de
12 de julio de 2002, relativa al tratamiento de los datos
personales y a la protección de la intimidad en el sector de las comunicaciones
electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas),
en su versión modificada por la Directiva 2009/136/CE del Parlamento Europeo y
del Consejo, de 25 de noviembre de 2009, en relación con los
artículos 7, 8, 11 y 52, apartado 1, de la Carta, debe interpretarse
en el sentido de que se opone a una normativa nacional que establece, con la
finalidad de luchar contra la delincuencia, la conservación generalizada e
indiferenciada de todos los datos de tráfico y de localización de todos los
abonados y usuarios registrados en relación con todos los medios de
comunicación electrónica.»;
AI. Considerando que el TJUE ha
dictaminado en el asunto C-203/15 que «el artículo 15,
apartado 1, de la Directiva 2002/58/CE, en su versión modificada por la
Directiva 2009/136/CE, en relación con los artículos 7, 8, 11 y 52,
apartado 1, de la Carta, debe interpretarse en el sentido de que se opone
a una normativa nacional que regula la protección y la seguridad de los datos
de tráfico y de localización, en particular el acceso de las autoridades
nacionales competentes a los datos conservados, sin limitar dicho acceso, en el
marco de la lucha contra la delincuencia, a los casos de delincuencia grave,
sin supeditar dicho acceso a un control previo por un órgano jurisdiccional o
una autoridad administrativa independiente, y sin exigir que los datos de que
se trata se conserven en el territorio de la Unión.»;
AJ. Considerando que la
jurisprudencia del TEDH establece claramente que toda vigilancia debe llevarse
a cabo de conformidad con el Derecho, servir un objetivo legítimo y ser
necesaria y proporcionada; que, además, el marco jurídico debe proporcionar
salvaguardas precisas, eficaces y exhaustivas sobre el ordenamiento y la
ejecución de medidas de vigilancia, así como posibles oportunidades de recurso
contra estas, que deben estar sujetas a una revisión judicial adecuada y a una
supervisión efectiva (22);
AK. Considerando que el Convenio
del Consejo de Europa para la protección de las personas con respecto al
tratamiento automatizado de datos de carácter personal (Convenio n.o 108),
recientemente modernizado como Convenio 108 +, se aplica al
tratamiento de datos personales con fines de seguridad (nacional) del Estado,
incluida la defensa; que todos los Estados miembros de la UE son partes de
dicho Convenio;
AL. Considerando que diversos
aspectos importantes del uso de programas espía de vigilancia para la
prevención, la investigación, la detección o el enjuiciamiento de infracciones
penales o la ejecución de sanciones penales, en particular la salvaguardia y
prevención de amenazas a la seguridad pública o a la seguridad nacional, entran
en el ámbito de aplicación del Derecho de la Unión;
AM. Considerando que la Carta
establece las condiciones para la limitación del ejercicio de los derechos
fundamentales, exigiendo que se establezca por ley, que respete la esencia de
los derechos y libertades en cuestión, que se someta al principio de
proporcionalidad y que se imponga únicamente cuando sea necesaria y responda
efectivamente a objetivos de interés general reconocidos por la Unión o a la
necesidad de proteger los derechos y libertades de los demás; que, cuando se
utilizan programas espía, el nivel de injerencia en el derecho a la intimidad
es tan severo que la persona se ve efectivamente privada de él y el uso no
siempre puede considerarse proporcionado, independientemente de si la medida
puede considerarse necesaria para alcanzar los objetivos legítimos de un Estado
democrático;
AN. Considerando que la Directiva
sobre la privacidad y las comunicaciones electrónicas establece que los Estados
miembros deben garantizar la confidencialidad de las comunicaciones; que el
empleo de herramientas de vigilancia constituye una restricción del derecho a
la protección de los equipos terminales garantizado por la Directiva sobre la
privacidad y las comunicaciones electrónicas; que tales restricciones situarían
a la legislación nacional sobre programas espía en el ámbito de aplicación de
la Directiva sobre la privacidad y las comunicaciones electrónicas, de manera
análoga a la legislación nacional en materia de conservación de datos; que el
uso frecuente de tecnología de programas espía intrusivos no sería compatible
con el ordenamiento jurídico de la Unión;
AO. Considerando que, de
conformidad con el Derecho internacional, un Estado solo tiene derecho a
investigar posibles delitos dentro de su jurisdicción y debe recurrir a la
asistencia de otros Estados en los casos en que la investigación deba tener
lugar en otros países, a menos que exista una base para llevar a cabo
investigaciones en otras jurisdicciones en virtud de un acuerdo internacional,
o del Derecho de la Unión, en el caso de los Estados miembros;
AP. Considerando que la infección
de un dispositivo con programas espía y la ulterior recogida de datos se
produce a través de los servidores de los proveedores de servicios móviles;
que, dado que la itinerancia gratuita en la Unión ha dado lugar a que, en
ocasiones, determinadas personas celebren contratos de telefonía móvil con
otros Estados miembros distintos de aquél en el que residen, actualmente no
existe fundamento jurídico en el Derecho de la Unión para la recogida de datos
en el otro Estado miembro mediante el uso de programas espía;
AQ. Considerando que David Kaye,
el antiguo relator especial de las Naciones Unidas sobre la promoción y
protección del derecho a la libertad de opinión y de expresión (23),
y la actual relatora especial sobre la promoción y protección del derecho a la
libertad de opinión y de expresión (24),
Irene Khan, han pedido una moratoria inmediata sobre el uso, la transferencia y
la venta de herramientas de vigilancia hasta que se hayan establecido
salvaguardas estrictas de los derechos humanos para regular las prácticas y
garantizar que los Gobiernos y los agentes no estatales utilicen estas
herramientas de manera legítima;
AR. Considerando que existen
casos en los que las empresas de programas espía, en particular Intellexa, no
solo han vendido la tecnología de interceptación y extracción en sí, sino
también el servicio completo, también denominado «de pirateo informático» o
«ciberinteligencia activa», que ofrece un paquete de métodos tecnológicos de
vigilancia e interceptación, así como formación para el personal y apoyo técnico,
operativo y metodológico; que este servicio podría permitir a la empresa de que
se trate controlar toda la operación de vigilancia y agregar los datos
derivados de la misma; que esta práctica resulta casi imposible de supervisar y
controlar por las autoridades competentes; que ello dificulta el cumplimiento
de los principios de proporcionalidad, necesidad, legitimidad, legalidad y
adecuación; que este servicio no está permitido por la agencia israelí de
control de las exportaciones de defensa (DECA); que se ha utilizado a Chipre
para eludir las limitaciones existentes con arreglo a la legislación israelí,
con el fin de proporcionar servicios de piratería informática;
AS. Considerando que los Estados
miembros deben cumplir las Directivas 2014/24/UE y 2009/81/CE sobre
contratación pública y defensa, respectivamente; que deben justificar
adecuadamente las excepciones en virtud del artículo 346, apartado 1,
letra b), del TFUE, ya que la Directiva 2009/81/CE tiene explícitamente en
cuenta las características sensibles de los contratos públicos de defensa, y
respetar el Acuerdo sobre Contratación Pública de la OMC, modificado el
30 de marzo de 2012 (25) si
son parte del mismo;
AT. Considerando que el SEPD ha
subrayado que los Estados miembros deben respetar el Convenio Europeo de
Derechos Humanos y la jurisprudencia del TEDH, que fija límites a las
actividades de vigilancia para fines de seguridad nacional; que, además, cuando
se utiliza para fines policiales, la vigilancia debe cumplir el Derecho de la
Unión, Y en particular la Carta y Directivas de la Unión como la Directiva
sobre la privacidad y las comunicaciones electrónicas y la Directiva sobre
protección de datos en el ámbito penal;
AU. Considerando que se ha
informado de que las grandes instituciones financieras han intentado incitar a
los fabricantes de programas espía a que se abstengan de aplicar las normas
adecuadas en materia de derechos humanos y diligencia debida y a que sigan
vendiendo programas espía a regímenes represivos;
AV. Considerando que, en el
programa Horizonte 2020, Israel figura en tercer lugar entre los países
asociados en cuanto a la participación global en el programa; que el Acuerdo de
Horizonte Europa con Israel cuenta con un presupuesto global para 2021-2027 de
95 500 000 000 EUR (26);
que se han puesto a disposición de las empresas militares y de seguridad
israelíes fondos a través de estos programas europeos (27);
AW. Considerando que el principal
instrumento legislativo para las políticas de desarrollo de la Unión es el
Reglamento (UE) 2021/947 (28) («Reglamento
de Europa Global»), y que los fondos de la Unión pueden facilitarse con arreglo
a las modalidades de financiación previstas en el Reglamento financiero; que la
asistencia puede suspenderse en caso de degradación de la democracia, los
derechos humanos o el Estado de Derecho en terceros países;
1. Destaca la importancia
innegable de la protección de la privacidad, del derecho a la dignidad y a la
vida privada y familiar, de la libertad de expresión e información, de la
libertad de reunión y asociación, y del derecho a un juicio justo, en
particular en un mundo cada vez más digital en el que cada vez más actividades
nuestras se desarrollan en línea;
2. Adopta la firme postura de que
las violaciones de estos derechos y libertades fundamentales son clave en lo
que se refiere al respeto por los principios jurídicos comunes establecidos en
los Tratados y en otras fuentes, y señala que la democracia en sí está en
juego, ya que el uso de programas espía contra los políticos, la sociedad civil
y los periodistas ejerce un efecto inhibidor y afecta gravemente al derecho a
la reunión pacífica, la libertad de expresión y la participación pública;
3. Condena enérgicamente el uso
de programas espía por parte de los gobiernos de los Estados miembros y los
miembros de las autoridades gubernamentales o instituciones estatales con el
fin de supervisar, chantajear, intimidar, manipular y desacreditar a miembros
de la oposición, críticos y la sociedad civil, eliminar el escrutinio
democrático y la libertad de prensa, manipular las elecciones y socavar el
Estado de Derecho mediante el espionaje a jueces, fiscales y abogados con fines
políticos;
4. Señala que este uso ilegítimo
de programas espía por parte de los Gobiernos nacionales y de terceros países
afecta directa e indirectamente a las instituciones de la Unión y al proceso de
toma de decisiones, socavando así la integridad de la democracia de la Unión
Europea;
5. Observa con gran preocupación
la inadecuación fundamental de la actual estructura de gobernanza de la Unión
para responder a los ataques contra la democracia, los derechos fundamentales y
el Estado de Derecho desde dentro de la Unión, y que muchos Estados miembros no
adopten medidas al respecto; señala que, cuando estos valores se ven amenazados
en un Estado miembro, se pone en peligro a toda la Unión;
6. Recalca que las normas
digitales que rigen los progresos tecnológicos en la Unión deben respetar los
derechos fundamentales;
7. Adopta la firme posición de
que la exportación de programas espía de la Unión a dictaduras y regímenes
represivos con un pobre historial en materia de derechos humanos en los que se
utilizan dichas herramientas contra activistas de derechos humanos, periodistas
y críticos con el Gobierno constituye una grave violación de los derechos
fundamentales consagrados en la Carta y una grave violación de las normas de
exportación de la Unión;
8. Expresa asimismo su
preocupación por el uso ilegítimo y el comercio ilícito de programas espía por
parte de los Estados miembros, que, en su conjunto, convierten a la Unión en un
destino para la industria de los programas espía;
9. Expresa asimismo su
preocupación por los ataques dirigidos contra personalidades de alto perfil,
defensores de los derechos humanos y periodistas en la Unión con programas
espía, por parte de países no pertenecientes a la UE;
10. Manifiesta asimismo su
preocupación por la aparente reticencia a investigar los abusos perpetrados con
programas espía, tanto si el sospechoso es un organismo gubernamental de un
Estado miembro como si procede de un tercer país; toma nota de la gran lentitud
de los avances y la falta de transparencia en las investigaciones judiciales
sobre los abusos cometidos con programas espía contra ministros y dirigentes de
los Gobiernos de los Estados miembros de la Unión, así como contra miembros de
la sociedad civil, periodistas o adversarios políticos;
11. Observa que el marco jurídico
de algunos Estados miembros no proporciona salvaguardias precisas, eficaces y
exhaustivas sobre el ordenamiento y la ejecución de medidas de vigilancia; así
como los posibles mecanismos de recurso contra estas; observa que dichas
medidas deben servir un objetivo legítimo y ser necesarias y proporcionadas;
12. Lamenta que los Gobiernos de
los Estados miembros, el Consejo y la Comisión no cooperen plenamente con la
investigación y no compartan toda la información pertinente y significativa,
con el fin de ayudar a la Comisión de Investigación a desempeñar las tareas que
le atañen con arreglo a su mandato; reconoce que parte de esta información
puede estar sujeta a estrictos requisitos legales de secreto y
confidencialidad; considera que la respuesta colectiva del Consejo es
totalmente inadecuada y contraria al principio de cooperación leal consagrado
en el artículo 4, apartado 3, del TUE;
13. Concluye que ni los Estados
miembros, ni el Consejo, ni la Comisión parecen estar interesados en maximizar
sus esfuerzos para investigar a fondo el abuso de los programas espía,
protegiendo así a sabiendas a los Gobiernos de la Unión que violan los derechos
humanos dentro y fuera de la Unión;
14. Concluye que es probable que
se hayan producido importantes infracciones y mala administración en la
aplicación del Derecho de la Unión en Polonia;
15. Pide a Polonia que:
a) inste a la Fiscalía General a
que inicie investigaciones sobre el uso indebido de programas espía;
b) restablezca urgentemente
garantías institucionales y jurídicas suficientes, incluido un control ex ante
y ex post eficaz y vinculante, así como mecanismos de supervisión
independientes, incluido el control judicial de las actividades de vigilancia;
subraya que, en el contexto del control ex ante eficaz, la
petición al tribunal para que efectúe una vigilancia operativa, así como la
orden judicial correspondiente, deben contener una justificación e indicación
claras de los medios técnicos que se utilizarán para tal vigilancia, y que, en
el contexto del control ex post eficaz, debe establecerse la
obligación de informar a la persona sujeta a la vigilancia del hecho, la
duración, el alcance y el modo del tratamiento de los datos obtenidos durante
la vigilancia operativa;
c) introduzca una legislación
coherente que proteja a los ciudadanos, con independencia de que lleven a cabo
la vigilancia operativa la fiscalía, los servicios secretos o cualquier otro
organismo estatal;
d) cumpla la sentencia del
Tribunal Constitucional sobre la Ley de Policía de 1990;
e) cumpla el dictamen de la
Comisión de Venecia sobre la Ley de Policía de 2016;
f) cumpla las distintas
sentencias del TEDH, como la sentencia en el asunto Roman Zakharov contra
Rusia, de 2015, que subraya la necesidad de establecer criterios estrictos de
vigilancia, una autorización y supervisión judiciales adecuadas, la inmediata
destrucción de los datos que no sean pertinentes, un control judicial sobre los
procedimientos urgentes y la obligación de notificar a las víctimas, así como
la sentencia en el asunto Klass y otros contra Alemania, de 1978, que
expone que la vigilancia debe ser suficientemente importante como para que sea
necesaria tal invasión de la intimidad;
g) cumpla con todas las
sentencias del TJUE y del TEDH relacionadas con la independencia del poder
judicial y la primacía del Derecho de la Unión;
h) suprima el
artículo 168 bis de la Ley de modificación de la Ley de
Enjuiciamiento Criminal de 2016;
i) restablezca la plena
independencia del poder judicial y respete los poderes reglamentarios de todos
los organismos de supervisión pertinentes, como el Defensor del Pueblo, el
presidente de la oficina de protección de datos personales y la Oficina
Superior de Auditoría, para garantizar que todos los organismos de supervisión
obtengan plena cooperación y acceso a la información y faciliten información
completa a todas las víctimas;
j) introduzca urgentemente la
asignación aleatoria de asuntos a los jueces de los tribunales en relación con
todas las solicitudes presentadas, incluso en fin de semana y fuera de la
jornada laboral, a fin de evitar la selección de «jueces amigos» por parte de
los servicios secretos, y garantice la transparencia de este sistema, entre
otros medios, poniendo a disposición del público el algoritmo con arreglo al
que se asigna de manera aleatoria un asunto a un juez;
k) restablezca el sistema
tradicional de supervisión parlamentaria en el que el partido de la oposición
asume la presidencia de la Comisión de Supervisión Parlamentaria de los
Servicios Especiales (KSS);
l) aclare urgentemente la
situación en torno al uso indebido de programas espía en Polonia, con el fin de
no arrojar ninguna duda sobre la integridad de las próximas elecciones;
m) aplique y haga cumplir
adecuadamente la Directiva (UE) 2016/680 (la Directiva sobre protección de
datos en el ámbito penal) y garantice que la autoridad de protección de datos
esté facultada para supervisar el tratamiento de datos personales por parte,
entre otras, de autoridades como la Oficina Central de Lucha contra la
Corrupción y la Agencia de Seguridad Interior;
n) aplique la Directiva sobre
denunciantes;
o) se abstenga de adoptar disposiciones
en las nuevas leyes sobre la comunicación electrónica que contravengan el
Convenio Europeo de Derechos Humanos (CEDH);
p) garantice la disponibilidad de
vías de recurso efectivas para los ciudadanos de Polonia afectados por la
aplicación de leyes que contravienen la Constitución de Polonia y el CEDH;
q) invite a Europol a investigar
todos los casos de presunto uso indebido de programas espía;
r) garantice el control
constitucional independiente de las leyes en Polonia;
s) restablezca la independencia
del papel de la Fiscalía General respecto al ministro de Justicia con el fin de
garantizar que las investigaciones sobre supuestas infracciones de derechos
fundamentales están libres de consideraciones políticas;
16. Insta a la Comisión a que evalúe
la compatibilidad de la ley polaca de 2018 sobre la protección de los datos
personales tratados en relación con la prevención y la lucha contra la
delincuencia con la Directiva sobre protección de datos en el ámbito penal de
la Unión y, si es necesario, incoe un procedimiento de infracción;
17. Concluye que es probable que
se hayan producido importantes infracciones y mala administración en la
aplicación del Derecho de la Unión en Hungría;
18. Pide a Hungría que:
a) restablezca urgentemente garantías
institucionales y jurídicas suficientes, incluido un control vinculante ex ante
y ex post eficaz, así como mecanismos de supervisión independientes; incluida
la revisión judicial de las actividades de vigilancia; subraya que, en el
contexto del control ex ante eficaz, la petición al tribunal
para que efectúe una vigilancia operativa, así como la orden judicial
correspondiente, deben contener una justificación e indicación claras de los
medios técnicos que se utilizarán para tal vigilancia, y que, en el contexto
del control ex post eficaz, debe establecerse la obligación de informar a la
persona sujeta a la vigilancia del hecho, la duración, el alcance y el modo del
tratamiento de los datos obtenidos durante la vigilancia operativa;
b) cumpla las distintas
sentencias del TEDH, como la sentencia en el asunto Roman Zakharov contra
Rusia, de 2015, que subraya la necesidad de establecer criterios estrictos de
vigilancia, una autorización y supervisión judiciales adecuadas, la inmediata
destrucción de los datos que no sean pertinentes, un control judicial sobre los
procedimientos urgentes y la obligación de notificar a las víctimas, así como
la sentencia en el asunto Klass y otros contra Alemania, de 1978, que
expone que la vigilancia debe ser lo suficientemente importante como para que
sea necesaria tal invasión de la intimidad, así como el requisito de
notificación a los sujetos de la vigilancia;
c) cumpla con todas las
sentencias del TJUE y del TEDH relacionadas con la independencia del poder
judicial y la primacía del Derecho de la Unión;
d) reestablezca la independencia
de los organismos de supervisión de conformidad con la sentencia del TEDH en el
asunto Hüttl contra Hungría, en la que el Tribunal determina que la
Autoridad Nacional para la Protección de Datos y la Libertad de Información
(NAIH) no puede supervisar de manera independiente el uso de los programas
espía porque los servicios secretos están autorizados a denegar el acceso a
algunos documentos por razones de confidencialidad;
e) restablezca la plena
independencia del poder judicial y de todos los organismos de supervisión
pertinentes, como el Defensor del Pueblo y las autoridades de protección de
datos, para garantizar que todos los organismos de supervisión obtengan plena
cooperación y acceso a la información y faciliten información completa a todas
las personas espiadas;
f) restituya a empleados
independientes en los puestos directivos de los órganos de supervisión, como el
Tribunal Constitucional, el Tribunal Supremo, el Tribunal de Cuentas, el
Ministerio Fiscal, el Banco Nacional de Hungría y la Comisión Electoral
Nacional;
g) aplique la Directiva sobre
denunciantes;
h) invite a Europol a investigar
todos los casos de presunto uso indebido de programas espía;
i) se abstenga de adoptar disposiciones
en las nuevas leyes sobre la comunicación electrónica que contravengan el CEDH;
j) garantice la disponibilidad de
vías de recurso efectivas para los ciudadanos de Hungría afectados por la
aplicación de leyes que contravienen la Constitución de Hungría y el CEDH;
19. Concluye que es probable que
se hayan producido infracciones y mala administración en la aplicación del
Derecho de la Unión en Grecia;
20. Pide a Grecia que:
a) restablezca urgentemente
garantías institucionales y jurídicas suficientes y las refuerce, incluido un
control ex ante y ex post eficaz, así como
mecanismos de supervisión independientes;
b) derogue urgentemente todas las
licencias de exportación que no estén plenamente en consonancia con el
Reglamento sobre productos de doble uso e investigue las acusaciones de
exportaciones ilegales a Sudán, entre otros;
c) garantice que las autoridades
puedan investigar libremente y sin trabas todas las acusaciones de uso de
programas espía;
d) suprima urgentemente la
enmienda 826/145 a la Ley 2472/1997, que abolió la capacidad de la Autoridad
Helénica para la Seguridad de las Comunicaciones y la Privacidad (ADAE) para
notificar a los ciudadanos los casos de supresión de la confidencialidad de las
comunicaciones; modifique la Ley 5002/2022 con el fin de restablecer el derecho
de las personas espiadas a ser informados de inmediato, previa solicitud, tan
pronto como se haya completado la vigilancia, y corrija otras disposiciones que
debiliten las salvaguardias, el control y la rendición de cuentas;
e) restablezca la plena
independencia del poder judicial y de todos los organismos de supervisión
pertinentes, como el Defensor del Pueblo y las autoridades de protección de
datos, y respete plenamente la independencia de la ADAE para garantizar que
todos los organismos de supervisión obtengan plena cooperación y acceso a la
información y faciliten información completa a todas las personas espiadas;
f) garantice que la ADAE puede
crear un archivo electrónico para poder desempeñar su cometido;
g) aclare urgentemente la
situación en torno al uso indebido de programas espía en Grecia, con el fin de
no arrojar ninguna duda sobre la integridad de las próximas elecciones;
h) anule la enmienda legislativa
de 2019 que situaba al Servicio Nacional de Inteligencia (EYP) bajo el control
directo del primer ministro; adopte garantías constitucionales y permita el
control parlamentario de sus actividades, sin el pretexto de la
confidencialidad de la información;
i) garantice la independencia de
la dirección de la Autoridad Nacional para la Transparencia (AED);
j) vele por que el poder judicial
disponga de todos los medios y el apoyo necesarios para la investigación tras
el presunto uso indebido de programas espía, y que se incaute de pruebas
físicas de representantes, empresas de intermediación y proveedores de
programas espía vinculados a las infecciones por programas espía;
k) invite a Europol a unirse
inmediatamente a las investigaciones;
l) se abstenga de interferir
políticamente en el trabajo del fiscal general;
21. Concluye que en general, el
marco regulador en España está en consonancia con los requisitos establecidos
por los Tratados; señala, no obstante, que se requieren algunas reformas y que
la aplicación en la práctica debe estar plenamente en consonancia con los
derechos fundamentales y garantizar la protección de la participación pública;
22. Pide, por tanto, a España
que:
a) lleve a cabo una investigación
completa, justa y eficaz, en la que se aclaren plenamente todos los casos
presuntos de uso de programas espía, incluidos los 47 casos respecto a los que
sigue sin quedar claro si las personas en cuestión fueron o no objetivo de las
actuaciones del Centro Nacional de Inteligencia (CNI) español con una orden
judicial, o si otra autoridad recibió órdenes judiciales para espiarlas
legalmente, así como sobre el uso de programas espía contra el presidente del
Gobierno y otros miembros del mismo, y que presente las conclusiones de la
manera más amplia posible, con arreglo a la legislación aplicable;
b) facilite un acceso adecuado a
las personas espiadas a la autorización judicial expedida por el Tribunal
Supremo al CNI para espiar a 18 personas;
c) coopere con los tribunales
para garantizar que las víctimas de los programas espía tengan acceso a
recursos judiciales reales y significativos, y que las investigaciones
judiciales se concluyan sin demora de manera imparcial y exhaustiva, para lo
que deberán asignarse recursos suficientes;
d) inicie la reforma del marco
jurídico del CNI, tal como se anunció en mayo de 2022;
e) invite a Europol, que podría
aportar sus conocimientos técnicos especializados, a incorporarse a las
investigaciones;
23. Concluye que existen pruebas
de mala administración en la aplicación del Reglamento sobre productos de doble
uso en Chipre, lo que requiere un control estricto;
24. Pide a Chipre que:
a) evalúe exhaustivamente todas
las licencias de exportación expedidas para programas espía y las revoque
cuando proceda;
b) evalúe exhaustivamente el
envío de material de programas espía dentro del mercado interior de la Unión
entre Estados miembros y cartografíe las distintas empresas israelís o bajo la
propiedad y dirección de ciudadanos israelís registradas en Chipre y que están
implicadas en dichas actividades;
c) publique el informe del
investigador especial sobre el caso de la «furgoneta espía», según solicitó la
Comisión durante su misión oficial a Chipre;
d) investigue minuciosamente, con
la ayuda de Europol, todas las acusaciones de uso ilegítimo y exportaciones de
programas espía, en particular contra periodistas, abogados, agentes de la
sociedad civil y ciudadanos chipriotas;
25. Estima que la situación en
algunos Estados miembros también es motivo de preocupación, en especial ante la
presencia de un sector de programas espía, lucrativo y en expansión, que se
beneficia de la buena reputación, el mercado único y la libre circulación de la
Unión, lo que permite a algunos Estados miembros como Chipre y Bulgaria
convertirse en un centro de exportación de programas espía a regímenes
represivos de todo el mundo;
26. Opina que la incapacidad o la
negativa de algunas autoridades nacionales a garantizar la protección adecuada
de los ciudadanos de la Unión, también en lo que atañe a las lagunas normativas
y los instrumentos jurídicos pertinentes, demuestra con toda la claridad
necesaria que es indispensable una acción a escala de la Unión a fin de
garantizar que se aplica la letra de los Tratados y se cumple la legislación de
la Unión, de modo que se respete el derecho de los ciudadanos a vivir en un
entorno seguro en el que se respete la dignidad humana, la vida privada, los
datos personales y la propiedad, como exige la Directiva 2012/29/UE, con
arreglo a la cual todas las víctimas de delitos tienen derecho a recibir apoyo
y protección con arreglo a sus necesidades individuales;
27. Concluye que se han producido
graves deficiencias en la aplicación del Derecho de la Unión cuando la Comisión
y el Servicio Europeo de Acción Exterior (SEAE) han prestado apoyo a terceros países,
incluidos, entre otros, diez países del Sahel, a fin de permitirles desarrollar
capacidades de vigilancia (29);
28. Considera que el comercio y
el uso de programas espía deben regularse estrictamente; reconoce, sin embargo,
que el proceso legislativo puede llevar tiempo, mientras que el uso abusivo
debe detenerse de inmediato; aboga por la adopción de condiciones para el uso
legal, la venta, la adquisición y la transferencia de programas espía; insiste
en que, para el uso continuado de programas espía, los Estados miembros
cumplirán todas las condiciones que siguen a más tardar el
31 de diciembre de 2023:
a) las autoridades policiales,
fiscales y judiciales pertinentes investigan totalmente y resuelven sin demora
todos los casos de presunto uso indebido de programas espía;
b) demuestran que el marco que
rige el uso de programas espía se ajusta a las normas establecidas por la Comisión
de Venecia y a la jurisprudencia pertinente del TJUE y del TEDH;
c) asumen un compromiso explícito
de hacer partícipe a Europol, de conformidad con los artículos 4, 5 y 6
del Reglamento de Europol, en las investigaciones sobre las sospechas de uso ilegítimo
de programas espía; y que:
d) se derogan todas las licencias
de exportación que no se ajustan plenamente al Reglamento sobre productos de
doble uso;
29. Considera que la Comisión
debe evaluar el cumplimiento de estas condiciones, a más tardar, el
30 de noviembre de 2023; considera, además, que las conclusiones
de la evaluación deberán publicarse en un informe público;
30. Subraya que, si bien la lucha
contra la delincuencia grave y el terrorismo, y el reconocimiento de la
capacidad para abordar esa lucha, son de vital importancia para los Estados
miembros, la protección de los derechos fundamentales y la democracia es
esencial; incide, además, en que el uso de programas espía por parte de los
Estados miembros debe ser proporcionado, no puede ser arbitrario y la
vigilancia solo ha de autorizarse en circunstancias estrictamente
predeterminadas; considera que los mecanismos ex ante efectivos
para garantizar la supervisión judicial son esenciales para proteger las
libertades individuales; reafirma que los derechos individuales no pueden verse
comprometidos permitiendo un acceso sin restricciones a la vigilancia; subraya
que la capacidad del poder judicial para realizar una supervisión ex post
significativa y efectiva en el ámbito de las solicitudes de vigilancia en pro
de la seguridad nacional también es importante, a fin de garantizar que pueda
impugnarse el uso desproporcionado de programas espía por parte de los
Gobiernos;
31. Subraya que el uso de
programas espía para fines policiales debe regularse directamente mediante
medidas basadas en el capítulo 4 del título 5 del TFUE sobre la
cooperación judicial en materia penal; hace hincapié en que la configuración de
los programas espía importados a la UE y comercializados de otro modo debe regularse
con arreglo a una medida basada en el artículo 114 del TFUE; señala que el
uso de programas espía con fines de seguridad nacional solo puede regularse
indirectamente con arreglo, por ejemplo, a los derechos fundamentales y las
normas relativas a la protección de datos;
32. Considera que debido a la
dimensión transnacional y de la UE del uso de programas espía, es necesario
llevar a cabo un control coordinado y transparente a escala de la Unión para
garantizar no solo la protección de sus ciudadanos, sino también la validez de
las pruebas recabadas mediante los programas espía en los casos
transfronterizos, y que existe una clara necesidad de normas comunes de la UE
sobre la base del capítulo 4 del título 5 del TFUE que regulen el uso de
programas espía por parte de los organismos de los Estados miembros, a partir
de las normas establecidas por el TJUE, el TEDH, la Comisión de Venecia y la
Agencia de los Derechos Fundamentales (30);
opina que dichas normas de la Unión deben abarcar al menos los siguientes
elementos:
a) el uso previsto de programas
espía debe estar autorizado solo en casos excepcionales y específicos para
proteger la seguridad nacional, y ha de estar sujeto a una autorización
judicial previa, vinculante, efectiva y significativa por parte de una
autoridad judicial imparcial e independiente u otro órgano de supervisión
democrática independiente, que tenga acceso a toda la información pertinente, y
se demuestre la necesidad y proporcionalidad de la medida prevista;
b) la observación mediante
programas espía solo debe durar el tiempo estrictamente necesario, la
autorización judicial debe definir previamente el alcance y la duración
precisos para cada dispositivo al que se acceda y el pirateo informático solo
puede ampliarse cuando se conceda una nueva autorización judicial por otra
duración especificada, dada la naturaleza de los programas espía y la
posibilidad de una vigilancia retroactiva; además, las autoridades de los
Estados miembros solo deben fijar como objetivos dispositivos o cuentas de
usuarios finales individuales y abstenerse de piratear a los proveedores de
servicios de internet y tecnología para evitar afectar a usuarios que no sean
el objetivo;
c) la autorización para el uso de
programas espía solo podrá concederse en casos excepcionales con respecto a
investigaciones en relación con una lista limitada y cerrada de delitos graves
definidos de manera clara y precisa que representen una auténtica amenaza a la
seguridad nacional, y los programas espía solo podrán utilizarse con personas
respecto de las cuales existan indicios suficientes de que han cometido o
tienen previsto cometer tales delitos graves;
d) por lo que respecta a los
datos protegidos por privilegios o inmunidades asociados a determinadas
categorías de personas (como políticos, médicos, etc.), o a relaciones
específicamente protegidas (como el privilegio abogado-cliente) o por normas
sobre la determinación y limitación de la responsabilidad penal en relación con
la libertad de prensa y la libertad de expresión en otros medios, no se debe
tratar de obtenerlos a través de programas espía, a menos que existan motivos
suficientes, establecidos bajo supervisión judicial, que confirmen la
participación en actividades delictivas o asuntos de seguridad nacional, que
deben estar sujetos a un marco común;
e) deben elaborarse normas
específicas para la vigilancia con tecnología de programas espía, ya que esta
permite un acceso retroactivo ilimitado a mensajes, archivos y metadatos;
f) los Estados miembros deben
publicar, como mínimo, el número de solicitudes de vigilancia aprobadas y
rechazadas, así como el tipo y la finalidad de la investigación, y registrar
cada investigación de forma anónima en un registro nacional con un
identificador único, de modo que pueda investigarse en caso de que existan
sospechas de abuso;
g) los organismos nacionales de
control deben informar a los Estados miembros y, posteriormente, los Estados
miembros deben notificar esta información periódicamente a la Comisión; la
Comisión debe utilizar esta información en su informe anual sobre el Estado de
Derecho para poder comparar el uso de programas espía en los Estados miembros;
h) derecho de notificación de la
persona destinataria: una vez finalizada la vigilancia, las autoridades deben
notificar a la persona que ha sido objeto del uso de programas espía por parte
de las autoridades, incluyendo información sobre la fecha y la duración de la vigilancia,
la orden emitida para la operación de vigilancia, los datos obtenidos, la
información sobre cómo se han utilizado dichos datos y por qué agentes, la
fecha de supresión de los datos, así como el derecho y las modalidades
prácticas para interponer recursos administrativos y judiciales ante las
autoridades competentes; señala que dicha notificación debe enviarse sin demora
indebida, a menos que una autoridad judicial independiente conceda un
aplazamiento de la notificación, en casos en que la notificación inmediata
pondría en grave peligro el objetivo de la vigilancia;
i) derecho de notificación de las
personas no destinatarias a cuyos datos se haya accedido: una vez finalizado el
período para el que se autorizó la vigilancia, las autoridades deberán
notificar las actuaciones a las personas cuyo derecho a la intimidad se haya
visto gravemente afectado por el uso de programas espía, pero que no hayan sido
objeto de la operación; las autoridades deben notificar a estas personas que
accedieron a sus datos, facilitar información sobre la fecha y la duración de
la vigilancia, la orden emitida para la operación de vigilancia, los datos
obtenidos, la información sobre cómo se han utilizado dichos datos y por qué
agentes, así como la fecha de supresión de los datos; señala que dicha
notificación debe enviarse sin demora indebida, a menos que una autoridad
judicial independiente conceda un aplazamiento de la notificación, en casos en
que la notificación inmediata pondría en grave peligro el objetivo de la vigilancia;
j) una supervisión posterior
eficaz, vinculante e independientes del uso del programa espía, cuyos órganos
responsables deben disponer de todos los medios y competencias necesarios para
ejercer una supervisión significativa, que deberá combinarse con un control
parlamentario en el que participen varios partidos, con una autorización
adecuada y con acceso pleno a la información suficiente para determinar que la
vigilancia se llevó a cabo de manera legal y proporcional, y que la supervisión
parlamentaria de la información confidencial sensible debe facilitarse mediante
la infraestructura, los procesos y las habilitaciones de seguridad necesarios;
independientemente de la definición o delimitación del concepto de seguridad
nacional, los organismos nacionales de supervisión deben ser competentes para
actuar respecto a todo el ámbito de la seguridad nacional;
k) los principios fundamentales
del procedimiento debido y la supervisión judicial deben ser esenciales para el
régimen en el que se enmarcan los programas espía de vigilancia;
l) un recurso judicial
significativo para aquellos que hayan sido objetivo directo e indirecto, y que
aquellas personas que aleguen haberse visto afectadas negativamente por la
vigilancia deban tener acceso a vías de recurso a través de un organismo
independiente; pide, por tanto, que se introduzca un deber de notificación para
las autoridades estatales, que incluya plazos adecuados para la notificación,
en virtud del cual la comunicación se produzca una vez que haya cesado la
amenaza para la seguridad;
m) las vías de recurso deben ser
efectivas, tanto de hecho como de Derecho, y deben ser conocidas y accesibles;
hace hincapié en que dichas vías de recurso requieren una investigación rápida,
exhaustiva e imparcial por parte de un organismo de supervisión independiente,
y que este organismo debe tener acceso, conocimientos especializados y
capacidades técnicas para gestionar todos los datos pertinentes a fin de poder
determinar si la evaluación en materia de seguridad de una persona realizada
por las autoridades es fiable y proporcionada; en los casos en que se hayan
verificado los usos abusivos, deberán aplicarse sanciones adecuadas de carácter
penal o administrativo, de conformidad con la legislación nacional pertinente
de los Estados miembros;
n) la mejora del acceso gratuito
de las personas objeto de estas actuaciones al conocimiento técnico
especializado en esta fase, ya que la mayor disponibilidad y asequibilidad de
los procesos tecnológicos, como el análisis forense, permitiría a dichas
personas presentar casos más sólidos en los tribunales y mejoraría la
representación de las mismas en los órganos jurisdiccionales mediante el
desarrollo de las capacidades tecnológicas de la representación legal y el
poder judicial para asesorar mejor a estas personas, identificar violaciones, y
mejorar la supervisión y la rendición de cuentas por el uso abusivo de
programas espía;
o) el refuerzo de los derechos de
defensa y el derecho a un juicio justo garantizando que los acusados de delitos
tengan autorización y la capacidad para comprobar la exactitud, autenticidad,
fiabilidad e incluso la legalidad de las pruebas utilizadas en su contra y, por
lo tanto, rechazar cualquier aplicación general de las normas nacionales sobre
el secreto de la defensa;
p) durante la vigilancia, las
autoridades deben suprimir todos los datos que sean irrelevantes a efectos de
la investigación autorizada y, una vez finalizadas la vigilancia y la
investigación para las que se concedió la autorización, las autoridades deben
suprimir los datos, además de cualquier documento relacionado, como las notas
que se hayan tomado durante ese período, y tal supresión debe registrarse y ser
auditable;
q) la información pertinente que
se obtiene mediante programas espía solo debe ser accesible para las
autoridades a las que se les conceda permiso y únicamente con el propósito de
llevar a cabo una operación; este acceso debe limitarse a un período
determinado según lo especificado en el proceso judicial;
r) deben establecerse normas
mínimas para los derechos de las personas en los procesos penales sobre la
admisibilidad de las pruebas recopiladas con la ayuda de programas espía; debe
incluirse en el Derecho procesal penal la posibilidad de que se genere
información falsa o manipulada como resultado de la utilización de programas
espía (suplantación de identidad);
s) los Estados miembros deben
notificarse mutuamente en caso de vigilancia de ciudadanos o residentes de otro
Estado miembro o de un número móvil de un operador de otro Estado miembro;
t) debe incluirse un marcador en
el programa informático de vigilancia para que los organismos de supervisión
puedan identificar inequívocamente al responsable de su utilización en caso de
sospecha de uso indebido; la firma obligatoria para cada uso de un programa
espía debe constar de una etiqueta individual para la autoridad que actúa, el
tipo de programa espía utilizado y un número de caso anonimizado;
33. Pide a los Estados miembros
que lleven a cabo consultas públicas con las partes interesadas, garanticen la
transparencia del proceso legislativo e incluyan normas y garantías de la Unión
al redactar nueva legislación sobre el uso y la venta de programas espía;
34. Hace hincapié en que solo
pueden comercializarse en el mercado interior, desarrollarse o utilizarse en la
Unión aquellos programas espía que estén diseñados de manera que permitan y
faciliten su funcionalidad de conformidad con el marco legislativo, conforme a
lo dispuesto en el apartado 32; afirma que tal Reglamento sobre la
comercialización de programas espía que establece un «Estado de Derecho desde
el diseño» basado en el artículo 114 del TFUE debe conceder a los
ciudadanos de la Unión un alto nivel de protección; considera injustificable
que, mientras el Reglamento sobre productos de doble uso ha proporcionado a los
ciudadanos de países no pertenecientes a la UE protección contra las
exportaciones de programas espía con origen en la Unión desde 2021, no se
ofrezca ninguna protección equivalente a los ciudadanos de la UE;
35. Considera que las empresas de
la UE pueden vender, y los Estados miembros adquirir, únicamente tecnología de
interceptación y extracción, y no «servicios de piratería informática», que
incluyen el suministro de apoyo técnico, operativo y metodológico a la
tecnología de vigilancia, y permite al proveedor acceder a una cantidad
desproporcionada de datos que es incompatible con los principios de
proporcionalidad, necesidad, legitimidad, legalidad y adecuación; pide a la
Comisión que formule una propuesta legislativa a este respecto;
36. Subraya que los programas
espía solo pueden comercializarse para ser adquiridos y utilizados por las
autoridades públicas, con arreglo a una lista cerrada, cuyas instrucciones
incluyen investigaciones de delitos o la protección de la seguridad nacional
para lo cual es posible autorizar el uso de programas espía; considera que las
agencias de seguridad solo deben utilizar programas espía cuando se hayan
aplicado todas las recomendaciones formuladas por la Agencia de los Derechos
Fundamentales (31);
37. Destaca la obligación de
utilizar una versión del programa espía diseñada de forma que minimice el
acceso a todos los datos almacenados en un dispositivo, y de manera que limite
el acceso a los datos al mínimo estrictamente necesario para los fines de la
investigación autorizada;
38. Concluye que, cuando un
Estado miembro ha adquirido programas espía, la adquisición debe poder ser
auditada por un organismo de auditoría independiente e imparcial con la
habilitación adecuada;
39. Subraya que todas las
entidades que comercializan programas espía en el mercado interior deben
cumplir estrictos requisitos de diligencia debida, y las empresas que solicitan
ser proveedores en un proceso de contratación pública deben someterse a un
proceso de investigación que incluye la respuesta de la empresa a las
violaciones de los derechos humanos cometidas con sus programas informáticos y
la determinación de si la tecnología se basa en datos recopilados en prácticas
de vigilancia antidemocráticas y abusivas; subraya que las autoridades
nacionales de supervisión competentes deben informar anualmente a la Comisión
sobre el cumplimiento;
40. Subraya que las empresas que
ofrecen tecnologías o servicios de vigilancia a los agentes estatales deben
revelar a las autoridades nacionales de supervisión competentes la naturaleza
de las licencias de exportación;
41. Subraya que los Estados
miembros deben establecer un período de incompatibilidad que impida
temporalmente a los antiguos empleados de organismos o agencias gubernamentales
trabajar para empresas de programas espía;
Necesidad de definir
límites respecto a la seguridad nacional
42. Considera con preocupación
los casos de invocación injustificada de la «seguridad nacional» para
justificar el despliegue y el uso de programas espía y garantizar un secreto
absoluto y la falta de rendición de cuentas; acoge favorablemente la declaración
de la Comisión, en consonancia con la jurisprudencia del TJUE (32) de
que una mera referencia a la seguridad nacional no puede interpretarse como una
excepción ilimitada de la aplicación de la legislación de la UE y debe exigir
una justificación clara, e insta a la Comisión a que haga un seguimiento de
dicha declaración en los casos en los que existan indicios de uso abusivo; considera
que, en una sociedad democrática y transparente que se atenga al Estado de
Derecho, tales limitaciones en nombre de la seguridad nacional constituirán la
excepción más que la regla;
43. Considera que el concepto de
seguridad nacional debe contrastarse con el ámbito más restringido que atañe a
la seguridad interior, según el cual esta última tiene un alcance más amplio,
incluida la prevención de riesgos para los ciudadanos y, en particular, la
aplicación del Derecho penal;
44. Lamenta las dificultades
derivadas de la falta de una definición jurídica común de la seguridad nacional
en la que se establezcan criterios para determinar qué régimen jurídico se
aplica en materia de seguridad nacional, así como de una delimitación clara de
la zona en la que puede aplicarse dicho régimen especial;
45. Considera que el uso de
programas espía constituye una limitación de los derechos fundamentales;
considera asimismo que, cuando un concepto se utilice en un contexto jurídico
que conlleve la transferencia de derechos y la imposición de obligaciones (y,
en particular, limitaciones de los derechos fundamentales de las personas), el
concepto debe ser claro y previsible para todas las personas afectadas por el
mismo; recuerda que la Carta prevé que toda limitación de los derechos
fundamentales de conformidad con el artículo 52, apartado 1, debe
fijarse por ley; considera, por tanto, que es necesario que la «seguridad
nacional» se defina con claridad; subraya que, independientemente de la
demarcación precisa, el ámbito de la seguridad nacional debe someterse a una
supervisión independiente, vinculante y efectiva en su totalidad;
46. Destaca que, si las
autoridades invocan motivos de seguridad nacional como justificación del uso de
programas espía, deben demostrar el cumplimiento del Derecho de la Unión,
incluido el respeto de los principios de proporcionalidad, necesidad,
legitimidad, legalidad y adecuación, además del marco establecido en el
apartado 29; destaca que la justificación debe ser de fácil acceso y ponerse
a disposición de un organismo nacional de control para su evaluación;
47. Reitera, en este contexto,
que todos los Estados miembros firmaron el Convenio para la protección de las
personas con respecto al tratamiento automatizado de datos de carácter
personal, que establece normas y obligaciones para la protección de las
personas en lo que respecta al tratamiento de datos personales, incluso con
fines de seguridad nacional; señala que el Convenio 108+ es un marco europeo
vinculante para el tratamiento de datos por parte de los servicios de
inteligencia y seguridad; insta a todos los Estados miembros a que ratifiquen
este Convenio sin demora y a que introduzcan sus normas en la legislación
nacional y actúen en consecuencia en lo que atañe a la seguridad nacional;
48. Hace hincapié en que las
excepciones y restricciones a un número limitado de disposiciones del Convenio
solo se permiten cuando son conformes con los requisitos a los que se alude en
el artículo 11 del Convenio, lo que significa que, al aplicar el Convenio
108+, cada excepción y restricción específica debe estar prevista por ley, ha
de respetar la esencia de los derechos y libertades fundamentales, y debe
justificar que «constituye una medida necesaria y proporcionada en una sociedad
democrática» por alguno de los motivos legítimos enumerados en el
artículo 11 (33),
y que tales excepciones y restricciones no deben interferir en la «revisión y
supervisión independientes y efectivas con arreglo a la legislación nacional de
la Parte respectiva»;
49. Señala asimismo que el
Convenio 108+ hace hincapié en que la supervisión «tendrá facultades de
investigación e intervención»; considera que una revisión y supervisión
eficaces implican unos poderes vinculantes cuando el impacto en los derechos
fundamentales es mayor, especialmente en las fases de acceso, análisis y
almacenamiento del tratamiento de datos personales;
50. Considera que la falta de
competencias vinculantes de los organismos de supervisión en el ámbito de la
seguridad nacional es incompatible con el criterio establecido en el Convenio
108+ de que esto «constituye una medida necesaria y proporcionada en una
sociedad democrática»;
51. Señala que el Convenio 108+
contempla un número muy limitado de excepciones con respecto a su
artículo 15, pero no las considera, en particular, en lo que respecta a
los apartados 2 [obligaciones de sensibilización], 3 [consulta sobre medidas
legislativas y administrativas], 4 [solicitudes y reclamaciones de
particulares], 5 [independencia e imparcialidad], 6 [recursos necesarios para
el desempeño eficaz de las funciones], 7 [informes periódicos], 8
[confidencialidad], 9 [posibilidad de recurso] y 10 [ausencia de competencias
respecto a los organismos que actúan en el ejercicio de su capacidad judicial];
Mejora de la aplicación y
el cumplimiento de la legislación vigente
52. Pone de relieve las
deficiencias de los marcos jurídicos nacionales y la necesidad de una mejor
aplicación de la legislación vigente de la Unión a fin de abordar estas
deficiencias; identifica las siguientes leyes de la Unión como pertinentes,
pero, con demasiada frecuencia incorrectamente adoptadas o aplicadas: la Directiva
antiblanqueo, la Directiva sobre protección de datos en el ámbito penal de la
Unión, las normas en materia de contratación pública, el Reglamento sobre
productos de doble uso, la jurisprudencia (sentencias sobre vigilancia y
seguridad nacional) y la Directiva sobre denunciantes; pide a la Comisión que
investigue las deficiencias en la aplicación y el cumplimiento e informe al
respecto, y que presente una hoja de ruta para corregirlas a más tardar el
1 de agosto de 2023;
53. Opina que la aplicación adecuada
y el cumplimiento estricto del marco jurídico de la Unión en materia de
protección de datos son fundamentales, y en particular de la Directiva sobre
protección de datos en el ámbito penal, el Reglamento general de protección de
datos y la Directiva sobre la privacidad y las comunicaciones electrónicas;
considera igualmente importante la plena aplicación de las sentencias
pertinentes del TJUE, que siguen pendientes en varios Estados miembros;
recuerda que la Comisión desempeña un papel clave a la hora de hacer cumplir el
Derecho de la UE y garantizar su aplicación uniforme en toda la Unión, y que
debe hacer uso de todas las herramientas disponibles, incluidos los
procedimientos de infracción en casos de incumplimiento persistente;
54. Pide que el Arreglo de
Wassenaar se convierta en un acuerdo vinculante para todos los participantes,
con el fin de convertirlo en un tratado internacional;
55. Pide que Chipre e Israel se
conviertan en Estados participantes del Arreglo de Wassenaar; recuerda a los Estados
miembros que se debe hacer todo lo posible por procurar que Chipre e Israel se
adhieran al Arreglo de Wassenaar;
56. Resalta que el Arreglo de
Wassenaar debe incluir un marco de derechos humanos que incluya la concesión de
licencias de tecnologías de programas espía, evalúe y revise el cumplimiento de
las empresas que producen dichas tecnologías y que los participantes prohíban
la compra de tecnologías de vigilancia por parte de Estados que no forman parte
del Acuerdo;
57. Subraya que, a la luz de las
revelaciones en materia de programas espía, la Comisión y los Estados miembros
deben llevar a cabo una investigación exhaustiva de las licencias de
exportación concedidas para el uso de estos programas en virtud del Reglamento
sobre productos de doble uso, y la Comisión debe compartir los resultados de
esta evaluación con el Parlamento;
58. Subraya que son necesarias la
trazabilidad y la rendición de cuentas de las exportaciones de programas espía,
y recuerda que las empresas de la Unión solo deben poder exportar programas
espía que demuestren suficientes propiedades de trazabilidad para garantizar
que siempre pueda atribuirse la responsabilidad;
59. Hace hincapié en que la
Comisión debe comprobar periódicamente y aplicar adecuadamente el Reglamento
refundido sobre productos de doble uso para evitar la búsqueda del régimen de
exportación más ventajoso en toda la Unión, como ocurre actualmente en Bulgaria
y Chipre, y en que la Comisión debe disponer de los recursos adecuados para
esta tarea;
60. Pide a la Comisión que
garantice una capacidad de personal suficiente para las unidades responsables
de la supervisión y el cumplimiento del Reglamento sobre productos de doble
uso;
61. Pide que se modifique el
Reglamento sobre productos de doble uso a fin de aclarar en su artículo 15
que los permisos de exportación de productos de doble uso no deben concederse
cuando los productos estén o puedan estar destinados a la represión interna o a
la comisión de graves violaciones de los derechos humanos y del Derecho
internacional humanitario; solicita la plena ejecución de los controles en
materia de derechos humanos y diligencia debida en el proceso de concesión de
licencias y otras mejoras, como la reparación de las víctimas de la vulneración
de los derechos humanos y la notificación transparente de la diligencia debida
aplicada;
62. Pide que se modifique el
Reglamento sobre productos de doble uso a fin de garantizar que se prohíba el
tránsito en los casos en que las mercancías estén o puedan estar destinadas a la
represión interna o a la comisión de violaciones graves de los derechos humanos
y del Derecho internacional humanitario;
63. Subraya que, en una futura
modificación del Reglamento sobre productos de doble uso, las autoridades
nacionales designadas como responsables de la aprobación y denegación de las
licencias de exportación de productos de doble uso deben presentar informes
detallados que incluyan información sobre los productos de doble uso en
cuestión; el número de licencias solicitadas; el nombre del país de
exportación; una descripción de la empresa exportadora y si esta empresa es
filial; una descripción del usuario final y del destino; el valor de la
licencia de exportación; y el motivo por el que se ha aprobado o denegado la
licencia de exportación; hace hincapié en que estos informes deben publicarse
trimestralmente; aboga por la creación de una comisión parlamentaria permanente
específica con acceso a información clasificada de la Comisión, en aras de la
supervisión parlamentaria;
64. Hace hincapié en que, en una
futura modificación del Reglamento sobre productos de doble uso, debe
suprimirse la excepción a la obligación de informar a la Comisión por motivos
de sensibilidad comercial, de defensa, de política exterior o de seguridad
nacional; considera, en cambio, que, para evitar que terceros países dispongan
de información sensible, la Comisión puede decidir clasificar determinada
información en su informe anual;
65. Subraya que la definición de
productos de cibervigilancia en el Reglamento refundido sobre productos de
doble uso no puede interpretarse de manera restrictiva, sino que debe incluir
todas las tecnologías en este ámbito, como los equipos de interceptación o
interferencia de telecomunicaciones móviles; programas informáticos de intrusión;
sistemas o equipos de vigilancia de las comunicaciones en red a través de IP;
programas informáticos especialmente diseñados o modificados para el
seguimiento o el análisis por parte de las fuerzas y cuerpos de seguridad;
equipos láser de detección acústica; herramientas forenses que extraen datos
brutos de un dispositivo informático o de comunicaciones y eluden los controles
de «autenticación» o autorización del dispositivo; sistemas o equipos
electrónicos diseñados para la vigilancia y el control del espectro
electromagnético con fines de inteligencia militar o de seguridad; y vehículos
aéreos no tripulados que puedan efectuar labores de vigilancia;
66. Aboga por una legislación
europea adicional que exija a los actores empresariales que producen o exportan
tecnologías de vigilancia que incluyan marcos de derechos humanos y de
diligencia debida en consonancia con los Principios rectores de las Naciones
Unidas sobre las empresas y los derechos humanos;
Cooperación internacional
para proteger a los ciudadanos
67. Aboga por una estrategia
conjunta de la UE y los Estados Unidos en relación con los programas espía,
incluida una lista blanca y/o negra conjunta de proveedores de programas espía
cuyas herramientas hayan sido objeto de abusos, o corren el riesgo de serlo,
para atacar malintencionadamente a funcionarios del Gobierno, periodistas y la
sociedad civil, y que actúen contra la política exterior y de seguridad de la
Unión, por parte de Gobiernos extranjeros con un historial deficiente en materia
de derechos humanos, (no) autorizados a vender a las autoridades públicas,
criterios comunes para la inclusión de proveedores en cualquiera de las listas,
mecanismos para la elaboración de informes comunes UE-EE.UU. sobre la
industria, el ejercicio de un control común, obligaciones comunes de diligencia
debida para los proveedores y la tipificación como delito de la venta de
programas espía a agentes no estatales;
68. Pide que el Consejo
UE-EE. UU. de Comercio y Tecnología celebre consultas amplias y abiertas
con la sociedad civil para el desarrollo de la estrategia y las normas
conjuntas de ambas partes, incluidas las listas blancas y/o negras conjuntas;
69. Pide que se inicien
conversaciones con otros países, en particular con Israel, a fin de establecer
un marco para las licencias de comercialización y exportación de programas
espía, que incluya normas sobre transparencia, una lista de países elegibles en
cuanto a las normas en materia de derechos humanos y acuerdos de diligencia
debida;
70. Observa que, en comparación
con los Estados Unidos, donde NSO fue incluida rápidamente en una lista negra y
el Presidente de los Estados Unidos firmó una Orden Ejecutiva, en la que se
establece que dicha entidad no debe hacer un uso operativo de programas espía comerciales
que planteen riesgos significativos de contrainteligencia o seguridad para el
Gobierno de los Estados Unidos, o riesgos significativos de uso indebido por
parte de un gobierno o una persona extranjeros, no se han adoptado medidas
suficientes a escala de la UE en relación con las importaciones de programas
espía y la ejecución de las normas de exportación;
71. Concluye que las normas de
exportación de la Unión y su aplicación deben consolidarse al objeto de
proteger los derechos humanos en países no pertenecientes a la UE, y que deben
otorgarse las herramientas necesarias para aplicar sus disposiciones de manera
efectiva; recuerda que la UE debe procurar unir sus fuerzas con los Estados
Unidos y otros aliados en la regulación del comercio del programas espía y en
el uso de su poder de mercado combinado para forzar el cambio y establecer
normas sólidas de transparencia, trazabilidad y responsabilidad respecto al uso
de la tecnología de vigilancia, lo que debería culminar en una iniciativa en el
ámbito de las Naciones Unidas;
Vulnerabilidades de día
cero
72. Pide que se regule el
descubrimiento, la compartición, la corrección y la explotación de
vulnerabilidades, así como los procedimientos de divulgación, completando así
la base establecida por la Directiva (UE) 2022/2555 (34) (Directiva
SRI 2) y la propuesta de Ley de Ciberresiliencia (35);
73. Considera que los
investigadores deben poder investigar vulnerabilidades y compartir sus
resultados sin responsabilidad civil ni penal en virtud, entre otros, de la
Directiva sobre la ciberdelincuencia y la Directiva sobre derechos de autor;
74. Pide a los principales
actores de la industria que creen incentivos para que los investigadores
participen en la investigación de vulnerabilidades, invirtiendo en planes de
tratamiento de vulnerabilidades, prácticas de divulgación dentro de la
industria y con la sociedad civil, y que instauren programas de recompensa por
detección de errores;
75. Pide a la Comisión que
aumente su apoyo y financiación para las recompensas por detección de errores y
otros proyectos destinados a buscar y corregir vulnerabilidades en materia de
seguridad, y que establezca un enfoque coordinado respecto a la divulgación
obligatoria de vulnerabilidades entre los Estados miembros;
76. Pide que se prohíba la venta
de vulnerabilidades en un sistema para cualquier fin que no sea reforzar la
seguridad de dicho sistema, y que se establezca la obligación de divulgar los
resultados de toda investigación sobre vulnerabilidades de una manera
coordinada y responsable que promueva la seguridad pública y minimice el riesgo
de explotación de la vulnerabilidad;
77. Pide a las entidades públicas
y privadas que creen un punto de contacto públicamente disponible en el que las
vulnerabilidades puedan ser notificadas de una manera coordinada y responsable,
y que las organizaciones que reciban información sobre vulnerabilidades en su
sistema actúen inmediatamente para corregirlas; considera que, cuando se
disponga de un parche, se debe exigir a las organizaciones que adopten las
medidas apropiadas para garantizar un despliegue rápido y garantizado, como
parte de un proceso de divulgación coordinado y responsable;
78. Considera que los Estados
miembros deben asignar suficientes recursos financieros, técnicos y humanos a la
investigación en materia de seguridad y la corrección de vulnerabilidades;
79. Insta a los Estados miembros
a desarrollar procesos de equidad en materia de vulnerabilidad, establecidos
por ley, que determinen que, por defecto, las vulnerabilidades deben divulgarse
y no explotarse, y que toda decisión de desviarse de esta norma debe constituir
una excepción y ha de evaluarse con arreglo a los requisitos de necesidad y
proporcionalidad, incluida la consideración de si la infraestructura afectada
por la vulnerabilidad es utilizada por una gran proporción de la población, y
debe estar sujeta a una supervisión estricta por parte de un organismo de
supervisión independiente, así como a procedimientos y decisiones
transparentes;
Redes de telecomunicaciones
80. Subraya que la licencia de
cualquier proveedor de servicios del que se determine que facilita el acceso
ilícito a la infraestructura de señalización móvil nacional o internacional en
todas las generaciones (actualmente, 2G a 5G) debe revocarse;
81. Hace hincapié en que los
procesos que permiten que agentes malintencionados creen nuevos números de
teléfono procedentes de todo el mundo deben regularse mejor a fin de que las
actividades ilícitas resulten más difíciles de ocultar;
82. Subraya la necesidad de que
los proveedores de telecomunicaciones se aseguren de que tienen la capacidad de
detectar un posible uso indebido del acceso, el control o el uso final efectivo
de la infraestructura de señalización obtenido por terceros mediante acuerdos
comerciales o de otra índole en el Estado miembro en el que operan;
83. Pide a los Estados miembros
que velen por que las autoridades nacionales competentes, de conformidad con
las disposiciones de la Directiva SRI 2, evalúen el nivel de resiliencia de los
proveedores de telecomunicaciones frente a las intrusiones no autorizadas;
84. Insta a los proveedores de
telecomunicaciones a emprender acciones firmes y demostrables para mitigar las
diversas formas de emulación sin autorización de la originación del tráfico de
telecomunicaciones por un elemento de red con el fin de acceder a los datos o
el servicio que estaba destinado al usuario legítimo, y otras actividades que
impliquen la manipulación de las operaciones normales de los elementos e
infraestructuras de redes móviles con fines de vigilancia por parte de agentes
malintencionados, incluidos agentes de nivel estatal, así como grupos
delictivos;
85. Pide a los Estados miembros
que adopten medidas para garantizar que los agentes estatales no pertenecientes
a la Unión que no respeten los derechos fundamentales no controlen la
infraestructura estratégica, ni puedan servirse de su uso final efectivo, ni
influyan en las decisiones relacionadas con la misma dentro de la Unión,
incluida la infraestructura de telecomunicaciones;
86. Pide a todos los Estados
miembros que den prioridad a una mayor inversión en la protección de
infraestructuras críticas, como los sistemas nacionales de telecomunicaciones,
para abordar las lagunas existentes en la protección contra las violaciones de
la privacidad, las fugas de datos y las intrusiones no autorizadas, con el fin
de defender los derechos fundamentales de los ciudadanos;
87. Pide a las autoridades
nacionales competentes que promuevan activamente el refuerzo de las capacidades
de los proveedores, así como de las capacidades de respuesta, con el fin de
apoyar mejor la identificación de las personas objeto de actuaciones ilícitas,
la notificación y la comunicación de incidentes, y de este modo, ofrecer una
garantía continua y cuantificable y la atenuación de la explotación de las
brechas de seguridad por parte de los agentes malintencionados nacionales y de
países no pertenecientes a la UE;
Privacidad y comunicaciones
electrónicas
88. Pide que se adopte
rápidamente el Reglamento sobre la privacidad y las comunicaciones electrónicas
de un modo que refleje plenamente la jurisprudencia sobre restricciones en
materia de seguridad nacional y la necesidad de evitar el uso indebido de las
tecnologías de vigilancia, y que refuerce el derecho fundamental a la
privacidad, así como que prevea garantías sólidas y una aplicación eficaz;
señala que el alcance de la interceptación lícita no debe ir más allá de la
Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas;
89. Pide la protección de todas
las comunicaciones electrónicas, el contenido y los metadatos contra el uso
indebido de datos personales y comunicaciones privadas por parte de empresas
privadas y autoridades gubernamentales; señala que las herramientas digitales
de seguridad desde el diseño, como el cifrado de extremo a extremo, no deben
debilitarse;
90. Pide a la Comisión que evalúe
la aplicación por parte de los Estados miembros de la Directiva sobre la
privacidad y las comunicaciones electrónicas en toda la Unión y que incoe
procedimientos de infracción cuando se produzcan vulneraciones;
El papel de Europol
91. Toma nota de que en una carta
de Europol al presidente de la Comisión PEGA de abril de 2023 se informa a
dicha Comisión de que Europol se puso en contacto con Grecia, Hungría,
Bulgaria, España y Polonia para constatar si existía alguna investigación penal
en curso o prevista u otras pesquisas en virtud de las disposiciones aplicables
de la legislación nacional, que pudiera ser respaldada por Europol; subraya que
ofrecer asistencia a los Estados miembros no constituye el inicio, la
realización o la coordinación de una investigación penal tal como se establece
en el artículo 6;
92. Pide a Europol que haga pleno
uso de las nuevas competencias que le confiere el artículo 6,
apartado 1 bis del Reglamento (UE) 2022/991, que le permitirían
proponer a las autoridades competentes de los Estados miembros afectados que
inicien, lleven a cabo o coordinen una investigación, cuando proceda; señala que,
de conformidad con el artículo 6, corresponde a los Estados miembros
rechazar tal propuesta;
93. Insta a todos los Estados
miembros a comprometerse con el Parlamento Europeo y el Consejo a procurar la
participación de Europol en las investigaciones sobre las denuncias de uso
ilegítimo de programas espía a escala nacional, en particular cuando se haya
formulado una propuesta con arreglo al artículo 6,
apartado 1 bis del Reglamento (UE) 2022/991;
94. Pide a los Estados miembros
que creen en el seno de Europol un registro de operaciones policiales
nacionales que impliquen el uso de programas espía, dentro del cual cada
operación se identifique mediante un código, y que el uso de estos programas
por parte de los gobiernos se incluya en el informe de evaluación de la amenaza
de la delincuencia organizada en internet que Europol elabora anualmente;
95. Considera que debe iniciarse
una reflexión sobre la función de Europol en los casos en los que las
autoridades nacionales no investiguen o se nieguen a investigar y existan
amenazas claras para los intereses y la seguridad de la UE;
Políticas de desarrollo de
la Unión
96. Pide a la Comisión y al SEAE
que apliquen mecanismos de control más rigurosos para garantizar que la ayuda
al desarrollo de la Unión, incluida la donación de tecnología de vigilancia y
la formación en el despliegue de programas informáticos de vigilancia, no
financie ni facilite herramientas y actividades que puedan menoscabar los
principios de la democracia, la buena gobernanza, el Estado de Derecho y el respeto
de los derechos humanos, o que supongan una amenaza para la seguridad
internacional o para la seguridad esencial de la Unión y sus miembros; observa
que las evaluaciones de la Comisión sobre el cumplimiento del Derecho de la
Unión, en particular del Reglamento financiero, deben contener criterios de
control específicos y mecanismos de ejecución para evitar tales abusos,
incluida la posible suspensión temporal de proyectos específicos si se detecta
una vulneración de estos principios;
97. Pide a la Comisión y al SEAE
que incluyan en todas las evaluaciones de impacto en los derechos humanos y
fundamentales un procedimiento de seguimiento del posible uso abusivo de la
vigilancia, que tenga plenamente en cuenta el artículo 51 de la Carta en
el plazo de un año [tras la publicación de las recomendaciones de la PEGA];
subraya que este procedimiento debe presentarse al Parlamento y al Consejo y
que esta evaluación de impacto debe llevarse a cabo antes de cualquier
provisión de apoyo a países no pertenecientes a la UE;
98. Pide al SEAE que informe
sobre el uso indebido de programas espía contra defensores de los derechos
humanos en el informe anual sobre los derechos humanos y la democracia de la
Unión;
Normativa financiera de la
Unión
99. Destaca que debe reforzarse
el respeto de los derechos humanos por parte del sector financiero; subraya que
las recomendaciones de los Principios Rectores de las Naciones Unidas 10+ deben
transponerse al Derecho de la Unión y que la Directiva sobre diligencia debida
debe aplicarse plenamente al sector financiero, a fin de garantizar el respeto
de la democracia, los derechos humanos y el Estado de Derecho en dicho sector;
100. Manifiesta su preocupación
por las implicaciones de la resolución del TJUE sobre la Directiva (UE)
2018/843 relativa a la prevención de la utilización del sistema financiero para
el blanqueo de capitales o la financiación del terrorismo (36),
por la que se declara inválida la información sobre la titularidad real de las
sociedades y otras entidades jurídicas establecidas en un Registro de la
Titularidad Real (UBO) nacional y de acceso público (37);
subraya que, teniendo en cuenta la resolución del TJUE, la futura Directiva
debe permitir la máxima accesibilidad pública posible, de modo que resulte más
difícil ocultar las compras o ventas de programas espía a través de
representantes y empresas de intermediación;
Seguimiento de las
resoluciones del Parlamento
101. Pide un seguimiento urgente
de la Resolución del Parlamento Europeo, de 12 de marzo de 2014,
sobre el programa de vigilancia de la Agencia Nacional de Seguridad de los
EE. UU., los órganos de vigilancia de varios Estados miembros y su impacto
en los derechos fundamentales de los ciudadanos de la Unión y en la cooperación
transatlántica en materia de justicia y asuntos de interior; recalca que las
recomendaciones formuladas en dicha Resolución deben aplicarse con carácter de
urgencia;
102. Subraya que, a pesar de que
la supervisión de las actividades de los servicios de inteligencia debe basarse
tanto en la legitimidad democrática (marco jurídico sólido, autorización ex
ante y verificación ex post) como en una capacidad técnica
y unos conocimientos especializados adecuados, la mayoría de los órganos de
supervisión actuales de la UE y los Estados Unidos carecen marcadamente de
ambos, en particular de capacidades técnicas;
103. Invita, como ya hiciera en
el caso de Echelon, a todos los parlamentos nacionales que aún no lo hayan
hecho a que establezcan un control coherente de las actividades de inteligencia
por parte de parlamentarios u organismos especializados con potestad legal de
investigación; hace un llamamiento a los parlamentos nacionales para que
garanticen que dichos comités u organismos de control dispongan de recursos,
pericia técnica y medios legales suficientes, incluido el derecho a realizar
visitas in situ, para que puedan controlar los servicios de inteligencia
de manera efectiva;
104. Pide que se cree un Grupo de
Alto Nivel para proponer, de manera transparente y en colaboración con los
parlamentos, recomendaciones y otras medidas que se deban tomar con miras a una
mejora del control democrático, incluido el control parlamentario, de los
servicios de inteligencia y a una mayor colaboración en materia de supervisión
en la UE, en particular por lo que respecta a su dimensión transfronteriza;
105. Considera que dicho Grupo de
Alto Nivel debería:
a) definir las directrices o
normas mínimas europeas por lo que se refiere al control (ex ante y
ex post) de los servicios de inteligencia sobre la base de las mejores
prácticas y recomendaciones existentes de organismos internacionales (por
ejemplo, las Naciones Unidas y el Consejo de Europa), incluida la cuestión de
que los organismos de supervisión sean considerados terceros a tenor de la
«norma de la tercera parte» o el principio de control por el emisor, en
relación con el control y la rendición de cuentas de la inteligencia procedente
de países extranjeros;
b) desarrollar criterios para una
mejor transparencia a partir del principio general de acceso a la información y
de los llamados «Principios de Tshwane» (38);
106. Tiene intención de organizar
una conferencia con los organismos nacionales de control, ya sean
parlamentarios o independientes;
107. Solicita a los Estados
miembros que elaboren un código de buenas prácticas para mejorar el acceso de
sus organismos de control a la información sobre las actividades de
inteligencia (que incluya información clasificada e información de otros
servicios) y establezcan la facultad para llevar a cabo visitas in situ,
un conjunto sólido de poderes de interrogación, recursos y conocimientos
técnicos adecuados, independencia estricta frente a sus respectivos gobiernos y
la obligación de informar a sus parlamentos respectivos;
108. Pide a los Estados miembros
que desarrollen mecanismos de cooperación entre los organismos de control;
109. Solicita a la Comisión que
presente una propuesta de procedimiento de habilitación de seguridad de la
Unión para todos los titulares de cargos públicos de la UE, ya que el sistema
actual, que se basa en la habilitación de seguridad por el Estado miembro del
que se tiene nacionalidad, tiene unos requisitos y una duración de los
procedimientos distintos dentro de los sistemas nacionales, lo que conlleva un
tratamiento diferente de los diputados y de su personal dependiendo de su
nacionalidad;
110. Recuerda las disposiciones
del Acuerdo interinstitucional entre el Parlamento Europeo y el Consejo sobre
la transmisión al Parlamento Europeo y la gestión por el mismo de la
información clasificada en posesión del Consejo sobre asuntos distintos de los
pertenecientes al ámbito de la política exterior y de seguridad común, que
deberían emplearse para mejorar el control a nivel de la UE;
Programas de investigación
de la Unión
111. Pide que se implanten
mecanismos de control más rigurosos y eficaces a fin de garantizar que los
fondos de investigación de la Unión no financian ni facilitan instrumentos,
incluidos programas espía y herramientas de vigilancia, que vulneren los
valores de la Unión; observa que las evaluaciones sobre el cumplimiento del
Derecho de la Unión deben contener criterios de control específicos a fin de
evitar tales abusos; pide que se ponga fin a los fondos de investigación de la
Unión destinados a entidades que estén o hayan estado involucradas en la
facilitación directa o indirecta de violaciones de derechos humanos mediante
herramientas de vigilancia;
112. Destaca que la financiación
de la Unión para la investigación, como los acuerdos de Horizonte Europa con
países no pertenecientes a la UE, no debe utilizarse para contribuir al
desarrollo de programas espía y tecnologías equivalentes;
Laboratorio tecnológico de
la UE
113. Pide a la Comisión que
inicie, sin demora, la creación de un instituto de investigación
interdisciplinario europeo gestionado de forma independiente, centrado en la
investigación y el desarrollo en el nexo entre las tecnologías de la
información y la comunicación, los derechos fundamentales y la seguridad;
subraya que este instituto debe trabajar con expertos, académicos y
representantes de la sociedad civil, y estar abierto a la participación de
expertos e instituciones de los Estados miembros;
114. Incide en que este instituto
contribuiría a una mejor concienciación, atribución y rendición de cuentas
dentro y fuera de Europa, así como a expandir la base de talentos europeos y
nuestra comprensión de cómo los proveedores de programas espía desarrollan,
mantienen, venden y prestan sus servicios a terceros;
115. Considera que el instituto
debe encargarse de descubrir y exponer el uso ilícito de programas informáticos
con fines de vigilancia ilícita, prestar asistencia jurídica y tecnológica
gratuita y accesible, también en lo que ataña al cribado de teléfonos
inteligentes para aquéllos que sospechen que han sido objeto de ataques de
programas espía y a la provisión de las herramientas necesarias para la
detección de tales programas, llevar a cabo investigaciones analíticas forenses
para investigaciones judiciales, y elaborar informes periódicos sobre la
utilización y el uso indebido de programas espía en la UE, teniendo en cuenta
las actualizaciones tecnológicas; considera que este informe debe publicarse
anualmente y transmitirse a la Comisión, al Parlamento y al Consejo;
116. Recomienda que la Comisión
cree el Laboratorio Tecnológico de la UE en estrecha colaboración con el Equipo
de respuesta a emergencias informáticas para las instituciones, órganos y
agencias de la UE (CERT-UE) y la ENISA, y que consulte a los expertos
pertinentes al constituir dicho Laboratorio con el fin de aprender de las
buenas prácticas en el ámbito académico;
117. Subraya la importancia de
garantizar una financiación adecuada para el Laboratorio Tecnológico de la UE;
118. Recomienda que la Comisión
presente un sistema de certificación para el análisis y la autenticación de
material forense;
119. Pide a la Comisión que apoye
la capacidad de la sociedad civil en todo el mundo para reforzar la resiliencia
frente a los ataques de programas espía y la prestación de asistencia y
servicios a los ciudadanos;
El Estado de Derecho
120. Subraya que el impacto del
uso ilegal de programas espía es mucho más pronunciado en los Estados miembros
en los que las autoridades que, en condiciones normales, se encargarían de
investigar, ofrecer una reparación a las personas espiadas y garantizar la
rendición de cuentas, son captadas por el Estado y que, cuando existe una
crisis del Estado de Derecho y la independencia del poder judicial se encuentra
en peligro, no se puede confiar en las autoridades nacionales;
121. Pide, por tanto, a la
Comisión que garantice una aplicación efectiva de su conjunto de instrumentos
al servicio del Estado de Derecho, en particular:
a) la puesta en marcha de un
seguimiento más exhaustivo del Estado de Derecho, incluidas las recomendaciones
específicas por país relacionadas con el uso ilícito de programas espía por
parte de los Estados miembros, en el Informe anual sobre el Estado de Derecho
de la Comisión, la evaluación de la capacidad de respuesta de las instituciones
estatales a la provisión de reparación a las personas espiadas, y la ampliación
del alcance de su Informe anual sobre el Estado de Derecho, y la inclusión de
todos los retos para la democracia, el Estado de Derecho y los derechos
fundamentales, formulados en el artículo 2 del TUE, como ha solicitado
reiteradamente el Parlamento;
b) emprender de manera proactiva
y agrupar procedimientos de infracción contra los Estados miembros por
deficiencias del Estado de Derecho, como las amenazas a la independencia del
poder judicial y al funcionamiento efectivo del servicio policial y de la
fiscalía en el contexto de la cooperación policial y judicial en materia penal;
Fondo para litigios de la
Unión
122. Pide la creación, sin
demoras indebidas, de un fondo de la Unión destinado a litigios que cubra los
costes procesales reales y permita a las personas objeto de programas espía
buscar una reparación adecuada, incluidos los daños y perjuicios por el uso
ilegal de programas espía en su contra, en consonancia con la acción
preparatoria aprobada por el Parlamento en 2017, con el fin de crear un fondo
de la Unión para el apoyo financiero en casos de litigios relativos a
violaciones de la democracia, el Estado de Derecho y los derechos
fundamentales;
Instituciones de la UE
123. Expresa su preocupación por
la falta de acción de la Comisión hasta la fecha, y le insta a que haga pleno
uso de todas sus competencias como guardiana de los Tratados y a que lleve a
cabo una investigación exhaustiva y en profundidad sobre el uso indebido y el
comercio de programas espía en la Unión;
124. Insta a la Comisión a que
efectúe una investigación completa sobre todas las denuncias y sospechas de uso
de programas espía contra sus cargos y funcionarios, y a que informe al
Parlamento y a las autoridades policiales competentes cuando sea necesario;
125. Pide a la Comisión que
establezca un grupo de trabajo especial, en el que participen las comisiones
electorales nacionales, dedicado a la protección de las elecciones europeas de
2024 en toda la Unión; recuerda que no solo la injerencia extranjera, sino
también la interna, suponen una amenaza para los procesos electorales europeos;
subraya que, en el caso de un uso indebido de herramientas de vigilancia
generalizadas, como Pegasus, las elecciones pueden verse afectadas;
126. Toma nota de que la Comisión
PEGA no recibió una respuesta colectiva del Consejo a las preguntas del
Parlamento Europeo a cada uno de los Estados miembros hasta la víspera de la
publicación del proyecto de informe, aproximadamente cuatro meses después de
las cartas del Parlamento; expresa su consternación por la falta de acción del
Consejo Europeo y del Consejo de Ministros, y aboga por una cumbre específica
del Consejo Europeo, habida cuenta de la magnitud de la amenaza para la
democracia en Europa;
127. Pide al Consejo de la UE que
aborde los avances relacionados con el uso de programas espía y su repercusión
en los valores consagrados en el artículo 2 del TUE durante las audiencias
organizadas en virtud del artículo 7, apartado 1, del TUE;
128. Pide al Consejo que invite
permanentemente al Parlamento Europeo a las reuniones del Comité de Seguridad
del Consejo, tal como se establece en el artículo 17, apartado 2, del
Reglamento de Seguridad del Consejo 2013;
129. Opina que el Parlamento debe
tener plenos poderes de investigación, incluidos un mejor acceso a la
información clasificada y no clasificada, la facultad de citar a testigos,
exigir formalmente a los testigos que presten declaración bajo juramento y
facilitar la información solicitada en plazos específicos; reitera la posición
del Parlamento en su propuesta de 23 de mayo de 2012 de
Reglamento del Parlamento Europeo relativo a las modalidades de ejercicio del
derecho de investigación del Parlamento Europeo y por el que se deroga la
Decisión 95/167/CE, Euratom, CECA del Parlamento Europeo, del Consejo y de la
Comisión (39),
pide al Consejo que emprenda acciones de inmediato respecto a esta propuesta de
Reglamento para permitir que el Parlamento Europeo goce de un derecho de investigación
adecuado;
130. Reconoce los esfuerzos del
Parlamento en la detección de infecciones por programas espía; considera, sin
embargo, que debe reforzarse la protección del personal, teniendo en cuenta los
privilegios y las inmunidades de quienes han sido espiados; recuerda que
cualquier ataque a los derechos políticos de los diputados es un ataque a la
independencia y soberanía de la institución, así como a los derechos de los
votantes;
131. Pide a la Mesa del
Parlamento Europeo que adopte un protocolo para los casos en que diputados o
personal de la institución se hayan convertido en objetivo directo o indirecto
de programas espía, y subraya que todos los casos deben ser notificados por el
Parlamento Europeo a las autoridades policiales responsables; subraya que el
Parlamento debe prestar asistencia jurídica y técnica en tales casos;
132. Decide adoptar la iniciativa
de poner en marcha una conferencia interinstitucional en la que el Parlamento,
el Consejo y la Comisión busquen reformas de la gobernanza que refuercen la
capacidad institucional de la Unión para responder adecuadamente a los ataques
contra la democracia y el Estado de Derecho desde dentro y para garantizar que
la Unión disponga de métodos supranacionales eficaces para hacer cumplir los
Tratados y el Derecho derivado en caso de incumplimiento por parte de los
Estados miembros;
133. Pide la rápida adopción de
la propuesta de la Comisión de un Reglamento del Parlamento Europeo y del
Consejo por el que se establecen medidas destinadas a garantizar un elevado
nivel común de ciberseguridad en las instituciones, los órganos y los
organismos de la Unión (COM(2022)0122) y la inmediata aplicación y estricta
ejecución de la misma con posterioridad, con el fin de reducir el riesgo de
infecciones por programas espía de los dispositivos y sistemas utilizados por
los políticos y el personal de las instituciones de la UE;
134. Pide a la UE que suscriba el
Convenio 108+;
135. Pide a la Defensora del
Pueblo Europeo que inicie debates en el marco de la Red Europea de Defensores
del Pueblo sobre el impacto del uso indebido de la vigilancia generalizada en
los procesos democráticos y los derechos de los ciudadanos; pide a la Red que
elabore recomendaciones sobre una reparación efectiva y significativa en toda
la Unión;
Acción legislativa
136. Pide a la Comisión que
presente sin demora una propuesta legislativa basada en la presente
recomendación;
137. Encarga a su presidenta que
transmita la presente Recomendación a los Estados miembros, al Consejo, a la
Comisión y a Europol.
(1) DO
L 201 de 31.7.2002, p. 37.
(2) DO
L 119 de 4.5.2016, p. 1.
(3) DO
L 119 de 4.5.2016, p. 89.
(4) DO
L 218 de 14.8.2013, p. 8.
(5) DO L 206 de 11.6.2021,
p. 1.
(6) DO L 129 I
de 17.5.2019, p. 13.
(7) DO L 174 I
de 18.5.2021, p. 1.
(8) DO
L 278 de 8.10.1976, p. 5.
(9) DO
L 113 de 19.5.1995, p. 1.
(10) DO
L 98 de 25.3.2022, p. 72.
(11) DO
L 156 de 19.6.2018, p. 43.
(12) Sentencia
del Tribunal de Justicia (Gran Sala) de 22 de noviembre de 2022,
C-37/20, WM y Sovim SA contra Luxembourg
Business Registers, ECLI:EU:C:2022:912.
(13) https://www.ohchr.org/Documents/Publications/GuidingPrinciplesBusinessHR_SP.pdf
(14) https://www.coe.int/en/web/commissioner/-/highly-intrusive-spyware-threatens-the-essence-of-human-rights.
(15) https://edps.europa.eu/system/files/2022-02/22-02-15_edps_preliminary_remarks_on_modern_spyware_en_0.pdf.
(16) DO
C 378 de 9.11.2017, p. 104.
(17) https://www.ohchr.org/en/press-releases/2023/02/spain-un-experts-demand-investigation-alleged-spying-programme-targeting.
(18) https://www.venice.coe.int/webforms/documents/default.aspx?pdffile=CDL-AD(2015)010-e.
(19) https://www.venice.coe.int/webforms/documents/default.aspx?pdffile=CDL-AD(2016)012-e.
(20) Ley
de Control de las Exportaciones de Defensa 5766-2007, Ministerio de Defensa
israelí.
(21) https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=COM%3A2022%3A434%3AFIN&qid=1662029750223.
(22) https://www.echr.coe.int/documents/fs_mass_surveillance_eng.pdf
(23)
«La vigilancia y los derechos humanos», informe del Relator Especial sobre la
promoción y protección del derecho a la libertad de opinión y de expresión,
A/HRC/41/35, 2019.
(24) Oficina
del Alto Comisionado de las Naciones Unidas para los Derechos Humanos, «Spyware
scandal: UN experts call for moratorium on sale of “life threatening”
surveillance tech» (El escándalo de los programas espía: expertos de las
Naciones Unidas abogan por una moratoria respecto a la venta de la tecnología
de vigilancia que representa una «amenaza para la vida»).
(25) https://www.wto.org/spanish/tratop_s/gproc_s/gpa_1994_s.htm.
(26) https://research-and-innovation.ec.europa.eu/news/all-research-and-innovation-news/israel-joins-horizon-europe-research-and-innovation-programme-2021-12-06_en.
(27) https://webgate.ec.europa.eu/dashboard/extensions/CountryProfile/CountryProfile.html?Country=Israel
https://elbitsystems.com/products/comercial-aviation/innovation-rd/.
(28) Reglamento
(UE) 2021/947 del Parlamento Europeo y del Consejo, de 9 de junio
de 2021, por el que se establece el Instrumento de Vecindad, Cooperación
al Desarrollo y Cooperación Internacional — Europa Global, por el que se
modifica y deroga la Decisión n.o 466/2014/UE del Parlamento
Europeo y del Consejo y se derogan el Reglamento (UE) 2017/1601 del
Parlamento Europeo y del Consejo y el Reglamento (CE, Euratom) n.o 480/2009
del Consejo (DO
L 209 de 14.6.2021, p. 1).
(29) Decisión
en el asunto 1904/2021/MHZ, disponible en
https://www.ombudsman.europa.eu/en/decision/en/163491.
(30) Agencia
de los Derechos Fundamentales, Surveillance by intelligence services: fundamental
rights safeguards and remedies in the EU (Vigilancia a cargo de los servicios
de inteligencia: salvaguardias y tutela de los derechos fundamentales en la
Unión Europea) — Volumen II (Resumen), 2017,
https://fra.europa.eu/en/publication/2017/surveillance-intelligence-services-fundamental-rights-safeguards-and-remedies-eu.
(31) https://fra.europa.eu/sites/default/files/fra_uploads/fra-2017-surveillance-intelligence-services-vol-2-summary_en.pdf.
(32) Sentencia
de 6 de octubre de 2020, asunto C-623/17, Privacy
International contra Secretary of State for Foreign and
Commonwealth Affairs and Others, ECLI:EU:C:2020:790, apartado 44 y
sentencias de 6 de octubre de 2020, asuntos acumulados C-511/18,
C-512/18 y C-520/18, La Quadrature du Net y otros contra Premier
ministre y otros, ECLI:EU:C:2020:791, apartado 99: «el mero hecho de
que se haya adoptado una medida nacional con el fin de proteger la seguridad
nacional no puede dar lugar a la inaplicabilidad del Derecho de la Unión ni
dispensar a los Estados miembros de la necesaria observancia de dicho Derecho».
(33) Esta
evaluación está prevista en la jurisprudencia del TEDH que impone la carga de
la prueba al Estado/legislador. La jurisprudencia pertinente del TEDH
incluye: Roman Zakharov c. Rusia (solicitud
n.o 47143/06), 4 de diciembre de 2015; Szabó
y Vissy c. Hungría (solicitud n.o 37138/14),
12 de enero de 2016; Big Brother Watch y otros c. el
Reino Unido (solicitudes n.o 58170/13, 62322/14 y
24969/15), 25 de mayo de 2021 y Centrum för rättvisa c. Suecia (solicitud
n.o 35252/08), 25 de mayo de 2021.
(34) Directiva
(UE) 2022/2555 del Parlamento Europeo y del Consejo, de
14 de diciembre de 2022, relativa a las medidas destinadas a
garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la
que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva
(UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (DO
L 333 de 27.12.2022, p. 80).
(35) Propuesta
de Reglamento del Parlamento Europeo y del Consejo, de
15 de septiembre de 2022, relativo a los requisitos horizontales
de la ciberseguridad para los productos con elementos digitales y por el que se
modifica el Reglamento (UE) 2019/1020, (COM(2022)0454).
(36) Sentencia
de 22 de noviembre de 2022, asuntos acumulados C-203/20 y C-698/20,
ECLI:EU:C:2022:912.
(37) TJUE.
Comunicado de prensa n.o 188/22, Sentencia del Tribunal en los
asuntos acumulados C-37/20 y C-601/20.
(38) The
Global Principles on National Security and the Right to Information (Los
principios mundiales relativos a la seguridad nacional y el derecho a la
información), junio de 2013.
(39) DO
C 264 E de 13.9.2013, p. 41.
ELI: http://data.europa.eu/eli/C/2024/494/oj
ISSN 1977-0928 (electronic edition)
