Dictamen del Supervisor Europeo de Proteccion de Datos sobre la Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (CE) nº 515/97 del Consejo relativo a la asistencia mutua entre las autoridades administrativas de los Estados miembros y a la colaboracion entre estas y la Comision con objeto de asegurar la correcta aplicacion de las reglamentaciones aduanera y agraria [COM (2006) 866 final] (2007/C 94/02) - Diario Oficial de la Unión Europea, de 28-04-2007

TIEMPO DE LECTURA:

  • Ámbito: Doue
  • Boletín: Diario Oficial de la Unión Europea Número 111
  • Fecha de Publicación: 28/04/2007

EL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS,

Visto el Tratado constitutivo de la Comunidad Europea y, en particular, su artículo 286,

Vista la Carta de los Derechos Fundamentales de la Unión Europea y, en particular, su artículo 8,

Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1),

Visto el Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos (2) personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos y, en particular, su artículo 41,

Vista la solicitud de dictamen, de conformidad con el artículo 28, apartado 2, del Reglamento (CE) nº 45/2001, recibida de la Comisión Europea el 4 de enero de 2007;

HA ADOPTADO EL SIGUIENTE DICTAMEN:

INTRODUCCIÓN

1. El objetivo de la Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (CE) nº 515/97 del Consejo, de 13 de marzo, relativo a la asistencia mutua entre las autoridades administrativas de los Estados miembros y a la colaboración entre éstas y la Comisión con objeto de asegurar la correcta aplicación de las reglamentaciones aduanera y agraria (3) (en lo sucesivo « la Propuesta ») es doble. Por un lado, la Propuesta tiene por objeto adaptar el Reglamento (CE) nº 515/97, actualmente vigente, a las nuevas competencias comunitarias en materia de cooperación aduanera. Por otro, la Propuesta pretende intensificar la cooperación y el intercambio de información entre los Estados miembros y entre estos y la Comisión.

2. A fin de lograr ambos objetivos, la Propuesta, entre otras cosas, aumenta las prestaciones del actual Sistema de Información Aduanera (SIA) y crea una base europea de datos adicional destinada a reflejar los movimientos de los contenedores y de los medios de transporte, así como de las mercancías y de las personas afectadas (« base europea de datos »).

3. Además, la Propuesta introduce en el Derecho comunitario el fichero de identificación de los expedientes de investigaciones aduaneras (FIDE), creado originariamente por los Estados miembros de conformidad con el Título VI del Tratado de la Unión Europea)

(4). A partir de ahora, FIDE entrará tanto en el marco de las actuaciones de la Comunidad Europea como en el del tercer pilar, y existirá el correspondiente instrumento jurídico para regular el funcionamiento de FIDE en cada situación. La misma situación se aplica a SIA (5). En la práctica, esto se logra creando dos bases de datos, que se ponen a disposición de distintas entidades, con el fin de garantizar su uso con fines diferentes (primer y tercer pilar).

I. Consulta al Supervisor Europeo de Protección de Datos

4. La Comisión envió la Propuesta al Supervisor Europeo de Protección de Datos (SEPD) y solicitó su parecer, de conformidad con el artículo 28, apartado 2, del Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (en lo sucesivo, Reglamento (CE) nº 45/2001). El SEPD recibió esta solicitud el 4 de enero de 2007.

5. En vista de la obligatoriedad del artículo 28.2 del Reglamento (CE) nº 45/2001, debe hacerse referencia a esta solicitud en el preámbulo de la Propuesta, antes de los considerandos. A tal fin, el SEPD sugiere que se utilice la misma expresión que usan otras propuestas legislativas para referirse a los dictámenes del SEPD (6), y que dice: « Previa consulta al Supervisor Europeo de Protección de Datos ».

(1) DO L 281 de 23.11.1995, p. 31.

(2) DO L 8 de 12.1.2001, p. 1.

(3) DO L 82 de 22.3.1997, p. 1.

(4) El Protocolo, establecido de conformidad con el artículo 34 del Tratado de la Unión Europea, modifica, en lo relativo a la creación de un fichero de identificación de los expedientes de investigación aduanera, el Convenio relativo a la utilización de la tecnología de la información a efectos aduaneros, Convenio SIA. El Protocolo se adoptó por un Acto del Consejo de 8 de mayo de 2003 (DO C 139 de 13.6.2003, p. 1).

(5) La base jurídica para la base de datos intergubernamental es el

Convenio SIA, Convenio establecido sobre la base del artículo K. 3 del Tratado de la Unión Europea, relativo a la utilización de la tecnología de la información a efectos aduaneros (DO C 316 de 27.11.1995, 34).

(6) Véase la Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (CE) nº 1073/1999 relativo a las investigaciones efectuadas por la Oficina Europea de Lucha contra el Fraude (OLAF) { SEC(2006) 638 } /* COM/2006/0244 final

COD 2006/0084.

II. Importancia de la Propuesta desde la perspectiva de la protección de datos

6. La creación y mejora de los diversos instrumentos para intensificar la cooperación comunitaria, tales como el SIA, el FIDE y la base europea de datos, suponen un aumento de la parte de la información personal que será recogida en primer lugar por las autoridades administrativas de los Estados miembros y luego intercambiada entre ellas y, en algunos casos, incluso con terceros países. La información personal sometida a tratamiento y compartida en fases sucesivas puede incluir información relativa a infracciones, supuestas o confirmadas, en materia aduanera o agraria. Desde ese punto de vista, la Propuesta tiene importantes efectos en lo que respecta a la protección de los datos personales. Por otra parte, su importancia aumenta si se piensa en el tipo de datos recogidos y compartidos, en especial las sospechas sobre la participación de individuos en actos ilícitos, y, en general, en la finalidad y el resultado del tratamiento.

7. En vista del efecto de la Propuesta en la protección de datos personales, el SEPD considera pertinente incluir en el presente dictamen un análisis de las repercusiones de la Propuesta sobre la protección de los derechos y las libertades individuales en relación con el tratamiento de datos personales.

III. Principales elementos de la Propuesta y observaciones iniciales

8. Los principales elementos de la Propuesta con relevancia desde el punto de vista de la protección de datos son los siguientes: i) La creación de una base europea de datos (artículos 18 bis y 18 ter); ii) las disposiciones por las que se actualizan las normas sobre el SIA (artículos 23 a 37), y iii) las normas que presentan el FIDE como una base de datos comunitaria (artículos 41 bis a 41 quinto). También son significativas otras disposiciones, como las que se refieren a la supervisión de la protección de datos, que se han modificado para tomar en consideración la adopción del Reglamento (CE) nº 45/2001 (artículos 37, 42, y 43).

9. El SEPD recuerda que su anterior dictamen sobre la propuesta de Reglamento relativo a la asistencia mutua administrativa a fin de proteger los intereses financieros de la Comunidad contra el fraude y cualquier otra actividad ilegal (7) indicaba la necesidad de adaptar algunas de las disposiciones del Reglamento (CE) nº 515/97 del Consejo para ajustarlo a la nueva legislación de protección de datos aplicable a las instituciones de la UE, concretamente al Reglamento (CE) nº 45/2001. Por tanto, al SEPD se congratula por las modificaciones de la Propuesta que van en ese sentido.

10. El SEPD celebra asimismo ver que las disposiciones que presentan la base europea de datos y las que actualizan las normas sobre el SIA contienen salvaguardias para garantizar la protección de la información personal sobre los individuos y de su intimidad. El SEPD acoge con agrado también la decisión de incorporar el FIDE al ámbito del Derecho comunitario, es decir, de someterlo al Reglamento (CE) nº 45/2001.

11. El SEPD comprende la importancia de los objetivos que persigue la Propuesta, a saber, intensificar la cooperación entre los Estados miembros y entre éstos y la Comisión. Reconoce asimismo la necesidad de crear instrumentos o actualizar los existentes, tales como el SIA y el FIDE, para alcanzar esos objetivos. Además, le complace ver que en este intento, la Propuesta incluye salvaguardias de protección de datos que tienen en cuenta la actual legislación de protección de datos aplicable a las instituciones de la UE. No obstante, el SEPD considera que aún hay espacio para mejoras destinadas a garantizar la compatibilidad general de la Propuesta con el marco jurídico vigente en relación con la protección de datos y sobre la protección efectiva de los datos personales. Es con este fin que el SEPD hace las observaciones y sugerencias que figuran en la sección siguiente.

ANÁLISIS DE LA PROPUESTA

I. Creación de la base europea de datos

12. Según el artículo 18 bis, apartado 1, de la Propuesta, la Comisión creará y gestionará una base europea de datos con objeto de « [a] detectar los envíos de mercancías que puedan ser objeto de operaciones contrarias a las reglamentaciones aduanera y agraria, así como los medios de transporte ». La Comisión obtendrá la mayor parte de esos datos de los prestadores de servicios, públicos o privados, cuya actividad guarde relación con la cadena logística internacional o el transporte de mercancías. Los datos de la base podrán completarse « por medio de otras fuentes », según el artículo 18 bis, apartado 2, letra b). El artículo 18 bis, apartado 3, enumera los datos que pueden incorporarse a la base de datos e incluye una lista de los datos personales afectados (8). La Comisión pondrá los datos de la base a disposición de las autoridades pertinentes de los Estados miembros.

13. La Propuesta afirma que la creación de una base de datos será útil para detectar operaciones que presenten riesgos de irregularidades en relación con la reglamentación aduanera y agraria. No obstante, el SEPD considera que, como debería ocurrir cada vez que se crea una base centralizada de datos personales, debe evaluarse adecuada y cuidadosamente la necesidad de dicha base de datos y, una vez creada, hay que establecer las salvaguardias específicas teniendo en cuenta los principios de protección de datos, con el fin de evitar situaciones que afecten indebidamente a la protección de los datos personales.

(7) Dictamen del Supervisor Europeo de Protección de Datos sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la asistencia mutua administrativa a fin de proteger los intereses financieros de la Comunidad contra el fraude y cualquier otra actividad ilegal [COM(2004) 509 final de 20 de julio de 2004] (DO C 301 de 7.12.2004, p. 4).

(8) El artículo 18 bis, apartado 3, letra c) limita los datos a « los apellidos, apellidos de soltera, nombres, sobrenombres, fecha y lugar de nacimiento, nacionalidad, sexo y domicilio de los propietarios, los expedidores, los destinatarios, los transitarios, los transportistas y demás intermediarios o personas que intervengan en la cadena logística internacional y en el transporte de mercancías ».

14. El SEPD considera que la Propuesta no aporta argumentos suficientes en apoyo de la necesidad de crear la base de datos. Para garantizar que no se creen más que las bases de datos realmente necesarias, el SEPD pide a la Comisión que realice una valoración adecuada de la necesidad de crear esta base de datos y que le informe de sus conclusiones.

15. Por lo que respecta a las salvaguardias para la protección de los datos, el SEPD observa que la Propuesta dispone ciertas salvaguardias, pero considera, no obstante, que hay que adoptar otras medidas más.

I. 1. Aplicación del Reglamento (CE) nº 45/2001

16. El SEPD advierte que, habida cuenta de que la Comisión va a crear y gestionar la base europea de datos, y de que ésta contendrá datos personales, deberá aplicarse el Reglamento (CE) nº 45/2001, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos. Por consiguiente, la Comisión, en su papel de responsable del tratamiento de los datos de la base (9), debe garantizar el cumplimiento de dicho Reglamento.

17. Considerando que, a la luz de lo antedicho, el Reglamento (CE) nº 45/2001 es en sí aplicable a la creación y la gestión de la base, el SEPD estima, por motivos de coherencia, que sería adecuado añadir un apartado que recuerde su aplicación. En efecto, el SEPD observa que el artículo 34 de la Propuesta, relativo al Sistema de Información Aduanera (SIA) y al fichero de identificación de los expedientes de investigaciones aduaneras (FIDE), contiene una disposición que recuerda la aplicabilidad del Reglamento (CE) nº 45/2001. Para ser consecuente con este enfoque, debería incluirse una disposición similar en relación con la base de datos. Por consiguiente, el SEPD sugiere que el artículo 18.1 contenga un nuevo apartado que, a semejanza de la redacción del artículo 34, rece como sigue: « La Comisión considerará la base europea de datos como un sistema de tratamiento de datos personales sujeto al Reglamento (CE) nº 45/2001 ».

18. El SEPD observa que el artículo 18 bis. 2

b) de la Propuesta confirma la aplicabilidad del Reglamento (CE) n. o 45/2001 a determinados usos de la base, en particular cuando la Comisión use la base para « cotejar los datos... indizarlos, completarlos ». A menos que se confirme mediante un enunciado general la aplicabilidad del Reglamento (CE) nº 45/2001 al conjunto de la base, incluidas las operaciones de tratamiento realizadas desde la creación hasta la gestión de la base, podría considerarse que cualquier otra actividad o fase del tratamiento que no se mencione expresamente en el artículo 18 bis. 2

b) no está cubierta por el Reglamento (CE) nº 45/2001. Esta es otra razón más en favor de la introducción del texto sugerido supra.

19. El SEPD recuerda que la Comisión, al dar cumplimiento al Reglamento (CE) nº 45/2001, tendrá, entre otras, la obligación de informar de esta circunstancia a personas cuyos nombres figuren en la base (10). En particular, hay que tener presente que ese derecho existe incluso si los datos personales introducidos en la base proceden de fuentes públicas. Por otra parte, habida cuenta de la finalidad de la base, la Comisión deberá atenerse a lo dispuesto en el artículo 27 del Reglamento(CE) nº 45/2001, según el cual el sistema, antes de ser puesto en práctica, estará sujeto a control previo por parte del Supervisor Europeo de Protección de Datos (11).

I. 2. Aplicación de las disposiciones nacionales que dan cumplimiento a la Directiva 95/46/CE

20. Según el artículo 18 bis. 2

c) de la Propuesta, la Comisión está facultada para poner los datos a disposición de las autoridades competentes de los Estados miembros. El SEPD observa que, mientras que esa transmisión está regulada por el Reglamento (CE) nº 45/2001, los usos ulteriores de los datos por parte de las autoridades de los Estados miembros se regirán por lo dispuesto en la Directiva 95/46/CE, aunque el artículo 18 bis. 2

c) parece querer expresar esta idea, como se expone más abajo, conviene mejorar su redacción para que la exprese con mayor claridad.

21. El artículo 18 bis. 2

c) dispone lo siguiente: « En el marco de la gestión de esa base de datos, la Comisión estará facultada para:

[] c) poner los datos de dicha base a disposición de las autoridades competentes mencionadas en el artículo 1, apartado 1, exclusivamente para cumplir los objetivos del presente Reglamento y siempre y cuando se respeten las disposiciones nacionales de aplicación de la Directiva 95/46/CE ». A juicio del SEPD, el artículo 18 bis. 2

c) no refleja adecuadamente la noción de que los ulteriores usos de los datos por las autoridades de los Estados miembros están regulados por las disposiciones nacionales de aplicación de la Directiva 95/46/CE. Para aportar mayor claridad sobre este extremo, el SEPD considera que habría que modificar la parte final del artículo 18 bis. 2

c) como sigue: « exclusivamente para cumplir los objetivos del presente Reglamento. Los usos ulteriores de los datos personales por parte de dichas autoridades se regirán por las disposiciones nacionales de aplicación de la Directiva 95/46/CE ». En todo caso, ese ulterior uso a nivel nacional tendrá que (9) Los responsables del tratamiento de los datos son las personas u organismos que determinan los fines y los medios del tratamiento de datos personales, tanto en el sector público como en el privado.

(10) Salvo si los proveedores de servicios que transmitan la información a la Comisión ya han informado de ello a las personas afectadas, de conformidad con las disposiciones nacionales de aplicación de la Directiva 95/46/CE.

(11) Las operaciones de tratamiento de datos sujetas a control previo del SEPD incluyen las enumeradas en el artículo 27 del Reglamento (CE) nº 45/2001

a) los tratamientos de datos relativos a la salud y los tratamientos de datos relativos a sospechas, infracciones, condenas penales o medidas de seguridad;

b) los tratamientos destinados a evaluar aspectos de la personalidad del interesado, como su competencia, rendimiento o conducta;

c) los tratamientos que permitan interconexiones entre datos tratados para fines diferentes, que no estén previstas en virtud de la legislación nacional o comunitaria;

d) los tratamientos destinados a excluir a personas de un derecho, una prestación o un contrato.

ser compatible con los fines para los que la Comisión pone los datos a disposición de las autoridades nacionales, a menos que se observen condiciones especiales (véanse los artículos 6.1 b) y 13.1 de la Directiva 95/46/CE).

I. 3. Observaciones adicionales

22. El SEPD apoya el enfoque adoptado en el artículo 18.4 de la Propuesta en el sentido de restringir los servicios de la Comisión facultados para tratar los datos personales contenidos en la base europea de datos, lo cual se ajusta a lo dispuesto en el artículo 22 del Reglamento (CE) nº 45/2001, que exige que el responsable del tratamiento ponga en práctica, entre otras cosas, medidas de carácter técnico y organizativo, por ejemplo para asegurarse de que la información sólo se pone a disposición en razón de una necesidad auténtica y garantizar un nivel adecuado de protección de los datos.

23. El segundo párrafo del artículo 18.4 dispone que los datos personales que no sean necesarios para alcanzar el objetivo perseguido se suprimirán o se harán anónimos de inmediato, y continúa diciendo que no podrán conservarse más de un año. El SEPD acoge favorablemente la obligación, en consonancia con lo dispuesto en el 4.1

e) del Reglamento, que especifica que los datos personales podrán ser conservados en una forma que permita la identificación de las personas afectadas durante un período no superior al necesario para la consecución de los fines para los que fueron recogidos o tratados ulteriormente.

24. Tal como lo exige el artículo 22 del Reglamento (CE) nº 45/2001, la base debe ser protegida de forma adecuada. Garantizar que se respeta un nivel óptimo de seguridad para la base es uno de los requisitos fundamentales para la protección de los datos personales almacenados en la base. Mientras que las disposiciones que regulan el Sistema de Información Aduanera prevén la aplicación de medidas específicas de seguridad, la Propuesta guarda silencio en lo que respecta a la base europea de datos. El SEPD estima que las cuestiones relativas a la seguridad de esta base deben ser objeto de normas administrativas complementarias que establezcan medias específicas que garanticen la confidencialidad de la información. Para la adopción de esas normas debe consultarse al SEPD.

II. Modificaciones de las disposiciones sobre el Sistema de Información Aduanera (SIA)

25. Los artículos 23 a 41 del Reglamento (CE) nº 515/97 del Consejo contienen las disposiciones para el establecimiento del Sistema de Información Aduanera, una base de datos gestionada por la Comisión, para uso de los Estados miembros y de la Comisión, con el fin es contribuir a prevenir, investigar y perseguir las operaciones que sean contrarias a las reglamentaciones aduanera o agraria.

II. 1. Ampliación de los posibles usos de los datos personales almacenados en el SIA

26. La Propuesta modifica algunas de las disposiciones iniciales sobre el establecimiento y funcionamiento del SIA. En particular, el artículo 25 amplía las categorías de datos personales que pueden almacenarse en el SIA y el artículo 27 amplía la lista de posibles usos de los datos personales almacenados, para incluir el análisis operativo, que permite, entre otras cosas, evaluar la fiabilidad de la fuente y de los propios datos, formular observaciones y recomendaciones para detectar otras operaciones y/o identificar a personas físicas o jurídicas. Por otra parte, el artículo 35.3 brinda la posibilidad de copiar el contenido del SIA en otros sistemas de tratamiento de datos en el marco de sistemas de gestión de los riesgos destinados a orientar los controles aduaneros nacionales o de un sistema de análisis operativo que permita orientar las medidas de coordinación a escala comunitaria.

27. Según la Propuesta, los usos adicionales antes apuntados son necesarios para contribuir a detectar y perseguir las operaciones que sean contrarias a las reglamentaciones aduanera o agraria. El SEPD no cuestiona la existencia de esas necesidades, pero considera que la Propuesta de la Comisión debería haber proporcionado una información más completa y unas razones más sólidas en apoyo de dicha necesidad.

28. El SEPD se congratula de que las modificaciones antes citadas vayan acompañadas de salvaguardias para la protección de los datos. En efecto, la Propuesta mantiene una lista cerrada de los datos personales que pueden incluirse en el SIA (artículo 25.1), lo que sólo podrá hacerse si existen « razones fundadas » de que la persona ha realizado, está realizando o pretende realizar operaciones ilegales (artículo 27.2). Además, según el artículo 25.3, no pueden incluirse datos sensibles (12) en el SIA. Además, el artículo 35.3 limita el número de personas facultadas para copiar el contenido del SIA para los fines establecidos en el mismo artículo y limita asimismo el tiempo en que pueden conservarse los datos copiados del SIA. Estas medidas se ajustan al principio relativo a la calidad de los datos enunciado en el artículo 4 del Reglamento (CE) nº 45/2001.

II. 2. Ámbito de aplicación del Reglamento (CE) nº 45/2001

29. El artículo 34 de la Propuesta tiene en cuenta la adopción del Reglamento (CE) nº 45/2001, aplicable al tratamiento de datos personales por las instituciones y los organismos comunitarios. En consecuencia, exige que la Comisión considere que el Reglamento (CE) nº 45/2001 es aplicable al SIA. El SEPD confirma que, en vista de que el SIA contiene datos personales y de que la Comisión tiene acceso a la base, respecto de la cual cumple la función de responsable del tratamiento, debe aplicarse ciertamente el Reglamento (CE) nº 45/2001. Por consiguiente, el SEPD acoge favorablemente esta modificación que refleja el marco jurídico actual en materia de protección de datos.

(12) Datos relativos al origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, ni datos relativos a la salud o la vida sexual.

30. El SEPD recuerda que, como consecuencia de la aplicación del artículo 27 del Reglamento (CE) nº 45/2001, y teniendo en cuenta que puede considerarse que la finalidad del SIA presenta riesgos específicos para los derechos y libertades de los interesados, él mismo debe realizar un control previo del sistema.

31. Además de la aplicabilidad del Reglamento (CE) nº 45/2001, el artículo 34 de la Propuesta mantiene la aplicabilidad simúltanea de las disposiciones nacionales por las que se da cumplimiento a la Directiva 95/46/CE. El SEPD considera que es el enfoque correcto, ya que las autoridades de los Estados miembros tienen acceso al SIA y también competencia para incluir y tratar ulteriormente los datos incluidos en el SIA. En suma, el SEPD considera que el control del SIA lo comparten la Comisión y los Estados miembros, que actúan como corresponsables del tratamiento de los datos del SIA.

II. 3. El SEPD como supervisor del SIA junto con las autoridades nacionales de protección de datos

32. Como consecuencia de la aplicabilidad del Reglamento (CE) nº 45/2001, el Supervisor Europeo de Protección de Datos es responsable de garantizar la aplicación del Reglamento en lo que respecta al SIA. Aunque algunos de los artículos de la Propuesta reflejan las competencias del SEPD, otros no lo hacen. En particular, el SEPD lamenta que algunas partes del artículo 37 que se ocupan de la supervisión no se hayan modificado como correspondía y pide a los legisladores que introduzcan las modificaciones que se describen a continuación.

33. El SEPD observa que el artículo 37.1 reconoce expresamente las competencias de las autoridades de los Estados miembros en la supervisión del SIA. Sin embargo, el artículo 37.1 no menciona las competencias equivalentes del SEPD de conformidad con el Reglamento (CE) nº 45/2001. Este problema resulta aún más visible en el artículo 37.3, que la Propuesta no modifica. El artículo 37.3 dispone: « La Comisión adoptará cualquier disposición dentro de sus servicios para garantizar un control de la protección de los datos personales que ofrezca garantías de un nivel equivalente a las resultantes del apartado 1 ». Dicho de otro modo, el artículo 37.3 confía la supervisión de la protección de los datos a « la Comisión ». Evidentemente, este artículo debería haberse modificado para reflejar el nuevo papel de supervisión del SEPD. En su formulación actual, el artículo 37.3 no tiene sentido. Para resolver este problema, debe modificarse el artículo 37.3 en los siguientes términos: « El Supervisor Europeo de Protección de Datos comprobará que el SIA cumple lo dispuesto en el Reglamento (CE) nº 45/2001 ».

34. Por otra parte, puesto que el SIA no se rige solamente por el Reglamento (CE) n. o 45/2001, sino también por las disposiciones nacionales de aplicación de la Directiva 95/46/CE, la supervisión del SIA compete tanto al SEPD como a las autoridades nacionales de protección de datos. Por último, las actividades de supervisión de las autoridades nacionales de control y del SEPD deberían estar coordinadas en cierto grado, a fin de garantizar un nivel suficiente de coherencia y eficacia general. Como se afirma en dictámenes anteriores del SEPD en relación con las bases de datos controladas por los Estados miembros de la UE y el SEPD « es necesario que la aplicación del Reglamento se haga de forma armonizada y que se intente alcanzar un enfoque común frente a problemas igualmente comunes. » (13).

35. Desgraciadamente, la Propuesta no dispone un procedimiento de coordinación para estructurar y mejorar la cooperación entre el SEPD y las autoridades nacionales de protección de datos. Para resolver esta situación, el SEPD cita como primera opción la inclusión de un nuevo apartado en el artículo 37, que trata de la supervisión de la protección de datos con el siguiente contenido: « Al menos una vez al año, el SEPD convocará una reunión con todas las autoridades nacionales de control a fin de abordar cuestiones relativas a la supervisión del SIA. Los miembros de las autoridades nacionales de protección de datos y el SEPD se denominarán ' autoridades de control' ».

36. Una solución que reflejaría mejor la superposición de niveles de supervisión, como se ha mencionado, sería dividir las disposiciones sobre la supervisión (artículo 37) en varias disposiciones, cada una dedicada a un nivel de supervisión, como se ha hecho, apropiadamente, en los instrumentos jurídicos recientemente adoptados por los que se establece el Sistema de Información de Schengen (SIS II). En particular, los artículos 44 a 46 del Reglamento (CE) nº 1987/2006 del Parlamento Europeo y del Consejo, de 20 de diciembre de 2006, relativo al establecimiento, funcionamiento y utilización del Sistema de Información de Schengen de segunda generación (SIS II) (14) ofrecen un sistema equilibrado de supervisión compartida entre las autoridades nacionales y el nivel de la UE, con coordinación de ambos niveles. El SEPD sugiere con énfasis que se establezca el mismo sistema de supervisión (con ligeros ajustes) para el SIA. En efecto, el SIA y el SIS II son comparables en gran medida, por lo que se refiere a la estructura de la supervisión.

37. El artículo 43.5 prevé que una formación ad hoc del comité a que se refiere el apartado 1 del artículo 43 (en lo sucesivo « comité de composición ad hoc ») se reúna periódicamente para examinar problemas del SIA relacionados con la protección de datos. El SEPD estima que no debe considerarse a esta formación ad hoc del comité como el órgano adecuado para ejercer la supervisión del SIA, ya que ésta es competencia exclusiva de las autoridades nacionales de los Estados miembros y del SEPD. La formación ad hoc presentada en el artículo 43.5 representa, de hecho, un comité de « comitología ».

(13) Dictamen de 19 de octubre de 2005 sobre tres Propuestas relativas al Sistema de Información de Schengen de segunda generación (SIS II) [COM (2005) 230 final, COM (2005) 236 final y COM (2005) 237 final] (DO C 91de 19.4.2006, p. 38); Dictamen de 23 de marzo de 2005 sobre la Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre el Sistema de información de visados (VIS) y el intercambio de datos sobre visados de corta duración entre los Estados miembros [COM (2004) 835 final] (DO C 181de 23.7.2005, p. 13).

(14) DO L 381de 28.12.2006, pp. 4 23.

38. No obstante, el SEPD considera que el comité con una formación ad hoc es un foro adecuado para examinar problemas de protección de datos relacionados con el funcionamiento del SIA. Por ello, el SEPD sugiere que se modifique la redacción del artículo 43.5, de modo que refleje el cometido y la función del comité con una formación ad hoc, según lo dispuesto en el artículo 43.5, como sigue: « El comité, junto con el grupo de control a que se refiere el artículo examinará todos los problemas relacionados con el funcionamiento del SIA que encuentren las autoridades de control. El comité se reunirá en su formación ad hoc al menos una vez al año ».

39. El SEPD desea también advertir al legislador de otra característica que comparten el SIA y el SIS II: ambos funcionan en el marco del primer y el tercer pilar simultáneamente, lo que entraña la existencia de dos bases jurídicas distintas para cada uno. El SIA se rige, respecto del tercer pilar, por el Convenio a que hace referencia el apartado 3 de este dictamen. Esto tiene varias consecuencias, entre ellas la estructura de la supervisión: la parte del SIA correspondiente al primer pilar es supervisada por el SEPD y las autoridades nacionales de protección de datos, mientras que la parte correspondiente al tercer pilar es supervisada por una Autoridad de Supervisión Común (integrada por representantes de las mismas autoridades nacionales). Este sistema de supervisión es bastante complicado, y puede provocar incongruencia e ineficacia. Ello ilustra las dificultades que entraña un entorno jurídico tan complejo como éste.

40. Merece la pena advertir que, en el marco del SIS II, el legislador europeo ha optado por racionalizar el modelo de supervisión, aplicando el mismo modelo de distintos niveles que se describe supra a los entornos del sistema correspondientes al primer y tercer pilar. Este planteamiento merece ciertamente ser tomado en consideración y el SEPD recomienda que se estudien más a fondo las oportunidades que representaría para una supervisión mejor y más coherente.

II. 4. Los derechos de las personas físicas

41. En la Propuesta, los derechos de las personas físicas en relación con la protección de sus datos personales, y en particular el derecho de acceso, se regulan en los artículos 36 y 37, que la Propuesta modifica en parte. El SEPD desearía tratar las tres cuestiones siguientes, relacionadas con el derecho de acceso: i) la legislación aplicable, según el artículo 36.1; ii) las limitaciones del derecho de acceso, según el artículo 36.2, y iii) el procedimiento de solicitud de acceso, según el artículo 37.2 de la Propuesta.

42. Legislación aplicable: El artículo 36.1, que la Propuesta deja inalterado, reconoce, de pasada, la aplicación de los derechos de las personas a la protección de sus datos y dispone que el derecho de acceso se regirá por la legislación de los Estados miembros o por las normas aplicables a la Comisión, dependiendo, respectivamente, de que los derechos se invoquen en un Estado miembro o en las instituciones de la UE. Este criterio refleja lo que se dijo anteriormente respecto del artículo 34 de la Propuesta, a saber, que la Comisión y los Estados miembros son corresponsables del tratamiento de los datos del SIA. El SEPD está de acuerdo con este planteamiento y celebra que la Propuesta haya mantenido el texto del artículo 36.1. En todo caso, está claro que esta disposición hace referencia implícitamente a la legislación nacional por la que se da cumplimiento a la Directiva 95/46/CE o al Reglamento (CE) n. o 45/2001. La legislación aplicable dependerá en cada caso de dónde se ejerzan los derechos.

43. Limitaciones del derecho de acceso: El segundo párrafo del artículo 36.2 dispone que « el acceso se denegará durante el período en que se lleven a cabo acciones de observación o de vigilancia discreta ». Por las razones que se exponen a continuación, el SEPD sería partidario de modificarlo para que figure « el acceso podrá denegarse » (en lugar de « el acceso se denegará »).

44. En virtud del Reglamento (CE) nº 45/2001, como principio general, las personas físicas pueden ejercer el derecho de acceso a sus datos personales. No obstante, el artículo 20 del Reglamento (CE) nº 45/2001 reconoce que ese derecho puede restringirse si se da alguna de las condiciones específicas que justifican la limitación. Dicho de otro modo, las personas físicas tienen en principio derecho de acceso, pero ese acceso puede limitarse. Por el contrario, el texto del artículo 36.2, « el acceso se denegará », no deja margen para valorar si el acceso puede concederse o no. Básicamente, eso significa que las personas físicas no gozan de ese derecho durante un determinado tiempo. No hay razón para que el planteamiento general del Reglamento (CE) nº 45/2001 no funcione en esta situación, sobre todo cuando el artículo 20 permite que se limite el acceso durante el periodo previsto en el artículo 36.2. En efecto, si la Comisión desea denegar el acceso, podrá acogerse al artículo 20, según el cual puede denegarse el acceso para salvaguardar una investigación.

45. El SEPD considera que la Propuesta debe formularse con el mismo planteamiento que el Reglamento (CE) nº 45/2001. No hacerlo entraría en contradicción con el marco general que prevé el acceso en virtud del Reglamento (CE) nº 45/2001. El problema puede resolverse con cambiar simplemente « se denegará » por « podrá denegarse ».

46. Procedimiento de solicitud de acceso: La Propuesta ha modificado el texto del artículo 37.2 del Reglamento (CE) nº 515/97, que trata del procedimiento para que una persona física presente una solicitud de acceso con el fin de obtener información acerca de si el SIA contenía información personal sobre ella. El nuevo artículo 37.2 reconoce a las personas físicas la posibilidad de presentar solicitudes de acceso al Supervisor Europeo de Protección de Datos y a las autoridades nacionales de control, dependiendo de si los datos fueron introducidos en el SIA por la Comisión o por un Estado miembro.

47. El SEPD celebra que esta modificación ajuste mejor el procedimiento mejor al actual marco jurídico sobre la protección de datos. Sin embargo, por las razones que se exponen a continuación, el SEPD considera que la competencia de los Estados miembros o de la Comisión no debería depender de qué entidad haya introducido los datos en el SIA. En primer lugar, el SEPD advierte que los interesados no sabrán, con toda probabilidad, qué entidad (la Comisión o un Estado miembro) ha introducido los datos en el SIA. Por consiguiente, no sabrán qué entidad es competente para ocuparse de su solicitud de acceso. El procedimiento para solicitar acceso se complicará si la persona interesada tiene que empezar por averiguar quién introdujo los datos. En segundo lugar, el SEPD considera que esta disposición contradice el criterio elegido en el artículo 36.1, según el cual el derecho de acceso se rige por la legislación de los Estados miembros o por las normas de protección aplicables en la Comisión, según que los derechos se hayan invocado en los Estados miembros o en las instituciones de la UE. Por ello, aunque sólo sea por coherencia con el artículo 36, la competencia respecto de las solicitudes de acceso debe depender de si el derecho de acceso ha sido invocado ante las autoridades nacionales de control o ante el SEPD.

48. Para resolver este problema, la frase « según si los datos han sido introducidos en el SIA por un Estado miembro o por la Comisión » deben sustituirse por « según si los derechos han sido invocados ante las autoridades nacionales de control o ante el SEPD ». Además, si se adopta este enfoque, tiene pleno sentido esta frase del apartado 37.2: « Si los datos hubieran sido introducidos por otro Estado miembro o por la Comisión, la comprobación se realizará en estrecha colaboración con la autoridad nacional de control de ese otro Estado miembro o con el Supervisor Europeo de Protección de Datos ».

II. 5. Intercambio de datos

49. La Propuesta no aporta elementos nuevos respecto del intercambio de datos personales con autoridades de terceros países. Esta cuestión se trata en el artículo 30.4 del Reglamento. El SEPD considera que este artículo hubiera debido modificarse para señalar la necesidad de que la Comisión (y no sólo los Estados miembros) adopte medidas especiales para garantizar la seguridad de esos datos al ser transmitidos o facilitados a servicios situados en terceros países. Igualmente, debe modificarse el artículo 30.4 para garantizar que se cumple la legislación aplicable a la transmisión de datos personales a terceros países.

III. Fichero de identificación de los expedientes de investigaciones aduaneras (FIDE)

50. Los artículos 41 bis, ter, quáter y quinto de la Propuesta enuncian las normas de funcionamiento del fichero de identificación de los expedientes de investigaciones aduaneras. El FIDE permite a las autoridades competentes comprobar si una persona o una empresa ha sido sometida a una investigación penal en algún Estado miembro.

51. El FIDE es un instrumento que ya existe y que los Estados miembros utilizan en el marco del tercer pilar (15). La finalidad del artículo 41 es, pues, establecer una base jurídica para el fichero de identificación de los expedientes de investigaciones aduaneras (FIDE) comunitarias, de lo cual el SEPD se congratula.

52. Dado que, según el artículo 41 bis, todas las disposiciones de la Propuesta aplicables al SIA se aplican también al FIDE, las observaciones recogidas en la sección II supra son igualmente válidas, mutatis mutandis, en el caso del FIDE.

III. 1. Aplicación del Reglamento (CE) nº 45/2001

53. El SEPD observa que, dado que la Comisión tiene competencia para el tratamiento de los datos contenidos en el FIDE, debe quedar claro que este último está incluido en el ámbito de aplicación del Reglamento (CE) nº 45/2001 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos. El SEPD considera que convendría que se recordara en el artículo 41 que el Reglamento (CE) nº 45/2001 es aplicable al FIDE, y que el SEPD tiene competencias de control que le facultan para supervisar y garantizar el cumplimiento de las disposiciones del Reglamento.

54. El SEPD recuerda que, al ser de aplicación el artículo 27 del Reglamento (CE) nº. 45/2001, y habida cuenta de la finalidad y las características de los datos que contiene el FIDE, cabe considerar que éste presenta riesgos específicos para los derechos y libertades de los interesados, y, por tanto, el SEPD ha de realizar un control preciso del sistema.

III. 2. Conservación de datos

55. El artículo 41 quinto establece plazos específicos para la conservación de los datos. A juicio del SEPD, los plazos fijados en dicho artículo son razonables.

56. No está clara cuál es la relación entre esta disposición y el artículo 33, relativo al SIA. Cabe suponer que el artículo 41 quinto tiene prioridad sobre la disposición referente a la misma cuestión aplicable al SIA, pero la Propuesta no lo indica expresamente. Sería útil incluir una disposición que aclare este punto.

III. 3. Actualización de la información registrada en el FIDE

57. El principio de calidad de los datos a que se refiere el artículo 4 del Reglamento (CE) n. o 45/2001 establece que los datos han de ser adecuados, pertinentes y no excesivos en relación con los fines para los que se recaben. Es evidente que la calidad de los datos personales sólo puede garantizarse si se controla regular y adecuadamente su exactitud. El SEPD considera satisfactoria la disposición del artículo 41 quinto que exige la supresión inmediata de los expedientes relativos a personas que hayan quedado libres de sospecha con arreglo a las disposiciones legales, reglamentarias y de procedimiento del Estado miembro suministrador.

58. Por otra parte, para garantizar que no se conserven en el FIDE datos innecesarios, el SEPD sugiere que se apliquen a dicho fichero algunas de las normas sobre conservación de datos definidas para el SIA en el artículo 33. Concretamente, el SEPD sugiere que se aplique al FIDE el artículo 33.1, que estipula que la necesidad de conservar los datos debe ser examinada anualmente por el partícipe en el SIA que haya proporcionado los datos. A tal fin, el SEPD sugiere que se añada lo siguiente después del apartado 2 del artículo 41 quinto: « La necesidad de conservar los datos será examinada anualmente, como mínimo, por el Estado miembro suministrador ».

(15) Fue creado mediante el Acto del Consejo, de 8 de mayo de 2003, por el que se aprueba un Protocolo que modifica el Convenio relativo a la utilización de la tecnología de la información a efectos aduaneros.

CONCLUSIONES

59. El SEPD se congratula de que se le haya consultado sobre la Propuesta, que prevé la creación o actualización de diversos sistemas en los que se almacenan datos personales: la base europea de datos, el Sistema de Información Aduanera (SIA) y el fichero de identificación de los expedientes de investigaciones aduaneras (FIDE), con el fin de fortalecer la cooperación y el intercambio de información entre los Estados miembros y entre éstos y la Comisión.

60. En lo que respecta a los aspectos de fondo, las conclusiones del SEPD son las siguientes:

La Propuesta no aporta argumentos que justifiquen de manera suficiente la necesidad de crear la base europea de datos. El SEPD pide a la Comisión que realice una valoración adecuada de la necesidad de crear esta base de datos y que le informe de sus conclusiones.

Convendría añadir en el artículo 18 bis, apartado 1, un nuevo párrafo que recuerde que la base europea de datos está incluida en el ámbito de aplicación del Reglamento (CE) nº 45/2001, que podría formularse como sigue: « La Comisión considerará la base europea de datos como un sistema de tratamiento de datos personales sujeto al Reglamento (CE) nº 45/2001 ».

Habría que aclarar que las disposiciones nacionales de aplicación de la Directiva 95/46/CE se aplican asimismo a toda utilización de la base europea de datos por los Estados miembros. El SEPD sugiere que se modifique como sigue el artículo 18 bis, apartado 2

c): « En el marco de la gestión de esa base de datos, la Comisión estará facultada para: [] c) poner los datos de dicha base a disposición de las autoridades competentes mencionadas en el artículo 1, apartado 1, exclusivamente para cumplir los objetivos del presente Reglamento. Toda utilización ulterior de los datos personales por parte de dichas autoridades se regirá por las disposiciones nacionales de aplicación de la Directiva 95/46/CE ».

La Propuesta no contiene indicación alguna acerca de las medidas de seguridad aplicables a la base europea de datos. El SEPD considera que sería oportuno añadir al artículo 18 bis, apartado 2, un nuevo párrafo que estipule que habrán de adoptarse normas administrativas complementarias que establezcan medidas específicas destinadas a garantizar la confidencialidad de la información. El SEPD debería ser consultado para la adopción de dichas normas.

La Propuesta no reconoce plenamente la función de supervisión del SEPD en lo que respecta al Sistema de Información Aduanera (SIA). Para resolver este problema, convendría modificar el artículo 37.2 de modo que estipule lo siguiente: « El Supervisor Europeo de Protección de Datos comprobará que el SIA cumple lo dispuesto en el Reglamento (CE) nº 45/2001 ».

Las actividades de vigilancia de las autoridades de control nacionales y del SEPD deberían estar coordinadas en cierta medida, a fin de garantizar que la super visión del SIA se haga con suficiente coherencia y de un modo globalmente eficaz. A tal fin, el SEPD sugiere, como primera opción, que se añada al artículo 37 un nuevo apartado del siguiente tenor: « Al menos una vez al año, el SEPD convocará una reunión con todas las autoridades nacionales de control a fin de abordar cuestiones relativas a la supervisión del SIA. Los miembros de las autoridades nacionales de protección de datos y el SEPD se denominarán ' autoridades de control' ». Sin embargo, considera que existe una solución más adecuada, que consistiría en aplicar el modelo, más desarrollado, que se ha adoptado recientemente para el Sistema de Información de Schengen de segunda generación (SIS II). En ese sentido, convendría modificar también el artículo 43.5 del siguiente modo: « El comité, junto con el grupo de control a que se refiere el artículo examinará todos los problemas relacionados con el funcionamiento del SIA que encuentren las autoridades de control a que se refiere el artículo 37. El comité se reunirá en su formación ad hoc al menos una vez al año ».

Con arreglo al artículo 36.2, párrafo segundo, relativo al acceso a los datos personales almacenados en el SIA, « se denegará el acceso » durante el período en que se lleven a cabo operaciones de observación, informe, análisis o investigación. Para garantizar la coherencia con el Reglamento (CE) nº 45/2001, el SEPD aboga por que la expresión « se denegará el acceso » sea sustituida por « se podrá denegar el acceso ».

Por lo que respecta al procedimiento de solicitud de acceso, y con independencia de que éste deba solicitarse al SEPD o a las autoridades de control nacionales, el SEPD considera demasiado trabajoso el sistema que se propone en el artículo 37.2, a saber: que la determinación de la autoridad competente dependa de si es un Estado miembro o bien la Comisión quien ha introducido los datos en el SIA. Este procedimiento resulta además contradictorio con otros artículos de la Propuesta. Para resolver este problema, convendría, en el artículo 37.2, sustituir la cláusula « según si los datos han sido introducidos en el SIA por un Estado miembro o por la Comisión » por « según si los derechos han sido invocados ante las autoridades de control nacionales o ante el SEPD ».

El SEPD considera que sería conveniente recordar en el artículo 41 bis que el Reglamento (CE) nº 45/2001 es de aplicación al fichero de identificación de los expedientes de investigaciones aduaneras (FIDE) y que el SEPD tiene competencias de control que le facultan para supervisar y garantizar el cumplimiento de las disposiciones del Reglamento.

61. Para garantizar que se supriman del FIDE los datos personales que no sean necesarios, el SEPD sugiere que se inserte la siguiente frase después del artículo 41 quinto, apartado 2: « La necesidad de conservar los datos será examinada anualmente, como mínimo, por el Estado miembro suministrador ».

62. Por lo que respecta a las cuestiones de procedimiento, el SEPD:

Recomienda que se incluya en el preámbulo de la Propuesta una referencia explícita al presente dictamen, formulada como sigue: « Tras consultar al Supervisor Europeo de Protección de Datos ».

Recuerda que, dado que las operaciones de tratamiento de los datos de la base europea de datos, del SIA y del FIDE presentan riesgos específicos para los derechos y libertades de los interesados, por la finalidad de estos sistemas y por las características de los datos que contienen, el SEPD debe realizar, en virtud del artículo 27 del Reglamento (CE) nº 45/2001, un control previo de los tres sistemas.

Hecho en Bruselas, el 22 de febrero de 2007. Peter HUSTINX

Supervisor Europeo de Protección de Datos


No hay versiones para esta norma