Acerca de operadores lógicos
Reglamento (UE) 2019/816 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, por el que se establece un sistema centralizado para la identificación de los Estados miembros que poseen información sobre condenas de nacionales de terceros países y apátridas (ECRIS-TCN) a fin de complementar el Sistema Europeo de Información de Antecedentes Penales, y por el que se modifica el Reglamento (UE) 2018/1726, - Diario Oficial de la Unión Europea, de 22-05-2019
Ambito: DOUE
Órgano emisor: PARLAMENTO
Boletín: Diario Oficial de la Unión Europea Número 134
F. Publicación: 22/05/2019
Documento oficial en PDF: Enlace
REGLAMENTO (UE) 2019/816 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 17 de abril de 2019
por el que se establece un sistema centralizado para la identificación de los Estados miembros que poseen información sobre condenas de nacionales de terceros países y apátridas (ECRIS-TCN) a fin de complementar el Sistema Europeo de Información de Antecedentes Penales, y por el que se modifica el Reglamento (UE) 2018/1726
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 82, apartado 1, párrafo segundo, letra d),
Vista la propuesta de la Comisión Europea,
Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,
De conformidad con el procedimiento legislativo ordinario (1),
Considerando lo siguiente:
| (1) | La Unión se ha fijado el objetivo de ofrecer a sus ciudadanos un espacio de libertad, seguridad y justicia sin fronteras interiores en el que esté garantizada la libre circulación de personas. Ese objetivo debe alcanzarse mediante, entre otras vías, medidas adecuadas para prevenir y combatir la delincuencia, con inclusión de la delincuencia organizada y el terrorismo. |
| (2) | Dicho objetivo exige que la información sobre condenas pronunciadas en los Estados miembros se tenga en cuenta fuera del Estado miembro de condena tanto en el curso de un nuevo proceso penal, según lo previsto en la Decisión Marco 2008/675/JAI del Consejo (2), así como para prevenir nuevas infracciones. |
| (3) | Dicho objetivo presupone el intercambio entre las autoridades competentes de los Estados miembros de información extraída de los registros de antecedentes penales. Dicho intercambio de información está organizado y facilitado por las normas recogidas en la Decisión Marco 2009/315/JAI del Consejo (3) y por el Sistema Europeo de Información de Antecedentes Penales (ECRIS), establecido por la Decisión 2009/316/JAI del Consejo (4). |
| (4) | El marco legal vigente del ECRIS, sin embargo, no aborda suficientemente las particularidades de las solicitudes relacionadas con nacionales de terceros países. Aunque ya es posible intercambiar información sobre nacionales de terceros países a través del ECRIS, no existe ningún procedimiento o mecanismo común de la Unión para hacerlo con eficacia, rapidez y precisión. |
| (5) | Dentro de la Unión, la información sobre nacionales de terceros países no se recoge como se hace con la de los nacionales de los Estados miembros, sino que únicamente se conserva en los Estados miembros en los que se han impuesto condenas. Por lo tanto, solo se puede tener una visión completa del historial de antecedentes penales de un nacional de un tercer país si se solicita dicha información a todos los Estados miembros. |
| (6) | Estas solicitudes generales imponen una carga administrativa desproporcionada a todos los Estados miembros, incluidos aquellos que no poseen información sobre ese nacional concreto de un tercer país. En la práctica, dicha carga disuade a los Estados miembros de solicitar a otros Estados miembros información sobre nacionales de terceros países, lo que obstaculiza gravemente el intercambio de información entre ellos y limita su acceso a la información sobre antecedentes penales a la información que se conserva en su propio registro nacional. Como consecuencia de ello, aumenta el riesgo de que el intercambio de información entre Estados miembros sea ineficaz y fragmentario, lo que a su vez repercute en el nivel de seguridad y protección que se ofrece a los ciudadanos de la Unión y a las personas que residen en ella. |
| (7) | A fin de mejorar la situación, debe establecerse un sistema que permita a las autoridades centrales de un Estado miembro averiguar de forma inmediata y eficaz que Estados miembros disponen de información sobre antecedentes penales de un nacional de un tercer país (en lo sucesivo, «ECRIS-TCN»). El marco actual del ECRIS podría, pues, utilizarse para solicitar información sobre antecedentes penales a esos Estados miembros de conformidad con la Decisión Marco 2009/315/JAI. |
| (8) | Por consiguiente, el presente Reglamento debe establecer normas para crear un sistema centralizado a escala de la Unión que contenga los datos personales y las normas sobre el reparto de responsabilidades entre el Estado miembro y la organización responsable del desarrollo y mantenimiento del sistema centralizado, así como cualesquiera otras disposiciones específicas sobre protección de datos que sean necesarias para completar las medidas existentes en esa materia y garantizar un nivel general adecuado de protección y de seguridad de los datos, y la protección de los derechos fundamentales de las personas interesadas. |
| (9) | El objetivo de ofrecer a sus ciudadanos un espacio de libertad, seguridad y justicia sin fronteras interiores, dentro del cual esté garantizada la libre circulación de personas, exige igualmente que la información sobre las condenas sea completa, incluso en lo que se refiere a los ciudadanos de la Unión que tengan también la nacionalidad de un tercer país. Dada la posibilidad de que estas personas puedan ostentar una o varias nacionalidades y de que pueda haber varias condenas inscritas en los registros de los Estado miembro en los que se hayan dictado las condenas o en el Estado miembro de nacionalidad, es necesario incluir en el ámbito de aplicación del presente Reglamento a los ciudadanos de la Unión que tengan también la nacionalidad de un tercer país. La exclusión de dichas personas haría que la información que se conserva en el ECRIS-TCN estuviera incompleta. Ello pondría en peligro la fiabilidad del sistema. No obstante, puesto que dichas personas ostentan la ciudadanía de la Unión, las condiciones en las que se pueden incluir en el ECRIS-TCN los datos dactiloscópicos de dichas personas deben ser equiparables a aquellas en las que se intercambian entre Estados miembros los datos dactiloscópicos de los ciudadanos de la Unión a través del ECRIS, establecido mediante la Decisión Marco 2009/315/JAI y la Decisión 2009/316/JAI. Por lo tanto, solo se incluirían en el ECRIS-TCN las impresiones dactilares de aquellos ciudadanos de la Unión que también posean la nacionalidad de un tercer país cuando estas se hayan recogido conforme al Derecho nacional durante el proceso penal, entendiéndose que para tal inclusión los Estados miembros deben estar facultados para utilizar los datos dactiloscópicos recogidos a efectos distintos de los del proceso penal, cuando dicha utilización esté permitida por el Derecho nacional. |
| (10) | El ECRIS-TCN debe permitir el tratamiento de datos dactiloscópicos con el fin de identificar los Estados miembros poseedores de información sobre los antecedentes penales de un nacional de un tercer país. También debe permitir el tratamiento de imágenes faciales para confirmar su identidad. Es esencial que la introducción y utilización de los datos dactiloscópicos e imágenes faciales no excedan de lo estrictamente necesario para alcanzar el fin perseguido, respeten los derechos fundamentales, al igual que el interés superior de los menores, y sean conformes con las normas de la Unión aplicables en materia de protección de datos. |
| (11) | La Agencia de la Unión Europea para la Gestión Operativa de Sistemas Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia (eu-LISA), creada mediante el Reglamento (UE) 2018/1726 del Parlamento Europeo y del Consejo (5), debe encargarse de la tarea de desarrollar y poner en funcionamiento el ECRIS-TCN, dada su experiencia en la gestión de otros sistemas de gran magnitud en el ámbito de la justicia y los asuntos de interior. Su mandato debe modificarse para reflejar esas nuevas tareas. |
| (12) | La agencia eu-LISA debe contar con la financiación y el personal apropiados para hacer frente a sus responsabilidades en virtud del presente Reglamento. |
| (13) | Habida cuenta de la necesidad de crear vínculos técnicos estrechos entre el ECRIS-TCN y el ECRIS, también debe confiarse a eu-LISA la tarea de continuar el desarrollo de la aplicación de referencia ECRIS y su mantenimiento, y su mandato debe modificarse en consecuencia. |
| (14) | Cuatro Estados miembros han elaborado sus propias aplicaciones nacionales ECRIS de conformidad con lo dispuesto en la Decisión 2009/316/JAI, y las han estado utilizando en lugar de la aplicación de referencia ECRIS para intercambiar información sobre antecedentes penales. Habida cuenta de las características particulares que dichos Estados miembros han introducido en sus sistemas de uso nacional y de las inversiones que han realizado, debe permitírseles utilizar sus propias aplicaciones nacionales ECRIS también a los efectos del ECRIS-TCN, siempre que respeten las condiciones previstas en el presente Reglamento. |
| (15) | El ECRIS-TCN debe contener únicamente la información de identidad de los nacionales de terceros países condenados por un tribunal penal dentro de la Unión. Dichos datos de identidad deben incluir datos alfanuméricos y datos dactiloscópicos. También debe ser posible incluir imágenes faciales, siempre que el Derecho del Estado miembro en el que se dicte la condena permita la recogida y la conservación de las imágenes faciales de una persona condenada. |
| (16) | Entre los datos alfanuméricos que los Estados miembros deben introducir en el sistema central, se deben incluir los apellidos y el nombre de la persona condenada, así como su seudónimo o alias, cuando la autoridad central disponga de tal información. Si el Estado miembro de que se trate tiene conocimiento de datos personales que difieren, como una ortografía distinta para un nombre en otro alfabeto, debe ser posible introducir tales datos en el sistema central como información adicional. |
| (17) | Los datos alfanuméricos también deben incluir, como información adicional, el número de identidad, o el tipo y el número del documento o documentos de identidad de la persona, así como el nombre de la autoridad que los expide, cuando la autoridad central disponga de tal información. El Estado miembro debe procurar comprobar la autenticidad de los documentos de identidad antes de introducir la información correspondiente en el sistema central. En cualquier caso, puesto que la información puede ser poco fiable, se debe usar con precaución. |
| (18) | Las autoridades centrales de los Estados miembros deben utilizar el ECRIS-TCN para identificar a los Estados miembros que posean información sobre antecedentes penales con respecto a un nacional de un tercer país cuando dicha información sobre antecedente penales se solicite en el Estado miembro de que se trate a efectos de un proceso penal contra dicha persona, o para los fines a que se refiere el presente Reglamento. Si bien el ECRIS-TCN debe utilizarse en principio en todos esos casos, la autoridad responsable de dirigir los procesos penales debe poder decidir que no se utilice cuando no sea conveniente dadas las circunstancias del asunto, por ejemplo en ciertos tipos de procesos penales por la vía de urgencia, en casos de tránsito, cuando la información sobre antecedentes penales se haya obtenido recientemente a través del ECRIS-TCN, o respecto de infracciones leves, en particular, infracciones de tráfico leves, infracciones leves de ordenanzas municipales o infracciones leves del orden público. |
| (19) | Los Estados miembros también deben poder utilizar el ECRIS-TCN para fines distintos de los establecidos en el presente Reglamento, si así lo dispone el Derecho nacional y de conformidad con el mismo. No obstante, para aumentar la transparencia del uso del ECRIS-TCN, los Estados miembros deben notificar estos otros fines a la Comisión, que debe garantizar la publicación de las notificaciones en el Diario Oficial de la Unión Europea. |
| (20) | También otras autoridades que soliciten información sobre antecedentes penales deben poder decidir que no se utilice el ECRIS-TCN cuando no sea conveniente dadas las circunstancias del asunto, por ejemplo cuando sea necesario realizar determinadas comprobaciones administrativas ordinarias relativas a las cualificaciones profesionales de una persona, especialmente si se sabe que no se pedirá a otros Estados miembros información sobre antecedentes penales, con independencia del resultado de la consulta al ECRIS-TCN. No obstante, debe utilizarse el ECRIS-TCN siempre que la solicitud de antecedentes penales haya sido presentada por una persona que pide información sobre sus propios antecedentes penales, de conformidad con la Decisión Marco 2009/315/JAI, o cuando se haga con el fin de obtener información sobre antecedentes penales de conformidad con la Directiva 2011/93/UE del Parlamento Europeo y del Consejo (6). |
| (21) | Los nacionales de terceros países deben tener derecho a obtener información por escrito sobre su propio registro de antecedentes penales de conformidad con el Derecho del Estado miembro en el que soliciten que se les facilite dicha información y de conformidad con la Decisión Marco 2009/315/JAI. Antes de facilitar dicha información a un nacional de un tercer país, el Estado miembro de que se trate debe consultar el ECRIS-TCN. |
| (22) | Los ciudadanos de la Unión que posean también la nacionalidad de un tercer país solo se incluirán en el ECRIS-TCN si las autoridades competentes tienen conocimiento de que dichas personas tienen la nacionalidad de un tercer país. Cuando las autoridades competentes no tengan conocimiento de que determinados ciudadanos de la Unión poseen también la nacionalidad de un tercer país, puede ocurrir sin embargo que dichas personas tengan condenas previas como nacionales de un tercer país. A fin de garantizar que las autoridades competentes dispongan de una visión completa del registro de antecedentes penales, debe ser posible consultar el ECRIS-TCN para comprobar si, respecto de un ciudadano de la Unión, algún Estado miembro posee información de antecedentes penales relativa a dicha persona como nacional de un tercer país. |
| (23) | En el caso de que exista una coincidencia entre los datos registrados en el sistema central y los utilizados por un Estado miembro para la búsqueda (respuesta positiva), los datos de identidad con respecto a los que se produjo una «respuesta positiva» deben facilitarse junto con esta. El resultado de una búsqueda únicamente debe utilizarse por las autoridades centrales para formular una solicitud a través del ECRIS o, por la Agencia de la Unión Europea para la Cooperación Judicial Penal (Eurojust) creada por el Reglamento (UE) 2018/1727 del Parlamento Europeo y del Consejo (7), la Agencia de la Unión Europea para la Cooperación Policial (Europol), creada por el Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo (8), y la Fiscalía Europea, creada por el Reglamento (UE) 2017/1939 del Consejo (9), a efectos de presentar una solicitud de información sobre condenas en virtud del presente Reglamento. |
| (24) | Inicialmente, las imágenes faciales incluidas en el ECRIS-TCN solo deben utilizarse para confirmar la identidad de un nacional de un tercer país a fin de identificar a los Estados miembros que poseen información sobre condenas anteriores de dicho nacional de un tercer país. En el futuro, debe ser posible utilizar las imágenes faciales para el sistema automatizado de correspondencias biométricas, siempre que se hayan alcanzado las condiciones técnicas y políticas para ello. La Comisión, teniendo en cuenta la necesidad y la proporcionalidad, así como los avances técnicos en el ámbito de los programas informáticos de reconocimiento facial, debe evaluar la disponibilidad y la preparación de la tecnología requerida antes de adoptar el acto delegado relativo a la utilización de imágenes faciales para identificar a los nacionales de terceros países, a fin de identificar a los Estados miembros que poseen información sobre condenas anteriores relativas a dichas personas. |
| (25) | La utilización de datos biométricos es necesaria, ya que es el método más fiable tanto para la identificación de nacionales de terceros países en el territorio de los Estados miembros, que con frecuencia no están en posesión de documentos o cualquier otro medio de identificación, como para una correspondencia más fiable de los datos de los nacionales de terceros países. |
| (26) | Los Estados miembros deben introducir en el sistema central los datos dactiloscópicos de condenados de terceros países que se hayan recogido de conformidad con la legislación nacional correspondiente durante los procesos penales. Para poder tener datos de identidad lo más completos posible en el sistema central, los Estados miembros deben también poder introducir en el sistema central datos dactiloscópicos que se hayan recogido a efectos distintos de los procesos penales, cuando se disponga de dichos datos dactiloscópicos para su utilización en procesos penales de conformidad con el Derecho nacional. |
| (27) | El presente Reglamento debe establecer criterios mínimos respecto a los datos dactiloscópicos que los Estados miembros deben incluir en el sistema central. Los Estados miembros deben tener la opción de introducir o bien los datos dactiloscópicos de nacionales de terceros países que hayan sido condenados a una pena privativa de libertad de al menos seis meses, o bien los datos dactiloscópicos de nacionales de terceros países que hayan sido condenados por una infracción penal castigada, en virtud del Derecho del Estado miembro de que se trate, con una pena privativa de libertad de una duración máxima de al menos doce meses. |
| (28) | Los Estados miembros deben crear en el ECRIS-TCN registros relativos a los nacionales de terceros países condenados. Esto debe hacerse, siempre que sea posible, de forma automática, y sin demoras indebidas desde que la condena haya sido inscrita en el registro nacional de antecedentes penales. Los Estados miembros, de conformidad con lo dispuesto en el presente Reglamento, deben consignar en el sistema central los datos alfanuméricos y dactiloscópicos relativos a condenas pronunciadas después de la fecha en que se comiencen a introducir datos en el ECRIS-TCN. A partir de esa misma fecha, o en cualquier momento posterior, los Estados miembros deben poder introducir imágenes faciales en el sistema central. |
| (29) | De conformidad con lo dispuesto en el presente Reglamento, los Estados miembros también deben crear en el ECRIS-TCN registros relativos a los nacionales de terceros países condenados con anterioridad a la fecha de comienzo de la introducción de los datos, a fin de garantizar la máxima eficacia del sistema. Sin embargo, los Estados miembros no deben estar obligados a recopilar para ello información que no obre ya en sus registros de antecedentes penales a la fecha de comienzo de la introducción de los datos. Los datos dactiloscópicos de nacionales de terceros países recogidos en relación con dichas condenas anteriores deben incluirse solo cuando hayan sido recogidas en el transcurso de procesos penales y cuando el Estado miembro de que se trate considere que existe una correspondencia clara con otros datos de identidad consignados en los registros de antecedentes penales. |
| (30) | La mejora del intercambio de información sobre las condenas penales debe ayudar a los Estados miembros en su aplicación de la Decisión Marco 2008/675/JAI, que les obliga a tener en cuenta condenas anteriores en otros Estados miembros con motivo de nuevos procesos penales, en la medida en que se tengan en cuenta condenas nacionales anteriores de conformidad con el Derecho nacional. |
| (31) | Una respuesta positiva indicada por el ECRIS-TCN no debe implicar automáticamente que el nacional de un tercer país de que se trate haya sido condenado en los Estados miembros indicados. La existencia de condenas anteriores solo debe confirmarse a partir de la información recibida de los registros de antecedentes penales de los Estados miembros de que se trate. |
| (32) | Con independencia de la posibilidad de usar los programas financieros de la Unión con arreglo a las normas aplicables, cada Estado miembro correrá con sus propios costes derivados de la aplicación, la administración, el uso y el mantenimiento de sus bases de datos nacionales de antecedentes penales y de datos dactiloscópicos, y asimismo de la aplicación, la administración, el uso y el mantenimiento de las adaptaciones técnicas necesarias para usar el ECRIS-TCN, incluidas las conexiones de dichas bases de datos con el punto central de acceso nacional. |
| (33) | Eurojust, Europol y la Fiscalía Europea, deben tener acceso al ECRIS-TCN para identificar a los Estados miembros que posean información sobre antecedentes penales de un nacional de un tercer país, con el fin de poder desempeñar las funciones que le han sido encomendadas. Eurojust también debe tener acceso directo al ECRIS-TCN al efecto de llevar a cabo sus funciones, en virtud de lo dispuesto en el presente Reglamento, de actuar como punto de contacto para terceros países y organizaciones internacionales, sin perjuicio de la aplicación de los principios de la cooperación judicial en materia penal, incluidas las normas en materia de asistencia judicial. Si bien debe tenerse en cuenta la posición de los Estados miembros que no forman parte de la cooperación reforzada por la que se establece la Fiscalía Europea, no debe denegarse a esta el acceso a la información sobre condenas solo porque el Estado miembro de que se trate no forme parte de dicha cooperación reforzada. |
| (34) | El presente Reglamento establece estrictas normas de acceso al ECRIS-TCN y las salvaguardias necesarias, incluida la responsabilidad de los Estados miembros a la hora de recopilar y utilizar los datos. Asimismo, establece la forma en que las personas pueden ejercer sus derechos de compensación, acceso, rectificación, supresión y recurso, en particular el derecho a la tutela efectiva y el control de las operaciones de tratamiento llevadas a cabo por autoridades públicas independientes. El presente Reglamento respeta los derechos y libertades fundamentales consagrados, en particular, en la Carta de los Derechos Fundamentales de la Unión Europea, incluido el derecho a la protección de los datos de carácter personal, el principio de igualdad ante la ley y la prohibición general de discriminación. En este contexto, también tiene en cuenta el Convenio Europeo para la Protección de los Derechos Humanos y las Libertades Fundamentales, el Pacto Internacional de Derechos Civiles y Políticos y otras obligaciones de Derecho internacional en materia de derechos humanos. |
| (35) | La Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (10) ha de aplicarse al tratamiento de los datos personales por parte de las autoridades nacionales competentes, con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública. El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (11) ha de aplicarse al tratamiento de datos personales por parte de las autoridades nacionales, siempre que dicho tratamiento no entre en el ámbito de aplicación de la Directiva (UE) 2016/680. Es preciso garantizar una supervisión coordinada de acuerdo con lo dispuesto en el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (12), que también debe aplicarse al tratamiento de datos personales por eu-LISA. |
| (36) | Respecto a condenas anteriores, las autoridades centrales deben introducir los datos alfanuméricos antes del final del período de introducción de datos de conformidad con lo dispuesto en el presente Reglamento, y los datos dactiloscópicos en el plazo de dos años después de la fecha del comienzo de las actividades del ECRIS-TCN. Los Estados miembros deben poder introducir todos los datos al mismo tiempo, siempre que se respeten dichos plazos. |
| (37) | Deben establecerse normas sobre la responsabilidad de los Estados miembros, Eurojust, Europol, la Fiscalía Europea y eu-LISA por los daños que se causen en caso de infracción del presente Reglamento. |
| (38) | A fin de mejorar la identificación de los Estados miembros que posean información sobre condenas anteriores de nacionales de terceros países, deben delegarse en la Comisión los poderes para adoptar actos con arreglo al artículo 290 del Tratado de Funcionamiento de la Unión Europea (TFUE) por lo que respecta a la complementación del presente Reglamento, previendo el uso de imágenes faciales para identificar a los nacionales de terceros países con el fin de identificar a los Estados miembros que posean información sobre condenas anteriores. Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, en particular con expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación (13). En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupen de la preparación de actos delegados. |
| (39) | Con el fin de garantizar condiciones uniformes para la creación y la gestión operativa del ECRIS-TCN, deben conferirse a la Comisión competencias de ejecución. Dichas competencias deben ejercerse de conformidad con lo dispuesto en el Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo (14). |
| (40) | Los Estados miembros deben adoptar las medidas necesarias para cumplir el presente Reglamento lo antes posible, a fin de velar por el correcto funcionamiento del ECRIS-TCN, teniendo en cuenta el tiempo que necesita eu-LISA para desarrollar e implantar el ECRIS-TCN. No obstante, los Estados miembros deben disponer de un mínimo de 36 meses tras la entrada en vigor del presente Reglamento para tomar las medidas para cumplir el presente Reglamento. |
| (41) | Dado que el objetivo del presente Reglamento, a saber, posibilitar el intercambio rápido y eficiente de información exacta sobre antecedentes penales de nacionales de terceros países, no puede ser alcanzado de manera suficiente por los Estados miembros sino que, mediante el establecimiento de normas comunes, puede lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea (TUE). De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dicho objetivo. |
| (42) | De conformidad con los artículos 1 y 2 del Protocolo n.o 22 sobre la posición de Dinamarca, anejo al TUE y al TFUE, Dinamarca no participa en la adopción del presente Reglamento y no queda vinculada por el mismo ni sujeta a su aplicación. |
| (43) | De conformidad con los artículos 1 y 2 y el artículo 4 bis, apartado 1, del Protocolo n.o 21 sobre la posición del Reino Unido y de Irlanda respecto del espacio de libertad, seguridad y justicia, anejo al TUE y al TFUE, y sin perjuicio del artículo 4 de dicho Protocolo, Irlanda no participa en la adopción del presente Reglamento y no queda vinculada por el mismo ni sujeta a su aplicación. |
| (44) | De conformidad con el artículo 3 y el artículo 4 bis, apartado 1, del Protocolo n.o 21, el Reino Unido ha notificado su deseo de participar en la adopción y aplicación del presente Reglamento. |
| (45) | El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 28, apartado 2, del Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo (15), emitió un dictamen el 12 de diciembre de 2017 (16). |
HAN ADOPTADO EL PRESENTE REGLAMENTO:
CAPÍTULO I
Disposiciones generales
Artículo 1
Objeto
El presente Reglamento establece:
| a) | un sistema para identificar a los Estados miembros que poseen información sobre condenas anteriores de nacionales de terceros países (en lo sucesivo, «ECRIS-TCN»); |
| b) | las condiciones con arreglo a las cuales el ECRIS-TCN debe ser utilizado por las autoridades centrales para obtener información sobre dichas condenas anteriores a través del Sistema Europeo de Información de Antecedentes Penales (ECRIS), creado por la Decisión 2009/316/JAI, así como las condiciones con arreglo a las cuales Eurojust, Europol y la Fiscalía Europea utilizarán el ECRIS-TCN. |
Artículo 2
Ámbito de aplicación
El presente Reglamento se aplica al tratamiento de los datos de identidad de los nacionales de terceros países que han sido objeto de una condena en los Estados miembros, con el fin de determinar los Estados miembros en que se dictaron tales condenas. A excepción de lo dispuesto en el artículo 5, apartado 1, letra b), inciso ii), las disposiciones del presente Reglamento que se apliquen a los nacionales de terceros países se aplicarán también a los ciudadanos de la Unión que posean también la nacionalidad de un tercer país y que hayan sido objeto de una condena en los Estados miembros.
Artículo 3
Definiciones
A los efectos del presente Reglamento, se entenderá por:
1) «condena»: toda resolución firme de un órgano jurisdiccional penal por la que se condene a una persona física por una infracción penal, en la medida en que dicha resolución se inscriba en el registro de antecedentes penales del Estado miembro de condena;
2) «proceso penal»: la fase anterior al juicio, la fase del juicio y la ejecución de la condena;
3) «registro de antecedentes penales»: el registro o registros nacionales en los que se inscriben las condenas, con arreglo al Derecho nacional;
4) «Estado miembro de condena»: el Estado miembro en el que se dicta una condena;
5) «autoridad central»: una autoridad designada de conformidad con el artículo 3, apartado 1, de la Decisión Marco 2009/315/JAI;
6) «autoridades competentes»: las autoridades centrales y Eurojust, Europol y la Fiscalía Europea, que son competentes para acceder o hacer consultas en el ECRIS-TCN de conformidad con lo dispuesto en el presente Reglamento;
7) «nacional de un tercer país»: una persona que no sea ciudadano de la Unión en el sentido del artículo 20, apartado 1, del TFUE, o una persona que sea apátrida o de nacionalidad desconocida;
8) «sistema central»: la base o bases de datos creadas y mantenidas por eu-LISA que contienen datos de identidad de nacionales de terceros países que hayan sido objeto de una condena en los Estados miembros;
9) «programa de interfaz»: el programa informático albergado por las autoridades competentes que les permite acceder al sistema central a través de la infraestructura de comunicación a que se refiere el artículo 4, apartado 1, letra d);
10) «datos de identidad»: los datos alfanuméricos, los datos dactiloscópicos y las imágenes faciales utilizadas para establecer una conexión entre tales datos y una persona física;
11) «datos alfanuméricos»: datos representados por letra s), dígitos, caracteres especiales, espacios y signos de puntuación;
12) «datos dactiloscópicos»: los datos relativos a las impresiones dactilares simples y roladas de cada uno de los dedos de una persona;
13) «imagen facial»: una imagen digital del rostro de una persona;
14) «respuesta positiva»: la coincidencia o coincidencias establecidas al compararse los datos de identidad registrados en el sistema central con los datos de identidad utilizados para una búsqueda;
15) «punto central de acceso nacional»: el punto nacional de conexión a la infraestructura de comunicación a que se refiere el artículo 4, apartado 1, letra d);
16) «aplicación de referencia ECRIS»: los programas elaborados por la Comisión y puestos a disposición de los Estados miembros para el intercambio de información sobre los registros de antecedentes penales a través del ECRIS.
17) «autoridad de control nacional»: una autoridad pública independiente establecida por un Estado miembro con arreglo a las normas de la Unión aplicables en materia de protección de datos;
18) «autoridades de control»: el Supervisor Europeo de Protección de Datos y las autoridades nacionales de control
Artículo 4
Arquitectura técnica del ECRIS-TCN
1. El ECRIS-TCN se compondrá de:
| a) | un sistema central que conserve los datos de identidad de los nacionales de terceros países que hayan sido condenados; |
| b) | un punto central de acceso nacional en cada Estado miembro; |
| c) | un programa de interfaz que permita la conexión de las autoridades competentes al sistema central a través del punto central de acceso nacional y de la infraestructura de comunicación a que se refiere la letra d); |
| d) | una infraestructura de comunicación entre el sistema central y el punto central de acceso nacional. |
2. El sistema central será alojado por eu-LISA en sus centros técnicos.
3. El programa de interfaz se integrará con la aplicación de referencia ECRIS. Los Estados miembros deberán utilizar la aplicación de referencia o, en la situación y condiciones fijadas en los apartados 4 a 8, las aplicaciones nacionales ECRIS, para consultar el ECRIS-TCN, y para enviar ulteriores peticiones de información sobre antecedentes penales.
4. Los Estados miembros que utilicen sus propias aplicaciones nacionales ECRIS se responsabilizarán de garantizar que dicha aplicación permita a las autoridades nacionales competentes en materia de antecedentes penales utilizar el ECRIS-TCN, a excepción del programa de interfaz, con arreglo a lo dispuesto en el presente Reglamento. A tal efecto, deberán garantizar, antes de la fecha de puesta en funcionamiento del ECRIS-TCN con arreglo a lo dispuesto en el artículo 35, apartado 4, que su aplicación nacional ECRIS funciona de acuerdo con los protocolos y especificaciones técnicas previstos en los actos de ejecución a los que se refiere el artículo 10 y con cualesquiera requisitos técnicos adicionales que establezca eu-LISA en virtud de lo dispuesto en el presente Reglamento. basados en aquellos actos de ejecución.
5. Mientras no utilicen la aplicación de referencia ECRIS, los Estados miembros que utilicen sus propias aplicaciones nacionales ECRIS garantizarán la introducción en sus aplicaciones nacionales ECRIS, sin demora injustificada, de cualesquiera adaptaciones técnicas posteriores que vengan impuestas por cualesquiera cambios de las especificaciones técnicas establecidas mediante los actos de ejecución a que se refiere el artículo 10, o por cualesquiera otros requisitos técnico que establezca eu-LISA en virtud de lo dispuesto en el presente Reglamento, basados en aquellos actos de ejecución.
6. Los Estados miembros que utilicen sus propias aplicaciones nacionales ECRIS deberán sufragar todos los costes relacionados con la aplicación, el mantenimiento y el desarrollo de las mismas y su interconexión con el ECRIS-TCN, a excepción del programa de interfaz.
7. Si un Estado miembro que utiliza su propia aplicación nacional ECRIS no puede cumplir sus obligaciones en virtud de lo dispuesto en el presente artículo, estará obligado a usar la aplicación de referencia ECRIS, incluido el programa de interfaz integrado, para utilizar el ECRIS-TCN.
8. Con vistas a la evaluación que deberá llevar a cabo la Comisión en virtud del artículo 36, apartado 10, letra b), los Estados miembros en cuestión deberán proporcionar a la Comisión toda la información necesaria.
CAPÍTULO II
Introducción y utilización de los datos por las autoridades centrales
Artículo 5
Introducción de datos en el ECRIS-TCN
1. Para cada nacional de un tercer país condenado, la autoridad central del Estado miembro de condena deberá crear un registro de datos en el sistema central. El registro de datos deberá incluir:
| a) | en lo que se refiere a los datos alfanuméricos:
|
| b) | en lo que se refiere a los datos dactiloscópicos:
|
2. Los datos dactiloscópicos a que hace referencia el apartado 1, letra b), del presente artículo tendrán las especificaciones técnicas de calidad, resolución y tratamiento de los datos dactiloscópicos que se establezcan en el acto de ejecución a que se refiere el artículo 10, apartado 1, letra b). El número de referencia de los datos dactiloscópicos de la persona condenada deberá incluir el código del Estado miembro de condena.
3. El registro de datos también puede contener imágenes faciales de los nacionales de terceros países condenados cuando el Derecho del Estado miembro de condena permita la recogida y la conservación de las imágenes faciales de la persona condenada.
4. El Estado miembro de condena deberá crear el registro de datos de forma automática, siempre que sea posible, y sin demora injustificada después de que la condena se introduzca en el registro nacional de antecedentes penales.
5. Los Estados miembros de condena también crearán registros de datos para las condenas dictadas antes del & [la fecha de introducción de datos en virtud de lo dispuesto en el artículo 35, apartado 1], en la medida en que se conserven datos relativos a personas condenadas en sus bases de datos nacionales. En dichos casos, los datos dactiloscópicos deberán incluirse únicamente cuando hayan sido recogidos en el transcurso de procesos penales seguidos de conformidad con el Derecho nacional, y cuando exista una correspondencia clara con otros datos de identidad consignados en los registros de antecedentes penales.
6. Para cumplir la obligación estipulada en el apartado 1, letra b), incisos i) y ii), y en el apartado 5, los Estados miembros podrán utilizar datos dactiloscópicos recogidos a efectos distintos de los procesos penales, cuando el Derecho nacional así lo permita.
Artículo 6
Imágenes faciales
1. Hasta la entrada en vigor del acto delegado previsto en el apartado 2, las imágenes faciales solo podrán utilizarse para confirmar la identidad de un nacional de un tercer país que haya sido identificado como consecuencia de una consulta alfanumérica o de una búsqueda con datos dactiloscópicos.
2. La Comisión está facultada para adoptar actos delegados de conformidad con lo dispuesto en el artículo 37, que complementen el presente Reglamento, relativos al uso de imágenes faciales para identificar a los nacionales de terceros países, con el fin de identificar a los Estados miembros que posean información sobre condenas anteriores relativas a dichas personas, cuando sea técnicamente posible. Antes de ejercer dicha facultad, la Comisión, teniendo en cuenta la necesidad y proporcionalidad así como la evolución técnica en materia de instrumentos informáticos de reconocimiento facial, evaluará la disponibilidad y grado de preparación de la tecnología requerida.
Artículo 7
Uso del ECRIS-TCN para identificar al Estado miembro o Estados miembros que poseen información sobre antecedentes penales
1. Las autoridades centrales utilizarán el ECRIS-TCN para identificar al Estado o Estados miembros que posean información sobre antecedentes penales sobre un nacional de un tercer país, con el fin de obtener información sobre condenas anteriores a través de ECRIS, cuando se solicite información sobre antecedentes penales de esa persona en el Estado miembro de que se trate a efectos de un proceso penal contra la misma, o para cualquiera de los siguientes fines, si así lo dispone el Derecho nacional y de conformidad con este:
| - | comprobación de los antecedentes penales de una persona, a petición de esta, |
| - | habilitación de seguridad, |
| - | obtención de una licencia o permiso, |
| - | investigaciones a efectos laborales, |
| - | investigaciones para actividades de voluntariado que impliquen contactos directos y regulares con niños o personas vulnerables, |
| - | procedimientos de visado, de adquisición de la ciudadanía y de migración, incluidos los procedimientos de asilo, y |
| - | comprobaciones en relación con contratos públicos y concursos públicos. |
No obstante, en determinados casos, siempre que no se trate de una solicitud presentada ante la autoridad central por un nacional de un tercer país que pide información sobre sus propios antecedentes penales y siempre que la solicitud no se realice a efectos de obtener información sobre antecedentes penales en virtud de lo dispuesto en el artículo 10, apartado 2, de la Directiva 2011/93/UE, la autoridad que solicita la información sobre antecedentes penales podrá decidir que no resulta conveniente utilizar el ECRIS-TCN.
2. Todo Estado miembro que decida, si así lo dispone el Derecho nacional y de conformidad con el, utilizar el ECRIS-TCN para fines distintos de los establecidos en el apartado 1, para obtener información sobre condenas anteriores a través de ECRIS, notificará a la Comisión, a más tardar en la fecha de inicio de las operaciones a que se refiere el artículo 35, apartado 4, o en cualquier momento posterior, dichos otros fines, así como cualquier modificación de los mismos. La Comisión publicará dichas notificaciones en el Diario Oficial de la Unión Europea en un plazo de treinta días a partir de la recepción de las notificaciones.
3. Eurojust, Europol, y la Fiscalía Europea podrán consultar el ECRIS-TCN para identificar a los Estados miembros que posean información sobre antecedentes penales de un nacional de un tercer país, de conformidad con lo dispuesto en los artículos 14 a 18. Sin embargo, no introducirán, rectificarán ni suprimirán datos en el ECRIS-TCN.
4. A los efectos estipulados en los apartados 1, 2 y 3, las autoridades competentes también podrán consultar el ECRIS-TCN para comprobar si, respecto de un ciudadano de la Unión, algún Estado miembro posee información de antecedentes penales relativa a dicha persona como nacional de un tercer país.
5. A la hora de consultar el ECRIS-TCN, las autoridades competentes podrán utilizar todos o solo algunos de los datos contemplados en el artículo 5, apartado 1. El conjunto mínimo de datos necesario para consultar el sistema se especificará en un acto de ejecución adoptado de conformidad con el artículo 10, apartado 1, letra g).
6. Las autoridades competentes también podrán consultar el ECRIS-TCN utilizando imágenes faciales, siempre que se haya implantado dicha funcionalidad conforme a lo dispuesto en el artículo 6, apartado 2.
7. En caso de respuesta positiva, el sistema central transmitirá automáticamente a la autoridad competente información sobre los Estados miembros que posean información sobre antecedentes penales de los nacionales de terceros países, junto con el correspondiente número o números de referencia asociados y cualquier otra información de identidad que corresponda. Esta información de identidad solo se utilizará a efectos de la comprobación de la identidad del nacional de un tercer país de que se trate. El resultado de una búsqueda en el sistema central podrá utilizarse únicamente para formular una solicitud de conformidad con el artículo 6 de la Decisión Marco 2009/315/JAI o una solicitud contemplada en el artículo 17, apartado 3, del presente Reglamento.
8. En ausencia de respuesta positiva, el sistema central informará automáticamente a la autoridad competente.
CAPÍTULO III
Retención y modificación de los datos
Artículo 8
Período de retención de los datos conservados
1. Los registros se conservarán en el sistema central durante el tiempo en que los datos relativos a las condenas de la persona en cuestión estén consignados en el registro nacional de antecedentes penales.
2. Cuando finalice el período de retención a que se refiere el apartado 1, la autoridad central del Estado miembro de condena suprimirá los datos registrados, incluidos datos dactiloscópicos e imágenes faciales, del sistema central. La supresión se hará automáticamente, en la medida de lo posible y, en cualquier caso, a más tardar un mes después de la expiración del período de conservación.
Artículo 9
Modificación y supresión de datos.
1. Los Estados miembros podrán modificar o suprimir los datos que hayan introducido en el ECRIS-TCN.
2. Cualquier modificación de la información que figura en los registros de antecedentes penales que dio lugar a la creación de un registro de datos de conformidad con lo dispuesto en el artículo 5, irá seguida, sin demora injustificada, de una modificación idéntica de la información conservada en dicho registro de datos en el sistema central por parte del Estado miembro de condena.
3. Si un Estado miembro de condena tiene motivos para creer que los datos registrados en el sistema central son inexactos o han sido tratados en el sistema central en contravención del presente Reglamento, deberá:
| a) | iniciar inmediatamente un procedimiento para comprobar la exactitud de los datos de que se trate o la legalidad de su tratamiento, según proceda; |
| b) | en caso necesario, rectificarlos o suprimirlos del sistema central sin demora injustificada. |
4. Si un Estado miembro distinto del Estado miembro de condena que haya introducido los datos tiene motivos para creer que los datos registrados en el sistema central son inexactos o que su tratamiento en el sistema central contraviene el presente Reglamento, se pondrá en contacto, sin demora injustificada, con la autoridad central del Estado miembro de condena.
El Estado miembro de condena deberá:
| a) | iniciar inmediatamente un procedimiento para comprobar la exactitud de los datos de que se trate o la legalidad de su tratamiento, según proceda; |
| b) | en caso necesario, rectificarlos o suprimirlos del sistema central sin demora injustificada; |
| c) | informar al otro Estado miembro de que los datos se han rectificado o suprimido, o, en caso contrario, los motivos que lo justifiquen, sin demora indebida. |
CAPÍTULO IV
Desarrollo, funcionamiento y responsabilidades
Artículo 10
Adopción de actos de ejecución por la Comisión
1. La Comisión adoptará los actos de ejecución necesarios para el desarrollo técnico y la aplicación del ECRIS-TCN lo antes posible, y en particular actos relativos a:
| a) | las especificaciones técnicas para el tratamiento de los datos alfanuméricos; |
| b) | las especificaciones técnicas sobre la calidad, la resolución y el tratamiento de las impresiones dactilares; |
| c) | las especificaciones técnicas del programa de interfaz; |
| d) | las especificaciones técnicas sobre la calidad, la resolución y el tratamiento de la imagen facial a los efectos y en las condiciones establecidas en el artículo 6; |
| e) | la calidad de los datos, incluidos un mecanismo de control de la calidad de los datos y los procedimientos correspondientes; |
| f) | la introducción de los datos, de conformidad con lo dispuesto en el artículo 5; |
| g) | el acceso y la consulta al ECRIS-TCN de conformidad con lo dispuesto en el artículo 7; |
| h) | la modificación y supresión de los datos, de conformidad con lo dispuesto en los artículos 8 y 9; |
| i) | la conservación de los registros y el acceso a ellos, de conformidad con lo dispuesto en el artículo 31; |
| j) | el funcionamiento del depósito central y las normas de protección de los datos y de seguridad aplicables al depósito, de conformidad con lo dispuesto en el artículo 32; |
| k) | la facilitación de estadísticas, de conformidad con lo dispuesto en el artículo 32; |
| l) | los requisitos de resultados y disponibilidad del ECRIS-TCN, incluidas las características mínimas y los requisitos sobre el rendimiento biométrico del ECRIS-TCN, en particular en cuanto a los índices requeridos de falsas identificaciones positivas y de falsas identificaciones negativas. |
2. Los actos de ejecución a que se refiere el apartado 1 se adoptarán de conformidad con el procedimiento de examen contemplado en el artículo 38, apartado 2.
Artículo 11
Desarrollo y gestión operativa del ECRIS-TCN
1. La agencia eu-LISA será responsable del desarrollo del ECRIS-TCN de conformidad con el principio de protección de datos desde el diseño y por defecto. Además, eu-LISA será responsable de la gestión operativa del ECRIS-TCN. El desarrollo consistirá en la elaboración y aplicación de las especificaciones técnicas, los ensayos y la coordinación global del proyecto.
2. La agencia eu-LISA será asimismo responsable de profundizar en el desarrollo de la aplicación de referencia del ECRIS y de su mantenimiento.
3. La agencia eu-LISA definirá el diseño de la arquitectura física del ECRIS-TCN, incluidas las especificaciones técnicas y su evolución en lo relativo al sistema central, el punto central de acceso nacional, y el programa de interfaz. Dicho diseño deberá ser aprobado por su Consejo de Administración, previo dictamen favorable de la Comisión.
4. La agencia eu-LISA desarrollará y aplicará el ECRIS-TCN lo antes posible después de la entrada en vigor del presente Reglamento, y tras la adopción por la Comisión de los actos de ejecución previstos en el artículo 10.
5. Antes de la fase de diseño y desarrollo del ECRIS-TCN, el Consejo de Administración de eu-LISA establecerá un Consejo de Administración del Programa compuesto por diez miembros.
El Consejo de Administración del Programa estará compuesto por ocho miembros designados por el Consejo de Administración, el presidente del comité asesor que se menciona en el artículo 39 y un miembro designado por la Comisión. Los miembros designados por el Consejo de Administración serán elegidos únicamente de entre los Estados miembros que estén plenamente obligados, con arreglo al Derecho de la Unión, por los instrumentos legislativos que regulan el ECRIS y que vayan a participar en el ECRIS-TCN. El Consejo de Administración deberá velar por que los miembros que designe para el Consejo de Administración del Programa tengan la experiencia y el conocimiento especializado necesarios en la creación y la gestión de sistemas informáticos que apoyan la labor de las autoridades que gestionan los expedientes judiciales y los registros de antecedentes penales.
La agencia eu-LISA participará en los trabajos del Consejo de Gestión del Programa. A tal fin, representantes de eu-LISA asistirán a las reuniones del Consejo de Gestión del Programa para informar sobre los trabajos relativos a la concepción y el desarrollo del ECRIS-TCN y sobre cualesquiera otros trabajos y actividades conexos.
El Consejo de Administración del Programa se reunirá al menos una vez cada tres meses, y con más frecuencia cuando sea necesario. Garantizará la correcta gestión de la fase de diseño y desarrollo del ECRIS-TCN y la coherencia entre el proyecto central y los proyectos nacionales del ECRIS-TCN, así como con las aplicaciones nacionales del ECRIS. El Consejo de Administración del Programa presentará informes escritos periódicos, a ser posible mensuales, al Consejo de Administración de eu-LISA sobre los avances del proyecto. No tendrá competencias para tomar decisiones ni mandato alguno para representar a los miembros del Consejo de Administración.
6. El Consejo de Administración del Programa establecerá su propio reglamento interno, que incluirá, en particular, normas relativas a:
| a) | la presidencia; |
| b) | los lugares de reunión; |
| c) | la preparación de las reuniones; |
| d) | la admisión de expertos a las reuniones; |
| e) | planes de comunicación que garanticen una información completa a los miembros del Consejo de Administración no participantes. |
7. La presidencia del Consejo de Administración del Programa la ejercerá un Estado miembro que esté plenamente obligado con arreglo al Derecho de la Unión por los instrumentos legislativos que rigen ECRIS y los instrumentos legislativos que rigen el desarrollo, establecimiento, funcionamiento y uso de todos los sistemas informáticos de gran magnitud gestionados por eu-LISA.
8. Todos los gastos de viaje y estancia en que incurran los miembros del Consejo de Administración del Programa serán reembolsados por eu-LISA. Se aplicará, mutatis mutandis, el artículo 10 del reglamento interno de eu-LISA. La secretaría del Consejo de Administración del Programa será asumida por eu-LISA.
9. Durante la fase de diseño y desarrollo, el comité asesor mencionado en el artículo 39 estará compuesto por los gestores de proyectos nacionales del ECRIS-TCN y presidido por eu-LISA. Durante la fase de diseño y desarrollo y hasta el comienzo de las operaciones del ECRIS-TCN, el comité asesor se reunirá periódicamente, a ser posible al menos una vez al mes. Después de cada reunión presentará un informe al Consejo de Administración del Programa. Asimismo, aportará los conocimientos técnicos para apoyar al Consejo de Administración del Programa en sus tareas y realizará un seguimiento del estado de preparación de los Estados miembros.
10. Con objeto de garantizar en todo momento la confidencialidad y la integridad de los datos que se conservan en el ECRIS-TCN, eu-LISA establecerá, en cooperación con los Estados miembros, las medidas técnicas y organizativas apropiadas, teniendo en cuenta el estado de la técnica, el coste del funcionamiento y los riesgos planteados por el tratamiento.
11. La agencia eu-LISA será responsable de las siguientes tareas relacionadas con la infraestructura de comunicación a que se refiere el artículo 4, apartado 1, letra d):
| a) | supervisión; |
| b) | seguridad; |
| c) | coordinación de las relaciones entre los Estados miembros y el proveedor de las infraestructuras de comunicación. |
12. La Comisión será responsable de todas las demás tareas relacionadas con la infraestructura de comunicación a que se refiere el artículo 4, apartado 1, letra d), en particular:
| a) | tareas relacionadas con la ejecución del presupuesto; |
| b) | adquisición y renovación; |
| c) | cuestiones contractuales. |
13. La agencia eu-LISA establecerá y mantendrá mecanismos y procedimientos para llevar a cabo controles de calidad de los datos que se conservan en el ECRIS-TCN y presentará informes periódicos a los Estados miembros. La agencia eu-LISA presentará un informe periódico a la Comisión que exponga los problemas detectados e indique los Estados miembros afectados.
14. La gestión operativa del ECRIS-TCN consistirá en todas las tareas necesarias para mantener el ECRIS-TCN en funcionamiento de conformidad con lo dispuesto en el presente Reglamento y, en particular, en el trabajo de mantenimiento y los desarrollos técnicos necesarios para garantizar que el ECRIS-TCN funciona a un nivel satisfactorio, de acuerdo con las especificaciones técnicas.
15. La agencia eu-LISA desempeñará las tareas relacionadas con la impartición de formación sobre la utilización técnica del ECRIS-TCN y la aplicación de referencia ECRIS.
16. Sin perjuicio de lo dispuesto en el artículo 17 del Estatuto de los funcionarios de la Unión Europea establecido en el Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo (17), eu-LISA aplicará las normas adecuadas sobre secreto profesional u otras obligaciones de confidencialidad equivalentes a todo miembro de su personal que deba trabajar con los datos que se conservan en el sistema central. Esta obligación seguirá siendo aplicable después de que dichos miembros del personal hayan cesado en el cargo o el empleo, o tras la terminación de sus actividades.
Artículo 12
Responsabilidades de los Estados miembros
1. Cada Estado miembro será responsable de:
| a) | garantizar una conexión segura entre sus registros nacionales de antecedentes penales y bases de datos dactiloscópicos y el punto central de acceso nacional; |
| b) | el desarrollo, funcionamiento y mantenimiento de la conexión a la red a que se refiere la letra a); |
| c) | garantizar una conexión entre sus sistemas nacionales y la aplicación de referencia ECRIS; |
| d) | la gestión y las disposiciones oportunas para el acceso al ECRIS-TCN del personal de las autoridades centrales competentes debidamente autorizado, de conformidad con lo dispuesto en el presente Reglamento, así como de la creación y actualización periódica de la lista de dicho personal y sus perfiles mencionados en el artículo 19, apartado 3, letra g). |
2. Cada Estado miembro impartirá una formación adecuada al personal de sus autoridades centrales que tengan acceso al ECRIS-TCN, en particular sobre seguridad de los datos y normas de protección de datos, así como sobre los derechos fundamentales aplicables, antes de autorizarlo a tratar los datos que se conservan en el sistema central.
Artículo 13
Responsabilidades en cuanto a la utilización de los datos
1. De conformidad con las normas de la Unión aplicables en materia de protección de datos, cada Estado miembro velará por que los datos consignados en el ECRIS-TCN se traten legalmente y, en particular, por que:
| a) | solo el personal debidamente autorizado tenga acceso a los datos para el desempeño de sus tareas; |
| b) | los datos sean recogidos legalmente y con pleno respeto de la dignidad humana y de los derechos fundamentales de los nacionales de terceros países afectados; |
| c) | los datos estén introducidos legalmente en el ECRIS-TCN; |
| d) | los datos sean exactos y estén actualizados en el momento de su introducción en el ECRIS-TCN. |
2. La agencia eu-LISA garantizará que el ECRIS-TCN funciona de conformidad con lo dispuesto en el presente Reglamento, con el acto delegado a que se refiere el artículo 6, apartado 2, y con los actos de ejecución a que se refiere el artículo 10, así como con el Reglamento (UE) 2018/1725. En particular, eu-LISA adoptará las medidas necesarias para garantizar la seguridad del sistema central y la infraestructura de comunicación a que se refiere el artículo 4, apartado 1, letra d), sin perjuicio de las responsabilidades de cada Estado miembro.
3. La agencia eu-LISA informará lo antes posible al Parlamento Europeo, al Consejo y a la Comisión, así como al Supervisor Europeo de Protección de Datos, de las medidas que adopte en virtud del apartado 2 para la entrada en funcionamiento del ECRIS-TCN.
4. La Comisión pondrá a disposición de los Estados miembros y de la ciudadanía, la información prevista en el apartado 3, a través de una página web actualizada periódicamente.
Artículo 14
Acceso de Eurojust, Europol y la Fiscalía Europea
1. Eurojust tendrá acceso directo al ECRIS-TCN a efectos de la aplicación del artículo 17, así como del desempeño de sus funciones previstas en el artículo 2 del Reglamento (UE) 2018/1727, para identificar a los Estados miembros que poseen información sobre antecedentes penales de nacionales de terceros países.
2. Europol tendrá acceso directo al ECRIS-TCN a efectos del desempeño de sus funciones previstas en el artículo 4, apartado 1, letras a) a e) y h), del Reglamento (UE) 2016/794, para identificar a los Estados miembros que poseen información sobre antecedentes penales de nacionales de terceros países.
3. La Fiscalía Europea tendrá acceso directo al ECRIS-TCN a efectos del desempeño de sus funciones previstas en el artículo 4 del Reglamento (UE) 2017/1939, para identificar a los Estados miembros que poseen información sobre antecedentes penales de nacionales de terceros países.
4. A raíz de una respuesta positiva que indique los Estados miembros que poseen información sobre antecedentes penales de un nacional de un tercer país, Eurojust, Europol y la Fiscalía Europea podrán utilizar sus respectivos contactos con las autoridades nacionales de esos Estados miembros para solicitar información sobre antecedentes penales en la forma prevista en sus respectivos actos constitutivos.
Artículo 15
Acceso del personal autorizado de Eurojust, Europol y la Fiscalía Europea
Eurojust, Europol y la Fiscalía Europea serán responsables de la gestión y las modalidades de acceso del personal debidamente autorizado al ECRIS-TCN de conformidad con el presente Reglamento; y del establecimiento y la actualización periódica de una lista de dichos miembros del personal y de sus perfiles.
Artículo 16
Responsabilidades de Eurojust, Europol y la Fiscalía Europea
Eurojust, Europol y la Fiscalía Europea:
| a) | establecerán los medios técnicos para conectarse al ECRIS-TCN y serán responsables de mantener dicha conexión; |
| b) | impartirán a los miembros de su personal que tengan un derecho de acceso al ECRIS-TCN antes de autorizarlos a tratar los datos conservados en el sistema central, una formación adecuada que versará, en particular, sobre seguridad de los datos, normas de protección de datos y derechos fundamentales aplicables.; |
| c) | velarán por que los datos personales que traten en el marco del presente Reglamento estén protegidos de conformidad con las normas aplicables en materia de protección de datos. |
Artículo 17
Punto de contacto para terceros países y organizaciones internacionales
1. A los efectos de procesos penales, los terceros países y las organizaciones internacionales podrán dirigir sus solicitudes de información, en su caso, sobre el Estado miembro que posea información sobre antecedentes penales de nacionales de terceros países a Eurojust. Para ello deberán usar el formulario normalizado que figura en el anexo del presente Reglamento.
2. Cuando Eurojust reciba una solicitud en virtud de lo dispuesto en el apartado 1, utilizará el ECRIS-TCN para identificar qué Estado o Estados miembros, en su caso, poseen información sobre antecedentes penales del nacional de un tercer país de que se trate.
3. Cuando haya una respuesta positiva, Eurojust preguntará al Estado miembro que posea información sobre antecedentes penales del nacional del tercer país de que se trate si permite que Eurojust comunique al tercer país u organización internacional el nombre de dicho Estado miembro. Cuando el Estado miembro dé su consentimiento, Eurojust comunicará al tercer país u organización internacional el nombre de dicho Estado miembro, e informará al tercer país u organización internacional del modo en que pueden solicitar extractos de los antecedentes penales a dicho Estado miembro, conforme a los procedimientos aplicables.
4. En caso de ausencia de respuesta positiva o en caso de que Eurojust no pueda responder, de conformidad con lo dispuesto en el apartado 3, a las solicitudes formuladas en virtud del presente artículo, informará al tercer país o a la organización internacional de que se trate de que ha concluido el procedimiento, sin indicar si uno de los Estados miembros posee información sobre los antecedentes penales de la persona de que se trate.
Artículo 18
Transmisión de información a un tercer país, organización internacional o entidad privada
Ni Eurojust, ni Europol, ni la Fiscalía Europea, ni autoridad central alguna podrán transferir a un tercer país, organización internacional o entidad privada o poner a su disposición la información obtenida del ECRIS-TCN relativa a un nacional de un tercer país. El presente artículo se entiende sin perjuicio de lo dispuesto en el artículo 17, apartado 3.
Artículo 19
Seguridad de los datos
1. La agencia eu-LISA adoptará las medidas necesarias para garantizar la seguridad del ECRIS-TCN, sin perjuicio de los deberes de cada Estado miembro, tomando en consideración las medidas de seguridad mencionadas en el apartado 3.
2. En relación con el funcionamiento del ECRIS-TCN, eu-LISA adoptará las medidas necesarias para alcanzar los objetivos enunciados en el apartado 3, incluidos un plan de seguridad y un plan de continuidad de la actividad y de recuperación en caso de catástrofe, y para garantizar que, en caso de interrupción, se restablezcan los sistemas instalados.
3. Los Estados miembros garantizarán la seguridad de los datos antes de su transmisión al punto central de acceso nacional y su recepción por parte de este y durante ellas. En particular, cada Estado miembro deberá:
| a) | proteger los datos físicamente, entre otras cosas mediante la elaboración de planes de emergencia para la protección de las infraestructuras; |
| b) | denegar a las personas no autorizadas el acceso a las instalaciones nacionales en las que el Estado miembro lleve a cabo operaciones relacionadas con el ECRIS-TCN; |
| c) | impedir la lectura, copia, modificación o cancelación no autorizadas de los soportes de datos; |
| d) | impedir la introducción no autorizada de datos y la inspección, la modificación o la supresión no autorizadas de datos personales conservados; |
| e) | impedir el tratamiento no autorizado de datos en el ECRIS-TCN y cualquier modificación o supresión no autorizadas de datos tratados en él; |
| f) | garantizar que las personas autorizadas para acceder al ECRIS-TCN tengan acceso únicamente a los datos cubiertos por su autorización de acceso, exclusivamente mediante identidades de usuario individuales y modos de acceso confidenciales; |
| g) | garantizar que todas las autoridades con derecho de acceso al ECRIS-TCN crean perfiles que describan las funciones y responsabilidades de las personas autorizadas a introducir, rectificar, suprimir, consultar y buscar datos y ponen, sin demora injustificada, esos perfiles a disposición de las autoridades nacionales de control que así lo soliciten; |
| h) | garantizar la posibilidad de comprobar y determinar a qué órganos, organismos y agencias de la Unión pueden transmitirse datos personales mediante equipos de transmisión de datos; |
| i) | garantizar la posibilidad de comprobar y determinar qué datos han sido tratados en el ECRIS-TCN, en qué momento, por quién y con qué fin; |
| j) | impedir la lectura, la copia, la modificación o la supresión no autorizadas de datos personales durante la transmisión de estos hacia o desde el ECRIS-TCN o durante el transporte de soportes de datos, en particular mediante técnicas adecuadas de cifrado; |
| k) | controlar la eficacia de las medidas de seguridad mencionadas en el presente apartado y adoptar las medidas de organización del control y la supervisión internos necesarias para garantizar el cumplimiento del presente Reglamento. |
4. La agencia eu-LISA y los Estados miembros cooperarán para lograr una concepción coherente de la seguridad de los datos basada en un proceso de gestión del riesgo de seguridad que englobe la totalidad del ECRIS-TCN.
Artículo 20
Responsabilidad
1. Cualquier persona o Estado miembro que haya sufrido un perjuicio material o inmaterial como consecuencia de una operación ilegal de tratamiento de datos o de cualquier otro acto incompatible con el presente Reglamento tendrá derecho a recibir una indemnización:
| a) | del Estado miembro responsable del perjuicio sufrido, o |
| b) | de eu-LISA, cuando eu-LISA no haya cumplido sus obligaciones previstas en el presente Reglamento o en el Reglamento (UE) 2018/1725. |
El Estado miembro que sea responsable del daño sufrido o eu-LISA, respectivamente, quedarán exentos de su responsabilidad, total o parcialmente, si demuestran que no son responsables del hecho que originó el perjuicio.
2. Si el incumplimiento por un Estado miembro, Eurojust, Europol o la Fiscalía Europea de las obligaciones que les impone el presente Reglamento causara un perjuicio al ECRIS-TCN, dicho Estado miembro, Eurojust, Europol o la Fiscalía Europea será considerado responsable de dicho perjuicio, salvo y en la medida en que eu-LISA u otro Estado miembro participante en el ECRIS-TCN no hubiese adoptado las medidas adecuadas para impedir que se produjera el perjuicio o para atenuar sus efectos.
3. Las reclamaciones de indemnización contra un Estado miembro por el perjuicio al que se refieren los apartados 1 y 2 estarán sujetas al Derecho nacional del Estado miembro demandado. Las reclamaciones de indemnización contra eu-LISA, Eurojust, Europol y la Fiscalía Europea por el perjuicio al que se refieren los apartados 1 y 2 estarán reguladas por sus respectivos actos constitutivos.
Artículo 21
Autocontrol
Los Estados miembros velarán por que toda autoridad central tome las medidas necesarias para cumplir el presente Reglamento y coopere, en caso necesario, con las autoridades de control.
Artículo 22
Sanciones
Cualquier uso indebido de los datos introducidos en el ECRIS-TCN estará sujeto a sanciones o medidas disciplinarias, de conformidad con el Derecho nacional o de la Unión, que serán efectivas, proporcionadas y disuasorias.
CAPÍTULO V
Derechos y supervisión en materia de protección de datos
Artículo 23
Responsable del tratamiento de los datos y encargado del tratamiento de los datos
1. Cada autoridad central debe considerarse como responsable del tratamiento de los datos de conformidad con las normas de la Unión aplicables en materia de protección de datos para el tratamiento de los datos personales que realice dicho Estado miembro en virtud de lo dispuesto en el presente Reglamento.
2. La agencia eu-LISA será considerada como encargada del tratamiento de los datos de conformidad con lo dispuesto en el Reglamento (UE) 2018/1725, por lo que se refiere a los datos de carácter personal introducidos en el sistema central por parte de los Estados miembros.
Artículo 24
Fines del tratamiento de datos personales
1. Los datos incluidos en el sistema central serán tratados únicamente con fines de identificación de los Estados miembros que poseen información sobre antecedentes penales de nacionales de terceros países.
2. A excepción del personal debidamente autorizado de Eurojust, Europol y la Fiscalía Europea, que tendrá acceso al ECRIS-TCN a los efectos del presente Reglamento, el acceso al ECRIS-TCN estará reservado exclusivamente al personal debidamente autorizado de las autoridades centrales. El acceso se limitará a lo que sea necesario para el desempeño de las tareas de conformidad con los fines mencionados en el apartado 1, y a lo que resulte necesario y proporcionado a los objetivos perseguidos.
Artículo 25
Derecho de acceso, rectificación supresión y restricción del tratamiento
1. Las solicitudes de los nacionales de terceros países relativas a los derechos de acceso a los datos personales y a la rectificación y supresión y a la restricción del tratamiento de datos personales, establecidos en las normas de la Unión aplicables en materia de protección de datos, podrán dirigirse a la autoridad central de cualquier Estado miembro.
2. Cuando la solicitud se presente a un Estado miembro distinto del de condena, el Estado miembro al que se ha presentado la solicitud la remitirá al de condena sin demora injustificada y, en cualquier caso, en el plazo de los diez días hábiles siguientes a la recepción de la solicitud. Una vez recibida la solicitud, el Estado miembro de condena deberá:
| a) | iniciar inmediatamente un procedimiento para comprobar la exactitud de los datos de que se trate o la legalidad de su tratamiento en el ECRIS-TCN; y |
| b) | responder sin demora injustificada al Estado miembro que haya transmitido la solicitud. |
3. Si se advirtiese que los datos registrados en el ECRIS-TCN son inexactos o se han tratado ilegalmente, el Estado miembro de condena rectificará o suprimirá los datos de conformidad con lo dispuesto en el artículo 9. El Estado miembro de condena o, cuando proceda, el Estado miembro al que se haya presentado la solicitud confirmará a la persona interesada, por escrito y sin demora injustificada, que ha tomado medidas para rectificar o suprimir los datos que le conciernen. El Estado miembro de condena también informará sin demora injustificada a cualquier otro Estado miembro que haya recibido información sobre condenas, obtenida como resultado de una consulta del ECRIS-TCN, sobre el curso dado a la misma.
4. Si el Estado miembro de condena no admite que los datos registrados en el ECRIS-TCN son materialmente inexactos o han sido introducidos ilegalmente, dicho Estado miembro adoptará una decisión administrativa o judicial exponiendo a la persona interesada, por escrito, los motivos para no rectificar o suprimir los datos que le conciernen. Estos casos podrán, si procede, comunicarse a la autoridad nacional de control.
5. El Estado miembro que haya adoptado la decisión en virtud del apartado 4 informará también a la persona interesada de las medidas que dicha persona puede tomar en el caso de que no considere satisfactoria la motivación facilitada conforme al apartado 4. Esta comunicación incluirá información sobre cómo ejercitar una acción judicial o presentar una reclamación ante las autoridades u órganos jurisdiccionales competentes de dicho Estado miembro y sobre la asistencia, incluso de las autoridades nacionales de control, disponible de conformidad con el Derecho nacional de dicho Estado miembro.
6. Cualquier solicitud realizada de conformidad con lo dispuesto en el apartado 1 deberá contener la información necesaria para identificar a la persona en cuestión. Dicha información solo se utilizará para posibilitar el ejercicio de los derechos a que se refiere el apartado 1, tras lo cual se procederá inmediatamente a su supresión.
7. Cuando se aplique el apartado 2, la autoridad central a quien se ha dirigido la solicitud guardará constancia, mediante documento escrito, de que dicha solicitud se ha presentado y de qué manera se ha tramitado y por qué autoridad. A petición de una autoridad nacional de control, la autoridad central pondrá sin demora ese documento a disposición de dicha autoridad nacional de control. La autoridad central y la autoridad nacional de control suprimirán dichos registros a los tres años de su creación.
Artículo 26
Cooperación para garantizar el respeto de los derechos en materia de protección de datos
1. Las autoridades centrales cooperarán entre sí con el fin de garantizar el respeto de los derechos establecidos en el artículo 25.
2. En cada Estado miembro, la autoridad nacional de control, previa solicitud, facilitará información a la persona interesada sobre el modo de ejercer su derecho a rectificar o suprimir los datos que le conciernen, de conformidad con las normas de la Unión aplicables en materia de protección de datos.
3. A efectos del presente artículo, la autoridad nacional de control del Estado miembro que haya transmitido los datos y la autoridad nacional de control de los Estados miembros a los que se haya presentado la solicitud cooperarán entre sí.
Artículo 27
Vías de recurso
Toda persona tendrá derecho a presentar una reclamación y a interponer un recurso en el Estado miembro de condena que haya denegado el derecho de acceso, rectificación o supresión de los datos que le conciernan, a que se refiere el artículo 25, de conformidad con la legislación nacional o de la Unión.
Artículo 28
Supervisión por parte de las autoridades nacionales de control
1. Cada Estado miembro garantizará que las autoridades nacionales de control designadas con arreglo a las normas de la Unión aplicables en materia de protección de datos controlen la legalidad del tratamiento de los datos personales a que se refieren los artículos 5 y 6 por el Estado miembro en cuestión, incluida su transmisión al y desde el ECRIS-TCN.
2. La autoridad nacional de control garantizará que se lleve a cabo una auditoría de las operaciones de tratamiento de datos en las bases nacionales de datos de antecedentes penales y dactiloscópicos relacionadas con el intercambio de datos entre dichos sistemas y el ECRIS-TCN, conforme a las normas internacionales de auditoría pertinentes, al menos cada tres años desde la fecha en que el ECRIS-TCN empiece a estar operativo.
3. Los Estados miembros garantizarán que sus autoridades nacionales de control dispongan de medios suficientes para desempeñar las tareas que les encomiendan el presente Reglamento.
4. Cada Estado miembro proporcionará cualquier información que le soliciten las autoridades nacionales de control y, en particular, les facilitará información relativa a las actividades realizadas de conformidad con lo dispuesto en los artículos 12, 13 y 19. Cada Estado miembro concederá a las autoridades nacionales de control el acceso a sus registros de conformidad con lo dispuesto en el artículo 25, apartado 7, y a sus registros de conformidad con lo dispuesto en el artículo 31, apartado 6, y les permitirá acceder en todo momento a todas sus instalaciones relacionadas con el ECRIS-TCN.
Artículo 29
Supervisión por parte del Supervisor Europeo de Protección de Datos
1. El Supervisor Europeo de Protección de Datos controlará que las actividades de tratamiento de datos personales de eu-LISA en relación con el ECRIS-TCN se lleven a cabo de conformidad con lo dispuesto en el presente Reglamento.
2. El Supervisor Europeo de Protección de Datos velará por que, al menos cada tres años, se lleve a cabo una auditoría de las actividades de tratamiento de datos personales de eu-LISA con arreglo a las normas internacionales de auditoría pertinentes. Se enviará un informe de la auditoría al Parlamento Europeo, el Consejo, la Comisión, eu-LISA y las autoridades de control. Se brindará a eu-LISA la oportunidad de formular comentarios antes de que el informe sea adoptado.
3. La agencia eu-LISA facilitará la información solicitada por el Supervisor Europeo de Protección de Datos, a quien dará acceso a todos los documentos y a los registros mencionados en el artículo 31 y a quien permitirá acceder a todas sus instalaciones en todo momento.
Artículo 30
Cooperación entre las autoridades nacionales de control y el Supervisor Europeo de Protección de Datos
Se garantizará la coordinación de la supervisión del ECRIS-TCN, de conformidad con lo dispuesto en el artículo 62 del Reglamento (UE) 2018/1725.
Artículo 31
Mantenimiento de registros
1. La agencia eu-LISA y las autoridades competentes garantizarán, de acuerdo con sus atribuciones respectivas, que todas las operaciones de tratamiento de datos efectuadas en el ECRIS-TCN se registren de conformidad con lo dispuesto en el apartado 2, a fin de comprobar la admisibilidad de las solicitudes, controlar la integridad y seguridad de los datos y la legalidad de su tratamiento, así como con fines de autocontrol.
2. En el registro se indicarán:
| a) | la finalidad de la solicitud de acceso a los datos del ECRIS-TCN; |
| b) | los datos transmitidos a que se refiere el artículo 5; |
| c) | el número de referencia del expediente nacional; |
| d) | la fecha y hora exacta de la operación; |
| e) | los datos utilizados para una consulta; |
| f) | la marca identificadora del funcionario que haya realizado la búsqueda. |
3. El registro de las consultas y de las divulgaciones permitirá determinar la justificación de tales operaciones.
4. Los registros solo se utilizarán para el control de la legalidad del tratamiento de datos y para garantizar la integridad y la seguridad de los mismos. Solo los registros que contengan datos de carácter no personal podrán utilizarse para el control y la evaluación a que se refiere el artículo 36. Estos registros deberán estar adecuadamente protegidos contra el acceso no autorizado y ser suprimidos transcurrido el plazo de tres años, siempre que no se necesiten para procedimientos de control ya iniciados.
5. La agencia eu-LISA, previa solicitud, pondrá los registros de sus operaciones de tratamiento a disposición de las autoridades centrales, sin demora injustificada.
6. Las autoridades nacionales de control competentes, responsables de controlar la admisibilidad de la solicitud y la legalidad del tratamiento de datos y la integridad y seguridad de estos, tendrán acceso a dichos registros previa solicitud, a fin de poder desempeñar sus funciones. Las autoridades centrales, previa solicitud, pondrán los registros de sus operaciones de tratamiento a disposición de las autoridades nacional de control competentes, sin demora injustificada.
CAPÍTULO VI
Disposiciones finales
Artículo 32
Uso de datos para la presentación de informes y estadísticas
1. El personal debidamente autorizado de eu-LISA, de las autoridades competentes y de la Comisión tendrán acceso a los datos tratados en el ECRIS-TCN únicamente a efectos de la elaboración de informes y estadísticas, sin que les esté permitida la identificación individual.
2. A los efectos del apartado 1, eu-LISA creará, mantendrá y albergará, en su centro o centros técnicos, un depósito central con los datos a que se refiere el apartado 1 y que, sin permitir la identificación individual, permita obtener informes y estadísticas personalizables. El acceso al depósito central se concederá por medio de un acceso seguro con control de acceso y perfiles de usuario específicos, únicamente a efectos de la elaboración de informes y estadísticas.
3. Los procedimientos para supervisar el funcionamiento del ECRIS-TCN establecidos por eu-LISA y mencionados en el artículo 36, así como la aplicación de referencia ECRIS, incluirán la posibilidad de elaborar estadísticas periódicas con fines de supervisión.
Mensualmente, eu-LISA transmitirá a la Comisión estadísticas relativas a la recogida, la conservación y el intercambio de información extraída de los registros de antecedentes penales a través del ECRIS-TCN y la aplicación de referencia ECRIS. eu-LISA garantizará que no sea posible la identificación individual con base en dichas estadísticas. A petición de la Comisión, eu-LISA le proporcionará estadísticas sobre aspectos específicos relacionados con la aplicación del presente Reglamento.
4. Los Estados miembros facilitarán a eu-LISA las estadísticas necesarias para el cumplimiento de las obligaciones a que se refiere el presente artículo. Asimismo, facilitarán a la Comisión estadísticas sobre el número de nacionales de terceros países condenados, así como el número de condenas de nacionales de terceros países dictadas en su territorio.
Artículo 33
Costes
1. Los costes aparejados a la creación y el funcionamiento del sistema central, la infraestructura de comunicación a que se refiere el artículo 4, apartado 1, letra d), el programa de interfaz y la aplicación de referencia ECRIS serán sufragados por el presupuesto general de la Unión.
2. Los costes de la conexión de Eurojust, Europol y la Fiscalía Europea al ECRIS-TCN serán sufragados por sus presupuestos respectivos.
3. Los demás costes serán sufragados por los Estados miembros, en particular los derivados de la conexión de los registros nacionales de antecedentes penales existentes, las bases de datos dactiloscópicos y las autoridades centrales al ECRIS-TCN, así como los costes derivados de albergar la aplicación de referencia ECRIS.
Artículo 34
Notificaciones
1. Cada Estado miembro notificará a eu-LISA su autoridad central, o autoridades, que tenga acceso para introducir, rectificar, suprimir, consultar o buscar datos, así como cualquier cambio a este respecto.
2. La agencia eu-LISA garantizará la publicación de la lista de autoridades centrales notificadas por los Estados miembros tanto en el Diario Oficial de la Unión Europea como en su sitio internet. Cuando eu-LISA reciba una notificación de un cambio de la autoridad central de un Estado miembro, actualizará la lista sin demora injustificada.
Artículo 35
Introducción de los datos y entrada en funcionamiento
1. Cuando la Comisión se haya asegurado de que se cumplen las condiciones siguientes, determinará la fecha a partir de la cual los Estados miembros deberán empezar a introducir los datos mencionados en el artículo 5 en el ECRIS-TCN:
| a) | se han adoptado los actos de ejecución correspondientes a que se refiere el artículo 10; |
| b) | los Estados miembros han validado las disposiciones legales y técnicas necesarias para recopilar y transmitir al ECRIS-TCN los datos a que se refiere el artículo 5 y las han notificado a la Comisión; |
| c) | la agencia eu-LISA ha llevado a cabo una prueba exhaustiva del ECRIS-TCN, en cooperación con los Estados miembros, empleando datos de prueba anónimos. |
2. Cuando la Comisión haya determinado la fecha de comienzo de la introducción de datos de conformidad con lo dispuesto en el apartado 1, comunicará dicha fecha a los Estados miembros. En un plazo de dos meses a partir de dicha fecha, los Estados miembros introducirán en el ECRIS-TCN los datos a que se refiere el artículo 5, teniendo en cuenta lo dispuesto en el artículo 41, apartado 2.
3. Tras el fin del período mencionado en el apartado 2, eu-LISA realizará una última prueba del ECRIS-TCN, en cooperación con los Estados miembros.
4. Cuando se haya realizado con éxito la prueba mencionada en el apartado 3 y eu-LISA considere que el ECRIS-TCN está listo para entrar en funcionamiento, informará de ello a la Comisión. La Comisión informará al Parlamento Europeo y al Consejo de los resultados de la prueba y decidirá la fecha en la que el ECRIS-TCN entrará en funcionamiento.
5. La decisión de la Comisión relativa a la fecha de entrada en funcionamiento del ECRIS-TCN a que se refiere el apartado 4 se publicará en el Diario Oficial de la Unión Europea.
6. Los Estados miembros empezarán a utilizar el ECRIS-TCN a partir de la fecha determinada por la Comisión de conformidad con lo dispuesto en el apartado 4.
7. Cuando adopte las decisiones mencionadas en el presente artículo, la Comisión podrá especificar fechas diferentes para la introducción en el ECRIS-TCN de datos alfanuméricos y dactiloscópicos mencionados en el artículo 5, así como para la entrada en funcionamiento en lo que respecta a las distintas categorías de datos.
Artículo 36
Seguimiento y evaluación
1. La agencia eu-LISA velará por que se establezcan procedimientos para supervisar el desarrollo del ECRIS-TCN a la luz de los objetivos en materia de planificación y costes, y el funcionamiento del ECRIS-TCN y de la aplicación de referencia ECRIS a la luz de los objetivos en materia de resultados técnicos, rentabilidad, seguridad y calidad del servicio.
2. Con el fin de controlar el funcionamiento del ECRIS-TCN y su mantenimiento técnico, eu-LISA tendrá acceso a la información necesaria relacionada con las operaciones de tratamiento de datos realizadas en el ECRIS-TCN y en la aplicación de referencia ECRIS.
3. A más tardar el 12 de diciembre de 2019, y posteriormente cada seis meses durante la fase de concepción y de desarrollo, eu-LISA presentará un informe al Parlamento Europeo y al Consejo sobre el estado de desarrollo del ECRIS-TCN y la aplicación de referencia ECRIS.
4. El informe a que se refiere el apartado 3 incluirá una visión general de los costes actuales y de la evolución del proyecto, una evaluación de las repercusiones financieras, así como información sobre todo problema técnico o riesgo que pueda incidir en los costes totales del ECRIS-TCN sufragados por el presupuesto general de la Unión de conformidad con lo dispuesto en el artículo 33.
5. En caso de retrasos importantes en el proceso de desarrollo, eu-LISA informará al Parlamento Europeo y al Consejo lo antes posible de los motivos de dichos retrasos y de las implicaciones financieras y la incidencia en el calendario.
6. Una vez finalizado el desarrollo del ECRIS-TCN y la aplicación de referencia ECRIS, eu-LISA presentará un informe al Parlamento Europeo y al Consejo en el que se explique cómo se han conseguido los objetivos, en particular en lo relativo a la planificación y los costes, y se justifique toda divergencia.
7. En caso de que se lleve a cabo una actualización técnica del ECRIS-TCN que pueda generar costes sustanciales, eu-LISA informará al Parlamento Europeo y al Consejo.
8. Dos años después de la entrada en funcionamiento del ECRIS-TCN y cada año a partir de esa fecha, eu-LISA presentará a la Comisión un informe sobre el funcionamiento técnico, incluida la seguridad, del ECRIS-TCN y la aplicación de referencia ECRIS, basado en particular en las estadísticas sobre el funcionamiento y la utilización del ECRIS-TCN y en el intercambio, a través de la aplicación de referencia ECRIS, de información extraída de los registros de antecedentes penales.
9. Cuatro años después de la entrada en funcionamiento del ECRIS-TCN y cada cuatro años a partir de esa fecha, la Comisión llevará a cabo una evaluación global del ECRIS-TCN y la aplicación de referencia ECRIS. El informe de evaluación global elaborado sobre esta base incluirá una evaluación de la aplicación del presente Reglamento y un análisis de los resultados obtenidos en relación con los objetivos establecidos y de las repercusiones en los derechos fundamentales. El informe incluirá también una evaluación de si la justificación subyacente del funcionamiento del ECRIS-TCN sigue siendo válida, de la idoneidad de los datos biométricos utilizados para los fines del ECRIS-TCN y de la seguridad del ECRIS-TCN, así como de cualquier implicación en materia de seguridad para operaciones futuras. La evaluación incluirá las eventuales recomendaciones necesarias. La Comisión transmitirá el informe al Parlamento Europeo, al Consejo, al Supervisor Europeo de Protección de Datos y a la Agencia de los Derechos Fundamentales de la Unión Europea.
10. Además, la primera evaluación global a que se refiere el apartado 9 incluirá un estudio de:
| a) | la medida en que, a partir de los datos estadísticos pertinentes y de la información adicional proporcionada por los Estados miembros, la inclusión en el ECRIS-TCN de datos de identidad de ciudadanos de la Unión que tengan también la nacionalidad de un tercer país ha contribuido a la consecución de los objetivos del presente Reglamento; |
| b) | la posibilidad de que algunos Estados miembros sigan utilizando sus aplicaciones nacionales ECRIS, mencionada en el artículo 4; |
| c) | la inclusión de datos dactiloscópicos en el ECRIS-TCN, en particular la aplicación de los criterios mínimos contemplados en el artículo 5, apartado 1, letra b), inciso ii); |
| d) | el impacto del ECRIS y del ECRIS-TCN en materia de protección de los datos de carácter personal. |
El informe podrá ir acompañado, en caso necesario, de propuestas legislativas. Las evaluaciones globales posteriores podrán incluir un análisis de cualquiera o de la totalidad de aspectos señalados.
11. Los Estados miembros, Eurojust, Europol y la Fiscalía Europea proporcionarán a eu-LISA y a la Comisión la información necesaria para elaborar los informes a que se refieren los apartados 3, 8 y 9 con arreglo a los indicadores cuantitativos previamente definidos por la Comisión, eu-LISA o ambos. Esa información no deberá poner en peligro los métodos de trabajo ni incluir información sobre fuentes, miembros del personal o investigaciones.
12. Cuando proceda, las autoridades nacionales de control proporcionarán a eu-LISA y a la Comisión la información necesaria para elaborar los informes a que se refiere el apartado 9 con arreglo a los indicadores cuantitativos previamente definidos por la Comisión, eu-LISA o ambos. Esa información no deberá poner en peligro los métodos de trabajo ni incluir información sobre fuentes, miembros del personal o investigaciones.
13. La agencia eu-LISA facilitará a la Comisión la información necesaria para realizar la evaluación global a que se refiere el apartado 9.
Artículo 37
Ejercicio de la delegación
1. Se otorgan a la Comisión los poderes para adoptar actos delegados en las condiciones establecidas en el presente artículo.
2. Los poderes para adoptar actos delegados mencionados en el artículo 6, apartado 2, se otorgan a la Comisión por un período de tiempo indefinido a partir del 11 de junio de 2019.
3. La delegación de poderes mencionada en el artículo 6, apartado 2, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. La decisión surtirá efecto al día siguiente de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en la misma. No afectará a la validez de los actos delegados que ya estén en vigor.
4. Antes de la adopción de un acto delegado, la Comisión consultará a los expertos designados por cada Estado miembro de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación.
5. Tan pronto como la Comisión adopte un acto delegado lo notificará simultáneamente al Parlamento Europeo y al Consejo.
6. Los actos delegados adoptados en virtud del artículo 6, apartado 2, entrarán en vigor únicamente si, en un plazo de [dos meses] desde su notificación al Parlamento Europeo y al Consejo, ninguna de estas instituciones formula objeciones o si, antes del vencimiento de dicho plazo, ambas informan a la Comisión de que no las formularán. El plazo se prorrogará [dos meses] a iniciativa del Parlamento Europeo o del Consejo.
Artículo 38
Procedimiento de comité
1. La Comisión estará asistida por un comité. Dicho comité será un comité en el sentido del Reglamento (UE) n.o 182/2011.
2. En los casos en que se haga referencia al presente apartado, se aplicará el artículo 5 del Reglamento (UE) n.o 182/2011.
En caso de que el comité no emita un dictamen, la Comisión no adoptará el proyecto de acto de ejecución y se aplicará el artículo 5, apartado 4, párrafo tercero, del Reglamento (UE) n.o 182/2011.
Artículo 39
Comité asesor
La agencia eu-LISA creará un comité asesor con objeto de adquirir conocimientos técnicos relacionados con el ECRIS-TCN y la aplicación de referencia ECRIS, en particular en el contexto de la preparación de su programa de trabajo anual y de su informe de actividad anual. Durante la fase de diseño y desarrollo, se aplicará el artículo 11, apartado 9.
Artículo 40
Modificaciones del Reglamento (UE) 2018/1726
El Reglamento (UE) 2018/1726 se modifica como sigue:
| 1) | En el artículo 1, el apartado 4 se sustituye por el texto siguiente: «4. La Agencia se encargará de la preparación, el desarrollo o la gestión operativa del Sistema de Entradas y Salidas (SES), DubliNet, el Sistema Europeo de Información y Autorización de Viajes (SEIAV), el ECRIS-TCN y la aplicación de referencia ECRIS.». |
| 2) | Se inserta el artículo siguiente: «Artículo 8 bis Funciones relacionadas con el ECRIS-TCN y la aplicación de referencia ECRIS En relación con el ECRIS-TCN y la aplicación de referencia ECRIS, la Agencia desempeñará:
(*1) Reglamento (UE) 2019/816 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, por el que se establece un sistema centralizado para la identificación de los Estados miembros que poseen información sobre condenas de nacionales de terceros países y apátridas a fin de complementar el Sistema Europeo de Información de Antecedentes Penales (ECRIS-TCN) y por el que se modifica el Reglamento (UE) 2018/1726 (DO L 135 de 22.5.2019, p. 1).».' |
| 3) | En el artículo 14, el apartado 1 se sustituye por el texto siguiente: «1. La Agencia seguirá la evolución en investigación que sea pertinente para la gestión operativa del SIS II, el VIS, Eurodac, el SES, el SEIAV, DubliNet, el ECRIS-TCN y de otros sistemas informáticos de gran magnitud mencionados en el artículo 1, apartado 5.». |
| 4) | En el artículo 19, el apartado 1 se modifica como sigue:
|
| 5) | En el artículo 22, apartado 4, se añade el siguiente párrafo tras el párrafo tercero: «Eurojust, Europol y la Fiscalía Europea podrán asistir a las reuniones del Consejo de Administración en calidad de observadores siempre que en el orden del día figure una cuestión relativa al ECRIS-TCN en relación con la aplicación del Reglamento (UE) 2019/816.». |
| 6) | El artículo 24, apartado 3, la letra p) se sustituye por el texto siguiente:
|
| 7) | En el artículo 27, apartado 1, se añade la siguiente letra:
|
Artículo 41
Aplicación y disposiciones transitorias
1. Los Estados miembros adoptarán las medidas necesarias para cumplir el presente Reglamento lo antes posible, a fin de velar por el correcto funcionamiento del ECRIS-TCN.
2. Para las condenas dictadas antes de la fecha de inicio de la introducción de los datos de conformidad con lo dispuesto en el artículo 35, apartado 1, las autoridades centrales deberán crear los registros individuales de datos en el sistema central de la siguiente manera:
| a) | los datos alfanuméricos deberán haberse introducido en el sistema central al final del plazo establecido en el artículo 35, apartado 2; |
| b) | los datos dactiloscópicos deberán haberse introducido en el sistema central dos años después de la entrada en funcionamiento de conformidad con el artículo 35, apartado 4. |
Artículo 42
Entrada en vigor
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en los Estados miembros de conformidad con los Tratados.
Hecho en Estrasburgo, el 17 de abril de 2019.
Por el Parlamento Europeo
El Presidente
A. TAJANI
Por el Consejo
El Presidente
G. CIAMBA
(1) Posición del Parlamento Europeo de 12 de marzo de 2019 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 9 de abril de 2019.
(2) Decisión Marco 2008/675/JAI del Consejo, de 24 de julio de 2008, relativa a la consideración de las resoluciones condenatorias entre los Estados miembros de la Unión Europea con motivo de un nuevo proceso penal (DO L 220 de 15.8.2008, p. 32).
(3) Decisión Marco 2009/315/JAI del Consejo, de 26 de febrero de 2009, relativa a la organización y al contenido del intercambio de información de los registros de antecedentes penales entre los Estados miembros (DO L 93 de 7.4.2009, p. 23).
(4) Decisión 2009/316/JAI del Consejo, de 6 de abril de 2009, por la que se establece el Sistema Europeo de Información de Antecedentes Penales (ECRIS) en aplicación del artículo 11 de la Decisión Marco 2009/315/JAI (DO L 93 de 7.4.2009, p. 33).
(5) Reglamento (UE) 2018/1726 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018, relativo a la Agencia de la Unión Europea para la Gestión Operativa de Sistemas Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia (eu-LISA), y por el que se modifican el Reglamento (CE) n.o 1987/2006 y la Decisión 2007/533/JAI del Consejo y se deroga el Reglamento (UE) n.o 1077/2011 (DO L 295 de 21.11.2018, p. 99).
(6) Directiva 2011/93/UE del Parlamento Europeo y del Consejo, de 13 de diciembre de 2011, relativa a la lucha contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil y por la que se sustituye la Decisión marco 2004/68/JAI del Consejo (DO L 335 de 17.12.2011, p. 1).
(7) Reglamento (UE) 2018/1727 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018, sobre la Agencia de la Unión Europea para la Cooperación Judicial Penal (Eurojust) y por la que se sustituye y deroga la Decisión 2002/187/JAI del Consejo (DO L 295 de 21.11.2018, p. 138).
(8) Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, relativo a la Agencia de la Unión Europea para la Cooperación Policial (Europol) y por el que se sustituyen y derogan las Decisiones 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI y 2009/968/JAI del Consejo (DO L 135 de 24.5.2016, p. 53).
(9) Reglamento (UE) 2017/1939 del Consejo, de 12 de octubre de 2017, por el que se establece una cooperación reforzada para la creación de la Fiscalía Europea (DO L 283 de 31.10.2017, p. 1).
(10) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).
(11) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
(12) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).
(13) DO L 123 de 12.5.2016, p. 1.
(14) Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).
(15) Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1).
(16) DO C 55 de 14.2.2018, p. 4.
(17) DO L 56 de 4.3.1968, p. 1.
ANEXO
FORMULARIO NORMALIZADO DE SOLICITUD DE INFORMACIÓN A QUE SE REFIERE EL ARTÍCULO 17, APARTADO 1, DEL REGLAMENTO (UE) 2019/816 A EFECTOS DE OBTENER INFORMACIÓN SOBRE EL ESTADO MIEMBRO QUE PUEDA DISPONER DE INFORMACIÓN DE ANTECEDENTES PENALES DE UN NACIONAL DE UN TERCER PAÍS
Este documento contiene un PDF, para descargarlo pulse AQUI