Resumen del dictamen del Supervisor Europeo de Protección de Datos sobre la participación en las negociaciones con vistas a un Segundo Protocolo adicional al Convenio de Budapest sobre la Ciberdelincuencia 2019/C 186/05, - Diario Oficial de la Unión Europea, de 03-06-2019

Tiempo de lectura: 13 min

Tiempo de lectura: 13 min

Texto

Ambito: DOUE

Órgano emisor: SUPERVISOR EUROPEO DE PROTECCION DE DATOS

Boletín: Diario Oficial de la Unión Europea Número 144

F. Publicación: 03/06/2019

Documento oficial en PDF: Enlace

Esta normal es una reproducción del texto publicando en el Diario Oficial de la Unión Europea Número 144 de 03/06/2019 y no contiene posibles reformas posteriores

Resumen del dictamen del Supervisor Europeo de Protección de Datos sobre la participación en las negociaciones con vistas a un Segundo Protocolo adicional al Convenio de Budapest sobre la Ciberdelincuencia

[El texto completo del presente dictamen está disponible en inglés, francés y alemán en el sitio web del SEPD: www.edps.europa.eu.]

(2019/C 186/05)

El 5 de febrero de 2019, la Comisión Europea emitió una Recomendación de Decisión del Consejo por la que se autoriza a la Comisión a participar en nombre de la Unión Europea en las negociaciones de un Segundo Protocolo adicional al Convenio de Budapest sobre la Ciberdelincuencia. El anexo de la Recomendación establece las directrices recomendadas del Consejo para negociar el protocolo. El objetivo de este protocolo es mejorar el canal de cooperación tradicional e incluir disposiciones para la cooperación directa entre las autoridades con funciones coercitivas y los proveedores de servicios transfronterizos, así como disposiciones sobre el acceso directo a los datos por parte de dichas autoridades.

El SEPD acoge favorablemente y apoya activamente la recomendación de que se autorice a la Comisión Europea a negociar, en nombre de la Unión Europea, un segundo protocolo adicional al Convenio sobre la Ciberdelincuencia. Como argumenta desde hace tiempo el SEPD, la UE necesita regímenes sostenibles para intercambiar datos personales con terceros países con fines policiales y judiciales, que sean plenamente compatibles con los Tratados de la UE y la Carta de los Derechos Fundamentales. Incluso en la investigación de casos nacionales, las autoridades con funciones coercitivas se encuentran cada vez más en «situaciones transfronterizas», debido al hecho de que la información se almacena electrónicamente en un tercer país. El creciente volumen de solicitudes y la volatilidad de la información ejercen una presión sobre los modelos de cooperación existentes, como los tratados de asistencia jurídica mutua. El SEPD entiende que las autoridades se enfrentan a una carrera contrarreloj a la hora de obtener datos para sus investigaciones y apoya los esfuerzos para idear nuevos modelos de cooperación, también en el contexto de la cooperación con terceros países.

El presente dictamen tiene por objeto proporcionar un asesoramiento constructivo y objetivo a las instituciones de la UE, ya que el Consejo ha de presentar sus directrices antes del inicio de esta delicada tarea con amplias ramificaciones. El SEPD hace hincapié en la necesidad de garantizar el pleno respeto de los derechos fundamentales, incluida la privacidad y la protección de los datos personales. Aunque el SEPD reconoce que no es posible replicar en su totalidad la terminología y las definiciones del Derecho de la Unión en un acuerdo con terceros países, las garantías para las personas deben ser claras y eficaces para cumplir plenamente el Derecho primario de la UE. En los últimos años, el Tribunal de Justicia de la Unión Europea ha afirmado algunos principios de la protección de datos, entre ellos, la objetividad, exactitud y pertinencia de la información, la supervisión independiente y los derechos individuales de las personas. Estos principios son tan pertinentes para los organismos públicos como lo son para las empresas privadas y resultan tanto más importantes cuando se trata de la sensibilidad de los datos necesarios para las investigaciones penales.

Se acogen con satisfacción muchas salvaguardias ya previstas pero estas deben reforzarse. El SEPD ha identificado tres mejoras principales que recomienda para que las directrices de negociación cumplan lo dispuesto en la Carta y en el artículo 16 el TFUE:


-	garantizar el carácter obligatorio del protocolo previsto;


-	incluir garantías detalladas, incluido el principio de limitación de finalidad, debido a que no todos de los diversos firmantes potenciales son parte del Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal o han celebrado un acuerdo equivalente al acuerdo marco UE-EE. UU.;


-	oponerse a cualquier disposición sobre el acceso directo a los datos.

Además, el dictamen ofrece nuevas recomendaciones para mejorar y aclarar las directrices de negociación. El SEPD sigue estando a disposición de las instituciones para proporcionar asesoramiento adicional durante las negociaciones y antes de la finalización del Protocolo.

1. INTRODUCCIÓN Y ANTECEDENTES


	1.	El 17 de abril de 2018, la Comisión emitió un paquete con dos propuestas legislativas: una propuesta de Reglamento sobre las órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal (1) (en lo sucesivo, «la propuesta sobre pruebas electrónicas»), y una propuesta de Directiva por la que se establecen normas armonizadas para la designación de representantes legales a efectos de recabar pruebas para procesos penales (2). Mientras el trabajo continúa en el Parlamento Europeo, el Consejo de la Unión Europea (el Consejo) ha adoptado un enfoque general sobre estas dos propuestas (3).


	2.	El 5 de febrero de 2019, la Comisión adoptó dos recomendaciones de Decisiones del Consejo: una recomendación para autorizar la apertura de negociaciones con vistas a un acuerdo internacional entre la Unión Europea (UE) y los Estados Unidos de América (EE. UU.) sobre el acceso transfronterizo a pruebas electrónicas para la cooperación judicial en materia penal (4) y una recomendación para autorizar la participación de la Comisión, en nombre de la UE, en las negociaciones sobre un Segundo Protocolo adicional al Convenio del Consejo de Europa sobre la Ciberdelincuencia (STE n.º 185) (en lo sucesivo, «la Recomendación») (5). La primera recomendación es objeto de otro dictamen del SEPD (6). No obstante, el Supervisor Europeo de Protección de Datos (SEPD) considera que ambas negociaciones con los Estados Unidos y el Consejo de Europa están estrechamente relacionadas.


	3.	La Recomendación se adoptó sobre la base del procedimiento establecido en el artículo 218 del Tratado de Funcionamiento de la Unión Europea (TFUE) para los acuerdos celebrados entre la UE y los terceros países. Con esta Recomendación, la Comisión pretende obtener la autorización del Consejo para ser nombrado negociador en nombre de la UE para el segundo protocolo adicional al Convenio de Budapest sobre la Ciberdelincuencia (STCE n.º 185) (7), a lo largo de las directrices de negociación adjuntas a la Recomendación. El anexo de la Recomendación (en lo sucesivo, «el anexo») es de la máxima importancia, ya que establece las directrices recomendadas por el Consejo a la Comisión para negociar, en nombre de la UE, el protocolo. Una vez finalizadas las negociaciones y con el fin de celebrar este acuerdo, el Parlamento Europeo deberá otorgar su consentimiento al texto del acuerdo negociado, mientras que el Consejo tendrá que adoptar una decisión de celebración del acuerdo. El SEPD espera ser consultado sobre el texto del proyecto de acuerdo con su debido tiempo, de conformidad con el artículo 42, apartado 1, del Reglamento (UE) n.º 2018/1725.


	4.	El SEPD acoge con satisfacción haber sido consultado a raíz de la adopción de la Recomendación de la Comisión Europea de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725. También recibe con agrado la referencia a este dictamen en el considerando 8 de la Recomendación. Desea subrayar que el presente dictamen se entiende sin perjuicio de las observaciones adicionales que el SEPD pueda formular sobre la base de la información adicional disponible, las disposiciones del proyecto de protocolo durante las negociaciones y la evolución legislativa en terceros países.

5. CONCLUSIONES


	58.	El SEPD comprende la necesidad de que las autoridades con funciones coercitivas garanticen y obtengan pruebas electrónicas de manera rápida y eficaz. Se muestra a favor de utilizar enfoques innovadores para obtener acceso transfronterizo a pruebas electrónicas y encontrar una respuesta de la UE a las cuestiones existentes en este contexto. Un segundo protocolo adicional que se negociará a escala de la UE mantendría mejor el nivel de protección garantizado por el marco de protección de datos de la UE y garantizaría un nivel de protección coherente en toda la UE, en lugar de acuerdos distintos celebrados de manera bilateral entre los Estados miembros. Por lo tanto, el presente dictamen tiene por objeto proporcionar un asesoramiento constructivo y objetivo a las instituciones de la UE, ya que la Comisión pretende obtener la autorización del Consejo para participar en las negociaciones con vistas al presente Protocolo.


	59.	El SEPD acoge con satisfacción que el mandato tenga por objeto garantizar que el protocolo contenga salvaguardias adecuadas para la protección de datos.

60.

El SEPD recomienda tres mejoras principales para garantizar que el texto del protocolo previsto cumpla lo dispuesto en la Carta y en el artículo 16 del TFUE. El SEPD recomienda que las directrices de negociación tengan como objetivo:


-	garantizar el carácter obligatorio del protocolo previsto;


-	introducir garantías detalladas, incluido el principio de limitación de finalidad, puesto que no todos de los diversos firmantes potenciales son parte del Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal o han celebrado un acuerdo equivalente al acuerdo marco UE-EE. UU.;


-	oponerse a cualquier disposición sobre el acceso directo a los datos.

61.

Además de estas recomendaciones generales, las recomendaciones y observaciones del SEPD en el presente dictamen se refieren a los siguientes aspectos específicos:


-	la base jurídica para la Decisión del Consejo;


-	las transferencias ulteriores de las autoridades competentes de terceros países;


-	los derechos de los interesados, en particular el derecho a la información y el derecho de acceso;


-	el control por parte de una autoridad independiente;


-	el recurso judicial y las vías de recurso administrativas;


-	los delitos cubiertos por el protocolo previsto y las categorías de datos personales;


-	las salvaguardias específicas para garantizar un nivel adecuado de seguridad de los datos transferidos;


-	las garantías específicas para proteger los datos mediante privilegios e inmunidades;


-	la asistencia mutua de urgencia;


-	en el caso de la cooperación directa, la transferencia de datos personales, la definición y los tipos de datos, la participación de otras autoridades, la posibilidad de que los proveedores de servicios dispongan de una orden de prueba electrónica para oponerse por motivos específicos;


-	la posibilidad de suspender y revisar el protocolo en caso de incumplimiento de sus disposiciones.


	62.	Por último, el SEPD sigue estando a disposición de la Comisión, el Consejo y el Parlamento Europeo para prestar asesoramiento en otras etapas de este proceso. Las observaciones que figuran en el presente dictamen se entienden sin perjuicio de las observaciones adicionales que el SEPD pueda formular, a medida que puedan surgir otras cuestiones, que se abordarán una vez que se disponga de más información. Espera ser consultado posteriormente sobre las disposiciones del proyecto de Protocolo antes de su finalización.

Bruselas, 2 de abril de 2019.

Giovanni BUTTARELLI

Supervisor Europeo de Protección de Datos

(1) Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre las órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal, COM(2018) 225 final.

(2) Propuesta de Directiva del Parlamento Europeo y del Consejo por la que se establecen normas armonizadas para la designación de representantes legales a efectos de recabar pruebas para procesos penales, COM(2018)226 final.

(3) El Consejo adoptó su enfoque general sobre la propuesta de Reglamento el 7 de diciembre de 2018, disponible en https://www.consilium.europa.eu/es/press/press-releases/2018/12/07/regulation-on-cross-border-access-to-e-evidence-council-agrees-its-position/#. El Consejo adoptó su enfoque general sobre la propuesta de Directiva el 8 de marzo de 2018, disponible en https://www.consilium.europa.eu/es/press/press-releases/2019/03/08/e-evidence-package-council-agrees-its-position-on-rules-to-appoint-legal-representatives-for-the-gathering-of-evidence/.

(4) Recomendación de Decisión del Consejo por la que se autoriza la apertura de negociaciones para un Acuerdo entre la Unión Europea y los Estados Unidos de América sobre el acceso transfronterizo a las pruebas electrónicas para la cooperación judicial en materia penal, COM(2019) 70 final.

(5) Recomendación de Decisión del Consejo por la que se autoriza la participación en las negociaciones sobre un Segundo Protocolo adicional al Convenio del Consejo de Europa sobre Ciberdelincuencia (STE n.º 185), COM(2019) 71 final.

(6) Dictamen 2/2019 del SEPD sobre el mandato de negociación de un acuerdo entre la UE y los EE. UU. sobre el acceso transfronterizo a las pruebas electrónicas.

(7) Convenio sobre una cooperación internacional reforzada en materia de ciberdelincuencia y pruebas electrónicas, Budapest, 23 de noviembre de 2001, STCE n.º 185.