Noticias JurídicasOrigen https://noticias.juridicas.com

Conocimiento Artículos doctrinales
01/04/2010 04:00:00 PROTECCIÓN DE DATOS 14 minutos

Principio de Disponibilidad y protección de datos en el ámbito policial

Uno de los objetivos fundacionales de la Unión Europea es la creación de un espacio común de Libertad, Justicia y Seguridad y este aspecto es uno de los que más se ha desarrollado en los últimos tiempos en la construcción europea espoleado por la necesidad de luchar contra el crimen organizado y el terrorismo internacionales.

Emilio Aced Félez

Nota del autor1

La Comunidad Económica Europea nació a mediados del siglo pasado con la finalidad de crear un mercado común de bienes y servicios pero, a lo largo de las décadas, ha ido evolucionando hacia un instrumento de integración política de los estados europeos hasta convertirse, en 1993, en la Unión Europea, ente con una estructura institucional peculiar y que no cuenta con ningún precedente histórico. En este sentido, uno de los objetivos fundacionales de la Unión Europea es la creación de un espacio común de Libertad, Justicia y Seguridad y este aspecto es uno de los que más se ha desarrollado en los últimos tiempos en la construcción europea2 espoleado por la necesidad de luchar contra el crimen organizado y el terrorismo internacionales. Ello ha llevado consigo una creciente necesidad de cooperación entre los Estados miembros de la UE e, inevitablemente, la cooperación policial y judicial está intrínsecamente ligada al intercambio de datos personales de distintas categorías de individuos.

El Tratado de la Unión Europea incluye esta colaboración policial entre los Estados miembros en el llamado III Pilar de la Unión Europea3, cuya característica fundamental es la aplicación del Derecho nacional a sus actividades y la puesta en marcha de las mismas a través de mecanismos de cooperación intergubernamental. Así, no existen reglas armonizadas en el nivel europeo y, por lo tanto, rige en todo momento la normativa nacional en materia de Derecho penal y enjuiciamiento criminal y, de igual manera, la regulación nacional en materia de protección de datos. Así pues, cualquier avance en los mecanismos de colaboración policial requiere la adopción de un instrumento jurídico ad hoc de cooperación intergubernamental que contemple las reglas de protección de datos aplicables.

A pesar de ello, hay un nivel básico común en la legislación de protección de datos de los Estados miembros derivado de la pertenencia de todos ellos al Consejo de Europa y basado en el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal o Convenio 1084 que se aplica a todos los tratamientos de datos de los sectores público y privado, por lo que también cubre aquéllos llevados a cabo por las fuerzas y cuerpos de seguridad5. Además, seis años después, el Consejo de Ministros del Consejo de Europa aprobó la Recomendación (87) 15 por la que se regula el uso de datos personales en el ámbito policial. Esta Recomendación se ha convertido en el estándar de facto para la protección de datos en los tratamientos de datos personales llevados a cabo con finalidad de investigación policial a través de su incorporación como requisito mínimo en varios convenios y decisiones de la UE como Schengen, Europol, Sistema de Información Aduanera o Eurojust.

La Recomendación se articula en torno a ocho principios: Control y Notificación, Recogida de datos, Almacenamiento de datos, Uso de los datos por parte de la policía, Cesiones de datos, Publicidad y Derechos de las personas, Duración del almacenamiento y Actualización de los datos, y Seguridad de los datos que establecen los principios básicos por lo que se rige el tratamiento de datos personales en el ámbito policial entre los que podemos destacar:

  • Existencia de una autoridad de control independiente a la que se deben notificar los ficheros de datos personales y a la que habría que consultar antes de implantar nuevos métodos de tratamiento de la información que llevaran consigo la incorporación de nuevas categorías de datos o la introducción de nuevas tecnologías

  • El tratamiento y la recogida de datos personales para fines policiales deberá limitarse a aquellos necesarios para la prevención de un peligro real para la seguridad pública o para la persecución de ilícitos penales

  • La recogida de datos sobre personas específicas basada únicamente en que tengan un determinado origen racial o convicciones religiosas específicas, comportamiento sexual, opiniones políticas o pertenencia a movimientos no proscritos por la ley está prohibida salvo que sea absolutamente necesario en el marco de una investigación policial concreta

  • Existencia de ciertas restricciones a los derechos de las personas cuando su ejercicio pueda perjudicar investigaciones en marcha o los derechos y libertades de terceros

  • Almacenamiento de la información según sus distintos niveles de fiabilidad

  • Ficheros puramente policiales separados y diferenciados de los ficheros administrativos

  • Los datos recogidos y tratados por la policía con fines policiales solo deben utilizarse para este propósito (aunque existen importantes excepciones a esta norma expresadas de forma bastante casuística en la Recomendación)

  • Comunicaciones o transferencias internacionales de datos deben restringirse a cuerpos policiales

  • Revisión periódica de la información para decidir si el mantenimiento de la misma sigue siendo necesario para la finalidad que motivó su recogida y para cerciorarse de su actualización

  • Adopción de las necesarias medidas de seguridad

La Unión Europea ha recorrido un largo camino -en el que cada vez se han ido dando pasos para una mayor integración- desde la aprobación de estos instrumentos jurídicos del Consejo de Europa hasta la actualidad, con la adopción y puesta en marcha de mecanismos de cooperación basados en el Principio de Disponibilidad y la actualización de instrumentos tradicionales como el Sistema de Información Schengen o el Convenio Europol para, si finalmente se produce la aprobación y entrada en vigor del Tratado de Lisboa6, acabar con la estructura de pilares y entrar en un nuevo periodo de convergencia en la legislación de la Unión.

Uno de los últimos elementos puestos en marcha para mejorar esta cooperación policial es el denominado Principio de Disponibilidad. En efecto, el Programa de La Haya, que se adoptó en el Consejo Europeo del 4 y 5 de noviembre de 2004, recogía las 10 prioridades de la Unión destinadas a reforzar el Espacio de Libertad, Seguridad y Justicia durante los cinco años posteriores. Una de sus conclusiones era que para mejorar la cooperación en la lucha contra el terrorismo y el crimen organizado había de ponerse en marcha el llamado "Principio de Disponibilidad" que puede enunciarse de la siguiente forma: "En todo el territorio de la Unión, un funcionario de policía de un Estado miembro que necesite información para llevar a cabo sus obligaciones pueda obtenerla de otro Estado miembro. El organismo policial del otro Estado miembro que posea dicha información la facilitará para el propósito indicado, teniendo en cuenta el requisito de las investigaciones en curso en dicho Estado" o, de otra manera, "Las autoridades de un Estado miembro pondrán a disposición de las autoridades de otro Estado miembro la información que necesiten a efectos represivos".

Hasta la formulación del Principio de Disponibilidad, los Estados miembros tenían la posibilidad de compartir información en el ámbito policial a través de los distintos instrumentos de cooperación pero, a partir de la aplicación de este principio, esta posibilidad se transforma en la obligación de satisfacer los requerimientos de información del resto de Estados miembros.

Una primera aproximación a la puesta en marcha de este principio la encontramos en la Decisión Marco 2006/960/JAI del Consejo de 18 de diciembre de 2006 sobre la simplificación del intercambio de información e inteligencia entre los servicios de seguridad de los Estados miembros de la Unión Europea7 (llamada también "Iniciativa Sueca") que, fundamentalmente, formula en un instrumento jurídicamente vinculante las condiciones bajo las cuales la información se debe suministrar entre Estados miembros limitando las causas por las cuales se puede rehusar entregarla y estableciendo plazos máximos de entrega de la misma (de incluso ocho horas en casos de urgencia).

En relación con las normas de protección de datos, al tratarse de intercambios bilaterales, tampoco se innova en este aspecto y la Decisión se limita a establecer que la utilización de la información intercambiada estará sujeta a las disposiciones nacionales sobre protección de datos del Estado miembro receptor que habrán de ser las mismas que se aplican a los datos recogidos en dicho Estado miembro y afirmando que deben satisfacer, al menos, los estándares del Consejo de Europa.

Como la implantación del Principio de Disponibilidad trae consigo la posibilidad de intercambios de datos personales en una escala desconocida hasta el momento, las autoridades europeas de protección de datos pidieron en diversas ocasiones que esta ampliación sin precedentes de las posibilidades de compartir información debía de venir acompañadas -como de hecho se manifestaba en el Programa de La Haya- de un equilibrio adecuado entre el derecho a la intimidad y la seguridad.

En primer lugar, en la Declaración8 aprobada en la Conferencia Europea de Cracovia en abril de 2005 ya se ponía de manifiesto que "& La Conferencia Europea de Autoridades de Protección de Datos de 2005 es consciente de la necesidad de mayor cooperación entre las fuerzas y cuerpos de seguridad, dentro de la UE y con terceros estados. Al mismo tiempo es evidente que el Convenio 108& es demasiado general para salvaguardar efectivamente la protección de datos en el sector policial. Dada la obligación de la Unión de respetar los derechos y libertades fundamentales, las iniciativas& como el Principio de Disponibilidad, solo se deberían introducir sobre la base de un sistema adecuado de protección de datos que garantice un estándar alto y equivalente de protección de datos".

En la misma declaración se manifestaba la satisfacción de la Conferencia por someter la aplicación del Principio de Disponibilidad a estrictas condiciones de respeto a los principios de protección de datos y se daba la bienvenida a la Propuesta inicial de la Comisión para establecer una Decisión Marco sobre Protección de Datos en el III Pilar.

En la Conferencia de Budapest del siguiente año, a través de una nueva Declaración, se insistía en las mismas ideas y finalmente, en la Conferencia celebrada en Chipre en mayo de 2007, cuando la Propuesta inicial de la Comisión ya había sido desechada y los debates se centraban en un texto alternativo en el que se limitada el ámbito de aplicación únicamente a los datos intercambiados entre Estados miembros, la Conferencia expresaba su opinión: "&Se reitera el impacto nacional de las iniciativas de la Unión y el claro riesgo de que limitar el alcance a los datos intercambiados& haría el campo de aplicación de la Decisión particularmente inseguro e incierto, las Autoridades Europeas de Protección de datos resaltan que solo un alcance comprensivo que cubra todos los tratamientos de datos personales podría ofrecer a las personas la necesaria protección".

Por su parte, el Supervisor Europeo de Protección de Datos en sus dictámenes de 19 de diciembre de 20059, 29 de noviembre de 200610 y 27 de abril de 200711 hace hincapié en estas mismas ideas y analiza todas las deficiencias que, a su juicio, presentan los sucesivos borradores de la Decisión que, finalmente, fue aprobada convirtiéndose en la Decisión Marco 2008/977/JAI del Consejo, de 27 de noviembre de 2008 , relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal12.

El impacto real de esta Decisión Marco en la armonización de las normas de protección de datos de los Estados miembros dependerá en gran medida de la transposición que de la misma hagan éstos: si se limitan a hacer una transposición mínima aplicando sus normas al intercambio de datos se habrá perdido una gran oportunidad si, por el contrario, deciden transponerla ampliando su ámbito de aplicación a los tratamientos nacionales, a pesar de sus deficiencias, se habrá avanzado en el camino de la homogeneización.

No es posible finalizar este trabajo sin poner de manifiesto los efectos que la transposición de la Decisión Marco podría tener en la legislación española de protección de datos personales. En efecto, la LOPD contiene en su artículo 2 una exclusión de su ámbito de aplicación de los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. Por ello, si la transposición de la Decisión Marco se llevara a cabo sin aplicar sus preceptos al ámbito nacional -a lo que no está obligado el legislador español- se produciría la paradójica situación de que los datos provenientes de otros Estados miembros que se incluyeran en estos ficheros o, mejor dicho, los titulares de dichos datos, disfrutarían de una garantía del derecho fundamental a la protección de datos de la que prácticamente carecerían aquellos cuyos datos fueran incluidos en estos ficheros por las fuerzas y cuerpos de seguridad españoles que, en su gran mayoría, harían referencia a personas de nacionalidad española.

Emilio Aced Félez.
Subdirector General de Registro de Ficheros y Consultoría.
Agencia de Protección de Datos de la Comunidad de Madrid.

Notas

1 Las ideas y opiniones vertidas en este artículo lo son únicamente a título personal del autor y no representan en ningún caso y de ninguna manera la posición de ningún organismo o institución

2 En http://europa.eu/legislation_summaries/institutional_affairs/treaties/index_es.htm se puede encontrar una introducción a la evolución histórica de los Tratados de la Unión Europea, Las versiones consolidadas de los mismos se pueden obtener en Eur-Lex: http://europa.eu/abc/treaties/index_es.htm

3 El concepto de «pilares» se utiliza para explicitar la arquitectura institucional de la Unión Europea tras la entrada en Vigo del Tratado de la Unión Europea.

  • el pilar comunitario, que corresponde a las tres comunidades: la Comunidad Europea, la Comunidad Europea de la Energía Atómica (Euratom) y la antigua Comunidad Europea del Carbón y del Acero (CECA) (primer pilar);

  • el pilar correspondiente a la política exterior y de seguridad común, regulada en el título V del Tratado de la Unión Europea (segundo pilar);

  • el pilar correspondiente a la cooperación policial y judicial en materia penal, cubierta por el título VI del Tratado de la Unión Europea (tercer pilar).

Si finalmente el Tratado de Lisboa entra en vigor, se abolirá la estructura de pilares y podrá comenzar el proceso de armonización en ámbitos reservados hasta este momento a la cooperación intergubernamental aumentando, igualmente, las competencias del Parlamento Europeo y del Tribunal de Justicia de la Unión Europea.

4 Todos los instrumentos jurídicos del Consejo de Europa son accesibles en su web www.coe.int.

5 A diferencia de lo que sucede con la Directiva 95/46/CE, que solo se aplica a los tratamientos de datos personales incluidos en actividades propias del I Pilar y, por lo tanto, no cubren las actividades policiales

6 Para un análisis detallado de las implicaciones para la protección de datos en Europa de la aprobación del Tratado de Lisboa, ver SCIROCCO, Alfonso. The Lisbon Treaty and the Protection of Personal Data in the European Union. Data Protection Review N. 5 February 2009 (www.dataprotectionreview.eu)

7 Aunque hay quien afirma que la firma y ratificación del Convenio de Prüm significa ya la puesta en marcha de este concepto de una manera limitada y sectorial, definiendo un conjunto restringido de tipologías de datos como perfiles de ADN, huellas dactilares, datos sobre vehículos o sobre sospechosos de terrorismo y estableciendo reglas ad hoc para su intercambio y tratamiento. Para un análisis detallado de las previsiones en materia de protección de datos de este Convenio ver DIETRICH PLAZA, Cristina: El Tratado de Prüm en el marco de la regulación de la protección de datos personales en la Unión Europea y ACED FÉLEZ, Emilio: Ejercicio y garantía del derecho a la protección de datos en el Convenio de Prüm, ambos en el Número 7 de la Revista de Derecho Constitucional ISSN: 1698-4889. Instituto Andaluz de Administración Pública

8 Las Declaraciones de las Conferencias Europeas de Autoridades de Protección de Datos se pueden consultar en el portal de la Autoridad Común de Control de Europol: http://europoljsb.consilium.europa.eu/default.asp?lang=EN. Los textos de las mismas que aquí se presentan han sido traducidos por el autor del original inglés.

9 DO C 47 de 25.2.2006, p. 27/47

10 DO C 91 de 26.4.2007, p. 9/14

11 DO C 139 de 23.6.2007, p. 1/10. Todos ellos también se pueden consultar en www.edps.europa.eu

12 DO L 350 de 30.12.2008, p. 60/71.

Te recomendamos