El 8 de febrero de 2024, el Parlamento Europeo, con 451 fotos a favor, 94 en contra y 10 abstenciones, aprobó el proyecto Prüm II que regula las condiciones para la búsqueda automatizada de perfiles de ADN, datos dactiloscópicos, datos de matriculación de vehículos, imágenes faciales y antecedentes policiales, así como las normas relativas al intercambio de datos tras una coincidencia confirmada de datos biométricos.
Antes de explicarles en qué consiste Prüm II, veamos los antecedentes.
Prüm I
El terrorismo yihadista golpeó muy duro a principios de este siglo. Todos recordamos los atentados contra las torres gemelas de Nueva York en 2001, los de Madrid en 2004 y los de Londres en 2005. Desde entonces, muchas cosas han cambiado y una de ellas es la necesidad de compartir información sobre sospechosos y delincuentes para prevenir nuevos atentados.
El proceso de negociación de la Convención de Prüm (Püm I) no fue todo lo transparente que cabría esperar (el Parlamento Europeo sólo participó a través de una consulta sobre el proyecto de Decisión del Consejo y los parlamentos nacionales sólo participaron en el proceso de ratificación).
El 27 de mayo de 2005 en la ciudad alemana de Prüm siete Estados miembros de la Unión Europea (Alemania, Francia, Holanda, Luxemburgo, Bélgica, Austria y España) firmaron la Convención de Prüm. Sus principios fueron recogidos por la Decisión 2008/615/JAI del Consejo de la UE el 23 de junio de 2008 sobre la intensificación de la cooperación transfronteriza, particularmente en la lucha contra el terrorismo y la delincuencia transfronteriza. Hoy participan un total de catorce Estados de la Unión (los iniciales más Bulgaria, Eslovenia, Eslovaquia, Estonia, Finlandia, Francia y Rumania) y hay previsión de más adhesiones (Grecia, Italia, Portugal y Suecia, han notificado al Consejo de la Unión Europea su deseo de adherirse a la Convención).
La Convención permite a los signatarios el intercambio automatizado de datos específicos (perfiles de ADN, datos dactiloscópicos y registros de matriculación de vehículos) para la prevención, detección e investigación de infracciones penales.
Prüm no tiene una base de datos central, tan solo permite a los signatarios acceder a los subconjuntos de bases de datos penales anonimizados sobre ADN e impresiones dactilares de todos los países conectados. Este acceso se concede únicamente a los puntos de contacto nacionales, si bien la respuesta se puede demorar semanas.
El sistema ideado se basa en el principio de reciprocidad de acceso y tiene por objeto profundizar la cooperación transfronteriza. No obstante, no existe un equilibrio real en esa reciprocidad, pues la capacidad de intercambio de información entre Estados miembros varía considerablemente. Además, su aplicación ha sido lenta, debido a la complejidad técnica y a los cuantiosos recursos financieros y humanos requeridos.
Prüm II
El texto se divide en nueve capítulos.
El Capítulo I se dedica a «disposiciones generales» (arts. 1 a 4).
El Capítulo II se divide en varias secciones: la Sección I se dedica a los «perfiles de ADN» (arts. 5 a 9), la Sección II a los «datos dactiloscópicos» (arts. 10 a 15), la Sección III a los «datos de matriculación de vehículos» (arts. 16 a 18), la Sección IV a los «índices de referencia de imágenes faciales» (arts. 19 a 24), la Sección V a los «antecedentes policiales» (arts. 25 a 28) y la Sección VI a «disposiciones comunes» (arts. 29 a 34).
El Capítulo III también se divide en secciones. La Sección I se dedica al «enrutador» (arts. 35 a 41) y la Sección II al «EPRIS» (arts. 42 a 46).
El Capítulo IV regula el «intercambio de datos tras una coincidencia» (art. 47).
El Capítulo V se dedica a «Europol», concretamente, al acceso de los Estados miembros a datos biométricos proporcionados por terceros países y conservados por Europol (art. 48) y al acceso de Europol a los datos conservados en las bases de datos de los Estados miembros utilizando datos proporcionados por terceros países (art. 49).
El Capítulo VI se refiere a la «protección de datos» (arts. 50 a 61).
El Capítulo VII regula las «responsabilidades» (arts. 62 a 67).
El Capítulo VIII se dedica a la «modificación de otros instrumentos en vigor» (arts. 68 a 71).
Por último, el Capítulo IX se encarga de las disposiciones finales (arts. 72 a 81).
Veamos algunas de las novedades más relevantes que introduce el texto en el marco de intercambio de información:
Para lograr la coordinación entre los Estados miembros, cada Estado designará un «punto de contacto nacional» que será el responsable de comunicar los datos al Estado solicitante. Asimismo, se obliga al uso de la Norma de Formato Universal de Mensajes (UMF).
Para consultar y acceder a los perfiles de ADN, los datos dactiloscópicos y las imágenes faciales, así como para intercambiarlos se crea el «enrutador». Se trata de un enfoque híbrido entre una solución descentralizada y centralizada sin almacenamiento de datos a nivel central. El resultado es que todas las bases de datos nacionales de cada Estado miembro se conectarán al enrutador central en lugar de conectarse entre sí. Cuando exista una coincidencia el enrutador responderá al Estado solicitante en el plazo de 48 horas.
La Agencia de la Unión Europea para la Gestión Operativa de Sistemas Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia (eu-LISA) llevará un registro de todas las operaciones de tratamiento de datos efectuadas a través del enrutador. Los Estados miembros y Europol llevarán un registro de las consultas que efectúe su personal.
Para la búsqueda automatizada de los ficheros policiales, los Estados y Europol utilizarán el Sistema Europeo de Índice de Ficheros Policiales (EPRIS). El objetivo pasa por facilitar a las autoridades policiales un acceso eficiente a los datos reales correspondientes a una «respuesta positiva» disponible en la base de datos de otro Estado miembro o en Europol.
También se crea el Sistema Europeo de Índice de Antecedentes Policiales (EPRIS) para la búsqueda automatizada en los índices de antecedentes policiales nacionales.
La necesaria protección de los datos personales
El tratamiento de los datos personales recibidos por un Estado miembro o por Europol se permitirá únicamente para los fines para los que se los haya proporcionado la información. El tratamiento para otros fines exige autorización previa del Estado miembro que haya proporcionado los datos.
Antes de conectar sus bases de datos nacionales con el enrutador o el EPRIS, los Estados miembros llevarán a cabo una evaluación de impacto relativa a la protección de datos personales, asegurándose que los datos son exactos y están actualizados. Asimismo, dichos datos se suprimirán cumplidos los plazos de conservación aplicables.
La Agencia de la Unión Europea para la Gestión Operativa de Sistemas Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia (eu-LISA) adoptará las medidas necesarias con respecto al enrutador y Europol, a fin de:
- Proteger los datos físicamente, entre otras cosas mediante la elaboración de planes de emergencia para la protección de las infraestructuras críticas.
- Denegar a toda persona no autorizada el acceso a los equipos e instalaciones de tratamiento de datos.
- Impedir la lectura, copia, modificación o retirada no autorizadas de los soportes de datos.
- Impedir la introducción no autorizada de datos y la inspección, modificación o supresión no autorizadas de datos personales registrados.
- Impedir el tratamiento no autorizado de datos y la copia, modificación o eliminación no autorizadas de datos.
- Impedir que los sistemas de tratamiento automatizado de datos sean utilizados por personas no autorizadas mediante equipos de comunicación de datos.
- Garantizar, exclusivamente mediante identidades de usuario individuales y modos de acceso confidenciales, que las personas autorizadas a acceder al enrutador o al EPRIS, según proceda, tengan únicamente acceso a los datos a que se refiere su autorización de acceso.
- Garantizar la posibilidad de verificar y determinar a qué organismos pueden proporcionarse datos personales mediante equipos de comunicación de datos.
- Garantizar la posibilidad de verificar y determinar qué datos han sido tratados en el enrutador o el EPRIS, según proceda, y en qué momento, por quién y con qué fin han sido tratados.
- Impedir la lectura, copia, modificación o supresión no autorizadas de datos personales durante la transmisión de estos datos hacia o desde el enrutador o el EPRIS, según proceda, o durante el transporte de soportes de datos, en particular mediante técnicas adecuadas de cifrado.
- Garantizar que, en caso de interrupción, los sistemas instalados puedan volver a funcionar normalmente.
- Garantizar la fiabilidad asegurando que se informe adecuadamente de cualquier error de funcionamiento del enrutador o del EPRIS, según proceda.
- Controlar la eficacia de las medidas de seguridad mencionadas y adoptar las medidas de organización del control interno necesarias
para garantizar el cumplimiento de la norma y evaluar dichas medidas de seguridad en vista de los últimos avances tecnológicos.
Las medidas incluirán un plan de seguridad, un plan de continuidad de las actividades y un plan de recuperación en caso de catástrofe.
Los Estados miembros garantizarán que cualquier uso indebido de datos, tratamiento de datos o intercambio de datos contrario a la norma sean sancionables con arreglo al derecho nacional. Las sanciones así establecidas serán efectivas, proporcionadas y disuasorias.
Los Estados miembros y Europol deberán justificar sus consultas. La justificación mencionada incluirá:
- La finalidad de la consulta, incluida una referencia al caso o investigación específicos.
- Una indicación sobre si la consulta se refiere a un sospechoso o al autor de un delito.
- Una indicación sobre si la consulta tiene por objeto identificar a una persona desconocida u obtener más datos sobre una persona conocida.
Tales justificaciones estarán protegidas por medidas adecuadas contra el acceso no autorizado y serán suprimidas un año después de su creación. En el caso de que sean necesarias para procedimientos de supervisión que ya hayan dado comienzo, se suprimirán cuando dichos procedimientos ya no exijan la justificación.
Conclusión
El Reglamento de Inteligencia Artificial prohíbe el reconocimiento de emociones en el lugar de trabajo y las escuelas, la puntuación social, la vigilancia policial predictiva cuando se base únicamente en perfilar a una persona o evaluar sus características y los sistemas que manipulen el comportamiento humano o explote las vulnerabilidades de las personas.
El uso de sistemas de identificación biométrica (RBI) por parte de las fuerzas del orden está prohibido, pero caben excepciones, por ejemplo, la RBI en tiempo real puede implementarse si el alcance geográfico y su uso están limitados en el tiempo, estando sujeta a una autorización judicial o administrativa previa específica. Dichos usos pueden incluir, por ejemplo, la búsqueda selectiva de una persona desaparecida o la prevención de un ataque terrorista. El uso de dichos sistemas «post-facto» se considera un caso de uso de alto riesgo que requiere autorización judicial vinculada a un delito penal.
Sea como fuere, veremos cámaras en todas las esquinas de nuestras grandes ciudades. Una vez extendida la tecnología, a saber cómo se termina usando por las autoridades.
—
Actualización
El Tribunal de Justicia de la Unión Europea (TJUE) en su Sentencia de 26 de enero de 2023 (asunto C‑205/21) ha puesto límites a la recogida por parte de la policía de datos biométricos y genéticos de cualquier persona investigada por un delito público doloso a efectos de su registro.
Al amparo de la Directiva (UE) 2016/680, el tribunal dispone que las leyes nacionales deben obligar a la autoridad competente a comprobar y demostrar, por una parte, si esa recogida es estrictamente necesaria para satisfacer los objetivos concretos perseguidos y, por otra, si tales objetivos no pueden lograrse mediante medidas que constituyan injerencias menos graves en las libertades y los derechos fundamentales del interesado.