Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Reglamento (UE) 2024/982 — Prüm II

El 13 de marzo de 2024, el Parlamento Europeo y el Consejo de la Unión Europea adoptaron el Reglamento (UE) 2024/982, conocido como Prüm II que regula las condiciones para la búsqueda automatizada de perfiles de ADN, datos dactiloscópicos, datos de matriculación de vehículos, imágenes faciales y antecedentes policiales, así como las normas relativas al intercambio de datos tras una coincidencia confirmada de datos biométricos. Entró en vigor el 25 de abril de 2024.

Antes de explicarles en qué consiste Prüm II, veamos los antecedentes.

Prüm I

El terrorismo yihadista golpeó muy duro a principios del siglo XXI. Todos recordamos los atentados contra las Torres Gemelas de Nueva York en 2001, los de Madrid en 2004 y los de Londres en 2005. Desde entonces, muchas cosas han cambiado y una de ellas es la necesidad de compartir información sobre sospechosos y delincuentes para prevenir nuevos atentados.

El proceso de negociación de la Convención de Prüm (Prüm I) no fue todo lo transparente que cabría esperar (el Parlamento Europeo solo participó a través de una consulta sobre el proyecto de Decisión del Consejo y los parlamentos nacionales únicamente participaron en la ratificación).

El 27 de mayo de 2005, en la ciudad alemana de Prüm, siete Estados miembros de la Unión Europea (Alemania, Francia, Países Bajos, Luxemburgo, Bélgica, Austria y España) firmaron la Convención de Prüm. Sus principios se incorporaron al derecho de la Unión mediante la Decisión 2008/615/JAI del Consejo, de 23 de junio de 2008, sobre la profundización de la cooperación transfronteriza, en particular en materia de la lucha contra el terrorismo y la delincuencia transfronteriza.

A partir de 2008, el marco se extendió progresivamente a todos los Estados miembros de la Unión Europea. En 2023, Suiza se incorporó plenamente, y para 2025, todos los Estados miembros de la Unión Europea estaban obligados por el Marco Prüm original. Además, participan países no pertenecientes a la Unión asociados al espacio Schengen, como Noruega, Islandia, Suiza y Liechtenstein.

La Convención original permite a los signatarios el intercambio automatizado de datos específicos (perfiles de ADN, datos dactiloscópicos y registros de matriculación de vehículos) para la prevención, detección e investigación de infracciones penales graves, como terrorismo y delincuencia organizada transfronteriza.

Prüm no cuenta con una base de datos centralizada; en su lugar, opera mediante un sistema de «acierto y coincidencia» (hit/no-hit), que permite a los signatarios acceder a subconjuntos anonimizados de bases de datos nacionales de ADN e impresiones dactilares en los países conectados. Solo si hay una coincidencia (hit), se puede solicitar información adicional no anonimizada, sujeta a verificación manual y respeto a las normas de protección de datos.

El sistema se basa en el principio de reciprocidad, con el objetivo de profundizar la cooperación transfronteriza. Sin embargo, no existe un equilibrio perfecto en esa reciprocidad, ya que la capacidad de intercambio de información entre Estados varía en función de sus recursos técnicos, financieros y humanos. Además, la aplicación inicial de Prüm I fue lenta debido a la complejidad técnica, los altos costes y la necesidad de armonizar estándares nacionales.

Prüm II

El Reglamento (UE) 2024/982, conocido como Prüm II, actualiza y amplía el marco original establecido por la Convención de Prüm y las Decisiones del Consejo 2008/615/JAI y 2008/616/JAI, con el objetivo de hacer más eficiente y automatizado el intercambio de datos entre las autoridades policiales de los países signatarios en la lucha contra el crimen transfronterizo, el terrorismo y otras amenazas graves a la seguridad.

El Reglamento se estructura en nueve capítulos:

  • Capítulo I: Disposiciones generales (arts. 1-4). Define el objeto, el ámbito de aplicación, las definiciones clave y los principios fundamentales, como la proporcionalidad y el respeto a los derechos fundamentales.
  • Capítulo II: Secciones específicas sobre categorías de datos. Incluye perfiles de ADN (arts. 5-9), datos dactiloscópicos (arts. 10-15), datos de matriculación de vehículos (arts. 16-18), índices de referencia de imágenes faciales (arts. 19-24), antecedentes policiales (arts. 25-28) y disposiciones comunes aplicables a todas las categorías (arts. 29-34). Estas secciones detallan las condiciones para las búsquedas automatizadas, los criterios de coincidencia y las salvaguardas para la calidad de los datos.
  • Capítulo III: Infraestructuras técnicas. Enrutador central (arts. 35-41) y el Sistema Europeo de Índice de Registros Policiales (EPRIS, arts. 42-46), que facilita búsquedas en índices de antecedentes policiales nacionales y de Europol.
  • Capítulo IV: Intercambio de datos tras una coincidencia (art. 47). Establece procedimientos para el seguimiento de «hits» (coincidencias), asegurando que solo se comparta información adicional tras verificación manual.
  • Capítulo V: Rol de Europol. Incluye el acceso de los Estados miembros a datos biométricos de terceros países almacenados por Europol (art. 48) y el acceso de Europol a datos nacionales utilizando información de terceros países (art. 49).
  • Capítulo VI: Protección de datos (arts. 50-61). Detalla las normas para el tratamiento de datos personales, alineadas con el RGPD y la Directiva (UE) 2016/680.
  • Capítulo VII: Responsabilidades (arts. 62-67). Asigna obligaciones a los Estados miembros, eu-LISA y Europol en cuanto a implementación, mantenimiento y evaluación.
  • Capítulo VIII: Modificación de otros instrumentos (arts. 68-71). Actualiza normativas relacionadas, como las relativas a la interoperabilidad de sistemas de información a gran escala en el espacio de libertad, seguridad y justicia.
  • Capítulo IX: Disposiciones finales (arts. 72-81). Incluye entradas en vigor escalonadas, revisiones periódicas y cláusulas de derogación de las decisiones Prüm originales.

Entre las novedades más relevantes destaca en el marco de intercambio de información:

  • La designación obligatoria de un «punto de contacto nacional» (PCN) en cada Estado miembro, responsable de coordinar y comunicar datos al Estado solicitante, asegurando una respuesta eficiente y trazable.
  • La obligatoriedad del uso de la Norma de Formato Universal de Mensajes (UMF) para estandarizar todos los intercambios, facilitando la interoperabilidad y reduciendo errores técnicos.
  • Para consultas y accesos a los perfiles de ADN, los datos dactiloscópicos e imágenes faciales, así como para intercambiarlos se crea el «enrutador». Se trata de un enfoque híbrido entre una solución descentralizada y centralizada sin almacenamiento de datos a nivel central. El resultado es que todas las bases de datos nacionales de cada Estado miembro se conectarán al enrutador central en lugar de conectarse entre sí. Cuando exista una coincidencia el enrutador responderá al Estado solicitante en el plazo de 48 horas.
  • La creación del «enrutador» central, gestionado por eu-LISA, permite conectar las bases de datos nacionales sin almacenar datos personales de forma centralizada. Se trata de un enfoque híbrido entre una solución descentralizada y una centralizada, sin almacenamiento de datos a nivel central. Como resultado, todas las bases de datos nacionales de los Estados miembros se conectarán al enrutador central en lugar de hacerlo entre sí. En caso de coincidencia, el enrutador responderá al Estado solicitante en un plazo de 48 horas.
  • La agencia eu-LISA llevará un registro de todas las operaciones de tratamiento de datos efectuadas a través del enrutador. Los Estados miembros y Europol llevarán un registro de las consultas que efectúe su personal.
  • La implementación del Sistema Europeo de Índice de Registros Policiales (EPRIS), que permite búsquedas automatizadas en índices anonimizados de antecedentes policiales nacionales y de Europol, liberando recursos al evitar consultas innecesarias.
  • Una base legal explícita para búsquedas relacionadas con personas desaparecidas o restos humanos no identificados, permitiendo el uso de datos biométricos recolectados tanto para fines penales como civiles, siempre sujeto a proporcionalidad y autorización nacional.

Protección de datos personales en Prüm II 

La protección de los datos personales es un pilar fundamental de Prüm II, alineada con el Reglamento General de Protección de Datos (RGPD) y la Directiva (UE) 2016/680 sobre protección de datos en el ámbito policial y judicial. Los datos solo se tratan para fines específicos (prevención, detección e investigación de delitos graves), requiriendo autorización previa del Estado proveedor para cualquier uso secundario. Antes de conectar sus bases de datos al enrutador o EPRIS, los Estados miembros deben realizar una Evaluación de Impacto en la Protección de Datos (EIPD), verificando la exactitud, actualización y supresión de los datos conforme a plazos de conservación nacionales y europeos.

Los datos personales solo se tratarán para los fines proporcionados, requiriendo autorización previa del Estado miembro que haya proporcionado los datos para otros usos.

Antes de conectar sus bases de datos nacionales con el enrutador o con el EPRIS, los Estados miembros llevarán a cabo una Evaluación de Impacto en la Protección de Datos, asegurándose de que los datos sean exactos y estén actualizados, y de que se supriman los correspondientes una vez cumplidos los plazos de conservación aplicables.

La eu-LISA adoptará las medidas necesarias con respecto al enrutador y Europol a fin de:

  • Proteger los datos mediante la elaboración de planos de emergencia destinados a la protección de las infraestructuras críticas.
  • Denegar el acceso a los equipos e instalaciones de tratamiento de datos a toda persona no autorizada.
  • Impedir la lectura, copia, modificación o retirada no autorizadas de los soportes de datos.
  • Evitar la introducción no autorizada de datos, así como la inspección, modificación o eliminación indebidas de datos personales registrados.
  • Evitar que los sistemas de tratamiento automatizado de datos sean utilizados por personas no autorizadas mediante equipos de comunicación de datos.
  • Garantizar que las personas autorizadas a acceder al enrutador o al EPRIS lo hagan mediante identidades de usuario individuales y modos de acceso confidenciales, y que solo puedan acceder a los datos cubiertos por su autorización.
  • Asegurar la posibilidad de verificar y determinar a qué organismos pueden proporcionarse datos personales mediante equipos de comunicación de datos.
  • Garantizar la capacidad de verificar y determinar qué datos han sido tratados en el enrutador o en el EPRIS, según el procedimiento, así como el momento, la persona responsable y la finalidad del tratamiento.
  • Impedir la lectura, copia, modificación o eliminación no autorizadas de datos personales durante su transmisión hacia o desde el enrutador o el EPRIS.
  • Garantizar que, en caso de interrupción, los sistemas instalados puedan restablecer su funcionamiento normal.
  • Asegurar la confiabilidad mediante la notificación adecuada de cualquier error de funcionamiento del enrutador o del EPRIS.
  • Adoptar las medidas organizativas de control interno necesarias para garantizar el cumplimiento de la normativa, evaluándolas periódicamente.
  • Controlar la eficacia de las medidas de seguridad mencionadas

Los Estados miembros garantizarán que cualquier uso indebido de datos, tratamiento de datos o intercambio de datos contrario a la norma sean sancionables con arreglo al derecho nacional. Las sanciones así establecidas serán efectivas, proporcionadas y disuasorias.

Los Estados miembros y Europol deberán justificar sus consultas. La justificación mencionada incluirá:

  1. Finalidad de la consulta, con referencia al caso o investigación.
  2. Indicación de si se refiere a un sospechoso, autor del delito o persona desconocida.
  3. Detalles sobre si busca identificar a una persona u obtener más datos sobre una conocida.

Estas justificaciones se protegen contra accesos no autorizados y se suprimen automáticamente tras un año, salvo en procedimientos de supervisión en curso. El Supervisor Europeo de Protección de Datos y las autoridades nacionales supervisan el cumplimiento, con revisiones periódicas.

El Tribunal de Justicia de la Unión Europea, en su sentencia de 26 de enero de 2023 (asunto C-205/21), declaró incompatible con la Directiva (UE) 2016/680 la recogida sistemática de datos biométricos y genéticos de personas investigadas por delitos dolosos, exigiendo una verificación obligatoria de necesidad estricta, proporcionalidad y ausencia de alternativas menos intrusivas, en línea con los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la UE. Prüm II incorpora estos principios, enfatizando revisiones humanas y controles de proporcionalidad en todos los intercambios, y en 2026, no se han reportado desafíos significativos a su compatibilidad, aunque el EDPS ha emitido opiniones sobre la necesidad de monitoreo continuo durante la implementación.

Conclusión

Prüm II fortalece la cooperación policial al favorecer los intercambios de datos, con salvaguardas de privacidad, aunque persisten desafíos en la armonización técnica y presupuestaria entre Estados miembros. La Comisión Europea planea una evaluación inicial en 2029 para ajustar el marco según la experiencia operativa.

 

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es