Las autoridades comunitarias llevan tiempo trabajando en el Proyecto Prüm II. Se trata de una propuesta de Reglamento del Parlamento Europeo y del Consejo relativo al intercambio automatizado de datos para la cooperación policial. Antes de explicarles en qué consiste veamos los antecedentes.
Prüm I
El terrorismo yihadista golpeó muy duro a principios de este siglo. Todos recordamos los atentados contra las torres gemelas de Nueva York en 2001, los de Madrid en 2004 y los de Londres en 2005. Desde entonces, muchas cosas han cambiado y una de ellas es la necesidad de compartir información sobre sospechosos y delincuentes para prevenir nuevos atentados.
El 27 de mayo de 2005 en la ciudad alemana de Prüm siete Estados miembros de la Unión Europea (Alemania, Francia, Holanda, Luxemburgo, Bélgica, Austria y España) firmaron la Convención de Prüm. Sus principios fueron recogidos por la Decisión 2008/615/JAI del Consejo de la UE el 23 de junio de 2008 sobre la intensificación de la cooperación transfronteriza, particularmente en la lucha contra el terrorismo y la delincuencia transfronteriza. Hoy participan un total de catorce Estados de la Unión (los iniciales más Bulgaria, Eslovenia, Eslovaquia, Estonia, Finlandia, Francia y Rumania) y hay previsión de más adhesiones.
La Convención permite a los signatarios el intercambio automatizado de datos específicos (perfiles de ADN, impresiones dactilares y datos de matriculación de vehículos) para la prevención, detección e investigación de infracciones penales. El marco de Prüm no tiene una base de datos central a nivel de la Unión. Permite a otros Estados miembros acceder a los subconjuntos de bases de datos penales anonimizados sobre ADN e impresiones dactilares de todos los Estados miembros conectados. Este acceso se concede únicamente a los puntos de contacto nacionales. Si bien la respuesta positiva o negativa se proporciona en cuestión de segundos o minutos, los datos personales correspondientes relacionados con la respuesta positiva pueden tardar semanas, o incluso meses, en recibirse.
El sistema ideado se basa en el principio de reciprocidad de acceso y tiene por objeto profundizar la cooperación transfronteriza. No obstante, no existe un equilibrio real en esa reciprocidad, pues la capacidad de intercambio de información entre Estados miembros varía considerablemente. Además, su aplicación ha sido lenta, debido a la complejidad técnica y a los cuantiosos recursos financieros y humanos requeridos.
Prüm II
Las principales novedades de Prüm II, respecto a la Convención Prüm, radican en el intercambio de imágenes faciales y ficheros policiales.
Para lograr la coordinación entre los Estados miembros, cada Estado designará un «punto de contacto nacional» que será el responsable de comunicar los datos al Estado solicitante. Asimismo, se obliga al uso de la Norma de Formato Universal de Mensajes (UMF).
Para asegurar las comunicaciones entre Estados se crea el «encaminador». Se trata de un enfoque híbrido entre una solución descentralizada y centralizada sin almacenamiento de datos a nivel central. El resultado es que todas las bases de datos nacionales de cada Estado miembro se conectarán al encaminador central en lugar de conectarse entre sí. Este enfoque garantizará que las autoridades policiales tengan un acceso rápido y controlado a la información que necesitan para desempeñar sus funciones. El encaminador facilitará los intercambios entre los Estados miembros de datos existentes y futuros en el contexto del marco de Prüm. Para la búsqueda automatizada de los ficheros policiales, los Estados y Europol utilizarán el Sistema Europeo de Índice de Ficheros Policiales (EPRIS). El objetivo pasa por facilitar a las autoridades policiales un acceso eficiente a los datos reales correspondientes a una «respuesta positiva» disponible en la base de datos de otro Estado miembro o en Europol.
La necesaria protección de los datos personales
La protección de datos personales tiene un capítulo específico en la propuesta, concretamente, el capítulo 6 que comprende los artículos 52 a 62.
Entre otras medidas, se exige a las autoridades de los Estados miembros que garanticen la seguridad de los datos personales, por ejemplo:
- Mediante la elaboración de planes de emergencia para proteger a los datos físicamente.
- Denegando los accesos a equipos e instalaciones de tratamiento de datos a personas no autorizadas.
- Impidiendo la lectura, copia, modificación o retirada no autorizadas de los soportes de datos.
- Impidiendo la introducción no autorizada de datos y la inspección, modificación o supresión no autorizadas de datos personales registrados.
- Impidiendo que los sistemas de tratamiento automatizado de datos sean utilizados por personas no autorizadas mediante equipos de comunicación de datos.
- Garantizando que las personas autorizadas a acceder al encaminador y al EPRIS tengan acceso únicamente a los datos a que se refiere su autorización de acceso, mediante identidades de usuario individuales y modos de acceso confidenciales.
- Garantizando la posibilidad de verificar y determinar a qué organismos pueden transmitirse datos personales mediante equipos de transmisión de datos.
- Garantizando la posibilidad de verificar y determinar qué datos han sido tratados en el encaminador y el EPRIS, en qué momento, por quién y con qué fin.
- Impidiendo la lectura, copia, modificación o supresión no autorizadas de datos personales durante la transmisión de estos datos hacia o desde el encaminador y el EPRIS o durante el transporte de soportes de datos, en particular mediante técnicas adecuadas de cifrado.
- Garantizando que, en caso de interrupción, los sistemas instalados puedan volver a funcionar normalmente.
- Garantizando la fiabilidad y asegurando que se informe adecuadamente de cualquier error de funcionamiento del encaminador y del EPRIS.
- Controlando la eficacia de las medidas de seguridad mencionadas.
- Adoptando medidas de control interno para garantizar el cumplimiento de la normativa y evaluando dichas medidas de seguridad a la vista de los últimos avances tecnológicos.
Los Estados miembros y Europol deberán justificar sus consultas. La justificación mencionada incluirá:
- La finalidad de la consulta, incluida una referencia al caso o investigación específicos.
- Una indicación sobre si la consulta se refiere a un sospechoso o al autor de un delito.
- Una indicación sobre si la consulta tiene por objeto identificar a una persona desconocida u obtener más datos sobre una persona conocida.
Tales justificaciones estarán protegidas por medidas adecuadas contra el acceso no autorizado y serán suprimidas un año después de su creación. En el caso de que sean necesarias para procedimientos de supervisión que ya hayan dado comienzo, se suprimirán cuando dichos procedimientos ya no exijan la justificación.
Conclusión
Tratándose de una propuesta, por tanto, susceptible a cambios en su versión definitiva, no merece la pena entrar en más detalles, pero sí diré que, en términos generales, me parece acertada, siempre que el intercambio de imágenes faciales se limite a delincuentes condenados y sospechosos fichados.
—
Actualización (30.01.2023)
El Tribunal de Justicia de la Unión Europea (TJUE) en su Sentencia de 26 de enero de 2023 (asunto C‑205/21) ha puesto límites a la recogida por parte de la policía de datos biométricos y genéticos de cualquier persona investigada por un delito público doloso a efectos de su registro.
Al amparo de la Directiva (UE) 2016/680, el tribunal dispone que las leyes nacionales deben obligar a la autoridad competente a comprobar y demostrar, por una parte, si esa recogida es estrictamente necesaria para satisfacer los objetivos concretos perseguidos y, por otra, si tales objetivos no pueden lograrse mediante medidas que constituyan injerencias menos graves en las libertades y los derechos fundamentales del interesado.