El Proyecto de Directiva Europea de Protección de Datos en los ámbitos judicial y policial La actualidad de la privacidad y la protección de datos en un mundo globalizado San Sebastián, 11 de junio de 2012 Diana Alonso Blas – Data Protection Officer/ Jefa del Servicio de Proteccion de Datos, Eurojust Emilio Aced Félez – S. G. de Registro de Ficheros y Consultoría Agencia de Protección de Datos de la Comunidad de Madrid

• Proteccion de datos en la UE antes del Tratado de Lisboa: – Convenio del CoE 108 de aplicación general – Directiva 95/46 (inspirada en convenio) solo se aplica al “1er pilar” – En el ámbito del “3er pilar”: normas especificas muy desarrolladas (Schengen, Europol, Eurojust, Sistema de Aduanas…) – Solo un instrumento europeo: Decisión Marco 2008/977/JAI

• Negociaciones difíciles debido a requisito de unanimidad en el Consejo y no intervención del PE • Instrumento de aplicación limitada: – solo tratamiento transfronterizo de datos – mantiene en vigor las normas especificas (SIS, EJ, Europol....) – nivel de protección limitado • Requiere trasposición en EM: problemas de tiempo y contenido

• Desaparición de los “pilares” • Articulo 16 recoge derecho fundamental a la protección de datos + base legal para reglas (posiblemente) generales • Carta de los Derechos Fundamentales de la UE (art 8) se convierte en derecho vinculante • Declaración 21 reconoce la necesidad de normas especificas en ámbito policial y judicial

• Directiva es una disposición normativa de Derecho comunitario que vincula a los Estados de la Unión o, en su caso, al Estado destinatario en la consecución de resultados u objetivos concretos en un plazo determinado, dejando, sin embargo, a las autoridades internas competentes la debida elección de la forma y los medios adecuados a tal fin.

• Deseo de aplicar principios generales también en ámbito judicial y policial (Lisboa+ Programa de Estocolmo 2010) • Necesidad política de ofrecer mas flexibilidad a EM en este ámbito (aun con intervención del EP+Consejo) • Criticas de EM debido a existencia de Decisión Marco aun no transpuesta totalmente • Necesidad de contenido de mas flexibilidad: ejemplos (derechos interesados, transferencias internacionales...)

• Intervención activa y coordinada en consultas de la CE + cartas a la Comisaria +publicaciones • Deseo de mantener sus regímenes de protección de datos sólidos, eficaces y a medida + órganos de supervisión específicos y especializados • Opinión firme y fundamentada en cuanto a necesidad de normas específicas en ámbitos judicial y policial

• “Parto difícil”: consulta interservicio recibe mucha oposición. Compromisos necesarios para alcanzar objetivo (28/1). • Criticas del Supervisor Europeo y comité articulo 29 por un lado • Criticas de los EM por el otro

• Publicación de propuestas 25/1/12 • Primeras discusiones en grupos de trabajo DAPIX y en CATs (Consejo UE) • Reacciones de los EM: – Buen numero de escépticos sobre “subsidiaridad" y necesidad (Decisión Marco 2008) – En general apoyo del tipo de instrumento – Criticas unánimes sobre la necesidad de renegociar acuerdos internacionales • Intención de Comisaria Reding: “My plan is to have the data protection reform politically agreed by summer 2013”. Con o sin directiva???? • Directiva 95/46 tardo 5 años en negociarse…

• Trasposición de la Decisión Marco en EM debe continuar y esta siendo evaluada (aunque seria derogada por la directiva) • Marco jurídico actual de Europol y Eurojust no esta afectado pero el Tratado de Lisboa obliga a la renegociación de bases legales (decisiones deben convertirse en reglamentos): Europol en 2012, Eurojust en 2013... • Futuro de órganos supervisores específicos incierto

• Establecer reglas PD para tratamiento de DP por autoridades competentes (AC) para la – Prevención, investigación, detección y enjuiciamiento de infracciones penales o de ejecución de sanciones penales – Proteger los derechos y libertades fundamentales de las personas físicas

• Asegurar el libre intercambio de DP entre AC de los EM

• Se aplica al – Tratamientos AC lucha contra el crimen – Tratamiento total o parcialmente automatizado – Tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero manual

• NO se aplica a – Actividades no comprendidas en el Derecho de la Unión
En particular, a seguridad nacional

– Instituciones, órganos u organismos de la Unión

• Restricción de tratamiento • Violación datos personales • Datos genéticos • Datos biométricos • Datos relativos a la salud • Niño • Autoridades competentes • Autoridad de Control

• Tratamiento lícito y leal • Recogidos para fines específicos, explícitos y legítimos • No tratados posteriormente para fines incompatibles • Adecuados, relevantes y no excesivos

• Exactos y actualizados –Datos inexactos borrados o rectificados

• Conservados identificables solo por el tiempo necesario • Responsable –Deberá asegurar cumplimiento –Asumir responsabilidades

• Clara distinción entre diferentes categorías de afectados – Sospechosos – Condenados – Terceras personas involucradas





Contactos Asociados Confidentes o informadores Testigos

– Víctimas – Otros

• Distinción de categorías de datos de acuerdo con su grado de exactitud y fiabilidad • Datos basados en hechos se distinguirán de datos basados en apreciaciones personales

• Ejecución de una tarea llevada a cabo por una AC basada en una ley para fines policiales • Cumplimiento obligación jurídica • Protección interés vital del afectado u otra persona • Prevención de una amenaza inminente y grave para la seguridad pública

• Prohibido tratamientos datos que revelen – Origen étnico o racial, opiniones políticas, religión o creencias, afiliación sindical – Datos genéticos o de datos relativos a la salud o a la vida sexual

– Salvo – Autorizado por ley – Protección de intereses vitales – Datos hechos manifiestamente públicos por el interesado

• Prohibido salvo autorizado por ley estableciendo garantías adecuadas – Produzcan efectos negativos afectado – Le afecten sustancialmente – Basadas únicamente en un tratamiento automatizado – Destinado a evaluar determinados aspectos personales del interesado

• No podrán basarse exclusivamente en datos sensibles

• Area especialmente dificil en ambito judicial y policial por razones obvias • Derechos fundamentales que requieren tratamiento caso por caso y rigor en la aplicacion de las excepciones • Excepciones deben respetar el articulo 8 de la Convencion de Derechos Humanos 1950

• Obligaciones: – Estados miembros de ofrecer información de fácil acceso y comprensión, inspirada especialmente en el principio 10 de la Resolución de Madrid relativa a estándares internacionales sobre protección de datos personales y privacidad – los responsables del tratamiento a establecer procedimientos y mecanismos para facilitar el ejercicio de los derechos del interesado en un tiempo razonable.

• En principio ejercicio de los derechos debe ser gratuito. Cuando las solicitudes sean abusivas, en particular a causa de su carácter repetitivo, su tamaño o su volumen, el responsable del tratamiento podrá cobrar una tasa para facilitar la información o adoptar la medida solicitada, o podrá decidir no adoptar la medida solicitada. En tal caso, la carga de demostrar el carácter abusivo de la solicitud recaerá en el responsable del tratamiento.

• Derecho de recibir información sin necesidad de petición de la persona (≠ acceso). Especialmente difícil en este area. • Obligación de los Estados miembros de garantizar la información al interesado: - no se distingue en distintos artículos si la información se recoge del interesado o no - se amplia el espectro de la información que se ha de facilitar. 1. 2. 3. 4.

Identidad y Datos del responsable del tratamiento y del delegado; Fines del tratamiento; plazo de conservación; Derechos del interesado (acceso , rectificación, supresión o limitación ); 5. derecho a presentar una reclamación ante la autoridad de control y los datos de contacto de la misma; 6. los destinatarios (o categorías), en particular en terceros países u organizaciones internacionales; 7. cualquier otra información en la medida en que resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado, habida cuenta de las circunstancias específicas en las que se traten los datos personales.

• EM podrán retrasar, limitar o eximir la provisión de información con siguientes condiciones: - excepciones deben ser proporcionadas y necesarias en una sociedad democrática para el ejercicio de las tareas de las autoridades competentes y deben tener en cuenta el interés legitimo de la persona (articulo 8 ECHR). a) para evitar que se obstaculicen pesquisas, investigaciones o procedimientos jurídicos o de carácter oficial; b) para evitar que se prejuzgue la prevención, detección, investigación y enjuiciamiento de infracciones penales o para la ejecución de sanciones penales; c) para proteger la seguridad pública; d) para proteger la seguridad nacional; e) para proteger los derechos y libertades de otras personas. - Deberán definirse las categorías de tratamiento de datos que pueden acogerse, en su totalidad o en parte, a las exenciones.

• Obligación de garantizar el derecho del interesado a saber si sus datos se están tratando o no y, en su caso, acceder a sus datos personales. • Añade nuevos elementos de información (periodo de conservación, derechos de rectificación, supresión o restricción y a presentar una reclamación). • Derecho asimismo a obtener una copia (gratuito en principio).

• -

•

•

EM podrán adoptar medidas legislativas que limiten, total o parcialmente, el derecho de acceso con las siguientes condiciones: excepciones deben ser proporcionadas y necesarias en una sociedad democrática y deben tener en cuenta el interés legitimo de la persona (articulo 8 ECHR). Mismos motivos mencionados que en excepciones al derecho de información. Deberán definirse por ley las categorías de tratamiento de datos que pueden acogerse, en su totalidad o en parte, a las exenciones. En los casos contemplados, el responsable informará por escrito al interesado sobre cualquier denegación o limitación de acceso, sobre las razones de la denegación y sobre las posibilidades de presentar a la autoridad de control una reclamación e interponer un recurso judicial. La información sobre los fundamentos de hecho o de Derecho en los que se sustenta la decisión podrá omitirse cuando el suministro de dicha información pueda comprometer uno de los fines contemplados (ejemplo Eurojust). El responsable del tratamiento debe documentar los motivos por los que no comunicó los fundamentos de hecho o de derecho en los que se sustenta la decisión.

• Cuando se restrinja el acceso directo, el interesado debe ser informado de la posibilidad de recurrir al acceso indirecto a través de la autoridad de control • Autoridad debe ejercer el derecho en su nombre y ha de informar al interesado al menos, de que se han llevado a cabo todas las verificaciones necesarias, así como del resultado en lo tocante a la licitud del tratamiento en cuestión.

• Toda persona tiene derecho a que se rectifiquen los datos inexactos que le conciernan y a que se completen cuando sean incompletos. • En la practica problema son aptos “no objetivos” o proporcionados por otra persona (testigos...). En tales casos nota adicional. • En caso de denegación información sobre motivos+posibilidad de reclamación/recurso judicial

• Toda persona tiene derecho a que se supriman sin demora sus datos, cuando el tratamiento de estos datos no cumpla los principios de Directiva. • En lugar de proceder a la supresión, el responsable marcará los datos personales cuando: • a) el interesado impugne su exactitud, durante un plazo que permita al responsable del tratamiento verificar la exactitud de dichos datos; • b) los datos personales hayan de conservarse a efectos probatorios; • c) el interesado se oponga a su supresión y solicite la limitación de su uso. • En caso de denegación información sobre motivos+posibilidad de reclamación/recurso judicial

• Cuando los datos personales se traten en el transcurso de investigaciones y procedimientos penales, los derechos pueden ejercerse de conformidad con las normas nacionales relativas a los procedimientos judiciales. • Necesidad de aplicar conjuntamente las normas de proteccion de datos armonizadas con el derecho procesal penal nacional no armonizado.

• Responsable debe asegurar cumplimiento normativa PD – Adoptando políticas – Implantando medidas apropiadas





Generando y conservando documentación Cumpliendo normas consulta previa Implantando requisitos de seguridad Designando un Encargado de Protección de Datos (DPO)

– Implementando mecanismos de verificación
En particular, auditorías independientes

• Protección de datos desde el diseño – Medidas técnicas – Medidas organizativas – Procedimientos para cumplir con normativa PD y proteger derechos interesados

• Protección de datos por defecto – Tratar solamente los datos necesarios

• Tratar datos solamente – Siguiendo las instrucciones del responsable – Cuando la ley lo requiera

• Ofrezcan garantías suficientes • Regirse acto jurídico vinculante – Encargado actúa sólo siguiendo instrucciones del responsable – En particular, cuando la cesión de datos está prohibida

• Si el encargado vulnera las instrucciones del responsable – Deviene en responsable – Queda sujeto a responsabilidad

• Nombre y datos contacto responsable – Lo mismo para corresponsables o coencargados – Fines del tratamiento – Destinatarios o categorías de destinatarios – Transferencias internacionales

• Llevanza de registros – En casos de consulta o cesión
Finalidad
Fecha y hora
Identificación de la persona

– Uso sólo para verificación, autocontrol y para asegurar integridad y seguridad de los datos

• Cooperación a requerimiento autoridad de control – Facilitando información requerida – Adoptando medidas requeridas e informando resultados conseguidos

• Consulta previa para sistemas nuevos – Si se tratan datos sensibles – Si tipo de tratamiento supone riesgos específicos para los derechos y libertades de los afectados
En particular, por el uso de nuevas tecnologías

• La APD puede establecer lista de tratamientos sujetos a consulta previa

• Implantación de medidas técnicas y organizativas apropiadas – Asegurar nivel de seguridad adecuado – En función de los riesgos existentes – Naturaleza datos procesados – Teniendo en cuenta tecnología existente y costes

• Notificación de violaciones de datos personales a – Autoridad de control – En ciertos casos, a los interesados

• Se designará un DPO • Deberá tener –Cualificación profesional –Conocimiento experto de la legislación y la práctica de protección de datos –Capacidad para desempeñar sus tareas

• Puede ser designado para varias entidades

• Eficacia e independencia –No recibirá ninguna instrucción

• Se le implicará en todas las materias relativas a protección de datos • Se le proporcionarán medios adecuados

• Informar y asesorar responsable • Supervisar implantación y aplicación de Asignación de responsabilidades Formación del personal Auditorías Protección de datos desde el diseño Protección de datos por defecto Asegurarse de mantenimiento documentación Documentación, notificación y comunicación de violaciones de datos personales – Presentación solicitudes consulta previa – Cooperación con la Autoridad de Control – Punto de contacto Autoridad de Control – – – – – – –

• Transferencia necesaria para la PIDP de infracciones penales o la ejecución de sanciones penales – Hay Decisión de Adecuación de la CE – Se aducen garantías adecuadas a través de un instrumento jurídico vinculante – Responsable o encargado concluyen que existen garantías adecuadas
Evaluación realizada personal autorizado
Documentado
Documentación disponible para A. Control

• Excepciones – Protección intereses vitales – Salvaguarda intereses legítimos afectado – Esencial para prevenir una amenaza inminente para seguridad pública – En casos concretos
Necesaria para PIDP
Reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial penal

• Pueden imponerse limitaciones al tratamiento

• Independencia • Condiciones para ser miembro • Establecida por ley de los EM incluyendo – Cualificaciones – Procedimientos de nombramiento – Duración del mandato y posibilidad o no de reelección – Deberes de miembros y personal – Normas y procedimientos cese miembros

• Deber de secreto profesional • Poderes territoriales en su EM • No competentes para tratamientos jurisdiccionales de los tribunales

Autoridad de Control • Funciones – Asegurar aplicación de la normativa – Conocer las reclamaciones de los afectados e informarles sobre su curso y resultado – Verificar licitud del tratamiento – Prestar asistencia mutua – Garanizar coherencia en la aplicación de la normativa – Llevar a cabo investigacioines – Seguimiento de desarrollos relevantes (tambien TIC)

Autoridad de Control • Funciones – Asesorar a las instituciones y organismos del EM sobre medidas legislativas y administrativas – Contestar a las consultas previas – Participar en Consejo Europeo de Protección de Datos – Promover concienciación de los ciudadanos – Asesorar a los interesados sobre sus derechos

• Poderes – Investigación
Acceso a los datos
Recabar toda información necesaria

– Intervención
Emitir dictámenes
Ordenar limitación, borrado o destrucción de datos
Imponer prohibiciones de tratamiento
Formular advertencias o amonestaciones
Remitir asuntos a los parlamentos nacionales

– Emprender acciones legales
Cuando se haya infringido la normativa
Denunciar infracciones a las autoridades judiciales

• Elaborará un informe anual

• Derecho a presentar reclamación ante la autoridad de control • Recurso judicial contra la decisión de una autoridad de control • Recurso judicial contra un responsable o encargado • Normas comunes para procedimientos judiciales • Responsabilidad • Derecho a indemnización • Sanciones efectivas y disuasorias

• El artículo 56 permite al legislador delegar en la Comisión los poderes para adoptar actos no legislativos de alcance general que completen o modifiquen determinados elementos no esenciales de un acto legislativo (actos cuasi legislativos). - De acuerdo al artículo 290 del TFUE. - Punto muy criticado por EM pero defendido personalmente por la Comisaria Reding • El artículo 57 contiene el procedimiento del comité necesario para la atribución de competencias de ejecución a la Comisión en los casos en que, se requieran condiciones uniformes de ejecución de los actos jurídicamente vinculantes de la Unión. - De conformidad con el artículo 291 del TFUE - Igualmente controvertido pero defendido por Comisaria

• Acuerdos internacionales celebrados anteriormente por los EM en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial deberán modificarse en un plazo de 5 años!!! • Oposición unánime de los EM así como Estados terceros, cuya cooperación es necesaria • Plazo no realista pero negociable • “Grandfather clause”???? Deseada por EM pero permite continuación de problema de falta de consistencia (ejemplos EJ y Europol)

• Decisión Marco quedaría derogada por Directiva • Se mantienen inalteradas las disposiciones específicas sobre tratamiento por parte de autoridades competentes en actos de la UE adoptados antes de la fecha de adopción que regulen el tratamiento de datos personales o el acceso a los sistemas de información establecidos en el ámbito de aplicación de la misma. (art 59) • La Comisión revisará en tres años después de la entrada en vigor otros actos adoptados por la UE, en particular los actos adoptados por la Unión a que se refiere el artículo 59, a fin de evaluar la necesidad de aproximarlos a las disposiciones de la presente Directiva, y presentará, en su caso, las propuestas necesarias para modificar dichos actos a fin de garantizar un enfoque coherente de la protección de datos personales en el ámbito de aplicación de la presente Directiva.

• Agencia de la Unión Europea para la cooperación judicial en asuntos penales. • Decisión del Consejo 2002/187/JAI del 22 de Febrero del 2002 • Decisión del Consejo 2009/426/JAI de 16 de diciembre de 2008 • Composición: – Colegio – National desks – Administración

• Coordinación – Autoridades competentes – Investigaciones y actuaciones judiciales – Solicitud

• Cooperación – Ejecución solicitudes y decisiones MLA (incluidos instrumentos reconocimiento mutuo)

• Apoyo en general

• Principios y conceptos son los mismos, debido a convenio 108 CoE • Régimen de protección de datos de EJ es mas detallado y protector • Reglas sobre derechos similares • Figura del DPO es fundamental en régimen de EJ (art. 17 Decisión) • Diferencia entre categorías de afectados ya existe: medidas mas protectores para datos de victimas y testigos

• En el ámbito de transferencias internacionales EJ funciona sobre principio de adecuación y tratados internacionales existentes ofrecen nivel de protección muy alto. Revisión de tratados, si fuera necesario, no implicaría grandes cambios. • Principal tema es autoridad supervisora: la Autoridad Común de Control de EJ es experta en ámbito de cooperación judicial

• Oficina Europea de Policía • Creada por el Convenio Europol en 1995 y “refundada” por la Decisión Europol de 2009 • NO es el FBI europeo – Poderes de intervención limitados

• ES, fundamentalmente, un centro de intercambio y tratamiento de información

• Objetivos – Apoyar y reforzar la cooperación mutua EM – Prevenir y combatir el terrorismo y la delincuencia organizada – Casos que afecten o dos o más EM

• Funciones – Recopilar, almacenar, tratar, analizar e intercambiar información – Notificar EM conexiones entre delitos – Asistir a los EM en las investigaciones, proporcionar datos y prestar apoyo analítico; – Solicitar EM investigaciones y JIT – Elaborar evaluaciones amenazas e informes.

• Similares principios y conceptos – Se derivan del Convenio 108 CoE

• Régimen PD Europol más ajustado a sus funciones y competencias • Amplia experiencia – Aplicación – Supervisión e interpretación
DPO
ACC
Inspecciones

• Reglas sobre derechos similares

• Sistemas de información definidos • Lista cerrada de delitos • Lista cerrada de datos • Creación controlada de ficheros • Periodos de conservación de la información claramente definidos • Transferencias internacionales – Consejo & Europol vs Comisión – Régimen Europol más restrictivo

Emilio Aced Félez [email protected]

Diana Alonso Blas, LL.M. [email protected]