El régimen de protección de datos de las agencias del espacio LSJ

• Autor: Ángeles Gutiérrez Zarza
• Páginas: 135-160

Contenidos

• I. Introducción
• II. Complejidad de regímenes jurídicos
• 1. El régimen jurídico de FRA, CEPOL, EIGE, EASO y EMCDDA.
• 2. El régimen jurídico de EUROPOL y EUROJUST, en comparación con FRONTEX.
• 3. El régimen jurídico de EU-LISA.
• 4. El régimen jurídico de otros actores, sistemas de información, bases de datos e instrumentos jurídicos del espacio LSJ.
• 5. La tendencia hacia su armonización.
• III. Extensión y límites de los principios sobre protección de datos
• 1. Sobre el principio de finalidad.
• 2. Sobre la conservación y borrado de los datos personales.
• IV. Extensión y límites de los derechos sobre protección de datos
• 1. Sobre el derecho de información y los derechos de acceso, rectificación y cancelación.
• 2. Sobre el necesario deslinde entre el derecho de acceso a los datos personales, el derecho de acceso al documento público y el derecho de acceso al expediente judicial.
• V. Responsables de protección de datos, autoridades de supervisión y autoridades judiciales penales
• VI. El intenso intercambio de información entre las agencias, con terceros países y organizaciones internacionales
• VII. A modo de conclusión

Page 135

I Introducción

En el marco del proyecto MAGELS y con motivo del Seminario celebrado en Barcelona el día 13 de junio de 2016, me correspondió analizar en qué

Page 136

medida el régimen de protección de datos de las agencias que pertenecen al espacio de Libertad, Seguridad y Justicia (LSJ) contribuye al cumplimiento de la misión que cada una de ellas tiene encomendada y, en última instancia, a la consecución de los objetivos del citado espacio y de la Unión.

El tema me pareció relevante por varias razones.

En primer lugar, por la importancia creciente de las agencias en el espacio LSJ. EUROPOL y EUROJUST comenzaron hace décadas con un papel muy discreto en el ámbito de la cooperación policial y judicial de la Unión Europea (UE), y hoy las nueve agencias que operan en el citado espacio constituyen piezas clave en la lucha contra la criminalidad grave (EURO-JUST, EUROPOL, EMCDDA), la gestión de las crisis migratorias (FRONTEx , EASO), la protección de los derechos fundamentales (EIGE, FRA), la formación de las autoridades policiales de los Estados miembros y de las propias agencias (CEPOL) y la gestión de los sistemas de información y las bases de datos (EU-LISA).

En segundo lugar, el tema me pareció relevante por la gran cantidad de información que estas agencias reciben, procesan e intercambian.

Es claro que las agencias no pueden disponer libremente de esta información, sobre todo si contiene datos personales, y de ahí que cada una de ellas esté sujeta a un estricto régimen en materia de protección de datos. Las disposiciones que integran este régimen establecen una serie de principios y normas de seguridad de obligado cumplimiento para las agencias, como los principios de finalidad, calidad de la información, conservación y borrado, entre otros. También reconocen un conjunto de derechos que protegen a los individuos cuyos datos personales son objeto de tratamiento, como el derecho de información y los derechos de acceso, rectificación y bloqueo de los datos personales. De igual modo, la observancia de estos principios y el respeto a los citados derechos se controla y supervisa por un doble sistema, que se lleva a cabo en primer lugar y de manera interna por un responsable de protección de datos y con posterioridad y de manera externa a través de un órgano de supervisión independiente. Por último, las agencias del espacio LSJ no operan de manera aislada, sino que se coordinan e intercambian información de manera fluida con otras agencias de la Unión Europea, con terceros países y organizaciones internacionales. El intercambio de información con otras agencias y con distintos actores que no pertenecen al espacio LSJ está condicionado al cumplimiento de ciertos requisitos adicionales.

Sobre estos cuatro pilares (principios y normas de seguridad, derechos, autoridades de control y supervisión, cumplimiento de requisitos adicionales para el intercambio de información con terceros) se asienta el régimen general de protección de datos personales, y sobre ellos se han establecido también los regímenes particulares de las agencias del espacio

Page 137

LSJ. Me refiero a los «regímenes particulares» porque, como veremos, no solo hay uno.

En tercer lugar, el tema propuesto me pareció interesante porque unas semanas antes del Seminario de Barcelona se habían publicado en el Diario Oficial de la Unión Europea el Reglamento General de Protección de Datos¹ y la Directiva que establece las particularidades de este régimen en el ámbito de la prevención, la detección, la investigación y el enjuiciamiento de los delitos, así como la ejecución de las penas². El primero de estos instrumentos jurídicos dispone en su considerando (17) que las instituciones y agencias UE deberán adaptar sus regímenes jurídicos a los principios y normas del Reglamento General de Protección de Datos «con el fin de que puedan aplicarse al mismo tiempo que el Reglamento» y con la finalidad de «establecer un marco sólido y coherente en materia de protección de datos de la Unión». El segundo de estos instrumentos jurídicos regula el intercambio de información entre las autoridades policiales y judiciales y las garantías que deben acompañar dicho intercambio y la incorporación al proceso penal de manera que, aunque no es directamente aplicable a las agencias del espacio LSJ, sí puede servir de inspiración para encontrar soluciones a algunos de los problemas y dificultades que plantean las normas sobre protección de datos de dichas agencias.

La aplicación práctica de los regímenes de protección de datos de las agencias LSJ plantea algunos problemas y dificultades, en atención a los cuales tengo mis dudas sobre si estos regímenes son los más adecuados para proteger los derechos fundamentales de los ciudadanos al tiempo que permiten a cada una de las agencias desarrollar su misión. Y tengo dudas también sobre si estos regímenes, tal y como están regulados en la actualidad, contribuyen a la consecución de los objetivos del espacio LSJ y de la propia Unión, o si ciertas reformas y ajustes son necesarias.

II Complejidad de regímenes jurídicos

De entrada, el marco jurídico sobre tratamiento de la información y protección de datos personales de las agencias del espacio LSJ es bastante complejo y dispar.

Page 138

1. El régimen jurídico de FRA, CEPOL, EIGE, EASO y EMCDDA

Un primer grupo de agencias están sometidas a un régimen de protección de datos muy similar al de las instituciones, organismos, órganos y demás agencias de la Unión. Así sucede con FRA, CEPOL, EIGE, EASO y EMCDDA. Todas ellas están sujetas a una triple normativa:

1. En materia de protección de datos se rigen por el Reglamento (CE) núm. 45/2001, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos³.

2. En materia de información clasificada se rigen por la Decisión (UE, Euratom) 2015/444, de 13 de marzo⁴, y en materia de información delicada o sensible no clasificada por la Decisión (UE, Euratom) 2015/443, de 13 de marzo, sobre seguridad de la Comisión⁵.

3. En el ámbito concreto del acceso a documentos es aplicable el Reglamento (CE) núm. 1049/2001, de 30 de mayo, relativo al acceso del público a los documentos del Parlamento, del Consejo y de la Comisión⁶.

La característica común de este grupo de agencias es que para el cumplimiento de sus fines reciben, procesan e intercambian un volumen importante de información pero que no contiene datos personales. Esta información (relevante para el cumplimiento de sus fines, pero sin contener datos personales) se denomina estratégica, en contraposición a la información operativa, que sí contiene datos personales generalmente referidos a investigaciones policiales o procesos penales en curso.

Como ejemplos, la recogida y análisis de información estratégica permite a CEPOL conocer las necesidades formativas de las autoridades policiales de los Estados miembros para hacer frente a nuevas formas de cibercriminalidad y organizar sus cursos de formación. El manejo de información estratégica permite a EMCDDA identificar las últimas tendencias sobre suministro de drogas en la Unión Europea y emitir sus informes.

En el caso de FRA, el art. 4(1) de su Reglamento⁷ habilita a esta agencia para la recogida, análisis y difusión de información y datos comparables y fiables [apdo. a)], el desarrollo de métodos para mejorar la comparabilidad, la objetividad y fiabilidad de los datos a escala europea [apdo. b)], la elabo-

Page 139

ración de conclusiones y dictámenes sobre temas concretos [apdo. d)] y la publicación de informes temáticos basados en sus análisis, investigaciones y encuestas [apdo. f)]. En el desarrollo de estos cometidos y tras la recogida y análisis de la información necesaria, FRA ha publicado en 2016 un «Manual de legislación europea sobre derecho de acceso a la Justicia», un «Informe sobre Derecho de Asilo e Inmigración en la Unión Europea en 2015», o un Informe sobre las «Garantías de la Justicia para las víctimas de delitos de odio: perspectivas profesionales», entre otros⁸.

La información estratégica que manejan estas agencias y que le permite a FRA elaborar informes como los citados en el párrafo anterior se contrapone a la llamada información operativa que reciben, manejan e intercambian EUROPOL, EUROJUST y en menor medida FRONTEx , con la finalidad de investigar y enjuiciar delitos graves con una dimensión transnacional. Esta información operativa contiene datos personales, como pueden ser los relativos al nombre, apellidos, domicilio y profesión de un sospechoso o imputado, o el nombre y apellidos de varias víctimas de una red de trata de seres humanos y por ello, como veremos después, están...