25.10.2008   

ES

Diario Oficial de la Unión Europea

C 270/1

1.

El Sistema de Información del Mercado Interior («IMI») es una herramienta de tecnología de la información que permitirá el intercambio de información entre autoridades competentes de los Estados miembros en la aplicación de la legislación relativa al mercado interior. El IMI está financiado con cargo al programa «IDABC» (prestación interoperable de servicios paneuropeos de administración electrónica al sector público, las empresas y los ciudadanos) (1).

2.

Está concebido como un sistema general de apoyo a múltiples ámbitos de la legislación relativa al mercado interior, y se prevé ampliar su utilización en el futuro, en apoyo de diversos ámbitos legislativos. Inicialmente se empleará el IMI en apoyo de las disposiciones sobre asistencia recíproca de la Directiva 2005/36/CE («Directiva sobre cualificaciones profesionales») (2). A partir de diciembre de 2009 se recurrirá también al IMI en apoyo de las disposiciones sobre cooperación administrativa de la Directiva 2006/123/CE [«Directiva sobre servicios» (3)].

3.

En la primavera de 2007, la Comisión solicitó el dictamen del Grupo «Protección de Datos» del artículo 29 («G29») a efectos de examinar las repercusiones del IMI en materia de protección de datos. El G29 emitió su dictamen sobre los aspectos de protección de datos del IMI el 20 de septiembre de 2007 (4). El dictamen del G29 era favorable a los planes de la Comisión de adoptar una decisión que regulara los aspectos de protección de datos del IMI y aportara una base jurídica más específica al intercambio de datos dentro del IMI.

4.

El SEPD celebra que la Comisión haya solicitado el dictamen del G29 antes de redactar la Decisión sobre el IMI. El SEPD participó activamente en los trabajos del subgrupo encargado del IMI, y respalda las conclusiones del dictamen del G29. Celebra asimismo que la Comisión haya consultado informalmente al SEPD antes de la adopción de la Decisión sobre el IMI. Ello le ha brindado la posibilidad de formular sugerencias antes de la adopción, lo cual era tanto más necesario cuanto que el procedimiento se refería a una Decisión de la propia Comisión y no a una propuesta de la Comisión seguida de un procedimiento legislativo con participación del Consejo y del Parlamento Europeo.

5.

El 12 de diciembre de 2007, la Comisión adoptó su Decisión 2008/49/CE relativa a la protección de los datos personales en la explotación del Sistema de Información del Mercado Interior (IMI), por lo que se refiere a la protección de los datos personales («Decisión IMI»). La Decisión tenía en cuenta algunas de las observaciones formuladas por el SEPD y por el G29. Precisaba, asimismo, la base jurídica.

6.

La impresión general del SEPD sobre el IMI es positiva. El SEPD respalda los objetivos de la Comisión al establecer un sistema electrónico de intercambio de información y regular los aspectos de protección de datos. Un sistema racionalizado de estas características no sólo puede contribuir a mejorar la eficiencia de la cooperación, sino también a garantizar el cumplimiento de la normativa aplicable en materia de protección de datos. Puede tener este efecto al aportar un marco claro sobre el tipo de información que puede intercambiarse, con quién y en qué condiciones.

7.

Sin embargo, la implantación del sistema electrónico centralizado conlleva también ciertos riesgos. Entre los más importantes cabe mencionar el hecho de que pudieran ponerse en común más datos, y más detallados, de lo estrictamente necesario a efectos de una cooperación eficiente, y de que los datos, con inclusión de posibles datos desactualizados e inexactos, pudieran permanecer en el sistema más tiempo del necesario. La seguridad de una base de datos accesible desde 27 Estados miembros es también un problema delicado, ya que el sistema sólo es tan seguro como lo permite el más débil de los eslabones de la red.

8.

Así pues, es muy importante que las consideraciones de protección de datos se aborden de la manera más completa y menos ambigua posible, en un acto comunitario jurídicamente vinculante.

9.

El SEPD celebra que la Comisión defina y delimite con precisión el ámbito de aplicación del IMI, enumerando en un anexo los actos comunitarios pertinentes con base en los cuales se podrá intercambiar información. En la actualidad, éstos son únicamente la directiva sobre cualificaciones profesionales y la directiva sobre servicios; no obstante, se prevé que el ámbito de aplicación del IMI se amplíe en el futuro. Siempre que se adopte legislación nueva que contemple un intercambio de información a través del IMI, se actualizará simultáneamente el anexo. El SEPD expresa su satisfacción ante esta técnica, puesto que: i) delimita con claridad el ámbito de aplicación del IMI; ii) garantiza la transparencia, y al mismo tiempo; iii) permite una flexibilidad en caso de que en el futuro se utilice el IMI para otros intercambios de información. Garantiza asimismo que no sea posible efectuar intercambios de información a través del IMI sin que: i) exista una base jurídica adecuada en la legislación específica sobre el mercado interior que permita o disponga el intercambio de información; y ii) se incluya en el anexo de la Decisión IMI una referencia a dicha base jurídica.

10.

Sin embargo, el SEPD no está satisfecho con: i) la elección de la base jurídica de la Decisión IMI, que implica que ésta se asienta actualmente en elementos jurídicos inciertos (véase la sección 2 del presente dictamen); y ii) el hecho de que varias disposiciones necesarias para regular en detalle los aspectos de protección de datos del IMI no estén incluidas en el documento (véase la sección 3 del presente dictamen).

11.

Lamentablemente, en la práctica, la solución adoptada por la Comisión implicará que, en contra de las expectativas del SEPD y del G29, la Decisión IMI no regula actualmente de manera exhaustiva todos los principales aspectos de protección de datos del IMI, incluyendo —por señalar los más importantes— el modo en que los supervisores conjuntos comparten la responsabilidad en materia de notificación y otorgan derechos de acceso a los interesados, ni tampoco sobre las cuestiones concretas y prácticas de proporcionalidad. El SEPD lamenta asimismo que no conste el requisito expreso de que la Comisión publique las preguntas y los campos de datos predefinidos en su sitio de Internet, lo que mejoraría la transparencia y la seguridad jurídica.

12.

La base jurídica de la Decisión IMI, según se establece en la propia Decisión, es la Decisión 2004/387/CE del Parlamento Europeo y del Consejo, de 21 de abril de 2004, relativa a la prestación interoperable de servicios paneuropeos de administración electrónica al sector público, las empresas y los ciudadanos («Decisión IDABC») (5), y en particular su artículo 4.

13.

La propia Decisión IDABC es un instrumento situado en el marco del título XV del Tratado constitutivo de la Comunidad Europea («Tratado CE») — Redes transeuropeas. El artículo 154 del Tratado CE dispone que la Comunidad contribuirá al establecimiento y al desarrollo de redes transeuropeas en los sectores de las infraestructuras de transportes, de las telecomunicaciones y de la energía. Esta acción tendrá por objetivo favorecer la interconexión e interoperabilidad de las redes nacionales, así como el acceso a dichas redes. El artículo 155 enumera las medidas que la Comunidad puede adoptar en este marco. Éstas pueden consistir en: i) orientaciones; ii) acciones que puedan resultar necesarias para garantizar la interoperabilidad de las redes, especialmente en el ámbito de la armonización de las normas técnicas; iii) así como en el apoyo a proyectos. La Decisión IDABC se basa en el apartado 1 del artículo 156, que trata del procedimiento de adopción.

14.

En el artículo 4 de la Decisión IDABC se prevé, entre otras cosas, que la Comunidad ejecutará proyectos de interés común. Esos proyectos deberán incluirse en un programa de trabajo renovable, y su ejecución habrá de ajustarse a los principios de los artículos 6 y 7 de la Decisión IDABC. Esos principios pretenden fundamentalmente estimular una participación amplia, establecer un procedimiento sólido e imparcial y disponer la normalización técnica. Tienen igualmente por objeto garantizar la fiabilidad y viabilidad económicas de los proyectos.

15.

Como ya se ha explicado, en su fase inicial el Sistema de Información del Mercado Interior se empleará para el intercambio de datos personales en el contexto de dos directivas:

16.

El artículo 34, apartado 1 de la directiva sobre servicios constituye una base jurídica específica para el establecimiento de un sistema electrónico de intercambio de información entre los Estados miembros, como medida complementaria para los fines de la directiva. El apartado 1 del artículo 34 dice lo siguiente: «La Comisión, en cooperación con los Estados miembros, establecerá un sistema electrónico de intercambio de información entre Estados miembros, teniendo en cuenta los sistemas de información existentes».

17.

La directiva sobre cualificaciones profesionales no contempla un sistema electrónico específico para el intercambio de información, pero sí exige de forma patente, en varias de sus disposiciones, que se lleve a cabo un intercambio de información. Entre las disposiciones pertinentes que exigen el intercambio de información cabe mencionar el artículo 56 de la directiva, que requiere que las autoridades competentes de los Estados miembros colaboren estrechamente y se presten asistencia recíproca con el fin de facilitar la aplicación de la directiva. El apartado 2 del artículo 56 dispone que determinada información delicada se trate respetando la legislación sobre protección de datos. Además, el artículo 8 también dispone expresamente que las autoridades competentes del Estado miembro de acogida podrán solicitar a las autoridades competentes del Estado miembro de establecimiento toda información pertinente relativa a la legalidad del establecimiento y a la buena conducta del prestador así como a la inexistencia de sanción disciplinaria o penal de carácter profesional. Por último, el artículo 51, apartado 2 dispone que en caso de duda justificada, el Estado miembro de acogida podrá exigir de las autoridades competentes de otro Estado miembro una confirmación de la autenticidad de los títulos de formación.

18.

La protección de los datos personales se reconoce como un derecho fundamental en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión y en la jurisprudencia basada en el artículo 8 del Convenio europeo para la protección de los derechos humanos («CEDH»).

19.

En virtud de su artículo 1, la Decisión IMI especifica las funciones, los derechos y las obligaciones de los agentes y los usuarios del IMI en relación con los requisitos en materia de protección de datos. El SEPD, atendiendo al considerando 7 de la Decisión IMI, entiende que ésta pretende ser una especificación del marco comunitario general sobre protección de datos establecido en virtud de la Directiva 95/46/CE y del Reglamento (CE) no 45/2001. Se refiere concretamente a la definición de los responsables del tratamiento de datos y sus responsabilidades, a los plazos de conservación de los datos y a los derechos de los interesados. Así pues, la Decisión IMI se refiere a limitaciones y especificaciones de derechos fundamentales, y tiene por objeto especificar derechos subjetivos de los ciudadanos.

20.

Atendiendo a la jurisprudencia derivada del CEDH, no debería caber duda alguna en cuanto al estatuto jurídico de las disposiciones que restringen derechos fundamentales. Tales disposiciones deberán establecerse en un instrumento jurídico basado en el Tratado CE y que pueda alegarse ante un órgano jurisdiccional. De lo contrario el interesado se encontraría en una situación de inseguridad jurídica, al no poder contar con la posibilidad de invocar las normas ante un órgano jurisdiccional.

21.

La cuestión de la seguridad jurídica reviste tanto mayor relevancia cuanto que, con arreglo al sistema previsto en el Tratado CE, serán fundamentalmente los jueces nacionales los facultados para decidir el valor que darán a la Decisión IMI. Ello podría dar lugar a conclusiones distintas en distintos Estados miembros, e incluso dentro del mismo Estado miembro. Esta inseguridad jurídica no es admisible.

22.

La falta de (seguridad en cuanto a) un recurso jurídico sería contraria, en cualquier caso, al artículo 6 del CEDH, que contempla el derecho a un proceso equitativo, y a la jurisprudencia basada en el mismo. En tales condiciones, la Comunidad faltaría a sus obligaciones a tenor del artículo 6 del Tratado de la Unión Europea («TUE»), que le exige que respete los derechos fundamentales tal y como se garantizan en el CEDH.

23.

Inquieta profundamente al SEPD el hecho de que, al optar por el artículo 4 de la Decisión IDABC como base jurídica de la Decisión, los redactores de la Decisión de la Comisión puedan no haber satisfecho la prueba de la seguridad jurídica aludida anteriormente. A continuación, el SEPD enumera los siguientes elementos que podrían arrojar dudas en cuanto a la correcta elección de la base jurídica de la Decisión IMI:

24.

Por los motivos expuestos, la Decisión IMI requiere una base jurídica sólida. Existen serias dudas de que la base jurídica de la Decisión IMI cumpla el requisito de la seguridad jurídica. El SEPD recomienda que la Comisión reconsidere esta base jurídica y busque soluciones a fin de contrarrestar las imperfecciones de la base jurídica elegida, siendo una consecuencia posible la sustitución de la Decisión IMI por un instrumento que cumpla el requisito de seguridad jurídica.

25.

En este sentido, la solución más oportuna podría ser la adopción por el Consejo y el Parlamento Europeo de un instrumento jurídico aparte para el sistema IMI, similar al Sistema de Información de Schengen, al Sistema de Información de Visados y a otras grandes bases de datos de TI.

26.

El SEPD sugiere que se estudie esta posibilidad. En este caso, el instrumento jurídico separado podría tratar de las funciones, los derechos y las obligaciones de los agentes y los usuarios del IMI en relación con los requisitos en materia de protección de datos (el «objeto» definido en la Decisión IMI), así como de otros requisitos relativos al establecimiento y al funcionamiento del sistema IMI.

27.

Una segunda posibilidad podría consistir en buscar una base jurídica en los distintos instrumentos del mercado interior. En la medida en que la Decisión IMI se aplica al intercambio de datos personales en el contexto de la directiva sobre servicios, debería estudiarse mejor si esa misma directiva, y concretamente su artículo 34, podría aportar la base jurídica necesaria. En la medida en que la Decisión IMI se aplica al intercambio de datos personales en el contexto de la directiva sobre cualificaciones profesionales, podría funcionar también un planteamiento análogo: podría crearse también una base jurídica específica y clara modificando la propia directiva.

28.

Por lo que respecta a otra legislación sobre el mercado interior que en el futuro pueda requerir intercambios de información entre autoridades competentes de los Estados miembros, cabría adoptar en cada caso una base jurídica específica dentro de esa nueva legislación en concreto.

29.

En esta sección del dictamen, el SEPD examina las disposiciones que regulan los aspectos de protección de datos del IMI, según se recogen en la Decisión IMI. Las sugerencias del SEPD podrían incluirse en un nuevo instrumento jurídico que sustituyera a la Decisión IMI, tal como se ha propuesto más arriba. Ahora bien, de no adoptarse este nuevo instrumento, las sugerencias podrían incluirse en la propia Decisión IMI, previa modificación de la misma.

30.

Por otra parte, algunas de las sugerencias pueden ser llevadas a la práctica desde este mismo momento por los agentes del IMI, sin modificar la Decisión. El SEPD espera que la Comisión tenga en cuenta las recomendaciones formuladas en el presente dictamen al menos en el plano operativo, por cuanto guardan relación con las actividades de la Comisión en calidad de agente del IMI, sujeto, por consiguiente, a la supervisión del SEPD.

31.

El SEPD celebra que la Comisión haya publicado en el sitio de Internet del IMI el primer conjunto de preguntas predefinidas y otros campos de datos. Éstos guardan relación con los intercambios de información al amparo de la directiva sobre cualificaciones profesionales.

32.

Con objeto de que esta buena práctica se convierta en una obligación expresa de la Comisión, garantizando y mejorando así la transparencia, el SEPD recomienda que se establezca en un instrumento jurídico relativo al IMI la obligación de que la Comisión publique en el sitio de Internet del IMI las preguntas y otros campos de datos predefinidos.

33.

En lo que concierne a la proporcionalidad, debería precisarse en un instrumento jurídico relativo al IMI que las preguntas y otros campos de datos predefinidos deberán ser adecuados, pertinentes y no excesivos. Por otra parte, el SEPD desea formular dos recomendaciones concretas en relación con la proporcionalidad:

34.

El reparto de responsabilidades a tenor del artículo 3 de la Decisión IMI es impreciso y ambiguo. El SEPD reconoce que puede no ser viable designar expresamente en la Decisión IMI todas las posibles operaciones de tratamiento y atribuir la responsabilidad de cada una de ellas a la Comisión o bien a una autoridad competente concreta de un Estado miembro determinado. Ahora bien, al menos por lo que respecta a las más importantes obligaciones de protección de datos de un responsable de tratamiento, deberían haberse incluido orientaciones en la Decisión IMI.

35.

El SEPD recomienda, en particular, que se especifique lo siguiente en un instrumento jurídico para el IMI:

36.

El SEPD recomienda que se incluya un nuevo párrafo en un instrumento jurídico relativo al IMI que asigne las responsabilidades de notificación entre los supervisores conjuntos con arreglo a un planteamiento «estratificado». Concretamente, el texto debería precisar lo siguiente:

37.

Además, el SEPD recomienda que se incluya un nuevo apartado que:

38.

Deberá precisarse, además, que la Comisión sólo podrá conceder el acceso a los datos a los que la propia Comisión tenga acceso de forma legítima. Así pues, la Comisión no estará obligada a facilitar el acceso al intercambio de información entre autoridades competentes. No obstante, en caso de que un interesado dirija este tipo de solicitud a la Comisión, ésta deberá orientarlo sin demora hacia las autoridades que tengan acceso a la información y facilitarle el asesoramiento oportuno.

39.

El artículo 4, apartado 1 de la Decisión IMI prevé un plazo de conservación de seis meses a partir de la «clausura formal» de un intercambio de información.

40.

El SEPD entiende que las autoridades competentes pueden requerir cierta flexibilidad en cuanto a la conservación de los datos, atendiendo al hecho de que, más allá de la pregunta y la respuesta iniciales, puede haber preguntas ulteriores entre autoridades competentes relativas al mismo caso. En efecto, durante la preparación del dictamen del GT29, la Comisión explicó que, por lo regular, los procedimientos administrativos en cuyo marco podrían requerirse intercambios de información suelen completarse en un par de meses, y que el motivo del plazo de conservación de seis meses obedecía a la voluntad de prever cierta flexibilidad en caso de retrasos inesperados.

41.

Dicho esto, y atendiendo a las explicaciones de la Comisión, el SEPD duda de que exista un motivo legítimo para conservar los datos en el IMI durante otros seis meses tras la clausura formal de un intercambio de información. Por ello, el SEPD recomienda que el plazo de seis meses para la supresión automática dé comienzo en la fecha en que la autoridad requirente entabla el primer contacto con su homóloga en cada intercambio concreto de información. Lo que es más, sería todavía mejor establecer la fecha de supresión automática en función de los distintos tipos de intercambios de información (contando siempre los plazos a partir del inicio del intercambio). Por ejemplo, al tiempo que un plazo de conservación de seis meses puede ser adecuado para los intercambios de información en el contexto de la directiva sobre cualificaciones profesionales, no necesariamente lo será para otros intercambios de información en el contexto de legislación futura relativa al mercado interior.

42.

El SEPD señala que, en caso de que no se tengan en cuenta sus recomendaciones, deberá precisarse, como mínimo, qué se entiende por la «clausura formal» de un intercambio de información. Deberá velarse, en especial, por que no se mantengan datos en la base más tiempo del necesario por el solo hecho de que una autoridad competente omita «clausurar el expediente».

43.

Por otra parte, el SEPD recomienda que en el segundo párrafo del artículo 4 se invierta la lógica de supresión y conservación. La Comisión debería dar curso a las solicitudes de supresión en un plazo de 10 días hábiles en todos los casos, con independencia de que la otra autoridad competente en el intercambio de información pueda desear mantener la información en el IMI. Debería existir, sin embargo, un mecanismo automatizado de notificación de este extremo a esta otra autoridad competente, para que no perdiera los datos sino que, si así lo deseara, pudiera descargar o imprimir la información y conservarla para sus propios fines fuera del IMI y con arreglo a su propia normativa de protección de datos. Un plazo de notificación de diez días parece razonable a la vez como mínimo y como máximo. La Comisión sólo debería poder suprimir información antes de que finalizara este plazo de diez días en caso de que ambas autoridades confirmen su voluntad de supresión.

44.

Además, el SEPD recomienda que se precise que las medidas de seguridad, ya sean adoptadas por la Comisión o por las autoridades competentes, se adoptarán de conformidad con las prácticas más idóneas de los Estados miembros.

45.

Puesto que los intercambios de información en el marco del IMI están sujetos a múltiples normativas de protección de datos y a la supervisión de múltiples autoridades nacionales de protección de datos (además de a la aplicación del Reglamento (CE) no 45/2001, y a la autoridad supervisora del SEPD en lo tocante a determinados aspectos de las operaciones de tratamiento), el SEPD recomienda que se recojan también en un instrumento jurídico relativo al IMI disposiciones precisas que faciliten la supervisión conjunta del IMI por las distintas autoridades de protección de datos implicadas. La supervisión conjunta podría inspirarse en el planteamiento de los instrumentos jurídicos relativos al establecimiento, funcionamiento y utilización del Sistema de Información de Schengen de segunda generación (SIS II) (8).

46.

El SEPD respalda los objetivos de la Comisión al establecer un sistema electrónico de intercambio de información y regular sus aspectos de protección de datos.

47.

Por los motivos expuestos, la Decisión IMI requiere una base jurídica sólida. El SEPD recomienda que la Comisión reconsidere su elección de base jurídica y busque soluciones a fin de contrarrestar las imperfecciones de la base jurídica elegida, siendo una consecuencia posible la sustitución de la Decisión IMI por un instrumento que cumpla el requisito de seguridad jurídica.

48.

A modo de solución —en última instancia— más razonable, el SEPD sugiere que se estudie la posibilidad de adoptar, al nivel del Consejo y del Parlamento Europeo, un instrumento jurídico aparte para el sistema IMI, similar al Sistema de Información de Schengen, al Sistema de Información de Visados y a otras grandes bases de datos de TI.

49.

Como posible alternativa, cabría plantearse si el artículo 34 de la directiva sobre servicios y otras disposiciones análogas todavía no adoptadas en relación con otra legislación relativa al mercado interior podría constituir la base jurídica necesaria.

50.

Además, el dictamen presenta diversas sugerencias relativas a las disposiciones que regulan los aspectos del IMI relativos a la protección de datos, que habrán de incluirse en un nuevo instrumento jurídico que sustituya a la Decisión IMI, según se propone más arriba, o bien, de no adoptarse tal instrumento, habrán de incluirse en la propia Decisión IMI, previa modificación de ésta.

51.

Muchas de las sugerencias pueden ser llevadas a la práctica desde este mismo momento por los agentes del IMI sin modificar la Decisión. El SEPD hace votos por que la Comisión tenga en cuenta en la medida de lo posible las recomendaciones formuladas en el presente dictamen al menos en el plano operativo, por cuanto guardan relación con las actividades de la Comisión en calidad de agente del IMI.

52.

Estas recomendaciones se refieren a la transparencia y la proporcionalidad, la supervisión conjunta y el reparto de responsabilidades, la notificación a los interesados, los derechos de acceso, oposición y rectificación, la conservación de los datos, las medidas de seguridad y la supervisión conjunta.