Bruselas, 19 de enero - Durante su último pleno, el CEPD adoptó un informe para apoyar la evaluación de la Comisión Europea de la Directiva sobre protección de datos en el ámbito penal.
La Comisión debe presentar su informe público* sobre la evaluación y revisión de la presente Directiva al Parlamento Europeo y al Consejo a más tardar el 6 de mayo de 2026. Antes de esto, la Comisión recopiló los puntos de vista de las Autoridades Europeas de Protección de Datos (APD) sobre la aplicación y el funcionamiento de la Directiva sobre protección de datos en el período comprendido entre enero de 2022 y el 31 de agosto de 2025**.
«Acogemos con satisfacción las evaluaciones periódicas de la Comisión Europea sobre la aplicación de la Directiva sobre protección de datos en el ámbito penal, y nos comprometemos a aportar nuestra experiencia para estas evaluaciones a fin de garantizar que la Directiva sobre protección de datos en el ámbito penal siga respetando unas normas estrictas en materia de protección de datos».
Presidente del CEPD, Anu Talus
El CEPD facilita la cooperación y la coordinación entre las APD a la hora de supervisar el tratamiento de las fuerzas y cuerpos de seguridad. La Secretaría del CEPD también proporciona la Secretaría del Comité de Supervisión Coordinada (CSC), que garantiza la supervisión coordinada de los sistemas informáticos de gran magnitud y de los organismos y agencias de la UE en los ámbitos de la aplicación de la ley y la justicia penal.
En su informe, el CEPD destaca el papel clave de la Directiva sobre protección de datos personales en el contexto policial. Las APD han asesorado cada vez más a las autoridades nacionales competentes sobre la mitigación de las violaciones de la seguridad de los datos, mientras que muchas APD también han llevado a cabo actividades de sensibilización y publicado orientaciones.
El CEPD toma nota de la solicitud de las APD de obtener más claridad sobre el ámbito de aplicación de la Directiva sobre protección de datos en el ámbito penal, en particular su límite con el RGPD, y de abordar más a fondo los retos que plantea el creciente uso de nuevas tecnologías, como la IA, en el contexto policial. El CEPD destaca la necesidad de que las autoridades policiales utilicen estas herramientas en estricto cumplimiento de la Directiva sobre protección de datos en el ámbito penal, garantizando que su uso sea necesario, proporcionado y sujeto a salvaguardias adecuadas.
Según el CEPD, en el contexto de la jurisprudencia desarrollada desde la última evaluación de la Directiva, es esencial seguir reforzando la aplicación nacional de la Directiva en toda la Unión Europea. Además, debe reforzarse el papel de los responsables de la protección de datos (RPD) para garantizar la aplicación efectiva y coherente de las normas de protección de datos en las actividades policiales.
El informe también señala la necesidad de mejorar la cooperación, tanto entre las autoridades competentes responsables de la DAP como entre las autoridades policiales en general.
Por último, el CEPD subraya que tanto las APD como el CEPD necesitan recursos financieros y humanos adicionales para llevar a cabo nuevas tareas derivadas de actos jurídicos recientes, incluidas las responsabilidades vinculadas al CSC, cuyas actividades ahora también incluyen la supervisión de sistemas como el Sistema de Información de Visados (VIS), Prüm II y el Sistema de Entradas Existentes (SES).
A continuación, el CEPD adoptó recomendaciones sobre la solicitud de aprobación y sobre los elementos y principios que se encuentran en las normas corporativas vinculantes para los procesadores (BCR-P).
Estas recomendaciones forman una actualización del referencial BCR-P existente, que contiene los criterios para la aprobación de BCR-P, y lo fusionan con el formulario de solicitud estándar para BCR-P.
Las BCR-P son una herramienta de transferencia que puede ser utilizada por un grupo de empresas o empresas para transferir datos personales fuera del Espacio Económico Europeo a procesadores dentro del mismo grupo. Las BCR crean derechos exigibles y establecen compromisos para establecer un nivel de protección de datos esencialmente equivalente al proporcionado por el GDPR.
Las nuevas recomendaciones se basan en los acuerdos alcanzados y en la experiencia adquirida por las APD en el curso de los procedimientos de aprobación de solicitudes concretas de BCR-P desde la entrada en vigor del RGPD, así como en el trabajo realizado en el contexto de las Recomendaciones actualizadas sobre las normas corporativas vinculantes para los responsables del tratamiento (BCR-C).
Las recomendaciones proporcionan criterios y explicaciones claros para garantizar que las BCR-P desarrolladas por grupos de empresas o empresas cumplan con el RGPD. Las recomendaciones aclaran cuándo puede utilizarse BCR-P, es decir, solo para transferencias intragrupo entre procesadores, cuando el controlador no forma parte del grupo.
Además, las recomendaciones aclaran que las BCR-P están diseñadas para cumplir los requisitos del artículo 28, apartado 4, del RGPD. Esto significa que cualquier procesador dentro del Grupo que utilice BCR-P no necesita firmar un acuerdo de subprocesamiento separado con cada subprocesador del Grupo.
Las recomendaciones estarán abiertas a consulta pública hasta el 2 de marzo de 2026.
Los miembros del CEPD también mantuvieron un intercambio de puntos de vista sobre el próximo dictamen conjunto sobre el Ómnibus Digital, cuya aprobación está prevista en la reunión plenaria de febrero.
Nota a los editores
*La base jurídica de la actuación de la Comisión es el artículo 62 de la Directiva (UE) 2016/680 (Directiva sobre protección de datos en el ámbito penal), que exige a la Comisión que evalúe la aplicación de la Directiva e informe al respecto.
**Véase también el Informe de la Comisión Europea sobre la aplicación de la Directiva sobre protección de datos en el ámbito penal, COM(2022) 364 final, al que contribuyó el CEPD.
El comunicado de prensa publicado aquí ha sido traducido automáticamente del inglés. El CEPD no garantiza la exactitud de la traducción. Por favor, consulte el texto oficial en su versión en inglés si hay alguna duda.