LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) 2019/818 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativo al establecimiento de un marco para la interoperabilidad entre los sistemas de información de la UE en el ámbito de la cooperación policial y judicial, el asilo y la migración y por el que se modifican los Reglamentos (UE) 2018/1726, (UE) 2018/1862 y (UE) 2019/816 (1), y en particular su artículo 39, apartado 5,
Considerando lo siguiente:
(1) |
El Reglamento (UE) 2019/818, junto con el Reglamento (UE) 2019/817 del Parlamento Europeo y del Consejo (2), establece un marco para garantizar la interoperabilidad entre los sistemas de información de la UE en el ámbito de las fronteras, los visados, la cooperación policial y judicial, el asilo y la migración. |
(2) |
Dicho marco incluye una serie de componentes e instrumentos de apoyo a la interoperabilidad, en particular un repositorio central para la presentación de informes y estadísticas (en lo sucesivo, «el repositorio central»). El repositorio central almacena datos anonimizados extraídos de los sistemas de información de la UE subyacentes, el servicio de correspondencia biométrica compartido, el registro común de datos de identidad y el detector de identidades múltiples, con objeto de proporcionar datos estadísticos transversales con fines operativos, de formulación de políticas y de calidad de los datos. |
(3) |
La Agencia Europea para la Gestión Operativa de Sistemas Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia («eu-LISA») es la responsable de la creación, la aplicación y el alojamiento del repositorio central, así como de su gestión operativa. |
(4)
(5) |
Con objeto de permitir al repositorio central proporcionar datos estadísticos transversales entre sistemas, es necesario establecer normas detalladas sobre su funcionamiento, incluidas normas específicas para el tratamiento de los datos personales, y normas de seguridad.
Para que resulte imposible identificar a personas a partir de los datos estadísticos recogidos en el repositorio central, eu-Lisa debe desarrollar una herramienta de anonimización como parte de su arquitectura. El proceso de anonimización debe automatizarse. |
(6) |
El acceso, controlado y seguro, debe concederse únicamente a personal autorizado de las autoridades, instituciones y organismos competentes de la Unión, para que puedan consultar los datos y estadísticas del repositorio central. A tal efecto, eu-LISA elaborará una herramienta de elaboración de informes como parte de su arquitectura. El personal de eu-LISA no debe tener acceso directo a ninguno de los datos personales almacenados en los sistemas de información de la UE o en los componentes de interoperabilidad. |
(7)
(8) |
Con el fin de seguir el rastro dentro de los sistemas de información de la UE correspondientes, o entre ellos, del cruce de datos de los expedientes de identidad a los efectos estadísticos pertinentes, el repositorio central debe mantener un número de referencia único. Se debe imposibilitar la utilización de dicho número para extraer información de los expedientes de identidad.
La solución técnica que aloje el repositorio central debe ser implementada en el sitio técnico de eu-LISA y en el sitio de reserva de seguridad para garantizar que siga estando disponible en todo momento. |
(9)
(10) |
Dado que el Reglamento (UE) 2019/818 desarrolla el acervo de Schengen, de conformidad con el artículo 4 del Protocolo n.o 22, sobre la posición de Dinamarca, anejo al Tratado de la Unión Europea y al Tratado de Funcionamiento de la Unión Europea, Dinamarca notificó la incorporación del Reglamento (UE) 2019/818 a su ordenamiento jurídico. Por lo tanto, está vinculada por el presente Reglamento.
El presente Reglamento constituye un desarrollo de las disposiciones del acervo de Schengen, en las que Irlanda no participa (3); por lo tanto, Irlanda no participa en su adopción y no queda vinculada por él ni sujeta a su aplicación. |
(11) |
Por lo que respecta a Islandia y Noruega, el presente Reglamento constituye un desarrollo de las disposiciones del acervo de Schengen en el sentido del Acuerdo celebrado por el Consejo de la Unión Europea, la República de Islandia y el Reino de Noruega sobre la asociación de estos dos Estados a la ejecución, aplicación y desarrollo del acervo de Schengen (4), que entran en el ámbito mencionado en el artículo 1, punto A, de la Decisión 1999/437/CE del Consejo (5). |
(12) |
Por lo que respecta a Suiza, el presente Reglamento constituye un desarrollo de las disposiciones del acervo de Schengen en el sentido del Acuerdo entre la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, aplicación y desarrollo del acervo de Schengen (6), que entran en el ámbito mencionado en el artículo 1, punto A, de la Decisión 1999/437/CE, leído en relación con el artículo 3 de la Decisión 2008/146/CE del Consejo (7). |
(13) |
Por lo que respecta a Liechtenstein, el presente Reglamento constituye un desarrollo de las disposiciones del acervo de Schengen en el sentido del Protocolo entre la Unión Europea, la Comunidad Europea, la Confederación Suiza y el Principado de Liechtenstein sobre la adhesión del Principado de Liechtenstein al Acuerdo entre la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, la aplicación y el desarrollo del acervo de Schengen (8), que entran en el ámbito mencionado en el artículo 1, punto A, de la Decisión 1999/437/CE del Consejo, leído en relación con el artículo 3 de la Decisión 2011/350/UE del Consejo (9). |
(14)
(15) |
Por lo que respecta a Bulgaria, Chipre, Croacia y Rumanía, el presente Reglamento constituye un acto que desarrolla el acervo de Schengen o está relacionado con él de otro modo, en el sentido del artículo 3, apartado 1, del Acta de adhesión de 2003; del artículo 4, apartado 1, del Acta de adhesión de 2005; y del artículo 4, apartado 1, del Acta de adhesión de 2011.
El Supervisor Europeo de Protección de Datos, a quien se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (10), emitió su dictamen el 17 de junio de 2021. |
HA ADOPTADO EL PRESENTE REGLAMENTO:
Definiciones
A los efectos del presente Reglamento, se entenderá por:
1) «datos estadísticos»: los datos que están anonimizados y se utilizan únicamente a efectos de presentación de informes estadísticos, de conformidad con los Reglamentos (UE) 2017/2226 (11), (UE) 2018/1240 (12), (UE) 2018/1860 (13), (UE) 2018/1861 (14), (UE) 2018/1862 (15) y (UE) 2019/816 (16) del Parlamento Europeo y del Consejo;
2) «informes (estadísticos)»: una recopilación organizada de datos estadísticos, producida por el repositorio central de forma automatizada siguiendo unas normas preestablecidas y almacenada en el repositorio central;
3) «informes personalizables»: informes estadísticos que son extraídos de la base de los datos estadísticos que contiene el repositorio central siguiendo normas específicas determinadas ad hoc por un usuario y almacenados en el repositorio central;
4) «datos críticos de identidad»: cualquiera de los siguientes datos, o una combinación de los mismos, a partir de los cuales se puede identificar a las personas:
a) nombre y apellido(s); nombre(s) de pila; seudónimo(s) y/o alias de cualquier persona cuyos datos puedan almacenarse en cualquier sistema de información de la UE;
b) número del documento de viaje;
c) dirección (nombre de la vía, número de la casa);
d) teléfono, dirección IP;
e) direcciones de correo electrónico;
f) datos biométricos.
Información que debe figurar en el repositorio central
1. Los datos a que se refiere el artículo 39, apartado 2, del Reglamento (UE) 2019/818 estarán disponibles y se almacenarán en el repositorio central de conformidad con el presente Reglamento.
2. En el repositorio central figurarán datos estadísticos, incluidos informes sobre el uso del sistema a efectos del seguimiento del funcionamiento de los componentes de interoperabilidad a que se refiere el artículo 62 del Reglamento (UE) 2019/818.
3. En el repositorio central figurarán informes técnicos que aseguren que eu-LISA lleve a cabo la supervisión del desarrollo y el funcionamiento de los componentes de interoperabilidad, de conformidad con el artículo 74, apartado 1, del Reglamento (UE) 2019/818.
4. El repositorio central mantendrá un número de referencia único que le permita seguir el rastro del cruce de datos de los expedientes de identidad dentro de los sistemas de información de la UE correspondientes, o entre ellos, a efectos estadísticos. No será posible la utilización de dicho número de referencia para llegar a los expedientes de identidad subyacentes.
5. El repositorio central permitirá al personal debidamente autorizado de las autoridades competentes a que se refiere el artículo 39, apartado 2, del Reglamento (UE) 2019/818, obtener lo siguiente:
a) informes en virtud del artículo 74 del Reglamento (UE) 2018/1862, que contengan las siguientes estadísticas sobre inscripciones contenidas en el Sistema de Información de Schengen:
i) estadísticas diarias, mensuales y anuales que muestren el número de inscripciones por categoría de descripción, tanto para cada Estado miembro como agregadas, de conformidad con el artículo 74, apartado 3, de dicho Reglamento,
ii) informes anuales sobre el número de respuestas positivas por categoría de descripción, el número de veces en que se realizó una búsqueda en el Sistema de Información de Schengen y el número de veces en que fue consultado con el fin de introducir, actualizar o suprimir una descripción, tanto para cada Estado miembro como agregadas, de conformidad con el artículo 74, apartado 3, de dicho Reglamento,
iii) a petición de la Comisión, informes estadísticos específicos adicionales, ya sea de forma periódica o ad hoc , sobre el funcionamiento y la utilización del Sistema de Información de Schengen, y el intercambio de información complementaria, de conformidad con el artículo 74, apartado 6, párrafo segundo de dicho Reglamento,
iv) a petición de la Agencia Europea de la Guardia de Fronteras y Costas, informes estadísticos específicos adicionales, ya sea de forma periódica o ad hoc , con el fin de efectuar los análisis de riesgos y evaluaciones de vulnerabilidad, de conformidad con el artículo 74, apartado 6, párrafo tercero de dicho Reglamento,
v) informes y estadísticas a efectos de mantenimiento técnico, elaboración de informes y de informes específicos sobre calidad de los datos y estadísticas, de conformidad con el artículo 74, apartado 2, de dicho Reglamento,
vi) informes de calidad de los datos de conformidad con el artículo 15, apartado 4, de dicho Reglamento;
b) informes de conformidad con el artículo 32 del Reglamento (UE) 2019/816 que contengan las siguientes estadísticas sobre los registros que constan en el Sistema Europeo de Información de Antecedentes Penales de nacionales de terceros países (ECRIS-TCN) y la aplicación de referencia ECRIS:
i) informes personalizables y estadísticas relativas al registro, almacenamiento e intercambio de información extraída de antecedentes penales a través del Sistema Europeo de Información de Antecedentes Penales de nacionales de terceros países,
ii) informes y estadísticas a efectos de mantenimiento técnico, elaboración de informes sobre calidad de los datos y estadísticas, de conformidad con el artículo 32, apartado 3, de dicho Reglamento;
6. Los informes técnicos a que se refiere el apartado 2 contendrán estadísticas sobre el uso del sistema, la disponibilidad, los incidentes, la capacidad de ejecución, la exactitud biométrica, la calidad de los datos y, en su caso, las transacciones pendientes.
7. Los informes de actividad elaborados por el repositorio central deberán ser personalizables por el usuario para permitir el filtrado o agrupación de los datos mediante una herramienta de elaboración de informes que se facilitará con el repositorio central.
8. Se facilitará un catálogo de informes. Las solicitudes de nuevos informes o cambios en los ya existentes se ajustarán a la política de gestión del cambio de eu-LISA.
Registro de datos y herramienta de elaboración de informes
1. El repositorio central utilizará una solución técnica que aloje los datos extraídos de los sistemas de información de la UE subyacentes y componentes de interoperabilidad.
2. La solución técnica contendrá una herramienta de elaboración de informes configurada para crear, mantener y ejecutar los informes y los informes personalizables a que se refiere el artículo 2.
3. La herramienta de elaboración de informes permitirá la generación de informes de actividad e informes técnicos y su recuperación por parte del usuario.
4. La herramienta de elaboración de informes permitirá facilitar datos estadísticos transversales entre sistemas e informes analíticos con fines operativos, de formulación de políticas y de calidad de los datos, cuando así lo disponga el Derecho de la Unión.
5. Todos los informes se gestionarán dentro de la solución técnica. Las medidas de seguridad e integridad adecuadas para cumplir los requisitos del plan de seguridad a que se hace referencia en el artículo 42, apartado 3, del Reglamento (UE) 2019/818 se aplicarán dentro de la solución técnica.
6. La solución técnica se aplicará tanto en el sitio técnico de eu-LISA como en el sitio de reserva de seguridad.
Extracción de datos
El repositorio central obtendrá de los sistemas de información de la UE copias solo de lectura de los datos enumerados en el artículo 39, apartado 2; y en el artículo 62, apartados 1, 2 y 3, del Reglamento (UE) 2019/818, con el fin de producir las estadísticas y los informes a que se refieren los artículos 39 y 62 de dicho Reglamento. Los datos se obtendrán de forma periódica y como mínimo diariamente, mediante una extracción unidireccional.
Herramienta de anonimización de datos
1. Los datos extraídos de los sistemas de información de la UE subyacentes y los componentes de interoperabilidad se anonimizarán utilizando una herramienta de anonimización de datos. Solamente los datos anonimizados serán almacenados en el repositorio central.
2. La herramienta de anonimización de datos determinará los datos críticos de identidad en los sistemas de información de la UE y los anonimizará mediante un proceso automatizado antes de que los datos estadísticos sean almacenados en el repositorio central. El proceso de anonimización será irreversible.
Acceso
1. El acceso al repositorio central por parte de personal debidamente autorizado se concederá y se gestionará de conformidad con el artículo 74 del Reglamento (UE) 2018/1862 y el artículo 32 del Reglamento (UE) 2019/816.
2. Los Estados miembros, la Comisión y las agencias de la Unión tendrá acceso al repositorio central, de acuerdo con sus derechos de acceso en virtud del Derecho de la Unión, a través de una conexión de red segura (TESTA).
3. Únicamente el personal debidamente autorizado de las autoridades competentes de conformidad con el artículo 39, apartado 2, y el artículo 62, apartados 1 a 5, del Reglamento (UE) 2019/818, tendrá acceso a esta herramienta a que se refiere el artículo 3, apartado 2, de dicho Reglamento.
4. Las autoridades competentes accederán al repositorio central a través de perfiles de usuario. eu-LISA mantendrá una lista de los perfiles de usuario. Una autoridad podrá tener varios perfiles, en función de sus derechos de acceso.
5. El acceso al repositorio central se realizará mediante registro. La información registrada contendrá al menos:
a) la indicación de fecha y hora;
b) la autoridad;
c) el tipo de informe de que se trate.
6. Los registros que permitan la identificación de los usuarios que accedan al repositorio central serán conservados a nivel nacional y por la Comisión, la Agencia Europea de la Guardia de Fronteras y Costas y Europol. eu-LISA conservará registros de todas las operaciones de acceso. Los registros se almacenarán en el repositorio central durante un año, transcurrido el cual se borrarán automáticamente.
7. Se señalará cualquier conflicto de funciones dentro del repositorio central y se concederá acceso de acuerdo con los siguientes principios:
a) «necesidad de conocer»;
b) acceso de mínimo privilegio;
c) separación de funciones.
8. Los informes de calidad de los datos publicados de conformidad con el artículo 15, apartado 4, del Reglamento (UE) 2018/1862, incluirán una herramienta para que los Estados miembros faciliten a eu-LISA observaciones sobre la corrección de los problemas afrontados.
Encargado del tratamiento
A efectos de la anonimización de los datos personales de conformidad con el artículo 5, eu-LISA se encargará del tratamiento en el sentido del artículo 3, punto 12, del Reglamento (UE) 2018/1725.
Otros aspectos de la protección de datos y la seguridad
1. Los datos almacenados en el repositorio central serán consultados únicamente a efectos de elaboración de informes y estadísticas.
2. eu-LISA aplicará las medidas de seguridad pertinentes para garantizar la integridad de los datos en el repositorio central. Cualquier cambio en los datos deberá ser rastreable a efectos de auditoría.
Entrada en vigor
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en los Estados miembros de conformidad con los Tratados.
Hecho en Bruselas, el 30 de septiembre de 2021.
Por la Comisión
La Presidenta
Ursula VON DER LEYEN
(1) DO L 135 de 22.5.2019, p. 85.
(2) Reglamento (UE) 2019/817 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativo al establecimiento de un marco para la interoperabilidad de los sistemas de información de la UE en el ámbito de las fronteras y los visados y por el que se modifican los Reglamentos (CE) n.o 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 y (UE) 2018/1861 del Parlamento Europeo y del Consejo, y las Decisiones 2004/512/CE y 2008/633/JAI del Consejo (DO L 135 de 22.5.2019, p. 27).
(3) El presente Reglamento queda fuera del ámbito de aplicación de las medidas contempladas en la Decisión 2002/192/CE del Consejo, de 28 de febrero de 2002, sobre la solicitud de Irlanda de participar en algunas de las disposiciones del acervo de Schengen (DO L 64 de 7.3.2002, p. 20).
(4) DO L 176 de 10.7.1999, p. 36.
(5) Decisión 1999/437/CE del Consejo, de 17 de mayo de 1999, relativa a determinadas normas de desarrollo del Acuerdo celebrado por el Consejo de la Unión Europea con la República de Islandia y el Reino de Noruega sobre la asociación de estos dos Estados a la ejecución, aplicación y desarrollo del acervo de Schengen (DO L 176 de 10.7.1999, p. 31).
(6) DO L 53 de 27.2.2008, p. 52.
(7) Decisión 2008/146/CE del Consejo, de 28 de enero de 2008, relativa a la celebración, en nombre de la Comunidad Europea, del Acuerdo entre la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, la aplicación y el desarrollo del acervo de Schengen (DO L 53 de 27.2.2008, p. 1).
(8) DO L 160 de 18.6.2011, p. 21.
(9) Decisión 2011/350/UE del Consejo, de 7 de marzo de 2011, relativa a la celebración, en nombre de la Unión Europea, del Protocolo entre la Unión Europea, la Comunidad Europea, la Confederación Suiza y el Principado de Liechtenstein sobre la adhesión del Principado de Liechtenstein al Acuerdo entre la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, aplicación y desarrollo del acervo de Schengen, sobre la supresión de controles en las fronteras internas y la circulación de personas (DO L 160 de 18.6.2011, p. 19).
(10) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).
(11) Reglamento (UE) 2017/2226 del Parlamento Europeo y del Consejo, de 30 de noviembre de 2017, por el que se establece un Sistema de Entradas y Salidas (SES) para registrar los datos de entrada y salida y de denegación de entrada relativos a nacionales de terceros países que crucen las fronteras exteriores de los Estados miembros, se determinan las condiciones de acceso al SES con fines policiales y se modifican el Convenio de aplicación del Acuerdo de Schengen y los Reglamentos (CE) n.o 767/2008 y (UE) n.o 1077/2011 (DO L 327 de 9.12.2017, p. 20).
(12) Reglamento (UE) 2018/1240 del Parlamento Europeo y del Consejo, de 12 de septiembre de 2018, por el que se crea un Sistema Europeo de Información y Autorización de Viajes (SEIAV) y por el que se modifican los Reglamentos (UE) n.o 1077/2011, (UE) n.o 515/2014, (UE) 2016/399, (UE) 2016/1624 y (UE) 2017/2226 (DO L 236 de 19.9.2018, p. 1).
(13) Reglamento (UE) 2018/1860 del Parlamento Europeo y del Consejo, de 28 de noviembre de 2018, sobre la utilización del Sistema de Información de Schengen para el retorno de nacionales de terceros países en situación irregular (DO L 312 de 7.12.2018, p. 1).
(14) Reglamento (UE) 2018/1861 del Parlamento Europeo y del Consejo, de 28 de noviembre de 2018, relativo al establecimiento, funcionamiento y utilización del Sistema de Información de Schengen (SIS) en el ámbito de las inspecciones fronterizas, por el que se modifica el Convenio de aplicación del Acuerdo de Schengen y se modifica y deroga el Reglamento (CE) n.o 1987/2006 (DO L 312 de 7.12.2018, p. 14).
(15) Reglamento (UE) 2018/1862 del Parlamento Europeo y del Consejo, de 28 de noviembre de 2018, relativo al establecimiento, funcionamiento y utilización del Sistema de Información de Schengen (SIS) en el ámbito de la cooperación policial y de la cooperación judicial en materia penal, por el que se modifica y deroga la Decisión 2007/533/JAI del Consejo, y se derogan el Reglamento (CE) n.o 1986/2006 del Parlamento Europeo y del Consejo y la Decisión 2010/261/UE de la Comisión (DO L 312 de 7.12.2018, p. 56).
(16) Reglamento (UE) 2019/816 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, por el que se establece un sistema centralizado para la identificación de los Estados miembros que poseen información sobre condenas de nacionales de terceros países y apátridas (ECRIS-TCN) a fin de complementar el Sistema Europeo de Información de Antecedentes Penales, y por el que se modifica el Reglamento (UE) 2018/1726 (DO L 135 de 22.5.2019, p. 1).
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid