EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 16, apartado 2, su artículo 87, apartado 2, letra a), y su artículo 88, apartado 2,
Vista la propuesta de la Comisión Europea,
Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,
Visto el dictamen del Comité Económico y Social Europeo (1),
De conformidad con el procedimiento legislativo ordinario (2),
Considerando lo siguiente:
(1) |
La Unión se ha fijado el objetivo de ofrecer a sus ciudadanos un espacio de libertad, seguridad y justicia sin fronteras interiores, en el que esté garantizada la libre circulación de las personas. Ese objetivo ha de alcanzarse mediante, entre otras vías, medidas adecuadas para prevenir y combatir la delincuencia y otras amenazas para la seguridad pública, incluida la delincuencia organizada y el terrorismo, en consonancia con la Comunicación de la Comisión, de 24 de julio de 2020, titulada «La Estrategia de la UE para una Unión de la Seguridad». Dicho objetivo exige que las autoridades policiales intercambien datos de manera eficiente y oportuna, a fin de prevenir, detectar e investigar eficazmente las infracciones penales. |
(2) |
El objetivo del presente Reglamento es mejorar, racionalizar y facilitar el intercambio de información penal y de datos de matriculación de vehículos entre las autoridades competentes de los Estados miembros, a efectos de la prevención, detección e investigación de infracciones penales, y entre los Estados miembros y la Agencia de la Unión Europea para la Cooperación Policial (Europol), creada por el Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo (3), con total observancia de los derechos fundamentales y las normas de protección de datos. |
(3) |
Las Decisiones 2008/615/JAI (4) y 2008/616/JAI (5) del Consejo, por las que se establecen normas para el intercambio de información entre las autoridades responsables de la prevención e investigación de infracciones penales, mediante la transferencia automatizada de perfiles de ADN, datos dactiloscópicos y determinados datos sobre matriculación de vehículos, han demostrado ser importantes para luchar contra el terrorismo y la delincuencia transfronteriza, protegiendo de este modo la seguridad interior de la Unión y la seguridad de sus ciudadanos. |
(4) |
Partiendo de los procedimientos existentes para la búsqueda automatizada de datos, el presente Reglamento establece las condiciones y procedimientos para la búsqueda e intercambio automatizados de perfiles de ADN, datos dactiloscópicos, determinados datos de matriculación de vehículos, imágenes faciales y antecedentes policiales. Ello debe entenderse sin perjuicio del tratamiento de tales datos en el Sistema de Información de Schengen (SIS), del intercambio de información complementaria relacionada con dichos datos a través de las oficinas Sirene con arreglo al Reglamento (UE) 2018/1862 del Parlamento Europeo y del Consejo (6), o de los derechos de las personas cuyos datos se tratan en dicho sistema. |
(5) |
El presente Reglamento establece un marco para el intercambio de información entre las autoridades responsables de la prevención, detección e investigación de infracciones penales (en lo sucesivo, «marco Prüm II»). De conformidad con el artículo 87, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE), abarca a todas las autoridades competentes de los Estados miembros, incluidos, entre otros, los servicios de policía, los servicios de aduanas y otros servicios con funciones coercitivas en relación con la prevención, detección e investigación de infracciones penales. Por consiguiente, en el contexto del presente Reglamento, toda autoridad que sea responsable de la gestión de una base de datos nacional objeto del presente Reglamento o que conceda una autorización judicial para comunicar cualquier dato debe considerarse incluida en el ámbito de aplicación del presente Reglamento, siempre que la información sea intercambiada para la prevención, detección e investigación de infracciones penales. |
(6) |
Todo tratamiento o intercambio de datos personales a efectos del presente Reglamento no debe dar lugar a discriminación bajo ningún concepto contra las personas. Deberá respetar plenamente la dignidad y la integridad humanas, así como los derechos fundamentales, incluidos el derecho al respeto de la vida privada y a la protección de los datos de carácter personal, de conformidad con la Carta de los Derechos Fundamentales de la Unión Europea. |
(7) |
Todo tratamiento o intercambio de datos personales debe estar sujeto a las disposiciones sobre protección de datos del capítulo 6 del presente Reglamento y, en su caso, a la Directiva (UE) 2016/680 del Parlamento Europeo y el Consejo (7)o a los Reglamentos (UE) 2018/1725 (8), (UE) 2016/794 o (UE) 2016/679 (9) del Parlamento Europeo y del Consejo. La Directiva (UE) 2016/680 es de aplicación al uso del marco Prüm II en relación con las búsquedas de personas desaparecidas y a la identificación de restos humanos no identificados para la prevención, detección e investigación de infracciones penales. El Reglamento (UE) 2016/679 es de aplicación al uso del marco Prüm II en relación con las búsquedas de personas desaparecidas y la identificación de restos humanos no identificados con otros fines. |
(8) |
Al definir los procedimientos de búsqueda automatizada de perfiles de ADN, datos dactiloscópicos, determinados datos de matriculación de vehículos, imágenes faciales y antecedentes policiales, el objetivo del presente Reglamento también es permitir la búsqueda de personas desaparecidas y la identificación de restos humanos no identificados. Dichas búsquedas automatizadas deben seguir las normas y procedimientos establecidos en el presente Reglamento. Dichas búsquedas automatizadas deben entenderse sin perjuicio de la introducción de descripciones SIS sobre personas desaparecidas y del intercambio de información complementaria sobre tales descripciones con arreglo al Reglamento (UE) 2018/1862. |
(9) |
Cuando los Estados miembros deseen hacer uso del marco Prüm II para buscar personas desaparecidas e identificar restos humanos, deben adoptar medidas legislativas nacionales para designar a las autoridades nacionales competentes a tal efecto y para establecer los procedimientos, condiciones y criterios específicos para ello. En el caso de la búsqueda de personas desaparecidas fuera del ámbito de las investigaciones penales, las medidas legislativas nacionales deben establecer con claridad los motivos humanitarios por los que puede realizarse una búsqueda de personas desaparecidas. Dichas búsquedas deben cumplir el principio de proporcionalidad. Los motivos humanitarios deben incluir catástrofes naturales y de origen humano y otros motivos igualmente justificados, como las sospechas de suicidio. |
(10) |
El presente Reglamento establece las condiciones y procedimientos aplicables a la búsqueda automatizada de perfiles de ADN, datos dactiloscópicos, determinados datos de matriculación de vehículos, imágenes faciales y antecedentes policiales, así como las normas relativas al intercambio de datos básicos tras una coincidencia confirmada de datos biométricos. No es de aplicación al intercambio de información complementaria no amparado por el presente Reglamento, que se rige por la Directiva (UE) 2023/977 del Parlamento Europeo y del Consejo (10). |
(11) |
La Directiva (UE) 2023/977 proporciona un marco jurídico coherente de la Unión para garantizar que las autoridades competentes de un Estado miembro tengan un acceso equivalente a la información en poder de otros Estados miembros cuando necesiten tal información para combatir la delincuencia y el terrorismo. A fin de mejorar el intercambio de información, dicha Directiva formaliza y aclara las normas y los procedimientos de intercambio de información entre las autoridades competentes de los Estados miembros, en particular con fines de investigación, incluido el papel que desempeña la ventanilla única de cada Estado miembro en dichos intercambios. |
(12) |
La finalidad de los intercambios de perfiles de ADN en virtud del presente Reglamento se entienden sin perjuicio de la competencia exclusiva de los Estados miembros para decidir la finalidad de sus bases de datos nacionales de ADN, incluidas la prevención o la detección de infracciones penales. |
(13) |
Los Estados miembros, en el momento de la conexión inicial al enrutador establecido por el presente Reglamento, deberán realizar búsquedas automatizadas de perfiles de ADN comparando todos los perfiles de ADN conservados en su base de datos con todos los perfiles de ADN conservados en las bases de datos de todos los demás Estados miembros y con los datos de Europol. El objetivo de dicha búsqueda automatizada iniciales evitar cualquier laguna en la identificación de las coincidencias entre los perfiles de ADN conservados en la base de datos de un Estado miembro y los perfiles de ADN conservados en todas las bases de datos de los demás Estados miembros y en los datos de Europol. La búsqueda automatizada inicial debe realizarse de forma bilateral y no debe realizarse necesariamente con todas las bases de datos de los demás Estados miembros y con los datos de Europol a la vez. Las modalidades para realizar tales búsquedas, incluidos el calendario y la cantidad por lote, deben acordarse bilateralmente de conformidad con las normas y procedimientos establecidos en el presente Reglamento. |
(14) |
Tras la búsqueda automatizada inicial de perfiles de ADN, los Estados miembros realizarán búsquedas automatizadas comparando todos los nuevos perfiles de ADN añadidos a sus bases de datos con todos los perfiles de ADN conservados en las bases de datos de otros Estados miembros y en los datos de Europol. Dicha búsqueda automatizada de nuevos perfiles de ADN debe hacerse periódicamente. Cuando tales búsquedas no puedan realizarse, los Estados miembros interesados deben poder realizarlas en una fase posterior a fin de garantizar que no se hayan omitido coincidencias. Las modalidades para la realización de dichas búsquedas posteriores, también en lo que respecta al calendario y a la cantidad por lote, deben acordarse bilateralmente de conformidad con las normas y procedimientos establecidos en el presente Reglamento. |
(15) |
Para la búsqueda automatizada de datos de matriculación de vehículos, los Estados miembros y Europol deben utilizar el sistema europeo de información sobre vehículos y permisos de conducción (Eucaris), creado por el Tratado relativo a un sistema europeo de información sobre vehículos y permisos de conducción (EUCARIS) y concebido para ese fin, que conecta a todos los Estados miembros participantes a través de una red. No se necesita un componente central para establecer la comunicación ya que cada Estado miembro se comunica directamente con los demás Estados miembros conectados y Europol se comunica directamente con las bases de datos conectadas. |
(16) |
La identificación de los delincuentes es esencial para que la investigación y el enjuiciamiento penales tengan éxito. La búsqueda automatizada de imágenes faciales de personas condenadas por una infracción penal o sospechosas de haberla cometido, o, cuando así lo permita el Derecho nacional del Estado miembro requerido, de las víctimas, recogidas de conformidad con el Derecho nacional, podría proporcionar información adicional para identificar con éxito a delincuentes y combatir la delincuencia. Dada la naturaleza sensible de los datos de que se trata, solo debe ser posible realizar búsquedas automatizadas con la finalidad de prevenir, detectar o investigar una infracción penal punible con penas privativas de libertad de una duración máxima de al menos un año con arreglo al Derecho del Estado miembro requirente. |
(17) |
La búsqueda automatizada de datos biométricos por parte de las autoridades competentes de los Estados miembros, responsables de la prevención, detección e investigación de infracciones penales con arreglo al presente Reglamento solo debe referirse a los datos contenidos en las bases de datos creadas para la prevención, detección e investigación de infracciones penales. |
(18) |
La participación en la búsqueda y el intercambio automatizados de antecedentes policiales debe seguir siendo voluntaria. En aplicación del principio de reciprocidad, los Estados miembros que decidan participar solo deben poder consultar las bases de datos de otros Estados miembros si ponen sus propias bases de datos a disposición de otros Estados miembros a efectos de consulta. Los Estados miembros participantes deben crear índices de antecedentes policiales nacionales. Debe corresponder a los Estados miembros decidir qué bases de datos nacionales creadas para la prevención, detección e investigación de infracciones penales se utilizan para crear sus índices de antecedentes policiales nacionales. Dichos índices incluyen datos de bases de datos nacionales que la policía consulta habitualmente cuando recibe solicitudes de información de otras autoridades policiales. El presente Reglamento crea el Sistema Europeo de Índice de Antecedentes Policiales (EPRIS)de conformidad con el principio de protección de la intimidad desde el diseño. Las garantías en materia de protección de datos incluyen la seudonimización, puesto que los índices y las consultas no contienen datos personales legibles, sino cadenas alfanuméricas. Es importante que el EPRIS impida que los Estados miembros o Europol reviertan la seudonimización y revelen los datos de identificación que dieron lugar a la coincidencia. Dada la naturaleza sensible de los datos de que se trata, los intercambios de índices de antecedentes policiales nacionales en virtud del presente Reglamento solo deben referirse a los datos de personas condenadas por una infracción penal o sospechosas de haberla cometido. Además, solo debe ser posible realizar búsquedas automatizadas de índices de antecedentes policiales nacionales con la finalidad de prevenir, detectar o investigar una infracción penal punible con penas privativas de libertad de una duración máxima de al menos un año con arreglo al Derecho del Estado miembro requirente. |
(19) |
El intercambio de antecedentes policiales en virtud del presente Reglamento debe entenderse sin perjuicio del intercambio de antecedentes penales a través del marco vigente del Sistema Europeo de Información de Antecedentes Penales (ECRIS) establecido por la Decisión Marco 2009/315/JAI del Consejo (11). |
(20) |
En los últimos años, Europol ha recibido de varias autoridades de terceros países una gran cantidad de datos biométricos de sospechosos y personas condenadas por delitos de terrorismo e infracciones penales de conformidad con el Reglamento (UE) 2016/794, incluida información del campo de batalla procedente de zonas en guerra. En muchas ocasiones, no ha sido posible explotar plenamente esos datos porque no siempre se encuentran a disposición de las autoridades competentes de los Estados miembros. Incluir los datos proporcionados por terceros países y conservados por Europol en el marco Prüm II para, de este modo, ponerlos a disposición de las autoridades competentes de los Estados miembros, en consonancia con la función de Europol de ser el eje central para el intercambio de información de la Unión en materia de delincuencia, es un paso necesario para mejorar la prevención, la detección y la investigación de delitos graves. También contribuye a crear sinergias entre los diferentes instrumentos policiales y garantiza que los datos se utilicen de la manera más eficiente. |
(21) |
Europol debe poder contrastar los datos recibidos de las autoridades de terceros países con las bases de datos de los Estados miembros en el marco Prüm II, observando plenamente las normas y condiciones previstas en el Reglamento (UE) 2016/794, a fin de establecer vínculos transfronterizos entre causas penales respecto de las que es competente Europol. La posibilidad de utilizar los datos Prüm como complemento a las otras bases de datos de que dispone Europol permitiría realizar análisis más completos y fundamentados, y permitir así a Europol prestar un mejor apoyo a las autoridades competentes de los Estados miembros respecto a la prevención, detección e investigación de infracciones penales. |
(22) |
Europol debe garantizar que sus solicitudes de búsqueda no excedan de las capacidades de búsqueda de datos dactiloscópicos y de imágenes faciales establecidas por los Estados miembros. En caso de coincidencia entre los datos utilizados para la búsqueda y los datos conservados en las bases de datos de los Estados miembros, deben ser estos los que decidan si proporcionan a Europol la información necesaria para el desempeño de sus funciones. |
(23) |
El Reglamento (UE) 2016/794 se aplica en todos sus elementos a la participación de Europol en el marco Prüm II. Todo uso que haga Europol de los datos recibidos de terceros países se rige por el artículo 19 del Reglamento (UE) 2016/794. Todo uso que haga Europol de los datos obtenidos de las búsquedas automatizadas conforme al marco Prüm II debe estar sujeto al consentimiento del Estado miembro que proporcionó los datos, y se rige por el artículo 25 del Reglamento (UE) 2016/794 si los datos se transfieren a terceros países. |
(24) |
Las Decisiones 2008/615/JAI y 2008/616/JAI establecen una red de conexiones bilaterales entre las bases de datos nacionales de los Estados miembros. Como consecuencia de esa arquitectura técnica, cada Estado miembro tuvo que establecer una conexión con cada Estado miembro participante en los intercambios, lo que implicó al menos veintiséis conexiones por Estado miembro, por categoría de datos. El enrutador y EPRIS van a simplificar la arquitectura técnica del marco Prüm y van a servir de puntos de conexión entre todos los Estados miembros. El enrutador debe exigir una conexión única por Estado miembro en relación con los datos biométricos y el EPRIS debe exigir una conexión única por Estado miembro participante en relación con los antecedentes policiales. |
(25) |
El enrutador debe estar conectado al Portal europeo de búsqueda, establecido por los Reglamentos (UE) 2019/817 (12) y (UE) 2019/818 (13) del Parlamento Europeo y del Consejo, para permitir a las autoridades competentes de los Estados miembros y a Europol iniciar consultas en las bases de datos nacionales con arreglo al presente Reglamento al mismo tiempo que las consultas al registro común de datos de identidad, creado por dichos Reglamentos con fines policiales de conformidad con esos Reglamentos. Procede, por tanto, modificar dichos Reglamentos en consecuencia. El Reglamento (UE) 2019/818 debe modificarse, además, con miras a permitir la conservación de informes y estadísticas del enrutador en el repositorio central de informes y estadísticas. |
(26) |
Debe ser posible que un número de referencia para los datos biométricos sea un número de referencia provisional o un número de control de la transacción. |
(27) |
Los sistemas automáticos de identificación mediante impresiones dactilares y los sistemas de reconocimiento de imágenes faciales utilizan plantillas biométricas compuestas por los datos obtenidos mediante una extracción de características de muestras biométricas reales. Las plantillas biométricas deben obtenerse a partir de datos biométricos, pero no debe ser posible obtener esos mismos datos biométricos de las plantillas biométricas. |
(28) |
Si el Estado miembro requirente así lo decide y, en su caso, según el tipo de datos biométricos, el enrutador deberá clasificar las respuestas del Estado o Estados miembros requeridos o de Europol comparando los datos biométricos utilizados para la consulta con los datos biométricos proporcionados en las respuestas por el Estado o Estados miembros requeridos o por Europol. |
(29) |
En caso de coincidencia entre los datos utilizados para la búsqueda y los datos conservados en la base de datos nacional del Estado o Estados miembros requeridos, tras la confirmación manual de la coincidencia por un miembro cualificado del personal del Estado miembro requirente y tras la transmisión de una descripción de los hechos y una indicación del delito subyacente utilizando el cuadro común de categorías de delitos establecidos en un acto de ejecución que debe adoptarse con arreglo a la Decisión Marco 2009/315/JAI, el Estado miembro requerido debe enviar un conjunto limitado de datos básicos, en la medida en que dichos datos básicos estén disponibles. El conjunto limitado de datos básicos debe enviarse a través del enrutador y, excepto cuando se requiera una autorización judicial de conformidad con el Derecho nacional, en un plazo de cuarenta y ocho horas desde que se hayan cumplido las condiciones pertinentes. Ese plazo va a garantizar una comunicación rápida entre las autoridades competentes de los Estados miembros. Los Estados miembros deben mantener el control sobre la comunicación del conjunto limitado de datos básicos. Debe mantenerse la intervención humana en las fases clave del proceso, incluida para la decisión de iniciar una consulta, la decisión de confirmar una coincidencia, la decisión de enviar una solicitud de recepción de un conjunto de datos básicos tras una coincidencia confirmada y la decisión de divulgar datos personales al Estado miembro requirente, a fin de garantizar que no se produzca un intercambio automatizado de datos básicos. |
(30) |
En el caso concreto del ADN, el Estado miembro requerido también debe poder confirmar una coincidencia entre dos perfiles de ADN, cuando sea pertinente para la investigación de infracciones penales. Tras la confirmación de dicha coincidencia por el Estado miembro requerido y tras la transmisión de una descripción de los hechos y una indicación del delito subyacente utilizando el cuadro común de categorías de delitos establecido en un acto de ejecución que debe adoptarse con arreglo a la Decisión Marco 2009/315/JAI, el Estado miembro requirente debe enviar un conjunto limitado de datos básicos a través del enrutador en un plazo de cuarenta y ocho horas desde que se hayan cumplido las condiciones pertinentes, excepto cuando se requiera una autorización judicial de conformidad con el Derecho nacional. |
(31) |
Los datos legalmente proporcionados y recibidos en virtud del presente Reglamento están sujetos a los plazos de conservación y revisión establecidos de conformidad con la Directiva (UE) 2016/680. |
(32) |
En el desarrollo del enrutador y del EPRIS, debe utilizarse el formato universal de mensajes (UMF, por sus siglas en inglés) en la medida en que sea aplicable. Todo intercambio automatizado de datos realizado en virtud del presente Reglamento debe utilizar la norma UMF en la medida en que sea aplicable. Se anima también a las autoridades competentes de los Estados miembros y a Europol a utilizar la norma UMF en relación con cualquier otro intercambio ulterior de datos entre ellos en el contexto del marco Prüm II. La norma UMF debe constituir la norma para el intercambio de información, estructurado y transfronterizo, entre sistemas de información, autoridades y organizaciones en el ámbito de la justicia y los asuntos de interior. |
(33) |
Solo la información no clasificada debe intercambiarse a través del marco Prüm II. |
(34) |
Cada Estado miembro debe notificar a los demás Estados miembros, a la Comisión, a la Agencia de la Unión Europea para la Gestión Operativa de Sistemas Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia (eu-LISA), creada por el Reglamento (UE) 2018/1726 del Parlamento Europeo y del Consejo (14), y a Europol el contenido de sus bases de datos nacionales puestas a disposición a través del marco Prüm II y las condiciones de las búsquedas automatizadas. |
(35) |
Debido a su naturaleza técnica, su alto nivel de detalle y su carácter a menudo variable, determinados aspectos del marco Prüm II no pueden ser regulados exhaustivamente por el presente Reglamento. Esos aspectos incluyen, por ejemplo, disposiciones técnicas y especificaciones para los procedimientos de búsqueda automatizada, las normas aplicables al intercambio de datos, incluidas normas mínimas de calidad, y los elementos de datos que deben intercambiarse. A fin de garantizar condiciones uniformes de ejecución del presente Reglamento, deben conferirse a la Comisión competencias de ejecución. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo (15). |
(36) |
La calidad de los datos es de suma importancia como salvaguardia y como requisito previo esencial para garantizar la eficiencia del presente Reglamento. En el contexto de las búsquedas automatizadas de datos biométricos, y a fin de garantizar que los datos transmitidos tengan la calidad suficiente y reducir las falsas coincidencias, debe establecerse una norma de calidad mínima que debe revisarse periódicamente. |
(37) |
Dada la magnitud y la naturaleza sensible de los datos personales intercambiados a efectos del presente Reglamento, y la existencia de diferentes normas nacionales para la conservación de información sobre personas físicas en las bases de datos nacionales, es importante garantizar que las bases de datos utilizadas para la búsqueda automatizada en virtud del presente Reglamento se creen de conformidad con el Derecho nacional y con la Directiva (UE) 2016/680. Por tanto, antes de conectar sus bases de datos nacionales con el enrutador o el EPRIS, los Estados miembros deben llevar a cabo una evaluación de impacto relativa a la protección de datos a que se refiere la Directiva (UE) 2016/680 y, cuando proceda, consultar a la autoridad de control tal como se contempla en dicha Directiva. |
(38) |
Los Estados miembros y Europol deben garantizar la exactitud y la pertinencia de los datos personales tratados con arreglo al presente Reglamento. Si un Estado miembro o Europol constata que se han proporcionado datos que son inexactos o que no están actualizados o que no deberían haberse proporcionado, deberán notificarlo sin demora indebida, en su caso, al Estado miembro que recibió los datos o a Europol. Todos los Estados miembros afectados o Europol deben rectificar o suprimir esos datos, según corresponda, sin demora indebida. Cuando el Estado miembro que haya recibido los datos o Europol tengan motivos para creer que los datos proporcionados son inexactos o deben suprimirse, informarán de ello sin demora indebida al Estado miembro que proporcionó los datos. |
(39) |
Es de la mayor importancia efectuar un intenso seguimiento de la aplicación del presente Reglamento. En particular, el cumplimiento de las normas en materia de tratamiento de datos personales debe ser objeto de salvaguardias eficaces, y deben garantizarse el seguimiento y las auditorías frecuentes por parte de los responsables del tratamiento de datos, de las autoridades de control y del Supervisor Europeo de Protección de Datos, según corresponda. También deben existir disposiciones que permitan la comprobación periódica de la admisibilidad de las consultas y la legalidad del tratamiento de datos. |
(40) |
Las autoridades de control y el Supervisor Europeo de Protección de Datos deben garantizar una supervisión coordinada de la aplicación del presente Reglamento en el marco de sus responsabilidades, en particular cuando detecten discrepancias importantes entre las prácticas de los Estados miembros o detecten transferencias potencialmente ilegales. |
(41) |
A la hora de aplicar el presente Reglamento, es fundamental que los Estados miembros y Europol tengan en cuenta la jurisprudencia del Tribunal de Justicia de la Unión Europea en lo relativo al intercambio de datos biométricos. |
(42) |
Tres años después de la entrada en funcionamiento del enrutador y del EPRIS, y posteriormente cada cuatro años, la Comisión debe elaborar un informe de evaluación que incluya una valoración de la aplicación del presente Reglamento por los Estados miembros y Europol, en particular de su cumplimiento de las garantías pertinentes en materia de protección de datos. Los informes de evaluación también deben incluir un examen de los resultados obtenidos en relación con los objetivos del presente Reglamento y su impacto en los derechos fundamentales. Los informes de evaluación deben evaluar asimismo el impacto, el rendimiento, la eficacia, la eficiencia, la seguridad y las prácticas de trabajo del marco Prüm II. |
(43) |
Dado que el presente Reglamento dispone la creación de un nuevo marco Prüm, deben suprimirse las disposiciones pertinentes de las Decisiones 2008/615/JAI y 2008/616/JAI. Por lo tanto, procede modificar dichas Decisiones en consecuencia. |
(44) |
Dado que el enrutador debe ser desarrollado y gestionado por eu-LISA, es necesario modificar el Reglamento (UE) 2018/1726 para añadir esta tarea a las funciones de eu-LISA. |
(45) |
Dado que los objetivos del presente Reglamento, a saber, reforzar la cooperación policial transfronteriza y permitir que las autoridades competentes de los Estados miembros busquen personas desaparecidas e identifiquen restos humanos no identificados, no pueden ser alcanzados de manera suficiente por los Estados miembros, sino que, debido a las dimensiones y a los efectos de la acción, pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea (TUE). De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dichos objetivos. |
(46) |
De conformidad con los artículos 1 y 2 del Protocolo n.o 22 sobre la posición de Dinamarca, anejo al TUE y al TFUE, Dinamarca no participa en la adopción del presente Reglamento y no queda vinculada por él ni sujeta a su aplicación. |
(47) |
De conformidad con el artículo 3 del Protocolo n.o 21 sobre la posición del Reino Unido y de Irlanda respecto del espacio de libertad, seguridad y justicia, anejo al TUE y al TFUE, Irlanda ha notificado su deseo de participar en la adopción y aplicación del presente Reglamento. |
(48) |
El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725, emitió su dictamen el 2 de marzo de 2022 (16). |
HAN ADOPTADO EL PRESENTE REGLAMENTO:
Objeto
El presente Reglamento establece un marco para la búsqueda y el intercambio de información entre las autoridades competentes de los Estados miembros (en lo sucesivo, «marco Prüm II»), para lo cual dispone:
a) las condiciones y procedimientos para la búsqueda automatizada de perfiles de ADN, datos dactiloscópicos, determinados datos de matriculación de vehículos, imágenes faciales y antecedentes policiales, y
b) las normas relativas al intercambio de datos básicos tras una coincidencia confirmada de datos biométricos.
Objetivo
El objetivo del marco Prüm II será intensificar la cooperación transfronteriza en los asuntos a que se refiere la parte III, título V, capítulos 4 y 5, del Tratado de Funcionamiento de la Unión Europea, en particular facilitando el intercambio de información entre las autoridades competentes de los Estados miembros, con pleno respeto de los derechos fundamentales de las personas físicas, incluidos el derecho a la vida privada y el derecho a la protección de los datos de carácter personal, de conformidad con la Carta de los Derechos Fundamentales de la Unión Europea.
El objetivo del marco Prüm II será asimismo permitir a las autoridades competentes de los Estados miembros la búsqueda de personas desaparecidas en el contexto de investigaciones penales o por motivos humanitarios y la identificación de restos humanos, de conformidad con el artículo 29, a condición de que dichas autoridades hayan sido facultadas para realizar esas búsquedas e identificaciones con arreglo al Derecho nacional.
Ámbito de aplicación
El presente Reglamento se aplicará a las bases de datos creadas con arreglo al Derecho nacional y utilizadas para la transferencia automatizada de perfiles de ADN, datos dactiloscópicos, determinados datos de matriculación de vehículos, imágenes faciales y antecedentes policiales, de conformidad, según proceda, con la Directiva (UE) 2016/680 o los Reglamentos (UE) 2018/1725, (UE) 2016/794 o (UE) 2016/679.
Definiciones
A los efectos del presente Reglamento, se entenderá por:
1) |
«loci» (en singular «locus»): las posiciones de ADN que contienen características identificativas de una muestra de ADN humano analizada; |
2) |
«perfil de ADN»: un código alfabético o numérico que representa un conjunto de loci, o la estructura molecular específica en los diversos loci; |
3) |
«índice de referencia de ADN»: el perfil de ADN y el número de referencia mencionado en el artículo 7; |
4) |
«perfil de ADN identificado»: el perfil de ADN de una persona identificada; |
5) |
«perfil de ADN no identificado»: el perfil de ADN recogido en el curso de la investigación de una infracción penal y perteneciente a una persona aún no identificada, incluido un perfil de ADN obtenido a partir de vestigios; |
6) |
«datos dactiloscópicos»: las impresiones dactilares o las impresiones dactilares latentes, las impresiones palmares, las impresiones palmares latentes y las plantillas de tales impresiones (codificación de las minucias), que estén conservadas y organizadas en una base de datos automatizada; |
7) |
«índices de referencia dactiloscópicos»: los datos dactiloscópicos y el número de referencia mencionado en el artículo 12; |
8) |
«datos dactiloscópicos no identificados»: los datos dactiloscópicos recogidos en el curso de la investigación de una infracción penal y pertenecientes a una persona aún no identificada, incluidos los datos dactiloscópicos obtenidos a partir de vestigios; |
9) |
«datos dactiloscópicos identificados»: los datos dactiloscópicos de una persona identificada; |
10) |
«caso individual»: un único expediente relativo a la prevención, detección o investigación de una infracción penal, para la búsqueda de una persona desaparecida o para la identificación de restos humanos no identificados; |
11) |
«imagen facial»: una imagen digital del rostro; |
12) |
«índice de referencia de imagen facial»: una imagen facial y el número de referencia mencionado en el artículo 21; |
13) |
«imagen facial no identificada»: una imagen facial recogida en el curso de la investigación de una infracción penal y que pertenece a una persona aún no identificada, incluida una imagen facial obtenida a partir de vestigios; |
14) |
«imagen facial identificada»: la imagen facial de una persona identificada; |
15) |
«datos biométricos»: los perfiles de ADN, los datos dactiloscópicos o las imágenes faciales; |
16) |
«datos alfanuméricos»: datos representados por letra s), dígitos, caracteres especiales, espacios y signos de puntuación; |
17) |
«coincidencia»: la existencia de una correspondencia como resultado de la comparación automatizada de datos personales mantenidos en una base de datos; |
18) |
«candidato»: los datos con los que se ha producido una coincidencia; |
19) |
«Estado miembro requirente»: el Estado miembro que realiza una búsqueda a través del marco Prüm II; |
20) |
«Estado miembro requerido»: el Estado miembro en cuyas bases de datos el Estado miembro requirente realiza la búsqueda a través del marco Prüm II; |
21) |
«antecedentes policiales»: los datos biográficos de sospechosos y personas condenadas disponibles en bases de datos nacionales creadas para la prevención, detección e investigación de infracciones penales; |
22) |
«seudonimización»: una seudonimización tal como se define en el artículo 3, punto 5, de la Directiva (UE) 2016/680; |
23) |
«sospechoso»: una persona a la que se refiere el artículo 6, letra a), de la Directiva (UE) 2016/680; |
24) |
«datos personales»: unos datos personales tal como se definen en el artículo 3, punto 1, de la Directiva (UE) 2016/680; |
25) |
«datos de Europol»: cualquier dato personal operativo tratado por Europol de conformidad con el Reglamento (UE) 2016/794; |
26) |
«autoridad competente»: toda autoridad pública competente para la prevención, detección o investigación de infracciones penales, o cualquier otro órgano o entidad a quien el Derecho del Estado miembro haya confiado el ejercicio de la autoridad pública y las competencias públicas a efectos de prevención, detección o investigación de infracciones penales; |
27) |
«autoridad de control»: una autoridad pública independiente establecida por un Estado miembro con arreglo al artículo 41 de la Directiva (UE) 2016/680; |
28) |
«SIENA»: la Aplicación de la Red de Intercambio Seguro de Información, gestionada y desarrollada por Europol de conformidad con el Reglamento (UE) 2016/794; |
29) |
«incidente»: un incidente tal como se define en el artículo 6, punto 6, de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo (17); |
30) |
«incidente significativo»: un incidente, a menos que tenga un impacto limitado y sea probable que ya sea bien conocido en términos de método o tecnología; |
31) |
«amenaza cibernética significativa»: una amenaza cibernética con la oportunidad, la capacidad y cuyo objetivo sea causar un incidente significativo; |
32) |
«vulnerabilidad significativa»: una vulnerabilidad que puede dar lugar a un incidente significativo si se aprovecha. |
Perfiles de ADN
Índices de referencia de ADN
1. Los Estados miembros garantizarán la disponibilidad de índices de referencia de ADN en sus bases de datos nacionales de ADN a efectos de la realización de búsquedas automatizadas por parte de otros Estados miembros y Europol con arreglo al presente Reglamento.
Los índices de referencia de ADN no contendrán ningún dato adicional que permita identificar directamente a una persona física.
Los perfiles de ADN no identificados deberán poder reconocerse como tales.
2. Los índices de referencia de ADN se tratarán de conformidad con el presente Reglamento y con arreglo al Derecho nacional aplicable al tratamiento de dichos índices.
3. La Comisión adoptará un acto de ejecución para especificar las características de identificación de los perfiles de ADN que se intercambien. Dicho acto de ejecución se adoptará de conformidad con el procedimiento de examen a que se refiere el artículo 77, apartado 2.
Búsqueda automatizada de los perfiles de ADN
1. Para la investigación de infracciones penales, los Estados miembros, en el momento de la conexión inicial al enrutador a través de sus puntos de contacto nacionales, realizarán una búsqueda automatizada comparando todos los perfiles de ADN conservados en sus bases de datos de ADN con todos los perfiles de ADN conservados en las bases de datos de ADN de todos los demás Estados miembros y en Europol. Cada Estado miembro acordará bilateralmente con cada uno de los demás Estados miembros y con Europol las modalidades de dichas búsquedas automatizadas de conformidad con las normas y procedimientos establecidos en el presente Reglamento.
2. Para la investigación de infracciones penales, los Estados miembros, a través de sus puntos de contacto nacionales, realizarán búsquedas automatizadas comparando todos los nuevos perfiles de ADN añadidos a sus respectivas bases de datos de ADN con todos los perfiles de ADN conservados en las bases de datos ADN de todos los demás Estados miembros y en los datos de Europol.
3. Cuando no hayan podido realizarse búsquedas de las mencionadas en el apartado 2, el Estado miembro en cuestión podrá convenir de forma bilateral con cada uno de los Estados miembros y con Europol en realizarlas en una fase posterior comparando los perfiles de ADN con todos los perfiles de ADN conservados en las bases de datos de ADN de todos los demás Estados miembros y en los datos de Europol. El Estado miembro en cuestión acordará bilateralmente con cada uno de los demás Estados miembros y con Europol las modalidades de dichas búsquedas automatizadas de conformidad con las normas y procedimientos establecidos en el presente Reglamento.
4. Las búsquedas a que se refieren los apartados 1, 2 y 3 únicamente se podrán realizar en el contexto de casos concretos y con arreglo al Derecho nacional del Estado miembro requirente.
5. Cuando en el curso de una búsqueda automatizada se comprueba que un perfil de ADN proporcionado coincide con perfiles de ADN conservados en la base o las bases de datos consultadas del Estado miembro requerido, el punto de contacto nacional del Estado miembro requirente recibirá de manera automatizada el índice de referencia de ADN con el que se haya producido la coincidencia.
6. El punto de contacto nacional del Estado miembro requirente podrá decidir confirmar una coincidencia entre dos perfiles de ADN. Cuando decida confirmar una coincidencia entre dos perfiles de ADN, informará al Estado miembro requerido y se asegurará de que al menos un miembro cualificado del personal realice una revisión manual para confirmar dicha coincidencia con los índices de referencia de ADN recibidos del Estado miembro requerido.
7. Cuando sea pertinente para la investigación de infracciones penales, el punto de contacto nacional del Estado miembro requerido podrá decidir confirmar una coincidencia entre dos perfiles de ADN. Cuando decida confirmar una coincidencia entre dos perfiles de ADN, informará al Estado miembro requirente y se asegurará de que al menos un miembro cualificado del personal realice una revisión manual para confirmar dicha coincidencia con los índices de referencia de ADN recibidos del Estado miembro requirente.
Números de referencia de los perfiles de ADN
Los números de referencia de los perfiles de ADN serán una combinación de los siguientes elementos:
a) un número de referencia que permita a los Estados miembros, en caso de coincidencia, obtener más datos e información adicional de sus bases de datos de ADN nacionales con el fin de proporcionarlos a otro, a otros o a todos los demás Estados miembros de conformidad con el artículo 47, o a Europol de conformidad con el artículo 49, apartado 6;
b) un número de referencia que permita a Europol, en caso de coincidencia, obtener más datos y otra información a efectos de lo dispuesto en el artículo 48, apartado 1, del presente Reglamento con el fin de proporcionarlos a uno, a varios o a todos los Estados miembros de conformidad con el Reglamento (UE) 2016/794;
c) un código que indique el Estado miembro que posee el perfil de ADN;
d) un código que indique si el perfil de ADN es un perfil de ADN identificado o un perfil de ADN no identificado.
Principios aplicables al intercambio de perfiles de ADN
1. Los Estados miembros adoptarán las medidas adecuadas para garantizar la confidencialidad e integridad de los índices de referencia de ADN que se envíen a otros Estados miembros o a Europol, incluido su cifrado. Europol adoptará las medidas adecuadas para garantizar la confidencialidad e integridad de los índices de referencia de ADN que se envíen a los Estados miembros, incluido su cifrado.
2. Cada Estado miembro y Europol se asegurarán de que la calidad de los perfiles de ADN que transmitan sea suficiente para realizar una comparación automatizada. La Comisión establecerá, mediante actos de ejecución, una norma de calidad mínima que permita la comparación de perfiles de ADN.
3. La Comisión adoptará actos de ejecución en los que se especifiquen las normas europeas o internacionales pertinentes que han de utilizar los Estados miembros y Europol para el intercambio de índices de referencia de ADN.
4. Los actos de ejecución a que se refieren loa apartados 2 y 3 del presente artículo se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 77, apartado 2.
Normas aplicables a las solicitudes y a las respuestas relativas a los perfiles de ADN
1. Las solicitudes de búsqueda automatizada de perfiles de ADN incluirán únicamente la información siguiente:
a) el código del Estado miembro requirente;
b) la fecha, hora y número de la solicitud;
c) los índices de referencia de ADN;
d) si los perfiles de ADN transmitidos son perfiles de ADN no identificados o perfiles de ADN identificados.
2. Las respuestas a las solicitudes a que se refiere el apartado 1 contendrán únicamente la información siguiente:
a) una indicación de si se ha producido una, varias o ninguna coincidencia;
b) la fecha, hora y número de la solicitud;
c) la fecha, hora y número de la respuesta;
d) los códigos del Estado miembro requirente y del Estado miembro requerido;
e) los números de referencia de los perfiles de ADN del Estado miembro requirente y del Estado miembro requerido;
f) si los perfiles de ADN transmitidos son perfiles de ADN no identificados o perfiles de ADN identificados;
g) los perfiles de ADN coincidentes.
3. Las coincidencias se notificarán de manera automatizada únicamente si la búsqueda automatizada ha dado lugar a una coincidencia en un número mínimo de loci. La Comisión adoptará actos de ejecución para especificar el número mínimo de loci a tal efecto, de conformidad con el procedimiento de examen contemplado en el artículo 77, apartado 2.
4. Cuando una búsqueda con perfiles de ADN no identificados dé lugar a una coincidencia, cada Estado miembro requerido que obtenga datos coincidentes podrá insertar en su base de datos nacional una marca que indique que ha habido una coincidencia para ese perfil de ADN tras la búsqueda por parte de otro Estado miembro. La marca incluirá el número de referencia del perfil de ADN utilizado por el Estado miembro requirente.
5. Los Estados miembros garantizarán que las solicitudes a que se refiere el apartado 1 del presente artículo sean coherentes con las notificaciones enviadas con arreglo al artículo 74. Esas notificaciones figurarán en el manual práctico a que se refiere el artículo 79.
Datos dactiloscópicos
Índices de referencia dactiloscópicos
1. Los Estados miembros garantizarán la disponibilidad de índices de referencia dactiloscópicos en sus bases de datos nacionales creadas para los fines de la prevención, detección e investigación de infracciones penales.
2. Los índices de referencia dactiloscópicos no contendrán ningún dato adicional que permitan identificar directamente a una persona física.
3. Los datos dactiloscópicos no identificados deberán poder reconocerse como tales.
Búsqueda automatizada de datos dactiloscópicos
1. Los Estados miembros permitirán que los puntos de contacto nacionales de los demás Estados miembros y Europol tengan acceso, para los fines de la prevención, detección e investigación de infracciones penales, a los índices de referencia dactiloscópicos de sus bases de datos nacionales creadas para esos fines con el objeto de realizar búsquedas automatizadas mediante la comparación de índices de referencia dactiloscópicos.
Las búsquedas a las que se refiere el párrafo primero únicamente se realizarán en el contexto de casos concretos y con arreglo al Derecho nacional del Estado miembro requirente.
2. El punto de contacto nacional del Estado miembro requirente podrá decidir confirmar una coincidencia entre dos conjuntos de datos dactiloscópicos. Cuando decida confirmar una coincidencia entre dos conjuntos de datos dactiloscópicos, informará al Estado miembro requerido y se asegurará de que al menos un miembro cualificado del personal realice una revisión manual para confirmar dicha coincidencia con los índices de referencia dactiloscópicos recibidos del Estado miembro requerido.
Números de referencia de los datos dactiloscópicos
Los números de referencia de los datos dactiloscópicos serán una combinación de los siguientes elementos:
a) un número de referencia que permita a los Estados miembros, en caso de coincidencia, obtener más datos e información adicional de sus bases de datos mencionadas en el artículo 10 con el fin de proporcionarlos a otro, a otros o a todos los demás Estados miembros de conformidad con el artículo 47 o a Europol de conformidad con el artículo 49, apartado 6;
b) un número de referencia que permita a Europol, en caso de coincidencia, obtener más datos y otra información a efectos de lo dispuesto en el artículo 48, apartado 1, del presente Reglamento con el fin de proporcionarlos a uno, a varios o a todos los Estados miembros de conformidad con el Reglamento (UE) 2016/794;
c) un código que indique el Estado miembro que posee los datos dactiloscópicos.
Principios aplicables al intercambio de datos dactiloscópicos
1. Los Estados miembros adoptarán las medidas apropiadas para garantizar la confidencialidad e integridad de los datos dactiloscópicos que se envíen a otros Estados miembros o a Europol, incluido su cifrado. Europol adoptará las medidas apropiadas para garantizar la confidencialidad e integridad de los datos dactiloscópicos que se envíen a los Estados miembros, incluido su cifrado.
2. Cada Estado miembro y Europol se asegurarán de que la calidad de los datos dactiloscópicos que transmitan sea suficiente para realizar una comparación automatizada. La Comisión establecerá, mediante actos de ejecución, una norma de calidad mínima que permita la comparación de datos dactiloscópicos.
3. Los datos dactiloscópicos serán digitalizados y transmitidos a los demás Estados miembros o a Europol con arreglo a normas europeas o internacionales. La Comisión adoptará actos de ejecución en los que se especifiquen las normas europeas o internacionales pertinentes que han de utilizar los Estados miembros y Europol para el intercambio de datos dactiloscópicos.
4. Los actos de ejecución a que se refieren los apartados 2 y 3 del presente artículo se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 77, apartado 2.
Capacidades de búsqueda de datos dactiloscópicos
1. Cada Estado miembro garantizará que sus solicitudes de búsqueda no excedan de las capacidades de búsqueda especificadas por el Estado miembro requerido o Europol para garantizar la disponibilidad del sistema y para evitar su sobrecarga. Con el mismo fin, Europol garantizará que sus solicitudes de búsqueda no excedan de las capacidades de búsqueda especificadas por el Estado miembro requerido.
Los Estados miembros informarán a los otros Estados miembros, a la Comisión, a eu-LISA y a Europol sobre sus capacidades máximas diarias de búsqueda en relación con los datos dactiloscópicos identificados y no identificados. Europol informará a los Estados miembros, a la Comisión y a eu-LISA sobre sus capacidades máximas diarias de búsqueda en relación con los datos dactiloscópicos identificados y no identificados. Los Estados miembros o Europol podrán aumentar temporal o permanentemente dichas capacidades de búsqueda en cualquier momento, también en caso de urgencia. Cuando un Estado miembro aumente tales capacidades máximas de búsqueda, notificará a los demás Estados miembros, a la Comisión, a eu-LISA y a Europol las nuevas capacidades máximas de búsqueda. Cuando Europol aumente dichas capacidades máximas de búsqueda, notificará a los Estados miembros, a la Comisión y a eu-LISA las nuevas capacidades máximas de búsqueda.
2. La Comisión adoptará actos de ejecución que especifiquen los números máximos de candidatos aceptados a efectos de comparación por transmisión, y la distribución de las capacidades de búsqueda no utilizadas entre los Estados miembros de conformidad con el procedimiento de examen a que se refiere el artículo 77, apartado 2.
Normas aplicables a las solicitudes y a las respuestas relativas a los datos dactiloscópicos
1. Las solicitudes de búsqueda automatizada de datos dactiloscópicos incluirán únicamente la información siguiente:
a) el código del Estado miembro requirente;
b) la fecha, hora y número de la solicitud;
c) índices de referencia dactiloscópicos.
2. Una respuesta a una solicitud a que se refiere el apartado 1 contendrá únicamente la siguiente información:
a) una indicación de si se ha producido una, varias o ninguna coincidencia;
b) la fecha, hora y número de la solicitud;
c) la fecha, hora y número de la respuesta;
d) los códigos del Estado miembro requirente y del Estado miembro requerido;
e) los números de referencia de los datos dactiloscópicos del Estado miembro requirente y del Estado miembro requerido;
f) los datos dactiloscópicos coincidentes.
3. Los Estados miembros garantizarán que las solicitudes a que se refiere al apartado 1 del presente artículo sean coherentes con las notificaciones enviadas con arreglo al artículo 74. Esas notificaciones figurarán en el manual práctico a que se refiere el artículo 79.
Datos de matriculación de vehículos
Búsqueda automatizada de datos de matriculación de vehículos
1. Para la prevención, detección e investigación de infracciones penales, los Estados miembros permitirán que los puntos de contacto nacionales de otros Estados miembros y Europol tengan acceso a los siguientes datos nacionales de matriculación de vehículos, para realizar búsquedas automatizadas en casos individuales:
a) datos del propietario o del titular del vehículo;
b) datos del vehículo.
2. Las búsquedas a que se refiere el apartado 1 únicamente se realizarán utilizando lo siguiente:
a) un número de bastidor completo;
b) un número de matrícula completo, o
c) si el Derecho nacional del Estado miembro requerido lo permite, datos del propietario o del titular del vehículo.
3. Las búsquedas a que se refiere el apartado 1 realizadas con datos relacionados con el propietario o con el titular del vehículo únicamente se realizarán cuando se trate de sospechosos o personas condenadas. A efectos de dichas búsquedas, se utilizarán todos los datos de identificación siguientes:
a) cuando el propietario o el titular del vehículo sea una persona física:
i) nombre o nombres de la persona física,
ii) apellido o apellidos de la persona física, y
iii) fecha de nacimiento de la persona física;
b) cuando el propietario o el titular del vehículo sea una persona jurídica, la denominación de dicha persona jurídica.
4. Las búsquedas a que se refiere el apartado 1 únicamente podrán realizarse de acuerdo con el Derecho nacional del Estado miembro requirente.
Principios aplicables a la búsqueda automatizada de datos de matriculación de vehículos
1. Para la búsqueda automatizada de datos de matriculación de vehículos, los Estados miembros utilizarán el sistema europeo de información sobre vehículos y permisos de conducción (Eucaris).
2. La información que se intercambie a través de Eucaris se transmitirá en forma cifrada.
3. La Comisión adoptará actos de ejecución que especifiquen los elementos de datos de los datos de matriculación de vehículos que pueden intercambiarse y el procedimiento técnico en Eucaris para la consulta de las bases de datos de los Estados miembros. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 77, apartado 2.
Conservación de registros
1. Cada Estado miembro llevará un registro de las consultas que efectúe el personal de sus autoridades competentes debidamente autorizado para intercambiar datos de matriculación de vehículos, y un registro de las consultas solicitadas por otros Estados miembros. Europol llevará un registro de las consultas que efectúe su personal debidamente autorizado.
Cada Estado miembro y Europol llevarán un registro de todas las operaciones de tratamiento de datos relativas a los datos de matriculación de vehículos. Dichos registros incluirán los siguientes datos:
a) si fue un Estado miembro el que inició la solicitud de consulta, o Europol; en el caso de que fuera un Estado miembro el que inició la solicitud de consulta, el Estado miembro en cuestión;
b) la fecha y la hora de la solicitud;
c) la fecha y la hora de la respuesta;
d) las bases de datos nacionales a las que se haya enviado una solicitud de consulta;
e) las bases de datos nacionales que hayan proporcionado una respuesta positiva.
2. Los registros a que se refiere el apartado 1 únicamente podrán ser utilizados para la recogida de estadísticas, para el seguimiento de la protección de datos, lo que incluye la comprobación de la admisibilidad de una consulta y de la legalidad del tratamiento de datos, y a efectos de garantizar la seguridad e integridad de los datos. Dichos registros estarán protegidos por medidas adecuadas contra el acceso no autorizado y serán suprimidos tres años después de su creación. No obstante, en caso de que sean necesarios para procedimientos de seguimiento que ya hayan dado comienzo, se suprimirán una vez que los procedimientos de supervisión ya no exijan dichos registros.
3. A efectos del seguimiento de la protección de datos, lo que incluye la comprobación de la admisibilidad de una consulta y de la legalidad del tratamiento de datos, los responsables del tratamiento de datos tendrán acceso a los registros para el autocontrol a que se refiere el artículo 55.
Imágenes faciales
Índices de referencia de imágenes faciales
1. Los Estados miembros garantizarán la disponibilidad de los índices de referencia de imágenes faciales de sospechosos, personas condenadas y —cuando lo permita el Derecho nacional— víctimas contenidos en las bases de datos nacionales creadas para la prevención, detección e investigación de infracciones penales.
2. Los índices de referencia de imágenes faciales no contendrán ningún dato adicional que permita identificar directamente a una persona física.
3. Las imágenes faciales no identificadas deberán poder reconocerse como tales.
Búsqueda automatizada de imágenes faciales
1. Para la prevención, detección e investigación de infracciones penales castigadas con penas de prisión máximas de al menos un año con arreglo al Derecho del Estado miembro requirente, los Estados miembros permitirán que los puntos de contacto nacionales de otros Estados miembros y Europol tengan acceso a los índices de referencia de imágenes faciales conservados en sus bases de datos nacionales para realizar búsquedas automatizadas.
Las búsquedas a que se refiere el párrafo primero únicamente se realizarán en el contexto de casos concretos y con arreglo al Derecho nacional del Estado miembro requirente.
Queda prohibida la elaboración de perfiles a que se refiere el artículo 11, apartado 3, de la Directiva (UE) 2016/680.
2. El punto de contacto nacional del Estado miembro requirente podrá decidir confirmar una coincidencia entre dos imágenes faciales. Cuando decida confirmar una coincidencia entre dos imágenes faciales, informará al Estado miembro requerido y se asegurará de que al menos un miembro cualificado del personal realice una revisión manual para confirmar dicha coincidencia con los índices de referencia de imágenes faciales recibidos del Estado miembro requerido.
Números de referencia de las imágenes faciales
Los números de referencia de las imágenes faciales serán una combinación de los siguientes elementos:
a) un número de referencia que permita a los Estados miembros, en caso de coincidencia, obtener más datos e información adicional de sus bases de datos mencionadas en el artículo 19 con el fin de proporcionarlos a otro, a otros o a todos los demás Estados miembros de conformidad con el artículo 47, o a Europol de conformidad con el artículo 49, apartado 6;
b) un número de referencia que permita a Europol, en caso de coincidencia, obtener más datos y otra información a efectos de lo dispuesto en el artículo 48, apartado 1, del presente Reglamento con el fin de proporcionarlos a uno, a varios o a todos los Estados miembros de conformidad con el Reglamento (UE) 2016/794;
c) un código que indique el Estado miembro que posee las imágenes faciales.
Principios aplicables al intercambio de imágenes faciales
1. Los Estados miembros adoptarán las medidas apropiadas para garantizar la confidencialidad e integridad de las imágenes faciales que se envíen a otros Estados miembros o a Europol, incluido su cifrado. Europol adoptará las medidas apropiadas para garantizar la confidencialidad e integridad de las imágenes faciales que se envíen a otros Estados miembros, incluido su cifrado.
2. Cada Estado miembro y Europol se asegurarán de que la calidad de las imágenes faciales que transmitan sea suficiente para realizar una comparación automatizada. La Comisión establecerá, mediante actos de ejecución, una norma de calidad mínima que permita la comparación de imágenes faciales. Cuando en el informe a que se refiere el artículo 80, apartado 7, se señale un riesgo elevado de falsas coincidencias, la Comisión revisará dichos actos de ejecución.
3. La Comisión adoptará actos de ejecución en los que se especifiquen las normas europeas o internacionales pertinentes que han de utilizar los Estados miembros y Europol para el intercambio de imágenes faciales.
4. Los actos de ejecución a que se refieren los apartados 2 y 3 del presente artículo se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 77, apartado 2.
Capacidades de búsqueda de imágenes faciales
1. Cada Estado miembro garantizará que sus solicitudes de búsqueda no excedan de las capacidades de búsqueda especificadas por el Estado miembro requerido o Europol para garantizar la disponibilidad del sistema y para evitar su sobrecarga. Con el mismo fin, Europol garantizará que sus solicitudes de búsqueda no excedan de las capacidades de búsqueda especificadas por el Estado miembro requerido.
Los Estados miembros informarán a los otros Estados miembros, a la Comisión, a eu-LISA y a Europol sobre sus capacidades máximas diarias de búsqueda en relación con imágenes faciales identificadas y no identificadas. Europol informará a los Estados miembros, a la Comisión y a eu-LISA sobre sus capacidades máximas diarias de búsqueda en relación con imágenes faciales identificadas y no identificadas. Los Estados miembros o Europol podrán aumentar temporal o permanentemente dichas capacidades de búsqueda en cualquier momento, también en caso de urgencia. Cuando un Estado miembro aumente tales capacidades máximas de búsqueda, notificará a los demás Estados miembros, a la Comisión, a eu-LISA y a Europol las nuevas capacidades máximas de búsqueda. Cuando Europol aumente dichas capacidades máximas de búsqueda, notificará a los Estados miembros, a la Comisión y a eu-LISA las nuevas capacidades máximas de búsqueda.
2. La Comisión adoptará actos de ejecución que especifiquen los números máximos de candidatos aceptados a efectos de comparación por transmisión, y la distribución de las capacidades de búsqueda no utilizadas entre los Estados miembros de conformidad con el procedimiento de examen a que se refiere el artículo 77, apartado 2.
Normas aplicables a las solicitudes y a las respuestas relativas a las imágenes faciales
1. Las solicitudes de búsqueda automatizada de imágenes faciales incluirán únicamente la información siguiente:
a) el código del Estado miembro requirente;
b) la fecha, hora y número de la solicitud;
c) índice de referencia de imagen facial.
2. Una respuesta a una solicitud a que se refiere el apartado 1 contendrá únicamente la información siguiente:
a) una indicación de si se ha producido una, varias o ninguna coincidencia;
b) la fecha, hora y número de la solicitud;
c) la fecha, hora y número de la respuesta;
d) los códigos del Estado miembro requirente y del Estado miembro requerido;
e) los números de referencia de las imágenes faciales del Estado miembro requirente y del Estado miembro requerido;
f) las imágenes faciales coincidentes.
3. Los Estados miembros garantizarán que las solicitudes a que se refiere el apartado 1 del presente artículo sean coherentes con las notificaciones enviadas con arreglo al artículo 74. Esas notificaciones figurarán en el manual práctico a que se refiere el artículo 79.
Antecedentes policiales
Antecedentes policiales
1. Los Estados miembros podrán participar en el intercambio automatizado de antecedentes policiales. A efectos de dichos intercambios, los Estados miembros que participen en ellos garantizarán la disponibilidad de índices de antecedentes policiales nacionales que contengan conjuntos de datos biográficos de sospechosos y personas condenadas de sus bases de datos nacionales creadas para la prevención, detección e investigación de infracciones penales. Esos conjuntos de datos contendrán únicamente los siguientes datos en la medida en que se encuentren disponibles:
a) nombres;
b) apellidos;
c) alias, así como nombres o apellidos utilizados con anterioridad;
d) fecha de nacimiento;
e) nacionalidad o nacionalidades;
f) país de nacimiento;
g) sexo.
2. Los datos a que se refiere el apartado 1, letras a), b) y c), se seudonimizarán.
Búsqueda automatizada en los índices de antecedentes policiales nacionales
Para la prevención, detección e investigación de infracciones penales castigadas con penas de prisión máximas de al menos un año con arreglo al Derecho del Estado miembro requirente, los Estados miembros que participen en el intercambio automatizado de antecedentes policiales permitirán a los puntos de contacto nacionales de otros Estados miembros participantes y a Europol acceder a los datos de sus índices de antecedentes policiales nacionales para realizar búsquedas automatizadas.
Las búsquedas a que se refiere en párrafo primero únicamente se realizarán en el contexto de casos concretos y con arreglo al Derecho nacional del Estado miembro requirente.
Números de referencia de los antecedentes policiales
Los números de referencia de los antecedentes policiales serán una combinación de los elementos siguientes:
a) un número de referencia que, en caso de coincidencia, permita a los Estados miembros obtener datos biográficos y otra información de los índices de antecedentes policiales nacionales a que se refiere el artículo 25 con el fin de proporcionarlos a otro, otros o todos los demás Estados miembros, con arreglo al artículo 44;
b) un código que indique el Estado miembro que posee los antecedentes policiales.
Normas aplicables a las solicitudes y a las respuestas relativas a los antecedentes policiales
1. Las solicitudes de búsqueda automatizada en los índices de antecedentes policiales nacionales incluirán únicamente la información siguiente:
a) el código del Estado miembro requirente;
b) la fecha, hora y número de la solicitud;
c) los datos a que se refiere el artículo 25, en la medida en que estén disponibles.
2. Una respuesta a una solicitud a que se refiere el apartado 1 contendrá únicamente la información siguiente:
a) una indicación del número de coincidencias;
b) la fecha, hora y número de la solicitud;
c) la fecha, hora y número de la respuesta;
d) los códigos del Estado miembro requirente y del Estado miembro requerido;
e) los números de referencia de los antecedentes policiales del Estado miembro requerido.
3. Los Estados miembros garantizarán que las solicitudes a que se refiere el apartado 1 del presente artículo sean coherentes con las notificaciones enviadas con arreglo al artículo 74. Esas notificaciones figurarán en el manual práctico a que se refiere el artículo 79.
Personas desaparecidas y restos humanos no identificados
1. Cuando una autoridad nacional haya sido facultada para ello por las medidas legislativas nacionales a las que se refiere el apartado 2, podrá realizar búsquedas automatizadas mediante el marco Prüm II únicamente para los fines siguientes:
a) la búsqueda de personas desaparecidas en el contexto de investigaciones penales o por motivos humanitarios;
b) la identificación de restos humanos.
2. Los Estados miembros que deseen hacer uso de la posibilidad establecida en el apartado 1 designarán, mediante medidas legislativas nacionales, las autoridades nacionales competentes a los efectos establecidos en ellas y establecerán los procedimientos, condiciones y criterios, incluidos los motivos humanitarios por los que se permite realizar búsquedas automatizadas de personas desaparecidas a que se refiere el apartado 1, letra a).
Puntos de contacto nacionales
Cada Estado miembro designará uno o más puntos de contacto nacionales a los efectos de los artículos 6, 11, 16, 20 y 26.
Medidas de ejecución
La Comisión adoptará actos de ejecución que especifiquen las disposiciones técnicas para los Estados miembros con respecto a los procedimientos establecidos en los artículos 6, 11, 16, 20 y 26. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 77, apartado 2.
Disponibilidad del intercambio automatizado de datos a nivel nacional
1. Los Estados miembros adoptarán cuantas medidas sean necesarias para garantizar que puedan efectuarse consultas automatizadas de perfiles de ADN, datos dactiloscópicos, determinados datos de matriculación de vehículos, imágenes faciales y antecedentes policiales todos los días del año durante las 24 horas del día.
2. Los puntos de contacto nacionales informarán de forma inmediata a los demás puntos de contacto nacionales, a la Comisión, a eu-LISA y a Europol, de cualquier indisponibilidad del intercambio automatizado de datos, incluidos, en su caso, los fallos técnicos causantes de dicha indisponibilidad.
Los puntos de contacto nacionales convendrán, de conformidad con el Derecho de la Unión y nacional aplicable, en un sistema alternativo temporal de intercambio de información que se utilizará cuando el intercambio automatizado de datos no esté disponible.
3. Cuando el intercambio automatizado de datos no esté disponible, los puntos de contacto nacionales garantizarán que se reestablezca por todos los medios necesarios y sin demora.
Justificación del tratamiento de datos
1. Cada Estado miembro conservará un registro de las justificaciones de las consultas que sus autoridades competentes efectúen.
Europol conservará un registro de las justificaciones de las consultas que efectúe.
2. Las justificaciones mencionadas en el apartado 1 incluirán:
a) la finalidad de la consulta, incluida una referencia al caso o investigación específicos, así como, en su caso, a la infracción penal;
b) una indicación sobre si la consulta se refiere a un sospechoso o a una persona condenada por una infracción penal, a una víctima de una infracción penal, a una persona desaparecida o a restos humanos no identificados;
c) una indicación sobre si la consulta tiene por objeto identificar a una persona u obtener más datos sobre una persona conocida.
3. Las justificaciones contempladas en el apartado 1 del presente artículo serán localizables en los registros a que se refieren los artículos 18, 40 y 45. Dichas justificaciones únicamente podrán utilizarse para valorar si las búsquedas son proporcionadas y necesarias a efectos de prevenir, detectar o investigar una infracción penal, para el seguimiento de la protección de datos, lo que incluye la comprobación de la admisibilidad de una consulta y de la legalidad del tratamiento de datos, y a efectos de garantizar la seguridad y la integridad de los datos. Tales justificaciones estarán protegidas por medidas adecuadas contra el acceso no autorizado y serán suprimidas tres años después de su creación. No obstante, en caso de que sean necesarias para procedimientos de seguimiento que ya hayan dado comienzo, se suprimirán una vez que los procedimientos de seguimiento ya no exijan la justificación.
4. A fin de valorar la proporcionalidad y necesidad de las búsquedas a efectos de prevenir, detectar o investigar una infracción penal o a efectos del seguimiento de la protección de datos, lo que incluye la comprobación de la admisibilidad de una consulta y la legalidad del tratamiento de datos, los responsables del tratamiento de datos tendrán acceso a tales justificaciones para el autocontrol a que se refiere el artículo 55.
Uso del formato universal de mensajes
1. En la medida de lo posible, la norma de formato universal de mensajes (UMF, por sus siglas en inglés) establecida por el artículo 38 del Reglamento (UE) 2019/818 se utilizará en el desarrollo del enrutador a que se refieren el artículo 35 del presente Reglamento y el Sistema Europeo de Índice de Antecedentes Policiales (EPRIS).
2. Todo intercambio automatizado de datos de conformidad con el presente Reglamento utilizará la norma UMF en la medida de lo posible.
Enrutador
Enrutador
1. Se crea un enrutador con el fin de facilitar el establecimiento de conexiones entre los Estados miembros, y entre los Estados miembros y Europol, para consultar, obtener y puntuar datos biométricos y obtener datos alfanuméricos de conformidad con el presente Reglamento.
2. El enrutador estará compuesto por:
a) una infraestructura central que incluya una herramienta de búsqueda que permita consultar simultáneamente las bases de datos nacionales a que se refieren los artículos 5, 10 y 19, y los datos de Europol;
b) un canal de comunicación seguro entre la infraestructura central, las autoridades competentes autorizadas para utilizar el enrutador con arreglo al artículo 36 y Europol;
c) una infraestructura de comunicación segura entre la infraestructura central y el Portal europeo de búsqueda, creado por el artículo 6 del Reglamento (UE) 2019/817 y el artículo 6 del Reglamento (UE) 2019/818, a efectos del artículo 39.
Uso del enrutador
El uso del enrutador se reservará a las autoridades competentes de los Estados miembros que estén autorizadas, con arreglo al presente Reglamento, para acceder a perfiles de ADN, datos dactiloscópicos e imágenes faciales y para intercambiar estos, así como a Europol, de conformidad con el presente Reglamento y el Reglamento (UE) 2016/794.
Procesos
1. Las autoridades competentes autorizadas para utilizar el enrutador con arreglo al artículo 36 o Europol solicitarán una consulta mediante la transmisión de datos biométricos al enrutador. El enrutador enviará la solicitud de consulta al mismo tiempo a las bases de datos de determinados Estados miembros o de todos ellos y a los datos de Europol junto con los datos presentados por el usuario de conformidad con sus derechos de acceso.
2. Tras recibir la solicitud de consulta del enrutador, cada Estado miembro requerido efectuará una consulta de sus bases de datos de manera automatizada y sin demora. Tras recibir la solicitud de consulta del enrutador, Europol efectuará una consulta de los datos de Europol de manera automatizada y sin demora.
3. Cualquier coincidencia que resulte de las consultas a que se refiere el apartado 2 se enviará al enrutador de manera automatizada. El Estado miembro requirente será notificado de manera automatizada cuando no se haya obtenido ninguna coincidencia.
4. Cuando el Estado miembro requirente así lo decida y cuando proceda, el enrutador clasificará las respuestas comparando los datos biométricos utilizados para la consulta con los datos biométricos proporcionados en las respuestas por el Estado o los Estados miembros requeridos o por Europol.
5. El enrutador enviará a su usuario la lista de datos biométricos coincidentes y su clasificación.
6. La Comisión adoptará actos de ejecución que especifiquen el procedimiento técnico por el que el enrutador debe consultar las bases de datos de los Estados miembros y los datos de Europol, el formato en que el enrutador responda a dichas consultas y las normas técnicas para comparar y clasificar la correspondencia entre los datos biométricos. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 77, apartado 2.
Control de calidad
El Estado miembro requerido comprobará la calidad de los datos transmitidos utilizando un procedimiento automatizado.
El Estado miembro requerido informará sin demora al Estado miembro requirente a través del enrutador en caso de que los datos no se presten a una comparación automatizada.
Interoperabilidad entre el enrutador y el registro común de datos de identidad a efectos del acceso de las autoridades policiales
1. Cuando las autoridades designadas tal como se definen en el artículo 4, punto 20, del Reglamento (UE) 2019/817, y el artículo 4, punto 20, del Reglamento (UE) 2019/818 estén autorizadas para utilizar el enrutador con arreglo al artículo 36 del presente Reglamento podrán iniciar una consulta en las bases de datos de los Estados miembros y en los datos de Europol al mismo tiempo que una consulta del registro común de datos de identidad establecido por el artículo 17 del Reglamento (UE) 2019/817 y el artículo 17 del Reglamento (UE) 2019/818, siempre que se cumplan las condiciones aplicables del Derecho de la Unión y que la consulta se inicie de conformidad con sus derechos de acceso. A tal fin, el enrutador consultará el registro común de datos de identidad a través del Portal europeo de búsqueda.
2. Las consultas del registro común de datos de identidad con fines policiales se efectuarán de conformidad con el artículo 22 del Reglamento (UE) 2019/817 y el artículo 22 del Reglamento (UE) 2019/818. Cualquier resultado de dichas consultas se transmitirá a través del Portal europeo de búsqueda.
Las consultas simultáneas de las bases de datos de los Estados miembros y de los datos de Europol y del registro común de datos de identidad se iniciarán únicamente cuando existan motivos razonables para pensar que los datos sobre un sospechoso, autor o víctima de un delito de terrorismo u otro delito grave definido, respectivamente, en el artículo 4, puntos 21 y 22, del Reglamento (UE) 2019/817 y en el artículo 4, puntos 21 y 22, del Reglamento (UE) 2019/818 estén conservados en el registro común de datos de identidad.
Conservación de registros
1. eu-LISA llevará un registro de todas las operaciones de tratamiento de datos efectuadas a través del enrutador. Dichos registros incluirán los datos siguientes:
a) si fue un Estado miembro el que inició la solicitud de consulta, o Europol; en el caso de que fuera un Estado miembro el que inició la solicitud de consulta, el Estado miembro en cuestión;
b) la fecha y la hora de la solicitud;
c) la fecha y la hora de la respuesta;
d) las bases de datos nacionales o los datos de Europol a los que se haya enviado una solicitud de consulta;
e) las bases de datos nacionales o los datos de Europol que hayan proporcionado una respuesta;
f) en su caso, el hecho de que se haya efectuado una consulta simultánea al registro común de datos de identidad.
2. Cada Estado miembro llevará un registro de las consultas que efectúe el personal de sus autoridades competentes debidamente autorizado para utilizar el enrutador y un registro de las consultas solicitadas por otros Estados miembros.
Europol llevará un registro de las consultas que efectúe su personal debidamente autorizado.
3. Los registros a que se refieren los apartados 1 y 2 únicamente podrán utilizarse para la recogida de estadísticas, para el seguimiento de la protección de datos, lo que incluye la comprobación de la admisibilidad de una consulta y de la legalidad del tratamiento de datos, y a efectos de garantizar la seguridad y la integridad de los datos. Dichos registros estarán protegidos por medidas adecuadas contra el acceso no autorizado y serán suprimidos tres años después de su creación. No obstante, en caso de que sean necesarios para procedimientos de seguimiento que ya hayan dado comienzo, se suprimirán una vez que los procedimientos de seguimiento ya no exijan dichos registros.
4. A efectos del seguimiento de la protección de datos, lo que incluye la comprobación de la admisibilidad de una consulta y de la legalidad del tratamiento de datos, los responsables del tratamiento de datos tendrán acceso a los registros para el autocontrol a que se refiere el artículo 55.
Procedimientos de notificación en los que resulte técnicamente imposible utilizar el enrutador
1. Cuando debido a un fallo del enrutador resulte técnicamente imposible utilizarlo para consultar una o varias de las bases de datos nacionales o los datos de Europol, eu-LISA lo notificará a los usuarios del enrutador a los que se refiere el artículo 36 de manera automatizada. eu-LISA adoptará sin demora las medidas apropiadas para subsanar la imposibilidad técnica de utilizar el enrutador.
2. Cuando por un fallo de la infraestructura nacional de un Estado miembro resulte técnicamente imposible utilizar el enrutador para consultar una o varias de las bases de datos nacionales, dicho Estado miembro lo notificará a los demás Estados miembros, a la Comisión, a eu-LISA y a Europol de manera automatizada. El Estado miembro afectado adoptará sin demora las medidas apropiadas para subsanar la imposibilidad técnica de utilizar el enrutador.
3. Cuando por un fallo de la infraestructura de Europol resulte técnicamente imposible utilizar el enrutador para consultar los datos de Europol, Europol lo notificará a los Estados miembros, a la Comisión y a eu-LISA de manera automatizada. Europol adoptará sin demora las medidas apropiadas para subsanar la imposibilidad técnica de utilizar el enrutador.
EPRIS
EPRIS
1. Se crea el Sistema Europeo de Índice de Antecedentes Policiales (EPRIS). Para la búsqueda automatizada en los índices de antecedentes policiales nacionales a que se refiere el artículo 26, los Estados miembros y Europol utilizarán el EPRIS.
2. El EPRIS estará compuesto por:
a) una infraestructura descentralizada en los Estados miembros que cuente, en particular, con una herramienta de búsqueda que permita consultar simultáneamente los índices de antecedentes policiales nacionales a partir de las bases de datos nacionales;
b) una infraestructura central que apoye la herramienta de búsqueda para consultar simultáneamente los índices de antecedentes policiales nacionales;
c) un canal de comunicación seguro entre la infraestructura central, los Estados miembros y Europol.
Uso del EPRIS
1. A efectos de la búsqueda en los índices de antecedentes policiales nacionales a través del EPRIS, se utilizarán al menos dos de los conjuntos de datos siguientes:
a) nombres;
b) apellidos;
c) fecha de nacimiento.
2. Cuando se disponga de ellos, también podrán utilizarse los conjuntos de datos siguientes:
a) alias, así como nombres o apellidos utilizados con anterioridad;
b) nacionalidad o nacionalidades;
c) país de nacimiento;
d) sexo.
3. Los datos mencionados en el apartado 1, letras a) y b), y en el apartado 2, letra a), se seudonimizarán.
Procesos
1. Cuando un Estados miembro o Europol solicite una consulta, presentará los datos a que se refiere el artículo 43.
El EPRIS enviará la solicitud de consulta a los índices de antecedentes policiales nacionales de los Estados miembros con los datos presentados por el Estado miembro requirente o Europol y de conformidad con el presente Reglamento.
2. Al recibir una solicitud de consulta del EPRIS, cada Estado miembro requerido iniciará una consulta de su índice nacional de antecedentes policiales de manera automatizada y sin demora.
3. Cualquier coincidencia resultante de las consultas a que se refiere el apartado 1 en los índices de antecedentes policiales de cada Estado miembro requerido se enviará de manera automatizada al EPRIS.
4. El EPRIS enviará la lista de coincidencias al Estado miembro requirente y a Europol de manera automatizada. La lista de coincidencias indicará la calidad de la coincidencia, y el Estado miembro o los Estados miembros cuyos índices de antecedentes policiales contengan los datos que hayan dado lugar a la coincidencia o las coincidencias.
5. Una vez recibida la lista de coincidencias, el Estado miembro requirente decidirá qué coincidencias requieren un seguimiento y enviará una solicitud de seguimiento motivada que contenga los datos mencionados en los artículos 25 y 27, y toda información adicional pertinente, al Estado o Estados miembros requeridos a través de SIENA. El Estado o Estados miembros requeridos tramitarán sin demora esas solicitudes a fin de decidir si comparten los datos conservados en sus bases de datos.
6. La Comisión adoptará actos de ejecución que especifiquen el procedimiento técnico por el que el EPRIS consultará los índices de antecedentes policiales de los Estados miembros, el formato de las respuestas y el número máximo de respuestas. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 77, apartado 2.
Conservación de registros
1. Cada Estado miembro participante y Europol llevará un registro de todas las operaciones de tratamiento de datos efectuadas en el EPRIS. Dichos registros incluirán los datos siguientes:
a) si fue un Estado miembro el que inició la solicitud de consulta, o Europol; en el caso de que fuera un Estado miembro el que inició la solicitud de consulta, el Estado miembro en cuestión;
b) la fecha y la hora de la solicitud;
c) la fecha y la hora de la respuesta;
d) las bases de datos nacionales a las que se haya enviado una solicitud de consulta;
e) las bases de datos nacionales que hayan proporcionado una respuesta.
2. Cada Estado miembro participante llevará un registro de las solicitudes de consulta que realice el personal de sus autoridades policiales competentes debidamente autorizado para utilizar el EPRIS. Europol llevará un registro de las solicitudes de consulta que realice su personal debidamente autorizado.
3. Los registros a que se refieren los apartados 1 y 2 únicamente podrán utilizarse para la recogida de estadísticas, para el seguimiento de la protección de datos, lo que incluye la comprobación del cumplimiento de los requisitos de la consulta y de la legalidad del tratamiento de datos, y para la garantía de la seguridad y la integridad de los datos. Dichos registros estarán protegidos por medidas adecuadas contra el acceso no autorizado y serán suprimidos tres años después de su creación. No obstante, en caso de que sean necesarios para procedimientos de seguimiento que ya hayan dado comienzo, se suprimirán una vez que los procedimientos de seguimiento ya no exijan dichos registros.
4. A efectos del seguimiento de la protección de datos, lo que incluye la comprobación de la admisibilidad de una consulta y de la legalidad del tratamiento de datos, los responsables del tratamiento de datos tendrán acceso a los registros para el autocontrol al que se refiere el artículo 55.
Procedimientos de notificación en los que resulte técnicamente imposible utilizar el EPRIS
1. Cuando por un fallo de la infraestructura de Europol resulte técnicamente imposible utilizar el EPRIS para consultar uno o varios de los índices de antecedentes policiales nacionales, Europol lo notificará a los Estados miembros de manera automatizada. Europol adoptará sin demora las medidas necesarias para subsanar la imposibilidad técnica de utilizar el EPRIS.
2. Cuando por un fallo de la infraestructura nacional de un Estado miembro resulte técnicamente imposible utilizar el EPRIS para consultar uno o varios de los índices de antecedentes policiales nacionales, ese Estado miembro lo notificará a los demás Estados miembros, a la Comisión y a Europol de manera automatizada. Los Estados miembros adoptarán sin demora las medidas necesarias para subsanar la imposibilidad técnica de utilizar el EPRIS.
Intercambio de datos básicos
1. Se enviará un conjunto de datos básicos a través del enrutador en un plazo de cuarenta y ocho horas desde que se cumplan todas las condiciones siguientes:
a) |
los procedimientos a que se refieren los artículos 6, 11 o 20 hayan arrojado una coincidencia entre los datos utilizados para la búsqueda y los datos conservados en la base de datos del Estado o Estados miembros requeridos; |
b) |
la coincidencia a que se refiere la letra a) del presente apartado haya sido confirmada manualmente por un miembro cualificado del personal del Estado miembro requirente tal como se menciona en el artículo 6, apartado 6, el artículo 11, apartado 2, y el artículo 20, apartado 2, o, en el caso de los perfiles de ADN a que se refiere el artículo 6, apartado 7, por el Estado miembro requerido; |
c) |
el Estado miembro requirente o, en el caso de los perfiles de ADN a que se refiere el artículo 6, apartado 7, el Estado miembro requerido, haya transmitido una descripción de los hechos y una indicación del delito subyacente utilizando el cuadro común de categorías de delitos establecido en un acto de ejecución que se adopte de conformidad con el artículo 11 ter, apartado 1, letra a), de la Decisión Marco 2009/315/JAI con el fin de evaluar la proporcionalidad de la solicitud, incluida la gravedad del delito para el que se ha realizado una búsqueda, con arreglo al Derecho nacional del Estado miembro que proporcione el conjunto de datos básicos. |
2. Cuando, en virtud del Derecho nacional, un Estado miembro únicamente pueda proporcionar un determinado conjunto de datos básicos previa autorización judicial, ese Estado miembro podrá no ajustarse al plazo establecido en el apartado 1 en la medida en que sea necesario para obtener dicha autorización.
3. El conjunto de datos básicos a que se refiere el apartado 1 del presente artículo será enviado por el Estado miembro requerido o, en el caso de los perfiles de ADN a que se refiere el artículo 6, apartado 7, por el Estado miembro requirente.
4. Cuando la coincidencia confirmada se refiera a los datos identificados de una persona, el conjunto de datos básicos a que se refiere el apartado 1 contendrá, en la medida en que estén disponibles, los datos siguientes:
a) nombre o nombres;
b) apellido o apellidos;
c) alias, así como nombres o apellidos utilizados con anterioridad;
d) fecha de nacimiento;
e) nacionalidad o nacionalidades;
f) lugar y país de nacimiento;
g) sexo;
h) fecha y lugar en los que se obtuvieron los datos biométricos;
i) infracción penal en relación con la cual se obtuvieron los datos biométricos;
j) número de la causa penal;
k) autoridad competente responsable de la causa penal.
5. Cuando la coincidencia confirmada se refiera a vestigios o datos no identificados, el conjunto de datos básicos a que se refiere el apartado 1 contendrá, en la medida en que estén disponibles, los datos siguientes:
a) fecha y lugar en los que se obtuvieron los datos biométricos;
b) infracción penal en relación con la cual se obtuvieron los datos biométricos;
c) número de la causa penal;
d) autoridad competente responsable de la causa penal.
6. El envío del conjunto de datos básicos por parte del Estado miembro requerido, o, en el caso de los perfiles de ADN, a que se refiere el artículo 6, apartado 7, por parte del Estado miembro requirente, estará supeditado a la decisión de un ser humano.
Acceso de los Estados miembros a datos biométricos proporcionados por terceros países y conservados por Europol
1. De conformidad con el Reglamento (UE) 2016/794, los Estados miembros tendrán acceso a los datos biométricos proporcionados a Europol por terceros países a los efectos del artículo 18, apartado 2, letras a), b) y c), del Reglamento (UE) 2016/794, y podrán consultarlos a través del enrutador.
2. Cuando una búsqueda a que se refiere el apartado 1 dé lugar a una coincidencia entre los datos utilizados para la búsqueda y los datos proporcionados por terceros países y conservados por Europol, el seguimiento se llevará a cabo de conformidad con el Reglamento (UE) 2016/794.
Acceso de Europol a los datos conservados en las bases de datos de los Estados miembros utilizando datos proporcionados por terceros países
1. Cuando sea necesario para lograr los objetivos establecidos en el artículo 3 del Reglamento (UE) 2016/794, Europol tendrá acceso, de conformidad con dicho Reglamento y con el presente Reglamento, a los datos conservados por los Estados miembros en sus bases de datos nacionales y en sus índices de antecedentes policiales nacionales.
2. Las consultas de Europol realizadas con datos biométricos como criterio de búsqueda se efectuarán utilizando el enrutador.
3. Las consultas de Europol realizadas con datos de matriculación de vehículos como criterio de búsqueda se efectuarán a cabo utilizando Eucaris.
4. Las consultas de Europol realizadas con los datos biográficos de sospechosos y personas condenadas a que se refiere el artículo 25 como criterio de búsqueda se efectuarán utilizando el EPRIS.
5. Europol realizará las búsquedas con datos proporcionados por terceros países de conformidad con los apartados 1 a 4 del presente artículo únicamente cuando sea necesario para desempeñar sus funciones a efectos del artículo 18, apartado 2, letras a) y c), del Reglamento (UE) 2016/794.
6. Cuando los procedimientos a que se refieren los artículos 6, 11 o 20 arrojen una coincidencia entre los datos utilizados para la búsqueda y los datos conservados en la base de datos nacional del Estado o Estados miembros requeridos, Europol únicamente informará al Estado o Estados miembros afectados.
El Estado miembro requerido decidirá si envía un conjunto de datos básicos a través del enrutador en un plazo de cuarenta y ocho horas desde que se cumplan todas las condiciones siguientes:
a) un miembro cualificado del personal de Europol haya confirmado manualmente una coincidencia a que se refiere el párrafo primero;
b) Europol haya transmitido una descripción de los hechos y una indicación del delito subyacente utilizando el cuadro común de categorías de delitos mencionado en un acto de ejecución que se adopte de conformidad con el artículo 11 ter, apartado 1, letra a), de la Decisión Marco 2009/315/JAI con el fin de evaluar la proporcionalidad de la solicitud, en particular la gravedad del delito para el que se ha realizado una búsqueda, con arreglo al Derecho nacional del Estado miembro que proporcione el conjunto de datos básicos;
c) se haya transmitido el nombre del tercer país que ha proporcionado los datos.
Cuando, en virtud del Derecho nacional, un Estado miembro únicamente pueda proporcionar un determinado conjunto de datos básicos previa autorización judicial, ese Estado miembro podrá no ajustarse al plazo establecido en el párrafo segundo en la medida en que sea necesario para obtener dicha autorización.
Cuando la coincidencia confirmada se refiera a los datos identificados de una persona, el conjunto de datos básicos a que se refiere el párrafo segundo contendrá, en la medida en que estén disponibles, los siguientes datos:
a) nombre o nombres;
b) apellido o apellidos;
c) alias, así como nombres o apellidos utilizados con anterioridad;
d) fecha de nacimiento;
e) nacionalidad o nacionalidades;
f) lugar y país de nacimiento;
g) sexo;
h) fecha y lugar en los que se obtuvieron los datos biométricos;
i) infracción penal en relación con la cual se obtuvieron los datos biométricos;
j) número de la causa penal;
k) autoridad competente responsable de la causa penal.
Cuando la coincidencia confirmada se refiera a vestigios o datos no identificados, el conjunto de datos básicos a que se refiere el párrafo segundo contendrá, en la medida en que estén disponibles, los datos siguientes:
a) fecha y lugar en los que se obtuvieron los datos biométricos;
b) infracción penal en relación con la cual se obtuvieron los datos biométricos;
c) número de la causa penal;
d) autoridad competente responsable de la causa penal.
El envío de datos básicos por parte del Estado miembro requerido estará supeditado a la decisión de un ser humano.
7. La utilización por Europol de la información obtenida a partir de una consulta efectuada de conformidad con el presente artículo y del intercambio de un conjunto de datos básicos de conformidad con el apartado 6 estará supeditado al consentimiento del Estado miembro en cuya base de datos se haya producido la coincidencia. Cuando el Estado miembro permita el uso de dicha información, su tratamiento por parte de Europol se regirá por el Reglamento (UE) 2016/794.
Finalidad del tratamiento de los datos
1. El tratamiento de los datos personales recibidos por un Estado miembro o por Europol se permitirá únicamente para los fines para los que se los haya proporcionado el Estado miembro que haya proporcionado los datos con arreglo al presente Reglamento. El tratamiento para otros fines se permitirá únicamente previa autorización del Estado miembro que haya proporcionado los datos.
2. El tratamiento de los datos proporcionados por un Estado miembro o por Europol con arreglo a los artículos 6, 11, 16, 20 o 26 se permitirá únicamente cuando resulte necesario a efectos de:
a) la comprobación de si los perfiles de ADN, los datos dactiloscópicos, los datos de matriculación de vehículos, las imágenes faciales o los antecedentes policiales comparados coinciden;
b) el intercambio de un conjunto de datos básicos conforme al artículo 47;
c) la preparación y presentación de una solicitud policial o judicial de asistencia jurídica, en el caso de que los datos coincidan;
d) la conservación de registros tal como establece en los artículos 18, 40 y 45.
3. Una vez obtenida la respuesta automatizada a la búsqueda, los datos recibidos por un Estado miembro o por Europol se suprimirán inmediatamente, salvo que se requiera su ulterior tratamiento para los fines a los que se refiere el apartado 2 o se autorice dicho tratamiento conforme al apartado 1.
4. Antes de conectar sus bases de datos nacionales con el enrutador o el EPRIS, los Estados miembros llevarán a cabo la evaluación de impacto relativa a la protección de datos a que se refiere el artículo 27 de la Directiva (UE) 2016/680 y, cuando proceda, consultarán a la autoridad de control establecidas en el artículo 28 de dicha Directiva. La autoridad de control podrá ejercer cualquiera de las facultades que posee en virtud del artículo 47 de dicha Directiva de conformidad con su artículo 28, apartado 5.
Exactitud, pertinencia y conservación de datos
1. Los Estados miembros y Europol garantizarán la exactitud y pertinencia de los datos personales tratados con arreglo al presente Reglamento. Cuando un Estado miembro o Europol constate que se han proporcionado datos que son inexactos, no están actualizados o no deberían haberse proporcionado, lo comunicará sin demora indebida al Estado miembro que recibió los datos o a Europol. Todos los Estados miembros afectados, o Europol, rectificarán o suprimirán esos datos, según corresponda, sin demora indebida. Cuando el Estado miembro que haya recibido los datos, o Europol, tenga motivos para creer que los datos proporcionados son inexactos o deben suprimirse, informará de ello sin demora indebida al Estado miembro que proporcionó los datos.
2. Los Estados miembros y Europol adoptarán las medidas adecuadas para actualizar los datos que resulten pertinentes a efectos del presente Reglamento.
3. Cuando un interesado impugne la exactitud de los datos en poder de un Estado miembro o de Europol, o cuando el Estado miembro de que se trate o Europol no pueda garantizar la exactitud, se marcarán los datos en cuestión si así lo exige el interesado. Cuando se produzca tal marcado, los Estados miembros o Europol únicamente podrán eliminarlo con el consentimiento del interesado o sobre la base de una resolución del órgano jurisdiccional competente, de la autoridad de control o del Supervisor Europeo de Protección de Datos, según proceda.
4. Se suprimirán los datos que no hubieran debido proporcionarse o recibirse. Los datos lícitamente proporcionados y recibidos se suprimirán:
a) cuando no sean necesarios o hayan dejado de ser necesarios para el fin para el que se proporcionaron;
b) una vez transcurrido el plazo máximo de conservación de los datos previsto en el Derecho nacional del Estado miembro que proporcionó los datos, siempre y cuando este haya informado de dicho plazo máximo al Estado miembro que recibió los datos o a Europol en el momento de proporcionar los datos, o
c) una vez transcurrido el plazo máximo de conservación de los datos previsto en el Reglamento (UE) 2016/794.
Cuando existan motivos para creer que la supresión podría perjudicar los intereses del interesado, en lugar de la supresión de dichos datos, se restringirá su tratamiento. Cuando se haya restringido el tratamiento de datos, se tratarán únicamente para el fin por el que se decidió no suprimirlos.
Encargado del tratamiento
1. eu-LISA será la encargada del tratamiento en el sentido del artículo 3, punto 12, del Reglamento (UE) 2018/1725 para el tratamiento de datos personales a través del enrutador.
2. Europol será la encargada del tratamiento en el sentido del artículo 3, punto 12, del Reglamento (UE) 2018/1725 para el tratamiento de datos personales a través del EPRIS.
Seguridad del tratamiento
1. Las autoridades competentes de los Estados miembros, eu-LISA y Europol garantizarán la seguridad del tratamiento de los datos personales en virtud del presente Reglamento. Las autoridades competentes de los Estados miembros, eu-LISA y Europol cooperarán en las tareas relacionadas con la seguridad.
2. Sin perjuicio del artículo 33 del Reglamento (UE) 2018/1725 y del artículo 32 del Reglamento (UE) 2016/794, eu-LISA y Europol adoptarán las medidas necesarias para garantizar la seguridad del enrutador y del EPRIS, respectivamente, y de su infraestructura de comunicación conexa.
3. eu-LISA adoptará las medidas necesarias con respecto al enrutador y Europol adoptará las medidas necesarias con respecto al EPRIS, a fin de:
a) proteger los datos físicamente, entre otras cosas mediante la elaboración de planes de emergencia para la protección de las infraestructuras críticas;
b) denegar a toda persona no autorizada el acceso a los equipos e instalaciones de tratamiento de datos;
c) impedir la lectura, copia, modificación o retirada no autorizadas de los soportes de datos;
d) impedir la introducción no autorizada de datos y la inspección, modificación o supresión no autorizadas de datos personales registrados;
e) impedir el tratamiento no autorizado de datos y la copia, modificación o eliminación no autorizadas de datos;
f) impedir que los sistemas de tratamiento automatizado de datos sean utilizados por personas no autorizadas mediante equipos de comunicación de datos;
g) garantizar, exclusivamente mediante identidades de usuario individuales y modos de acceso confidenciales, que las personas autorizadas a acceder al enrutador o al EPRIS, según proceda, tengan únicamente acceso a los datos a que se refiere su autorización de acceso;
h) garantizar la posibilidad de verificar y determinar a qué organismos pueden proporcionarse datos personales mediante equipos de comunicación de datos;
i) garantizar la posibilidad de verificar y determinar qué datos han sido tratados en el enrutador o el EPRIS, según proceda, y en qué momento, por quién y con qué fin han sido tratados;
j) impedir la lectura, copia, modificación o supresión no autorizadas de datos personales durante la transmisión de estos datos hacia o desde el enrutador o el EPRIS, según proceda, o durante el transporte de soportes de datos, en particular mediante técnicas adecuadas de cifrado;
k) garantizar que, en caso de interrupción, los sistemas instalados puedan volver a funcionar normalmente;
l) garantizar la fiabilidad asegurando que se informe adecuadamente de cualquier error de funcionamiento del enrutador o del EPRIS, según proceda;
m) controlar la eficacia de las medidas de seguridad mencionadas en el presente apartado y adoptar las medidas de organización del control interno necesarias para garantizar el cumplimiento del presente Reglamento y evaluar dichas medidas de seguridad en vista de los últimos avances tecnológicos.
Las medidas necesarias a que se refiere el primer párrafo incluirán un plan de seguridad, un plan de continuidad de las actividades y un plan de recuperación en caso de catástrofe.
Incidentes de seguridad
1. Cualquier acontecimiento que repercuta o pueda repercutir en la seguridad del enrutador o el EPRIS y pueda causar daños a los datos conservados en el enrutador o el EPRIS o la pérdida de dichos datos se considerará un incidente de seguridad, especialmente cuando pueda haber tenido lugar un acceso no autorizado a los datos o cuando la disponibilidad, integridad y confidencialidad de los datos haya sido o pueda haber sido comprometida.
2. En caso de que se produzca un incidente de seguridad en relación con el enrutador, eu-LISA y los Estados miembros afectados o, según proceda, Europol cooperarán entre sí para garantizar una respuesta rápida, eficaz y adecuada.
3. En caso de que se produzca un incidente de seguridad en relación con el EPRIS, los Estados miembros afectados y Europol cooperarán entre sí para garantizar una respuesta rápida, eficaz y adecuada.
4. Los Estados miembros notificarán sin demora injustificada a sus autoridades competentes cualquier incidente de seguridad.
Sin perjuicio de lo dispuesto en el artículo 92 del Reglamento (UE) 2018/1725, en caso de que se produzca un incidente de seguridad en relación con la infraestructura central del enrutador, eu-LISA notificará al Servicio de Ciberseguridad de las instituciones, órganos y organismos de la Unión (CERT-EU, por sus siglas en inglés) cualesquiera amenazas cibernéticas o vulnerabilidades o incidentes significativos sin demora injustificada y, en cualquier caso, a más tardar 24 horas después de haber tenido conocimiento de ellos. Se comunicarán al CERT-EU sin demora injustificada los detalles técnicos adecuados y viables de las ciberamenazas, vulnerabilidades e incidentes que permitan la detección proactiva, la respuesta a incidentes o la adopción de medidas de mitigación.
Sin perjuicio de lo dispuesto en el artículo 34 del Reglamento (UE) 2016/794 y en el artículo 92 del Reglamento (UE) 2018/1725, en caso de que se produzca un incidente de seguridad en relación con la infraestructura central del EPRIS, Europol notificará al CERT-EU cualesquiera amenazas cibernéticas o vulnerabilidades o incidentes significativos sin demora injustificada y, en cualquier caso, a más tardar 24 horas después de haber tenido conocimiento de ellos. Se comunicarán al CERT-EU sin demora injustificada los detalles técnicos adecuados y viables de las ciberamenazas, vulnerabilidades e incidentes que permitan la detección proactiva, la respuesta a incidentes o la adopción de medidas de mitigación.
5. Los Estados miembros y las agencias de la Unión interesados proporcionarán sin demora a los demás Estados miembros y a Europol la información concerniente a un incidente de seguridad que repercuta o pueda repercutir en el funcionamiento del enrutador o en la disponibilidad, integridad y confidencialidad de los datos, y se notificará en cumplimiento del plan de gestión de incidentes que elabore eu-LISA.
6. Los Estados miembros y las agencias de la Unión interesados proporcionarán sin demora a los demás Estados miembros la información concerniente a un incidente de seguridad que repercuta o pueda repercutir en el funcionamiento del EPRIS o en la disponibilidad, integridad y confidencialidad de los datos, y se notificará en cumplimiento del plan de gestión de incidentes que elabore Europol.
Autocontrol
1. Los Estados miembros garantizarán que toda autoridad facultada para utilizar el marco Prüm II adopte las medidas necesarias para controlar su cumplimiento del presente Reglamento y coopere, en caso necesario, con la autoridad de control. Europol adoptará las medidas necesarias para controlar su cumplimiento del presente Reglamento y cooperará, en caso necesario, con el Supervisor Europeo de Protección de Datos.
2. Los responsables del tratamiento de datos aplicarán las medidas necesarias para realizar de modo efectivo el seguimiento de la conformidad del tratamiento de datos con el presente Reglamento, incluido mediante la verificación frecuente de los registros a que se refieren los artículos 18, 40 y 45. Cooperarán, cuando proceda y sea necesario, con las autoridades de control o con el Supervisor Europeo de Protección de Datos.
Sanciones
Los Estados miembros garantizarán que cualquier uso indebido de datos, tratamiento de datos o intercambio de datos contrario a lo dispuesto en el presente Reglamento sean sancionables con arreglo al Derecho nacional. Las sanciones así establecidas serán efectivas, proporcionadas y disuasorias.
Responsabilidad
Si el incumplimiento por un Estado miembro o, al efectuar consultas de conformidad con el artículo 49, por Europol de las obligaciones que le impone el presente Reglamento causa un perjuicio al enrutador o al EPRIS, dicho Estado miembro o Europol será considerado responsable de dicho perjuicio, a no ser que eu-LISA, Europol u otro Estado miembro sujeto al presente Reglamento no hayan adoptado las medidas adecuadas para impedir que se produjera el perjuicio o para atenuar sus efectos.
Auditoría a cargo del Supervisor Europeo de Protección de Datos
1. El Supervisor Europeo de Protección de Datos garantizará que, al menos cada cuatro años, se lleve a cabo una auditoría de las operaciones de tratamiento de datos personales realizadas por eu-LISA y Europol a efectos del presente Reglamento con arreglo a las normas internacionales de auditoría pertinentes. Se enviará un informe de dicha auditoría al Parlamento Europeo, al Consejo, a la Comisión, a los Estados miembros y a la agencia de la Unión interesada. Deberá darse a eu-LISA y a Europol la oportunidad de formular comentarios antes de que se aprueben los informes.
2. eu-LISA y Europol proporcionarán al Supervisor Europeo de Protección de Datos la información que les solicite, le otorgarán acceso a todos los documentos que pida y a los registros contemplados en los artículos 40 y 45, y le permitirán acceder a sus locales en todo momento. El presente apartado se entenderá sin perjuicio de las facultades del Supervisor Europeo de Protección de Datos en virtud del artículo 58 del Reglamento (UE) 2018/1725 y, por lo que se refiere a Europol, en virtud del artículo 43, apartado 3, del Reglamento (UE) 2016/794.
Cooperación entre las autoridades de control y el Supervisor Europeo de Protección de Datos
1. Las autoridades de control y el Supervisor Europeo de Protección de Datos, cada uno dentro del ámbito de sus competencias respectivas, cooperarán activamente en el marco de sus responsabilidades respectivas para garantizar una supervisión coordinada de la aplicación del presente Reglamento, en particular si el Supervisor Europeo de Protección de Datos o una autoridad de control detectan discrepancias importantes entre las prácticas de los Estados miembros o detecten transferencias potencialmente ilegales utilizando los canales de comunicación del marco Prüm II.
2. En los casos contemplados en el apartado 1 del presente artículo, se establecerá un control coordinado de conformidad con el artículo 62 del Reglamento (UE) 2018/1725.
3. Dos años después de ponerse en funcionamiento el enrutador y el EPRIS, y posteriormente cada dos años, el Comité Europeo de Protección de Datos remitirá un informe de las actividades que realice en virtud del presente artículo al Parlamento Europeo, el Consejo, la Comisión, eu-LISA y Europol. Dicho informe incluirá un capítulo sobre cada Estado miembro, redactado por la autoridad de control del Estado miembro de que se trate.
Transferencia de datos personales a terceros países y organizaciones internacionales
Un Estado miembro únicamente transferirá datos personales obtenidos en virtud del presente Reglamento a un tercer país o a una organización internacional de conformidad con el capítulo V de la Directiva (UE) 2016/680 y a condición de que el Estado miembro requerido haya otorgado su autorización antes de la transferencia.
Europol únicamente transferirá datos personales obtenidos en virtud del presente Reglamento a un tercer país o a una organización internacional cuando se cumplan las condiciones establecidas en el artículo 25 del Reglamento (UE) 2016/794 y cuando el Estado miembro requerido haya otorgado su autorización antes de la transferencia.
Relación con otros actos jurídicos en materia de protección de datos
Todo tratamiento de datos personales a efectos del presente Reglamento se llevará a cabo de conformidad con el presente capítulo y con la Directiva (UE) 2016/680 o el Reglamento (UE) 2018/1725, (UE) 2016/794 o (UE) 2016/679, según proceda.
Responsabilidad de diligencia debida
Los Estados miembros y Europol ejercerán la diligencia debida cuando examinen si el intercambio automatizado de datos corresponde al objetivo del marco Prüm II, tal como se establece en el artículo 2, y si cumple las condiciones establecidas en el mismo, en particular con respecto a los derechos fundamentales.
Formación
Se proporcionarán al personal autorizado de las autoridades competentes de los Estados miembros, de las autoridades de control y de Europol, según proceda, los recursos y la formación adecuados, en particular en materia de protección de datos y revisión precisa de las coincidencias, para desempeñar las funciones previstas en el presente Reglamento.
Responsabilidades de los Estados miembros
1. Cada Estado miembro será responsable de:
a) la conexión a la infraestructura del enrutador;
b) la integración de sus sistemas e infraestructuras nacionales existentes con el enrutador;
c) la organización, la gestión, el funcionamiento y el mantenimiento de su infraestructura nacional existente y su conexión al enrutador;
d) la conexión a la infraestructura del EPRIS;
e) la integración de sus sistemas e infraestructuras nacionales existentes con el EPRIS;
f) la organización, la gestión, el funcionamiento y el mantenimiento de su infraestructura nacional existente y su conexión con el EPRIS;
g) la gestión y las modalidades de acceso del personal debidamente autorizado de las autoridades competentes al enrutador, de conformidad con el presente Reglamento, y el establecimiento y la actualización periódica de la lista de este personal y sus perfiles;
h) la gestión y las modalidades de acceso del personal debidamente autorizado de las autoridades competentes al EPRIS, de conformidad con el presente Reglamento, y el establecimiento y la actualización periódica de la lista de este personal y sus perfiles;
i) la gestión y las modalidades de acceso del personal debidamente autorizado de las autoridades competentes a Eucaris, de conformidad con el presente Reglamento, y el establecimiento y la actualización periódica de la lista de este personal y sus perfiles;
j) la confirmación manual por personal cualificado de una coincidencia a que se refieren el artículo 6, apartados 6 y 7, el artículo 11, apartado 2, y el artículo 20, apartado 2;
k) el aseguramiento de la disponibilidad de los datos necesarios para el intercambio de datos de conformidad con los artículos 5, 10, 16, 19 y 25;
l) el intercambio de información de conformidad con los artículos 6, 11, 16, 20 y 26;
m) la corrección, la actualización o la supresión de cualquier dato recibido de un Estado miembro requerido dentro de las cuarenta y ocho horas desde la notificación de este Estado miembro requerido de que los datos presentados eran incorrectos, ya no están actualizados o habían sido transmitidos ilegalmente;
n) el cumplimiento de los requisitos de calidad de los datos establecidos en el presente Reglamento.
2. Cada Estado miembro serán responsable de que sus autoridades competentes estén conectadas al enrutador, al EPRIS y a Eucaris.
Responsabilidades de Europol
1. Europol será responsable de la gestión y las modalidades de acceso de su personal debidamente autorizado al enrutador, al EPRIS y a Eucaris de conformidad con el presente Reglamento.
2. Europol será responsable del tratamiento de las consultas de datos de Europol por parte del enrutador. Europol adaptará sus sistemas de información en consecuencia.
3. Europol será responsable de cualquier adaptación técnica en la infraestructura de Europol necesaria para establecer la conexión al enrutador y a Eucaris.
4. Sin perjuicio de las búsquedas de Europol con arreglo al artículo 49, Europol no tendrá acceso a ninguno de los datos personales tratados a través del EPRIS.
5. Europol será responsable del desarrollo del EPRIS en cooperación con los Estados miembros. El EPRIS ofrecerá las funciones establecidas en los artículos 42 a 46.
Europol será responsable de la gestión técnica del EPRIS. La gestión técnica del EPRIS consistirá en todas las tareas y las soluciones técnicas necesarias para mantener su infraestructura central en funcionamiento y prestar un servicio ininterrumpido a los Estados miembros todos los días del año durante las 24 horas del día, de conformidad con el presente Reglamento. Incluirá las labores de mantenimiento y los desarrollos técnicos necesarios para garantizar que el EPRIS funcione con una calidad técnica de un nivel satisfactorio, en particular en lo que se refiere al tiempo de respuesta para la consulta de las bases de datos nacionales, de acuerdo con las especificaciones técnicas.
6. Europol se encargará de impartir formación sobre el uso técnico del EPRIS.
7. Europol será responsable de los procedimientos establecidos en los artículos 48 y 49.
Responsabilidades de eu-LISA durante la fase de diseño y desarrollo del enrutador
1. eu-LISA garantizará que la infraestructura central del enrutador funcione de conformidad con el presente Reglamento.
2. El enrutador estará alojado por eu-LISA en sus sitios técnicos y ofrecerá las funciones establecidas en el presente Reglamento de acuerdo con las condiciones de seguridad, disponibilidad, calidad y rendimiento a que se refiere el artículo 67, apartado 1.
3. eu-LISA será responsable del desarrollo del enrutador y de las adaptaciones técnicas necesarias para su funcionamiento.
4. eu-LISA no tendrá acceso a ninguno de los datos personales tratados a través del enrutador.
5. eu-LISA determinará el diseño de la arquitectura física del enrutador, incluidas sus infraestructuras de comunicación seguras y las especificaciones técnicas, así como su evolución en lo que respecta a la infraestructura central y la infraestructura de comunicación segura. El Consejo de Administración de eu-LISA aprobará el diseño, previo dictamen favorable de la Comisión. eu-LISA también llevará a cabo las adaptaciones necesarias de los componentes de interoperabilidad que se deriven del establecimiento del enrutador conforme a lo dispuesto en el presente Reglamento.
6. eu-LISA desarrollará y pondrá en marcha el enrutador lo antes posible tras la adopción por la Comisión de las medidas previstas en el artículo 37, apartado 6. Dicho desarrollo consistirá en la elaboración y aplicación de las especificaciones técnicas, la realización de pruebas y la gestión y coordinación globales del proyecto.
7. Durante la fase de diseño y desarrollo, el Consejo de Administración del Programa a que se refieren el artículo 54 del Reglamento (UE) 2019/817 y el artículo 54 del Reglamento (UE) 2019/818 se reunirá periódicamente. Una de sus misiones será garantizar la correcta gestión de la fase de diseño y desarrollo del enrutador.
El Consejo de Administración del Programa presentará mensualmente al Consejo de Administración de eu-LISA informes escritos sobre los avances del proyecto. El Consejo de Administración del Programa no tendrá competencia para adoptar decisiones, ni mandato alguno para representar a los miembros del Consejo de Administración de eu-LISA.
El grupo consultivo de interoperabilidad a que se refiere el artículo 78 se reunirá periódicamente hasta que el enrutador entre en funcionamiento. Presentará un informe al Consejo de Administración del Programa después de cada una de sus reuniones. Dicho grupo aportará los conocimientos técnicos necesarios para apoyar al Consejo de Administración del Programa en sus tareas y realizará un seguimiento del estado de preparación de los Estados miembros.
Responsabilidades de eu-LISA tras la entrada en funcionamiento del enrutador
1. Tras la entrada en funcionamiento del enrutador, eu-LISA será responsable de la gestión técnica de la infraestructura central del enrutador, incluidos su mantenimiento y avances tecnológicos. En cooperación con los Estados miembros, garantizará que se utilice la mejor tecnología disponible sobre la base de un análisis coste-beneficio. eu-LISA también será responsable de la gestión técnica de la infraestructura de comunicación necesaria.
La gestión técnica del enrutador consistirá en todas las tareas y soluciones técnicas necesarias para mantenerlo en funcionamiento y prestar un servicio ininterrumpido a los Estados miembros y a Europol todos los días del año durante las 24 horas del día, de conformidad con el presente Reglamento. Incluirá las labores de mantenimiento y los desarrollos técnicos necesarios para garantizar que el enrutador funcione con una calidad técnica de un nivel satisfactorio, en particular en lo que se refiere a la disponibilidad y el tiempo de respuesta para la consulta de las bases de datos nacionales y los datos de Europol, de acuerdo con las especificaciones técnicas.
El enrutador se desarrollará y gestionará de manera que se garantice un acceso rápido, eficiente y controlado, una disponibilidad plena e ininterrumpida y un tiempo de respuesta acorde con las necesidades operativas de las autoridades competentes de los Estados miembros y Europol.
2. Sin perjuicio de lo dispuesto en el artículo 17 del Estatuto de los funcionarios de la Unión Europea, establecido por el Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo (18), eu-LISA aplicará, a todo miembro de su personal que deba trabajar con datos conservados en el enrutador, normas adecuadas sobre secreto profesional u otras obligaciones equivalentes de confidencialidad. Esa obligación seguirá siendo aplicable después de que dichos miembros del personal hayan cesado en el cargo o el empleo, o tras la terminación de sus actividades.
eu-LISA no tendrá acceso a ninguno de los datos personales tratados a través del enrutador.
3. eu-LISA desempeñará las funciones relativas a la formación sobre la utilización técnica del enrutador.
Modificaciones de las Decisiones 2008/615/JAI y 2008/616/JAI
1. En la Decisión 2008/615/JAI, el artículo 1, letra a), los artículos 2 a 6 y el capítulo 2, secciones 2 y 3, se sustituyen por lo que respecta a los Estados miembros vinculados por el presente Reglamento a partir de la fecha de aplicación de las disposiciones del presente Reglamento relativas al enrutador que figuran en el artículo 75, apartado 1. Por consiguiente, el artículo 1, letra a), los artículos 2 a 6 y el capítulo 2, secciones 2 y 3, de la Decisión 2008/615/JAI se suprimen a partir de la fecha de aplicación de las disposiciones del presente Reglamento relativas al enrutador establecidas en el artículo 75, apartado 1.
2. En la Decisión 2008/616/JAI, los capítulos 2 a 5 y los artículos 18, 20 y 21 se sustituyen por lo que respecta a los Estados miembros vinculados por el presente Reglamento a partir de la fecha de aplicación de las disposiciones del presente Reglamento relativas al enrutador establecidas en el artículo 75, apartado 1. Por consiguiente, los capítulos 2 a 5 y los artículos 18, 20 y 21 de la Decisión 2008/616/JAI se suprimen a partir de la fecha de aplicación de las disposiciones del presente Reglamento relativas al enrutador establecidas en el artículo 75, apartado 1.
Modificaciones del Reglamento (UE) 2018/1726
El Reglamento (UE) 2018/1726 se modifica como sigue:
1) Se inserta el artículo siguiente:
«Artículo 8 quinquies
Funciones relacionadas con el enrutador Prüm II
En relación con el enrutador Prüm II, la Agencia desempeñará las funciones relacionadas con el enrutador que le confiere el Reglamento (UE) 2024/982 del Parlamento Europeo y del Consejo (*1).
(*1) Reglamento (UE) 2024/982 del Parlamento Europeo y del Consejo, de 13 de marzo de 2024, relativo a la búsqueda y al intercambio automatizados de datos para la cooperación policial, y por el que se modifican las Decisiones 2008/615/JAI y 2008/616/JAI del Consejo y los Reglamentos (UE) 2018/1726, (UE) 2019/817 y (UE) 2019/818 del Parlamento Europeo y del Consejo (Reglamento Prüm II) (DO L, 2024/982, 5.4.2024, ELI: http://data.europa.eu/eli/reg/2024/982/oj).»."
2) El artículo 17, apartado 3, párrafo segundo, se sustituye por el texto siguiente:
«Las funciones relacionadas con el desarrollo y la gestión operativa mencionados en el artículo 1, apartados 4 y 5, en los artículos 3 a 8 y en los artículos 8 quinquies, 9 y 11 se realizarán en el emplazamiento técnico de Estrasburgo (Francia).».
3) El artículo 19, apartado 1, se modifica como sigue:
a) se inserta la letra siguiente:
«ee ter) adoptará informes sobre el estado de desarrollo del enrutador Prüm II a que se refiere el artículo 80, apartado 2, del Reglamento (UE) 2024/982;»;
b) la letra ff) se sustituye por el texto siguiente:
«ff) aprobará los informes sobre el funcionamiento técnico de:
i) el SIS II con arreglo al artículo 60, apartado 7, del Reglamento (UE) 2018/1861 del Parlamento Europeo y del Consejo (*2) y el artículo 74, apartado 8, del Reglamento (UE) 2018/1862 del Parlamento Europeo y del Consejo (*3),
ii) el VIS con arreglo al artículo 50, apartado 3, del Reglamento (CE) n.o 767/2008 y el artículo 17, apartado 3, de la Decisión 2008/633/JAI,
iii) el SES con arreglo al artículo 72, apartado 4, del Reglamento (UE) 2017/2226,
iv) el SEIAV con arreglo al artículo 92, apartado 4, del Reglamento (UE) 2018/1240,
v) el ECRIS-TCN y la aplicación de referencia ECRIS con arreglo al artículo 36, apartado 8, del Reglamento (UE) 2019/816,
vi) los componentes de interoperabilidad con arreglo al artículo 78, apartado 3, del Reglamento (UE) 2019/817 y el artículo 74, apartado 3, del Reglamento (UE) 2019/818,
vii) el sistema e-CODEX con arreglo al artículo 16, apartado 1, del Reglamento (UE) 2022/850,
viii) la plataforma de colaboración de los ECI, con arreglo al artículo 26, apartado 6, del Reglamento (UE) 2023/969,
ix) el enrutador Prüm II con arreglo al artículo 80, apartado 5, del Reglamento (UE) 2024/982;
(*2) Reglamento (UE) 2018/1861 del Parlamento Europeo y del Consejo, de 28 de noviembre de 2018, relativo al establecimiento, funcionamiento y utilización del Sistema de Información de Schengen (SIS) en el ámbito de las inspecciones fronterizas, por el que se modifica el Convenio de aplicación del Acuerdo de Schengen y se modifica y deroga el Reglamento (CE) n.o 1987/2006 (DO L 312 de 7.12.2018, p. 14)."
(*3) Reglamento (UE) 2018/1862 del Parlamento Europeo y del Consejo, de 28 de noviembre de 2018, relativo al establecimiento, funcionamiento y utilización del Sistema de Información de Schengen (SIS) en el ámbito de la cooperación policial y de la cooperación judicial en materia penal, por el que se modifica y deroga la Decisión 2007/533/JAI del Consejo, y se derogan el Reglamento (CE) n.o 1986/2006 del Parlamento Europeo y del Consejo y la Decisión 2010/261/UE de la Comisión (DO L 312 de 7.12.2018, p. 56).»;"
c) el punto hh) se sustituye por el texto siguiente:
«hh) aprobará observaciones formales sobre los informes de auditoría del Supervisor Europeo de Protección de Datos con arreglo al artículo 56, apartado 2, del Reglamento (UE) 2018/1861, el artículo 42, apartado 2, del Reglamento (CE) n.o 767/2008, el artículo 31, apartado 2, del Reglamento (UE) n.o 603/2013, el artículo 56, apartado 2, del Reglamento (UE) 2017/2226, el artículo 67 del Reglamento (UE) 2018/1240, el artículo 29, apartado 2, del Reglamento (UE) 2019/816, el artículo 52 del Reglamento (UE) 2019/817, el artículo 52 del Reglamento (UE) 2019/818, y el artículo 58, apartado 1, del Reglamento (UE) 2024/982, y garantizará el seguimiento adecuado de dichas auditorías;».
Modificaciones del Reglamento (UE) 2019/817
En el artículo 6, apartado 2, del Reglamento (UE) 2019/817, se añade la letra siguiente:
«d) una infraestructura de comunicación segura entre el PEB y el enrutador establecido por el Reglamento (UE) 2024/982 del Parlamento Europeo y del Consejo (*4).
Modificaciones del Reglamento (UE) 2019/818
El Reglamento (UE) 2019/818 se modifica como sigue:
1) En el artículo 6, apartado 2, se añade la letra siguiente:
«d) una infraestructura de comunicación segura entre el PEB y el enrutador establecido por el Reglamento (UE) 2024/982 del Parlamento Europeo y del Consejo (*5).
(*5) Reglamento (UE) 2024/982 del Parlamento Europeo y del Consejo, de 13 de marzo de 2024, relativo a la búsqueda y al intercambio automatizados de datos para la cooperación policial, y por el que se modifican las Decisiones 2008/615/JAI y 2008/616/JAI del Consejo y los Reglamentos (UE) 2018/1726, (UE) 2019/817 y (UE) 2019/818 del Parlamento Europeo y del Consejo (Reglamento Prüm II) (DO L, 2024/982, 5.4.2024, ELI: http://data.europa.eu/eli/reg/2024/982/oj).»."
2) En el artículo 39, los apartados 1 y 2 se sustituyen por el texto siguiente:
«1. Se crea un repositorio central para la presentación de informes y estadísticas (RCIE) con el fin de apoyar los objetivos del SIS, Eurodac y ECRIS-TCN, de conformidad con los respectivos instrumentos jurídicos que rigen esos sistemas, y de proporcionar datos estadísticos transversales entre sistemas e informes analíticos con fines operativos, de formulación de políticas y de calidad de los datos. El RCIE también apoyará los objetivos del Reglamento (UE) 2024/982.
2. eu-LISA establecerá, implementará y alojará en sus sitios técnicos el RCIE que contenga los datos y las estadísticas a que se hace referencia en el artículo 74 del Reglamento (UE) 2018/1862 y el artículo 32 del Reglamento (UE) 2019/816, separados de forma lógica por el sistema de información de la UE. eu-LISA también recopilará los datos y las estadísticas del enrutador a que se refiere el artículo 72, apartado 1, del Reglamento (UE) 2024/982. El acceso al RCIE se concederá por medio de un acceso seguro con un control de acceso y unos perfiles de usuario específicos, únicamente a efectos de la presentación de informes y estadísticas, a las autoridades a que se refieren el artículo 74 del Reglamento (UE) 2018/1862, el artículo 32 del Reglamento (UE) 2019/816 y el artículo 72, apartado 1, del Reglamento (UE) 2024/982.».
Presentación de informes y estadísticas
1. Cuando sea necesario, el personal debidamente autorizado de las autoridades competentes de los Estados miembros, la Comisión, eu-LISA y Europol tendrá acceso a los datos siguientes relativos al enrutador, únicamente a efectos de la presentación de informes y estadísticas:
a) el número de consultas efectuadas por Estado miembro y el número de consultas efectuadas por Europol, por categoría de datos;
b) el número de consultas de cada una de las bases conectadas;
c) el número de coincidencias con la base de datos de cada Estado miembro por categoría de datos;
d) el número de coincidencias con los datos de Europol por categoría de datos;
e) el número de coincidencias confirmadas cuando se hayan intercambiado datos básicos;
f) el número de coincidencias confirmadas cuando no se hayan intercambiado datos básicos;
g) el número de consultas al registro común de datos de identidad a través del enrutador, y
h) el número de coincidencias por tipo del modo siguiente:
i) datos identificados (persona)-datos no identificados (vestigios),
ii) datos no identificados (vestigios)-datos identificados (persona),
iii) datos no identificados (vestigios)-datos no identificados (vestigios),
iv) datos identificados (persona)-datos identificados (persona).
No será posible identificar personas físicas a partir de los datos establecidos en el párrafo primero.
2. El personal debidamente autorizado de las autoridades competentes de los Estados miembros, la Comisión y Europol tendrá acceso a los datos siguientes en relación con Eucaris, únicamente a efectos de la presentación de informes y estadísticas:
a) el número de consultas efectuadas por Estado miembro y el número de consultas efectuadas por Europol;
b) el número de consultas de cada una de las bases conectadas, y
c) el número de coincidencias con la base de datos de cada Estado miembro.
No será posible identificar personas físicas a partir de los datos establecidos en el párrafo primero.
3. El personal debidamente autorizado de las autoridades competentes de los Estados miembros, la Comisión y Europol tendrá acceso a los datos siguientes en relación con el EPRIS, únicamente a efectos de la presentación de informes y estadísticas:
a) el número de consultas efectuadas por Estado miembro y el número de consultas efectuadas por Europol;
b) el número de consultas efectuadas a cada uno de los índices conectados, y
c) el número de coincidencias con la base de datos de cada Estado miembro.
No será posible identificar individuos a partir de los datos establecidos en el párrafo primero.
4. eu-LISA conservará los datos establecidos en el apartado 1 del presente artículo en el repositorio central para la presentación de informes y estadísticas creado por el artículo 39 del Reglamento (UE) 2019/818. Europol conservará los datos establecidos en el apartado 3. Esos datos permitirán a las autoridades competentes de los Estados miembros, a la Comisión, a eu-LISA y a Europol obtener informes y estadísticas personalizables para mejorar la eficiencia de la cooperación policial.
Costes
1. Los costes derivados de la creación y el funcionamiento del enrutador y el EPRIS correrán a cargo del presupuesto general de la Unión.
2. Los costes derivados de la integración de las infraestructuras nacionales existentes y su conexión al enrutador y al EPRIS, así como los costes derivados de la creación de bases de datos nacionales de imágenes faciales e índices de antecedentes policiales nacionales para la prevención, detección e investigación de infracciones penales, correrán a cargo del presupuesto general de la Unión.
Quedarán excluidos los costes vinculados a:
a) la oficina de gestión del proyecto de los Estados miembros (reuniones, misiones, despachos);
b) el alojamiento de los sistemas informáticos nacionales (espacio, ejecución, electricidad, refrigeración);
c) el funcionamiento de los sistemas informáticos nacionales (operadores y contratos de apoyo);
d) el diseño, el desarrollo, la implantación, la explotación y el mantenimiento de las redes de comunicación nacionales.
3. Cada Estado miembro sufragará los costes que se deriven de la administración, utilización y mantenimiento de Eucaris.
4. Cada Estado miembro asumirá los costes derivados de la administración, utilización y mantenimiento de sus conexiones al enrutador y al EPRIS.
Notificaciones
1. Los Estados miembros notificarán a eu-LISA las autoridades competentes a que se refiere el artículo 36. Dichas autoridades podrán usar o tener acceso al enrutador.
2. eu-LISA notificará a la Comisión la realización satisfactoria de la prueba mencionada en el artículo 75, apartado 1, letra b).
3. Europol notificará a la Comisión la realización satisfactoria de la prueba mencionada en el artículo 75, apartado 3, letra b).
4. Cada Estado miembro notificará a los demás Estados miembros, a la Comisión, a eu-LISA y a Europol el contenido de sus bases de datos de ADN nacionales y las condiciones para las búsquedas automatizadas a las que se aplican los artículos 5 y 6.
5. Cada Estado miembro informará a los demás Estados miembros, a la Comisión, a eu-LISA y a Europol del contenido de sus bases de datos dactiloscópicos nacionales y de las condiciones para las búsquedas automatizadas a las que se aplican los artículos 10 y 11.
6. Cada Estado miembro informará a los demás Estados miembros, a la Comisión, a eu-LISA y a Europol del contenido de sus bases de datos de imágenes faciales nacionales y de las condiciones para las búsquedas automatizadas a las que se aplican los artículos 19 y 20.
7. Los Estados miembros participantes en intercambios automatizados de antecedentes policiales con arreglo a los artículos 25 y 26 notificarán a los demás Estados miembros, a la Comisión y a Europol el contenido de sus índices de antecedentes policiales nacionales, las bases de datos nacionales utilizadas para la creación de tales índices y las condiciones para las búsquedas automatizadas.
8. Los Estados miembros notificarán a la Comisión, a eu-LISA y a Europol sus puntos de contacto nacional designado con arreglo al artículo 30. La Comisión elaborará una lista de los puntos de contacto nacionales que se le hayan notificado y la pondrá a disposición de todos los Estados miembros.
Entrada en funcionamiento
1. La Comisión fijará, mediante un acto de ejecución, la fecha a partir de la cual los Estados miembros y Europol puedan empezar a utilizar el enrutador, una vez que se cumplan las condiciones siguientes:
a) se hayan adoptado las medidas mencionadas en el artículo 5, apartado 3, el artículo 8, apartados 2 y 3, el artículo 13, apartados 2 y 3, el artículo 17, apartado 3, el artículo 22, apartados 2 y 3, el artículo 31 y el artículo 37, apartado 6;
b) eu-LISA haya declarado la realización satisfactoria de una prueba exhaustiva del enrutador, llevada a cabo por esta agencia en cooperación con las autoridades competentes de los Estados miembros y Europol.
La Comisión fijará, mediante los actos de ejecución a que se refiere el párrafo primero, la fecha a partir de la cual los Estados miembros y Europol empezarán a utilizar el enrutador. Dicha fecha corresponderá a un año después de la fecha fijada de conformidad con el párrafo primero.
La Comisión podrá aplazar un año como máximo la fecha a partir de la cual los Estados miembros y Europol comenzarán a utilizar el enrutador cuando una evaluación de la implantación del enrutador haya demostrado que tal aplazamiento es necesario.
2. Los Estados miembros garantizarán, dos años después de que el enrutador haya entrado en funcionamiento, la disponibilidad de imágenes faciales mencionada en el artículo 19 para la búsqueda automatizada de imágenes faciales a que se refiere el artículo 20.
3. La Comisión fijará, mediante un acto de ejecución, la fecha a partir de la cual los Estados miembros y Europol deberán empezar a utilizar el EPRIS, una vez que se cumplan las condiciones siguientes:
a) se hayan adoptado las medidas mencionadas en el artículo 44, apartado 6;
b) Europol haya declarado la realización satisfactoria de una prueba exhaustiva del EPRIS, llevada a cabo por esta agencia en cooperación con las autoridades competentes de los Estados miembros.
4. La Comisión fijará, mediante un acto de ejecución, la fecha a partir de la cual Europol pondrá a disposición de los Estados miembros datos biométricos procedentes de terceros países, de conformidad con el artículo 48, una vez que se cumplan las condiciones siguientes:
a) el enrutador esté en funcionamiento;
b) Europol haya declarado la realización satisfactoria de una prueba exhaustiva de su conexión al enrutador, llevada a cabo por esta agencia en cooperación con las autoridades competentes de los Estados miembros y eu-LISA.
5. La Comisión fijará, mediante un acto de ejecución, la fecha a partir de la cual Europol tendrá acceso a los datos conservados en las bases de datos de los Estados miembros, de conformidad con el artículo 49, una vez que se cumplan las condiciones siguientes:
a) el enrutador esté en funcionamiento;
b) Europol haya declarado la realización satisfactoria de una prueba exhaustiva de su conexión al enrutador, llevada a cabo por dicha agencia en cooperación con las autoridades competentes de los Estados miembros y eu-LISA.
6. Los actos de ejecución contemplados en el presente artículo se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 77, apartado 2.
1. Los Estados miembros y las agencias de la Unión comenzarán a aplicar los artículos 19 a 22, el artículo 47 y el artículo 49, apartado 6, a partir de la fecha fijada de conformidad con el artículo 75, apartado 1, párrafo primero, a excepción de los Estados miembros que no hayan empezado a utilizar el enrutador.
2. Los Estados miembros y las agencias de la Unión comenzarán a aplicar los artículos 25 a 28 y el artículo 49, apartado 4, a partir de la fecha fijada de conformidad con el artículo 75, apartado 3.
3. Los Estados miembros y las agencias de la Unión comenzarán a aplicar el artículo 48 a partir de la fecha fijada de conformidad con el artículo 75, apartado 4.
4. Los Estados miembros y las agencias de la Unión comenzarán a aplicar el artículo 49, apartados 1, 2, 3, 5 y 7, a partir de la fecha fijada de conformidad con el artículo 75, apartado 5.
Procedimiento de comité
1. La Comisión estará asistida por un comité. Dicho comité será un comité en el sentido del Reglamento (UE) n.o 182/2011.
2. En los casos en que se haga referencia al presente apartado, se aplicará el artículo 5 del Reglamento (UE) n.o 182/2011. Cuando el comité no emita ningún dictamen, la Comisión no adoptará el proyecto de acto de ejecución y se aplicará el artículo 5, apartado 4, párrafo tercero, del Reglamento (UE) n.o 182/2011.
Grupo consultivo de interoperabilidad
Las responsabilidades del grupo consultivo de interoperabilidad, establecido por el artículo 75 del Reglamento (UE) 2019/817 y el artículo 71 del Reglamento (UE) 2019/818, se ampliarán para abarcar al enrutador. Este grupo consultivo de interoperabilidad aportará a eu-LISA conocimientos técnicos relacionados con el enrutador, en particular en el contexto de la preparación de su programa de trabajo anual y de su informe de actividad anual.
Manual práctico
La Comisión, en estrecha cooperación con los Estados miembros, eu-LISA, Europol y la Agencia de los Derechos Fundamentales de la Unión Europea, publicará un manual práctico para la aplicación y gestión de los aspectos prácticos del presente Reglamento. El manual práctico proporcionará orientaciones técnicas y operativas, recomendaciones y mejores prácticas. La Comisión adoptará el manual práctico en forma de recomendación antes de la entrada en funcionamiento tanto del enrutador como del EPRIS. La Comisión actualizará el manual práctico con regularidad y cuando sea necesario.
Seguimiento y evaluación
1. eu-LISA se asegurará de que se establezcan procedimientos para el seguimiento del desarrollo del enrutador a la luz de los objetivos en materia de planificación y costes, y de su funcionamiento a la luz de los objetivos en materia de resultados técnicos, rentabilidad, seguridad y calidad del servicio.
Europol se asegurará, respectivamente, de que se establezcan procedimientos para el seguimiento del desarrollo del EPRIS a la luz de los objetivos en materia de planificación y costes, y de su funcionamiento a la luz de los objetivos en materia de resultados técnicos, rentabilidad, seguridad y calidad del servicio.
2. A más tardar el 26 de abril de 2025, y posteriormente cada año durante la fase de desarrollo del enrutador, eu-LISA presentará un informe al Parlamento Europeo y al Consejo sobre el estado de desarrollo del enrutador. Dichos informes contendrán información detallada sobre los costes sufragados e información relativa a cualesquiera riesgos que puedan afectar a los costes globales que deban sufragarse con cargo al presupuesto general de la Unión con arreglo al artículo 73.
Una vez finalizado el desarrollo del enrutador, eu-LISA presentará un informe al Parlamento Europeo y al Consejo en el que se explique con detalle cómo se han alcanzado los objetivos, en particular en lo relativo a la planificación y los costes, y se justifique toda divergencia.
3. A más tardar el 26 de abril de 2025, y posteriormente cada año durante la fase de desarrollo del EPRIS, Europol presentará un informe al Parlamento Europeo y al Consejo sobre el estado de desarrollo del EPRIS. Dichos informes contendrán información detallada sobre los costes sufragados e información relativa a cualesquiera riesgos que puedan afectar a los costes globales que deban sufragarse con cargo al presupuesto general de la Unión con arreglo al artículo 73.
Una vez finalizado el desarrollo del EPRIS, Europol presentará un informe al Parlamento Europeo y al Consejo en el que se explique con detalle cómo se han alcanzado los objetivos, en particular en lo relativo a la planificación y los costes, y se justifique toda divergencia.
4. A efectos del mantenimiento técnico, eu-LISA tendrá acceso a la información necesaria relacionada con las operaciones de tratamiento de datos realizadas en el enrutador. A efectos del mantenimiento técnico, Europol tendrá acceso a la información necesaria relacionada con las operaciones de tratamiento de datos realizadas en EPRIS.
5. Dos años después de que el enrutador haya entrado en funcionamiento, y posteriormente cada dos años, eu-LISA presentará al Parlamento Europeo, al Consejo y a la Comisión un informe sobre el funcionamiento técnico del enrutador, incluido sobre la seguridad.
6. Dos años después de que el EPRIS haya entrado en funcionamiento, y posteriormente cada dos años, Europol presentará al Parlamento Europeo, al Consejo y a la Comisión un informe sobre el funcionamiento técnico del EPRIS, incluido sobre la seguridad.
7. Tres años después de la entrada en funcionamiento del enrutador y del EPRIS a que se hace referencia en el artículo 75, y posteriormente cada cuatro años, la Comisión elaborará un informe sobre la evaluación global del marco Prüm II.
Un año después de la entrada en funcionamiento del enrutador, y posteriormente cada dos años, la Comisión elaborará un informe que evalúe el uso de las imágenes faciales en virtud del presente Reglamento.
Los informes a que se refieren los párrafos primero y segundo incluirán lo siguiente:
a) una evaluación de la aplicación del presente Reglamento, incluido su uso por parte de cada Estado miembro y Europol;
b) un examen de los resultados alcanzados en comparación con los objetivos del presente Reglamento y de su repercusión en los derechos fundamentales;
c) una evaluación del impacto, la eficacia y la eficiencia de la aplicación del marco Prüm II y de sus prácticas de trabajo a la luz de sus objetivos, mandato y funciones;
d) una evaluación de la seguridad del marco Prüm II.
La Comisión remitirá dichos informes al Parlamento Europeo, al Consejo, al Supervisor Europeo de Protección de Datos y a la Agencia de los Derechos Fundamentales de la Unión Europea.
8. En los informes a que se refiere el apartado 7, párrafo primero, la Comisión prestará especial atención a las nuevas categorías de datos siguientes: imágenes faciales y antecedentes policiales. La Comisión incluirá en dichos informes el uso por cada Estado miembro y Europol de estas nuevas categorías de datos y su impacto, eficacia y eficiencia. En los informes a que se refiere el apartado 7, párrafo segundo, la Comisión prestará especial atención al riesgo de falsas coincidencias y a la calidad de los datos.
9. Los Estados miembros y Europol proporcionarán a eu-LISA y a la Comisión la información necesaria para elaborar los informes a que se refieren los apartados 2 y 5. Esa información no deberá poner en peligro los métodos de trabajo ni revelar las fuentes, miembros del personal o investigaciones de las autoridades competentes de los Estados miembros.
10. Los Estados miembros proporcionarán a la Comisión y a Europol la información necesaria para elaborar los informes a que se refieren los apartados 3 y 6. Esa información no deberá poner en peligro los métodos de trabajo ni revelar las fuentes, miembros del personal o investigaciones de las autoridades competentes de los Estados miembros.
11. Sin perjuicio de los requisitos de confidencialidad, los Estados miembros, eu-LISA y Europol proporcionarán a la Comisión la información necesaria para elaborar los informes a que se refiere el apartado 7. Los Estados miembros proporcionarán asimismo a la Comisión el número de coincidencias confirmadas con la base de datos de cada Estado miembro por categoría y por tipo de datos. Esa información no deberá poner en peligro los métodos de trabajo ni revelar las fuentes, miembros del personal o investigaciones de las autoridades competentes de los Estados miembros.
Entrada en vigor y aplicabilidad
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en los Estados miembros de conformidad con los Tratados.
Hecho en Estrasburgo, el 13 de marzo de 2024.
Por el Parlamento Europeo
La Presidenta
R. METSOLA
Por el Consejo
La Presidenta
H. LAHBIB
(1) DO C 323 de 26.8.2022, p. 69.
(2) Posición del Parlamento Europeo de 8 de febrero de 2024 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 26 de febrero de 2024.
(3) Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, relativo a la Agencia de la Unión Europea para la Cooperación Policial (Europol) y por el que se sustituyen y derogan las Decisiones 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI y 2009/968/JAI del Consejo (DO L 135 de 24.5.2016, p. 53).
(4) Decisión 2008/615/JAI del Consejo, de 23 de junio de 2008, sobre la profundización de la cooperación transfronteriza, en particular en materia de lucha contra el terrorismo y la delincuencia transfronteriza (DO L 210 de 6.8.2008, p. 1).
(5) Decisión 2008/616/JAI del Consejo, de 23 de junio de 2008, relativa a la ejecución de la Decisión 2008/615/JAI sobre la profundización de la cooperación transfronteriza, en particular en materia de lucha contra el terrorismo y la delincuencia transfronteriza (DO L 210 de 6.8.2008, p. 12).
(6) Reglamento (UE) 2018/1862 del Parlamento Europeo y del Consejo, de 28 de noviembre de 2018, relativo al establecimiento, funcionamiento y utilización del Sistema de Información de Schengen (SIS) en el ámbito de la cooperación policial y de la cooperación judicial en materia penal, por el que se modifica y deroga la Decisión 2007/533/JAI del Consejo, y se derogan el Reglamento (CE) n.o 1986/2006 del Parlamento Europeo y del Consejo y la Decisión 2010/261/UE de la Comisión (DO L 312 de 7.12.2018, p. 56).
(7) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).
(8) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).
(9) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
(10) Directiva (UE) 2023/977 del Parlamento Europeo y del Consejo, de 10 de mayo de 2023, relativa al intercambio de información entre los servicios de seguridad y de aduanas de los Estados miembros, por la que se deroga la Decisión Marco 2006/960/JAI del Consejo (DO L 134 de 22.5.2023, p. 1).
(11) Decisión Marco 2009/315/JAI del Consejo, de 26 de febrero de 2009, relativa a la organización y al contenido del intercambio de información de los registros de antecedentes penales entre los Estados miembros ((DO L 93 de 7.4.2009, p. 23).
(12) Reglamento (UE) 2019/817 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativo al establecimiento de un marco para la interoperabilidad de los sistemas de información de la UE en el ámbito de las fronteras y los visados y por el que se modifican los Reglamentos (CE) n.o 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 y (UE) 2018/1861 del Parlamento Europeo y del Consejo, y las Decisiones 2004/512/CE y 2008/633/JAI del Consejo (DO L 135 de 22.5.2019, p. 27).
(13) Reglamento (UE) 2019/818 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativo al establecimiento de un marco para la interoperabilidad entre los sistemas de información de la UE en el ámbito de la cooperación policial y judicial, el asilo y la migración y por el que se modifican los Reglamentos (UE) 2018/1726, (UE) 2018/1862 y (UE) 2019/816 (DO L 135 de 22.5.2019, p. 85).
(14) Reglamento (UE) 2018/1726 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018, relativo a la Agencia de la Unión Europea para la Gestión Operativa de Sistemas Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia (eu-LISA), y por el que se modifican el Reglamento (CE) n.o 1987/2006 y la Decisión 2007/533/JAI del Consejo y se deroga el Reglamento (UE) n.o 1077/2011 (DO L 295 de 21.11.2018, p. 99).
(15) Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).
(16) DO C 225 de 9.6.2022, p. 6.
(17) Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (DO L 333 de 27.12.2022, p. 80).
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid