Directiva (UE) 2023/2123 del Parlamento Europeo y del Consejo, de 4 de octubre de 2023, por la que se modifica la Decisión 2005/671/JAI del Consejo en lo que respecta a su aproximación a las normas de la Unión sobre protección de datos de carácter personal, - Diario Oficial de la Unión Europea, de 11-10-2023
Ambito: DOUE
Órgano emisor: PARLAMENTO EUROPEO Y CONSEJO
Boletín: Diario Oficial de la Unión Europea Número 0
F. Publicación: 11/10/2023
Documento oficial en PDF: Enlace
DIRECTIVA (UE) 2023/2123 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 4 de octubre de 2023
por la que se modifica la Decisión 2005/671/JAI del Consejo en lo que respecta a su aproximación a las normas de la Unión sobre protección de datos de carácter personal
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 16, apartado 2,
Vista la propuesta de la Comisión Europea,
Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,
De conformidad con el procedimiento legislativo ordinario (1),
Considerando lo siguiente:
(1) La Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (2) establece normas armonizadas para la protección y libre circulación de datos personales tratados para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública. De conformidad con dicha Directiva, los Estados miembros deben tratar los datos personales de manera que se garantice una seguridad adecuada de dichos datos. Dicha Directiva también exige a la Comisión que revise otros actos jurídicos pertinentes adoptados por la Unión a fin de evaluar la necesidad de aproximarlos a dicha Directiva y que presente, en su caso, las propuestas necesarias a fin de modificar dichos actos para garantizar un enfoque coherente de la protección de los datos personales en el ámbito de aplicación de dicha Directiva.
(2) La Decisión 2005/671/JAI del Consejo (3) establece reglas específicas sobre el intercambio de información y la cooperación en materia de delitos de terrorismo. Con el fin de garantizar un enfoque coherente de la protección de los datos de carácter personal en la Unión, dicha Decisión debe modificarse para adaptarla a la Directiva (UE) 2016/680. En particular, dicha Decisión debe especificar, de manera coherente con la Directiva (UE) 2016/680, la finalidad del tratamiento de datos personales e indicar las categorías de datos personales que pueden intercambiarse, de conformidad con los requisitos del artículo 8, apartado 2, de la Directiva (UE) 2016/680, teniendo debidamente en cuenta las necesidades operativas de las autoridades de que se trate.
(3) En aras de la claridad, deben actualizarse las referencias que figuran en la Decisión 2005/671/JAI a los instrumentos jurídicos que rigen el funcionamiento de la Agencia de la Unión Europea para la Cooperación Policial (Europol).
(4) La aplicación de la Decisión 2005/671/JAI, que implica el tratamiento, incluido el intercambio y la utilización posterior, de información relativa a delitos de terrorismo, conlleva el tratamiento de datos personales. En aras de la coherencia y de la protección efectiva de tales datos personales, es importante que el tratamiento de datos personales llevado a cabo en virtud de la Decisión 2005/671/JAI cumpla el Derecho de la Unión, incluidas las normas establecidas en la Directiva (UE) 2016/680, y sea conforme con los requisitos de seguridad, las salvaguardias y las garantías de protección de datos establecidos en otros instrumentos del Derecho de la Unión que contengan disposiciones sobre protección de datos, incluidos los Reglamentos (UE) 2016/794 (4) y (UE) 2018/1725 (5) del Parlamento Europeo y del Consejo, así como el Derecho nacional.
(5) De conformidad con el artículo 6 bis del Protocolo n.º 21 sobre la posición del Reino Unido y de Irlanda respecto del espacio de libertad, seguridad y justicia, anejo al Tratado de la Unión Europea (TUE) y al Tratado de Funcionamiento de la Unión Europea (TFUE), Irlanda no queda vinculada por las normas establecidas en la presente Directiva relativas al tratamiento de datos personales por parte de los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del capítulo 4 o el capítulo 5 del título V de la tercera parte del TFUE en la medida en que no sean vinculantes para Irlanda las normas que regulen formas de cooperación judicial en materia penal y de cooperación policial que requieran el cumplimiento de las disposiciones establecidas con arreglo al artículo 16 del TFUE.
(6) De conformidad con lo dispuesto en los artículos 2 y 2 bis del Protocolo n.º 22 sobre la posición de Dinamarca, anejo al TUE y al TFUE, Dinamarca no queda vinculada, ni sujeta a su aplicación, por las normas establecidas en la presente Directiva relacionadas con el tratamiento de datos personales por parte de los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del capítulo 4 o el capítulo 5 del título V de la tercera parte del TFUE.
(7) El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725, emitió su dictamen el 25 de enero de 2022.
HAN ADOPTADO LA PRESENTE DIRECTIVA:
Artículo 1
La Decisión 2005/671/JAI se modifica como sigue:
1) El artículo 1 se modifica como sigue:
a) se suprime la letra b);
b) la letra d) se sustituye por el texto siguiente:
«d) “grupo o entidad”: un grupo terrorista, tal como se define en el artículo 2, punto 3), de la Directiva (UE) 2017/541, y los grupos y entidades enumerados en el anexo de la Posición Común 2001/931/PESC del Consejo (*1).
(*1) Posición Común 2001/931/PESC del Consejo, de 27 de diciembre de 2001, sobre la aplicación de medidas específicas de lucha contra el terrorismo (DO L 344 de 28.12.2001, p. 93).»."
2) El artículo 2 se modifica como sigue:
a) el título se sustituye por el texto siguiente:
«Facilitación de información sobre delitos de terrorismo a Europol y los Estados miembros»;
b) se añade el apartado siguiente:
«3 bis. Cada Estado miembro se asegurará de que los datos personales sean tratados de conformidad con el apartado 3 del presente artículo únicamente para fines de prevención, investigación, detección o enjuiciamiento de delitos de terrorismo u otras infracciones penales para las que Europol es competente, y que se enumeran en el anexo I del Reglamento (UE) 2016/794. Dicho tratamiento se entenderá sin perjuicio de las limitaciones aplicables al tratamiento de datos en virtud del Reglamento (UE) 2016/794.»;
c) en el apartado 4, se añade el párrafo siguiente:
«Las categorías de datos personales que deban transmitirse a Europol para los fines mencionados en el apartado 3 bis se limitarán a las mencionadas en el anexo II, sección B, punto 2, del Reglamento (UE) 2016/794.»;
d) en el apartado 6, se añade el párrafo siguiente:
«Las categorías de datos personales que podrán intercambiar los Estados miembros para los fines mencionados en el párrafo primero quedarán limitadas a las mencionadas en el anexo II, sección B, punto 2, del Reglamento (UE) 2016/794.».
Artículo 2
1. Los Estados miembros pondrán en vigor las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la presente Directiva a más tardar el 1 de noviembre de 2025. Informarán de ello inmediatamente a la Comisión.
Cuando los Estados miembros adopten dichas disposiciones, estas incluirán una referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de la mencionada referencia.
2. Los Estados miembros comunicarán a la Comisión el texto de las principales disposiciones de Derecho interno que adopten en el ámbito regulado por la presente Directiva.
Artículo 3
La presente Directiva entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Artículo 4
Los destinatarios de la presente Directiva son los Estados miembros de conformidad con los Tratados.
Hecho en Estrasburgo, el 4 de octubre de 2023.
Por el Parlamento Europeo
La Presidenta
R. METSOLA
Por el Consejo
El Presidente
J. M. ALBARES BUENO
(1) Posición del Parlamento Europeo de 12 de julio de 2023 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 18 de septiembre de 2023.
(2) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).
(3) Decisión 2005/671/JAI del Consejo, de 20 de septiembre de 2005, relativa al intercambio de información y a la cooperación sobre delitos de terrorismo (DO L 253 de 29.9.2005, p. 22).
(4) Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, relativo a la Agencia de la Unión Europea para la Cooperación Policial (Europol) y por el que se sustituyen y derogan las Decisiones 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI y 2009/968/JAI del Consejo (DO L 135 de 24.5.2016, p. 53).
(5) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).