¿Qué podemos hacer cuando los responsables de tomar decisiones cometen errores y terminan por perjudicar las libertades tanto democráticas como online? No hemos unido a otras empresas, grupos e interesados. Con esta carta abierta sobre la evidencia electrónica (eEvidence), interpelamos a los legisladores y solicitamos unas protecciones más sólidas para la libertad de expresión y la privacidad. La situación actual no contribuye a proteger los derechos fundamentales, y pedimos un cambio.
Carta abierta
El compromiso político de la propuesta de evidencia electrónica exhorta a medios de comunicación, periodistas, grupos civiles y empresas tecnológicas a solicitar a los tomadores de decisiones a que mejoren las protecciones los derechos fundamentales.
Estimados Ponente del Parlamento Europeo y Ponentes Alternativos,
Estimados miembros del Grupo “Cooperación Judicial en Materia Penal” (COPEN)
Nosotros, una coalición de 24 grupos de la sociedad civil, asociaciones de medios de comunicación y periodistas, y asociaciones de profesionales y de proveedores de servicios de internet, les exhortamos a que revisen el último texto de compromiso de la propuesta para una normativa para las pruebas electrónicas (eEvidence). Sin unas mejoras importantes, el sistema de acceso transfronterizo a datos en material penal previstas por el trílogo político del 28 de junio corren el riesgo de perjudicar severamente a los derechos fundamentales, incluyendo los de libertad de prensa y de medios de comunicación, el derecho a la privacidad y los derechos de los pacientes médicos. Tampoco brindaría certezas a nivel legal para todas las partes interesadas implicadas en el proceso.
Lamentamos que la mayoría de nuestras recomendaciones previas no hayan sido tenidas en cuenta, específicamente:
• Artículo 7a(2) – Criterio de notificación y residencia
El criterio de residencia introducido como exoneración de la notificación del Estado en cuestión es una laguna importante en el esquema de protección de derechos de la normativa de prueba electrónica. La evaluación de dónde vive la persona cuyos datos se solicitan se realizará a total discreción del Estado emisor, que podría tener claros incentivos para evitar hacer la notificación. Además, el umbral es demasiado bajo y se puede abusar de éste con facilidad, porque la expresión “causas razonables para creer” no implica necesariamente que el Estado emisor necesite de evidencia objetiva o indicaciones concretas. A la autoridad emisora ni siquiera se le exige justificar sus creencias en la orden, lo que termina por evitar de facto el escrutinio de su evaluación. ¿Cómo garantizará la normativa que los estándares para ejecutar esta evaluación estén armonizados, asegurando así un nivel equivalente de protección para los individuos afectados?
En caso de que el Estado emisor haga una suposición falsa y no notifique al Estado de ejecución, no queda claro cómo podría reportarse y rectificarse el error: el Artículo 9 no ofrece al proveedor del servicio la posibilidad de informar de este problema. El Estado de ejecución no puede negar la ejecución de la orden por este motivo, según lo estipula el artículo 14(4), y el individuo no necesariamente puede ejercer su derecho a recurso efectivo si la información está restringida o si esto no se prevé en las leyes nacionales del Estado emisor (Artículo 17(1)).
El criterio de residencia también debilita la posibilidad de alegar los motivos de denegación previstos en el Artículo 7b(1)(c) y su apartado 11a cuando haya riesgo de infracciones manifiestas de derechos fundamentales en el Estado emisor, como en los Estados miembros con problemas sistémicos de estado de derecho. En vista de los riesgos que esta exoneración implicaría para las órdenes en las que solicitaran tipos de datos muy sensibles (tráfico y contenido), y que podrían potencialmente llevar a vulneraciones serias de derechos fundamentales, es esencial que el criterio de residencia no sea parte del texto de compromiso final.
Artículo 7a – Notificación para datos de tráfico y de suscriptores
Además de la necesidad de una notificación obligatoria para los datos de contenido y datos de tráfico, la notificación del Estado de ejecución debería ser obligatoria cuando los datos del suscriptor y datos de tráfico se soliciten con el propósito único de identificar a la persona. Aunque los datos de los suscriptores son menos delicados que los de tráfico, hay excepciones notables, especialmente cuando hay privilegios e inmunidades implicados (identidad de una fuente periodística, un denunciante, etc.). En su borrador de Decisión del Consejo para autorizar a Estados Miembros para firmar y ratificar el Protocolo adicional segundo al Convenio sobre la Ciberdelincuencia, la Comisión Europea claramente establece que las notificaciones obligatorias para acceder a los datos de los suscriptores son necesarias para garantizar compatibilidad con la ley de la Unión Europea´.
Artículo 4(1)(b) – Participación de un tribunal en el procedimiento para datos de suscriptores
Apoyamos la propuesta del ponente en la que la ejecución de una EPOC para datos de los suscriptores (y el tráfico con el único propósito de identificar al usuario) requiera de participación de un tribunal en el Estado miembro en el procedimiento, y debería ser posible exigir también que la orden provenga de un tribunal en el Estado emisor. La disposición debe fortalecerse mediante la eliminación del requisito de declaración por parte de los Estados miembros implicados, de modo de que la disposición se aplique solamente cuando la ley del país en cuestión requiera de la participación de un tribunal en el procedimiento.
Artículo 9(2) y (3) – Ejecución de una EPOC y efectos suspensivos
La notificación a la autoridad en el Estado de ejecución es una salvaguarda clave para permitir que cualquier motivo de rechazo pueda ser alegado y para proveer de seguridad jurídica al proveedor del servicio antes de revelar los datos solicitados del usuario. Como mínimo, una notificación debería tener siempre un efecto suspensivo en la obligación de divulgar al proveedor del servicio en todos los casos, incluyendo las solicitudes de emergencia. Según la propuesta actual, donde haya habido una notificación, el destinatario debe aportar los datos antes de transcurrido el período de 10 días o el de 8 horas, incluso en ausencia de una validación por parte de la autoridad ejecutora. Existe un riesgo demasiado elevado de que la autoridad ejecutora simplemente no ejecute una revisión genuina de las órdenes y simplemente deje transcurrir el período. Esto no solo perjudica la eficiencia de esta salvaguarda clave, sino que también es ineficiente, porque al igual que ocurre con un requisito de validación activa, las órdenes podrían ejecutarse antes debido a que la validación puede haber sido suministrada por la autoridad ejecutora antes del final del plazo.
Los efectos suspensivos de las órdenes de producción deben aplicar para todos los tipos de órdenes (urgentes o no), hasta que la autoridad ejecutora les dé luz verde de manera proactiva.
Artículo 12b – Principio de especialidad y limitación de propósito
Las reglas para reutilizar datos obtenidas mediante una orden de prueba electrónica en otros procedimientos o para transmitirla a otro estado miembro son demasiado laxas. El sistema de notificación permite una evaluación caso por caso de las órdenes de presentación de pruebas que tienen en cuenta las circunstancias específicas de cada investigación. Permitir a la autoridad emisora el determinar por sí misma si los datos se pueden reutilizar en diferentes procedimientos posiblemente vaya en perjuicio de la evaluación de la orden por parte del Estado notificado. Incluso si las condiciones para emitir una orden de presentación de pruebas pudieran cumplirse, la excepción al principio de limitación de propósito debería limitarse a circunstancias extraordinarias en las que hubiere un riesgo inminente para la vida o integridad física de una persona. No debería ser posible transferir los datos obtenidos a otro Estado miembro, porque los motivos para alegar un motivo de rechazo podrían diferir entre los diferentes Estados miembros solicitantes (por ejemplo, una violación manifiesta de un derecho fundamental).
Adicionalmente, hemos identificado diversas lagunas que deben abordarse o aclararse con urgencia para garantizar la certeza a nivel legal:
Artículo 7b – Motivos para la no ejecución o no reconocimiento
¿Cuáles son las consecuencias para los recursos efectivos en caso de que la autoridad ejecutora tenga obligación de presentar motivos para rechazar la solicitud (“deberá”)? ¿Podrá la persona interesada quejarse ante la autoridad ejecutora si esta última no logra justificar el rechazo? Dejar a la autoridad ejecutora la opción de rechazar o no una orden (“podría”) sería extremadamente perjudicial para la protección de derechos fundamentales, en los casos en que una orden sea deliberadamente abusiva o donde vulnere la libertad de prensa y de comunicación, los privilegios profesionales o los principios de ne bis in idem o doble criminalidad.
Artículo 5(5)(g) – Condiciones para emitir una orden europea de presentación de pruebas en una emergencia
La diferencia entre una orden de emergencia y una solicitud de divulgación temprana es muy difusa. La divulgación temprana pondría en riesgo la efectividad del proceso de notificación y los motivos de rechazo. El riesgo de la divulgación ilegal de datos debe evitarse y por tanto la divulgación temprana debe eliminarse del texto.
Artículo 5(6c) – Condiciones para emitir una orden europea de presentación de pruebas e inmunidades y privilegios
El borrador del acuerdo introduce un conjunto de condiciones para la solicitud de tráfico y datos de contenido protegidos por el privilegio profesional (médicos con datos delicados de los pacientes, abogados con que guardan los archivos de sus clientes, etc.) pero no está claro en qué situaciones la condición específica “en casos donde los datos son almacenados o procesados por un proveedor de servicios como para de una infraestructura” se aplican y qué servicios exactamente están excluidos del ámbito de este apartado. Para proteger eficazmente las inmunidades y privilegios, opinamos que el parágrafo debe aplicarse a todo tipo de servicios ofrecidos a profesiones protegidas y que las tres condiciones listadas deberían ser acumulativas y no alternativas (“y” en vez de “o”).
Artículo 9(2b) – Ejecución de una EPOC e inmunidades y privilegios
¿Por qué la posibilidad del apelado de negarse a ejecutar una orden que vulnere las inmunidades o privilegios o libertad de prensa y medios de comunicación tendría que “estar basada únicamente en la información contenida en la EPOC y no también en información que el apelado posee del individuo en cuestión?
Esperamos recibir sus comentarios acerca de los puntos que abordamos anteriormente y quedamos a su disposición si desean discutir el tema en más profundidad.
Suyos,
Juntos somos más fuertes
Como siempre decimos: la privacidad es un derecho, no una funcionalidad. Nuestras recomendaciones previas no fueron tenidas en cuenta, pero no perdemos la esperanza. Nos mantenemos firmes y esperamos que ocurra un cambio en favor de la protección de los derechos de los ciudadanos. ¡Acompáñanos!
