I. INTRODUCCIÓN Y ANTECEDENTES

• 1. En abril de 2016, la Comisión adoptó una Comunicación que lleva por título «Hacia una reforma del Sistema Europeo Común de Asilo y una mejora de las vías legales a Europa», en la que se definen las prioridades para mejorar el Sistema Europeo Común de Asilo (SECA). En este contexto, la Comisión publicó el 4 de mayo de 2016 tres propuestas como parte de un primer paquete de reforma del SECA:
  — una propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen los criterios y mecanismos de determinación del Estado miembro responsable del examen de una solicitud de protección internacional presentada en uno de los Estados miembros por un nacional de un tercer país o un apátrida (en lo sucesivo, «propuesta de Dublín»);
  — una propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la Agencia de Asilo de la Unión Europea y por el que se deroga el Reglamento (UE) núm. 439/2010 (en lo sucesivo, «propuesta de una Agencia de Asilo de la Unión Europea» o «propuesta de la AAUE»), y
  — una propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) núm. 603/2013 relativo a la creación del sistema «Eurodac» para la comparación de las impresiones dactilares para la aplicación efectiva del [Reglamento (UE) n.o 604/2013, por el que se establecen los criterios y mecanismos de determinación del Estado miembro responsable del examen de una solicitud de protección internacional presentada en uno de los Estados miembros por un nacional de un tercer país o un apátrida] y de la identificación de un nacional de un tercer país o un apátrida en situación ilegal, y a las solicitudes de comparación con los datos de Eurodac presentadas por los servicios de seguridad de los Estados miembros y Europol a efectos de aplicación de la ley (refundición de 2016) (en los sucesivo, «propuesta de refundición del Reglamento Eurodac de 2016»). 
• 2. El SEPD fue consultado a título informal antes de la publicación de la refundición del Reglamento Eurodac y la propuesta relativa a la EASO, y transmitió a la Comisión sus observaciones informales sobre ambos textos. 
• 3. El SEPD comprende que la UE debe hacer frente a los retos que plantea la crisis migratoria y de refugiados desde 2015, así como la necesidad de que la UE cuente con una política eficaz y armonizada para hacer frente a la inmigración irregular que tiene lugar tanto dentro de la UE como en dirección a la misma.En pleno respeto del papel del legislador a la hora de evaluar la necesidad y la proporcionalidad de las medidas propuestas, el SEPD, en su carácter de órgano consultivo, presentará en este dictamen algunas recomendaciones en materia de protección de datos y privacidad con el fin de ayudar al legislador a cumplir lo dispuesto en los artículos 7 y 8 de la Carta de los Derechos Fundamentales relativos al derecho a la vida privada y a la protección de datos, y en el artículo 16 del Tratado de Funcionamiento de la Unión Europea. 4. El SEPD abordará en primer lugar las recomendaciones principales sobre las tres propuestas. Estas recomendaciones principales representan los problemas más importantes que ha observado el SEPD y que, en todo caso, deberían abordarse en el proceso legislativo. Las recomendaciones complementarias son los puntos que en opinión del SEPD requieren clarificación, información adicional o modificaciones de menor importancia. Esta distinción debería ayudar al legislador a dar prioridad a los temas importantes que aborda el presente dictamen.

IV. CONCLUSIÓN

• 68. El SEPD acoge con satisfacción los esfuerzos realizados en materia de protección de datos en los diferentes textos. Observa que la cultura de la protección de datos empieza a convertirse en parte del proceso legislativo y también puede apreciarse en la redacción de las propuestas.
• 69. Con pleno respeto del papel del legislador a la hora de evaluar la necesidad y la proporcionalidad de las medidas propuestas, el SEPD, en su papel de órgano consultivo, presentará en este dictamen algunas recomendaciones en materia de protección de datos y privacidad en relación con las tres propuestas examinadas.
• 70. En relación con la propuesta de Dublín, el SEPD expresa su inquietud por el hecho de que el identificador único pueda utilizarse para otros fines, por ejemplo, para identificar a personas en otras bases de datos, lo que haría más fácil y sencillo comparar las bases de datos. El SEPD recomienda especificar que estará prohibido cualquier otro uso del identificador.
• 71. En relación con la propuesta de refundición del Reglamento Eurodac, el SEPD considera que la prolongación del ámbito de aplicación de Eurodac plantea objeciones respecto al principio de limitación a una finalidad específica consagrado en el artículo 7 de la Carta de los Derechos Fundamentales de la Unión Europea. El SEPD recomienda también que se indique el tipo de medidas, aparte de la expulsión y repatriación, que los Estados miembros podrían adoptar sobre la base de los datos de Eurodac. El SEPD recomienda que la Comisión publique una evaluación exhaustiva del impacto sobre la protección de datos y la privacidad del Reglamento Eurodac refundido de 2016 a fin de determinar las repercusiones que puede tener el texto propuesto sobre la privacidad.
• 72. Al SEPD le preocupa también la inclusión de las imágenes faciales: el Reglamento no hace referencia a evaluación alguna de la necesidad de recopilar y utilizar imágenes faciales de las categorías de personas que se recogen en la propuesta de refundición del Reglamento Eurodac. Asimismo, el SEPD considera que la propuesta debe clarificar los casos en los que se podrá proceder a una comparación de huellas dactilares e imágenes faciales, ya que el texto de la propuesta de refundición parece implicar que dicha comparación debería efectuarse sistemáticamente.
• 73. El SEPD recomienda también que se publique una evaluación detallada de la situación de los menores y una ponderación de los riesgos y daños que dicho procedimiento puede suponer para los menores y las ventajas que puede aportarles, aparte de la exposición de motivos. En este contexto, el Reglamento debería definir mejor (es decir, en un considerando) el significado de la toma de huellas dactilares de los menores de una manera que respete su condición de niños.
• 74. En cuanto al período de conservación, que en principio será de cinco años, el SEPD recomienda aportar más datos y explicaciones sobre por qué y cómo se considera necesario un período de conservación de cinco años en este contexto para alcanzar los nuevos objetivos de la base de datos Eurodac. Además, el SEPD recomienda reducir el período de conservación a la duración real de la prohibición de entrada impuesta a un interesado concreto. Por último, el SEPD recomienda que la propuesta especifique que el punto de partida del período de conservación será la fecha del primer tratamiento de huellas dactilares por parte de un Estado miembro.
• 75. Finalmente, el SEPD recomienda bloquear todos los datos para fines de seguridad pública al cabo de tres años, y que deje de efectuarse una distinción entre las distintas categorías de nacionales de terceros países a este respecto.
• 76. Aparte de las deficiencias principales constatadas anteriormente, las recomendaciones del SEPD en el presente Dictamen se refieren a los siguientes aspectos:
  — en relación con la propuesta de refundición del Reglamento Eurodac,
  — El SEPD recomienda que en el texto de la propuesta se indique que la responsabilidad en última instancia del tratamiento de datos personales corresponderá a los Estados miembros, que se considerarán responsables del tratamiento en el sentido de la Directiva 95/46/CE.
  — El artículo 37 debería modificarse con el fin de aclarar los casos en que se permite o se prohíbe una transferencia internacional y, específicamente, la transferencia al país de origen del solicitante.
  — El artículo 38, apartado 1, debería especificar que los Estados miembros solamente deberían transmitir los datos estrictamente necesarios con fines de devolución.
  — No se debería permitir el uso de métodos coercitivos para obtener las huellas digitales de una persona. Este aspecto debe especificarse en el Reglamento Eurodac.
  — En este contexto, el SEPD recomienda clarificar que la detención no debe considerarse una sanción por incumplimiento de la obligación de facilitar huellas dactilares.
  — El uso de datos reales por parte de eu-LISA para realizar pruebas suscita graves inquietudes y el Reglamento Eurodac no debería permitirlo. El legislador debería estudiar y evaluar la alternativa de usar datos ficticios, en vista del riesgo para la vida privada de las personas interesadas. En cualquier caso, el texto no debería considerar que los datos biométricos pueden hacerse anónimos, ya que siempre se referirán a una persona y, por consiguiente, se considerarán datos personales.
  — En relación con el tratamiento de información por parte de eu-LISA, el SEPD recomienda adoptar salvaguardias adecuadas en relación con el acceso a los datos por parte de contratistas externos.
  — Por último, el SEPD acoge con satisfacción los esfuerzos desplegados para garantizar que el acceso de las autoridades encargadas de velar por la seguridad pública sea evaluado por un órgano independiente. Sin embargo, las autoridades designadas y las autoridades de verificación no deberían formar parte de la misma organización a fin de mantener la independencia de las autoridades responsables de la verificación.
  — en relación con la propuesta de AAUE,
  — El SEPD recomienda especificar que los expertos de la Agencia solo podrán acceder a las bases de datos de conformidad con los actos legislativos que regulen dichas bases de datos y las normas de protección de datos.
  — Asimismo, el SEPD recomienda precisar más qué se entiende por los propósitos administrativos a que hace referencia el artículo 30, apartado 3, ya que cualquier propósito que deba alcanzar una administración podría encuadrarse dentro de este término.
  — El SEPD recomienda clarificar las responsabilidades que implica garantizar la seguridad del equipo utilizado por la Agencia, el cual debería definirse en todas las fases del ciclo de vida del equipo, es decir, desde su adquisición hasta su eliminación, pasando por su almacenamiento y utilización".

Fuente: DOUE.eu.

Resumen ejecutivo del dictamen del Supervisor Europeo de Protección de Datos sobre el primer paquete de reformas del Sistema Europeo Común de Asilo (Reglamentos Euroodac, EASO y Dublín).