9.2.2012   

ES

Diario Oficial de la Unión Europea

C 35/1

1.

El 12 de octubre de 2011, la Comisión adoptó las siguientes propuestas (en adelante, «las propuestas») relativas a la Política Agrícola Común (en adelante, la «PAC») después de 2013, a las que se dio traslado para su consulta al SEPD el mismo día:

2.

El SEPD recibe con agrado el hecho de haber sido consultado formalmente por la Comisión y de que se incluya una referencia al presente dictamen en los preámbulos propuestos del Reglamento relativo a los pagos directos, el Reglamento de la OCM única, el Reglamento relativo al desarrollo rural y el Reglamento horizontal.

3.

Las propuestas tienen por objeto proporcionar un marco para 1) la producción alimentaria viable, 2) la gestión sostenible de los recursos naturales y la intervención climática, y 3) el desarrollo territorial equilibrado. A este fin, establecen diversos regímenes de ayuda a los agricultores, así como otras medidas destinadas a estimular el desarrollo agrícola y rural.

4.

En el transcurso de los programas, los datos personales — principalmente los relacionados con los beneficiarios de las ayudas aunque también con terceros — son objeto de tratamiento en diversas fases (para tramitar las solicitudes de ayuda, garantizar la transparencia de los pagos, controlar y combatir el fraude, etc.). Aunque la mayor parte del tratamiento es competencia de los Estados miembros y se efectúa bajo su responsabilidad, la Comisión puede acceder a la mayoría de tales datos. Los beneficiarios y, en algunos casos, terceras partes deben suministrar información a las autoridades competentes designadas: por ejemplo, a fin de controlar el fraude.

5.

La relevancia de la protección de datos en el contexto de la PAC ha sido puesta de manifiesto por el Tribunal de Justicia en la sentencia Schecke, en virtud de la cual se anula la legislación de la Unión Europea relativa a la publicación de los nombres de los beneficiarios de los fondos agrícolas (10). El SEPD es consciente de que, en el presente caso, los aspectos relativos a la protección de datos no están en el centro de las propuestas. Sin embargo, en la medida en que las propuestas guardan relación con el tratamiento de datos personales, resulta pertinente formular observaciones.

6.

El objetivo del presente dictamen no es analizar el conjunto de las propuestas en su integridad, sino brindar directrices y orientaciones para diseñar el necesario tratamiento de datos personales a efectos de la administración de la PAC de manera que se respeten los derechos fundamentales a la intimidad y a la protección de datos y, al mismo tiempo, se garantice una administración eficaz de la ayuda, la prevención y la investigación del fraude, así como la transparencia y justificación del gasto.

7.

A este fin, el presente dictamen se divide en dos partes. Una primera más general que incluye el análisis y las recomendaciones pertinentes para la mayoría de las propuestas, y que hace principalmente referencia a las observaciones sobre las competencias delegadas y de ejecución de la Comisión. La segunda parte analiza las disposiciones específicas incluidas en varias de las propuestas (11) y formula recomendaciones que tratan las cuestiones identificadas en las mismas.

8.

Tal como se ha mencionado, la mayor parte de las operaciones de tratamiento corre a cargo de los Estados miembros. Ahora bien, en muchos casos la Comisión puede tener acceso a los datos personales. Por lo tanto, el SEPD acoge con agrado que se haga referencia a la aplicabilidad de la Directiva 95/46/CE y del Reglamento (CE) no 45/2001 incluida en los preámbulos de las propuestas pertinentes (12).

9.

En general, se aprecia que muchas de las cuestiones centrales ligadas a la protección de datos no están incluidas en las presentes propuestas si bien estarán reguladas en virtud de actos delegados o de ejecución. Ello se aplica, por ejemplo, a las medidas que deben adoptarse en relación con el seguimiento de la ayuda, el establecimiento de los sistemas informáticos, las transferencias de información a terceros países y los controles sobre el terreno (13).

10.

El artículo 290 del TFUE establece las condiciones para el ejercicio de las competencias atribuidas por la Comisión. Se pueden atribuir facultades para «completar o modificar determinados elementos no esenciales de los actos legislativos.». Asimismo, deberán definirse explícitamente los «objetivos, el contenido, el alcance y la duración de dicha delegación». En relación con las competencias de ejecución, el artículo 291 del TFUE establece que podrán ser conferidas a la Comisión cuando «se requieran condiciones uniformes de ejecución de los actos jurídicamente vinculantes de la Unión». Se garantizará el control adecuado por parte de los Estados miembros.

11.

El SEPD considera que los aspectos centrales del tratamiento previstos en las propuestas y las necesarias salvaguardias en materia de protección de datos no pueden considerarse «elementos no esenciales». Por tanto, deberán regularse ya al menos los siguientes elementos en los principales textos legislativos con el fin de reforzar la seguridad jurídica (14):

12.

Una vez que estos elementos hayan sido especificados en las principales propuestas legislativas, será posible servirse de actos delegados o de ejecución para aplicar de manera más detallada estas garantías específicas. El SEPD espera ser consultado sobre los actos delegados y de ejecución que aborden cuestiones de interés para la protección de datos.

13.

En algunos casos, podrán tratarse los datos relativos a (supuestos) delitos (por ejemplo, relacionados con el fraude). Como la legislación aplicable en materia de protección de datos establece una protección especial para dichos datos (17), podrá revelarse necesario que la autoridad nacional encargada de la protección de datos competente o el SEPD lleven a cabo un control previo (18).

14.

Por último, deberán preverse medidas de seguridad, especialmente por lo que se refiere a las bases de datos y sistemas informatizados. También deberían tenerse en cuenta los principios de responsabilidad y de intimidad mediante el diseño.

15.

El artículo 157 del Reglamento relativo a la OCM única faculta a la Comisión para establecer actos de ejecución en lo que se refiere a los requisitos de comunicación para distintos fines (como garantizar la transparencia del mercado, el control de las medidas de la PAC o la aplicación de los acuerdos internacionales) (19) para lo que «deberá tener en cuenta los datos necesarios y las posibles sinergias entre fuentes de datos.» (20). El SEPD recomienda especificar en esta disposición las fuentes de datos que deberán utilizarse y los fines específicos para los que se utilizarán. En este sentido, el SEPD desea invocar el riesgo que conlleva la interconexión entre las bases de datos ya que esto podría entrar en contradicción con el principio de limitación a una finalidad específica (21), de acuerdo con el cual los datos personales no podrán ser ulteriormente tratados de un modo que resulte incompatible con la finalidad original para los que fueron obtenidos (22).

16.

Los artículos 74 y 77 del Reglamento de desarrollo rural establecen un sistema de seguimiento y evaluación en el que «la Comisión y los Estados miembros colaborarán en la creación» con fines de seguimiento y de evaluación, lo que incluye un sistema electrónico de información. El sistema implicará el tratamiento de datos sobre las «características fundamentales del beneficiario y el proyecto» que los propios beneficiarios habrán suministrado (artículo 78). En la medida en que esta «información fundamental» incluya datos personales, ello deberá quedar debidamente especificado en la disposición. Asimismo, las categorías de datos que deban tratarse deberán estar definidas y el SEPD deberá ser consultado en relación con los actos de ejecución previstos en el artículo 74.

17.

De manera adicional, el artículo 92 de la misma propuesta contempla el establecimiento de un nuevo sistema de información «por parte de la Comisión, en colaboración con los Estados miembros» para un intercambio seguro de «datos de interés común». La definición de las categorías de datos que deben intercambiarse es demasiado amplia y debería limitarse en el supuesto de que se transfiriesen datos personales mediante estos sistemas. Además, debe aclararse la relación entre el artículo 77 y el artículo 92, ya que no queda claro si ambos artículos tienen la misma finalidad y ámbito de aplicación.

18.

El considerando 40 del Reglamento horizontal establece que los Estados miembros deben poner en marcha un sistema integrado de gestión y control (23) de determinados pagos y «debe autorizarse a los Estados miembros a hacer uso del mismo también en otros regímenes de ayuda de la Unión» con el fin de «mejorar la eficacia y el seguimiento de la ayuda de la Unión». Esta disposición debe aclararse, especialmente si no solo hace referencia a la explotación de sinergias desde el punto de vista de la infraestructura sino si también se refiere al uso de la información almacenada en el mismo con la finalidad de controlar otros regímenes de ayuda.

19.

Según el artículo 73, apartado 1, letra c), del Reglamento horizontal, las solicitudes de ayuda, además de los derechos de parcelas y de derechos de pago, también incluyen «cualquier otro dato previsto por el presente Reglamento o exigido con vistas a la aplicación de la legislación agrícola sectorial correspondiente o por el Estado miembro de que se trate.» (24) En caso de que se prevea que dicha información contiene datos personales, deberían especificarse las categorías de datos exigidos.

20.

El Reglamento horizontal establece una serie de organismos para la aplicación de la PAC en la práctica y les atribuye sus funciones (artículos 7 a 15). Para la Comisión, se han previsto las siguientes competencias (títulos IV a VII):

21.

La primera función mencionada en el párrafo anterior implicará el tratamiento de datos personales, mientras que para la segunda función, no existe a priori una necesidad de tratar datos personales, ya que también puede llevarse a cabo una evaluación general de las medidas sobre la base de datos agregados o anónimos. Salvo si la Comisión ofrece una justificación adecuada de la necesidad del tratamiento de datos personales en este contexto, debería aclararse que no se suministrarán datos personales a la Comisión para el fin de una evaluación general de las medidas.

22.

Los artículos 49 a 52 y 61 a 63 del Reglamento horizontal establecen las normas para practicar controles sobre el terreno (27). La propuesta establece que se llevarán principalmente a cabo por parte de las autoridades competentes de los Estados miembros, especialmente en lo que se refiere a las visitas domiciliarias o el interrogatorio formal de personas, aunque la Comisión tendrá acceso a la información obtenida en estos términos. En este punto, el legislador debe especificar que la Comisión únicamente accederá a estos datos cuando sea necesario a fines de control. También deberían especificarse las categorías de datos personales a los que la Comisión deberá tener acceso.

23.

Con el fin de dar seguimiento a las ayudas, el Reglamento horizontal establece un Sistema de gestión y control (28) (artículos 68 a 78) que está compuesto por una serie de bases de datos:

24.

La base de datos informática estará compuesta por una base de datos para cada Estado miembro (y, de forma opcional, por bases de datos descentralizadas dentro de los mismos). Contendrá datos obtenidos de cada beneficiario a través de las solicitudes de ayuda y de las solicitudes de pago. Dado que no todos los datos obtenidos mediante las solicitudes de ayuda podrán ser necesarios a fines de control, deben estudiarse, en este sentido, las posibilidades de reducir al mínimo el tratamiento de datos personales.

25.

El acceso al sistema de administración y control no está explícitamente regulado. De modo similar a lo establecido en relación con los controles sobre el terreno, el SEPD recomienda al legislador que establezca normas de acceso al sistema claramente circunscritas.

26.

En cuanto a los controles, el Reglamento horizontal prevé el control de los documentos comerciales, incluidos los de terceros (artículos 79 a 88) (29). Estos documentos pueden incluir datos personales sobre terceros. En el instrumento deberán especificarse las condiciones exigidas a terceros para divulgar sus documentos comerciales (30).

27.

El artículo 87 de esta misma propuesta establece que los agentes de la Comisión tendrán acceso a todos los documentos «elaborados con vistas a los controles o como consecuencia de ellos»«de conformidad con las disposiciones legales nacionales aplicables». Esto resulta de aplicación tanto en los casos en que puedan participar en el control (apartado 2) como en los casos en que determinados actos estén reservados a los agentes legalmente designados del Estado miembro en que se realiza el control (apartado 4). En ambos casos, deber garantizarse que los agentes de la Comisión únicamente tengan acceso a estos datos cuando sea necesario (es decir, con fines de control), también en los casos en que la legislación nacional podría permitir el acceso con fines distintos. El SEPD anima al legislador a introducir en el texto precisiones en este sentido.

28.

De acuerdo con el artículo 102 del Reglamento horizontal, los Estados miembros comunicarán determinadas categorías de información, declaraciones y documentos a la Comisión, lo que también deberá incluir «un resumen de los resultados disponibles de todas las auditorías y controles realizados» (artículo 102, apartado 1, letra c), inciso v)). Para este caso, debería especificarse que no se incluirán datos personales en los resúmenes o, si son necesarios los datos personales, debería especificarse la finalidad para la que es preciso comunicar dichos datos.

29.

El artículo 70, apartado 1, del Reglamento horizontal establece que la base de datos informática permitirá consultar «a través de la autoridad competente del Estado miembro» los datos a partir del año 2000 y permitirá «consultar directa e inmediatamente» los datos correspondientes «como mínimo» a los últimos cinco años naturales consecutivos (31).

30.

El sistema de identificación y registro de los derechos de pago autoriza «la verificación de los derechos, así como la realización de controles cruzados con las solicitudes de ayuda y el sistema de identificación de parcelas agrícolas.». El artículo 72, apartado 2, del Reglamento horizontal establece que los datos estarán disponibles durante un período de «como mínimo» cuatro años (32).

31.

En relación con estos dos sistemas, el SEPD recuerda el artículo 6, apartado 1, letra e), de la Directiva 95/46/CE y el artículo 4, apartado 1, letra e), del Reglamento (CE) no 45/2001, en los que se establece que los datos no deben almacenarse de un modo identificable durante un período superior al necesario para la finalidad para la que fueron obtenidos. Esto implica que deben definirse períodos máximos de conservación y no sólo períodos de conservación mínimos.

32.

El artículo 157, apartado 1, párrafo segundo, del Reglamento de la OCM única establece que los datos pueden ser transferidos a terceros países y organizaciones internacionales. El SEPD desea recordar que la transferencia de datos personales a países que no proporcionan una protección adecuada únicamente puede quedar justificada caso por caso si resulta aplicable cualquiera de las excepciones del artículo 26 de la Directiva 95/46/CE o el artículo 9, apartado 6, del Reglamento (CE) no 45/2001 (por ejemplo, si la transferencia es necesaria o está legalmente exigida para la salvaguardia de un interés público importante).

33.

En este caso, la finalidad específica de la transferencia (por ejemplo, relacionada con la aplicación de los acuerdos internacionales) debería quedar especificada (33). Los acuerdos internacionales pertinentes deben incluir salvaguardias en lo que respecta a la protección de la intimidad y de los datos personales y el ejercicio de dichos derechos por parte de los interesados. Además, en el supuesto de que los datos deban ser transferidos por parte de la Comisión, la transferencia debería quedar sujeta a autorización por parte del SEPD (34).

34.

El considerando 70 del Reglamento horizontal establece que se están preparando nuevas normas sobre la publicación de información relativa a los beneficiarios «que tienen en cuenta las objeciones expresadas por el Tribunal de Justicia de la Unión Europea» en el asunto Schecke  (35).

35.

El SEPD desea recordar que las normas sobre la publicación de información relativa a los beneficiarios deben respetar el principio de proporcionalidad. Tal como ha confirmado el Tribunal de Justicia (36), debe realizarse una ponderación equilibrada entre los derechos fundamentales a la vida privada y a la protección de datos de los beneficiarios y el interés de la Unión Europea en garantizar la transparencia y la correcta gestión de los fondos públicos.

36.

Esto también es relevante por lo que respecta al artículo 157, apartado 1, párrafo segundo, del Reglamento de la OCM única, según el cual la información podrá «hacerse pública, a reserva de la protección de los datos de carácter personal y del interés legítimo de las empresas en que no se revelen sus secretos comerciales». Los artículos 157, apartado 2, letra d), y el artículo 157, apartado 3, letra c), facultan a la Comisión para adoptar actos delegados sobre «las condiciones y los medios de publicación de la información» y actos de ejecución sobre las disposiciones de puesta a disposición del público de la información y los documentos.

37.

El SEPD recibe con agrado el hecho de que la publicación de la información y los documentos queden sujetos a la protección de los datos de carácter personal. Sin embargo, deberán especificarse en las propuestas, más que en los actos delegados o de ejecución, los elementos esenciales tales como la finalidad de la publicación, así como las categorías de datos que deberán ser publicados.

38.

Los derechos de los interesados deberían quedar especificados, especialmente en lo que respecta al derecho a la información y el derecho al acceso. Esto es especialmente relevante por lo que se refiere al artículo 81 del Reglamento horizontal, conforme al cual podrán verificarse los documentos comerciales de los beneficiarios pero también de los proveedores, clientes, transportistas u otras terceras partes. Aunque los beneficiarios podrían ser conscientes de que sus datos son objeto de tratamiento, también deberá informarse adecuadamente a terceros de que sus datos pueden ser utilizados a fines de control (por ejemplo, mediante una cláusula de confidencialidad que debe facilitarse en el momento de la recogida y la información proporcionada en todos los sitios web y documentos correspondientes). Deberá incluirse en las propuestas la obligación de informar a los interesados, en particular a terceros.

39.

Deben preverse medidas de seguridad, especialmente por lo que se refiere a las bases de datos y sistemas informatizados. Deben tenerse en cuenta los principios de responsabilidad y de intimidad mediante el diseño. Debe adoptarse una lista de medidas de seguridad en relación con estas bases de datos informáticas y podrían introducirse sistemas, como mínimo, mediante actos delegados o ejecutivos. Esto es tanto más importante, si cabe, cuanto que los datos personales tratados en el contexto de las comprobaciones y controles podrían incluir datos sobre supuestas infracciones.

40.

El SEPD acoge con agrado las exigencias establecidas en el artículo 103 del Reglamento horizontal respecto a la confidencialidad y el secreto profesional de los controles en el sentido de lo dispuesto en los artículos 79 a 88 de dicho reglamento.

41.

El SEPD considera que los aspectos centrales de las operaciones de tratamiento previstas en las propuestas y las necesarias salvaguardias de protección de datos deben regularse en los textos legislativos principales en lugar de en los actos delegados o de ejecución, a fin de reforzar la seguridad jurídica:

42.

Estos elementos podrán elaborarse ulteriormente en actos delegados o actos de ejecución. El SEPD espera ser consultado a este respecto.

43.

Además, deberían preverse medidas de seguridad, al menos mediante actos delegados o actos de ejecución, especialmente en lo que se refiere a las bases de datos y sistemas informáticos. También deberán tenerse en cuenta los principios de responsabilidad y de intimidad mediante el diseño.

44.

Por último, teniendo en cuenta que en algunos casos pueden tratarse datos relativos a (supuestas) infracciones (por ejemplo, relacionadas con el fraude), podrá ser necesario un control previo por parte de las autoridades nacionales encargadas de la protección de datos competentes o del SEPD.