Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
RESUMEN
Entre las principales Recomendaciones generales, el Parlamento Europeo:
- Destaca la importancia innegable de la protección de la privacidad, del derecho a la dignidad y a la vida privada y familiar, de la libertad de expresión e información, de la libertad de reunión y asociación, y del derecho a un juicio justo, en particular en un mundo cada vez más digital en el que cada vez más actividades nuestras se desarrollan en línea;
- Adopta la firme postura de que las violaciones de estos derechos y libertades fundamentales son clave en lo que se refiere al respeto por los principios jurídicos comunes establecidos en los Tratados y en otras fuentes, y señala que la democracia en sí está en juego, ya que el uso de programas espía contra los políticos, la sociedad civil y los periodistas ejerce un efecto inhibidor y afecta gravemente al derecho a la reunión pacífica, la libertad de expresión y la participación pública;
- Condena enérgicamente el uso de programas espía por parte de los gobiernos de los Estados miembros y los miembros de las autoridades gubernamentales o instituciones estatales con el fin de supervisar, chantajear, intimidar, manipular y desacreditar a miembros de la oposición, críticos y la sociedad civil, eliminar el escrutinio democrático y la libertad de prensa, manipular las elecciones y socavar el Estado de Derecho mediante el espionaje a jueces, fiscales y abogados con fines políticos;
- Señala que este uso ilegítimo de programas espía por parte de los Gobiernos nacionales y de terceros países afecta directa e indirectamente a las instituciones de la Unión y al proceso de toma de decisiones, socavando así la integridad de la democracia de la Unión Europea;isto el Tratado.
A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@hotmail.com
____________________________________________________________________
Diario Oficial de la Unión Europea |
C/2024/494 Serie C 23.1.2024
P9_TA(2023)0244
Examen del uso del programa espía de vigilancia Pegasus y otros programas equivalentes (Recomendación)
Recomendación del Parlamento Europeo, de 15 de junio de 2023, al Consejo y a la Comisión a raíz del examen de las alegaciones de infracción y de mala administración en la aplicación del Derecho de la Unión en relación con el uso del programa espía de vigilancia Pegasus y otros programas equivalentes (2023/2500(RSP))
(C/2024/494)
El Parlamento Europeo,
— Visto el Tratado de la Unión Europea (TUE) y, en particular, sus artículos 2, 4, 6 y 21,
— Vistos los artículos 16, 223, 225 y 226 del Tratado de Funcionamiento de la Unión Europea (TFUE),
— Vista la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»), y en particular sus artículos 7, 8, 11, 17, 21, 41, 42 y 47,
— Vista la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (1),
— Visto el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por la que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (2),
— Vista la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos, y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (3),
— Vista la Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo (4) (Directiva sobre ciberdelincuencia),
— Visto el Reglamento (UE) 2021/821 del Parlamento Europeo y del Consejo, de 20 de mayo de 2021, por el que se establece un régimen de la Unión para el control de las exportaciones, el corretaje, la asistencia técnica, el tránsito y la transferencia de productos de doble uso (5) (Reglamento sobre productos de doble uso),
— Vista la Decisión (PESC) 2019/797 del Consejo, de 17 de mayo de 2019, relativa a medidas restrictivas contra los ciberataques que amenacen a la Unión o a sus Estados miembros (6), en su versión modificada por la Decisión (PESC) 2021/796 del Consejo, de 17 de mayo de 2021 (7),
— Vista el Acta relativa a la elección de los diputados al Parlamento Europeo por sufragio universal directo (8),
— Vista la Decisión 95/167/CE, Euratom, CECA del Parlamento Europeo, del Consejo y de la Comisión, de 6 de marzo de 1995, relativa a las modalidades de ejercicio del derecho de investigación del Parlamento Europeo (9),
— Vista la Decisión (UE) 2022/480 del Parlamento Europeo, de 10 de marzo de 2022, sobre la constitución, el objeto de la investigación, las competencias, la composición numérica y la duración del mandato de la Comisión de Investigación Encargada de Examinar el Uso del Programa Espía de Vigilancia Pegasus y Otros Programas Equivalentes (10),
— Vista la Directiva (UE) 2018/843 del Parlamento Europeo y del Consejo, de 30 de mayo de 2018, por la que se modifica la Directiva (UE) 2015/849 relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo, y por la que se modifican las Directivas 2009/138/CE y 2013/36/UE (11) (en lo sucesivo, «Directiva antiblanqueo»),
— Vista la propuesta de Reglamento del Parlamento Europeo y del Consejo, de 16 de septiembre de 2022, por el que se establece un marco común para los servicios de medios de comunicación en el mercado interior (Ley Europea de Libertad de los Medios de Comunicación) y se modifica la Directiva 2010/13/UE (COM(2022)0457),
— Visto el artículo 12 de la Declaración Universal de Derechos Humanos,
— Vista la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) en el asunto C-37/20 (12) sobre la Directiva antiblanqueo, que afirma que la disposición que establece que la información sobre la titularidad real de las sociedades constituidas en el territorio de los Estados miembros esté en todos los casos a disposición de cualquier miembro del público en general es inválida,
— Visto el artículo 17 del Pacto Internacional de Derechos Civiles y Políticos,
— Vistos la Carta de las Naciones Unidas y los Principios Rectores de las Naciones Unidas sobre las empresas y los derechos humanos (13),
— Vista la declaración de la alta comisionada de las Naciones Unidas para los Derechos Humanos Michelle Bachelet, de 19 de julio de 2022, titulada «Use of spyware to surveil journalists and human rights defenders» (El uso de programas espía para vigilar a periodistas y defensores de los derechos humanos),
— Visto el comentario de la comisaria para los Derechos Humanos del Consejo de Europa, Dunja Mijatović, de 27 de enero de 2023, titulado «Highly intrusive spyware threatens the essence of human rights» (Los programas espía altamente invasivos amenazan la esencia de los derechos humanos) (14),
— Vistas las observaciones preliminares del Supervisor Europeo de Protección de Datos (SEPD), de 15 de febrero de 2022, sobre los programas espía modernos (15),
— Visto el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, y en particular sus artículos 8, 10, 13, 14 y 17 y sus Protocolos,
— Vista la Evaluación de la amenaza de la delincuencia grave y organizada (SOCTA) de Europol, de 2021, titulada «A Corrupting Influence: the Infiltration and Undermining of Europe’s Economy and Society by Organised Crime» (Una influencia corruptora: la infiltración y el menoscabo de la economía y la sociedad europeas por la delincuencia organizada),
— Visto el informe de 2017 de la Agencia de los Derechos Fundamentales de la Unión Europea (FRA) titulado «Surveillance by intelligence services: fundamental rights safeguards and remedies in the EU» (Vigilancia a cargo de los servicios de inteligencia: salvaguardias y tutela de los derechos fundamentales en la UE), y las actualizaciones presentadas el 28 de febrero de 2023 a la Comisión de Investigación para investigar el uso del programa espía de vigilancia Pegasus y otros programas equivalentes (PEGA),
— Vistas su Resolución, de 12 de marzo de 2014, sobre el programa de vigilancia de la Agencia Nacional de Seguridad de los EE. UU., los órganos de vigilancia en diversos Estados miembros y su impacto en los derechos fundamentales de los ciudadanos de la UE y en la cooperación transatlántica en materia de justicia y asuntos de interior (16), y en particular, sus recomendaciones formuladas en dicha Resolución sobre el refuerzo de la seguridad informática en las instituciones, órganos y organismos de la Unión,
— Visto el dictamen 24/2022 del SEPD, de 11 de noviembre de 2022, sobre la Ley Europea de Libertad de los Medios de Comunicación,
— Visto el glosario sobre programas maliciosos y programas espía elaborado por la Agencia de la Unión Europea para la Ciberseguridad (ENISA),
— Vista la Decisión de la Defensora del Pueblo Europeo sobre cómo evaluó la Comisión Europea las repercusiones para los derechos humanos antes de prestar apoyo a los países africanos para desarrollar capacidades de vigilancia (asunto 1904/2021/MHZ),
— Vista la declaración, de 2 de febrero de 2023, de Irene Kahn, relatora especial de las Naciones Unidas sobre la libertad de opinión y de expresión, y Fernand de Varennes, relator especial de las Naciones Unidas sobre cuestiones de las minorías, pidiendo que se investigue el supuesto programa de espionaje contra los líderes catalanes (17),
— Visto el informe de la Comisión Europea para la Democracia por el Derecho (Comisión de Venecia) sobre la supervisión democrática de los servicios de seguridad (18) y su dictamen titulado «Polonia — Dictamen sobre la Ley de 15 de enero de 2016 por la que se modifica la Ley de policía y otras leyes» (19),
— Visto el informe de la Comisión de Investigación Encargada de Examinar el Uso del Programa Espía de Vigilancia Pegasus y Otros Programas Equivalentes (A9-0189/2023),
— Visto el artículo 208, apartado 12, de su Reglamento interno,
- Considerando que, gracias a los esfuerzos de CitizenLab y Amnesty Tech y de numerosos periodistas de investigación, se ha revelado que determinados órganos de la Administración en varios países, tanto Estados miembros de la UE como países no pertenecientes a la Unión, han utilizado el programa espía de vigilancia Pegasus y otros programas equivalentes contra periodistas, políticos, funcionarios policiales, diplomáticos, abogados, empresarios y agentes de la sociedad civil y de otros ámbitos, con fines políticos e incluso delictivos; que dichas prácticas son extremadamente alarmantes y demuestran el riesgo de que se abuse de las tecnologías de vigilancia para socavar los derechos humanos fundamentales, la democracia y los procesos electorales;
- Considerando que, siempre que se mencione el término «programa espía» en el informe, significa «el programa espía de vigilancia Pegasus y otros programas equivalentes», tal como se define en la Decisión del Parlamento por la que se crea la Comisión PEGA;
- Considerando que se ha observado que agentes estatales han utilizado deliberadamente programas espía de una manera engañosa recurriendo a programas espía que pueden camuflarse como un programa, archivo o contenido legítimos («troyano»), como mensajes falsos de las instituciones públicas; que, en algunos casos, las autoridades públicas han utilizado a operadores telefónicos para transmitir contenido malicioso al dispositivo de la persona espiada; que los programas espía pueden desplegarse explotando vulnerabilidades de día cero sin la interacción del objetivo con contenido infectado, eliminar todo rastro de su presencia al desinstalarse, y anonimizar la conexión entre operadores remotos y servidor;
- Considerando que, en los inicios de la comunicación móvil, las escuchas se llevaban a cabo mediante la interceptación de llamadas y, posteriormente, de mensajes de texto en formato simple;
- Considerando que la aparición de aplicaciones de comunicación móvil cifradas dio lugar al surgimiento de la industria de los programas espía, que aprovechan las vulnerabilidades existentes en los sistemas operativos de los teléfonos inteligentes con el fin de instalar programas informáticos que importan los programas espía en el teléfono, entre otras vías, a través de infecciones de «cero clics» sin el conocimiento del usuario ni ninguna acción por su parte, lo que permite la extracción de datos antes del cifrado; que dichos programas espía de «cero clics», por su propio diseño, dificultan enormemente el control eficaz y significativo de su uso;
- Considerando que el conocimiento de vulnerabilidades en sistemas informáticos se comercia directamente entre las partes o es facilitado por agentes intermediarios; que este comercio incluye a agentes no estatales y a organizaciones delictivas;
- Considerando que la adquisición, el comercio y el acopio de vulnerabilidades de día cero socavan de manera fundamental la integridad y la seguridad de las comunicaciones y la ciberseguridad de los ciudadanos de la UE;
- Considerando que el uso de programas espía de vigilancia debe seguir siendo la excepción y estar siempre sujeto a una autorización judicial previa efectiva, vinculante y significativa por parte de una autoridad judicial imparcial e independiente, que debe garantizar que la medida sea necesaria, proporcionada y estrictamente limitada a los casos que afecten a la seguridad nacional o que atañan al terrorismo o a delitos graves; que las técnicas de vigilancia son susceptibles de abusos en los entornos carentes de controles y equilibrios eficaces;
- Considerando que toda vigilancia mediante programas espía debe ser examinada por una autoridad de supervisión independiente ex post, que debe garantizar que toda vigilancia autorizada se lleve a cabo respetando los derechos fundamentales y de conformidad con las condiciones establecidas por el TJUE, el Tribunal Europeo de Derechos Humanos (TEDH) y la Comisión de Venecia; que dicha autoridad de supervisión ex postdebe ordenar el final de la vigilancia de inmediato cuando se concluya que es incompatible con los derechos y las condiciones antes mencionados;
- Considerando que la vigilancia de programas espía que no cumple los requisitos establecidos en el Derecho de la Unión y en la jurisprudencia del TJUE y del TEDH es contraria a los valores consagrados en el artículo 2 del TUE y los derechos fundamentales consagrados en la Carta y, en particular, a los que figuran en sus artículos 7, 8, 11, 17, 21 y 47, que reconocen derechos, libertades y principios específicos, como el respeto de la vida privada y familiar, la protección de los datos personales, la libertad de expresión e información, el derecho a la propiedad, el derecho a la no discriminación, el derecho a la tutela judicial efectiva y a un juicio justo y el derecho a la presunción de inocencia;
- Considerando que los derechos de las personas afectadas se establecen en la Carta de los Derechos Fundamentales y en los convenios internacionales, en particular el derecho a la intimidad y el derecho a un juicio justo, y en las normas de la Unión sobre los derechos de los sospechosos y acusados; que estos derechos han sido confirmados por la jurisprudencia del TJUE y del TEDH;
- Considerando que el impacto de la vigilancia dirigida sobre las mujeres puede ser especialmente grave, dado que las autoridades pueden aprovechar el mayor escrutinio social al que se somete a las mujeres para utilizar como arma datos privados e íntimos extraídos a través de programas espía para campañas de difamación;
- Considerando que de los testimonios de las personas objeto de estas actuaciones se desprende claramente que, aunque sobre el papel existan recursos legales y derechos civiles, en la mayoría de los casos resultan nulos ante la obstrucción por parte de los órganos de la Administración, la ausencia o la no aplicación de los derechos de dichas personas a ser informadas, y el obstáculo administrativo de las personas que tienen que demostrar que han sido objeto de tales actuaciones; que incluso en sistemas con procedimientos rápidos y abiertos, la naturaleza de los programas espía hace muy difícil demostrar la autoría y la naturaleza y el alcance de los ataques contra una persona;
- Considerando que los tribunales no han aceptado las pruebas forenses de expertos independientes, sino únicamente las pruebas basadas en el examen de las autoridades o las fuerzas de la seguridad o del orden que supuestamente están detrás de un ataque; que esto deja a las víctimas en una situación paradójica y sin una opción viable para demostrar una infección por programas espía;
- Considerando que el Gobierno polaco ha debilitado y eliminado las salvaguardias institucionales y jurídicas, incluidos los procedimientos adecuados de supervisión y control, dejando efectivamente a las personas espiadas sin ningún recurso significativo; que el programa espía de vigilancia Pegasus se ha utilizado ilegalmente con fines políticos para espiar a periodistas, políticos de la oposición, abogados, fiscales y agentes de la sociedad civil;
- Considerando que el Gobierno húngaro ha debilitado y eliminado las salvaguardias institucionales y jurídicas, incluidos los procedimientos adecuados de supervisión y control, dejando efectivamente a las personas ilegalmente espiadas sin ningún recurso significativo; que el programa espía de vigilancia Pegasus se ha utilizado ilegalmente para espiar a periodistas, políticos de la oposición, abogados, fiscales y agentes de la sociedad civil con fines políticos;
- Considerando que se ha confirmado oficialmente que un diputado al Parlamento Europeo de Grecia y un periodista griego han sido objeto de escuchas por el Servicio Nacional de Inteligencia (EYP) griego y espiados con el programa espía Predator; que un antiguo empleado greco-estadounidense de Meta fue simultáneamente objeto de escuchas por parte del EYP y espiado con el programa espía Predator, cuyo uso es ilegal con arreglo a la legislación griega; que, según diversos informes de medios de comunicación, parlamentarios de partidos de la oposición y del gobierno en Grecia, activistas de distintos partidos y periodistas también han sido presuntamente víctimas del programa espía Predator o de escuchas telefónicas convencionales por parte del EYP, o de ambas actuaciones; que el Gobierno griego niega haber adquirido o utilizado el programa Predator, pero que es muy probable que este programa haya sido utilizado por personas muy próximas al gabinete del primer ministro o en su nombre; que el Gobierno griego ha admitido haber concedido licencias de exportación a Intellexa para la venta del programa espía Predator a Gobiernos represivos, como los de Madagascar y Sudán; que el Gobierno ha respondido al escándalo introduciendo modificaciones legislativas que reducen aún más el derecho de las personas vigiladas a ser informada al término de dicha vigilancia y obstaculizan aún más el trabajo de las autoridades independientes;
- Considerando que la información revelada indicaba la existencia de dos categorías de objetivos de los programas espía en España; que la primera incluye al presidente del Gobierno y a la ministra de Defensa, al ministro del Interior y a otros altos funcionarios; que la segunda categoría forma parte de lo que la organización Citizen Lab denomina «CatalanGate», e incluye a 65 personas espiadas, entre las que figuran personalidades políticas de la Generalitat de Cataluña, miembros del movimiento independentista catalán, diputados al PE, abogados, miembros del mundo académico y agentes de la sociedad civil; que, en mayo de 2022, las autoridades españolas admitieron haber espiado a 18 personas con autorización judicial, aunque hasta la fecha no han divulgado las órdenes judiciales ni ninguna otra información, aludiendo a motivos de seguridad nacional al dar cuenta del uso de programas espía de vigilancia en España; que otras 47 personas han sido presuntamente objeto de estas actuaciones, pero no han recibido más información que la de Citizen Lab;
- Considerando que no se ha confirmado ninguna acusación de infección por programas espía en Chipre; que Chipre es un importante centro europeo de exportación para el sector de la vigilancia y un lugar atractivo para las empresas que venden tecnologías de vigilancia;
- Considerando que existen claros indicios de que los gobiernos de Marruecos y Ruanda, entre otros, han vigilado con programas espía a ciudadanos de la Unión de perfil elevado, entre los que se encuentran el presidente de Francia, el presidente del Gobierno, la ministra de Defensa y el ministro del Interior de España, el antiguo primer ministro de Bélgica, el expresidente de la Comisión y antiguo primer ministro de Italia, y Carine Kanimba, la hija de Paul Rusesabagina;
- Considerando que puede suponerse con seguridad que todos los Estados miembros han comprado o utilizado uno o varios sistemas de espionaje; que la mayoría de los gobiernos de la Unión Europea se abstendrán del uso ilegítimo de los programas espía, pero que el riesgo de abuso es muy plausible en ausencia de un marco jurídico sólido que incluya salvaguardas y supervisión, y a la luz de los retos técnicos para detectar y rastrear las infecciones;
- Considerando que la mayoría de los Gobiernos y los Parlamentos de los Estados miembros no han facilitado al Parlamento Europeo información significativa sobre los marcos jurídicos que rigen el uso de programas espía en sus Estados miembros más allá de lo que ya se conocía públicamente, a pesar de la obligación de hacerlo de conformidad con el artículo 3, apartado 4, de la Decisión del Parlamento Europeo, del Consejo y de la Comisión, de 6 de marzo de 1995, relativa a las modalidades de ejercicio del derecho de investigación del Parlamento Europeo; que es difícil evaluar la aplicación de la legislación de la Unión y las salvaguardias, la supervisión y las vías de recurso que impiden una protección adecuada de los derechos fundamentales de los ciudadanos;
- Considerando que el artículo 4, apartado 3, del TUE establece que «[c]onforme al principio de cooperación leal, la Unión y los Estados miembros se respetarán y asistirán mutuamente en el cumplimiento de las misiones derivadas de los Tratados»;
- Considerando que varias personas clave del sector de los programas espía han obtenido la ciudadanía maltesa, lo que facilita sus operaciones en el seno de la Unión y desde esta;
- Considerando que múltiples desarrolladores y proveedores de programas espía están registrados en uno o varios Estados miembros o lo han estado; que entre tales desarrolladores y proveedores figura el Grupo NSO, con presencia empresarial en Luxemburgo, Chipre, los Países Bajos y Bulgaria; la sociedad matriz de Intellexa, Thalestris Limited, en Irlanda, Grecia, Suiza y Chipre; DSIRF en Austria; QuaDream en Chipre; Amesys y Nexa Technologies en Francia; Tykelab y RCS Lab en Italia, y FinFisher (actualmente desaparecida) en Alemania;
- Considerando que la Unión no participa en el Arreglo de Wassenaar sobre control de exportaciones de armas convencionales y bienes y tecnología de doble uso; que todos los Estados miembros, excepto Chipre, participan en el Arreglo de Wassenaar, aunque Chipre presentó hace mucho tiempo una solicitud para adherirse al mismo; que Chipre está sujeta al Reglamento sobre productos de doble uso;
- Considerando que el régimen de exportación de Israel (20)se aplica, en principio, a todos los ciudadanos israelíes, incluso cuando operan desde la Unión; que Israel no participa en el Arreglo de Wassenaar, pero afirma no obstante aplicar sus normas;
- Considerando que la exportación de programas espía de la Unión a terceros países está regulada en el Reglamento sobre productos de doble uso, que se revisó en 2021; que la Comisión publicó un primer informe de ejecución en septiembre de 2022 (21);
- Considerando que algunos productores de programas espía que exportan a terceros países se establecen dentro de la Unión para ganar respetabilidad mientras comercian con programas espía con regímenes represivos; que se están produciendo exportaciones de la Unión a regímenes represivos o a agentes no estatales, lo que constituye una violación de las normas de exportación de la Unión;
- Considerando que Amesys y Nexa Technologies están siendo procesados actualmente en Francia por exportar tecnología de vigilancia a Libia, Egipto y Arabia Saudí; que, al parecer, las empresas de Intellexa radicadas en Grecia exportaron sus productos a Bangladesh, Sudán, Madagascar y, al menos, a un país árabe; que el programa de FinFisher es utilizado en decenas de países de todo el mundo, entre los que se encuentran Angola, Baréin, Bangladesh, Egipto, Etiopía, Gabón, Jordania, Kazajistán, Myanmar, Omán, Qatar, Arabia Saudí y Turquía, y por los servicios de inteligencia de Marruecos, que han sido acusados de utilizar el programa espía Pegasus contra periodistas, defensores de los derechos humanos, la sociedad civil y políticos por Amnistía Internacional y Forbidden Stories; que se desconoce si se concedieron licencias para la exportación de programas espía a todos estos países; que la fiscalía de Múnich ha acusado a antiguos ejecutivos de FinFisher por haber exportado tecnologías de vigilancia a Turquía sin una licencia de exportación;
- Considerando que el número de asistentes a las ferias de armamento e ISSWorld que comercializan programas espía demuestran el predominio de proveedores de programas espía y de productos y servicios relacionados procedentes de terceros países, un número significativo de los cuales tiene su sede en Israel (por ejemplo, el Grupo NSO, Wintego, Quadream y Cellebrite), y ponen de manifiesto la existencia de importantes productores en la India (ClearTrail), el Reino Unido (BAe Systems y Black Cube) y los Emiratos Árabes Unidos (DarkMatter), mientras que la lista de entidades de los Estados Unidos que veta a los fabricantes de programas espía ubicados en Israel (Grupo NSO y Candiru), Rusia (Positive Technologies) y Singapur (Computer Security Initiative Consultancy PTE LTD.) resalta aún más la diversidad de procedencia de los fabricantes de programas espía; que a la feria también asiste una amplia gama de autoridades públicas europeas, entre las que se encuentran las fuerzas de policía locales;
- Considerando que el artículo 4, apartado 2, del TUE establece que la seguridad nacional sigue siendo responsabilidad exclusiva de cada uno de los Estados miembros;
- Considerando, no obstante, que el TJUE ha dictaminado en el asunto C-623/17 que «si bien corresponde a los Estados miembros determinar sus intereses esenciales de seguridad y adoptar las medidas adecuadas para garantizar su seguridad interior y exterior, el mero hecho de que se haya adoptado una medida nacional con el fin de proteger la seguridad nacional no puede dar lugar a la inaplicabilidad del Derecho de la Unión ni dispensar a los Estados miembros de la necesaria observancia de dicho Derecho»;
- Considerando que el TJUE ha dictaminado en el asunto C-203/15 que «el artículo 15, apartado 1, de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), en su versión modificada por la Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, en relación con los artículos 7, 8, 11 y 52, apartado 1, de la Carta, debe interpretarse en el sentido de que se opone a una normativa nacional que establece, con la finalidad de luchar contra la delincuencia, la conservación generalizada e indiferenciada de todos los datos de tráfico y de localización de todos los abonados y usuarios registrados en relación con todos los medios de comunicación electrónica.»;
- Considerando que el TJUE ha dictaminado en el asunto C-203/15 que «el artículo 15, apartado 1, de la Directiva 2002/58/CE, en su versión modificada por la Directiva 2009/136/CE, en relación con los artículos 7, 8, 11 y 52, apartado 1, de la Carta, debe interpretarse en el sentido de que se opone a una normativa nacional que regula la protección y la seguridad de los datos de tráfico y de localización, en particular el acceso de las autoridades nacionales competentes a los datos conservados, sin limitar dicho acceso, en el marco de la lucha contra la delincuencia, a los casos de delincuencia grave, sin supeditar dicho acceso a un control previo por un órgano jurisdiccional o una autoridad administrativa independiente, y sin exigir que los datos de que se trata se conserven en el territorio de la Unión.»;
- Considerando que la jurisprudencia del TEDH establece claramente que toda vigilancia debe llevarse a cabo de conformidad con el Derecho, servir un objetivo legítimo y ser necesaria y proporcionada; que, además, el marco jurídico debe proporcionar salvaguardas precisas, eficaces y exhaustivas sobre el ordenamiento y la ejecución de medidas de vigilancia, así como posibles oportunidades de recurso contra estas, que deben estar sujetas a una revisión judicial adecuada y a una supervisión efectiva (22);
- Considerando que el Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (Convenio n.o108), recientemente modernizado como Convenio 108 +, se aplica al tratamiento de datos personales con fines de seguridad (nacional) del Estado, incluida la defensa; que todos los Estados miembros de la UE son partes de dicho Convenio;
- Considerando que diversos aspectos importantes del uso de programas espía de vigilancia para la prevención, la investigación, la detección o el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, en particular la salvaguardia y prevención de amenazas a la seguridad pública o a la seguridad nacional, entran en el ámbito de aplicación del Derecho de la Unión;
- Considerando que la Carta establece las condiciones para la limitación del ejercicio de los derechos fundamentales, exigiendo que se establezca por ley, que respete la esencia de los derechos y libertades en cuestión, que se someta al principio de proporcionalidad y que se imponga únicamente cuando sea necesaria y responda efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de proteger los derechos y libertades de los demás; que, cuando se utilizan programas espía, el nivel de injerencia en el derecho a la intimidad es tan severo que la persona se ve efectivamente privada de él y el uso no siempre puede considerarse proporcionado, independientemente de si la medida puede considerarse necesaria para alcanzar los objetivos legítimos de un Estado democrático;
- Considerando que la Directiva sobre la privacidad y las comunicaciones electrónicas establece que los Estados miembros deben garantizar la confidencialidad de las comunicaciones; que el empleo de herramientas de vigilancia constituye una restricción del derecho a la protección de los equipos terminales garantizado por la Directiva sobre la privacidad y las comunicaciones electrónicas; que tales restricciones situarían a la legislación nacional sobre programas espía en el ámbito de aplicación de la Directiva sobre la privacidad y las comunicaciones electrónicas, de manera análoga a la legislación nacional en materia de conservación de datos; que el uso frecuente de tecnología de programas espía intrusivos no sería compatible con el ordenamiento jurídico de la Unión;
- Considerando que, de conformidad con el Derecho internacional, un Estado solo tiene derecho a investigar posibles delitos dentro de su jurisdicción y debe recurrir a la asistencia de otros Estados en los casos en que la investigación deba tener lugar en otros países, a menos que exista una base para llevar a cabo investigaciones en otras jurisdicciones en virtud de un acuerdo internacional, o del Derecho de la Unión, en el caso de los Estados miembros;
- Considerando que la infección de un dispositivo con programas espía y la ulterior recogida de datos se produce a través de los servidores de los proveedores de servicios móviles; que, dado que la itinerancia gratuita en la Unión ha dado lugar a que, en ocasiones, determinadas personas celebren contratos de telefonía móvil con otros Estados miembros distintos de aquél en el que residen, actualmente no existe fundamento jurídico en el Derecho de la Unión para la recogida de datos en el otro Estado miembro mediante el uso de programas espía;
- Considerando que David Kaye, el antiguo relator especial de las Naciones Unidas sobre la promoción y protección del derecho a la libertad de opinión y de expresión (23), y la actual relatora especial sobre la promoción y protección del derecho a la libertad de opinión y de expresión (24), Irene Khan, han pedido una moratoria inmediata sobre el uso, la transferencia y la venta de herramientas de vigilancia hasta que se hayan establecido salvaguardas estrictas de los derechos humanos para regular las prácticas y garantizar que los Gobiernos y los agentes no estatales utilicen estas herramientas de manera legítima;
- Considerando que existen casos en los que las empresas de programas espía, en particular Intellexa, no solo han vendido la tecnología de interceptación y extracción en sí, sino también el servicio completo, también denominado «de pirateo informático» o «ciberinteligencia activa», que ofrece un paquete de métodos tecnológicos de vigilancia e interceptación, así como formación para el personal y apoyo técnico, operativo y metodológico; que este servicio podría permitir a la empresa de que se trate controlar toda la operación de vigilancia y agregar los datos derivados de la misma; que esta práctica resulta casi imposible de supervisar y controlar por las autoridades competentes; que ello dificulta el cumplimiento de los principios de proporcionalidad, necesidad, legitimidad, legalidad y adecuación; que este servicio no está permitido por la agencia israelí de control de las exportaciones de defensa (DECA); que se ha utilizado a Chipre para eludir las limitaciones existentes con arreglo a la legislación israelí, con el fin de proporcionar servicios de piratería informática;
- Considerando que los Estados miembros deben cumplir las Directivas 2014/24/UE y 2009/81/CE sobre contratación pública y defensa, respectivamente; que deben justificar adecuadamente las excepciones en virtud del artículo 346, apartado 1, letra b), del TFUE, ya que la Directiva 2009/81/CE tiene explícitamente en cuenta las características sensibles de los contratos públicos de defensa, y respetar el Acuerdo sobre Contratación Pública de la OMC, modificado el 30 de marzo de 2012 (25)si son parte del mismo;
- Considerando que el SEPD ha subrayado que los Estados miembros deben respetar el Convenio Europeo de Derechos Humanos y la jurisprudencia del TEDH, que fija límites a las actividades de vigilancia para fines de seguridad nacional; que, además, cuando se utiliza para fines policiales, la vigilancia debe cumplir el Derecho de la Unión, Y en particular la Carta y Directivas de la Unión como la Directiva sobre la privacidad y las comunicaciones electrónicas y la Directiva sobre protección de datos en el ámbito penal;
- Considerando que se ha informado de que las grandes instituciones financieras han intentado incitar a los fabricantes de programas espía a que se abstengan de aplicar las normas adecuadas en materia de derechos humanos y diligencia debida y a que sigan vendiendo programas espía a regímenes represivos;
- Considerando que, en el programa Horizonte 2020, Israel figura en tercer lugar entre los países asociados en cuanto a la participación global en el programa; que el Acuerdo de Horizonte Europa con Israel cuenta con un presupuesto global para 2021-2027 de 95 500 000 000 EUR (26); que se han puesto a disposición de las empresas militares y de seguridad israelíes fondos a través de estos programas europeos (27);
- Considerando que el principal instrumento legislativo para las políticas de desarrollo de la Unión es el Reglamento (UE) 2021/947 (28)(«Reglamento de Europa Global»), y que los fondos de la Unión pueden facilitarse con arreglo a las modalidades de financiación previstas en el Reglamento financiero; que la asistencia puede suspenderse en caso de degradación de la democracia, los derechos humanos o el Estado de Derecho en terceros países;
- Destaca la importancia innegable de la protección de la privacidad, del derecho a la dignidad y a la vida privada y familiar, de la libertad de expresión e información, de la libertad de reunión y asociación, y del derecho a un juicio justo, en particular en un mundo cada vez más digital en el que cada vez más actividades nuestras se desarrollan en línea;
- Adopta la firme postura de que las violaciones de estos derechos y libertades fundamentales son clave en lo que se refiere al respeto por los principios jurídicos comunes establecidos en los Tratados y en otras fuentes, y señala que la democracia en sí está en juego, ya que el uso de programas espía contra los políticos, la sociedad civil y los periodistas ejerce un efecto inhibidor y afecta gravemente al derecho a la reunión pacífica, la libertad de expresión y la participación pública;
- Condena enérgicamente el uso de programas espía por parte de los gobiernos de los Estados miembros y los miembros de las autoridades gubernamentales o instituciones estatales con el fin de supervisar, chantajear, intimidar, manipular y desacreditar a miembros de la oposición, críticos y la sociedad civil, eliminar el escrutinio democrático y la libertad de prensa, manipular las elecciones y socavar el Estado de Derecho mediante el espionaje a jueces, fiscales y abogados con fines políticos;
- Señala que este uso ilegítimo de programas espía por parte de los Gobiernos nacionales y de terceros países afecta directa e indirectamente a las instituciones de la Unión y al proceso de toma de decisiones, socavando así la integridad de la democracia de la Unión Europea;
- Observa con gran preocupación la inadecuación fundamental de la actual estructura de gobernanza de la Unión para responder a los ataques contra la democracia, los derechos fundamentales y el Estado de Derecho desde dentro de la Unión, y que muchos Estados miembros no adopten medidas al respecto; señala que, cuando estos valores se ven amenazados en un Estado miembro, se pone en peligro a toda la Unión;
- Recalca que las normas digitales que rigen los progresos tecnológicos en la Unión deben respetar los derechos fundamentales;
- Adopta la firme posición de que la exportación de programas espía de la Unión a dictaduras y regímenes represivos con un pobre historial en materia de derechos humanos en los que se utilizan dichas herramientas contra activistas de derechos humanos, periodistas y críticos con el Gobierno constituye una grave violación de los derechos fundamentales consagrados en la Carta y una grave violación de las normas de exportación de la Unión;
- Expresa asimismo su preocupación por el uso ilegítimo y el comercio ilícito de programas espía por parte de los Estados miembros, que, en su conjunto, convierten a la Unión en un destino para la industria de los programas espía;
- Expresa asimismo su preocupación por los ataques dirigidos contra personalidades de alto perfil, defensores de los derechos humanos y periodistas en la Unión con programas espía, por parte de países no pertenecientes a la UE;
- Manifiesta asimismo su preocupación por la aparente reticencia a investigar los abusos perpetrados con programas espía, tanto si el sospechoso es un organismo gubernamental de un Estado miembro como si procede de un tercer país; toma nota de la gran lentitud de los avances y la falta de transparencia en las investigaciones judiciales sobre los abusos cometidos con programas espía contra ministros y dirigentes de los Gobiernos de los Estados miembros de la Unión, así como contra miembros de la sociedad civil, periodistas o adversarios políticos;
- Observa que el marco jurídico de algunos Estados miembros no proporciona salvaguardias precisas, eficaces y exhaustivas sobre el ordenamiento y la ejecución de medidas de vigilancia; así como los posibles mecanismos de recurso contra estas; observa que dichas medidas deben servir un objetivo legítimo y ser necesarias y proporcionadas;
- Lamenta que los Gobiernos de los Estados miembros, el Consejo y la Comisión no cooperen plenamente con la investigación y no compartan toda la información pertinente y significativa, con el fin de ayudar a la Comisión de Investigación a desempeñar las tareas que le atañen con arreglo a su mandato; reconoce que parte de esta información puede estar sujeta a estrictos requisitos legales de secreto y confidencialidad; considera que la respuesta colectiva del Consejo es totalmente inadecuada y contraria al principio de cooperación leal consagrado en el artículo 4, apartado 3, del TUE;
- Concluye que ni los Estados miembros, ni el Consejo, ni la Comisión parecen estar interesados en maximizar sus esfuerzos para investigar a fondo el abuso de los programas espía, protegiendo así a sabiendas a los Gobiernos de la Unión que violan los derechos humanos dentro y fuera de la Unión;
- Concluye que es probable que se hayan producido importantes infracciones y mala administración en la aplicación del Derecho de la Unión en Polonia;
- Pide a Polonia que:
- a) inste a la Fiscalía General a que inicie investigaciones sobre el uso indebido de programas espía;
- b) restablezca urgentemente garantías institucionales y jurídicas suficientes, incluido un control ex ante y ex post eficaz y vinculante, así como mecanismos de supervisión independientes, incluido el control judicial de las actividades de vigilancia; subraya que, en el contexto del control ex anteeficaz, la petición al tribunal para que efectúe una vigilancia operativa, así como la orden judicial correspondiente, deben contener una justificación e indicación claras de los medios técnicos que se utilizarán para tal vigilancia, y que, en el contexto del control ex posteficaz, debe establecerse la obligación de informar a la persona sujeta a la vigilancia del hecho, la duración, el alcance y el modo del tratamiento de los datos obtenidos durante la vigilancia operativa;
- c) introduzca una legislación coherente que proteja a los ciudadanos, con independencia de que lleven a cabo la vigilancia operativa la fiscalía, los servicios secretos o cualquier otro organismo estatal;
- d) cumpla la sentencia del Tribunal Constitucional sobre la Ley de Policía de 1990;
- e) cumpla el dictamen de la Comisión de Venecia sobre la Ley de Policía de 2016;
- f) cumpla las distintas sentencias del TEDH, como la sentencia en el asunto Roman Zakharovcontra Rusia, de 2015, que subraya la necesidad de establecer criterios estrictos de vigilancia, una autorización y supervisión judiciales adecuadas, la inmediata destrucción de los datos que no sean pertinentes, un control judicial sobre los procedimientos urgentes y la obligación de notificar a las víctimas, así como la sentencia en el asunto Klass y otros contra Alemania, de 1978, que expone que la vigilancia debe ser suficientemente importante como para que sea necesaria tal invasión de la intimidad;
- g) cumpla con todas las sentencias del TJUE y del TEDH relacionadas con la independencia del poder judicial y la primacía del Derecho de la Unión;
- h) suprima el artículo 168 bis de la Ley de modificación de la Ley de Enjuiciamiento Criminal de 2016;
- i) restablezca la plena independencia del poder judicial y respete los poderes reglamentarios de todos los organismos de supervisión pertinentes, como el Defensor del Pueblo, el presidente de la oficina de protección de datos personales y la Oficina Superior de Auditoría, para garantizar que todos los organismos de supervisión obtengan plena cooperación y acceso a la información y faciliten información completa a todas las víctimas;
- j) introduzca urgentemente la asignación aleatoria de asuntos a los jueces de los tribunales en relación con todas las solicitudes presentadas, incluso en fin de semana y fuera de la jornada laboral, a fin de evitar la selección de «jueces amigos» por parte de los servicios secretos, y garantice la transparencia de este sistema, entre otros medios, poniendo a disposición del público el algoritmo con arreglo al que se asigna de manera aleatoria un asunto a un juez;
- k) restablezca el sistema tradicional de supervisión parlamentaria en el que el partido de la oposición asume la presidencia de la Comisión de Supervisión Parlamentaria de los Servicios Especiales (KSS);
- l) aclare urgentemente la situación en torno al uso indebido de programas espía en Polonia, con el fin de no arrojar ninguna duda sobre la integridad de las próximas elecciones;
- m) aplique y haga cumplir adecuadamente la Directiva (UE) 2016/680 (la Directiva sobre protección de datos en el ámbito penal) y garantice que la autoridad de protección de datos esté facultada para supervisar el tratamiento de datos personales por parte, entre otras, de autoridades como la Oficina Central de Lucha contra la Corrupción y la Agencia de Seguridad Interior;
- n) aplique la Directiva sobre denunciantes;
- o) se abstenga de adoptar disposiciones en las nuevas leyes sobre la comunicación electrónica que contravengan el Convenio Europeo de Derechos Humanos (CEDH);
- p) garantice la disponibilidad de vías de recurso efectivas para los ciudadanos de Polonia afectados por la aplicación de leyes que contravienen la Constitución de Polonia y el CEDH;
- q) invite a Europol a investigar todos los casos de presunto uso indebido de programas espía;
- r) garantice el control constitucional independiente de las leyes en Polonia;
- s) restablezca la independencia del papel de la Fiscalía General respecto al ministro de Justicia con el fin de garantizar que las investigaciones sobre supuestas infracciones de derechos fundamentales están libres de consideraciones políticas;
- Insta a la Comisión a que evalúe la compatibilidad de la ley polaca de 2018 sobre la protección de los datos personales tratados en relación con la prevención y la lucha contra la delincuencia con la Directiva sobre protección de datos en el ámbito penal de la Unión y, si es necesario, incoe un procedimiento de infracción;
- Concluye que es probable que se hayan producido importantes infracciones y mala administración en la aplicación del Derecho de la Unión en Hungría;
- Pide a Hungría que:
- a) restablezca urgentemente garantías institucionales y jurídicas suficientes, incluido un control vinculante ex ante y ex post eficaz, así como mecanismos de supervisión independientes; incluida la revisión judicial de las actividades de vigilancia; subraya que, en el contexto del control ex anteeficaz, la petición al tribunal para que efectúe una vigilancia operativa, así como la orden judicial correspondiente, deben contener una justificación e indicación claras de los medios técnicos que se utilizarán para tal vigilancia, y que, en el contexto del control ex post eficaz, debe establecerse la obligación de informar a la persona sujeta a la vigilancia del hecho, la duración, el alcance y el modo del tratamiento de los datos obtenidos durante la vigilancia operativa;
- b) cumpla las distintas sentencias del TEDH, como la sentencia en el asunto Roman Zakharovcontra Rusia, de 2015, que subraya la necesidad de establecer criterios estrictos de vigilancia, una autorización y supervisión judiciales adecuadas, la inmediata destrucción de los datos que no sean pertinentes, un control judicial sobre los procedimientos urgentes y la obligación de notificar a las víctimas, así como la sentencia en el asunto Klass y otros contra Alemania, de 1978, que expone que la vigilancia debe ser lo suficientemente importante como para que sea necesaria tal invasión de la intimidad, así como el requisito de notificación a los sujetos de la vigilancia;
- c) cumpla con todas las sentencias del TJUE y del TEDH relacionadas con la independencia del poder judicial y la primacía del Derecho de la Unión;
- d) reestablezca la independencia de los organismos de supervisión de conformidad con la sentencia del TEDH en el asunto Hüttl contra Hungría, en la que el Tribunal determina que la Autoridad Nacional para la Protección de Datos y la Libertad de Información (NAIH) no puede supervisar de manera independiente el uso de los programas espía porque los servicios secretos están autorizados a denegar el acceso a algunos documentos por razones de confidencialidad;
- e) restablezca la plena independencia del poder judicial y de todos los organismos de supervisión pertinentes, como el Defensor del Pueblo y las autoridades de protección de datos, para garantizar que todos los organismos de supervisión obtengan plena cooperación y acceso a la información y faciliten información completa a todas las personas espiadas;
- f) restituya a empleados independientes en los puestos directivos de los órganos de supervisión, como el Tribunal Constitucional, el Tribunal Supremo, el Tribunal de Cuentas, el Ministerio Fiscal, el Banco Nacional de Hungría y la Comisión Electoral Nacional;
- g) aplique la Directiva sobre denunciantes;
- h) invite a Europol a investigar todos los casos de presunto uso indebido de programas espía;
- i) se abstenga de adoptar disposiciones en las nuevas leyes sobre la comunicación electrónica que contravengan el CEDH;
- j) garantice la disponibilidad de vías de recurso efectivas para los ciudadanos de Hungría afectados por la aplicación de leyes que contravienen la Constitución de Hungría y el CEDH;
- Concluye que es probable que se hayan producido infracciones y mala administración en la aplicación del Derecho de la Unión en Grecia;
- Pide a Grecia que:
- a) restablezca urgentemente garantías institucionales y jurídicas suficientes y las refuerce, incluido un control ex antey ex posteficaz, así como mecanismos de supervisión independientes;
- b) derogue urgentemente todas las licencias de exportación que no estén plenamente en consonancia con el Reglamento sobre productos de doble uso e investigue las acusaciones de exportaciones ilegales a Sudán, entre otros;
- c) garantice que las autoridades puedan investigar libremente y sin trabas todas las acusaciones de uso de programas espía;
- d) suprima urgentemente la enmienda 826/145 a la Ley 2472/1997, que abolió la capacidad de la Autoridad Helénica para la Seguridad de las Comunicaciones y la Privacidad (ADAE) para notificar a los ciudadanos los casos de supresión de la confidencialidad de las comunicaciones; modifique la Ley 5002/2022 con el fin de restablecer el derecho de las personas espiadas a ser informados de inmediato, previa solicitud, tan pronto como se haya completado la vigilancia, y corrija otras disposiciones que debiliten las salvaguardias, el control y la rendición de cuentas;
- e) restablezca la plena independencia del poder judicial y de todos los organismos de supervisión pertinentes, como el Defensor del Pueblo y las autoridades de protección de datos, y respete plenamente la independencia de la ADAE para garantizar que todos los organismos de supervisión obtengan plena cooperación y acceso a la información y faciliten información completa a todas las personas espiadas;
- f) garantice que la ADAE puede crear un archivo electrónico para poder desempeñar su cometido;
- g) aclare urgentemente la situación en torno al uso indebido de programas espía en Grecia, con el fin de no arrojar ninguna duda sobre la integridad de las próximas elecciones;
- h) anule la enmienda legislativa de 2019 que situaba al Servicio Nacional de Inteligencia (EYP) bajo el control directo del primer ministro; adopte garantías constitucionales y permita el control parlamentario de sus actividades, sin el pretexto de la confidencialidad de la información;
- i) garantice la independencia de la dirección de la Autoridad Nacional para la Transparencia (AED);
- j) vele por que el poder judicial disponga de todos los medios y el apoyo necesarios para la investigación tras el presunto uso indebido de programas espía, y que se incaute de pruebas físicas de representantes, empresas de intermediación y proveedores de programas espía vinculados a las infecciones por programas espía;
- k) invite a Europol a unirse inmediatamente a las investigaciones;
- l) se abstenga de interferir políticamente en el trabajo del fiscal general;
- Concluye que en general, el marco regulador en España está en consonancia con los requisitos establecidos por los Tratados; señala, no obstante, que se requieren algunas reformas y que la aplicación en la práctica debe estar plenamente en consonancia con los derechos fundamentales y garantizar la protección de la participación pública;
- Pide, por tanto, a España que:
- a) lleve a cabo una investigación completa, justa y eficaz, en la que se aclaren plenamente todos los casos presuntos de uso de programas espía, incluidos los 47 casos respecto a los que sigue sin quedar claro si las personas en cuestión fueron o no objetivo de las actuaciones del Centro Nacional de Inteligencia (CNI) español con una orden judicial, o si otra autoridad recibió órdenes judiciales para espiarlas legalmente, así como sobre el uso de programas espía contra el presidente del Gobierno y otros miembros del mismo, y que presente las conclusiones de la manera más amplia posible, con arreglo a la legislación aplicable;
- b) facilite un acceso adecuado a las personas espiadas a la autorización judicial expedida por el Tribunal Supremo al CNI para espiar a 18 personas;
- c) coopere con los tribunales para garantizar que las víctimas de los programas espía tengan acceso a recursos judiciales reales y significativos, y que las investigaciones judiciales se concluyan sin demora de manera imparcial y exhaustiva, para lo que deberán asignarse recursos suficientes;
- d) inicie la reforma del marco jurídico del CNI, tal como se anunció en mayo de 2022;
- e) invite a Europol, que podría aportar sus conocimientos técnicos especializados, a incorporarse a las investigaciones;
- Concluye que existen pruebas de mala administración en la aplicación del Reglamento sobre productos de doble uso en Chipre, lo que requiere un control estricto;
- Pide a Chipre que:
- a) evalúe exhaustivamente todas las licencias de exportación expedidas para programas espía y las revoque cuando proceda;
- b) evalúe exhaustivamente el envío de material de programas espía dentro del mercado interior de la Unión entre Estados miembros y cartografíe las distintas empresas israelís o bajo la propiedad y dirección de ciudadanos israelís registradas en Chipre y que están implicadas en dichas actividades;
- c) publique el informe del investigador especial sobre el caso de la «furgoneta espía», según solicitó la Comisión durante su misión oficial a Chipre;
- d) investigue minuciosamente, con la ayuda de Europol, todas las acusaciones de uso ilegítimo y exportaciones de programas espía, en particular contra periodistas, abogados, agentes de la sociedad civil y ciudadanos chipriotas;
- Estima que la situación en algunos Estados miembros también es motivo de preocupación, en especial ante la presencia de un sector de programas espía, lucrativo y en expansión, que se beneficia de la buena reputación, el mercado único y la libre circulación de la Unión, lo que permite a algunos Estados miembros como Chipre y Bulgaria convertirse en un centro de exportación de programas espía a regímenes represivos de todo el mundo;
- Opina que la incapacidad o la negativa de algunas autoridades nacionales a garantizar la protección adecuada de los ciudadanos de la Unión, también en lo que atañe a las lagunas normativas y los instrumentos jurídicos pertinentes, demuestra con toda la claridad necesaria que es indispensable una acción a escala de la Unión a fin de garantizar que se aplica la letra de los Tratados y se cumple la legislación de la Unión, de modo que se respete el derecho de los ciudadanos a vivir en un entorno seguro en el que se respete la dignidad humana, la vida privada, los datos personales y la propiedad, como exige la Directiva 2012/29/UE, con arreglo a la cual todas las víctimas de delitos tienen derecho a recibir apoyo y protección con arreglo a sus necesidades individuales;
- Concluye que se han producido graves deficiencias en la aplicación del Derecho de la Unión cuando la Comisión y el Servicio Europeo de Acción Exterior (SEAE) han prestado apoyo a terceros países, incluidos, entre otros, diez países del Sahel, a fin de permitirles desarrollar capacidades de vigilancia (29);
- Considera que el comercio y el uso de programas espía deben regularse estrictamente; reconoce, sin embargo, que el proceso legislativo puede llevar tiempo, mientras que el uso abusivo debe detenerse de inmediato; aboga por la adopción de condiciones para el uso legal, la venta, la adquisición y la transferencia de programas espía; insiste en que, para el uso continuado de programas espía, los Estados miembros cumplirán todas las condiciones que siguen a más tardar el 31 de diciembre de 2023:
- a) las autoridades policiales, fiscales y judiciales pertinentes investigan totalmente y resuelven sin demora todos los casos de presunto uso indebido de programas espía;
- b) demuestran que el marco que rige el uso de programas espía se ajusta a las normas establecidas por la Comisión de Venecia y a la jurisprudencia pertinente del TJUE y del TEDH;
- c) asumen un compromiso explícito de hacer partícipe a Europol, de conformidad con los artículos 4, 5 y 6 del Reglamento de Europol, en las investigaciones sobre las sospechas de uso ilegítimo de programas espía; y que:
- d) se derogan todas las licencias de exportación que no se ajustan plenamente al Reglamento sobre productos de doble uso;
- Considera que la Comisión debe evaluar el cumplimiento de estas condiciones, a más tardar, el 30 de noviembre de 2023; considera, además, que las conclusiones de la evaluación deberán publicarse en un informe público;
- Subraya que, si bien la lucha contra la delincuencia grave y el terrorismo, y el reconocimiento de la capacidad para abordar esa lucha, son de vital importancia para los Estados miembros, la protección de los derechos fundamentales y la democracia es esencial; incide, además, en que el uso de programas espía por parte de los Estados miembros debe ser proporcionado, no puede ser arbitrario y la vigilancia solo ha de autorizarse en circunstancias estrictamente predeterminadas; considera que los mecanismos ex anteefectivos para garantizar la supervisión judicial son esenciales para proteger las libertades individuales; reafirma que los derechos individuales no pueden verse comprometidos permitiendo un acceso sin restricciones a la vigilancia; subraya que la capacidad del poder judicial para realizar una supervisión ex post significativa y efectiva en el ámbito de las solicitudes de vigilancia en pro de la seguridad nacional también es importante, a fin de garantizar que pueda impugnarse el uso desproporcionado de programas espía por parte de los Gobiernos;
- Subraya que el uso de programas espía para fines policiales debe regularse directamente mediante medidas basadas en el capítulo 4 del título 5 del TFUE sobre la cooperación judicial en materia penal; hace hincapié en que la configuración de los programas espía importados a la UE y comercializados de otro modo debe regularse con arreglo a una medida basada en el artículo 114 del TFUE; señala que el uso de programas espía con fines de seguridad nacional solo puede regularse indirectamente con arreglo, por ejemplo, a los derechos fundamentales y las normas relativas a la protección de datos;
- Considera que debido a la dimensión transnacional y de la UE del uso de programas espía, es necesario llevar a cabo un control coordinado y transparente a escala de la Unión para garantizar no solo la protección de sus ciudadanos, sino también la validez de las pruebas recabadas mediante los programas espía en los casos transfronterizos, y que existe una clara necesidad de normas comunes de la UE sobre la base del capítulo 4 del título 5 del TFUE que regulen el uso de programas espía por parte de los organismos de los Estados miembros, a partir de las normas establecidas por el TJUE, el TEDH, la Comisión de Venecia y la Agencia de los Derechos Fundamentales (30); opina que dichas normas de la Unión deben abarcar al menos los siguientes elementos:
- a) el uso previsto de programas espía debe estar autorizado solo en casos excepcionales y específicos para proteger la seguridad nacional, y ha de estar sujeto a una autorización judicial previa, vinculante, efectiva y significativa por parte de una autoridad judicial imparcial e independiente u otro órgano de supervisión democrática independiente, que tenga acceso a toda la información pertinente, y se demuestre la necesidad y proporcionalidad de la medida prevista;
- b) la observación mediante programas espía solo debe durar el tiempo estrictamente necesario, la autorización judicial debe definir previamente el alcance y la duración precisos para cada dispositivo al que se acceda y el pirateo informático solo puede ampliarse cuando se conceda una nueva autorización judicial por otra duración especificada, dada la naturaleza de los programas espía y la posibilidad de una vigilancia retroactiva; además, las autoridades de los Estados miembros solo deben fijar como objetivos dispositivos o cuentas de usuarios finales individuales y abstenerse de piratear a los proveedores de servicios de internet y tecnología para evitar afectar a usuarios que no sean el objetivo;
- c) la autorización para el uso de programas espía solo podrá concederse en casos excepcionales con respecto a investigaciones en relación con una lista limitada y cerrada de delitos graves definidos de manera clara y precisa que representen una auténtica amenaza a la seguridad nacional, y los programas espía solo podrán utilizarse con personas respecto de las cuales existan indicios suficientes de que han cometido o tienen previsto cometer tales delitos graves;
- d) por lo que respecta a los datos protegidos por privilegios o inmunidades asociados a determinadas categorías de personas (como políticos, médicos, etc.), o a relaciones específicamente protegidas (como el privilegio abogado-cliente) o por normas sobre la determinación y limitación de la responsabilidad penal en relación con la libertad de prensa y la libertad de expresión en otros medios, no se debe tratar de obtenerlos a través de programas espía, a menos que existan motivos suficientes, establecidos bajo supervisión judicial, que confirmen la participación en actividades delictivas o asuntos de seguridad nacional, que deben estar sujetos a un marco común;
- e) deben elaborarse normas específicas para la vigilancia con tecnología de programas espía, ya que esta permite un acceso retroactivo ilimitado a mensajes, archivos y metadatos;
- f) los Estados miembros deben publicar, como mínimo, el número de solicitudes de vigilancia aprobadas y rechazadas, así como el tipo y la finalidad de la investigación, y registrar cada investigación de forma anónima en un registro nacional con un identificador único, de modo que pueda investigarse en caso de que existan sospechas de abuso;
- g) los organismos nacionales de control deben informar a los Estados miembros y, posteriormente, los Estados miembros deben notificar esta información periódicamente a la Comisión; la Comisión debe utilizar esta información en su informe anual sobre el Estado de Derecho para poder comparar el uso de programas espía en los Estados miembros;
- h) derecho de notificación de la persona destinataria: una vez finalizada la vigilancia, las autoridades deben notificar a la persona que ha sido objeto del uso de programas espía por parte de las autoridades, incluyendo información sobre la fecha y la duración de la vigilancia, la orden emitida para la operación de vigilancia, los datos obtenidos, la información sobre cómo se han utilizado dichos datos y por qué agentes, la fecha de supresión de los datos, así como el derecho y las modalidades prácticas para interponer recursos administrativos y judiciales ante las autoridades competentes; señala que dicha notificación debe enviarse sin demora indebida, a menos que una autoridad judicial independiente conceda un aplazamiento de la notificación, en casos en que la notificación inmediata pondría en grave peligro el objetivo de la vigilancia;
- i) derecho de notificación de las personas no destinatarias a cuyos datos se haya accedido: una vez finalizado el período para el que se autorizó la vigilancia, las autoridades deberán notificar las actuaciones a las personas cuyo derecho a la intimidad se haya visto gravemente afectado por el uso de programas espía, pero que no hayan sido objeto de la operación; las autoridades deben notificar a estas personas que accedieron a sus datos, facilitar información sobre la fecha y la duración de la vigilancia, la orden emitida para la operación de vigilancia, los datos obtenidos, la información sobre cómo se han utilizado dichos datos y por qué agentes, así como la fecha de supresión de los datos; señala que dicha notificación debe enviarse sin demora indebida, a menos que una autoridad judicial independiente conceda un aplazamiento de la notificación, en casos en que la notificación inmediata pondría en grave peligro el objetivo de la vigilancia;
- j) una supervisión posterior eficaz, vinculante e independientes del uso del programa espía, cuyos órganos responsables deben disponer de todos los medios y competencias necesarios para ejercer una supervisión significativa, que deberá combinarse con un control parlamentario en el que participen varios partidos, con una autorización adecuada y con acceso pleno a la información suficiente para determinar que la vigilancia se llevó a cabo de manera legal y proporcional, y que la supervisión parlamentaria de la información confidencial sensible debe facilitarse mediante la infraestructura, los procesos y las habilitaciones de seguridad necesarios; independientemente de la definición o delimitación del concepto de seguridad nacional, los organismos nacionales de supervisión deben ser competentes para actuar respecto a todo el ámbito de la seguridad nacional;
- k) los principios fundamentales del procedimiento debido y la supervisión judicial deben ser esenciales para el régimen en el que se enmarcan los programas espía de vigilancia;
- l) un recurso judicial significativo para aquellos que hayan sido objetivo directo e indirecto, y que aquellas personas que aleguen haberse visto afectadas negativamente por la vigilancia deban tener acceso a vías de recurso a través de un organismo independiente; pide, por tanto, que se introduzca un deber de notificación para las autoridades estatales, que incluya plazos adecuados para la notificación, en virtud del cual la comunicación se produzca una vez que haya cesado la amenaza para la seguridad;
- m) las vías de recurso deben ser efectivas, tanto de hecho como de Derecho, y deben ser conocidas y accesibles; hace hincapié en que dichas vías de recurso requieren una investigación rápida, exhaustiva e imparcial por parte de un organismo de supervisión independiente, y que este organismo debe tener acceso, conocimientos especializados y capacidades técnicas para gestionar todos los datos pertinentes a fin de poder determinar si la evaluación en materia de seguridad de una persona realizada por las autoridades es fiable y proporcionada; en los casos en que se hayan verificado los usos abusivos, deberán aplicarse sanciones adecuadas de carácter penal o administrativo, de conformidad con la legislación nacional pertinente de los Estados miembros;
- n) la mejora del acceso gratuito de las personas objeto de estas actuaciones al conocimiento técnico especializado en esta fase, ya que la mayor disponibilidad y asequibilidad de los procesos tecnológicos, como el análisis forense, permitiría a dichas personas presentar casos más sólidos en los tribunales y mejoraría la representación de las mismas en los órganos jurisdiccionales mediante el desarrollo de las capacidades tecnológicas de la representación legal y el poder judicial para asesorar mejor a estas personas, identificar violaciones, y mejorar la supervisión y la rendición de cuentas por el uso abusivo de programas espía;
- o) el refuerzo de los derechos de defensa y el derecho a un juicio justo garantizando que los acusados de delitos tengan autorización y la capacidad para comprobar la exactitud, autenticidad, fiabilidad e incluso la legalidad de las pruebas utilizadas en su contra y, por lo tanto, rechazar cualquier aplicación general de las normas nacionales sobre el secreto de la defensa;
- p) durante la vigilancia, las autoridades deben suprimir todos los datos que sean irrelevantes a efectos de la investigación autorizada y, una vez finalizadas la vigilancia y la investigación para las que se concedió la autorización, las autoridades deben suprimir los datos, además de cualquier documento relacionado, como las notas que se hayan tomado durante ese período, y tal supresión debe registrarse y ser auditable;
- q) la información pertinente que se obtiene mediante programas espía solo debe ser accesible para las autoridades a las que se les conceda permiso y únicamente con el propósito de llevar a cabo una operación; este acceso debe limitarse a un período determinado según lo especificado en el proceso judicial;
- r) deben establecerse normas mínimas para los derechos de las personas en los procesos penales sobre la admisibilidad de las pruebas recopiladas con la ayuda de programas espía; debe incluirse en el Derecho procesal penal la posibilidad de que se genere información falsa o manipulada como resultado de la utilización de programas espía (suplantación de identidad);
- s) los Estados miembros deben notificarse mutuamente en caso de vigilancia de ciudadanos o residentes de otro Estado miembro o de un número móvil de un operador de otro Estado miembro;
- t) debe incluirse un marcador en el programa informático de vigilancia para que los organismos de supervisión puedan identificar inequívocamente al responsable de su utilización en caso de sospecha de uso indebido; la firma obligatoria para cada uso de un programa espía debe constar de una etiqueta individual para la autoridad que actúa, el tipo de programa espía utilizado y un número de caso anonimizado;
- Pide a los Estados miembros que lleven a cabo consultas públicas con las partes interesadas, garanticen la transparencia del proceso legislativo e incluyan normas y garantías de la Unión al redactar nueva legislación sobre el uso y la venta de programas espía;
- Hace hincapié en que solo pueden comercializarse en el mercado interior, desarrollarse o utilizarse en la Unión aquellos programas espía que estén diseñados de manera que permitan y faciliten su funcionalidad de conformidad con el marco legislativo, conforme a lo dispuesto en el apartado 32; afirma que tal Reglamento sobre la comercialización de programas espía que establece un «Estado de Derecho desde el diseño» basado en el artículo 114 del TFUE debe conceder a los ciudadanos de la Unión un alto nivel de protección; considera injustificable que, mientras el Reglamento sobre productos de doble uso ha proporcionado a los ciudadanos de países no pertenecientes a la UE protección contra las exportaciones de programas espía con origen en la Unión desde 2021, no se ofrezca ninguna protección equivalente a los ciudadanos de la UE;
- Considera que las empresas de la UE pueden vender, y los Estados miembros adquirir, únicamente tecnología de interceptación y extracción, y no «servicios de piratería informática», que incluyen el suministro de apoyo técnico, operativo y metodológico a la tecnología de vigilancia, y permite al proveedor acceder a una cantidad desproporcionada de datos que es incompatible con los principios de proporcionalidad, necesidad, legitimidad, legalidad y adecuación; pide a la Comisión que formule una propuesta legislativa a este respecto;
- Subraya que los programas espía solo pueden comercializarse para ser adquiridos y utilizados por las autoridades públicas, con arreglo a una lista cerrada, cuyas instrucciones incluyen investigaciones de delitos o la protección de la seguridad nacional para lo cual es posible autorizar el uso de programas espía; considera que las agencias de seguridad solo deben utilizar programas espía cuando se hayan aplicado todas las recomendaciones formuladas por la Agencia de los Derechos Fundamentales (31);
- Destaca la obligación de utilizar una versión del programa espía diseñada de forma que minimice el acceso a todos los datos almacenados en un dispositivo, y de manera que limite el acceso a los datos al mínimo estrictamente necesario para los fines de la investigación autorizada;
- Concluye que, cuando un Estado miembro ha adquirido programas espía, la adquisición debe poder ser auditada por un organismo de auditoría independiente e imparcial con la habilitación adecuada;
- Subraya que todas las entidades que comercializan programas espía en el mercado interior deben cumplir estrictos requisitos de diligencia debida, y las empresas que solicitan ser proveedores en un proceso de contratación pública deben someterse a un proceso de investigación que incluye la respuesta de la empresa a las violaciones de los derechos humanos cometidas con sus programas informáticos y la determinación de si la tecnología se basa en datos recopilados en prácticas de vigilancia antidemocráticas y abusivas; subraya que las autoridades nacionales de supervisión competentes deben informar anualmente a la Comisión sobre el cumplimiento;
- Subraya que las empresas que ofrecen tecnologías o servicios de vigilancia a los agentes estatales deben revelar a las autoridades nacionales de supervisión competentes la naturaleza de las licencias de exportación;
- Subraya que los Estados miembros deben establecer un período de incompatibilidad que impida temporalmente a los antiguos empleados de organismos o agencias gubernamentales trabajar para empresas de programas espía;
Necesidad de definir límites respecto a la seguridad nacional
- Considera con preocupación los casos de invocación injustificada de la «seguridad nacional» para justificar el despliegue y el uso de programas espía y garantizar un secreto absoluto y la falta de rendición de cuentas; acoge favorablemente la declaración de la Comisión, en consonancia con la jurisprudencia del TJUE (32)de que una mera referencia a la seguridad nacional no puede interpretarse como una excepción ilimitada de la aplicación de la legislación de la UE y debe exigir una justificación clara, e insta a la Comisión a que haga un seguimiento de dicha declaración en los casos en los que existan indicios de uso abusivo; considera que, en una sociedad democrática y transparente que se atenga al Estado de Derecho, tales limitaciones en nombre de la seguridad nacional constituirán la excepción más que la regla;
- Considera que el concepto de seguridad nacional debe contrastarse con el ámbito más restringido que atañe a la seguridad interior, según el cual esta última tiene un alcance más amplio, incluida la prevención de riesgos para los ciudadanos y, en particular, la aplicación del Derecho penal;
- Lamenta las dificultades derivadas de la falta de una definición jurídica común de la seguridad nacional en la que se establezcan criterios para determinar qué régimen jurídico se aplica en materia de seguridad nacional, así como de una delimitación clara de la zona en la que puede aplicarse dicho régimen especial;
- Considera que el uso de programas espía constituye una limitación de los derechos fundamentales; considera asimismo que, cuando un concepto se utilice en un contexto jurídico que conlleve la transferencia de derechos y la imposición de obligaciones (y, en particular, limitaciones de los derechos fundamentales de las personas), el concepto debe ser claro y previsible para todas las personas afectadas por el mismo; recuerda que la Carta prevé que toda limitación de los derechos fundamentales de conformidad con el artículo 52, apartado 1, debe fijarse por ley; considera, por tanto, que es necesario que la «seguridad nacional» se defina con claridad; subraya que, independientemente de la demarcación precisa, el ámbito de la seguridad nacional debe someterse a una supervisión independiente, vinculante y efectiva en su totalidad;
- Destaca que, si las autoridades invocan motivos de seguridad nacional como justificación del uso de programas espía, deben demostrar el cumplimiento del Derecho de la Unión, incluido el respeto de los principios de proporcionalidad, necesidad, legitimidad, legalidad y adecuación, además del marco establecido en el apartado 29; destaca que la justificación debe ser de fácil acceso y ponerse a disposición de un organismo nacional de control para su evaluación;
- Reitera, en este contexto, que todos los Estados miembros firmaron el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, que establece normas y obligaciones para la protección de las personas en lo que respecta al tratamiento de datos personales, incluso con fines de seguridad nacional; señala que el Convenio 108+ es un marco europeo vinculante para el tratamiento de datos por parte de los servicios de inteligencia y seguridad; insta a todos los Estados miembros a que ratifiquen este Convenio sin demora y a que introduzcan sus normas en la legislación nacional y actúen en consecuencia en lo que atañe a la seguridad nacional;
- Hace hincapié en que las excepciones y restricciones a un número limitado de disposiciones del Convenio solo se permiten cuando son conformes con los requisitos a los que se alude en el artículo 11 del Convenio, lo que significa que, al aplicar el Convenio 108+, cada excepción y restricción específica debe estar prevista por ley, ha de respetar la esencia de los derechos y libertades fundamentales, y debe justificar que «constituye una medida necesaria y proporcionada en una sociedad democrática» por alguno de los motivos legítimos enumerados en el artículo 11 (33), y que tales excepciones y restricciones no deben interferir en la «revisión y supervisión independientes y efectivas con arreglo a la legislación nacional de la Parte respectiva»;
- Señala asimismo que el Convenio 108+ hace hincapié en que la supervisión «tendrá facultades de investigación e intervención»; considera que una revisión y supervisión eficaces implican unos poderes vinculantes cuando el impacto en los derechos fundamentales es mayor, especialmente en las fases de acceso, análisis y almacenamiento del tratamiento de datos personales;
- Considera que la falta de competencias vinculantes de los organismos de supervisión en el ámbito de la seguridad nacional es incompatible con el criterio establecido en el Convenio 108+ de que esto «constituye una medida necesaria y proporcionada en una sociedad democrática»;
- Señala que el Convenio 108+ contempla un número muy limitado de excepciones con respecto a su artículo 15, pero no las considera, en particular, en lo que respecta a los apartados 2 [obligaciones de sensibilización], 3 [consulta sobre medidas legislativas y administrativas], 4 [solicitudes y reclamaciones de particulares], 5 [independencia e imparcialidad], 6 [recursos necesarios para el desempeño eficaz de las funciones], 7 [informes periódicos], 8 [confidencialidad], 9 [posibilidad de recurso] y 10 [ausencia de competencias respecto a los organismos que actúan en el ejercicio de su capacidad judicial];
Mejora de la aplicación y el cumplimiento de la legislación vigente
- Pone de relieve las deficiencias de los marcos jurídicos nacionales y la necesidad de una mejor aplicación de la legislación vigente de la Unión a fin de abordar estas deficiencias; identifica las siguientes leyes de la Unión como pertinentes, pero, con demasiada frecuencia incorrectamente adoptadas o aplicadas: la Directiva antiblanqueo, la Directiva sobre protección de datos en el ámbito penal de la Unión, las normas en materia de contratación pública, el Reglamento sobre productos de doble uso, la jurisprudencia (sentencias sobre vigilancia y seguridad nacional) y la Directiva sobre denunciantes; pide a la Comisión que investigue las deficiencias en la aplicación y el cumplimiento e informe al respecto, y que presente una hoja de ruta para corregirlas a más tardar el 1 de agosto de 2023;
- Opina que la aplicación adecuada y el cumplimiento estricto del marco jurídico de la Unión en materia de protección de datos son fundamentales, y en particular de la Directiva sobre protección de datos en el ámbito penal, el Reglamento general de protección de datos y la Directiva sobre la privacidad y las comunicaciones electrónicas; considera igualmente importante la plena aplicación de las sentencias pertinentes del TJUE, que siguen pendientes en varios Estados miembros; recuerda que la Comisión desempeña un papel clave a la hora de hacer cumplir el Derecho de la UE y garantizar su aplicación uniforme en toda la Unión, y que debe hacer uso de todas las herramientas disponibles, incluidos los procedimientos de infracción en casos de incumplimiento persistente;
- Pide que el Arreglo de Wassenaar se convierta en un acuerdo vinculante para todos los participantes, con el fin de convertirlo en un tratado internacional;
- Pide que Chipre e Israel se conviertan en Estados participantes del Arreglo de Wassenaar; recuerda a los Estados miembros que se debe hacer todo lo posible por procurar que Chipre e Israel se adhieran al Arreglo de Wassenaar;
- Resalta que el Arreglo de Wassenaar debe incluir un marco de derechos humanos que incluya la concesión de licencias de tecnologías de programas espía, evalúe y revise el cumplimiento de las empresas que producen dichas tecnologías y que los participantes prohíban la compra de tecnologías de vigilancia por parte de Estados que no forman parte del Acuerdo;
- Subraya que, a la luz de las revelaciones en materia de programas espía, la Comisión y los Estados miembros deben llevar a cabo una investigación exhaustiva de las licencias de exportación concedidas para el uso de estos programas en virtud del Reglamento sobre productos de doble uso, y la Comisión debe compartir los resultados de esta evaluación con el Parlamento;
- Subraya que son necesarias la trazabilidad y la rendición de cuentas de las exportaciones de programas espía, y recuerda que las empresas de la Unión solo deben poder exportar programas espía que demuestren suficientes propiedades de trazabilidad para garantizar que siempre pueda atribuirse la responsabilidad;
- Hace hincapié en que la Comisión debe comprobar periódicamente y aplicar adecuadamente el Reglamento refundido sobre productos de doble uso para evitar la búsqueda del régimen de exportación más ventajoso en toda la Unión, como ocurre actualmente en Bulgaria y Chipre, y en que la Comisión debe disponer de los recursos adecuados para esta tarea;
- Pide a la Comisión que garantice una capacidad de personal suficiente para las unidades responsables de la supervisión y el cumplimiento del Reglamento sobre productos de doble uso;
- Pide que se modifique el Reglamento sobre productos de doble uso a fin de aclarar en su artículo 15 que los permisos de exportación de productos de doble uso no deben concederse cuando los productos estén o puedan estar destinados a la represión interna o a la comisión de graves violaciones de los derechos humanos y del Derecho internacional humanitario; solicita la plena ejecución de los controles en materia de derechos humanos y diligencia debida en el proceso de concesión de licencias y otras mejoras, como la reparación de las víctimas de la vulneración de los derechos humanos y la notificación transparente de la diligencia debida aplicada;
- Pide que se modifique el Reglamento sobre productos de doble uso a fin de garantizar que se prohíba el tránsito en los casos en que las mercancías estén o puedan estar destinadas a la represión interna o a la comisión de violaciones graves de los derechos humanos y del Derecho internacional humanitario;
- Subraya que, en una futura modificación del Reglamento sobre productos de doble uso, las autoridades nacionales designadas como responsables de la aprobación y denegación de las licencias de exportación de productos de doble uso deben presentar informes detallados que incluyan información sobre los productos de doble uso en cuestión; el número de licencias solicitadas; el nombre del país de exportación; una descripción de la empresa exportadora y si esta empresa es filial; una descripción del usuario final y del destino; el valor de la licencia de exportación; y el motivo por el que se ha aprobado o denegado la licencia de exportación; hace hincapié en que estos informes deben publicarse trimestralmente; aboga por la creación de una comisión parlamentaria permanente específica con acceso a información clasificada de la Comisión, en aras de la supervisión parlamentaria;
- Hace hincapié en que, en una futura modificación del Reglamento sobre productos de doble uso, debe suprimirse la excepción a la obligación de informar a la Comisión por motivos de sensibilidad comercial, de defensa, de política exterior o de seguridad nacional; considera, en cambio, que, para evitar que terceros países dispongan de información sensible, la Comisión puede decidir clasificar determinada información en su informe anual;
- Subraya que la definición de productos de cibervigilancia en el Reglamento refundido sobre productos de doble uso no puede interpretarse de manera restrictiva, sino que debe incluir todas las tecnologías en este ámbito, como los equipos de interceptación o interferencia de telecomunicaciones móviles; programas informáticos de intrusión; sistemas o equipos de vigilancia de las comunicaciones en red a través de IP; programas informáticos especialmente diseñados o modificados para el seguimiento o el análisis por parte de las fuerzas y cuerpos de seguridad; equipos láser de detección acústica; herramientas forenses que extraen datos brutos de un dispositivo informático o de comunicaciones y eluden los controles de «autenticación» o autorización del dispositivo; sistemas o equipos electrónicos diseñados para la vigilancia y el control del espectro electromagnético con fines de inteligencia militar o de seguridad; y vehículos aéreos no tripulados que puedan efectuar labores de vigilancia;
- Aboga por una legislación europea adicional que exija a los actores empresariales que producen o exportan tecnologías de vigilancia que incluyan marcos de derechos humanos y de diligencia debida en consonancia con los Principios rectores de las Naciones Unidas sobre las empresas y los derechos humanos;
Cooperación internacional para proteger a los ciudadanos
- Aboga por una estrategia conjunta de la UE y los Estados Unidos en relación con los programas espía, incluida una lista blanca y/o negra conjunta de proveedores de programas espía cuyas herramientas hayan sido objeto de abusos, o corren el riesgo de serlo, para atacar malintencionadamente a funcionarios del Gobierno, periodistas y la sociedad civil, y que actúen contra la política exterior y de seguridad de la Unión, por parte de Gobiernos extranjeros con un historial deficiente en materia de derechos humanos, (no) autorizados a vender a las autoridades públicas, criterios comunes para la inclusión de proveedores en cualquiera de las listas, mecanismos para la elaboración de informes comunes UE-EE.UU. sobre la industria, el ejercicio de un control común, obligaciones comunes de diligencia debida para los proveedores y la tipificación como delito de la venta de programas espía a agentes no estatales;
- Pide que el Consejo UE-EE. UU. de Comercio y Tecnología celebre consultas amplias y abiertas con la sociedad civil para el desarrollo de la estrategia y las normas conjuntas de ambas partes, incluidas las listas blancas y/o negras conjuntas;
- Pide que se inicien conversaciones con otros países, en particular con Israel, a fin de establecer un marco para las licencias de comercialización y exportación de programas espía, que incluya normas sobre transparencia, una lista de países elegibles en cuanto a las normas en materia de derechos humanos y acuerdos de diligencia debida;
- Observa que, en comparación con los Estados Unidos, donde NSO fue incluida rápidamente en una lista negra y el Presidente de los Estados Unidos firmó una Orden Ejecutiva, en la que se establece que dicha entidad no debe hacer un uso operativo de programas espía comerciales que planteen riesgos significativos de contrainteligencia o seguridad para el Gobierno de los Estados Unidos, o riesgos significativos de uso indebido por parte de un gobierno o una persona extranjeros, no se han adoptado medidas suficientes a escala de la UE en relación con las importaciones de programas espía y la ejecución de las normas de exportación;
- Concluye que las normas de exportación de la Unión y su aplicación deben consolidarse al objeto de proteger los derechos humanos en países no pertenecientes a la UE, y que deben otorgarse las herramientas necesarias para aplicar sus disposiciones de manera efectiva; recuerda que la UE debe procurar unir sus fuerzas con los Estados Unidos y otros aliados en la regulación del comercio del programas espía y en el uso de su poder de mercado combinado para forzar el cambio y establecer normas sólidas de transparencia, trazabilidad y responsabilidad respecto al uso de la tecnología de vigilancia, lo que debería culminar en una iniciativa en el ámbito de las Naciones Unidas;
Vulnerabilidades de día cero
- Pide que se regule el descubrimiento, la compartición, la corrección y la explotación de vulnerabilidades, así como los procedimientos de divulgación, completando así la base establecida por la Directiva (UE) 2022/2555 (34)(Directiva SRI 2) y la propuesta de Ley de Ciberresiliencia (35);
- Considera que los investigadores deben poder investigar vulnerabilidades y compartir sus resultados sin responsabilidad civil ni penal en virtud, entre otros, de la Directiva sobre la ciberdelincuencia y la Directiva sobre derechos de autor;
- Pide a los principales actores de la industria que creen incentivos para que los investigadores participen en la investigación de vulnerabilidades, invirtiendo en planes de tratamiento de vulnerabilidades, prácticas de divulgación dentro de la industria y con la sociedad civil, y que instauren programas de recompensa por detección de errores;
- Pide a la Comisión que aumente su apoyo y financiación para las recompensas por detección de errores y otros proyectos destinados a buscar y corregir vulnerabilidades en materia de seguridad, y que establezca un enfoque coordinado respecto a la divulgación obligatoria de vulnerabilidades entre los Estados miembros;
- Pide que se prohíba la venta de vulnerabilidades en un sistema para cualquier fin que no sea reforzar la seguridad de dicho sistema, y que se establezca la obligación de divulgar los resultados de toda investigación sobre vulnerabilidades de una manera coordinada y responsable que promueva la seguridad pública y minimice el riesgo de explotación de la vulnerabilidad;
- Pide a las entidades públicas y privadas que creen un punto de contacto públicamente disponible en el que las vulnerabilidades puedan ser notificadas de una manera coordinada y responsable, y que las organizaciones que reciban información sobre vulnerabilidades en su sistema actúen inmediatamente para corregirlas; considera que, cuando se disponga de un parche, se debe exigir a las organizaciones que adopten las medidas apropiadas para garantizar un despliegue rápido y garantizado, como parte de un proceso de divulgación coordinado y responsable;
- Considera que los Estados miembros deben asignar suficientes recursos financieros, técnicos y humanos a la investigación en materia de seguridad y la corrección de vulnerabilidades;
- Insta a los Estados miembros a desarrollar procesos de equidad en materia de vulnerabilidad, establecidos por ley, que determinen que, por defecto, las vulnerabilidades deben divulgarse y no explotarse, y que toda decisión de desviarse de esta norma debe constituir una excepción y ha de evaluarse con arreglo a los requisitos de necesidad y proporcionalidad, incluida la consideración de si la infraestructura afectada por la vulnerabilidad es utilizada por una gran proporción de la población, y debe estar sujeta a una supervisión estricta por parte de un organismo de supervisión independiente, así como a procedimientos y decisiones transparentes;
Redes de telecomunicaciones
- Subraya que la licencia de cualquier proveedor de servicios del que se determine que facilita el acceso ilícito a la infraestructura de señalización móvil nacional o internacional en todas las generaciones (actualmente, 2G a 5G) debe revocarse;
- Hace hincapié en que los procesos que permiten que agentes malintencionados creen nuevos números de teléfono procedentes de todo el mundo deben regularse mejor a fin de que las actividades ilícitas resulten más difíciles de ocultar;
- Subraya la necesidad de que los proveedores de telecomunicaciones se aseguren de que tienen la capacidad de detectar un posible uso indebido del acceso, el control o el uso final efectivo de la infraestructura de señalización obtenido por terceros mediante acuerdos comerciales o de otra índole en el Estado miembro en el que operan;
- Pide a los Estados miembros que velen por que las autoridades nacionales competentes, de conformidad con las disposiciones de la Directiva SRI 2, evalúen el nivel de resiliencia de los proveedores de telecomunicaciones frente a las intrusiones no autorizadas;
- Insta a los proveedores de telecomunicaciones a emprender acciones firmes y demostrables para mitigar las diversas formas de emulación sin autorización de la originación del tráfico de telecomunicaciones por un elemento de red con el fin de acceder a los datos o el servicio que estaba destinado al usuario legítimo, y otras actividades que impliquen la manipulación de las operaciones normales de los elementos e infraestructuras de redes móviles con fines de vigilancia por parte de agentes malintencionados, incluidos agentes de nivel estatal, así como grupos delictivos;
- Pide a los Estados miembros que adopten medidas para garantizar que los agentes estatales no pertenecientes a la Unión que no respeten los derechos fundamentales no controlen la infraestructura estratégica, ni puedan servirse de su uso final efectivo, ni influyan en las decisiones relacionadas con la misma dentro de la Unión, incluida la infraestructura de telecomunicaciones;
- Pide a todos los Estados miembros que den prioridad a una mayor inversión en la protección de infraestructuras críticas, como los sistemas nacionales de telecomunicaciones, para abordar las lagunas existentes en la protección contra las violaciones de la privacidad, las fugas de datos y las intrusiones no autorizadas, con el fin de defender los derechos fundamentales de los ciudadanos;
- Pide a las autoridades nacionales competentes que promuevan activamente el refuerzo de las capacidades de los proveedores, así como de las capacidades de respuesta, con el fin de apoyar mejor la identificación de las personas objeto de actuaciones ilícitas, la notificación y la comunicación de incidentes, y de este modo, ofrecer una garantía continua y cuantificable y la atenuación de la explotación de las brechas de seguridad por parte de los agentes malintencionados nacionales y de países no pertenecientes a la UE;
Privacidad y comunicaciones electrónicas
- Pide que se adopte rápidamente el Reglamento sobre la privacidad y las comunicaciones electrónicas de un modo que refleje plenamente la jurisprudencia sobre restricciones en materia de seguridad nacional y la necesidad de evitar el uso indebido de las tecnologías de vigilancia, y que refuerce el derecho fundamental a la privacidad, así como que prevea garantías sólidas y una aplicación eficaz; señala que el alcance de la interceptación lícita no debe ir más allá de la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas;
- Pide la protección de todas las comunicaciones electrónicas, el contenido y los metadatos contra el uso indebido de datos personales y comunicaciones privadas por parte de empresas privadas y autoridades gubernamentales; señala que las herramientas digitales de seguridad desde el diseño, como el cifrado de extremo a extremo, no deben debilitarse;
- Pide a la Comisión que evalúe la aplicación por parte de los Estados miembros de la Directiva sobre la privacidad y las comunicaciones electrónicas en toda la Unión y que incoe procedimientos de infracción cuando se produzcan vulneraciones;
El papel de Europol
- Toma nota de que en una carta de Europol al presidente de la Comisión PEGA de abril de 2023 se informa a dicha Comisión de que Europol se puso en contacto con Grecia, Hungría, Bulgaria, España y Polonia para constatar si existía alguna investigación penal en curso o prevista u otras pesquisas en virtud de las disposiciones aplicables de la legislación nacional, que pudiera ser respaldada por Europol; subraya que ofrecer asistencia a los Estados miembros no constituye el inicio, la realización o la coordinación de una investigación penal tal como se establece en el artículo 6;
- Pide a Europol que haga pleno uso de las nuevas competencias que le confiere el artículo 6, apartado 1 bis del Reglamento (UE) 2022/991, que le permitirían proponer a las autoridades competentes de los Estados miembros afectados que inicien, lleven a cabo o coordinen una investigación, cuando proceda; señala que, de conformidad con el artículo 6, corresponde a los Estados miembros rechazar tal propuesta;
- Insta a todos los Estados miembros a comprometerse con el Parlamento Europeo y el Consejo a procurar la participación de Europol en las investigaciones sobre las denuncias de uso ilegítimo de programas espía a escala nacional, en particular cuando se haya formulado una propuesta con arreglo al artículo 6, apartado 1 bis del Reglamento (UE) 2022/991;
- Pide a los Estados miembros que creen en el seno de Europol un registro de operaciones policiales nacionales que impliquen el uso de programas espía, dentro del cual cada operación se identifique mediante un código, y que el uso de estos programas por parte de los gobiernos se incluya en el informe de evaluación de la amenaza de la delincuencia organizada en internet que Europol elabora anualmente;
- Considera que debe iniciarse una reflexión sobre la función de Europol en los casos en los que las autoridades nacionales no investiguen o se nieguen a investigar y existan amenazas claras para los intereses y la seguridad de la UE;
Políticas de desarrollo de la Unión
- Pide a la Comisión y al SEAE que apliquen mecanismos de control más rigurosos para garantizar que la ayuda al desarrollo de la Unión, incluida la donación de tecnología de vigilancia y la formación en el despliegue de programas informáticos de vigilancia, no financie ni facilite herramientas y actividades que puedan menoscabar los principios de la democracia, la buena gobernanza, el Estado de Derecho y el respeto de los derechos humanos, o que supongan una amenaza para la seguridad internacional o para la seguridad esencial de la Unión y sus miembros; observa que las evaluaciones de la Comisión sobre el cumplimiento del Derecho de la Unión, en particular del Reglamento financiero, deben contener criterios de control específicos y mecanismos de ejecución para evitar tales abusos, incluida la posible suspensión temporal de proyectos específicos si se detecta una vulneración de estos principios;
- Pide a la Comisión y al SEAE que incluyan en todas las evaluaciones de impacto en los derechos humanos y fundamentales un procedimiento de seguimiento del posible uso abusivo de la vigilancia, que tenga plenamente en cuenta el artículo 51 de la Carta en el plazo de un año [tras la publicación de las recomendaciones de la PEGA]; subraya que este procedimiento debe presentarse al Parlamento y al Consejo y que esta evaluación de impacto debe llevarse a cabo antes de cualquier provisión de apoyo a países no pertenecientes a la UE;
- Pide al SEAE que informe sobre el uso indebido de programas espía contra defensores de los derechos humanos en el informe anual sobre los derechos humanos y la democracia de la Unión;
Normativa financiera de la Unión
- Destaca que debe reforzarse el respeto de los derechos humanos por parte del sector financiero; subraya que las recomendaciones de los Principios Rectores de las Naciones Unidas 10+ deben transponerse al Derecho de la Unión y que la Directiva sobre diligencia debida debe aplicarse plenamente al sector financiero, a fin de garantizar el respeto de la democracia, los derechos humanos y el Estado de Derecho en dicho sector;
- Manifiesta su preocupación por las implicaciones de la resolución del TJUE sobre la Directiva (UE) 2018/843 relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo (36), por la que se declara inválida la información sobre la titularidad real de las sociedades y otras entidades jurídicas establecidas en un Registro de la Titularidad Real (UBO) nacional y de acceso público (37); subraya que, teniendo en cuenta la resolución del TJUE, la futura Directiva debe permitir la máxima accesibilidad pública posible, de modo que resulte más difícil ocultar las compras o ventas de programas espía a través de representantes y empresas de intermediación;
Seguimiento de las resoluciones del Parlamento
- Pide un seguimiento urgente de la Resolución del Parlamento Europeo, de 12 de marzo de 2014, sobre el programa de vigilancia de la Agencia Nacional de Seguridad de los EE. UU., los órganos de vigilancia de varios Estados miembros y su impacto en los derechos fundamentales de los ciudadanos de la Unión y en la cooperación transatlántica en materia de justicia y asuntos de interior; recalca que las recomendaciones formuladas en dicha Resolución deben aplicarse con carácter de urgencia;
- Subraya que, a pesar de que la supervisión de las actividades de los servicios de inteligencia debe basarse tanto en la legitimidad democrática (marco jurídico sólido, autorización ex antey verificación ex post) como en una capacidad técnica y unos conocimientos especializados adecuados, la mayoría de los órganos de supervisión actuales de la UE y los Estados Unidos carecen marcadamente de ambos, en particular de capacidades técnicas;
- Invita, como ya hiciera en el caso de Echelon, a todos los parlamentos nacionales que aún no lo hayan hecho a que establezcan un control coherente de las actividades de inteligencia por parte de parlamentarios u organismos especializados con potestad legal de investigación; hace un llamamiento a los parlamentos nacionales para que garanticen que dichos comités u organismos de control dispongan de recursos, pericia técnica y medios legales suficientes, incluido el derecho a realizar visitas in situ, para que puedan controlar los servicios de inteligencia de manera efectiva;
- Pide que se cree un Grupo de Alto Nivel para proponer, de manera transparente y en colaboración con los parlamentos, recomendaciones y otras medidas que se deban tomar con miras a una mejora del control democrático, incluido el control parlamentario, de los servicios de inteligencia y a una mayor colaboración en materia de supervisión en la UE, en particular por lo que respecta a su dimensión transfronteriza;
- Considera que dicho Grupo de Alto Nivel debería:
- a) definir las directrices o normas mínimas europeas por lo que se refiere al control (ex ante y ex post) de los servicios de inteligencia sobre la base de las mejores prácticas y recomendaciones existentes de organismos internacionales (por ejemplo, las Naciones Unidas y el Consejo de Europa), incluida la cuestión de que los organismos de supervisión sean considerados terceros a tenor de la «norma de la tercera parte» o el principio de control por el emisor, en relación con el control y la rendición de cuentas de la inteligencia procedente de países extranjeros;
- b) desarrollar criterios para una mejor transparencia a partir del principio general de acceso a la información y de los llamados «Principios de Tshwane» (38);
- Tiene intención de organizar una conferencia con los organismos nacionales de control, ya sean parlamentarios o independientes;
- Solicita a los Estados miembros que elaboren un código de buenas prácticas para mejorar el acceso de sus organismos de control a la información sobre las actividades de inteligencia (que incluya información clasificada e información de otros servicios) y establezcan la facultad para llevar a cabo visitas in situ, un conjunto sólido de poderes de interrogación, recursos y conocimientos técnicos adecuados, independencia estricta frente a sus respectivos gobiernos y la obligación de informar a sus parlamentos respectivos;
- Pide a los Estados miembros que desarrollen mecanismos de cooperación entre los organismos de control;
- Solicita a la Comisión que presente una propuesta de procedimiento de habilitación de seguridad de la Unión para todos los titulares de cargos públicos de la UE, ya que el sistema actual, que se basa en la habilitación de seguridad por el Estado miembro del que se tiene nacionalidad, tiene unos requisitos y una duración de los procedimientos distintos dentro de los sistemas nacionales, lo que conlleva un tratamiento diferente de los diputados y de su personal dependiendo de su nacionalidad;
- Recuerda las disposiciones del Acuerdo interinstitucional entre el Parlamento Europeo y el Consejo sobre la transmisión al Parlamento Europeo y la gestión por el mismo de la información clasificada en posesión del Consejo sobre asuntos distintos de los pertenecientes al ámbito de la política exterior y de seguridad común, que deberían emplearse para mejorar el control a nivel de la UE;
Programas de investigación de la Unión
- Pide que se implanten mecanismos de control más rigurosos y eficaces a fin de garantizar que los fondos de investigación de la Unión no financian ni facilitan instrumentos, incluidos programas espía y herramientas de vigilancia, que vulneren los valores de la Unión; observa que las evaluaciones sobre el cumplimiento del Derecho de la Unión deben contener criterios de control específicos a fin de evitar tales abusos; pide que se ponga fin a los fondos de investigación de la Unión destinados a entidades que estén o hayan estado involucradas en la facilitación directa o indirecta de violaciones de derechos humanos mediante herramientas de vigilancia;
- Destaca que la financiación de la Unión para la investigación, como los acuerdos de Horizonte Europa con países no pertenecientes a la UE, no debe utilizarse para contribuir al desarrollo de programas espía y tecnologías equivalentes;
Laboratorio tecnológico de la UE
- Pide a la Comisión que inicie, sin demora, la creación de un instituto de investigación interdisciplinario europeo gestionado de forma independiente, centrado en la investigación y el desarrollo en el nexo entre las tecnologías de la información y la comunicación, los derechos fundamentales y la seguridad; subraya que este instituto debe trabajar con expertos, académicos y representantes de la sociedad civil, y estar abierto a la participación de expertos e instituciones de los Estados miembros;
- Incide en que este instituto contribuiría a una mejor concienciación, atribución y rendición de cuentas dentro y fuera de Europa, así como a expandir la base de talentos europeos y nuestra comprensión de cómo los proveedores de programas espía desarrollan, mantienen, venden y prestan sus servicios a terceros;
- Considera que el instituto debe encargarse de descubrir y exponer el uso ilícito de programas informáticos con fines de vigilancia ilícita, prestar asistencia jurídica y tecnológica gratuita y accesible, también en lo que ataña al cribado de teléfonos inteligentes para aquéllos que sospechen que han sido objeto de ataques de programas espía y a la provisión de las herramientas necesarias para la detección de tales programas, llevar a cabo investigaciones analíticas forenses para investigaciones judiciales, y elaborar informes periódicos sobre la utilización y el uso indebido de programas espía en la UE, teniendo en cuenta las actualizaciones tecnológicas; considera que este informe debe publicarse anualmente y transmitirse a la Comisión, al Parlamento y al Consejo;
- Recomienda que la Comisión cree el Laboratorio Tecnológico de la UE en estrecha colaboración con el Equipo de respuesta a emergencias informáticas para las instituciones, órganos y agencias de la UE (CERT-UE) y la ENISA, y que consulte a los expertos pertinentes al constituir dicho Laboratorio con el fin de aprender de las buenas prácticas en el ámbito académico;
- Subraya la importancia de garantizar una financiación adecuada para el Laboratorio Tecnológico de la UE;
- Recomienda que la Comisión presente un sistema de certificación para el análisis y la autenticación de material forense;
- Pide a la Comisión que apoye la capacidad de la sociedad civil en todo el mundo para reforzar la resiliencia frente a los ataques de programas espía y la prestación de asistencia y servicios a los ciudadanos;
El Estado de Derecho
- Subraya que el impacto del uso ilegal de programas espía es mucho más pronunciado en los Estados miembros en los que las autoridades que, en condiciones normales, se encargarían de investigar, ofrecer una reparación a las personas espiadas y garantizar la rendición de cuentas, son captadas por el Estado y que, cuando existe una crisis del Estado de Derecho y la independencia del poder judicial se encuentra en peligro, no se puede confiar en las autoridades nacionales;
- Pide, por tanto, a la Comisión que garantice una aplicación efectiva de su conjunto de instrumentos al servicio del Estado de Derecho, en particular:
- a) la puesta en marcha de un seguimiento más exhaustivo del Estado de Derecho, incluidas las recomendaciones específicas por país relacionadas con el uso ilícito de programas espía por parte de los Estados miembros, en el Informe anual sobre el Estado de Derecho de la Comisión, la evaluación de la capacidad de respuesta de las instituciones estatales a la provisión de reparación a las personas espiadas, y la ampliación del alcance de su Informe anual sobre el Estado de Derecho, y la inclusión de todos los retos para la democracia, el Estado de Derecho y los derechos fundamentales, formulados en el artículo 2 del TUE, como ha solicitado reiteradamente el Parlamento;
- b) emprender de manera proactiva y agrupar procedimientos de infracción contra los Estados miembros por deficiencias del Estado de Derecho, como las amenazas a la independencia del poder judicial y al funcionamiento efectivo del servicio policial y de la fiscalía en el contexto de la cooperación policial y judicial en materia penal;
Fondo para litigios de la Unión
- Pide la creación, sin demoras indebidas, de un fondo de la Unión destinado a litigios que cubra los costes procesales reales y permita a las personas objeto de programas espía buscar una reparación adecuada, incluidos los daños y perjuicios por el uso ilegal de programas espía en su contra, en consonancia con la acción preparatoria aprobada por el Parlamento en 2017, con el fin de crear un fondo de la Unión para el apoyo financiero en casos de litigios relativos a violaciones de la democracia, el Estado de Derecho y los derechos fundamentales;
Instituciones de la UE
- Expresa su preocupación por la falta de acción de la Comisión hasta la fecha, y le insta a que haga pleno uso de todas sus competencias como guardiana de los Tratados y a que lleve a cabo una investigación exhaustiva y en profundidad sobre el uso indebido y el comercio de programas espía en la Unión;
- Insta a la Comisión a que efectúe una investigación completa sobre todas las denuncias y sospechas de uso de programas espía contra sus cargos y funcionarios, y a que informe al Parlamento y a las autoridades policiales competentes cuando sea necesario;
- Pide a la Comisión que establezca un grupo de trabajo especial, en el que participen las comisiones electorales nacionales, dedicado a la protección de las elecciones europeas de 2024 en toda la Unión; recuerda que no solo la injerencia extranjera, sino también la interna, suponen una amenaza para los procesos electorales europeos; subraya que, en el caso de un uso indebido de herramientas de vigilancia generalizadas, como Pegasus, las elecciones pueden verse afectadas;
- Toma nota de que la Comisión PEGA no recibió una respuesta colectiva del Consejo a las preguntas del Parlamento Europeo a cada uno de los Estados miembros hasta la víspera de la publicación del proyecto de informe, aproximadamente cuatro meses después de las cartas del Parlamento; expresa su consternación por la falta de acción del Consejo Europeo y del Consejo de Ministros, y aboga por una cumbre específica del Consejo Europeo, habida cuenta de la magnitud de la amenaza para la democracia en Europa;
- Pide al Consejo de la UE que aborde los avances relacionados con el uso de programas espía y su repercusión en los valores consagrados en el artículo 2 del TUE durante las audiencias organizadas en virtud del artículo 7, apartado 1, del TUE;
- Pide al Consejo que invite permanentemente al Parlamento Europeo a las reuniones del Comité de Seguridad del Consejo, tal como se establece en el artículo 17, apartado 2, del Reglamento de Seguridad del Consejo 2013;
- Opina que el Parlamento debe tener plenos poderes de investigación, incluidos un mejor acceso a la información clasificada y no clasificada, la facultad de citar a testigos, exigir formalmente a los testigos que presten declaración bajo juramento y facilitar la información solicitada en plazos específicos; reitera la posición del Parlamento en su propuesta de 23 de mayo de 2012 de Reglamento del Parlamento Europeo relativo a las modalidades de ejercicio del derecho de investigación del Parlamento Europeo y por el que se deroga la Decisión 95/167/CE, Euratom, CECA del Parlamento Europeo, del Consejo y de la Comisión (39), pide al Consejo que emprenda acciones de inmediato respecto a esta propuesta de Reglamento para permitir que el Parlamento Europeo goce de un derecho de investigación adecuado;
- Reconoce los esfuerzos del Parlamento en la detección de infecciones por programas espía; considera, sin embargo, que debe reforzarse la protección del personal, teniendo en cuenta los privilegios y las inmunidades de quienes han sido espiados; recuerda que cualquier ataque a los derechos políticos de los diputados es un ataque a la independencia y soberanía de la institución, así como a los derechos de los votantes;
- Pide a la Mesa del Parlamento Europeo que adopte un protocolo para los casos en que diputados o personal de la institución se hayan convertido en objetivo directo o indirecto de programas espía, y subraya que todos los casos deben ser notificados por el Parlamento Europeo a las autoridades policiales responsables; subraya que el Parlamento debe prestar asistencia jurídica y técnica en tales casos;
- Decide adoptar la iniciativa de poner en marcha una conferencia interinstitucional en la que el Parlamento, el Consejo y la Comisión busquen reformas de la gobernanza que refuercen la capacidad institucional de la Unión para responder adecuadamente a los ataques contra la democracia y el Estado de Derecho desde dentro y para garantizar que la Unión disponga de métodos supranacionales eficaces para hacer cumplir los Tratados y el Derecho derivado en caso de incumplimiento por parte de los Estados miembros;
- Pide la rápida adopción de la propuesta de la Comisión de un Reglamento del Parlamento Europeo y del Consejo por el que se establecen medidas destinadas a garantizar un elevado nivel común de ciberseguridad en las instituciones, los órganos y los organismos de la Unión (COM(2022)0122) y la inmediata aplicación y estricta ejecución de la misma con posterioridad, con el fin de reducir el riesgo de infecciones por programas espía de los dispositivos y sistemas utilizados por los políticos y el personal de las instituciones de la UE;
- Pide a la UE que suscriba el Convenio 108+;
- Pide a la Defensora del Pueblo Europeo que inicie debates en el marco de la Red Europea de Defensores del Pueblo sobre el impacto del uso indebido de la vigilancia generalizada en los procesos democráticos y los derechos de los ciudadanos; pide a la Red que elabore recomendaciones sobre una reparación efectiva y significativa en toda la Unión;
Acción legislativa
- Pide a la Comisión que presente sin demora una propuesta legislativa basada en la presente recomendación;
- Encarga a su presidenta que transmita la presente Recomendación a los Estados miembros, al Consejo, a la Comisión y a Europol.
(1) DO L 201 de 31.7.2002, p. 37.
(2) DO L 119 de 4.5.2016, p. 1.
(3) DO L 119 de 4.5.2016, p. 89.
(4) DO L 218 de 14.8.2013, p. 8.
(5) DO L 206 de 11.6.2021, p. 1.
(6) DO L 129 I de 17.5.2019, p. 13.
(7) DO L 174 I de 18.5.2021, p. 1.
(8) DO L 278 de 8.10.1976, p. 5.
(9) DO L 113 de 19.5.1995, p. 1.
(10) DO L 98 de 25.3.2022, p. 72.
(11) DO L 156 de 19.6.2018, p. 43.
(12) Sentencia del Tribunal de Justicia (Gran Sala) de 22 de noviembre de 2022, C-37/20, WM y Sovim SA contra Luxembourg Business Registers, ECLI:EU:C:2022:912.
(13) https://www.ohchr.org/Documents/Publications/GuidingPrinciplesBusinessHR_SP.pdf
(14) https://www.coe.int/en/web/commissioner/-/highly-intrusive-spyware-threatens-the-essence-of-human-rights.
(15) https://edps.europa.eu/system/files/2022-02/22-02-15_edps_preliminary_remarks_on_modern_spyware_en_0.pdf.
(16) DO C 378 de 9.11.2017, p. 104.
(17) https://www.ohchr.org/en/press-releases/2023/02/spain-un-experts-demand-investigation-alleged-spying-programme-targeting.
(18) https://www.venice.coe.int/webforms/documents/default.aspx?pdffile=CDL-AD(2015)010-e.
(19) https://www.venice.coe.int/webforms/documents/default.aspx?pdffile=CDL-AD(2016)012-e.
(20) Ley de Control de las Exportaciones de Defensa 5766-2007, Ministerio de Defensa israelí.
(21) https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=COM%3A2022%3A434%3AFIN&qid=1662029750223.
(22) https://www.echr.coe.int/documents/fs_mass_surveillance_eng.pdf
(23) «La vigilancia y los derechos humanos», informe del Relator Especial sobre la promoción y protección del derecho a la libertad de opinión y de expresión, A/HRC/41/35, 2019.
(24) Oficina del Alto Comisionado de las Naciones Unidas para los Derechos Humanos, «Spyware scandal: UN experts call for moratorium on sale of “life threatening” surveillance tech» (El escándalo de los programas espía: expertos de las Naciones Unidas abogan por una moratoria respecto a la venta de la tecnología de vigilancia que representa una «amenaza para la vida»).
(25) https://www.wto.org/spanish/tratop_s/gproc_s/gpa_1994_s.htm.
(26) https://research-and-innovation.ec.europa.eu/news/all-research-and-innovation-news/israel-joins-horizon-europe-research-and-innovation-programme-2021-12-06_en.
(27) https://webgate.ec.europa.eu/dashboard/extensions/CountryProfile/CountryProfile.html?Country=Israel https://elbitsystems.com/products/comercial-aviation/innovation-rd/.
(28) Reglamento (UE) 2021/947 del Parlamento Europeo y del Consejo, de 9 de junio de 2021, por el que se establece el Instrumento de Vecindad, Cooperación al Desarrollo y Cooperación Internacional — Europa Global, por el que se modifica y deroga la Decisión n.o 466/2014/UE del Parlamento Europeo y del Consejo y se derogan el Reglamento (UE) 2017/1601 del Parlamento Europeo y del Consejo y el Reglamento (CE, Euratom) n.o 480/2009 del Consejo (DO L 209 de 14.6.2021, p. 1).
(29) Decisión en el asunto 1904/2021/MHZ, disponible en https://www.ombudsman.europa.eu/en/decision/en/163491.
(30) Agencia de los Derechos Fundamentales, Surveillance by intelligence services: fundamental rights safeguards and remedies in the EU (Vigilancia a cargo de los servicios de inteligencia: salvaguardias y tutela de los derechos fundamentales en la Unión Europea) — Volumen II (Resumen), 2017, https://fra.europa.eu/en/publication/2017/surveillance-intelligence-services-fundamental-rights-safeguards-and-remedies-eu.
(31) https://fra.europa.eu/sites/default/files/fra_uploads/fra-2017-surveillance-intelligence-services-vol-2-summary_en.pdf.
(32) Sentencia de 6 de octubre de 2020, asunto C-623/17, Privacy International contra Secretary of State for Foreign and Commonwealth Affairs and Others, ECLI:EU:C:2020:790, apartado 44 y sentencias de 6 de octubre de 2020, asuntos acumulados C-511/18, C-512/18 y C-520/18, La Quadrature du Net y otros contra Premier ministre y otros, ECLI:EU:C:2020:791, apartado 99: «el mero hecho de que se haya adoptado una medida nacional con el fin de proteger la seguridad nacional no puede dar lugar a la inaplicabilidad del Derecho de la Unión ni dispensar a los Estados miembros de la necesaria observancia de dicho Derecho».
(33) Esta evaluación está prevista en la jurisprudencia del TEDH que impone la carga de la prueba al Estado/legislador. La jurisprudencia pertinente del TEDH incluye: Roman Zakharov c. Rusia (solicitud n.o 47143/06), 4 de diciembre de 2015; Szabó y Vissy c. Hungría (solicitud n.o 37138/14), 12 de enero de 2016; Big Brother Watch y otros c. el Reino Unido (solicitudes n.o 58170/13, 62322/14 y 24969/15), 25 de mayo de 2021 y Centrum för rättvisa c. Suecia (solicitud n.o 35252/08), 25 de mayo de 2021.
(34) Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (DO L 333 de 27.12.2022, p. 80).
(35) Propuesta de Reglamento del Parlamento Europeo y del Consejo, de 15 de septiembre de 2022, relativo a los requisitos horizontales de la ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020, (COM(2022)0454).
(36) Sentencia de 22 de noviembre de 2022, asuntos acumulados C-203/20 y C-698/20, ECLI:EU:C:2022:912.
(37) TJUE. Comunicado de prensa n.o 188/22, Sentencia del Tribunal en los asuntos acumulados C-37/20 y C-601/20.
(38) The Global Principles on National Security and the Right to Information (Los principios mundiales relativos a la seguridad nacional y el derecho a la información), junio de 2013.
(39) DO C 264 E de 13.9.2013, p. 41.
ELI: http://data.europa.eu/eli/C/2024/494/oj
ISSN 1977-0928 (electronic edition)