A veces se utiliza una falsa identidad para cometer delitos o para intentar entrar o permanecer en el espacio Schengen. Este uso inadecuado a menudo va ligado a la pérdida o al robo de documentos de identidad. Si una situación así se traduce en la entrada de una alerta en el Sistema Información Schengen de segunda generación (en lo sucesivo SIS II) podría causar problemas a la persona inocente cuya identidad ha sido robada.
Las personas cuyos datos personales hayan sido recogidos, almacenados o tratados de algún otro modo en el SIS II tienen derecho de acceso, de rectificación de los datos inexactos y de supresión de los datos almacenados ilegalmente.
En este post te contamos en qué consiste el sistema de información Schengen II y cómo podemos solicitar el acceso a nuestros datos personales para su corrección o eliminación por un mal uso.
¿Qué es el Sistema de Información de Schengen?
El Sistema de Información de Schengen establecido en 1995, por el art. 92 del Convenio de Aplicación del Acuerdo de Schengen es un sistema informático a gran escala, creado como medida compensatoria por la eliminación de los controles fronterizos internos, con el que se trata de garantizar un alto nivel de seguridad dentro del espacio de libertad, seguridad y justicia de la Unión Europea, incluidos el mantenimiento de la seguridad y el orden público y la salvaguardia de la seguridad en el territorio de los Estados miembros.
En diciembre de 2016, la Comisión propuso ampliar y mejorar el uso de esta base de datos al enriquecer los datos que contiene con nuevas categorías de alertas, garantizando así un intercambio de información aún más eficiente entre los Estados miembros y fortaleciendo la seguridad de los datos personales a medida que viajan, a través de la red SIS, así como las salvaguardas generales de protección de datos.
El SIS II funciona en 30 países europeos, es decir, 26 Estados miembros de la UE (solo Irlanda y Chipre aún no están conectados al SIS), así como en Islandia, Liechtenstein, Noruega y Suiza.
Hoy, el SIS II es la base de datos de seguridad más utilizada en Europa, con más de 5 mil millones de consultas en 2017.
La actual regulación de este sistema de información se encuentra en el Reglamento (UE) 2018/1862 del Parlamento Europeo y del Consejo, de 28 de noviembre de 2018, relativo al establecimiento, funcionamiento y utilización del Sistema de Información de Schengen (SIS) en el ámbito de la cooperación policial y de la cooperación judicial en materia penal, por el que se modifica y deroga la Decisión 2007/533/JAI del Consejo, y se derogan el Reglamento (CE) n.o 1986/2006 del Parlamento Europeo y del Consejo y la Decisión 2010/261/UE de la Comisión (en adelante, RSIS).
La lista de las autoridades nacionales competentes con acceso al SIS II se publica anualmente en el Diario oficial de la Unión Europea.
En esencia, una autoridad aduanera, policial, judicial o administrativa de un país puede generar una «alerta» donde se describa la persona o el objeto que se está buscando.
Se puede generar una alerta entre otras por las razones siguientes:
1. Para evitar la entrada de personas que no están autorizadas a entrar o a permanecer en territorio Schengen.
2. Para buscar y detener a una persona contra la que se ha dictado una orden de detención europea.
3. Para ayudar a localizar personas, previa petición de las autoridades policiales o judiciales.
4. Para buscar y proteger a una persona desaparecida.
5. Para buscar propiedades robadas o perdidas.
6. Alertas preventivas sobre niños y adultos vulnerables en riesgo de secuestro.
7. Alertas sobre ciudadanos no pertenecientes a la UE sujetos a una decisión de repatriación.
¿Pero qué información nos ofrece la consulta a SIS II?
El SIS II centraliza dos amplias categorías de información:
1.-Personas con orden de detención, desaparecidas, especialmente niños u otras personas vulnerables que necesiten protección, requeridas para prestar asistencia en un procedimiento judicial, a efectos de controles discretos o específicos, o bien nacionales de terceros países a los que se ha denegado la entrada o la estancia en un país del espacio Schengen.
2.- Objetos tales como vehículos, documentos de viaje y tarjetas de crédito, para su incautación o utilización como pruebas en un procedimiento penal, o a efectos de controles discretos o específicos.
Cuando la descripción se refiera a una persona, la información deberá incluir siempre su nombre, apellidos y en su caso alias, su sexo, una referencia a la decisión que motiva la descripción y las acciones que se deberán emprender. La descripción podrá incluir asimismo otras informaciones disponibles, como los rasgos físicos particulares, objetivos e inalterables, el lugar y fecha de nacimiento, fotografías, huellas dactilares, nacionalidad(es), si la persona en cuestión está armada, es violenta o se ha fugado, los motivos de la descripción, la autoridad que la introdujo, las conexiones con otras descripciones del artículo 63 del RSIS. (art. 20.3 RSIS).
¿Cómo se garantiza entonces la protección de los datos de carácter personal?
En lo que a protección de datos se refiere el art. 66 del RSIS señala expresamente que resulta de aplicación al SIS II la normativa siguiente:
El Reglamento (UE) 2016/679 (en adelante RGPD) será aplicable al tratamiento de datos personales realizado por las autoridades y servicios nacionales competentes, excepto el tratamiento para fines de prevención, detección, investigación o enjuiciamiento de delitos, o de ejecución de sanciones penales, incluida la protección frente a amenazas para la seguridad pública y la prevención de estas, en cuyo caso será de aplicación la Directiva (UE) 2016/680.
Se reconoce, en el art. 67 RSIS, a los interesados la posibilidad de ejercer los derechos que les asisten remitiéndose en este sentido a los artículos 15, 16 y 17 del RGPD y del artículo 14 y artículo 16, apartados 1 y 2, de la Directiva (UE) 2016/680.
Un Estado miembro que no sea el Estado miembro emisor podrá facilitar al interesado información relativa a cualquiera de los datos personales del interesado que estén siendo tratados, únicamente si ha dado antes al Estado miembro emisor ocasión de pronunciarse al respecto. La comunicación entre esos Estados miembros tendrá lugar mediante el intercambio de información complementaria (art. 67.2 RSIS).
Tras ser presentada una solicitud de acceso, rectificación o supresión, el Estado miembro informará al interesado lo antes posible y, en todo caso, dentro de los plazos a que se refiere el art. 12, apartado 3, del RGPD.
Los Estados miembros tomarán, de conformidad con el Derecho nacional, la decisión de no facilitar la información al interesado, en su totalidad o en parte, en la medida en que dicha limitación total o parcial sea una medida necesaria y proporcionada en una sociedad democrática, y la mantendrán mientras siga siéndolo, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos del interesado, con el fin de:
a) evitar la obstrucción de procedimientos de instrucción, investigaciones o procedimientos judiciales o administrativos.
b) no comprometer la prevención, detección, investigación o enjuiciamiento de delitos o la ejecución de sanciones penales.
c) proteger la seguridad pública.
d) proteger la seguridad nacional.
e) proteger los derechos y libertades de otras personas.
El Estado miembro debe informar al interesado por escrito, sin dilaciones indebidas, de cualquier denegación o restricción del acceso y de los motivos de la denegación o restricción.
Incidencias de Seguridad
Cualquier acontecimiento que repercuta o pueda repercutir en la seguridad del SIS o pueda causar daños o pérdidas de datos del SIS o de información complementaria será considerado un incidente de seguridad, especialmente cuando se haya podido producir un acceso ilegal a los datos o cuando se haya puesto o se haya podido poner en peligro la disponibilidad, integridad y confidencialidad de estos. (ar. 60 RSIS).
Los incidentes de seguridad se gestionarán de tal modo que se garantice una respuesta rápida, efectiva y adecuada.
Sin perjuicio de la notificación y comunicación de cualquier violación de la seguridad de los datos personales de conformidad con el artículo 33 del Reglamento (UE) 2016/679 o con el artículo 30 de la Directiva (UE) 2016/680, los Estados miembros, Europol, Eurojust y la Agencia Europea de la Guardia de Fronteras y Costas notificarán sin demora a la Comisión, a eu-LISA, a la autoridad de control competente y al Supervisor Europeo de Protección de Datos los incidentes de seguridad que se produzcan.
Plazos de conservación
El art. 53 RSIS se dedica al plazo de revisión de las descripciones sobre las personas.
Pues bien, la norma general es que las descripciones sobre personas se conservarán solo durante el tiempo necesario para alcanzar los fines para los que hayan sido introducidas (art. 53.1 RSIS).
Se establecen diferentes plazos que van desde 1 año a los 5 años para su revisión, dependiendo las categorías de datos tratadas. Si bien, esos plazos son precisamente para eso, para su revisión.
En este sentido el Estado miembro emisor podrá decidir, tras una evaluación completa del caso concreto, de la que deberá quedar constancia, que se conserve la descripción sobre una persona durante un período de tiempo más largo que el de revisión, cuando ello sea necesario y proporcionado para los fines que motivaron la introducción de la descripción.
Desde el momento en que una oficina SIRENE (una infraestructura de comunicación entre el sistema central y el sistema nacional, que provee una red virtual codificada dedicada a los datos del SIS II y el intercambio de datos entre las autoridades responsables de suministrar toda la información complementaria) tiene constancia de que una descripción sobre una persona ha cumplido su objetivo y, por consiguiente, debe suprimirse, lo notificará inmediatamente a la autoridad que haya creado la descripción. La autoridad dispondrá de quince días naturales desde la recepción de esa notificación para indicar que la descripción se ha suprimido o se suprimirá, o para justificar su conservación. Si no se recibiese ninguna respuesta antes de expirar el plazo de quince días, la oficina SIRENE se asegurará de que se suprima la descripción.
Supervisión por las autoridades de control
El art. 69 RSIS dota de competencia en este sentido a la Agencia Española de Protección de Datos para verificar la legalidad del tratamiento de datos personales del SIS en su territorio, velando por que se lleve a cabo una auditoría al menos cada cuatro años bien por la propia autoridad de control o bien encargando directamente por estas a un auditor independiente especializado en protección de datos.
Por otro lado, las autoridades de control y el Supervisor Europeo de Protección de Datos, dentro de sus respectivos ámbitos de competencia:
a) intercambiarán la información pertinente.
b) se asistirán mutuamente en la realización de inspecciones y auditorías.
c) examinarán las dificultades de interpretación y aplicación del RSIS y otros actos jurídicos aplicables de la UE.
d) estudiarán los problemas que se planteen en el ejercicio del control independiente o al ejercer sus derechos los interesados.
e) elaborarán propuestas armonizadas para hallar soluciones comunes a los problemas.
f) y fomentarán el conocimiento de los derechos en materia de protección de datos, en la medida necesaria.
Las autoridades de control y el Supervisor Europeo de Protección de Datos se reunirán al menos dos veces al año en el marco del Comité Europeo de Protección de Datos, que enviará anualmente al Parlamento Europeo, al Consejo y a la Comisión un informe conjunto de actividades en lo que respecta a la supervisión coordinada.
Si bien es cierto que este sistema persigue garantizar un alto nivel de seguridad dentro del espacio de libertad, seguridad y justicia de la Unión Europea, en lo que a protección de datos se refiere y como titulares de nuestros datos podemos pedir el acceso a los mismos poniéndonos en contacto con la autoridad competente de cualquier Estado del espacio Schengen (en general, será la autoridad nacional de protección de datos personales), o a través del consulado de un estado de Schengen en el país en el que residamos.
