La regulación y mejora del Sistema Internacional de Visados (VIS) del Espacio Schengen y su impacto en la protección de datos

En publicaciones anteriores del blog hemos indicado cómo el Sistema de Información Schengen II garantiza la protección de nuestros datos personales, teniendo como objetivo la eliminación de los controles fronterizos internos, tratando de garantizar, en todo caso, un alto nivel de seguridad y justicia en todos los países miembros de la UE.

La Comisión Europea, estableció en el año 2010 como uno de los pilares básicos de su «Estrategia de Seguridad Interior de la UE en acción: cinco medidas para una Europa más segura», el reforzar la seguridad a través de la gestión de fronteras. Uno de los aspectos estratégicos para la consecución del objetivo radicaba en un mayor uso de las nuevas tecnologías en los controles fronterizos, mediante la segunda generación del Sistema de Información de Schengen (SIS II) ya indicado en el párrafo anterior; un sistema de entrada/salida y programa de registro de pasajeros, así como mediante el Sistema de Información de Visados (Visa Informatión System, en adelante, VIS).

En el presente artículo, vamos a proceder al análisis del VIS, instrumento que se encuentra dentro del marco Schengen, a raíz de los ataques del 11 de septiembre de 2001, establecido por la Decisión 2004/512/CE del Consejo, de 8 de junio de 2004, por la que se establece el Sistema de Información de Visados (VIS) y que fue concebido con un doble objetivo:

  • Aplicación de una política de visados común dentro de los Estados Miembros de la UE, con el fin de facilitar el examen de las solicitudes de los visados y control de las fronteras exteriores.
  • Prevenir las amenazas a la seguridad interior de los Estados Miembros.

¿Qué es el VIS?

El VIS es la base de datos que recoge la información sobre aquellos solicitantes de visados Schengen, que permite a los países que integran el espacio Schengen, procesar datos y decisiones relacionadas con las solicitudes de visados de corta duración, con el fin de visitar o transitar por el Área Schengen, a fin de incrementar la seguridad y la mejora en la gestión de las fronteras exteriores de la UE.

El VIS contiene información sobre los ciudadanos no pertenecientes a la UE que solicitan visados Schengen de corta duración. Sirve para conectar a los guardas fronterizos en las fronteras exteriores de la UE con los consulados de los Estados Miembros en todo el mundo. Es uno de los sistemas más avanzados de este tipo, conteniendo más de 55 solicitudes de visa y cerca de 47 millones de huellas dactilares. Cada año, los Estados Miembros de la UE procesan alrededor de 18 millones de solicitudes para estas visas Schengen de corta duración.

En la actualidad, los países que se encuentran adheridos a este sistema son la mayoría de los estados miembros de la UE, a excepción de Chipre, Croacia, Irlanda y Reino Unido. Bulgaria y Rumanía se encuentran en proceso de adherirse al Área Schengen. También forman parte de ésta, estados no pertenecientes a la UE, como Islandia, Noruega, Suiza y Liechtenstein.

Este Sistema de Información de Visados viene regulado en el  REGLAMENTO (CE) Nº 767/2008 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 9 de julio de 2008, sobre el Sistema de Información de Visados (VIS) y el intercambio de datos sobre visados de corte duración entre los Estados miembros (Reglamento VIS), cuyo objetivo radica en “mejorar la aplicación de la política común de visados, la cooperación consular y las consultas entre las autoridades centrales de visados, facilitando el intercambio de datos entre los Estados miembros sobre las solicitudes y sobre las decisiones relativas a las misma”, y cuyas disposiciones fueron modificadas por el Reglamento (UE) 2017/2226 del Parlamento Europeo y del Consejo, de 30 de noviembre de 2017, por el que se establece un Sistema de Entradas y Salidas (SES) para registrar los datos de entrada y salida y de denegación de entrada relativos a nacionales de terceros países que crucen las fronteras exteriores de los Estados miembros, se determinan las condiciones de acceso al SES con fines policiales y se modifican el Convenio de aplicación del Acuerdo de Schengen y los Reglamentos (CE) n.º 767/2008 y (UE) n.º 1077/2011.

Entre sus principales finalidades, podemos encontrar las siguientes:

  • Mayor facilidad de los controles y de la emisión de visados: con el fin de verificar que aquella persona que presenta una visa, sea efectivamente el titular de la misma, así como poder identificar aquellas personas que no cumplan, o hayan dejado de cumplir, las condiciones de entrada, permanencia o residencia en el territorio de los Estados Miembros.
  • Combatir abusos y facilitar la lucha contra el fraude, como, por ejemplo, la compra de visas.
  • Protección de los viajeros del robo de su identidad, mediante la utilización de los sistemas de reconocimiento biométrico, que permiten la identificación y confirmación de la identidad del titular de una visa de una manera más rápida, precisa y segura.
  • Ayuda con las solicitudes de asilo, al identificar con mayor facilidad qué Estado Miembro debe ser responsable de examinar una determinada solicitud de asilo, así como proceder a examinar dichas solicitudes.
  • Mejora de la seguridad, ayudando a prevenir, detectar e investigar amenazas contra la seguridad interior de cualquier estado miembro, así como delitos terroristas y otros delitos graves.
  • Facilitar la aplicación del Reglamento (CE) nº 343/2003 del Consejo, de 18 de febrero de 2003, por el que se establecen los criterios y mecanismos de determinación del Estado miembro responsable del examen de una solicitud de asilo presentada en uno de los Estados miembros por un nacional de un tercer país.

El responsable de la gestión operativa del VIS es la Agencia de la UE para sistemas informáticos a gran escala, eu-LISA, quien se encarga de gestionar las operaciones del SIS II, de VIS, y del EURODAC (sistema de impresiones dactilares de solicitantes de asilo), y cuya actividad tiene 3 principales objetivos:

  • Garantizar los más altos niveles de seguridad de la información y de la protección de los datos.
  • Implementación de nuevos sistemas de investigación y desarrollo.
  • Mejorar el uso de la Tecnología de la Información destinado a las autoridades nacionales, mediante planes de capacitación.

Ahora bien ¿qué tipos de búsquedas realiza y qué datos contiene el VIS?

El VIS permite dos tipos de búsqueda:

  1. Verificación: Se realiza mediante un Sistema de Identificación Automatizado de Huellas Dactilares o Sistema de Correspondencia Biométrica, que comprueba si las huellas dactilares escaneadas en el punto fronterizo se corresponden realmente con las asociadas en los registros biométricos.
  2. Identificación: Compara las huellas dactilares que se tomaron en el punto fronterizo con el contenido de todas las bases de datos.

Los datos que contiene serían los siguientes:

  1. Huellas dactilares.
  2. Imágenes faciales.
  3. Información acerca del formulario de solicitud de la visa.

Las medidas de seguridad que debe en todo caso garantizar y adoptar el Estado Miembro responsable, vienen recogidas en el artículo 32 del Reglamento VIS, que indicamos a continuación:

  • Protección de los datos físicos, mediante la elaboración de planes de emergencia.
  • Controles de entrada a las instalaciones.
  • Control de soporte de los datos.
  • Control de almacenamiento.
  • Control de introducción de datos.
  • Control de acceso a los datos.
  • Creación de perfiles del personal.
  • Control de comunicación.
  • Control del registro de datos.
  • Control de transporte.
  • Control interno.

El tratamiento de los datos VIS deberá ser, en todo caso, necesario y proporcionado a los fines para los que fueron recabados. El plazo mínimo de conservación de los datos será de 5 años, a contar desde uno de los siguientes supuestos:

  • La fecha de vencimiento de la visa emitida.
  • Fecha a partir de la cual se toma una decisión negativa.
  • Fecha en la que se toma la decisión de modificar una visa emitida.

¿Cuáles son los derechos que asisten a los afectados?

Los derechos que asisten a los afectados en el marco de este sistema VIS, se recogen en el Capítulo VI del Reglamento VIS, consistentes en el derecho de información (artículo 37), así como los derechos de acceso, corrección y supresión (artículo 38).

¿Quién puede tener acceso al VIS?

  • Las autoridades de visa, a la hora de examinar las solicitudes de visa.
  • Guardas fronterizas y autoridades de migración, cuando tengan que comprobar la identidad del titular de la visa, así como su validez.
  • Autoridades de asilo, para determinar el país responsable de examinar las solicitudes de asilo.
  • Autoridades policiales y Europol, con el fin de prevenir, detectar e investigar delitos terroristas, así como otros delitos graves.

Para finalizar, es necesario indicar que, en mayo del año 2018, la Comisión Europea propuso una mejora del VIS, con el fin de dotar de una mayor respuesta a la evolución que plantean los desafíos migratorios y de seguridad, así como una mejor gestión de las fronteras exteriores de la UE. Además, se permitiría una mayor comprobación acerca de los antecedentes de los solicitantes de los visados y un mejor intercambio de información entre los Estados Miembros, lo que permitiría colmar las lagunas en materia de información de seguridad, así como garantizar una plena interoperabilidad con otras bases de datos. 

Asimismo, no debemos olvidar, que, aunque el Reglamento VIS haga remisión a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debemos entender que, tras la plena aplicación del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (en adelante, RGPD) el pasado 25 de mayo del 2018, todas estas medidas de seguridad de los datos, deben estar en consonancia según lo dispuesto en propio RGPD. Así lo entiende y lo contempla la nueva propuesta de Reglamento, que modificaría el Reglamento VIS, entre otros cuerpos legales, y que en atención a la materia de protección de datos personales, contemplaría los siguientes aspectos:

  • Elaboración de evaluación de impacto.
  • Mejora de la calidad de los datos.
  • Cumplir con los principios de subsidiariedad y proporcionalidad.
  • Establecer garantías adicionales con el fin de cubrir las necesidades específicas de las nuevas categorías de datos.
  • Adopción de las disposiciones en virtud del principio de la “protección de datos desde el diseño”.