Estimado Presidente:

Me dirijo a usted para buscar una solución al presente asunto ^[1], que se basa en una denuncia que recibí el 30 de enero de 2024. El reclamante ha estado esperando una respuesta a su solicitud confirmatoria desde el 30 de noviembre de 2023.

El denunciante solicitó acceso público a los documentos [2] relativos a las reuniones del Grupo de Cooperación sobre Redes y Sistemas de Información (SRI) creado por la Directiva SRI [3], a saber, los órdenes del día y las actas de las reuniones.

La Comisión identificó veinticuatro documentos incluidos en el ámbito de aplicación de la solicitud, así como todos los órdenes del día de las reuniones. Informó al reclamante de que los órdenes del día de las reuniones ya estaban a disposición del público en la página web de la Comisión y denegó la divulgación de los veinticuatro documentos restantes en su totalidad, alegando que dicha divulgación socavaría la protección de la seguridad pública.

Mi Oficina inició una investigación sobre esta denuncia y, a la luz del retraso en curso, solicitó a la Comisión que facilitara a mi equipo de investigación copias de los documentos en cuestión.

Tras la inspección de los documentos, considero que la Comisión debería haber concedido un amplio acceso parcial a los documentos.

En primer lugar, si bien las instituciones de la UE gozan de un amplio margen de apreciación a la hora de decidir qué exige la protección de la seguridad pública en términos de divulgación de documentos, siguen estando obligadas a demostrar un riesgo para la seguridad pública que sea razonablemente previsible y no puramente hipotético [4]. La inspección realizada por mi equipo de investigación sugiere que este no es el caso. Los documentos inspeccionados, en gran medida [5], no parecen contener ningún contenido sensible: las actas están redactadas en términos más bien generales y no proporcionan detalles sensibles sobre el trabajo operativo concreto de las autoridades SRI. Los contenidos o presentaciones sensibles parecen haber sido compartidos con los miembros del Grupo de Cooperación SRI a través de una plataforma segura (REDACTED), y los documentos solo contienen enlaces inaccesibles a dicha plataforma. Cualquier dato personal en los documentos podría ser fácilmente expurgado.

Además, gran parte de los debates se refieren a actualizaciones de los Estados miembros sobre su transposición de la primera Directiva SRI, o posiciones sobre la revisión de la Directiva, o actualizaciones sobre la transposición de la Directiva SRI 2 [6]. Dado el paso del tiempo, es difícil ver cómo estos aspectos pueden considerarse sensibles y, por lo tanto, cubiertos por la excepción de seguridad pública.

En segundo lugar, el denunciante alega, en su solicitud confirmatoria, que la Comisión no identificó todos los documentos incluidos en el ámbito de su solicitud. En particular, sostiene que la Comisión debería haber identificado (y concedido acceso a) las actas de las reuniones 16.a, 17.a, 27.a y 28.a, ya que estas reuniones aparecen en el sitio web de la Comisión en el que se enumeran los órdenes del día de todas las reuniones del Grupo de Cooperación SRI.

Tras la inspección por parte de mi equipo de investigación de estos cuatro documentos adicionales, considero que la Comisión debería haber identificado tres de ellos y haber concedido un amplio acceso parcial a ellos, por las razones expuestas anteriormente. El acta de la 28.a reunión se ultimó después de que el denunciante presentara su solicitud y, por lo tanto, queda fuera de su ámbito de aplicación.

Por último, observo que la Comisión, en su decisión inicial de denegación de acceso, alegó que la Decisión de Ejecución (UE) 2017/179 de la Comisión establece explícitamente que los debates del Grupo no deben estar abiertos al público. Sin embargo, como señala el reclamante, la misma Decisión de Ejecución establece en el artículo 10, apartado 1, que «las solicitudes de acceso a los documentos relativos a sus actividades dirigidas al Grupo serán tramitadas por la Comisión de conformidad con el Reglamento (CE) n.o 1049/2001 [...]» y en el artículo 10, apartado 3, que «los documentos presentados a los miembros del Grupo, a representantes de terceros y a expertos no serán divulgados al público, a menos que se conceda acceso a dichos documentos de conformidad con el apartado 1 o que la Comisión los haga públicos de otro modo [...]» (el subrayado es nuestro). Como tal, confío en que la Comisión esté de acuerdo en que debe basar su evaluación de la solicitud de acceso público del reclamante en las disposiciones del Reglamento (CE) n.o 1049/2001.

En vista de lo anterior, me gustaría proponer la siguiente solución en este caso:

La Comisión debe reconsiderar su posición sobre la solicitud del reclamante, con vistas a conceder el acceso más amplio posible a los documentos, incluidos los tres documentos adicionales que no se identificaron en la fase inicial [7].

Le agradecería recibiera su respuesta a mi propuesta en un plazo de tres meses, es decir, a más tardar el 21 de junio de 2024.

En esta fase, la propuesta de solución y su anexo adjunto son confidenciales. Sin embargo, mi equipo de investigación ha informado al reclamante de mi intención de buscar una solución en este caso.^[8] Tenga en cuenta que nuestra práctica habitual es enviar una copia de la propuesta de solución al reclamante para que formule observaciones, junto con una copia de la respuesta de la institución, una vez que hayamos recibido dicha respuesta. Por lo tanto, solicito a la Comisión que nos informe si la información contenida en la propuesta de solución, o en su respuesta, no debe compartirse con el denunciante.^[9] Además, dado que la denuncia está en francés, le agradecería que la Comisión preparara su respuesta en francés.

Le saluda con sinceridad,

Emily O'Reilly Defensora del Pueblo
Europeo

Estrasburgo, 21.3.2024

[1] De conformidad con el artículo 2, apartado 10, del Estatuto del Defensor del Pueblo Europeo [Reglamento (UE) 2021/1163, de 24 de junio de 2021, por el que se establecen el Estatuto del Defensor del Pueblo y las condiciones generales del ejercicio de sus funciones], disponible en: https://www.ombudsman.europa.eu/es/legal-basis/statute/es.

[2] De conformidad con las normas establecidas en el Reglamento (CE) n.o 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión, disponible en: https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32001R1049

[3] Artículo 11 de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, disponible en: https://eur-lex.europa.eu/eli/dir/2016/1148/oj

[4] Véase la sentencia del Tribunal de Justicia de 3 de julio de 2014 en el asunto C-350/12 P, Consejo/in 't Veld, apartados 52 y 64, disponible en: https://curia.europa.eu/juris/liste.jsf?num=C-350/12

[5] Sin embargo, mi equipo de investigación identificó varios documentos en los que ciertos puntos de discusión podrían revelar detalles operativos. Se refieren, entre otras cosas, a la guerra en Ucrania, la forma en que los Estados miembros aplican sanciones y sanciones, las actividades de terceros países específicos, los escenarios relativos a ataques a gran escala contra el sector energético o las presentaciones de los Estados miembros sobre ciberataques importantes recientes (documentos 9, 13, 17, 20 y 21).

[6] Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148, disponible en: https://eur-lex.europa.eu/eli/dir/2022/2555/oj

[7] Las actas de las reuniones 16.a, 17.a y 27.a del Grupo de Cooperación SRI.

[8] De conformidad con el artículo 2, apartado 10, del Estatuto del Defensor del Pueblo.

[9] Si desea presentar documentos o información que considere confidencial y que no debe divulgarse al reclamante, márquelos «Confidencial». Los correos electrónicos cifrados se pueden enviar a nuestro buzón dedicado. La información y los documentos de este tipo se eliminarán de los expedientes del Defensor del Pueblo Europeo poco después de que finalice la investigación.