Parlamento Europeo

2019-2024

Comisión de Investigación Encargada de Examinar el Uso del Programa Espía de Vigilancia

Pegasus y Otros Programas Equivalentes

B9-0000/2023

4.1.2023

PROYECTO DE
RECOMENDACIÓN DEL
PARLAMENTO EUROPEO AL
CONSEJO Y A LA COMISIÓN
presentado de conformidad con el artículo 208, apartado 12, del Reglamento
interno

a raíz del examen de las alegaciones de infracción y de mala administración en

la aplicación del Derecho de la Unión en relación al uso del programa espía de
vigilancia Pegasus y otros programas equivalentes

Sophie in ‘t Veld
en nombre de la Comisión de Investigación Encargada de Examinar el Uso del
Programa Espía de Vigilancia Pegasus y Otros Programas Equivalentes

RD\1269773ES.docx PE740.554v01-00

ES Unida en la diversidad ES
 B9-0000/2023

Propuesta de Recomendación del Parlamento Europeo al Consejo y a la Comisión a raíz

del examen de las alegaciones de infracción y de mala administración en la aplicación
del Derecho de la Unión en relación con el uso del programa espía de vigilancia Pegasus
y otros programas equivalentes1 (2023/2500(RSP))

El Parlamento Europeo,

– Visto el Tratado de la Unión Europea (TUE) y, en particular, sus artículos 2, 4, 6 y 21,

– Vistos los artículos 16, 223, 225 y 226 del Tratado de Funcionamiento de la Unión
Europea (TFUE),

– Vista la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, la

«Carta»), y en particular sus artículos 7, 8, 11, 17, 21 y 47,

– Vista la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de

2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en
el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las
comunicaciones electrónicas)2,

– Visto el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de

abril de 2016, relativo a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos, y por el que se
deroga la Directiva 95/46/CE (Reglamento general de protección de datos)3,

– Vista la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril
de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento
de datos personales por parte de las autoridades competentes para fines de prevención,
investigación, detección o enjuiciamiento de infracciones penales o de ejecución de
sanciones penales, y a la libre circulación de dichos datos, y por la que se deroga la
Decisión Marco 2008/977/JAI del Consejo 4,

– Visto el Reglamento (UE) 2021/821 del Parlamento Europeo y del Consejo, de 20 de

mayo de 2021, por el que se establece un régimen de la Unión de control de las
exportaciones, el corretaje, la asistencia técnica, el tránsito y la transferencia de
productos de doble uso5,

– Vista la Decisión (PESC) 2019/797 del Consejo, de 17 de mayo de 2019, relativa a

medidas restrictivas contra los ciberataques que amenacen a la Unión o a sus Estados
miembros6, en su versión modificada por la Decisión (PESC) 2021/796 del Consejo, de

1
El proyecto de informe se basa en el documento en el que la ponente expone sus conclusiones. Toda persona
citada en el curso de la investigación a la que esto pueda resultar perjudicial tiene derecho a ser oída por la
comisión. Puede ponerse en contacto con la Secretaría a través de la dirección de correo electrónico pega-
secretariat@europarl.europa.eu.
2
DO L 201 de 31.7.2002, p. 37.
3
DO L 119 de 4.5.2016, p. 1.
4
DO L 119 de 4.5.2016, p. 89.
5
DO L 206 de 11.6.2021, p. 1.
6
DO L 129 I de 17.5.2019, p. 13.

PE740.554v01-00 2/25 RD\1269773ES.docx

ES
 17 de mayo de 20217,

– Vista el Acta relativa a la elección de los diputados al Parlamento Europeo por sufragio
universal directo8,

– Vista la Decisión 95/167/CE, Euratom, CECA del Parlamento Europeo, del Consejo y
de la Comisión, de 19 de abril de 1995, relativa a las modalidades de ejercicio del
derecho de investigación del Parlamento Europeo9,

– Vistos la Carta de las Naciones Unidas y los Principios Rectores de las Naciones Unidas
sobre las empresas y los derechos humanos10,

– Visto el Convenio Europeo para la Protección de los Derechos Humanos y de las

Libertades Fundamentales, y en particular sus artículos 8, 9, 13 y 17 y sus Protocolos,

– Vistas su Resolución, de 12 de marzo de 2014, sobre el programa de vigilancia de la

Agencia Nacional de Seguridad de los EE.UU., los órganos de vigilancia en diversos
Estados miembros y su impacto en los derechos fundamentales de los ciudadanos de la
UE y en la cooperación transatlántica en materia de justicia y asuntos de interior11, y sus
recomendaciones para reforzar la seguridad informática en las instituciones, órganos y
organismos de la Unión,

– Vistos el informe de la Comisión de Venecia relativo al control democrático de los

servicios de seguridad12 y el dictamen sobre la Ley de 15 de enero de 2016 por la que se
modifica la Ley de Policía y algunas otras leyes13,

– Visto el artículo 208 de su Reglamento interno,

A. Considerando que se ha puesto de manifiesto que los organismos gubernamentales de

varios países, tanto de los Estados miembros como de terceros países, han utilizado
Pegasus y otras marcas de programas espía de vigilancia contra periodistas, políticos,
funcionarios policiales, diplomáticos, abogados, empresarios, agentes de la sociedad
civil y otros agentes, con fines políticos e incluso delictivos; que estas prácticas son
extremadamente alarmantes y ponen de relieve el riesgo de uso indebido de las
tecnologías de vigilancia para socavar los derechos humanos y la democracia;

B. Considerando que, en los inicios de la comunicación móvil, las escuchas se llevaban a

cabo mediante la interceptación de llamadas y, posteriormente, de mensajes de texto en
formato simple;

C. Considerando que la llegada de aplicaciones de comunicación móvil cifradas dio lugar a

la aparición de la industria de los programas espía a través de la exploración de las
vulnerabilidades existentes en los sistemas operativos de los teléfonos inteligentes, con
el fin de instalar programas informáticos utilizados para importar programas espía en el

7
DO L 174 I de 18.5.2021, p. 1.
8
DO L 278 de 8.10.1976, p. 5.
9
DO L 113 de 19.5.1995, p. 1.
10
https://www.ohchr.org/Documents/Publications/GuidingPrinciplesBusinessHR_SP.pdf.
11
DO C 378 de 9.11.2017, p. 104.
12
https://www.venice.coe.int/webforms/documents/default.aspx?pdffile=CDL-AD(2015)010-e.
13
https://www.venice.coe.int/webforms/documents/default.aspx?pdffile=CDL-AD(2016)012-e.

RD\1269773ES.docx 3/25 PE740.554v01-00

ES
 teléfono, incluidos algunos que funcionan sin necesidad de clicar, que permiten la
extracción de datos antes del cifrado;

D. Considerando que el uso de programas espía de vigilancia debe seguir siendo la

excepción y estar siempre sujeto a una autorización judicial ex ante efectiva y
significativa por parte de una autoridad judicial imparcial e independiente, que debe
garantizar que la medida sea necesaria y proporcionada y se limite estrictamente a los
casos que afecten a la seguridad nacional, al terrorismo y a los delitos graves;

E. Considerando que toda vigilancia de programas espía debe ser examinada por una
autoridad de supervisión independiente ex post, que debe garantizar que toda vigilancia
autorizada se lleve a cabo respetando los derechos fundamentales y de conformidad con
las condiciones establecidas por el Tribunal de Justicia de la Unión Europea (TJUE), el
Tribunal Europeo de Derechos Humanos (TEDH) y la Comisión de Venecia, y debe
poder poner fin a la vigilancia en caso contrario;

F. Considerando que la vigilancia de programas espía que no cumple los requisitos

establecidos en el Derecho de la Unión y en la jurisprudencia del TJUE y del TEDH
supondría una violación de los valores consagrados en el artículo 2 del TUE y de los
derechos fundamentales consagrados en la Carta y, en particular, de sus artículos 7, 8,
11, 17, 21 y 47, que reconocen los derechos, libertades y principios específicos
establecidos en ella, como el respeto de la vida privada y familiar, la protección de los
datos personales, la libertad de expresión e información, el derecho a la propiedad, el
derecho a la no discriminación y el derecho a la tutela judicial efectiva y a un juicio
justo;

G. Considerando que los derechos de las personas afectadas se establecen en la Carta de

los Derechos Fundamentales y en los convenios internacionales, en particular el derecho
a la intimidad y el derecho a un juicio justo, y en las normas de la Unión sobre los
derechos de los sospechosos y acusados;

H. Considerando que de los testimonios de las víctimas se desprende que, aunque los
recursos legales y los derechos civiles puedan existir sobre el papel, en la mayoría de
los casos quedan sin efecto frente a la obstrucción por parte de los organismos
gubernamentales, la falta de aplicación del derecho de las víctimas a ser informadas y la
carga administrativa para demostrar la condición de víctima;

I. Considerando que el Gobierno polaco ha debilitado y eliminado las salvaguardias

institucionales y jurídicas, incluidos los procedimientos adecuados de supervisión y
control, dejando efectivamente a las víctimas sin ningún recurso significativo; que el
programa espía de vigilancia Pegasus se ha utilizado ilegalmente para espiar a
periodistas, políticos, fiscales y agentes de la sociedad civil con fines políticos;

J. Considerando que el Gobierno húngaro ha debilitado y eliminado las salvaguardias

institucionales y jurídicas, incluidos los procedimientos adecuados de supervisión y
control, dejando efectivamente a las víctimas sin ningún recurso significativo; que el
programa espía de vigilancia Pegasus se ha utilizado ilegalmente para espiar a
periodistas, políticos, fiscales y agentes de la sociedad civil con fines políticos;

K. Considerando que diputados al Parlamento griego, de la oposición, así como diputados

de Nea Demokratia (ND), partidarios de ND y periodistas, han sido espiados con el

PE740.554v01-00 4/25 RD\1269773ES.docx

ES
 programa Predator, cuyo uso es ilegal en virtud de la legislación griega; que muchas de
las personas espiadas también fueron objeto de vigilancia oficial por parte de los
servicios secretos griegos (EYP); que el Gobierno griego niega haber adquirido o
utilizado el programa Predator, pero que es muy probable que este programa haya sido
utilizado por personas muy próximas al gabinete del primer ministro o en su nombre;
que el Gobierno griego ha admitido haber concedido licencias de exportación a
Intellexa para la venta del programa espía Predator a Gobiernos represivos; que el
Gobierno ha respondido al escándalo introduciendo modificaciones legislativas que
reducen aún más el derecho de la persona vigilada a ser informada al término de dicha
vigilancia;

L. Considerando que la información revelada indicaba la existencia de dos categorías de

objetivos de los programas espía en España; que la primera de ellas incluye al
presidente del Gobierno y a la ministra de Defensa, quienes, según se cree, han sido
objeto del espionaje marroquí; que la segunda afecta a unas sesenta y cinco víctimas
denominadas conjuntamente «CatalanGate», entre las que se encuentran parlamentarios
catalanes, diputados al Parlamento de Cataluña, abogados y agentes de la sociedad civil
catalanes; que, en mayo de 2020, las autoridades españolas admitieron haber vigilado a
dieciocho de las sesenta y cinco víctimas con autorización judicial, si bien se han
abstenido de proporcionar más información, invocando razones de seguridad nacional;

M. Considerando que existen acusaciones contra el partido al frente del Gobierno chipriota
relativas al espionaje de personas críticas con él, pero que hasta la fecha no se han
detectado infecciones por programas espía; que Chipre es un importante centro europeo
de exportación para el sector de la vigilancia y un lugar atractivo para las empresas que
venden tecnologías de vigilancia;

N. Considerando que existen claros indicios de que, entre otros, los Gobiernos de
Marruecos y Ruanda vigilan con programas espía a ciudadanos de la Unión, entre los
que se encuentran el presidente de Francia, el presidente del Gobierno y la ministra de
Defensa de España, el antiguo primer ministro de Bélgica, el expresidente de la
Comisión y antiguo primer ministro de Italia y la hija de Paul Rusesabagina;

O. Considerando que puede suponerse con seguridad que todos los Estados miembros han
comprado o utilizado uno o varios sistemas de espionaje; que la mayoría de los
Gobiernos se abstendrán del uso ilegítimo de los programas espía, pero que, en ausencia
de un marco jurídico sólido que incluya salvaguardias y supervisión, el riesgo de uso
indebido es muy elevado;

P. Considerando que los Gobiernos y los Parlamentos de los Estados miembros no han
facilitado al Parlamento información significativa sobre los marcos jurídicos que rigen
el uso de programas espía en sus Estados miembros más allá de lo que ya se conocía
públicamente, a pesar de la obligación de hacerlo de conformidad con el artículo 3,
apartado 4, de la Decisión del Parlamento Europeo, del Consejo y de la Comisión, de 6
de marzo de 1995, relativa a las modalidades de ejercicio del derecho de investigación
del Parlamento Europeo; que es difícil evaluar la aplicación de la legislación de la
Unión y las salvaguardias, la supervisión y las vías de recurso que impiden una
protección adecuada de los derechos fundamentales de los ciudadanos;

Q. Considerando que varias personas clave del sector de los programas espía han obtenido

RD\1269773ES.docx 5/25 PE740.554v01-00

ES
 la ciudadanía maltesa para poder operar libremente en el seno de la Unión y desde su
territorio;

R. Considerando que diferentes proveedores de programas espía están registrados en uno o

varios Estados miembros o lo han estado; que, entre ellos, cabe citar, por ejemplo, al
grupo NSO, que tiene presencia empresarial en Luxemburgo, Chipre, los Países Bajos y
Bulgaria, a la empresa matriz de Intellexa, Thalestris Limited, ubicada en Irlanda,
Grecia, Suiza y Chipre, a DSIRF, presente en Austria, a Amesys y a Nexa
Technologies, en Francia, a Tykelab y RCS Lab, en Italia, y a FinFisher (ya
desaparecido), en Alemania;

S. Considerando que todos los Estados miembros, excepto Chipre, participan en el Arreglo
de Wassenaar sobre control de exportaciones de armas convencionales y bienes y
tecnología de doble uso;

T. Considerando que el régimen de exportación14 de Israel se aplica, en principio, a todos

los ciudadanos israelíes, incluso cuando operan desde la Unión; que Israel no participa
en el Arreglo de Wassenaar, pero afirma no obstante aplicar sus normas;

U. Considerando que la exportación de programas espía de la Unión a terceros países está

regulada en el Reglamento sobre productos de doble uso, que se revisó en 2021; que la
Comisión publicó un primer informe de ejecución en septiembre de 202215;

V. Considerando que los productores de programas espía que exportan a terceros países se
establecen dentro de la Unión para ganar respetabilidad mientras comercian con
programas espía con regímenes totalitarios; que se están produciendo exportaciones de
la Unión a regímenes totalitarios o a agentes no estatales, lo que constituye una
violación de las normas de exportación de la Unión en materia de tecnologías de
vigilancia;

W. Considerando que Amesys y Nexa Technologies están siendo procesados actualmente

en Francia por exportar tecnología de vigilancia a Libia, Egipto y Arabia Saudí; que, al
parecer, las empresas de Intellexa con sede en Grecia exportaron sus productos a
Bangladés, Sudán, Madagascar y al menos un país árabe, que el programa de FinFisher
es utilizado en decenas de países de todo el mundo, entre los que se encuentran Angola,
Baréin, Bangladés, Egipto, Etiopía, Gabón, Jordania, Kazajistán, Myanmar/Birmania,
Omán, Qatar, Arabia Saudí y Turquía y que los servicios de inteligencia de Marruecos
han sido acusados por Amnistía y Forbidden Stories de utilizar el programa espía
Pegasus contra periodistas y políticos; que se desconoce si se concedieron licencias para
la exportación de programas espía a todos estos países;

X. Considerando que el número de asistentes a las ferias de armamento y la capacidad de

ISSWorld para comercializar programas espía demuestran la prevalencia de
proveedores de programas espía y de productos y servicios relacionados procedentes de
terceros países, un número significativo de los cuales tiene su sede en Israel (por
ejemplo, el Grupo NSO, Wintego, Quadream y Cellebrite), y ponen de manifiesto la
existencia de importantes productores en la India (ClearTrail), el Reino Unido (BAe
Systems y Black Cube) y los Emiratos Árabes Unidos (DarkMatter), mientras que la

14
Ley de Control de las Exportaciones de Defensa 5766-2007, Ministerio de Defensa israelí.
15
https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=COM%3A2022%3A434%3AFIN&qid=1662029750223.

PE740.554v01-00 6/25 RD\1269773ES.docx

ES
 lista de entidades de los Estados Unidos que veta a los fabricantes de programas espía
ubicados en Israel (Grupo NSO y Candiru), Rusia (Positive Technologies) y Singapur
(Computer Security Initiative Consultancy PTE LTD.) resalta aún más la diversidad de
procedencia de los fabricantes de programas espía; que a la feria también asiste una
amplia gama de autoridades públicas europeas, entre las que se encuentran las fuerzas
de policía locales;

Y. Considerando que los Estados miembros afirman que las cuestiones relativas a la
seguridad nacional quedan fuera del ámbito de aplicación de los Tratados, ya que el
artículo 4, apartado 2, del TUE establece que la seguridad nacional sigue siendo
responsabilidad exclusiva de los Estados miembros;

Z. Considerando, no obstante, que el TJUE ha dictaminado en el asunto C-623/17 que «si

bien corresponde a los Estados miembros determinar sus intereses esenciales de
seguridad y adoptar las medidas adecuadas para garantizar su seguridad interior y
exterior, el mero hecho de que se haya adoptado una medida nacional con el fin de
proteger la seguridad nacional no puede dar lugar a la inaplicabilidad del Derecho de la
Unión ni dispensar a los Estados miembros de la necesaria observancia de dicho
Derecho»;

AA. Considerando que el TJUE ha dictaminado en el asunto C-203/15) que «el artículo 15,
apartado 1, de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de
julio de 2002, relativa al tratamiento de los datos personales y a la protección de la
intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad
y las comunicaciones electrónicas), en su versión modificada por la Directiva
2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, en
relación con los artículos 7, 8, 11 y 52, apartado 1, de la Carta de los Derechos
Fundamentales de la Unión Europea, debe interpretarse en el sentido de que se opone a
una normativa nacional que establece, con la finalidad de luchar contra la delincuencia,
la conservación generalizada e indiferenciada de todos los datos de tráfico y de
localización de todos los abonados y usuarios registrados en relación con todos los
medios de comunicación electrónica.»;

AB. Considerando que el TJUE ha dictaminado en el asunto C-203/15 que «el artículo 15,
apartado 1, de la Directiva 2002/58, en su versión modificada por la Directiva
2009/136, en relación con los artículos 7, 8, 11 y 52, apartado 1, de la Carta de los
Derechos Fundamentales, debe interpretarse en el sentido de que se opone a una
normativa nacional que regula la protección y la seguridad de los datos de tráfico y de
localización, en particular el acceso de las autoridades nacionales competentes a los
datos conservados, sin limitar dicho acceso, en el marco de la lucha contra la
delincuencia, a los casos de delincuencia grave, sin supeditar dicho acceso a un control
previo por un órgano jurisdiccional o una autoridad administrativa independiente, y sin
exigir que los datos de que se trata se conserven en el territorio de la Unión.»;

AC. Considerando que el Convenio del Consejo de Europa para la protección de las personas
con respecto al tratamiento automatizado de datos de carácter personal
(Convenio n.º 108), recientemente modernizado como Convenio 108 +, se aplica al
tratamiento de datos personales con fines de seguridad (nacional) del Estado, incluida la
defensa, y que todos los Estados miembros son partes en dicho Convenio;

RD\1269773ES.docx 7/25 PE740.554v01-00

ES
 AD. Considerando que el uso de programas espía de vigilancia para la prevención, la
investigación, la detección o el enjuiciamiento de infracciones penales o la ejecución de
sanciones penales, en particular la salvaguardia y prevención de amenazas a la
seguridad pública o a la seguridad nacional, entra en el ámbito de aplicación del
Derecho de la Unión;

AE. Considerando que la Carta establece las condiciones para la limitación del ejercicio de
los derechos fundamentales: dicha limitación deberá ser establecida por la ley, respetar
el contenido esencial de dichos derechos y libertades, respetar el principio de
proporcionalidad y solo se impondrá cuando sea necesaria y responda efectivamente a
objetivos de interés general reconocidos por la Unión o a la necesidad de protección de
los derechos y libertades de los demás; que, en el caso de la utilización de programas
espía, el nivel de injerencia en el derecho a la intimidad es tan severo que la persona se
ve efectivamente privada de él y el uso no puede considerarse proporcionado,
independientemente de si la medida puede considerarse necesaria para alcanzar los
objetivos legítimos de un Estado democrático;

AF. Considerando que la Directiva sobre la privacidad y las comunicaciones electrónicas

establece que los Estados miembros deben garantizar la confidencialidad de las
comunicaciones; que el empleo de herramientas de vigilancia constituye una restricción
del derecho a la protección de los equipos terminales garantizado por la Directiva sobre
la privacidad y las comunicaciones electrónicas; que esto situaría la legislación nacional
sobre programas espía en el ámbito de aplicación de la Directiva sobre la privacidad y
las comunicaciones electrónicas, de manera análoga a la legislación nacional en materia
de conservación de datos; que el uso periódico de tecnología de programas espía
intrusivos no sería compatible con el ordenamiento jurídico de la Unión;

AG. Considerando que, de conformidad con el Derecho internacional, un Estado solo tiene
derecho a investigar posibles delitos dentro de su jurisdicción y debe recurrir a la
asistencia de otros Estados en los casos en que la investigación deba tener lugar en otros
países, a menos que exista una base para llevar a cabo investigaciones en la otra
jurisdicción en virtud de un acuerdo internacional o, en el caso de los Estados
miembros, del Derecho de la Unión;

AH. Considerando que la infección de un dispositivo por programas espía y la posterior

recogida de datos tienen lugar a través de los servidores del proveedor de servicios
móviles y que la itinerancia gratuita dentro de la Unión ha dado lugar a que las personas
tengan con mayor frecuencia contratos móviles de Estados miembros distintos de aquel
en el que viven, el Derecho de la Unión no prevé actualmente una base jurídica para la
recogida de datos en otro Estado miembro mediante el uso de programas espía;

AI. Considerando que los Estados miembros deben cumplir la Directiva 2014/24/UE y la
Directiva 2009/81/CE sobre contratación pública y defensa, respectivamente, justificar
adecuadamente la excepción en virtud del artículo 346, apartado 1, letra b), del TFUE,
ya que la Directiva de 2009 tiene explícitamente en cuenta las características sensibles
de los contratos públicos de defensa, y respetar el Acuerdo sobre Contratación Pública
de la OMC, modificado el 30 de marzo de 201216, si son parte en él;

AJ. Considerando que se ha informado de que las grandes instituciones financieras han

16
https://www.wto.org/spanish/tratop_s/gproc_s/gpa_1994_s.htm.

PE740.554v01-00 8/25 RD\1269773ES.docx

ES
 intentado incitar a los fabricantes de programas espía a que se abstengan de aplicar las
normas adecuadas en materia de derechos humanos y diligencia debida y a que sigan
vendiendo programas espía a regímenes totalitarios;

AK. Considerando que Israel participa en los programas de investigación de la Unión desde
el año 2000; que se han puesto a disposición de las empresas militares y de seguridad
israelíes fondos a través de estos programas europeos;

AL. Considerando que el principal instrumento legislativo de las políticas de desarrollo de la

Unión es el Reglamento (UE) 2021/947 (Reglamento IVCDCI — Europa Global)17, y
que la financiación de la Unión puede proporcionarse a través de los tipos de
financiación previstos en el Reglamento Financiero, incluso hasta el extremo de que la
ayuda podría suspenderse en caso de degradación de la democracia, los derechos
humanos o el Estado de Derecho en terceros países;

1. Destaca la importancia innegable de la protección de la intimidad y del derecho a la

dignidad y a la vida privada en un mundo cada vez más digital en el que cada vez más
actividades se desarrollan en línea;

2. Cree firmemente que las violaciones del derecho a la dignidad, la intimidad y la vida
privada no son solo una cuestión de respeto de los principios jurídicos comunes
establecidos en los Tratados y en otras fuentes, sino una cuestión fundamental de si la
vida humana en el futuro será libre y democrática o estará controlada por procesos
digitales;

3. Condena enérgicamente el uso de programas espía por parte de los Gobiernos o de

miembros de los Gobiernos de los Estados miembros con el fin de supervisar,
chantajear, intimidar, manipular y desacreditar a la oposición y a las voces críticas,
eliminar el control democrático y la libertad de prensa y manipular las elecciones;

4. Señala que este uso ilegítimo de programas espía por parte de los Gobiernos nacionales
afecta directa e indirectamente a las instituciones de la Unión y al proceso de toma de
decisiones, socavando así la integridad de la democracia de la Unión Europea;

5. Observa con gran preocupación la inadecuación fundamental de la actual estructura de

gobernanza de la Unión para responder a los ataques a la democracia desde dentro de la
Unión;

6. Adopta la firme posición de que la exportación de programas espía de la Unión a

dictaduras y regímenes opresivos con un pobre historial en materia de derechos
humanos en los que se utilizan dichas herramientas contra activistas de derechos
humanos, periodistas y críticos con el Gobierno constituye una grave violación de los
derechos fundamentales consagrados en la Carta y una grave violación de las normas de
exportación de la Unión;

7. Considera que se han producido infracciones o mala administración en la aplicación del

Derecho de la Unión en relación con el uso y el comercio de programas espía en
Polonia, Hungría, Grecia, España y Chipre;

17
https://eur-lex.europa.eu/eli/reg/2021/947/oj?locale=es.

RD\1269773ES.docx 9/25 PE740.554v01-00

ES
 8. Expresa, además, su preocupación por el uso y el comercio de programas espía por
parte de otros Estados miembros, que contribuyen colectivamente a hacer de la Unión
una zona segura para el sector de los programas espía, a menudo contraviniendo la
legislación y las normas de la Unión;

9. Opina, además, que algunos partidos al frente de Gobiernos de terceros países han
vigilado a personalidades de alto nivel de la Unión con programas espía;

10. Manifiesta asimismo su preocupación por la aparente reticencia a investigar los ataques
perpetrados con programas espía, tanto si el sospechoso es un organismo gubernamental
de la Unión como si procede de un tercer país; toma nota de la gran lentitud de los
avances y la falta de transparencia en las investigaciones judiciales sobre los ataques de
programas espía contra ministros y dirigentes de los Gobiernos de los Estados
miembros de la Unión;

11. Condena la negativa de los Gobiernos de los Estados miembros, el Consejo y la

Comisión a cooperar plenamente con la investigación y a compartir toda la información
pertinente y significativa; considera que la respuesta colectiva del Consejo es totalmente
inadecuada y contraria al principio de cooperación leal;

12. Concluye que ningún Estado miembro, ni el Consejo, ni la Comisión tienen intención de
arrojar luz sobre el escándalo de los programas espía, protegiendo así conscientemente a
los Gobiernos de la Unión que violan los derechos humanos dentro y fuera de la Unión;

13. Concluye que es probable que se hayan producido infracciones y mala administración
en la aplicación del Derecho de la Unión en Polonia;

14. Pide a Polonia que:

a) restablezca urgentemente garantías institucionales y jurídicas suficientes,

incluido un control ex ante y ex post eficaz, así como mecanismos de
supervisión independientes;

b) cumpla la sentencia del Tribunal Constitucional sobre la Ley de Policía

de 1990;

c) cumpla el dictamen de la Comisión de Venecia sobre la Ley de Policía

de 2016;

d) cumpla las diversas sentencias del TEDH, como la sentencia en el

asunto Roman Zakharov contra Rusia, de 2015, que subraya la necesidad de
establecer criterios estrictos de vigilancia, una autorización y supervisión
judiciales adecuadas, la inmediata destrucción de los datos que no sean
pertinentes, un control judicial sobre los procedimientos urgentes y la
obligación de notificar a las víctimas, así como la sentencia en el asunto Klass
y otros contra Alemania, de 1978, que expone que la vigilancia debe ser
suficientemente importante como para que sea necesaria tal invasión de la
intimidad;

e) suprima el artículo 168 bis de la Ley de modificación de la Ley de

Enjuiciamiento Criminal de 2016;

PE740.554v01-00 10/25 RD\1269773ES.docx

ES
 f) restablezca la plena independencia del poder judicial y de todos los organismos
de supervisión pertinentes, como el Defensor del Pueblo y las autoridades de
protección de datos, para garantizar que todos los organismos de supervisión
obtengan plena cooperación y acceso a la información y faciliten información
completa a todas las víctimas;

g) introduzca urgentemente la asignación aleatoria de asuntos a los jueces de los

tribunales en relación con todas las solicitudes presentadas, incluso en fin de
semana y fuera de la jornada laboral, a fin de evitar la selección de «jueces
amigos» por parte de los servicios secretos;

h) restablezca el sistema tradicional de supervisión parlamentaria en el que el

partido de la oposición asume la presidencia de la Comisión de Supervisión
Parlamentaria de los Servicios Especiales (KSS);

i) inste al Ministerio Fiscal de Polonia a que inicie investigaciones sobre el uso

indebido de programas espía;

j) aplique la Directiva sobre denunciantes;

k) invite a Europol a investigar todos los casos de presunto uso indebido de

programas espía;

15. Concluye que es probable que se hayan producido infracciones y mala administración
en la aplicación del Derecho de la Unión en Hungría;

16. Pide a Hungría que:

a) restablezca urgentemente garantías institucionales y jurídicas suficientes,

incluido un control ex ante y ex post eficaz, así como mecanismos de
supervisión independientes;

b) cumpla las diversas sentencias del TEDH, como la sentencia en el asunto Klass
y otros contra Alemania, de 1978, que expone que la vigilancia debe ser
suficientemente importante como para que sea necesaria tal invasión de la
intimidad;

c) reestablezca la independencia de los organismos de supervisión de

conformidad con la sentencia del TEDH en el asunto Hüttl contra Hungría, en
la que el Tribunal determina que la Autoridad Nacional para la Protección de
Datos y la Libertad de Información (NAIH) no puede supervisar el uso de los
programas espía porque los servicios secretos están autorizados a denegar el
acceso a algunos documentos por razones de confidencialidad;

d) restablezca la plena independencia del poder judicial y de todos los organismos

de supervisión pertinentes, como el Defensor del Pueblo y las autoridades de
protección de datos, para garantizar que todos los organismos de supervisión
obtengan plena cooperación y acceso a la información y faciliten información
completa a todas las víctimas;

e) restituya a empleados independientes en los puestos directivos de los órganos

RD\1269773ES.docx 11/25 PE740.554v01-00

ES
 de supervisión, como el Tribunal Constitucional, el Tribunal Supremo, el
Tribunal de Cuentas, el Ministerio Fiscal, el Banco Nacional de Hungría y la
Comisión Electoral Nacional;

f) invite a Europol a investigar todos los casos de presunto uso indebido de

programas espía;

17. Concluye que es probable que se hayan producido infracciones y mala administración
en la aplicación del Derecho de la Unión en Grecia;

18. Pide a Grecia que:

a) restablezca urgentemente garantías institucionales y jurídicas suficientes y las

refuerce, incluido un control ex ante y ex post eficaz, así como mecanismos de
supervisión independientes;

b) derogue urgentemente todas las licencias de exportación que no estén

plenamente en consonancia con el Reglamento sobre productos de doble uso e
investigue las acusaciones de exportaciones ilegales a Sudán, entre otros;

c) garantice que las autoridades puedan investigar libremente y sin trabas todas
las acusaciones de uso de programas espía;

d) suprima urgentemente la enmienda 826/145 de la Ley 2472/1997, que abolió la

capacidad de la Autoridad Helénica para la Seguridad de las Comunicaciones y
la Privacidad (ADAE) para notificar a los ciudadanos los casos de supresión de
la confidencialidad de las comunicaciones;

e) restablezca la plena independencia del poder judicial y de todos los organismos

de supervisión pertinentes, como el Defensor del Pueblo y las autoridades de
protección de datos, para garantizar que todos los organismos de supervisión
obtengan plena cooperación y acceso a la información y faciliten información
completa a todas las víctimas;

f) anule la enmienda legislativa de 2019 que situaba al EYP bajo el control

directo del primer ministro;

g) aplique urgentemente la Directiva sobre denunciantes;

h) garantice la independencia de la dirección de la Autoridad Nacional para la

Transparencia (AED);

i) ponga en marcha urgentemente una investigación policial tras el presunto uso

indebido de programas espía y que se incaute de pruebas físicas de
representantes, empresas de intermediación y proveedores de programas espía
vinculados a las infecciones por programas espía;

j) invite a Europol a unirse inmediatamente a las investigaciones;

19. Concluye que, aunque el marco regulador en España parece estar en consonancia con
los requisitos establecidos en los Tratados y en las sentencias del TJUE y del TEDH, la
aplicación de hecho plantea dudas, ya que algunos diputados al Parlamento han sido

PE740.554v01-00 12/25 RD\1269773ES.docx

ES
 objeto de ataques y ciertos abogados, políticos, activistas y periodistas fueron objeto de
ataques sin que existiesen cargos penales ni amenazas inminentes evidentes para la
seguridad nacional;

20. Pide al Gobierno de España que:

a) aporte plena claridad en los presuntos casos de utilización de programas espía;

b) garantice vías de recurso reales y significativas para todas las víctimas, y que
las investigaciones judiciales concluyan sin demora;

c) resuelva urgentemente la actual crisis del poder judicial;

21. Concluye que es probable que se hayan producido infracciones y mala administración
en la aplicación del Derecho de la Unión en Chipre;

22. Pide al Gobierno de Chipre que:

a) evalúe exhaustivamente todas las licencias de exportación expedidas para

programas espía y las revoque cuando proceda;

b) publique el informe del investigador especial sobre el caso de la «furgoneta

espía»;

c) investigue minuciosamente, con la ayuda de Europol, todas las acusaciones de

uso ilegítimo de programas espía, en particular contra periodistas, abogados y
agentes de la sociedad civil;

23. Estima que la situación en otros Estados miembros también es motivo de preocupación,
en especial ante la presencia de un sector de programas espía, lucrativo y en expansión,
que se beneficia de la buena reputación, el mercado único y la libre circulación de la
Unión, lo que permite a Estados miembros como Chipre y Bulgaria convertirse en un
centro de exportación de programas espía a regímenes no democráticos de todo el
mundo;

24. Opina que la incapacidad o la negativa de las autoridades nacionales a garantizar la

protección adecuada de los ciudadanos de la Unión demuestra con toda la claridad
necesaria que es indispensable una acción a escala de la Unión a fin de garantizar que se
aplica la letra de los Tratados y se cumple la legislación de la Unión, de modo que se
respeten los derechos de los ciudadanos a la dignidad humana, la vida privada, los datos
personales y la propiedad;

25. Concluye que la Comisión y el Servicio Europeo de Acción Exterior (SEAE) han
incurrido en infracciones y mala administración en la aplicación del Derecho de la
Unión al prestar apoyo a terceros países, incluidos, entre otros, diez países del Sahel, a
fin de permitirles desarrollar capacidades de vigilancia;

26. Pide a la Comisión y al SEAE que:

a) pongan fin inmediatamente a toda ayuda a terceros países destinada a

permitirles desarrollar capacidades de vigilancia o que facilite de otro modo
dicho desarrollo;

RD\1269773ES.docx 13/25 PE740.554v01-00

ES
 b) elaboren un procedimiento adecuado de evaluación del impacto sobre los
derechos humanos y los derechos fundamentales que tenga plenamente en
cuenta el artículo 51 de la Carta de los Derechos Fundamentales;

c) presenten el procedimiento de evaluación de impacto sobre los derechos

humanos y los derechos fundamentales al Parlamento y al Consejo;

d) lleven a cabo la evaluación de impacto sobre los derechos humanos y los

derechos fundamentales;

e) suspendan todo apoyo a terceros países destinado a permitirles desarrollar

capacidades de vigilancia o que, de otro modo, facilite dicho desarrollo si no
puede garantizarse el respeto de los derechos humanos y fundamentales,
incluido el Estado de Derecho, la protección de los principios democráticos y
de políticos, defensores de los derechos humanos y periodistas;

27. Considera que el comercio y el uso de programas espía deben regularse estrictamente;
pide, pues reconoce que el proceso legislativo requerirá un tiempo considerable, que se
adopte inmediatamente una moratoria condicional sobre la venta, adquisición,
transferencia y uso de programas espía, que debe levantarse, país por país, si se cumplen
las siguientes condiciones:

a) las autoridades policiales, fiscales y judiciales pertinentes investigan

totalmente y resuelven sin demora todos los casos de presunto uso indebido de
programas espía; y

b) se demuestra que el marco que rige el uso de programas espía se ajusta a las
normas establecidas por la Comisión de Venecia y a la jurisprudencia
pertinente del TJUE y del TEDH; y

c) existe un compromiso explícito de aprobar cualquier solicitud de Europol de

conformidad con el artículo 6, apartado 1 bis, del Reglamento de Europol en
relación con las investigaciones sobre las sospechas de uso ilegítimo de
programas espía; y

d) se han derogado todas las licencias de exportación que no se ajustan

plenamente a la letra y al espíritu del Reglamento sobre productos de doble
uso;

28. Considera que la Comisión debe evaluar el cumplimiento de las condiciones;

29. Considera que existe una clara necesidad de normas comunes de la Unión que regulen
el uso de programas espía por parte de los organismos de los Estados miembros,
basándose en las normas establecidas por el TJUE, el TEDH y la Comisión de Venecia;
opina que dichas normas de la Unión deben abarcar al menos los siguientes elementos:

a) el uso previsto de programas espía debe estar sujeto a una autorización judicial
previa efectiva y significativa por parte de una autoridad judicial imparcial e
independiente, que tenga acceso a toda la información pertinente, y se
demuestre la necesidad y proporcionalidad de la medida prevista;

PE740.554v01-00 14/25 RD\1269773ES.docx

ES
 b) la observación mediante programas espía solo debe durar el tiempo
estrictamente necesario, la autorización judicial debe definir previamente el
alcance y la duración precisos y el pirateo informático solo puede ampliarse
cuando se conceda una nueva autorización judicial por otra duración
especificada, dada la naturaleza de los programas espía y la posibilidad de una
vigilancia retroactiva;

c) la autorización para el uso de programas espía solo podrá concederse con

respecto a investigaciones en relación con una lista limitada y cerrada de
delitos, y los programas espía solo podrán utilizarse con personas respecto de
las cuales existan indicios suficientes de que han cometido o tienen previsto
cometer tales delitos;

d) debe existir una lista no exhaustiva pero vinculante de profesiones

privilegiadas y sensibles, como abogados, periodistas, políticos y médicos, que
no pueden ser el objetivo de programas espía;

e) deben elaborarse normas específicas para la vigilancia con tecnología de

programas espía, ya que esta permite un acceso retroactivo ilimitado a
mensajes, archivos y metadatos;

f) los Estados miembros deben publicar, como mínimo, el número de solicitudes

de vigilancia aprobadas y rechazadas, así como el tipo y la finalidad de la
investigación, y registrar cada investigación de forma anónima en un registro
nacional con un identificador único, de modo que pueda investigarse en caso
de que existan sospechas de abuso;

g) derecho de notificación del ciudadano destinatario: una vez finalizada la

vigilancia, las autoridades deben notificar al ciudadano que ha sido objeto del
uso de programas espía por parte de las autoridades, incluyendo información
sobre la fecha y la duración de la vigilancia, la orden emitida para la operación
de vigilancia, los datos obtenidos, la información sobre cómo se han utilizado
dichos datos y por qué agentes, así como la fecha de supresión de los datos;
señala que dicha notificación debe realizarse sin demora indebida, a menos que
una autoridad judicial independiente conceda un aplazamiento de la
notificación, en casos en que la notificación inmediata pondría en grave peligro
el objetivo de la vigilancia;

h) una supervisión posterior eficaz e independiente del uso del programa espía,
que debe contar con todos los medios y competencias necesarios para ejercer
una supervisión significativa y combinarse con el pleno acceso a la
información y un control parlamentario en el que participen varios partidos;

i) un recurso judicial significativo para aquellos que hayan sido objetivo directo e
indirecto, y que aquellas personas que aleguen haberse visto afectadas
negativamente por la vigilancia tengan acceso a vías de recurso a través de un
organismo independiente; pide, por tanto, que se introduzca un deber de
notificación para las autoridades estatales, que incluya plazos adecuados para
la notificación, en virtud del cual la comunicación se produzca una vez que
haya cesado la amenaza para la seguridad;

RD\1269773ES.docx 15/25 PE740.554v01-00

ES
 j) las vías de recurso deben ser efectivas, tanto de hecho como de Derecho, y
deben ser conocidas y accesibles; hace hincapié en que dichas vías de recurso
requieren una investigación rápida, exhaustiva e imparcial por parte de un
organismo de supervisión independiente, y que este organismo debe tener
acceso, conocimientos especializados y capacidades técnicas para gestionar
todos los datos pertinentes a fin de poder determinar si la evaluación en
materia de seguridad de una persona realizada por las autoridades es fiable y
proporcionada;

k) la necesidad de mejorar el acceso gratuito de las víctimas a los conocimientos

tecnológicos en esta fase, ya que una mayor disponibilidad y asequibilidad de
los procesos tecnológicos, como el análisis forense, permitiría a las víctimas
presentar casos más sólidos ante los tribunales;

l) durante la vigilancia, las autoridades deben suprimir todos los datos

irrelevantes y, una vez finalizadas la vigilancia y la investigación para las que
se concedió la autorización, las autoridades deben suprimir los datos, además
de cualquier documento relacionado, como las notas que se hayan tomado
durante ese período, y tal supresión debe registrarse y ser auditable;

m) los Estados miembros deben notificarse mutuamente en caso de vigilancia de

ciudadanos o residentes de otro Estado miembro o de un número móvil de un
operador de otro Estado miembro;

30. Hace hincapié en que solo pueden comercializarse en el mercado interior, desarrollarse
o utilizarse en la Unión aquellos programas espía que estén configurados de manera que
permitan y faciliten su funcionalidad de conformidad con el marco legislativo con
arreglo al artículo 82 del TFUE y, en particular, que apoyen las diferentes funciones de
las autoridades implicadas;

31. Subraya que los programas espía solo pueden comercializarse para ser adquiridos y
utilizados por una lista cerrada de autoridades públicas cuyas instrucciones incluyen
investigaciones de delitos para los que es posible autorizar el uso de programas espía;

32. Destaca la obligación de utilizar una versión de programas espía programada de tal
manera que minimice el acceso a los datos, que el programa espía no tenga acceso a
todos los datos almacenados en un dispositivo, sino que esté programado de manera que
se limite al mínimo estrictamente necesario el acceso a los datos;

33. Concluye que, cuando un Estado miembro ha adquirido programas espía, la adquisición
debe poder ser auditada por un organismo de auditoría independiente e imparcial;

34. Hace hincapié en que todas las entidades que comercializan programas espía en el
mercado interior deben cumplir estrictos requisitos de diligencia debida, incluida la
investigación de posibles clientes, y deben informar anualmente a la Comisión sobre su
cumplimiento;

Necesidad de una definición de «seguridad nacional»

35. Condena que se invoque la «seguridad nacional» como pretexto para el uso indebido de
los programas espía, el secreto absoluto y la falta de rendición de cuentas; acoge

PE740.554v01-00 16/25 RD\1269773ES.docx

ES
 favorablemente la afirmación de la Comisión de que una mera referencia a la seguridad
nacional no puede interpretarse como una excepción ilimitada de las normas habituales,
y pide a la Comisión que haga un seguimiento de dicha declaración en los casos en que
claramente se produzcan abusos;

36. Aboga por una definición jurídica común de la seguridad nacional, en la que se
establezcan criterios para determinar qué régimen jurídico se aplica en materia de
seguridad nacional, así como una delimitación clara de la zona en la que puede aplicarse
dicho régimen especial;

37. Considera que el uso de programas espía constituye una limitación de los derechos
fundamentales; recuerda que la Carta de los Derechos Fundamentales prevé que toda
limitación de los derechos fundamentales de conformidad con el artículo 52, apartado 1,
debe fijarse por ley; estima, por tanto, que es necesario definir el concepto de
«seguridad nacional»;

Mejora en la aplicación de la legislación vigente

38. Pone de relieve las deficiencias de los marcos jurídicos nacionales y la necesidad de una
mejor aplicación de la legislación vigente de la Unión a fin de abordar estas
deficiencias; señala que la siguiente legislación de la Unión es pertinente pero se aplica
de forma inadecuada: la Directiva antiblanqueo, las normas en materia de contratación
pública, el Reglamento sobre productos de doble uso, la jurisprudencia (sentencias
sobre vigilancia y seguridad nacional) y la Directiva sobre la protección de
denunciantes; pide a la Comisión que investigue las deficiencias en la aplicación y el
cumplimiento e informe al respecto, y que presente una hoja de ruta para corregirlas a
más tardar en el verano de 2023;

39. Opina que un requisito previo fundamental es la aplicación y el cumplimiento estrictos

del marco jurídico de la Unión en materia de protección de datos, especialmente la
Directiva sobre protección de datos en el ámbito penal, el Reglamento general de
protección de datos y la Directiva sobre la privacidad y las comunicaciones
electrónicas; considera igualmente importante la plena aplicación de las sentencias
pertinentes del TJUE, que siguen pendientes en varios Estados miembros, proceso en el
que la Comisión desempeña un papel clave a la hora de hacer cumplir el Derecho de la
UE y garantizar su aplicación uniforme en toda la Unión;

40. Pide que el Arreglo de Wassenaar se convierta en un acuerdo vinculante para todos los
participantes, con el fin de convertirlo en un tratado internacional;

41. Pide a Chipre que se convierta en Estado participante del Arreglo de Wassenaar, y
recuerda al Consejo, a los Estados miembros y a la Comisión que deben realizarse todos
los esfuerzos posibles para que Chipre pueda adherirse al Arreglo de Wassenaar;

42. Resalta que el Arreglo de Wassenaar debe incluir un marco de derechos humanos que
incluya la concesión de licencias de tecnologías de programas espía, evalúe y revise el
cumplimiento de las empresas que producen dichas tecnologías y que los participantes
prohíban la compra de tecnologías de vigilancia por parte de Estados que no forman
parte del Acuerdo;

43. Subraya que, a la luz de las revelaciones en materia de programas espía, la Comisión

RD\1269773ES.docx 17/25 PE740.554v01-00

ES
 debe llevar a cabo una investigación exhaustiva de las licencias de exportación
concedidas para el uso de estos programas en virtud del Reglamento sobre productos de
doble uso;

44. Hace hincapié en que la Comisión debe comprobar periódicamente y aplicar

adecuadamente el Reglamento refundido sobre productos de doble uso para evitar la
búsqueda del régimen de exportación más ventajoso en toda la Unión, como ocurre
actualmente en Bulgaria y Chipre, y en que la Comisión debe disponer de los recursos
adecuados para esta tarea;

45. Pide que se modifique el Reglamento sobre productos de doble uso a fin de aclarar en
su artículo 15 que los permisos de exportación de productos de doble uso no deben
concederse cuando los productos estén o puedan estar destinados a la represión interna o
a la comisión de graves violaciones de los derechos humanos y del Derecho
internacional humanitario;

46. Pide que se modifique el Reglamento sobre productos de doble uso a fin de garantizar
que se prohíba el tránsito en los casos en que las mercancías estén o puedan estar
destinadas a la represión interna o a la comisión de violaciones graves de los derechos
humanos y del Derecho internacional humanitario;

47. Subraya que, en una futura modificación del Reglamento sobre productos de doble uso,
las autoridades nacionales designadas como responsables de la aprobación y denegación
de las licencias de exportación de productos de doble uso deben presentar informes
detallados que incluyan información sobre los productos de doble uso en cuestión; el
número de licencias solicitadas, el nombre del país exportador, una descripción de la
empresa exportadora y si esta empresa es una filial; una descripción del usuario final y
del destino; el valor de la licencia de exportación; el motivo por el que se ha aprobado o
denegado la licencia de exportación; hace hincapié en que estos informes deben
publicarse trimestralmente; aboga por la creación de una comisión parlamentaria
permanente específica con acceso a información clasificada por parte de la Comisión,
en aras de la supervisión parlamentaria;

48. Hace hincapié en que, en una futura modificación del Reglamento sobre productos de
doble uso, debe suprimirse la excepción a la obligación de informar a la Comisión por
motivos de sensibilidad comercial, de defensa, de política exterior o de seguridad
nacional; considera, en cambio, que, para evitar que terceros países dispongan de
información sensible, la Comisión puede decidir clasificar determinada información en
su informe anual;

49. Subraya que la definición de productos de cibervigilancia en el Reglamento refundido

sobre productos de doble uso no puede interpretarse de manera restrictiva, sino que
debe incluir todas las tecnologías en este ámbito, como los equipos de interceptación o
interferencia de telecomunicaciones móviles; programas informáticos de intrusión;
sistemas o equipos de vigilancia de las comunicaciones en red a través de IP; programas
informáticos especialmente diseñados o modificados para el seguimiento o el análisis
por parte de las fuerzas y cuerpos de seguridad; equipos láser de detección acústica;
herramientas forenses que extraen datos brutos de un dispositivo informático o de
comunicaciones y eluden los controles de «autenticación» o autorización del
dispositivo; sistemas o equipos electrónicos diseñados para la vigilancia y el control del

PE740.554v01-00 18/25 RD\1269773ES.docx

ES
 espectro electromagnético con fines de inteligencia militar o de seguridad; y vehículos
aéreos no tripulados que puedan efectuar labores de vigilancia;

50. Aboga por una legislación europea adicional que exija a los actores empresariales que
producen o exportan tecnologías de vigilancia que incluyan marcos de derechos
humanos y de diligencia debida en consonancia con los Principios rectores de las
Naciones Unidas sobre las empresas y los derechos humanos;

Cooperación internacional para proteger a los ciudadanos

51. Pide una estrategia conjunta UE-EE. UU. en materia de programas espía, que incluya
una lista blanca o una lista negra conjuntas de proveedores de programas espía (no)
autorizados a vender a las autoridades públicas, criterios comunes para la inclusión de
los proveedores en cualquiera de las dos listas, un acuerdo para la presentación de
informes comunes entre la UE y los Estados Unidos sobre el sector, un control común,
obligaciones comunes de diligencia debida para los vendedores y la tipificación como
delito de la venta de programas espía a agentes no estatales;

52. Pide que el Consejo UE-EE. UU. de Comercio y Tecnología celebre una consulta
amplia y abierta con la sociedad civil para el desarrollo de la estrategia y las normas
conjuntas de ambas partes;

53. Pide que se inicien conversaciones con otros países, en particular con Israel, a fin de
establecer un marco para las licencias de comercialización y exportación de programas
espía, que incluya normas sobre transparencia, una lista de países elegibles y acuerdos
de diligencia debida;

54. Hace hincapié en que, en comparación con los Estados Unidos, donde NSO se incluyó
rápidamente en la lista negra y existen iniciativas bipartidistas para elaborar legislación
sobre programas espía comerciales, no se ha tomado ninguna medida en la Unión en lo
que respecta a las importaciones de programas espía y la aplicación de las normas de
exportación es totalmente inadecuada;

55. Concluye que las normas de exportación de la Unión y su aplicación deben ser muy
estrictas al objeto de proteger los derechos humanos de terceros países, y que la Unión
debe tratar de aunar fuerzas con los Estados Unidos y otros aliados a la hora de regular
el comercio de programas espía y utilizar su poder conjunto de mercado para forzar un
cambio;

Vulnerabilidades de día cero

56. Pide que se regule el descubrimiento, la compartición, la corrección y la explotación de

vulnerabilidades, sin perjuicio de la Directiva SRI 2 y de la propuesta de ley de
ciberresiliencia;

57. Considera que los investigadores deben poder investigar vulnerabilidades y compartir
sus resultados sin responsabilidad civil ni penal en virtud, entre otros, de la Directiva
sobre la ciberdelincuencia y la Directiva sobre derechos de autor;

58. Pide a los principales actores de la industria que creen incentivos para que los
investigadores participen en la investigación de vulnerabilidades, invirtiendo en planes

RD\1269773ES.docx 19/25 PE740.554v01-00

ES
 de tratamiento de vulnerabilidades, prácticas de divulgación dentro de la industria y con
la sociedad civil, y que instauren programas de recompensa por detección de errores;

59. Pide que se prohíba el comercio de vulnerabilidades y que se obligue a divulgar los
resultados de la investigación sobre vulnerabilidades para que puedan ser reparadas;

60. Pide a las organizaciones que creen un punto de contacto a disposición del público en el
que las vulnerabilidades puedan ser divulgadas de manera normalizada y que las
organizaciones que reciban información sobre vulnerabilidades en su sistema actúen
inmediatamente para corregirlas; pide que se fije un plazo máximo para reparar las
vulnerabilidades detectadas tras su divulgación;

61. Pide que se prohíba a las autoridades públicas adquirir, mantener abiertas o almacenar
vulnerabilidades, excepto en casos limitados y específicos con procedimientos claros de
tratamiento de las vulnerabilidades, previstos por ley, con una prueba de necesidad y
proporcionalidad para la decisión de revelar una vulnerabilidad o excepcionalmente no
revelarla, y normas estrictas sobre el aplazamiento de la notificación, bajo la estricta
supervisión de un organismo de supervisión independiente;

Redes de telecomunicaciones

62. Subraya que, si un actor estatal tiene un punto de acceso a la red SS7, debe revocarse la
licencia del operador principal a través del cual dicho actor estatal tiene acceso;

63. Hace hincapié en que la actual posibilidad ilimitada de que disponen personas
desconocidas de comprar cualquier número para cualquier país del mundo debe
regularse mejor a fin de que las actividades malintencionadas resulten más difíciles de
ocultar;

64. Pide a los proveedores de telecomunicaciones que adopten medidas firmes y

demostrables contra la suplantación de identidad;

Privacidad y comunicaciones electrónicas

65. Pide que se adopte rápidamente el Reglamento sobre la privacidad y las comunicaciones
electrónicas de un modo que refleje plenamente la jurisprudencia sobre restricciones en
materia de seguridad nacional y la necesidad de evitar el uso indebido de las tecnologías
de vigilancia, y que refuerce el derecho fundamental a la privacidad; señala que el
alcance de la vigilancia no debe ir más allá de la Directiva sobre la privacidad y las
comunicaciones electrónicas;

El papel de Europol

66. Expresa su consternación por la negativa de Europol a hacer pleno uso de las nuevas
competencias que le confiere el Reglamento (UE) 2022/991, que le permitirían
proponer a las autoridades competentes de los Estados miembros afectados que inicien,
lleven a cabo o coordinen una investigación penal, especialmente cuando las
autoridades nacionales no puedan o no quieran investigar y, en particular, cuando exista
una preocupación justificada de que puedan destruirse pruebas;

67. Pide a todos los Estados miembros que se comprometan a aprobar las propuestas de

PE740.554v01-00 20/25 RD\1269773ES.docx

ES
 Europol en virtud de dicho artículo;

68. Pide a Europol que cree un registro de operaciones policiales que impliquen el uso de
programas espía en el seno de Europol, dentro del cual cada operación se identifique
mediante un código, y que el uso de estos programas por parte de los gobiernos se
incluya en el informe de evaluación de la amenaza de la delincuencia organizada en
internet que Europol elabora anualmente;

69. Pide que se revise el Reglamento de Europol de modo que, en casos excepcionales,
Europol también pueda iniciar una investigación penal sin el consentimiento del Estado
miembro, en los casos en que las autoridades nacionales no investiguen o se nieguen a
investigar y existan amenazas claras para los intereses y la seguridad de la Unión;

Ayuda al desarrollo de la Unión

70. Pide a la Comisión que aplique mecanismos de control más rigurosos a fin de garantizar
que la ayuda al desarrollo de la Unión no financie ni facilite instrumentos que puedan
vulnerar los principios de democracia, buena gobernanza, Estado de Derecho y respeto
de los derechos humanos; observa que las evaluaciones de la Comisión sobre el
cumplimiento del Derecho de la Unión, en particular el Reglamento Financiero, deben
contener criterios de control específicos y mecanismos de ejecución para evitar tales
abusos;

Normativa financiera de la Unión

71. Destaca que debe reforzarse el respeto de los derechos humanos por parte del sector
financiero; subraya que las recomendaciones de los Principios Rectores de las Naciones
Unidas 10+ deben transponerse al Derecho de la Unión y que la Directiva sobre
diligencia debida debe aplicarse plenamente al sector financiero, a fin de garantizar el
respeto de la democracia, los derechos humanos y el Estado de Derecho en dicho sector;

Seguimiento de las resoluciones del Parlamento

72. Pide un seguimiento urgente de la Resolución del Parlamento Europeo, de 12 de marzo

de 2014, sobre el programa de vigilancia de la Agencia Nacional de Seguridad de los
EE. UU., los órganos de vigilancia de varios Estados miembros y su impacto en los
derechos fundamentales de los ciudadanos de la Unión y en la cooperación
transatlántica en materia de justicia y asuntos de interior; recalca que las
recomendaciones siguientes deben aplicarse con carácter de urgencia;

73. Insiste en que, a pesar de que el control de las actividades de los servicios de
inteligencia tiene que estar basado tanto en la legitimidad democrática (marco jurídico
sólido, autorización previa y verificación posterior) como en una capacidad y unos
conocimientos técnicos adecuados, la mayoría de los actuales organismos de control de
la UE y de los Estados Unidos carecen de ambos, en especial de capacidades técnicas;

74. Invita, como ya hiciera en el caso de Echelon, a todos los parlamentos nacionales que
aún no lo hayan hecho a que establezcan un control coherente de las actividades de
inteligencia por parte de parlamentarios u organismos especializados con potestad legal
de investigación; hace un llamamiento a los parlamentos nacionales para que garanticen
que dichos comités u organismos de control dispongan de recursos, pericia técnica y

RD\1269773ES.docx 21/25 PE740.554v01-00

ES
 medios legales suficientes, incluido el derecho a realizar visitas in situ, para que puedan
controlar los servicios de inteligencia de manera efectiva;

75. Pide que se cree un Grupo de Alto Nivel para proponer, de manera transparente y en
colaboración con los parlamentos, recomendaciones y otras medidas que se deban tomar
con miras a una mejora del control democrático, incluido el control parlamentario, de
los servicios de inteligencia y a una mayor colaboración en materia de supervisión en la
UE, en particular por lo que respecta a su dimensión transfronteriza;

76. Considera que dicho Grupo de Alto Nivel debería:

a) definir las directrices o normas mínimas europeas por lo que se refiere al

control (ex ante y ex post) de los servicios de inteligencia sobre la base de las
mejores prácticas y recomendaciones existentes de organismos internacionales
(por ejemplo, las Naciones Unidas y el Consejo de Europa), incluida la
cuestión de que los organismos de supervisión sean considerados terceros a
tenor de la «norma de la tercera parte» o el principio de control por el emisor,
en relación con el control y la rendición de cuentas de la inteligencia
procedente de países extranjeros;

b) establecer límites estrictos en cuanto a la duración y al alcance de cualquier

vigilancia ordenada, a no ser que la continuación de la misma sea debidamente
justificada por el servicio ordenador o la autoridad de control; recordar que la
duración de cualquier vigilancia ordenada debe ser proporcionada a su fin
específico y limitarse al mismo;

c) desarrollar criterios para una mejor transparencia a partir del principio general
de acceso a la información y de los llamados «Principios de Tshwane»18;

77. Tiene intención de organizar una conferencia con los organismos nacionales de control,
ya sean parlamentarios o independientes;

78. Solicita a los Estados miembros que elaboren un código de buenas prácticas para
mejorar el acceso de sus organismos de control a la información sobre las actividades de
inteligencia (que incluya información clasificada e información de otros servicios) y
establezcan la facultad para llevar a cabo visitas in situ, un conjunto sólido de poderes
de interrogación, recursos y conocimientos técnicos adecuados, independencia estricta
frente a sus respectivos gobiernos y la obligación de informar a sus parlamentos
respectivos;

79. Pide a los Estados miembros que desarrollen mecanismos de cooperación entre los
organismos de control, en especial dentro de la ENNIR (European Network of National
Intelligence Reviewers);

80. Solicita a la Comisión que presente una propuesta de procedimiento de habilitación de

seguridad de la Unión para todos los titulares de cargos públicos de la UE, ya que el
sistema actual, que se basa en la habilitación de seguridad por el Estado miembro del
que se tiene nacionalidad, tiene unos requisitos y una duración de los procedimientos

18
The Global Principles on National Security and the Right to Information (Los principios mundiales relativos a
la seguridad nacional y el derecho a la información), junio de 2013.

PE740.554v01-00 22/25 RD\1269773ES.docx

ES
 distintos dentro de los sistemas nacionales, lo que conlleva un tratamiento diferente de
los diputados y de su personal dependiendo de su nacionalidad;

81. Recuerda las disposiciones del Acuerdo interinstitucional entre el Parlamento Europeo y
el Consejo sobre la transmisión al Parlamento Europeo y la gestión por el mismo de la
información clasificada en posesión del Consejo sobre asuntos distintos de los
pertenecientes al ámbito de la política exterior y de seguridad común, que deberían
emplearse para mejorar el control en el ámbito de la Unión;

Programas de investigación de la Unión

82. Pide que se implanten mecanismos de control más rigurosos a fin de garantizar que los
fondos de investigación de la Unión no financian ni facilitan instrumentos que vulneren
los valores de la Unión; observa que las evaluaciones sobre el cumplimiento del
Derecho de la Unión deben contener criterios de control específicos a fin de evitar tales
abusos;

Un laboratorio tecnológico de la Unión

83. Pide a la Comisión que inicie sin demora la creación de un instituto europeo
interdisciplinario independiente, centrado en la investigación y el desarrollo del nexo
entre las tecnologías de la información y la comunicación, los derechos fundamentales y
la seguridad, que también se encargaría de descubrir y exponer el uso ilegal de
programas informáticos con fines de vigilancia ilícita;

Estado de Derecho

84. Subraya que el impacto del uso ilegal de programas espía es mucho más pronunciado en
los Estados miembros en los que las autoridades que, en condiciones normales, se
encargarían de investigar e indemnizar a las víctimas son capturadas por el Estado y
que, en caso de crisis del Estado de Derecho, no se puede confiar en las autoridades
nacionales;

85. Pide, por tanto, a la Comisión que garantice una aplicación proactiva de su conjunto de
instrumentos al servicio del Estado de Derecho, en particular:

a) poner en marcha un seguimiento más exhaustivo del Estado de Derecho que

incluya la evaluación de la capacidad de respuesta de las instituciones estatales
para ofrecer reparación a las víctimas de programas espía, en particular a los
periodistas, y ampliar el alcance de su informe anual sobre el Estado de
Derecho e incluir todos los retos para la democracia, el Estado de Derecho y
los derechos fundamentales, tal como se recoge en el artículo 2 del TUE, como
ha solicitado reiteradamente el Parlamento;

b) proseguir y agrupar de forma proactiva los procedimientos de infracción contra

los Estados miembros por deficiencias del Estado de Derecho, tales como las
amenazas a la independencia del poder judicial y al funcionamiento eficaz de
la policía y la fiscalía; y

c) ampliar la evaluación de la Comisión a efectos del régimen de condicionalidad

presupuestaria del Estado de Derecho, en particular examinando las

RD\1269773ES.docx 23/25 PE740.554v01-00

ES
 repercusiones del uso de programas espía en la rendición de cuentas en materia
de gasto público;

Fondo para litigios de la Unión

86. Pide la creación, sin demoras indebidas, de un fondo de la Unión destinado a litigios
que cubra los costes procesales reales y permita a las víctimas de programas espía
buscar una reparación adecuada en consonancia con la acción preparatoria aprobada por
el Parlamento en 2017, con el fin de crear un fondo de la Unión para el apoyo financiero
en casos de litigios relativos a violaciones de la democracia, el Estado de Derecho y los
derechos fundamentales;

Consejo Europeo, Consejo de Ministros y Comisión

87. Expresa su preocupación por la falta de acción de la Comisión hasta la fecha, y le insta
a que haga pleno uso de todas sus competencias como guardiana de los Tratados y a que
lleve a cabo una investigación exhaustiva y en profundidad sobre el uso indebido y el
comercio de programas espía en la Unión;

88. Insta a la Comisión a que efectúe una investigación completa sobre todas las denuncias
y sospechas de uso de programas espía contra sus cargos y funcionarios, y a que
informe al Parlamento y a las autoridades policiales competentes cuando sea necesario;

89. Toma nota de que la Comisión PEGA no recibió una respuesta colectiva del Consejo a
las preguntas del Parlamento Europeo a todos los Estados miembros hasta la víspera de
la publicación del proyecto de informe, aproximadamente cuatro meses después de las
cartas del Parlamento; expresa su consternación por la falta de acción del Consejo
Europeo y del Consejo de Ministros, y aboga por una cumbre específica del Consejo
Europeo, habida cuenta de la magnitud de la amenaza para la democracia en Europa;

90. Opina que el Parlamento debe tener plenos poderes de investigación, incluida la
facultad de citar a testigos, exigir formalmente a los testigos que presten declaración
bajo juramento y facilitar la información solicitada en plazos específicos;

91. Decide adoptar un protocolo para los casos en que diputados o personal de la institución
se hayan convertido en objetivo directo o indirecto de programas espía y subraya que
todos los casos deben notificarse a las autoridades policiales responsables;

92. Decide adoptar la iniciativa de poner en marcha una conferencia interinstitucional en la

que el Parlamento, el Consejo y la Comisión busquen reformas de la gobernanza que
refuercen la capacidad institucional de la Unión para responder adecuadamente a los
ataques contra la democracia y el Estado de Derecho desde dentro y para garantizar que
la Unión disponga de métodos supranacionales eficaces para hacer cumplir los Tratados
y el Derecho derivado en caso de incumplimiento por parte de los Estados miembros;

Acción legislativa

93. Pide a la Comisión que presente una propuesta legislativa basada en la presente
recomendación;

PE740.554v01-00 24/25 RD\1269773ES.docx

ES
 ° °

94. Encarga a su presidenta que transmita la presente Resolución a los Estados miembros, al
Consejo, a la Comisión y a Europol.

RD\1269773ES.docx 25/25 PE740.554v01-00

ES