11.12.2009

ES

Diario Oficial de la Unión Europea

L 325/6

---

DECISIÓN DEL CONSEJO 2009/934/JAI

de 30 de noviembre de 2009

por la que se adoptan las normas de desarrollo que rigen las relaciones de Europol con los socios, incluido el intercambio de datos personales y de información clasificada

EL CONSEJO DE LA UNIÓN EUROPEA,

Vista la Decisión 2009/371/JAI del Consejo, de 6 de abril de 2009, por la que se crea la Oficina Europea de Policía (Europol) (1) («la Decisión Europol»), y, en particular, su artículo 26, apartado 1, letra b), y su artículo 59, apartado 1, letra c),

Visto el proyecto de normas presentado por el consejo de administración, sobre el que ha emitido dictamen la Autoridad común de control,

Visto el dictamen del Parlamento Europeo,

Considerando que de conformidad con la Decisión Europol, le corresponde al Consejo, por mayoría cualificada y después de consultar al Parlamento Europeo, adoptar las normas de desarrollo que rigen las relaciones de Europol con los socios, incluido el intercambio de datos personales y de información clasificada (en lo sucesivo, «las normas»).

DECIDE:

TÍTULO I

DISPOSICIONES GENERALES

Artículo 1

Definiciones

A efectos de las presentes normas, se entenderá por:

a)   «terceros Estados» mencionados en el artículo 23, apartado 1, letra a), de la Decisión Europol: los Estados que no son Estados miembros de la Unión Europea;

b)   «organizaciones» mencionadas en el artículo 23, apartado 1, letra b), de la Decisión Europol: las organizaciones tales como organizaciones internacionales y sus órganos subordinados regidos por el Derecho público u otros órganos regidos por el Derecho público creados por, o basados en, un acuerdo entre dos o más Estados;

c)   «terceras partes»: los Estados terceros y organizaciones antes mencionados;

d)   «órganos de la UE»: las instituciones, las agencias y los organismos creados por el Tratado de la Unión Europea y los Tratados constitutivos de las Comunidades Europeas, o en virtud de estos, mencionados en el artículo 22, apartado 1, de la Decisión Europol;

e)   «datos personales»: cualquier información relativa a una persona física identificada o identificable; se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;

f)   «información clasificada»: cualquier información y material en cualquier forma, cuya divulgación no autorizada causaría distintos grados de perjuicio a los intereses esenciales de Europol, de uno o varios Estados miembros o de los socios cooperadores de Europol, y que requiera la aplicación de medidas de seguridad pertinentes;

g)   «acuerdo estratégico»: un acuerdo que permita el intercambio de información, excluidos los datos personales;

h)   «acuerdo operativo»: un acuerdo que permita el intercambio de información, incluidos los datos personales;

i)   «acuerdo de cooperación»: tanto un acuerdo estratégico como uno operativo;

j)   «arreglo de trabajo»: un acuerdo entre Europol y un órgano de la UE sobre su cooperación, que permita el intercambio de información, incluidos los datos personales;

k)   «tratamiento de datos personales o tratamiento»: cualquier operación o conjunto de operaciones practicadas sobre datos personales, ya sea por medios automatizados o no, como por ejemplo la recogida, registro, organización, almacenamiento, adaptación o alteración, recuperación, consulta, utilización, revelación mediante transmisión, difusión u otra forma de comunicación, cotejo o combinación, bloqueo, eliminación o destrucción;

l)   «servicios competentes»: todos los organismos públicos existentes en los Estados miembros o en terceros Estados que, en virtud del Derecho nacional, sean competentes para prevenir y combatir la delincuencia.

Artículo 2

Ámbito de aplicación

Las presentes normas regirán las relaciones de Europol con órganos de la UE y terceras partes, incluido el intercambio de datos personales y de información clasificada, y los procedimientos aplicables a la negociación y la celebración de acuerdos de cooperación y arreglos de trabajo.

TÍTULO II

CELEBRACIÓN DE ACUERDOS DE COOPERACIÓN Y ARREGLOS DE TRABAJO

Artículo 3

Establecimiento de relaciones con órganos de la UE

Con arreglo al artículo 22, apartado 1, de la Decisión Europol, en la medida en que ello sea útil para el ejercicio de sus funciones, Europol podrá establecer y mantener relaciones de cooperación con órganos de la UE.

Europol pedirá el dictamen del consejo de administración si pretende entablar negociaciones sobre un acuerdo de cooperación o un arreglo de trabajo con un órgano de la UE no mencionado explícitamente en el artículo 22, apartado 1, letras a) a f), de la Decisión Europol.

Artículo 4

Procedimiento para la celebración de acuerdos de cooperación o arreglos de trabajo con órganos de la UE

1.   Con arreglo al artículo 22, apartado 2, de la Decisión Europol, Europol celebrará acuerdos de cooperación o arreglos de trabajo con órganos de la UE a los efectos de establecer relaciones de cooperación. Tales acuerdos o arreglos podrán contemplar el intercambio de información operativa, estratégica y técnica, incluidos los datos personales y la información clasificada.

2.   Solo se autorizará la transmisión de información clasificada en la medida en que exista un acuerdo sobre confidencialidad entre Europol y el órgano de la UE. Se informará al Comité de Seguridad de tal acuerdo, que se formalizará ulteriormente en el acuerdo de cooperación o el arreglo de trabajo.

3.   Tal acuerdo de cooperación o arreglo de trabajo solo se celebrará previa aprobación del consejo de administración.

4.   Si el acuerdo de cooperación o el arreglo de trabajo se refiere al intercambio de datos personales, el consejo de administración pedirá el dictamen de la Autoridad común de control antes de la aprobación a que se refiere el apartado 3.

Artículo 5

Establecimiento de relaciones con terceras partes

1.   Con arreglo al artículo 23, apartado 1, de la Decisión Europol, en la medida en que ello sea necesario para el ejercicio de sus funciones, Europol podrá establecer y mantener relaciones de cooperación con terceras partes.

2.   De conformidad con el artículo 23, apartado 2, de la Decisión Europol, Europol podrá celebrar acuerdos con terceras partes incluidas en la lista de terceros Estados y organizaciones mencionada en el artículo 26, apartado 1, letra a), de la Decisión Europol. Tales acuerdos podrán referirse al intercambio de información operativa, estratégica y técnica, incluidos los datos personales y la información clasificada. En caso de acuerdo con un tercer Estado, dicha información se transmitirá a través de un punto de contacto designado que figure en el acuerdo.

3.   Europol podrá iniciar el procedimiento para la celebración de un acuerdo con una tercera parte en cuanto dicha parte esté incluida en la lista mencionada en el apartado 2.

4.   En caso de que se contemple la celebración de un acuerdo operativo con una tercera parte, Europol llevará a cabo una evaluación de la existencia de un nivel adecuado de protección de datos garantizado por dicha tercera parte. Dicha evaluación se remitirá al consejo de administración, que habrá recabado el dictamen previo de la Autoridad común de control. A los efectos de dicha evaluación, se tendrán en cuenta el marco reglamentario y la práctica administrativa en materia de protección de datos de la tercera parte, incluso en relación con cualquier autoridad independiente existente responsable de la supervisión de las cuestiones relativas a la protección de los datos.

Artículo 6

Procedimiento para la celebración de un acuerdo de cooperación con terceras partes

1.   El consejo de administración decidirá, sobre la base de la evaluación a que se refiere el artículo 5, apartado 4, y teniendo en cuenta el dictamen de la Autoridad común de control, si el Director entabla negociaciones con la tercera parte para la celebración de un acuerdo operativo. Previa decisión positiva del consejo de administración, el Director entablará negociaciones con la tercera parte sobre la celebración de tal acuerdo. En caso de decisión negativa, el consejo de administración podrá estudiar la celebración de un acuerdo estratégico con la tercera parte de que se trate.

2.   Solo se autorizará la transmisión de información clasificada por parte de Europol en la medida en que exista un acuerdo sobre confidencialidad entre Europol y la tercera parte. Se informará al Comité de Seguridad de tal acuerdo, que se formalizará ulteriormente en el acuerdo de cooperación o el arreglo de trabajo.

3.   Después de finalizar las negociaciones sobre un acuerdo, el Director presentará el proyecto de acuerdo con el consejo de administración. En caso de celebración de un acuerdo operativo, el consejo de administración solicitará previamente el dictamen de la Autoridad común de control. El consejo de administración refrendará el proyecto de acuerdo antes de presentárselo al Consejo para su aprobación.

En caso de refrendo de un acuerdo operativo, dicho proyecto de acuerdo y el dictamen de la Autoridad común de control se presentarán al Consejo.

4.   Con arreglo al artículo 23, apartado 2, de la Decisión Europol, tales acuerdos solo se celebrarán previa aprobación por el Consejo, tras consultar al consejo de administración y, en la medida en que tales acuerdos se refieran al intercambio de datos personales, una vez recabado el dictamen de la Autoridad común de control a través del consejo de administración.

Artículo 7

Información del consejo de administración

El Director informará al consejo de administración de un modo periódico sobre la situación de las negociaciones en curso con órganos de la UE y terceras partes.

TÍTULO III

INTERCAMBIO DE INFORMACIÓN

CAPÍTULO I

Recepción de información

Artículo 8

Recepción de información antes de la entrada en vigor de un acuerdo

Antes de la entrada en vigor de un acuerdo o un arreglo de trabajo con un órgano de la UE o una tercera parte, Europol podrá, de acuerdo con el artículo 22, apartado 3, y el artículo 23, apartado 3, de la Decisión Europol, recibir directamente y utilizar información, incluso datos personales e información clasificada, en la medida necesaria para la legítima realización de sus funciones mencionadas en el artículo 5 de la Decisión Europol.

CAPÍTULO II

Transmisión de información

Artículo 9

Condiciones para la transmisión de información a órganos de la UE y terceras partes

Europol solo podrá transmitir información a un órgano de la UE o a una tercera parte con arreglo a las siguientes condiciones:

1)	no obstante lo dispuesto en los artículos 11 a 14, la información solo podrá transmitirse después de que se haya celebrado un acuerdo o arreglo de trabajo con el órgano de la UE o la tercera parte con arreglo a las disposiciones del título II;

2)

si los datos de que se trate han sido transmitidos a Europol por un Estado miembro, Europol solo podrá transmitirlos a los órganos de la UE o a terceras partes con el acuerdo de dicho Estado miembro. El Estado miembro interesado podrá manifestar su acuerdo previo a dicha transmisión, ya sea en términos generales o supeditado a determinadas condiciones. Dicho consentimiento podrá retirarse en cualquier momento;

3)

si los datos no han sido transmitidos por un Estado miembro, Europol se cerciorará de que el hecho de transmitirlos: a) no ponga en peligro el correcto cumplimiento de las funciones que son competencia de un Estado miembro; b) no amenace el orden y la seguridad públicos de un Estado miembro, ni perjudique de forma alguna los intereses de este último;

4)

la transmisión de datos personales a terceras partes solo estará permitida cuando: a) sea necesaria en casos concretos para prevenir o combatir actos delictivos que sean competencia de Europol, y b) Europol haya celebrado un acuerdo operativo con las terceras partes de que se trate que permita la transmisión de tales datos sobre la base de una evaluación que confirme un nivel adecuado de protección de datos garantizado por tales terceras partes con arreglo al artículo 5, apartado 4;

5)

la transmisión por Europol de información clasificada solo estará autorizada cuando: a) exista una acuerdo sobre confidencialidad entre Europol y el órgano de la UE o la tercera parte, con arreglo al artículo 4, apartado 2, y al artículo 6, apartado 2, y b) en caso de transmisión de datos a terceras partes, sea necesaria en casos particulares a efectos de prevención y lucha contra las infracciones penales en el ámbito de competencias de Europol.

Artículo 10

Responsabilidades en materia de transmisión de datos

Europol responderá de la legalidad de la transmisión de los datos. Europol deberá dejar constancia de todas las transmisiones de datos realizadas en virtud de dichas normas y de los motivos que las justifican. La transmisión de datos solo se realizará si el destinatario se compromete a utilizar los datos únicamente para los fines que motivaron la transmisión.

Artículo 11

Transmisión de información a órganos de la UE antes de la entrada en vigor de un acuerdo de cooperación o un arreglo de trabajo

1.   Antes de la entrada en vigor de un acuerdo operativo o un arreglo de trabajo con un órgano de la UE, Europol podrá, de acuerdo con el artículo 22, apartado 3, de la Decisión Europol y en las condiciones impuestas en el artículo 9, apartados 2 y 3, de las presentes normas, transmitir directamente información, incluso datos personales, a dicho órgano, en la medida necesaria para la legítima realización de las funciones del receptor.

2.   Solo se autorizará la transmisión de información clasificada por parte de Europol en la medida en que exista un acuerdo sobre confidencialidad entre Europol y el órgano de la UE con arreglo al artículo 4, apartado 2.

Artículo 12

Transmisión de información a terceras partes antes de la entrada en vigor de un acuerdo

Antes de la entrada en vigor de un acuerdo con una tercera parte, Europol podrá, de acuerdo con el artículo 23, apartado 4, de la Decisión Europol y en las condiciones establecidas en el artículo 9, apartados 2 y 3, de las presentes normas, transmitir directamente información, excluidos los datos personales y la información clasificada, a dicha parte, en la medida en que lo requiera la legítima realización de las funciones del receptor.

Artículo 13

Transmisión de información a terceras partes que no estén incluidos en la lista del Consejo

De acuerdo con el artículo 23, apartado 5, de la Decisión Europol y en las condiciones establecidas en el artículo 9, apartados 2 y 3, de las presentes normas, Europol podrá transmitir directamente información, excluidos los datos personales y la información clasificada, a terceras partes que no estén incluidas en la lista mencionada en el artículo 26, apartado 1, letra a), de la Decisión Europol, en la medida en que sea estrictamente necesario en casos particulares a efectos de prevención y lucha contra las infracciones penales en el ámbito de competencias de Europol.

CAPÍTULO III

Transmisión de información en casos excepcionales

Artículo 14

Transmisión de datos personales e información clasificada en casos excepcionales

1.   De acuerdo con el artículo 23, apartados 8 y 9, de la Decisión Europol, y con arreglo a las condiciones establecidas en el artículo 9, apartados 2 y 3, de las presentes normas, Europol podrá transmitir a terceras partes datos personales e información clasificada en su poder cuando el Director considere que su transmisión es absolutamente necesaria para proteger los intereses esenciales de los Estados miembros de que se trate que entren en el ámbito de los objetivos de Europol, o en aras de prevenir un peligro inminente asociado con un delito o actos terroristas.

2.   En caso de transmisión de información clasificada, el Director informará lo antes posible al consejo de administración y al Comité de Seguridad de su decisión.

3.   En caso de transmisión de datos personales, el Director considerará en todo caso el nivel de protección de datos aplicable a la tercera parte en cuestión, con objeto de ponderar dicho nivel de protección con el fin mencionado. Al hacerlo, el Director tendrá en cuenta todos los elementos pertinentes, como el peligro potencial si Europol no transmite los datos personales en cuestión. El Director informará lo antes posible al consejo de administración y a la Autoridad común de control de su decisión y de la base de evaluación del carácter adecuado del nivel de protección de datos ofrecido por la tercera parte de que se trate.

4.   Previamente a la transmisión de datos personales en aplicación del apartado 1, el Director evaluará el carácter adecuado del nivel de protección de datos que ofrezcan las terceras partes de que se trate, teniendo en cuenta todas las circunstancias que concurran en la transmisión de datos personales, y en particular:

a)	la naturaleza de los datos;

b)	el objetivo que persigue la transmisión de los datos;

c)	la duración del tratamiento previsto;

d)	las disposiciones generales o específicas aplicables a las terceras partes;

e)	si las terceras partes han aceptado o no las condiciones específicas exigidas por Europol en relación con tales datos.

CAPÍTULO IV

Condiciones específicas para la transmisión de datos personales

Artículo 15

Objetivos de la transmisión de datos personales

1.   No se transmitirán datos personales solicitados sin indicación del objetivo y los motivos de la solicitud.

2.   No se autorizará la transmisión de datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, ni de datos relativos a la salud o a la vida sexual de una persona, a menos que resulte estrictamente necesario.

Artículo 16

Rectificación y eliminación de datos personales

1.   Cuando Europol transmita datos personales a un órgano de la UE o a una tercera parte, deberá asegurarse de que tal receptor se compromete a rectificar o eliminar dichos datos si resultan ser incorrectos, inexactos, han perdido su actualidad o no debieran haber sido transmitidos. En caso de que Europol observe que los datos personales son incorrectos, inexactos, que han perdido actualidad o que no debían haber sido transmitidos, se informará inmediatamente de ello al órgano receptor de la UE o a la tercera parte, a los que se solicitará que comuniquen a Europol que los datos serán rectificados o eliminados. El Director informará al consejo de administración y a la Autoridad común de control de las actividades de Europol en este ámbito.

2.   Cualquier acuerdo celebrado contemplará la obligación de rectificar o eliminar datos con arreglo al procedimiento a que se refiere el apartado 1.

3.   Cuando Europol transmita datos personales a un órgano de la UE o a una tercera parte, deberá asegurarse de que tal receptor se compromete a eliminar dichos datos si resultan no ser ya necesarios para los objetivos con que se transmitieron.

CAPÍTULO V

Reenvío de datos a órganos de la UE y terceras partes

Artículo 17

Autoridades competentes y reenvío

1.   La transmisión de datos personales por Europol a un tercer Estado y la transmisión dentro de dicho Estado estarán restringida a las autoridades competentes, que se mencionarán explícitamente en cualquier acuerdo que se celebre.

2.   En los acuerdos de negociación, Europol se esforzará por garantizar que, cuando resulte posible, un tercer Estado designe una autoridad competente que actúe como punto de contacto nacional entre Europol y las demás autoridades competentes de dicho tercer Estado.

3.   Al transmitir datos personales a un órgano de la UE o a una tercera parte, Europol velará por que tal receptor se comprometa a que el reenvío de dichos datos se limite a las autoridades competentes y se realice en las mismas condiciones que las aplicables a la transmisión original.

4.   Cuando no resulte posible para un tercer Estado designar una autoridad competente como punto de contacto nacional, los acuerdos podrán disponer, de modo excepcional, la transmisión directa de información por Europol a una o más autoridades competentes dentro del tercer Estado de que se trate.

Artículo 18

Condiciones para el reenvío

1.   Europol solo transmitirá datos personales a una autoridad competente de un tercer Estado o transmitirá datos personales a una organización u órgano de la UE si dicha autoridad, organización u órgano acepta no comunicar dichos datos personales a otros órganos de la UE o a terceras partes, salvo en las condiciones establecidas en el apartado 2.

2.   El reenvío de datos personales por una autoridad competente de un tercer Estado, una organización o un órgano de la UE con el que Europol haya celebrado un acuerdo operativo solo tendrá lugar:

a)	con el consentimiento previo de Europol, en los casos en que el órgano de la UE o la tercera parte que reciba los datos personales haya celebrado un acuerdo operativo con Europol, o

b)

excepcionalmente, previa autorización del Director, teniendo en cuenta el nivel de protección de datos aplicable al órgano de la UE o a la tercera parte, siempre que considere absolutamente necesario el reenvío de datos personales por el órgano de la UE o la tercera parte: i) para salvaguardar los intereses esenciales de los Estados miembros de que se trate que entren en el ámbito de los intereses de Europol, o ii) en aras de prevenir un peligro inminente asociado con un delito o actos terroristas.

3.   No se autorizará el reenvío de datos personales comunicados a Europol por un Estado miembro sin el consentimiento previo del Estado miembro de que se trate. El Director informará al Estado miembro de que se trate de los motivos del reenvío a través de un órgano de la UE o una tercera parte en lugar de la transmisión directa de tales datos.

CAPÍTULO VI

Condiciones específicas para la recepción de información de terceras partes por Europol

Artículo 19

Evaluación de la fuente y de la información

1.   A fin de determinar la fiabilidad de la información recibida por Europol y de su fuente, Europol pedirá al órgano de la UE o a la tercera parte que evalúe, en la medida de lo posible, la información y su fuente con arreglo a los criterios establecidos en el artículo 12 de la Decisión 2009/936/JAI del Consejo, de 30 de noviembre de 2009, por la que se adoptan las normas de desarrollo aplicables a los ficheros de trabajo de análisis de Europol (2) («las normas aplicables a los ficheros de trabajo de análisis de Europol»).

2.   Si no se facilitara dicha evaluación, Europol intentará, en la medida de lo posible, evaluar la fiabilidad de la fuente o de la información basándose en la información que ya obre en su poder, con arreglo a los criterios establecidos en el artículo 12 de las normas aplicables a los ficheros de trabajo de análisis de Europol.

3.   En un acuerdo, Europol y un órgano de la UE o una tercera parte podrán convenir un acuerdo en términos generales en la evaluación de tipos de información y fuentes específicos con arreglo a los criterios establecidos en el artículo 12 de las normas aplicables a los ficheros de trabajo de análisis de Europol.

Artículo 20

Rectificación y supresión de información recibida por Europol

1.   Los acuerdos estipularán que el órgano de la UE o la tercera parte informarán a Europol cuando rectifiquen o supriman la información transmitida a Europol.

2.   Cuando un órgano de la UE o una tercera parte informe a Europol que ha rectificado o suprimido información que le transmitió, Europol rectificará o suprimirá dicha información en consecuencia. Europol no suprimirá la información si todavía requiere tratamiento a efectos del fichero de trabajo de análisis de que se trate o, en caso de la que información esté almacenada en otro fichero de Europol, si sigue teniendo interés para Europol debido a que sabe que es más amplia que la que obraba en poder del órgano de la UE o la tercera parte transmisores. Europol informará al órgano de la UE o a la tercera parte de que se trate de que sigue conservando dicha información.

3.   Si Europol tiene motivos para creer que la información facilitada no es exacta o ya no está actualizada, informará al órgano de la UE o a la tercera parte que facilitó la información y solicitará que le informe sobre su posición. En caso de que rectifique o suprima dicha información de conformidad con el artículo 31, apartado 1, de la Decisión Europol, Europol informará al órgano de la UE o a la tercera parte de la rectificación o supresión.

4.   Sin perjuicio del artículo 31 de la Decisión Europol, no se tratará la información obtenida claramente por un tercer Estado mediante una violación evidente de los derechos humanos.

5.   Los acuerdos estipularán que el órgano de la UE o la tercera parte informarán a Europol en la medida de lo posible cuando dicho órgano de la UE o tercera parte tenga motivos para creer que la información facilitada no es exacta o ya no está actualizada.

TÍTULO IV

DISPOSICIONES FINALES

Artículo 21

Entrada en vigor

Las presentes normas entrarán en vigor el 1 de enero de 2010.

---

(1)  DO L 121 de 15.5.2009, p. 37.

(2)  Véase la página 14 del presente Diario Oficial.

---