COMISIÓN EUROPEA
Bruselas, 4.7.2023
COM(2023) 348 final
2023/0202(COD)
Propuesta de
REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO
por el que se establecen normas procedimentales adicionales en lo que se refiere a la garantía del cumplimiento del Reglamento (UE) 2016/679
EXPOSICIÓN DE MOTIVOS
1.CONTEXTO DE LA PROPUESTA
•Razones y objetivos de la propuesta
La garantía de cumplimiento efectivo de las normas de protección de datos de la UE es un requisito previo para garantizar la tutela del derecho a la protección de los datos de carácter personal consagrado en el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta») y en el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea («TFUE»).
Se ha encomendado a autoridades de protección de datos (APD) nacionales independientes la garantía del cumplimiento del Reglamento (UE) 2016/679 («Reglamento general de protección de datos» o «RGPD») desde que comenzó a aplicarse en 2018. El sistema descentralizado de garantía de cumplimiento de la «ventanilla única» tiene el objetivo de garantizar una interpretación y aplicación coherentes del RGPD, preservando al mismo tiempo el principio de proximidad, en el que las personas tienen la posibilidad de ponerse en contacto con su autoridad de control local y recibir una respuesta. Estos sistemas requieren la cooperación entre las APD en los casos «transfronterizos». En tales casos, la APD «principal» (la APD del establecimiento principal del responsable o encargado del tratamiento objeto de investigación) lleva a cabo la investigación y está obligada a cooperar con otras APD «interesadas» en un esfuerzo por alcanzar el consenso entablando un diálogo en un espíritu de cooperación sincera y eficaz. La APD principal debe ejercer sus competencias en un marco de estrecha cooperación con las APD interesadas. Cuando las APD no pueden alcanzar un consenso en un asunto transfronterizo, el RGPD prevé la resolución de conflictos, sobre cuestiones específicas planteadas en las denominadas «objeciones pertinentes y motivadas», por el Comité Europeo de Protección de Datos (en lo sucesivo, «el Comité»), compuesto por los jefes de las APD de cada Estado miembro y el Supervisor Europeo de Protección de Datos, y que incluye la participación de la Comisión.
En su informe tras dos años de aplicación del RGPD, la Comisión señaló que era necesario seguir avanzando para que la tramitación de los asuntos transfronterizos fuera más eficiente y armonizada en toda la UE. El informe señaló importantes diferencias en los procedimientos administrativos nacionales y en las interpretaciones de los conceptos en el mecanismo de cooperación del RGPD. En su Resolución sobre el informe de la Comisión de 2020 sobre el RGPD, el Parlamento Europeo instó a la Comisión a evaluar si los procedimientos administrativos nacionales obstaculizan la plena eficacia de la cooperación en virtud del artículo 60 del RGPD, así como su aplicación efectiva. El Parlamento Europeo pidió al Comité que estableciera los elementos básicos de un procedimiento administrativo común para tramitar las reclamaciones en casos transfronterizos en el marco de la cooperación establecida en virtud del artículo 60 del RGPD. En 2020, el Comité inició una reflexión sobre la mejora de la cooperación entre las APD en asuntos transfronterizos, que culminó con la adopción de una declaración sobre la cooperación en materia de cumplimiento en abril de 2022, en la que se comprometió a identificar una lista de aspectos procedimentales que podrían armonizarse más en el Derecho de la UE. En octubre de 2022, el Comité transmitió esta lista a la Comisión.
La presente propuesta se basa en el informe de la Comisión de 2020 sobre el RGPD, la lista del Comité de octubre de 2022 y las conclusiones que la Comisión ha extraído del seguimiento del cumplimiento del RGPD desde su entrada en vigor, del grupo de expertos multilaterales del RGPD y del grupo de expertos de los Estados miembros del RGPD, así como de los comentarios que la Comisión ha recibido en respuesta a una convocatoria de datos publicada en febrero de 2023. Está incluida en el programa de trabajo de la Comisión para 2023 (en el apartado «Un nuevo impulso a la democracia europea»).
La aplicación coherente del RGPD depende del funcionamiento eficaz de su sistema de garantía de aplicación transfronteriza. Las diferencias en los procedimientos aplicados por las APD dificultan el funcionamiento fluido y eficaz de los mecanismos de cooperación y resolución de conflictos del RGPD en los asuntos transfronterizos. Estas diferencias también tienen consecuencias importantes para los derechos de las partes investigadas y de los reclamantes (como interesados). Garantizar la correcta aplicación del RGPD es un requisito previo para afianzar la confianza de los ciudadanos en el proceso de digitalización general y para garantizar unas condiciones de competencia equitativas para todas las entidades que tratan datos personales.
La propuesta tiene por objeto abordar los problemas en los siguientes ámbitos:
·Reclamaciones: Las reclamaciones son una fuente primordial de información para detectar las infracciones de las normas de protección de datos. Las APD interpretan de manera diferente los requisitos relativos a la forma de las reclamaciones, la participación de los reclamantes en el procedimiento y el rechazo de las reclamaciones. Por ejemplo: una reclamación aceptada por algunas APD podría ser rechazada por otras aduciendo que no contiene información suficiente; algunas APD conceden a los reclamantes los mismos derechos que a las partes investigadas, mientras que otras no implican a los reclamantes o lo hacen en una medida muy limitada; algunas APD rechazan formalmente, mediante una decisión, las reclamaciones a las que no se da curso, mientras que otras autoridades no lo hacen. Estas diferencias llevan a situaciones en las que el tratamiento de las reclamaciones y la implicación de los reclamantes varía en función de donde se presenta la reclamación o de qué autoridad de control ejerce como autoridad de control principal para una reclamación determinada. Como consecuencia de ello, se retrasa la conclusión de la investigación y la presentación de una solución para el interesado en los casos transfronterizos. En su Resolución sobre el informe de la Comisión de 2020 sobre el RGPD, el Parlamento Europeo destacó la necesidad de aclarar la posición de los reclamantes en el caso de las reclamaciones transfronterizas.
·Derechos procesales de las partes investigadas: Los derechos de defensa de las partes investigadas constituyen un principio fundamental del Derecho de la Unión que debe respetarse en todas las circunstancias, en particular en los procedimientos que puedan dar lugar a sanciones elevadas. Dada la posible gravedad de las sanciones que pueden imponerse, las partes investigadas por infracciones del RGPD deben disfrutar de garantías similares a las previstas en los procedimientos de carácter penal. Los derechos procesales de las partes investigadas, como el alcance del derecho a ser oídas y el derecho de acceso al expediente, varían sustancialmente de un Estado miembro a otro. La medida en que las partes son oídas, el momento de la vista y los documentos que se facilitan a las partes para que puedan ejercer su derecho a ser oídas son elementos sobre los que los Estados miembros adoptan diferentes enfoques. Estos distintos enfoques no siempre son compatibles con el procedimiento previsto en el artículo 60 del RGPD, que se basa en la presunción de que las partes investigadas han ejercido sus derechos a las garantías procesales antes de que la autoridad de control principal presente el proyecto de decisión. Cuando se presenta un asunto al Comité para la resolución de conflictos, la medida en que las partes han sido oídas sobre las cuestiones planteadas en el proyecto de decisión y las objeciones de las APD interesadas pueden variar. Además, existe una falta de claridad sobre la medida en que las partes investigadas deben ser oídas durante la resolución de conflictos por parte del Comité con arreglo al artículo 65 del RGPD. Si no se puede garantizar el derecho a ser oído, las decisiones de las APD que constaten infracciones del RGPD podría ser más vulnerables a los recursos jurídicos.
·Consultas y resolución de conflictos: El procedimiento de cooperación previsto en el artículo 60 del RGPD está esbozado a grandes rasgos. En los casos transfronterizos, las APD están obligadas a intercambiar «información pertinente» en un esfuerzo por alcanzar el consenso. Una vez que la autoridad de control principal presenta un proyecto de decisión sobre el asunto, otras APD tienen la oportunidad de formular «objeciones pertinentes y motivadas». Estas objeciones plantean la posibilidad de resolución de conflictos (cuando no son seguidas por la autoridad de control principal). Si bien el procedimiento de resolución de conflictos previsto en el artículo 65 del RGPD es un elemento esencial para garantizar una interpretación coherente del RGPD, debe reservarse para casos excepcionales en los que la cooperación leal entre las APD no haya dado lugar a un consenso. La experiencia en la aplicación del RGPD en casos transfronterizos muestra que la cooperación entre las APD antes de la presentación de un proyecto de decisión por parte de la autoridad de control principal es insuficiente. La falta de cooperación y consenso suficientes sobre cuestiones clave de la investigación en esta fase temprana ha dado lugar a la remisión a la resolución de conflictos de numerosos casos.
Existen disparidades en la forma y la estructura de las objeciones pertinentes y motivadas presentadas por las APD interesadas durante el procedimiento de cooperación transfronteriza. Estas diferencias obstaculizan la conclusión eficaz del procedimiento de resolución de conflictos y la inclusión de todas las autoridades control interesadas en el procedimiento, en particular las de los Estados miembros más pequeños, que disponen de menos recursos que las APD de los Estados miembros más grandes.
·El RGPD no establece plazos para las distintas fases del procedimiento de cooperación y resolución de conflictos. Habida cuenta de la complejidad variable de las investigaciones y de la discrecionalidad de las APD para investigar las infracciones del RGPD, no es conveniente establecer plazos para cada fase del procedimiento. Sin embargo, la imposición de plazos cuando proceda ayudará a evitar retrasos indebidos en la finalización de los casos.
La propuesta tiene por objeto abordar estas cuestiones especificando normas de procedimiento para determinadas fases del proceso de investigación en asuntos transfronterizos, apoyando así el buen funcionamiento de los mecanismos de cooperación y resolución de conflictos del RGPD. En particular, la propuesta aborda los problemas señalados anteriormente como sigue:
·Forma de las reclamaciones y posición de los reclamantes: La propuesta proporciona un formulario en el que se especifica la información requerida para todas las reclamaciones en virtud del artículo 77 del RGPD relativas al tratamiento transfronterizo y se especifican las normas de procedimiento para la participación de los reclamantes en el procedimiento, incluido su derecho a dar a conocer su opinión. Especifica las normas de procedimiento para el rechazo de reclamaciones en casos transfronterizos y aclara las funciones de la autoridad de control principal y de la autoridad de control ante la que se presentó la reclamación en tales casos. Reconoce la importancia y la legalidad de los acuerdos amistosos de los asuntos basados en reclamaciones.
·Armonización específica de los derechos procesales en los asuntos transfronterizos: La propuesta otorga a las partes investigadas el derecho a ser oídas en las fases clave del procedimiento, incluido durante la resolución de conflictos por parte del Comité, y aclara el contenido del expediente administrativo y los derechos de acceso de las partes al expediente. De este modo, la propuesta refuerza los derechos de defensa de las partes y garantiza el respeto coherente de estos derechos, independientemente de la autoridad de control que lidere la investigación.
·Racionalización de la cooperación y la resolución de conflictos: La propuesta dota a las APD de las herramientas necesarias para alcanzar un consenso, al añadir contenido al requisito de que las APD cooperen y compartan la «información pertinente» establecido en el artículo 60 del RGPD. El presente Reglamento establece un marco que permite a las APD influir de forma significativa en un asunto transfronterizo, expresando su opinión en una fase temprana de la investigación y haciendo uso de todas las herramientas previstas en el RGPD. Fundamentalmente, esto facilitará la creación de consenso y reducirá la probabilidad de que se produzcan desacuerdos en una fase posterior del procedimiento, lo que requeriría el uso del mecanismo de resolución de conflictos. En caso de desacuerdo entre las autoridades de protección de control sobre la cuestión clave del alcance de la investigación en los casos basados en reclamaciones, la propuesta prevé que el Comité intervenga para resolver el desacuerdo adoptando una decisión vinculante urgente. La participación del Comité en esta cuestión precisa proporciona a la autoridad de control la claridad necesaria para proceder a la investigación y garantiza que el desacuerdo sobre el alcance de la investigación no requerirá el uso del mecanismo de resolución de conflictos prevista en el artículo 65.
La propuesta establece requisitos detallados para la forma y la estructura de las objeciones pertinentes y motivadas formuladas por las APD, facilitando así la participación efectiva de todas las APD y la resolución específica y rápida del asunto.
·La propuesta establece plazos para el procedimiento de resolución de conflictos, especifica la información que debe facilitar la autoridad de control principal al someter el asunto a la resolución de conflictos y aclara el papel de todos los agentes implicados dicho procedimiento (las APD principales, las APD interesadas y el Comité). De este modo, la propuesta facilita la rápida finalización del procedimiento de resolución de conflictos para las partes investigadas y los interesados.
•Coherencia con las disposiciones existentes en la misma política sectorial
La propuesta complementa el RGPD al especificar las normas de procedimiento para las fases clave del proceso de investigación establecido por dicho Reglamento. No afecta a los derechos de los interesados, a las obligaciones de los responsables y encargados del tratamiento ni a los motivos legales para el tratamiento de datos personales establecidos en el RGPD.
La propuesta se basa en los principios básicos del RGPD relativos a las reclamaciones, la cooperación y la resolución de conflictos, y complementa estas disposiciones con adiciones específicas para mejorar la eficacia y la eficiencia de su aplicación en casos transfronterizos.
•Coherencia con otras políticas de la Unión
La propuesta es también plenamente coherente y compatible con las actuales políticas de la Unión en otros ámbitos.
2.BASE JURÍDICA, SUBSIDIARIEDAD Y PROPORCIONALIDAD
•Base jurídica
La base jurídica de la propuesta es el artículo 16 del Tratado de Funcionamiento de la Unión Europea (TFUE).
El artículo 16 del TFUE faculta al Parlamento Europeo y al Consejo para establecer normas sobre protección de las personas físicas respecto del tratamiento de datos de carácter personal y sobre la libre circulación de estos datos. La propuesta se refiere a la aplicación del RGPD en casos transfronterizos. El objetivo de dicha aplicación es garantizar el derecho de los interesados a la protección de sus datos personales. Como tal, el artículo 16 del TFUE es la base jurídica adecuada para la propuesta.
•Subsidiariedad (en el caso de competencia no exclusiva)
La UE está en la mejor posición para actuar, ya que la propuesta se refiere a un procedimiento existente establecido por el RGPD en el que participan las APD de varios Estados miembros de la UE y el Comité Europeo de Protección de Datos (un organismo de la UE). Por consiguiente, los problemas señalados anteriormente no pueden ser resueltos por los Estados miembros de la UE por sí solos.
•Proporcionalidad
La presente propuesta garantiza un equilibrio adecuado entre la consecución del objetivo de garantizar el buen funcionamiento de la garantía del cumplimiento transfronteriza del RGPD y el respeto de los sistemas jurídicos nacionales, sin interferir indebidamente en estos.
La propuesta tiene por objetivo garantizar el buen funcionamiento del mecanismo de cooperación y resolución de conflictos establecido por el RGPD. Por consiguiente, la propuesta se refiere únicamente a los casos transfronterizos con arreglo al RGPD. Estos casos afectan a APD de varios Estados miembros de la UE y al Comité.
La medida en que se escucha a las partes investigadas y la participación de los reclamantes en el procedimiento administrativo están reguladas actualmente por las normas procesales nacionales. Estos elementos influyen en la forma en que se lleva a cabo una investigación de principio a fin. Por tanto, la armonización específica del derecho a ser oído y la participación de los reclamantes en las fases clave del procedimiento, solo en los asuntos transfronterizos, es esencial para alcanzar el objetivo de la propuesta —racionalizar la garantía del cumplimiento transfronteriza— y no va más allá de lo necesario en las circunstancias. Es importante destacar que el derecho de las partes investigadas a ser oídas se extiende a las investigaciones llevadas a cabo por las APD en virtud del RGPD, ya que el derecho a ser oídas es un elemento esencial del derecho de la defensa y del derecho a una buena administración garantizados por la Carta. Del mismo modo, los reclamantes deben ser informados del curso de su reclamación con arreglo al artículo 77, apartado 2, del RGPD. La propuesta principalmente armoniza y enmarca las modalidades de estas etapas del procedimiento.
•Elección del instrumento
Un reglamento es el instrumento adecuado para la propuesta. La propuesta completa un procedimiento establecido en un reglamento vigente, el RGPD. Su objetivo es abordar la cuestión de los enfoques procedimentales divergentes de las APD mediante la armonización de determinados aspectos del procedimiento administrativo aplicado por estas autoridades a la hora de hacer cumplir el RGPD. En consecuencia, es necesario un reglamento (directamente aplicable en los Estados miembros) para reducir la fragmentación jurídica y garantizar el grado de armonización necesario para garantizar el buen funcionamiento de los mecanismos de cooperación y coherencia establecidos por el RGPD y proporcionar seguridad jurídica a los reclamantes, las partes investigadas y las APD. Una directiva, que deja a los Estados miembros un margen de apreciación en cuanto a la manera de alcanzar los resultados deseados, no garantizaría el grado de armonización necesario para alcanzar los objetivos de la propuesta.
3.RESULTADOS DE LAS EVALUACIONES EX POST, DE LAS CONSULTAS CON LAS PARTES INTERESADAS Y DE LAS EVALUACIONES DE IMPACTO
•Evaluaciones ex post / controles de la adecuación de la legislación existente
En su informe tras dos años de aplicación del RGPD, la Comisión señaló que era necesario seguir avanzando para que la tramitación de los asuntos transfronterizos fuera más eficiente y armonizada en toda la UE. En el documento de trabajo de los servicios de la Comisión que acompaña al informe, la Comisión señaló la necesidad de abordar las diferencias en los siguientes ámbitos:
·los procedimientos administrativos nacionales relativos, en particular, a: los procedimientos de tramitación de reclamaciones, los criterios de admisibilidad de las reclamaciones, la duración de los procedimientos debido a los plazos diferentes o a la ausencia de plazos, el momento en que se concede el derecho a ser oído, la información a los reclamantes y su participación en el procedimiento;
·las interpretaciones de los conceptos relacionados con el mecanismo de cooperación; y
·el enfoque de cuándo iniciar el procedimiento de cooperación, implicar a las APD interesadas y comunicarles la información.
En su Resolución sobre el informe de la Comisión de 2020 sobre el RGPD, el Parlamento Europeo instó a la Comisión a evaluar si los procedimientos administrativos nacionales obstaculizan la plena eficacia de la cooperación en virtud del artículo 60 del RGPD, así como su aplicación efectiva. El Parlamento Europeo pidió al Comité que estableciera los elementos básicos de un procedimiento administrativo común para tramitar las reclamaciones en casos transfronterizos en el marco de la cooperación establecida en el artículo 60 del RGPD. En 2020, el Comité inició una reflexión sobre la mejora de la cooperación entre las APD en casos transfronterizos. Tras esta reflexión, en octubre de 2022 el Comité transmitió a la Comisión una lista en la que se identificaban los aspectos procedimentales de la cooperación entre las APD que podrían armonizarse a escala de la UE.
En el informe tras dos años de aplicación del RGPD, la Comisión señaló que aún no había ejemplos de resolución de conflictos remitidos al Comité. Desde la publicación del informe en 2020, el Comité ha adoptado ocho decisiones vinculantes en virtud del artículo 65, apartado 1, letra a), del RGPD. La participación de la Comisión en el Comité le ha permitido extraer lecciones sobre el funcionamiento del mecanismo de resolución de conflictos. En particular, la Comisión opina que la conveniencia de la investigación podría mejorarse y la resolución de conflictos podría evitarse aumentando el nivel de cooperación entre las APD antes de la presentación de un proyecto de decisión por parte de la autoridad de control principal.
•Consultas con las partes interesadas
La preparación de la propuesta se basa en las aportaciones de una amplia gama de partes interesadas. Hubo un amplio consenso entre las partes interesadas en que se podría hacer más para mejorar la eficiencia de la garantía de cumplimiento transfronteriza del RGPD.
En particular, la Comisión recibió aportaciones sobre la propuesta de los siguientes canales:
·El Comité: El Comité está compuesto por las APD, que son los responsables del cumplimiento del RGPD. Se encarga, entre otras cosas, de la resolución de conflictos en casos transfronterizos en virtud del RGPD. Como tal, la Comisión tuvo debidamente en cuenta las aportaciones del Comité en todas las fases del proceso preparatorio. En primer lugar, la propuesta responde a la lista de cuestiones remitida a la Comisión por el Comité en octubre de 2022, en la que se identifican aspectos del procedimiento de garantía de cumplimiento transfronteriza que podrían armonizarse a escala de la UE. La propuesta aborda la mayoría de los problemas identificados por el Comité en su lista. En algunos casos, la Comisión decidió no abordar los problemas detectados por el Comité, en particular cuando la Comisión consideró que el RGPD ya los abordaba adecuadamente, o que el asunto debía permanecer a la discreción de la autoridad de control principal o estar determinado por la legislación nacional. Además, la propuesta aborda determinadas cuestiones más allá de las identificadas por el Comité en su lista, cuando la Comisión lo consideró necesario para garantizar el buen funcionamiento de la garantía de cumplimiento transfronteriza y el respeto de las garantías procesales. La Comisión también llevó a cabo consultas específicas sobre aspectos de la propuesta con subgrupos del Comité que se ocupan de la cooperación transfronteriza y su cumplimiento en las reuniones celebradas el 21 de marzo de 2023 y el 24 de abril de 2023, con el fin de aprovechar la experiencia de las APD que se ocupan de estas cuestiones en su trabajo diario. El Comité respaldó plenamente la adopción de medidas por parte de la Comisión en este ámbito y aportó una valiosa contribución a la Comisión en las reuniones de marzo y abril de 2023.
·El grupo multilateral de expertos del RGPD: Este grupo de expertos se creó para ayudar a la Comisión en la aplicación del RGPD. Está compuesto por representantes de la sociedad civil, empresas, miembros del mundo académico y profesionales del Derecho. Este grupo expresó su amplio apoyo a que la Comisión tomara medidas en este ámbito a través de una propuesta legislativa. En la reunión celebrada el 19 de octubre de 2022 tuvo lugar un primer debate sobre la lista del Comité de octubre de 2022 y en la segunda reunión el 21 de abril de 2023 la Comisión consultó al grupo sobre aspectos específicos de la propuesta. Dada la amplia variedad de partes interesadas representadas en este grupo, los puntos de vista de las partes interesadas sobre aspectos concretos de la propuesta variaron. Todas las partes interesadas apoyaron la creación de un marco jurídico para el acuerdo amistoso en la propuesta. Las ONG acogieron con satisfacción la intención de la Comisión de armonizar la forma de las reclamaciones y apoyaron la participación del reclamante en el procedimiento, señalando las grandes diferencias en el tratamiento de las reclamaciones en los Estados miembros. Los grupos de la industria que representan a los responsables y encargados del tratamiento hicieron hincapié en la necesidad de conceder a las partes investigadas el derecho a ser oídas y de fomentar la resolución de desacuerdos entre las APD en una fase temprana del proceso de investigación.
·El grupo de expertos sobre el RGPD de los Estados miembros: Este grupo de expertos sirve de foro para el intercambio de puntos de vista e información entre la Comisión y los Estados miembros sobre la aplicación del RGPD. La Comisión solicitó la opinión de los Estados miembros sobre la lista del Comité de octubre de 2022 antes del inicio del proceso de redacción. Los Estados miembros apoyaron ampliamente y acogieron con satisfacción la idea de una propuesta de iniciativa legislativa para mejorar la garantía de la aplicación transfronteriza del RGPD. Sin embargo, algunos Estados miembros con normas procesales horizontales aplicables a todos los procedimientos administrativos señalaron posibles interferencias con dichas normas, en particular en lo que se refiere a la armonización de los derechos de las partes a ser oídas y a la participación de los reclamantes en el procedimiento. En consecuencia, la Comisión ha limitado cuidadosamente la armonización de estos aspectos en la propuesta a los asuntos transfronterizos y en la medida necesaria para garantizar el buen funcionamiento del mecanismo de cooperación y resolución de conflictos. El 19 de abril de 2023, la Comisión celebró una reunión específica con el grupo de expertos sobre el RGPD de los Estados miembros.
La Comisión también celebró reuniones bilaterales sobre la propuesta, previa solicitud, con ONG, autoridades nacionales y organizaciones representativas de la industria.
La Comisión publicó una convocatoria de datos entre el 24 de febrero y el 24 de marzo de 2023 y recibió setenta y tres respuestas. La Comisión recibió observaciones de una amplia variedad de partes interesadas, incluidas ONG y asociaciones industriales.
La Comisión ha tenido debidamente en cuenta las observaciones de todas las partes interesadas en la preparación de la propuesta.
•Obtención y uso de asesoramiento especializado
La propuesta tiene en cuenta la variedad de aportaciones recibidas de las partes interesadas durante el proceso preparatorio, en particular los conocimientos especializados proporcionados por el Comité, el grupo multilateral de expertos del RGPD y el grupo de expertos del RGPD de los Estados miembros.
La propuesta también se basa en la jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE), en particular en la jurisprudencia relativa al funcionamiento del mecanismo de cooperación y coherencia del RGPD, así como en la jurisprudencia relativa al derecho a ser oído y el derecho a una buena administración en el artículo 41 de la Carta.
•Evaluación de impacto
No se ha realizado una evaluación de impacto de la propuesta. La propuesta no afecta a los derechos de los interesados, a las obligaciones de los responsables y encargados del tratamiento ni a los motivos legales para el tratamiento de datos personales establecidos en el RGPD.
La propuesta complementa el RGPD de manera específica al especificar las normas de procedimiento para garantizar la aplicación transfronteriza establecido en el capítulo VII del RGPD. De este modo, la propuesta funciona dentro del marco procedimental establecido por el RGPD.
Como tal, el impacto de la propuesta se limitará a mejorar el funcionamiento del procedimiento de garantía de aplicación transfronteriza establecido en el RGPD. La propuesta no altera las funciones de los agentes de este procedimiento —los reclamantes, la autoridad de control principal, las APD interesadas y el Comité— que se establecen en el RGPD. Por lo tanto, la propuesta no tendrá repercusiones económicas, medioambientales o sociales significativas, ni implicará un gasto significativo.
La armonización de estos aspectos procedimentales tendrá un impacto positivo para las APD, los reclamantes, las partes investigadas y la confianza del público en el RGPD:
·APD: la iniciativa apoyará el procedimiento de cooperación y aportará claridad sobre las modalidades y el calendario de la cooperación en los casos transfronterizos. Esto permitirá a las APD hacer un uso más eficiente de sus recursos. Además, al proporcionar a las APD herramientas para mejorar su cooperación en casos transfronterizos, la iniciativa facilitará la creación de consenso entre las APD, reduciendo el número de desacuerdos y promoviendo un espíritu de cooperación.
·Reclamantes e interesados: racionalizar la cooperación entre las APD a la hora de hacer cumplir el RGPD contribuirá a una finalización más rápida de las investigaciones. Esto ayudará a hacer frente de manera más eficiente a las infracciones del RGPD y a proporcionar una solución rápida para el interesado. Además, los reclamantes tendrán la misma oportunidad de participar en el procedimiento en casos transfronterizos, independientemente del lugar en el que se presente la reclamación o de cuál es la autoridad principal de control en cada caso.
·Partes investigadas: la mejora de la cooperación en asuntos transfronterizos contribuirá a acortar las investigaciones y garantizar la provisión de las garantías necesarias, como el derecho a ser oído y a acceder al expediente, garantizando así la protección del derecho a una buena administración (artículo 41 de la Carta) y de los derechos de defensa (artículo 48 de la Carta) de las partes investigadas. La armonización de estos derechos también hará que la decisión final sea más sólida.
·Confianza pública en el RGPD: la iniciativa reforzará la confianza del público en el RGPD al facilitar una resolución más rápida de las investigaciones y reducir el número de desacuerdos entre las APD en casos transfronterizos.
•Adecuación regulatoria y simplificación
•Derechos fundamentales
Al facilitar la rápida resolución de los casos transfronterizos, la propuesta apoya el derecho de los interesados a la protección de sus datos personales en virtud del artículo 8 de la Carta y el derecho a la tutela judicial efectiva en virtud del artículo 47 de la Carta.
Al armonizar el derecho de las partes investigadas a ser oídas y a acceder al expediente, la propuesta garantiza el respeto de los derechos de las partes a una buena administración con arreglo al artículo 41 de la Carta y del derecho de defensa con arreglo al artículo 48 de la Carta.
4.REPERCUSIONES PRESUPUESTARIAS
La propuesta no conlleva repercusiones presupuestarias importantes.
5.OTROS ELEMENTOS
•Planes de ejecución y modalidades de seguimiento, evaluación e información
La Comisión supervisará la aplicación del Reglamento, junto con su seguimiento continuo de la aplicación del RGPD.
•Documentos explicativos (para las Directivas)
•Explicación detallada de las disposiciones específicas de la propuesta
El capítulo I define el objeto del Reglamento y establece las definiciones utilizadas a lo largo del acto. Las definiciones utilizadas en el RGPD se aplican a la propuesta. La propuesta aborda únicamente la garantía de la aplicación transfronteriza del RGPD.
El capítulo II establece normas detalladas respecto a la presentación y la tramitación de las reclamaciones. Prescribe un formulario en el que se especifica la información requerida para las reclamaciones transfronterizas presentadas sobre la base del artículo 77 del RGPD y proporciona factores que las APD deben tener en cuenta a la hora de considerar en qué medida es oportuno investigar una reclamación. El establecimiento de un formulario común para todas las reclamaciones transfronterizas simplifica el procedimiento de reclamación para los interesados y elimina los enfoques fragmentados del concepto de reclamación. El artículo 3 exige que las APD faciliten al reclamante el acuse de recibo de la reclamación. El artículo 5 establece un marco jurídico para los acuerdos amistosos sobre las reclamaciones a fin de facilitar el uso dichos acuerdos por parte de las APD y aclarar las consecuencias jurídicas de los acuerdos amistosos para los reclamantes y las APD. El artículo 6 establece normas detalladas sobre la traducción de documentos durante la cooperación transfronteriza.
El capítulo III se refiere a la cooperación entre las autoridades de control en casos transfronterizos.
La sección 1 proporciona herramientas adicionales para que las APD alcancen un consenso en los casos transfronterizos. Especifica que la «información pertinente» que deben compartir las autoridades de control durante la cooperación transfronteriza debe incluir determinados documentos y que estos documentos deben compartirse tan pronto como sea posible por la autoridad de control. Esta disposición garantiza que las APD interesadas dispongan de toda la información necesaria para dar su opinión sobre la investigación a la autoridad de control principal.
El artículo 9 establece que, una vez que la autoridad de control principal haya formulado una opinión preliminar sobre la investigación, enviará a las APD interesadas un «resumen de las cuestiones clave» en el que se identifiquen los principales antecedentes de hecho y las opiniones de la autoridad de control principal sobre el caso. La finalidad del resumen de las cuestiones clave es permitir que las APD interesadas puedan influir significativamente en el curso de la investigación en una fase temprana, proporcionando sus opiniones sobre la evaluación de la autoridad de control principal. Esto ayudará a las APD a resolver los desacuerdos relativos, por ejemplo, a la evaluación jurídica o, en los casos basados en reclamaciones, al objeto de la investigación, en una fase temprana, reduciendo así la probabilidad de necesitar remitirse a la resolución de conflictos en una fase posterior del procedimiento. Cuando no haya acuerdo en esta fase sobre el objeto de la investigación en casos basados en reclamaciones, o sobre la compleja evaluación jurídica o tecnológica realizada por la autoridad de control principal, el artículo 10 exige a la autoridad de control que no esté de acuerdo con la autoridad de control principal que presente una solicitud a la autoridad de control principal en virtud del artículo 61 (asistencia mutua) o del artículo 62 (operaciones conjuntas) del RGPD. Esta disposición garantiza que las APD utilicen todas las herramientas previstas en el RGPD para resolver sus diferencias sobre cuestiones clave durante el procedimiento de cooperación. Cuando las APD no puedan llegar a un acuerdo sobre el objeto de la investigación en casos basados en reclamaciones, el artículo 10 establece que la autoridad de control principal solicitará una decisión vinculante urgente del Comité de conformidad con el artículo 66, apartado 3, del RGPD. En este caso, se presumirá que se cumple la necesidad urgente de actuar. Esta disposición garantiza que el desacuerdo sobre el objeto se resuelva de manera rápida y eficiente, proporcionando a la autoridad de control principal la claridad necesaria para proceder a la investigación.
La sección 2 del capítulo III establece normas detalladas sobre el rechazo total o parcial de las reclamaciones. Estas disposiciones garantizan que la autoridad de control ante la que se presentó la reclamación disponga de la información necesaria para poder adoptar la decisión desestimatoria de una reclamación, y que se adopte una decisión desestimatoria de una reclamación en todos los casos en que la reclamación no sea tramitada o retirada. También se ofrece al reclamante la oportunidad de dar a conocer su opinión antes del rechazo total o parcial de la reclamación.
La sección 3 del capítulo III armoniza el derecho de las partes investigadas a ser oídas. Establece que la autoridad de control principal presentará a las partes investigadas sus conclusiones preliminares, exponiendo las objeciones formuladas, los hechos pertinentes, las pruebas justificativas, el análisis jurídico y, en su caso, las medidas correctoras propuestas. Las conclusiones preliminares permitirán a las partes investigadas comprender plenamente las alegaciones formuladas y responder a ellas, garantizando el respeto de sus derechos de defensa. El artículo 15 establece que los reclamantes tendrán la posibilidad de formular por escrito sus observaciones sobre las conclusiones preliminares. El artículo 17 establece que las partes investigadas tendrán la oportunidad de expresar sus opiniones cuando la autoridad de control principal tenga la intención de presentar un proyecto de decisión revisado a la luz de las objeciones pertinentes y motivadas formuladas por las APD interesadas.
La sección 4 del capítulo III establece requisitos detallados para la forma y la estructura de las objeciones pertinentes y motivadas formuladas por las APD interesadas, facilitando así la participación efectiva de todas las APD y la resolución rápida del asunto.
El capítulo IV establece normas detalladas sobre el acceso al expediente y el tratamiento de la información confidencial. Estas disposiciones aclaran los documentos que deben formar parte del expediente administrativo en casos transfronterizos y el momento en que se facilita el acceso al expediente a las partes investigadas.
El capítulo V especifica las normas de procedimiento para la resolución de conflictos establecida en el artículo 65 del RGPD. El artículo 22 especifica la información que debe facilitar la autoridad de control principal al Comité al someter un asunto a la resolución de conflictos. Especifica los plazos y las disposiciones para determinar la admisibilidad de las objeciones pertinentes y motivadas por parte del Comité. El artículo 24 establece la audiencia de las partes investigadas o, en caso de rechazo de una reclamación, del reclamante, antes de la decisión vinculante del Comité en virtud del artículo 65, apartado 1, letra a), del RGPD. Al aclarar las funciones de todos los agentes y establecer plazos para determinadas etapas del procedimiento, estas disposiciones facilitarán la conclusión rápida y eficaz del procedimiento de resolución de conflictos.
Los artículos 25 y 26 establecen disposiciones detalladas para la presentación de asuntos para la resolución de conflictos en virtud del artículo 65, apartado 1, letras b) y c), del RGPD.
El capítulo VI establece normas de procedimiento detalladas para el procedimiento de urgencia establecido en el artículo 66 del RGPD.
El capítulo VII contiene las disposiciones finales del Reglamento, que se refieren a los plazos, las disposiciones transitorias y la entrada en vigor del Reglamento.
2023/0202 (COD)
Propuesta de
REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO
por el que se establecen normas procedimentales adicionales en lo que se refiere a la garantía del cumplimiento del Reglamento (UE) 2016/679
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 16,
Vista la propuesta de la Comisión Europea,
Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,
Visto el dictamen del Comité Económico y Social Europeo,
Visto el dictamen del Comité de las Regiones,
De conformidad con el procedimiento legislativo ordinario,
Considerando lo siguiente:
(1)El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo establece un sistema de ejecución descentralizado que tiene el objetivo de garantizar la interpretación y aplicación coherentes del Reglamento (UE) 2016/679 en los casos transfronterizos. En los casos relativos al tratamiento transfronterizo de datos personales, este sistema requiere la cooperación entre las autoridades de control en un esfuerzo por alcanzar un consenso y, cuando las autoridades de control no puedan alcanzar un consenso, prevé la resolución de conflictos por parte del Comité Europeo de Protección de Datos (en lo sucesivo, «el Comité»).
(2)A fin de garantizar el funcionamiento correcto y eficaz del mecanismo de cooperación y resolución de conflictos previsto en los artículos 60 y 65 del Reglamento (UE) 2016/679, es necesario establecer normas relativas al desarrollo de los procedimientos por parte de las autoridades de control en casos transfronterizos y por el Comité durante la resolución de conflictos, incluida la tramitación de reclamaciones transfronterizas. Por este motivo, también es necesario establecer normas relativas al ejercicio por las partes investigadas del derecho a ser oídas antes de la adopción de decisiones por las autoridades de control y, en su caso, por el Comité.
(3)Las reclamaciones son una fuente primordial de información para detectar las infracciones de la protección de datos. Es necesario definir procedimientos claros y eficientes para la tramitación de reclamaciones en casos transfronterizos, ya que la reclamación puede ser tramitada por una autoridad de control distinta de aquella ante la que se presentó la reclamación.
(4)Para que una reclamación sea admisible, debe contener información determinada y específica. Por lo tanto, para ayudar a los reclamantes a presentar los hechos necesarios a las autoridades de control, debe facilitarse un formulario de reclamación. La información especificada en el formulario solo debe exigirse en los casos de tratamiento transfronterizo en el sentido del Reglamento (UE) 2016/679, aunque el formulario puede ser utilizado por las autoridades de control en casos que no se refieran al tratamiento transfronterizo. El formulario podrá presentarse por vía electrónica o por correo postal. La presentación de la información enumerada en dicho formulario debe ser una condición para que una reclamación relativa al tratamiento transfronterizo sea tratada como una reclamación a tenor del artículo 77 del Reglamento (UE) 2016/679. No debe exigirse información adicional para que una reclamación se considere admisible. Las autoridades de control deben poder facilitar la presentación de reclamaciones en un formato electrónico de fácil manejo y teniendo en cuenta las necesidades de las personas con discapacidad, siempre que la información requerida al reclamante se corresponda con la información exigida en el formulario y no se requiera información adicional para considerar admisible la reclamación.
(5)Las autoridades de control están obligadas a decidir sobre las reclamaciones en un plazo razonable. El plazo razonable depende de las circunstancias de cada caso y, en particular, de su contexto, de las distintas fases del procedimiento seguidas por la autoridad de control principal, del comportamiento de las partes durante el procedimiento y de la complejidad del asunto.
(6)Cada reclamación tramitada por una autoridad de control de conformidad con el artículo 57, apartado 1, letra f), del Reglamento (UE) 2016/679 debe investigarse con toda la diligencia debida en la medida adecuada, teniendo en cuenta que todo uso por parte de la autoridad de control de los poderes conferidos debe ser adecuado, necesario y proporcionado para garantizar el cumplimiento del Reglamento (UE) 2016/679. Queda a discreción de cada autoridad competente decidir en qué medida debe investigarse una reclamación. Al evaluar el objeto adecuado de una investigación, las autoridades de control deben tratar de proporcionar una resolución satisfactoria al reclamante, sin que esto requiera necesariamente investigar exhaustivamente todos los elementos de hecho y de Derecho posibles derivados de la reclamación, pero proporcionando una solución eficaz y rápida al reclamante. La evaluación del alcance de las medidas de investigación requeridas podría basarse en la gravedad de la supuesta infracción, su carácter sistémico o repetitivo o el hecho, según el caso, de que el reclamante también haya hecho uso de sus derechos en virtud del artículo 79 del Reglamento (UE) 2016/679.
(7)La autoridad de control principal debe facilitar a la autoridad de control ante la que se haya presentado la reclamación la información necesaria sobre el avance de la investigación a efectos de proporcionar información actualizada al reclamante.
(8)La autoridad de control competente debe facilitar al reclamante el acceso a los documentos sobre cuya base la autoridad de control llegó a la conclusión preliminar de desestimar total o parcialmente la reclamación.
(9)Con el fin de que las autoridades de control pongan fin rápidamente a las infracciones del Reglamento (UE) 2016/679 y ofrezcan una resolución rápida a los reclamantes, estas deben esforzarse, cuando sea posible, por resolver las reclamaciones mediante un acuerdo amistoso. El hecho de que una reclamación individual se haya resuelto mediante un acuerdo amistoso no impide a la autoridad de control competente tramitar un caso de oficio, por ejemplo en caso de infracciones sistémicas o reiteradas del Reglamento (UE) 2016/679.
(10)A fin de garantizar el funcionamiento eficaz de los mecanismos de cooperación y coherencia previstos en el capítulo VII del Reglamento (UE) 2016/679, es importante que los asuntos transfronterizos se resuelvan a su debido tiempo y en consonancia con el espíritu de cooperación leal y eficaz que subyace al artículo 60 del Reglamento (UE) 2016/679. La autoridad de control principal debe ejercer sus competencias en un marco de estrecha cooperación con las demás autoridades de control interesadas. Del mismo modo, las autoridades de control interesadas deben participar activamente en la investigación en una fase temprana, procurando alcanzar un consenso, haciendo pleno uso de los instrumentos previstos en el Reglamento (UE) 2016/679.
(11)Es especialmente importante que las autoridades de control lleguen a un consenso sobre los aspectos clave de la investigación lo antes posible y antes de la comunicación de las alegaciones a las partes investigadas y de la adopción del proyecto de decisión a que se refiere el artículo 60 del Reglamento (UE) 2016/679, reduciendo así el número de casos sometidos al mecanismo de resolución de conflictos dispuesto en el artículo 65 del Reglamento (UE) 2016/679 y, en última instancia, garantizando la resolución rápida de los asuntos transfronterizos.
(12)La cooperación entre las autoridades de control debe basarse en un diálogo abierto que permita a las autoridades de control interesadas influir de manera significativa en el curso de la investigación compartiendo sus experiencias y opiniones con la autoridad de control principal, teniendo debidamente en cuenta el margen de apreciación de que goza cada autoridad de control, incluida la evaluación de la medida en que debe investigarse un caso, y las distintas tradiciones de los Estados miembros. A tal fin, la autoridad de control principal debe transmitir a las autoridades de control interesadas un resumen de las cuestiones clave en el que exponga su opinión preliminar sobre las principales cuestiones de una investigación. Debe comunicarse en una fase suficientemente temprana para permitir la inclusión efectiva de las autoridades de control interesadas, pero al mismo tiempo en una fase en la que la opinión de la autoridad de control principal sobre el caso esté suficientemente meditada. Las autoridades de control interesadas deben tener la oportunidad de formular sus observaciones sobre una amplia gama de cuestiones, como el objeto de la investigación y la identificación de evaluaciones fácticas y jurídicas complejas. Dado que el objeto de la investigación determina los asuntos que requieren una investigación por parte de la autoridad de control principal, las autoridades de control deben esforzarse por lograr un consenso lo antes posible sobre el objeto de la investigación.
(13)En aras de una cooperación efectiva e inclusiva entre todas las autoridades de control interesadas y la autoridad de control principal, las observaciones de las autoridades de control interesadas deben ser concisas y redactadas en términos suficientemente claros y precisos para que sean fácilmente comprensibles para todas las autoridades de control. Los argumentos jurídicos deben agruparse en función de la parte del resumen de las cuestiones clave a la que se refieren. Las observaciones de las autoridades de control interesadas podrán completarse con documentos adicionales. Sin embargo, una mera referencia en las observaciones de una autoridad de control interesada a los documentos complementarios no puede paliar la ausencia de los argumentos esenciales de hecho o de Derecho que deben figurar en las observaciones. Los elementos esenciales de hecho y de Derecho en los que se basan dichos documentos deben indicarse, al menos de forma sumaria, coherente y comprensible, en la propia observación.
(14)Los casos que no plantean cuestiones controvertidas no requieren un amplio debate entre las autoridades de control para llegar a un consenso y, por lo tanto, podrían tratarse con mayor rapidez. Cuando ninguna de las autoridades de control interesadas formule observaciones sobre el resumen de las cuestiones clave, la autoridad de control principal debe comunicar las conclusiones preliminares previstas en el artículo 14 en un plazo de nueve meses.
(15)Las autoridades de control deben servirse de todos los medios necesarios para alcanzar un consenso en un espíritu de cooperación sincera y eficaz. Por consiguiente, en caso de divergencia de opiniones entre las autoridades de control interesadas y la autoridad de control principal en relación con el objeto de una investigación basada en una reclamación, incluido respecto a las disposiciones del Reglamento (UE) 2016/679 que se estarían infringiendo, o cuando las observaciones de las autoridades de control interesadas se refieran a un cambio importante en la compleja evaluación jurídica o tecnológica, la autoridad en cuestión debe utilizar los instrumentos previstos en los artículos 61 y 62 del Reglamento (UE) 2016/679.
(16)Si el uso de estos instrumentos no permite a las autoridades de control alcanzar un consenso sobre el objeto de una investigación basada en una reclamación, la autoridad de control principal debe solicitar una decisión vinculante urgente del Comité de conformidad con el artículo 66, apartado 3, del Reglamento (UE) 2016/679. A tal fin, debe presumirse que se cumple el requisito de urgencia. La autoridad de control principal debe extraer las conclusiones adecuadas de la decisión vinculante urgente del Comité a efectos de las conclusiones preliminares. La decisión vinculante urgente del Comité no puede prejuzgar el resultado de la investigación de la autoridad de control principal ni la efectividad de los derechos de las partes afectadas a ser oídas. En particular, el Comité no debe ampliar el objeto de la investigación por iniciativa propia.
(17)Para que el reclamante pueda ejercer su derecho a la tutela judicial efectiva en virtud del artículo 78 del Reglamento (UE) 2016/679, la autoridad de control que desestime total o parcialmente una reclamación debe hacerlo mediante una decisión que pueda impugnarse ante un órgano jurisdiccional nacional.
(18)Los reclamantes deben tener la oportunidad de expresar su opinión antes de que se adopte una decisión que les afecte negativamente. Por consiguiente, en caso de rechazo total o parcial de una reclamación en un asunto transfronterizo, el reclamante debe tener la oportunidad de dar a conocer su opinión antes de la presentación de un proyecto de decisión con arreglo al artículo 60, apartado 3, del Reglamento (UE) 2016/679, de un proyecto de decisión revisado con arreglo al artículo 60, apartado 4, del Reglamento (UE) 2016/679 o de una decisión vinculante del Comité con arreglo al artículo 65, apartado 1, letra a), del Reglamento (UE) 2016/679. El reclamante podrá solicitar el acceso a la versión no confidencial de los documentos en los que se base la decisión por la que se desestima total o parcialmente la reclamación.
(19)Es necesario aclarar el reparto de responsabilidades entre la autoridad de control principal y la autoridad de control ante la que se presentó la reclamación en caso de rechazo de la reclamación en un asunto transfronterizo. Como punto de contacto para el reclamante durante la investigación, la autoridad de control ante la que se presentó la reclamación debe recabar la opinión del reclamante sobre la propuesta de rechazo de la reclamación y ser responsable de todas las comunicaciones con el reclamante. Todas estas comunicaciones deben compartirse con la autoridad de control principal. Dado que, de conformidad con el artículo 60, apartados 8 y 9 del Reglamento (UE) 2016/679, la autoridad de control ante la que se haya presentado la reclamación tiene la responsabilidad de adoptar la decisión final desestimatoria de la reclamación, dicha autoridad de control también debe tener la responsabilidad de preparar el proyecto de decisión con arreglo al artículo 60, apartado 3, del Reglamento (UE) 2016/679.
(20)La aplicación efectiva de la legislación de la Unión sobre protección de datos personales debe ser compatible con el pleno respeto del derecho de defensa de las partes, que constituye un principio fundamental del Derecho de la Unión de observancia obligada en cualquier circunstancia y, particularmente, en los procedimientos que pueden dar lugar a la imposición de sanciones.
(21)Con el fin de salvaguardar efectivamente el derecho a una buena administración y el derecho de defensa consagrados en la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»), incluido el derecho de toda persona a ser oída antes de que se adopte una medida individual que le afecte desfavorablemente, es importante establecer normas claras sobre el ejercicio de este derecho.
(22)Las normas relativas al procedimiento administrativo aplicado por las autoridades de control al hacer cumplir el Reglamento (UE) 2016/679 deben garantizar que las partes investigadas tengan efectivamente la oportunidad de dar a conocer sus opiniones sobre la veracidad y la pertinencia de los hechos, objeciones y circunstancias alegados por la autoridad de control a lo largo de todo el procedimiento, permitiéndoles así ejercer su derecho de defensa. Las conclusiones preliminares establecen la posición preliminar sobre la supuesta infracción del Reglamento (UE) 2016/679 tras la investigación. Constituyen, por tanto, una garantía procesal esencial que garantiza el respeto del derecho a ser oído. Debe facilitarse a las partes investigadas los documentos necesarios para defenderse eficazmente y para formular observaciones sobre las alegaciones formuladas en su contra, recibiendo acceso al expediente administrativo.
(23)Las conclusiones preliminares definen el objeto de la investigación y, por lo tanto, el alcance de cualquier decisión final futura [en su caso, adoptada sobre la base de una decisión vinculante adoptada por el Comité en virtud del artículo 65, apartado 1, letra a), del Reglamento (UE) 2016/679] que pueda dirigirse a los responsables o encargados del tratamiento. Las conclusiones preliminares deben formularse en términos que, aunque sean sucintos, sean suficientemente claros para permitir a las partes investigadas identificar adecuadamente la naturaleza de la supuesta infracción del Reglamento (UE) 2016/679. La obligación de facilitar a las partes investigadas toda la información necesaria para que puedan defenderse adecuadamente se cumple si la decisión final no imputa a las partes investigadas infracciones distintas de las mencionadas en las conclusiones preliminares y solo tiene en cuenta los hechos sobre los que las partes investigadas han tenido la oportunidad de dar a conocer sus opiniones. Sin embargo, la decisión final de la autoridad de control principal no tiene por qué ser necesariamente una copia de las conclusiones preliminares. La autoridad de control principal debe poder tener en cuenta, en la decisión final, las respuestas de las partes investigadas a las conclusiones preliminares y, en su caso, el proyecto de decisión revisado con arreglo al artículo 60, apartado 5, del Reglamento (UE) 2016/679 y la decisión por la que se resuelve el conflicto entre las autoridades de control conforme al artículo 65, apartado 1, letra a). La autoridad de control principal debe poder llevar a cabo su propia apreciación de los hechos y las calificaciones jurídicas presentadas por las partes investigadas, bien para renunciar a las objeciones cuando la autoridad de control las considere infundadas, o bien para completar y reformular sus argumentos, tanto de hecho como de Derecho, en apoyo de las objeciones que mantiene. Por ejemplo, la toma en consideración de una alegación formulada por una parte investigada durante el procedimiento administrativo, sin que se le haya dado la posibilidad de pronunciarse al respecto antes de la adopción de la decisión final, no puede constituir, en sí misma, una vulneración del derecho de defensa.
(24)Las partes investigadas deben tener derecho a ser oídas antes de la presentación de un proyecto de decisión revisado con arreglo al artículo 60, apartado 5, del Reglamento (UE) 2016/679 o de la adopción de una decisión vinculante por el Comité de conformidad con el artículo 65, apartado 1, letra a), del Reglamento (UE) 2016/679.
(25)Debe darse a los reclamantes la posibilidad de asociarse a los procedimientos incoados por una autoridad de control con vistas a identificar o aclarar cuestiones relacionadas con una posible infracción del Reglamento (UE) 2016/679. El hecho de que una autoridad de control ya haya iniciado una investigación sobre el objeto de la reclamación o vaya a tramitarla en una investigación de oficio posterior a la recepción de la reclamación no impide que un interesado pueda ser considerado reclamante. Sin embargo, una investigación por parte de una autoridad de control de una posible infracción del Reglamento (UE) 2016/679 por parte de un responsable o encargado del tratamiento no constituye un procedimiento contradictorio entre el reclamante y las partes investigadas. Se trata de un procedimiento iniciado por una autoridad de control, por propia iniciativa o sobre la base de una reclamación, en el cumplimiento de sus funciones con arreglo al artículo 57, apartado 1, del Reglamento (UE) 2016/679. Por lo tanto, las partes investigadas y el reclamante no se encuentran en la misma situación procesal y este último no puede invocar el derecho de defensa cuando la decisión no afecta negativamente a su situación jurídica. La participación del reclamante en el procedimiento contra las partes investigadas no puede comprometer el derecho de estas partes a ser oídas.
(26)Debe darse a los reclamantes la posibilidad de presentar por escrito sus opiniones sobre las conclusiones preliminares. Sin embargo, no han de tener acceso a secretos comerciales u otro tipo de información confidencial perteneciente a otras partes involucradas en el procedimiento. Los reclamantes no deben tener derecho a un acceso generalizado al expediente administrativo.
(27)A la hora de fijar plazos para que las partes investigadas y los reclamantes presenten sus opiniones sobre las conclusiones preliminares, las autoridades de control deben tener en cuenta la complejidad de las cuestiones planteadas en las conclusiones preliminares, a fin de garantizar que las partes investigadas y los reclamantes tengan la oportunidad suficiente de expresar de manera significativa sus opiniones sobre las cuestiones planteadas.
(28)El intercambio de opiniones previo a la adopción de un proyecto de decisión implica un diálogo abierto y un amplio intercambio de puntos de vista en los que las autoridades de control deben hacer todo lo posible por alcanzar un consenso sobre el camino a seguir en una investigación. Por el contrario, el desacuerdo expresado en las objeciones pertinentes y motivadas con arreglo al artículo 60, apartado 4, del Reglamento (UE) 2016/679, que aumentan el riesgo de necesitar una resolución de conflictos entre autoridades de control con arreglo al artículo 65 del Reglamento (UE) 2016/679 y retrasan la adopción de una decisión final por parte de la autoridad de control competente, deben surgir en el caso excepcional de que las autoridades de control no logren un consenso y cuando sean necesarias para garantizar la interpretación coherente del Reglamento (UE) 2016/679. Estas objeciones deben utilizarse con moderación, cuando estén en juego cuestiones relacionadas con la aplicación coherente del Reglamento (UE) 2016/679, ya que cada uso de objeciones pertinentes y motivadas aplaza la solución para el interesado. Dado que el objeto de la investigación y los hechos pertinentes deben decidirse antes de la comunicación de las conclusiones preliminares, estas cuestiones no deben ser planteadas por las autoridades de control interesadas en las objeciones pertinentes y motivadas. No obstante, las autoridades de control interesadas podrán plantearlas en sus observaciones sobre el resumen de cuestiones clave con arreglo al artículo 9, apartado 3, antes de que se comuniquen las conclusiones preliminares a las partes investigadas.
(29)En aras de una conclusión eficaz e inclusiva del procedimiento de resolución de conflictos, en el que todas las autoridades de control deben estar en condiciones de aportar sus opiniones y teniendo en cuenta las limitaciones de tiempo que se aplican a la resolución de conflictos, la forma y la estructura de las objeciones pertinentes y motivadas deben cumplir determinados requisitos. Por consiguiente, las objeciones pertinentes y motivadas deben limitarse a una extensión prescrita, deben identificar claramente el desacuerdo con el proyecto de decisión y deben redactarse en términos suficientemente claros, coherentes y precisos.
(30)El acceso al expediente administrativo está previsto como parte de los derechos de defensa y del derecho a una buena administración consagrados en la Carta. Debe facilitarse el acceso al expediente administrativo a las partes investigadas cuando se les notifiquen las conclusiones preliminares y debe fijarse el plazo para que presenten su contestación a dichas conclusiones por escrito.
(31)Al conceder acceso al expediente administrativo, las autoridades de control deben garantizar la protección de los secretos comerciales y otra información confidencial. La categoría de «otro tipo de información confidencial» abarca la información que no constituye secreto comercial pero que puede considerarse confidencial debido a que su divulgación dañaría de forma significativa a un responsable o un encargado del tratamiento o una persona física. Las autoridades de control deben poder solicitar que las partes investigadas que presenten o hayan presentado documentos o declaraciones identifiquen la información confidencial.
(32)Cuando sea necesario recurrir a secretos comerciales o a otro tipo de información confidencial para probar una infracción, la autoridad de control deberá determinar para cada uno de los documentos si la necesidad de divulgarlo es superior al daño que pueda derivarse de su divulgación.
(33)Al remitir un asunto a la resolución de conflictos con arreglo al artículo 65 del Reglamento (UE) 2016/679, la autoridad de control principal debe facilitar al Comité toda la información necesaria para que esta pueda evaluar la admisibilidad de las objeciones pertinentes y motivadas y adoptar la decisión con arreglo al artículo 65, apartado 1, letra a), del Reglamento (UE) 2016/679. Una vez que el Comité reciba todos los documentos necesarios enumerados en el artículo 23, su presidente debe registrar la remisión del asunto en el sentido del artículo 65, apartado 2, del Reglamento (UE) 2016/679.
(34)La decisión vinculante del Comité en virtud del artículo 65, apartado 1, letra a), del Reglamento (UE) 2016/679 debe referirse exclusivamente a asuntos que hayan dado lugar a la activación de la resolución de conflictos y estar redactada de manera que permita a la autoridad de control principal adoptar su decisión final sobre la base de la decisión del Comité, manteniendo al mismo tiempo su facultad discrecional.
(35)Con el fin de racionalizar la resolución de conflictos entre autoridades de control presentados al Comité con arreglo al artículo 65, apartado 1, letras b) y c), del Reglamento (UE) 2016/679, es necesario especificar las normas de procedimiento relativas a los documentos que deben presentarse al Comité y en los que este debe basar su decisión. También es necesario especificar cuándo debe registrar el Comité la presentación del asunto para la resolución de conflictos.
(36)Con el fin de racionalizar el procedimiento para la adopción de dictámenes urgentes y decisiones vinculantes urgentes del Comité en virtud del artículo 66, apartado 2, del Reglamento (UE) 2016/679, es necesario especificar normas de procedimiento relativas al calendario de la solicitud de dictamen urgente o decisión vinculante urgente, los documentos que deben presentarse al Comité y en los que este debe basar su decisión, a quién debe dirigirse el dictamen o la decisión del Comité, y las consecuencias del dictamen o la decisión del Comité.
(37)Los capítulos III y IV se refieren a la cooperación entre las autoridades de control, los derechos procesales de las partes investigadas y la participación de los reclamantes. Para garantizar la seguridad jurídica, dichas disposiciones no deben aplicarse a las investigaciones ya en curso en el momento de la entrada en vigor del presente Reglamento. Deben aplicarse a las investigaciones iniciadas de oficio iniciadas después de la entrada en vigor del presente Reglamento y a las investigaciones basadas en reclamaciones cuando la reclamación se haya presentado después de la entrada en vigor del presente Reglamento. El capítulo V establece normas de procedimiento para los asuntos sometidos a resolución de conflictos con arreglo al artículo 65 del Reglamento (UE) 2016/679. También por razones de seguridad jurídica, el presente capítulo no debe aplicarse a los casos que se hayan sometido a la resolución de conflictos antes de la entrada en vigor del presente Reglamento. Debe aplicarse a todos los casos sometidos a la resolución de conflictos después de la entrada en vigor del presente Reglamento.
(38)El Supervisor Europeo de Protección de Datos y el Comité Europeo de Protección de Datos fueron consultados de conformidad con el artículo 42, apartado 2, del Reglamento (UE) 2018/1725, y emitieron un dictamen conjunto el […].
HAN ADOPTADO EL PRESENTE REGLAMENTO:
Capítulo I
Disposiciones generales
Artículo 1
Objeto
El presente Reglamento establece las normas procedimentales para la tramitación de reclamaciones y la realización de investigaciones en casos basados en reclamaciones o iniciadas de oficio por parte de las autoridades de control en la garantía del cumplimiento transfronterizo del Reglamento (UE) 2016/679.
Artículo 2
Definiciones
A efectos del presente Reglamento, serán de aplicación las definiciones del artículo 4 del Reglamento (UE) 2016/679.
Asimismo, se entenderá por:
1)«partes investigadas»: los responsables o los encargados del tratamiento investigados por supuesta infracción del Reglamento (UE) 2016/679 en relación con el tratamiento transfronterizo;
2)«resumen de las cuestiones clave»: el resumen que debe facilitar la autoridad de control principal a las autoridades de control interesadas en el que se especifiquen los principales hechos pertinentes y la opinión de la autoridad de control principal sobre el caso;
3)«conclusiones preliminares»: el documento facilitado por la autoridad de control principal a las partes investigadas en el que se expongan las alegaciones, los hechos pertinentes, las pruebas, el análisis jurídico y, en su caso, las medidas correctoras propuestas;
4)«objeciones pertinentes y motivadas admitidas»: las objeciones que el Comité haya determinado que son pertinentes y están motivadas en el sentido del artículo 4, punto 24, del Reglamento (UE) 2016/679.
Capítulo II
Presentación y tramitación de las reclamaciones
Artículo 3
Reclamaciones transfronterizas
1.Toda reclamación basada en el Reglamento (UE) 2016/679 que se refiera al tratamiento transfronterizo proporcionará la información exigida en el formulario que figura en el anexo. No se exigirá información adicional para que la reclamación se admita a trámite.
2.La autoridad de control ante la que se haya presentado la reclamación determinará si se trata de un supuesto de tratamiento transfronterizo.
3.La autoridad de control ante la que se haya presentado la reclamación determinará, en el plazo de un mes, si la información exigida en el formulario está completa.
4.Una vez evaluada la exhaustividad de la información exigida en el formulario, la autoridad de control ante la que se haya presentado la reclamación la transmitirá a la autoridad de control principal.
5.Cuando el reclamante solicite confidencialidad al presentar la reclamación, presentará también una versión no confidencial de esta.
6.La autoridad de control ante la que se presente la reclamación acusará recibo de esta en el plazo de una semana. Este acuse de recibo se entenderá sin perjuicio de la evaluación de la admisibilidad de la reclamación con arreglo al apartado 3.
Artículo 4
Investigación de las reclamaciones
Al evaluar en qué medida debe investigarse cada reclamación, la autoridad de control tendrá en cuenta todas las circunstancias pertinentes, incluidas todas las siguientes:
a)la conveniencia de proporcionar una solución eficaz y oportuna al reclamante;
b)la gravedad de la supuesta infracción;
c)el carácter sistémico o repetitivo de la supuesta infracción.
Artículo 5
Acuerdo amistoso
Las reclamaciones pueden resolverse mediante un acuerdo amistoso entre el reclamante y las partes investigadas. Cuando la autoridad de control considere que se puede lograr un acuerdo amistoso respecto a la reclamación, comunicará el acuerdo propuesto al reclamante. Si el reclamante no se opone al acuerdo amistoso propuesto por la autoridad de control en el plazo de un mes, la reclamación se considerará desistida.
Artículo 6
Traducciones
1.La autoridad de control ante la que se haya presentado la reclamación será responsable de:
a)la traducción de las reclamaciones y las opiniones de los reclamantes a la lengua utilizada por la autoridad de control principal a efectos de la investigación;
b)la traducción de los documentos facilitados por la autoridad de control principal a la lengua utilizada para la comunicación con el reclamante, cuando sea necesario facilitar dichos documentos al reclamante en virtud del presente Reglamento o del Reglamento (UE) 2016/679.
2.En su reglamento interno, el Comité determinará el procedimiento para la traducción de las observaciones o las objeciones pertinentes y motivadas formuladas por las autoridades de control interesadas en una lengua distinta de la utilizada por la autoridad de control principal a efectos de la investigación.
Capítulo III
Cooperación con arreglo al artículo 60 del Reglamento (UE) 2016/679
Sección 1
Logro del consenso en el sentido del artículo 60, apartado 1, del Reglamento (UE) 2016/679
Artículo 7
Cooperación entre las autoridades de control
Las autoridades de control utilizarán, mientras cooperan esforzándose por lograr un consenso de acuerdo con el artículo 60, apartado 1, del Reglamento (UE) 2016/679, todos los medios previstos en dicho Reglamento, incluida la asistencia mutua con arreglo a su artículo 61 y las operaciones conjuntas con arreglo a su artículo 62.
Las disposiciones de la presente sección se refieren a las relaciones entre autoridades de control y no tienen por objeto conferir derechos a los particulares o a las partes investigadas.
Artículo 8
Información pertinente en el sentido del artículo 60, apartados 1 y 3, del Reglamento (UE) 2016/679
1.La autoridad de control principal informará periódicamente a las demás autoridades de control interesadas respecto a la investigación y les facilitará, tan pronto como sea posible, toda la información pertinente cuando esté disponible.
2.La información pertinente en el sentido del artículo 60, apartados 1 y 3, del Reglamento (UE) 2016/679 incluirá, cuando proceda:
a)la información relativa a la iniciación de la investigación sobre una supuesta infracción del Reglamento (UE) 2016/679;
b)los requerimientos de información contemplados en el artículo 58, apartado 1, letra e), del Reglamento (UE) 2016/679;
c)la información sobre el uso de los otros poderes de investigación a que se refiere el artículo 58, apartado 1, del Reglamento (UE) 2016/679;
d)en caso de rechazo previsto de la reclamación, los motivos del rechazo de la reclamación por parte de la autoridad de control principal;
e)el resumen de las cuestiones clave de la investigación de conformidad con el artículo 9;
f)la información sobre las medidas destinadas a probar la existencia de la infracción del Reglamento (UE) 2016/679 antes de la preparación de las conclusiones preliminares;
g)las conclusiones preliminares;
h)la contestación de las partes investigadas a las conclusiones preliminares;
i)la opinión del reclamante sobre las conclusiones preliminares;
j)en caso de rechazo de la reclamación, las observaciones formuladas por escrito por el reclamante;
k)cualquier medida pertinente adoptada por la autoridad de control principal tras recibir la contestación de las partes investigadas a las conclusiones preliminares y antes de la presentación del proyecto de decisión en el sentido del artículo 60, apartado 3, del Reglamento (UE) 2016/679.
Artículo 9
Resumen de las cuestiones clave
1.Una vez que la autoridad de control principal haya llegado a una conclusión preliminar sobre las principales cuestiones de una investigación, elaborará un resumen de las cuestiones clave a efectos de la cooperación contemplada en el artículo 60, apartado 1, del Reglamento (UE) 2016/679.
2.El resumen de las cuestiones clave incluirá todos los elementos siguientes:
a)los principales hechos pertinentes;
b)una delimitación preliminar del objeto de la investigación, en particular de las disposiciones del Reglamento (UE) 2016/679 afectadas por la supuesta infracción que se investigará;
c)la especificación de las evaluaciones jurídicas y tecnológicas complejas que sean pertinentes para la orientación preliminar de su evaluación;
d)la especificación preliminar de las posibles medidas correctoras.
3.Las autoridades de control interesadas podrán formular observaciones sobre el resumen de las cuestiones clave. Dichas observaciones deberán formularse en un plazo de cuatro semanas a partir de la recepción del resumen de las cuestiones clave.
4.Las observaciones que se formulen con arreglo al apartado 3 deberán cumplir los requisitos siguientes:
a)el lenguaje utilizado será suficientemente claro y se referirá a extremos precisos que permitan a la autoridad de control principal y, en su caso, a las autoridades de control interesadas preparar sus posiciones;
b)los argumentos jurídicos se expondrán sucintamente y se agruparán en función de la parte del resumen de las cuestiones clave a la que se refieran;
c)las observaciones de la autoridad de control interesada podrán incluir documentos justificativos, que podrán complementar las observaciones sobre puntos específicos.
5.El Comité podrá especificar en su reglamento interno restricciones a la extensión máxima de las observaciones formuladas por las autoridades de control interesadas respecto al resumen de las cuestiones clave.
6.Los casos en que ninguna de las autoridades de control interesadas haya formulado observaciones con arreglo al apartado 3 del presente artículo se considerarán no contenciosos. En tales casos, las conclusiones preliminares a que se refiere el artículo 14 se comunicarán a las partes investigadas en un plazo de nueve meses a partir del vencimiento del plazo previsto en el apartado 3 del presente artículo.
Artículo 10
Utilización de medios para lograr un consenso
1.La autoridad de control interesada presentará una solicitud a la autoridad de control principal con arreglo al artículo 61 o al artículo 62 del Reglamento (UE) 2016/679, o a ambos, cuando, a raíz de las observaciones formuladas por las autoridades de control interesadas según lo dispuesto en el artículo 9, apartado 3, dicha autoridad de control interesada no esté de acuerdo con la evaluación de la autoridad de control principal sobre:
a)el objeto de la investigación en los casos basados en reclamaciones, en particular las disposiciones del Reglamento (UE) 2016/679 afectadas por la supuesta infracción que se investigará;
b)la orientación preliminar en relación con las evaluaciones jurídicas complejas especificadas por la autoridad de control principal con arreglo al artículo 9, apartado 2, letra c);
c)la orientación preliminar en relación con las evaluaciones tecnológicas complejas especificadas por la autoridad de control principal con arreglo al artículo 9, apartado 2, letra c).
2.La solicitud a que se refiere el apartado 1 se presentará en un plazo de dos meses a partir del vencimiento del plazo a que se refiere el artículo 9, apartado 3.
3.La autoridad de control principal colaborará con las autoridades de control interesadas, sobre la base de sus observaciones sobre el resumen de las cuestiones clave y, en su caso, en respuesta a las solicitudes previstas en los artículos 61 y 62 del Reglamento (UE) 2016/679, en un esfuerzo por lograr un consenso. El consenso se utilizará como base para que la autoridad de control principal prosiga la investigación y elabore las conclusiones preliminares o, en su caso, facilite a la autoridad de control ante la que se haya presentado la reclamación su motivación a efectos del artículo 11, apartado 2.
4.Cuando, en una investigación basada en una reclamación, no haya consenso entre la autoridad de control principal y una o varias autoridades de control interesadas sobre el asunto a que se refiere el artículo 9, apartado 2, letra b), del presente Reglamento, la autoridad de control principal solicitará una decisión vinculante urgente del Comité de conformidad con el artículo 66, apartado 3, del Reglamento (UE) 2016/679. En tal caso, se presumirá que se cumplen las condiciones para solicitar una decisión vinculante urgente con arreglo al artículo 66, apartado 3, del Reglamento (UE) 2016/679.
5.Al solicitar una decisión vinculante urgente del Comité de conformidad con el apartado 4 del presente artículo, la autoridad de control principal facilitará todo lo siguiente:
a)los documentos a que se refiere el artículo 9, apartado 2, letras a) y b);
b)las observaciones de la autoridad de control interesada que no esté de acuerdo con la delimitación preliminar del objeto de la investigación por parte de la autoridad de control principal.
6.El Comité adoptará una decisión vinculante urgente respecto al objeto de la investigación sobre la base de las observaciones de las autoridades de control interesadas y la posición de la autoridad de control principal sobre dichas observaciones.
Sección 2
Rechazo total o parcial de las reclamaciones
Artículo 11
Audiencia del reclamante antes del rechazo total o parcial de la reclamación
1.De conformidad con el procedimiento previsto en los artículos 9 y 10, la autoridad de control principal comunicará a la autoridad de control ante la que se haya presentado la reclamación los motivos por los que considera, con carácter preliminar, que la reclamación debe ser rechazada total o parcialmente.
2.La autoridad de control ante la que se haya presentado la reclamación informará al reclamante de los motivos del rechazo total o parcial previsto de la reclamación y fijará un plazo para que este dé a conocer su opinión por escrito. El plazo no podrá ser inferior a tres semanas. La autoridad de control ante la que se haya presentado la reclamación informará al reclamante de las consecuencias de la falta de comunicación de su opinión.
3.Si el reclamante no da a conocer su opinión en el plazo fijado por la autoridad de control ante la que se presentó la reclamación, ésta se considerará desistida.
4.El reclamante podrá solicitar acceso a la versión no confidencial de los documentos en los que se base la propuesta de rechazo de la reclamación.
5.Si el reclamante da a conocer su opinión en el plazo fijado por la autoridad de control ante la que se presentó la reclamación y dicha opinión no da lugar a un cambio en la conclusión preliminar de que la reclamación debe rechazarse total o parcialmente, la autoridad de control ante la que se haya presentado la reclamación preparará el proyecto de decisión con arreglo al artículo 60, apartado 3, del Reglamento (UE) 2016/679, que será presentado a las demás autoridades de control interesadas por la autoridad de control principal de conformidad con dicha disposición.
Artículo 12
Proyecto de decisión revisado por la que se rechaza total o parcialmente una reclamación
1.Cuando la autoridad de control principal considere que el proyecto de decisión revisado en el sentido del artículo 60, apartado 5, del Reglamento (UE) 2016/679 plantea aspectos sobre los que el reclamante debe tener la oportunidad de dar a conocer su opinión, la autoridad de control ante la que se haya presentado la reclamación ofrecerá al reclamante, antes de la presentación del proyecto de decisión revisado con arreglo a dicho artículo, la posibilidad de dar a conocer su opinión sobre esos nuevos aspectos.
2.La autoridad de control ante la que se haya presentado la reclamación fijará un plazo para que el reclamante dé a conocer su opinión.
Artículo 13
Decisión por la que se rechaza total o parcialmente una reclamación
Al adoptar una decisión de rechazo total o parcial de una reclamación de conformidad con el artículo 60, apartado 8, del Reglamento (UE) 2016/679, la autoridad de control ante la que se haya presentado la reclamación informará al reclamante de las acciones judiciales de que dispone de conformidad con el artículo 78 del Reglamento (UE) 2016/679.
Sección 3
Decisiones dirigidas a los responsables y encargados del tratamiento
Artículo 14
Conclusiones preliminares y contestación
1.Cuando la autoridad de control principal tenga la intención de presentar un proyecto de decisión en el sentido del artículo 60, apartado 3, del Reglamento (UE) 2016/679 a las demás autoridades de control interesadas por la constatación de una infracción del Reglamento (UE) 2016/679, elaborará un proyecto de conclusiones preliminares.
2.En las conclusiones preliminares se expondrán las alegaciones formuladas de manera exhaustiva y suficientemente clara para que las partes investigadas puedan tener conocimiento de la conducta investigada por la autoridad de control principal. En particular, se deben exponer claramente todos los hechos alegados contra las partes investigadas y la evaluación jurídica completa, de modo que puedan expresar su opinión sobre los hechos y las conclusiones jurídicas que la autoridad de control principal pretenda reflejar en el proyecto de decisión en el sentido del artículo 60, apartado 3, del Reglamento (UE) 2016/679, y enumerar todas las pruebas en las que se base.
En las conclusiones preliminares se indicarán las medidas correctoras que la autoridad de control principal tenga intención de aplicar.
Cuando la autoridad de control principal tenga la intención de imponer una multa, enumerará en las conclusiones preliminares los elementos pertinentes en los que se base el cálculo de dicha multa. En particular, la autoridad de control principal enumerará las cuestiones de hecho y de Derecho esenciales que puedan dar lugar a la imposición de la multa y los elementos enumerados en el artículo 83, apartado 2, del Reglamento (UE) 2016/679, especialmente los factores agravantes o atenuantes que se tengan en cuenta.
3.La autoridad de control principal notificará las conclusiones preliminares a cada una de las partes investigadas.
4.Al notificar las conclusiones preliminares a las partes investigadas, la autoridad de control principal fijará un plazo para que estas puedan presentar sus opiniones por escrito. La autoridad de control principal no estará obligada a tener en cuenta las opiniones escritas recibidas después del vencimiento de dicho plazo.
5.Al notificar las conclusiones preliminares a las partes investigadas, la autoridad de control principal facilitará a dichas partes acceso al expediente administrativo de conformidad con el artículo 20.
6.Las partes investigadas podrán, en su contestación escrita a las conclusiones preliminares, exponer todos los hechos y argumentos jurídicos de que tengan conocimiento que sean pertinentes para su defensa contra las alegaciones de la autoridad de control principal. Adjuntarán los documentos pertinentes para demostrar los hechos alegados. En su proyecto de decisión, la autoridad de control principal se pronunciará únicamente sobre las alegaciones, incluidos los hechos y la evaluación jurídica basada en dichos hechos, respecto de las cuales se haya dado a las partes investigadas la oportunidad de formular sus observaciones.
Artículo 15
Transmisión de las conclusiones preliminares a los reclamantes
1.Cuando la autoridad de control principal formule conclusiones preliminares en relación con un asunto respecto del cual haya recibido una reclamación, la autoridad de control ante la que se haya presentado la reclamación facilitará al reclamante una versión no confidencial de las conclusiones preliminares y fijará un plazo dentro del cual el reclamante podrá dar a conocer su opinión por escrito.
2.El apartado 1 se aplicará también cuando la autoridad de control, cuando proceda, tramite varias reclamaciones conjuntamente, las divida en varias partes o ejerza de cualquier otro modo su facultad discrecional en relación con el objeto de la investigación según lo establecido en las conclusiones preliminares.
3.Cuando la autoridad de control principal considere que es necesario que el reclamante reciba los documentos incluidos en el expediente administrativo para que este pueda dar a conocer efectivamente su opinión sobre las conclusiones preliminares, la autoridad de control ante la que se haya presentado la reclamación facilitará al reclamante la versión no confidencial de dichos documentos al facilitar las conclusiones preliminares con arreglo al apartado 1.
4.Se facilitará al reclamante la versión no confidencial de las conclusiones preliminares únicamente a efectos de la investigación concreta en la que se formularon dichas conclusiones preliminares.
5.Antes de recibir la versión no confidencial de las conclusiones preliminares y cualquier documento facilitado con arreglo al apartado 3, el reclamante enviará a la autoridad de control principal una declaración de confidencialidad en la que se comprometa a no divulgar ninguna información o evaluación contenida en la versión no confidencial de las conclusiones preliminares o a utilizarlas para fines distintos de la investigación concreta en la que se formularon.
Artículo 16
Adopción de la decisión definitiva
Tras presentar el proyecto de decisión a las autoridades de control interesadas de conformidad con el artículo 60, apartado 3, del Reglamento (UE) 2016/679, y cuando ninguna de las autoridades de control interesadas haya formulado objeciones al proyecto de decisión en los plazos a que se refiere el artículo 60, apartados 4 y 5, del Reglamento (UE) 2016/679, la autoridad de control principal adoptará y notificará su decisión con arreglo al artículo 60, apartado 7, del Reglamento (UE) 2016/679 al establecimiento principal o al establecimiento único del responsable o del encargado del tratamiento, según proceda, e informará a las autoridades de control interesadas y al Comité de la decisión en cuestión, incluyendo un resumen de los hechos pertinentes y la motivación.
Artículo 17
Derecho a ser oído en relación con el proyecto de decisión revisado
1.Cuando la autoridad de control principal considere que el proyecto de decisión revisado en el sentido del artículo 60, apartado 5, del Reglamento (UE) 2016/679 plantea aspectos sobre los que las partes investigadas deben tener la oportunidad de dar a conocer sus opiniones, la autoridad de control principal ofrecerá a las partes investigadas, antes de la presentación del proyecto de decisión revisado con arreglo a dicho artículo, la posibilidad de dar a conocer sus opiniones sobre esos nuevos aspectos.
2.La autoridad de control principal fijará un plazo para que las partes investigadas puedan dar a conocer sus opiniones.
Sección 4
Objeciones pertinentes y motivadas
Artículo 18
Objeciones pertinentes y motivadas
1.Las objeciones pertinentes y motivadas en el sentido del artículo 4, punto 24, del Reglamento (UE) 2016/679 deberán:
a)basarse exclusivamente en elementos fácticos incluidos en el proyecto de decisión; y
b)no modificar el objeto de las alegaciones planteando puntos que equivalgan a la formulación de alegaciones adicionales de infracción del Reglamento (UE) 2016/679 o alterando la naturaleza intrínseca de las alegaciones formuladas.
2.La forma y la estructura de las objeciones pertinentes y motivadas cumplirán todos los requisitos siguientes:
a)la extensión de cada objeción pertinente y motivada y la posición de la autoridad de control principal sobre cualquier objeción de este tipo no excederá de tres páginas y no incluirá anexos; en los casos en que se trate de cuestiones jurídicas especialmente complejas, la extensión máxima podrá aumentarse a seis páginas, salvo si el Comité aprecia circunstancias específicas que justifiquen una mayor extensión;
b)el desacuerdo de la autoridad de control interesada con el proyecto de decisión se expondrá al principio de la objeción pertinente y motivada y se formulará en términos suficientemente claros, coherentes y precisos para permitir a la autoridad de control principal y, en su caso, a las autoridades de control interesadas preparar sus posiciones y al Comité resolver eficientemente el conflicto;
c)los argumentos jurídicos se expondrán y agruparán en función de la parte dispositiva del proyecto de decisión al que se refieran. Cada argumento o grupo de argumentos irá generalmente precedido de una declaración sumaria.
Capítulo IV
Acceso al expediente administrativo y tratamiento de la información confidencial
Artículo 19
Contenido del expediente administrativo
1.El expediente administrativo de una investigación relativa a una supuesta infracción del Reglamento (UE) 2016/679 estará compuesto por todos los documentos que la autoridad de control principal haya obtenido, aportado o reunido durante la investigación.
2.En el curso de la investigación de una supuesta infracción del Reglamento (UE) 2016/679, la autoridad de control principal podrá devolver a la parte de la que se hayan obtenido los documentos que, tras un examen más detallado, se revelen no relacionados con el objeto de la investigación. Una vez devueltos, estos documentos dejarán de formar parte del expediente administrativo.
3.El derecho de acceso al expediente administrativo no se extenderá a la correspondencia ni al intercambio de puntos de vista entre la autoridad de control principal y las autoridades de control interesadas. La información intercambiada entre las autoridades de control a efectos de la investigación de un caso concreto es documentación interna y no será accesible para las partes investigadas ni para el reclamante.
4.El acceso a las objeciones pertinentes y motivadas a que se refiere el artículo 60, apartado 4, del Reglamento (UE) 2016/679 se facilitará de conformidad con el artículo 24.
Artículo 20
Acceso al expediente administrativo y uso de los documentos
1.La autoridad de control principal dará acceso al expediente administrativo a las partes investigadas, permitiéndoles ejercer su derecho a ser oídas. El acceso al expediente administrativo se concederá una vez que la autoridad de control principal notifique las conclusiones preliminares a las partes investigadas.
2.El expediente administrativo incluirá todos los documentos, inculpatorios y exculpatorios, incluidos los hechos y documentos conocidos por las partes investigadas.
3.Las conclusiones de la autoridad de control principal en el proyecto de decisión indicado en el artículo 60, apartado 3, del Reglamento (UE) 2016/679 y en la decisión definitiva indicada en el artículo 60, apartado 7, de dicho Reglamento solo podrán basarse en documentos citados en las conclusiones preliminares o sobre los que las partes investigadas hayan tenido la oportunidad de dar a conocer su opinión.
4.Los documentos obtenidos mediante el acceso al expediente administrativo de conformidad con el presente artículo solo se utilizarán a efectos de procesos judiciales o procedimientos administrativos para la aplicación del Reglamento (UE) 2016/679 en el caso concreto para el que se hayan facilitado dichos documentos.
Artículo 21
Indicación y protección de la información confidencial
1.Salvo disposición en contrario en el presente Reglamento, no será comunicada por la autoridad de control ni será accesible ninguna información recogida u obtenida por dicha autoridad en casos transfronterizos en virtud del Reglamento (UE) 2016/679, incluido cualquier documento que contenga dicha información, en la medida en que contenga secretos empresariales u otra información confidencial de cualquier persona.
2.Cualquier información recogida u obtenida por una autoridad de control en casos transfronterizos en virtud del Reglamento (UE) 2016/679, incluido cualquier documento que contenga dicha información, queda excluida de las solicitudes de acceso presentadas conforme a la normativa sobre el acceso público a documentos oficiales mientras el procedimiento esté en curso.
3.Al comunicar las conclusiones preliminares a las partes investigadas y facilitar el acceso al expediente administrativo sobre la base del artículo 20, la autoridad de control principal velará por que las partes investigadas a las que se conceda acceso a información que contenga secretos empresariales u otra información confidencial traten dicha información con el máximo respeto de su confidencialidad y por que dicha información no se utilice en detrimento de quien comunicó la información. En función del grado de confidencialidad de la información, la autoridad de control principal adoptará las medidas adecuadas para dar pleno efecto a los derechos de defensa de las partes investigadas, teniendo debidamente en cuenta la confidencialidad de la información.
4.La entidad que presente información que considere confidencial indicará claramente la información que considere como tal, exponiendo los motivos de la confidencialidad solicitada. La entidad facilitará una versión no confidencial del escrito separadamente.
5.Sin perjuicio de lo dispuesto en el apartado 4, la autoridad de control principal podrá exigir a las partes investigadas, o a cualquier otra parte que presente documentos con arreglo al Reglamento (UE) 2016/679, que indiquen los documentos o partes de documentos que consideren que contienen secretos empresariales u otra información confidencial que les pertenezca y que especifiquen a las partes respecto de las cuales dichos documentos se consideran confidenciales.
6.La autoridad de control principal podrá fijar un plazo para que las partes investigadas y cualquier otra parte que formule una solicitud de confidencialidad:
a)justifique sus alegaciones sobre los secretos empresariales y otra información confidencial en relación con cada documento, parte de un documento, declaración o parte de una declaración;
b)facilite una versión no confidencial de los documentos y declaraciones en la que se expurguen los secretos empresariales y otra información confidencial;
c)facilite una descripción concisa y no confidencial de cada fragmento o elemento expurgado.
7.Si las partes investigadas o cualquier otra parte no cumplen lo dispuesto en los apartados 4 y 5, la autoridad de control principal podrá presumir que los documentos o declaraciones en cuestión no contienen secretos empresariales u otra información confidencial.
Capítulo V
Resolución de conflictos
Artículo 22
Remisión a la resolución de conflictos conforme al artículo 65 del Reglamento (UE) 2016/679
1.Si la autoridad de control principal no sigue las objeciones pertinentes y motivadas o considera que las objeciones no son pertinentes o motivadas, someterá el asunto al mecanismo de resolución de conflictos establecido en el artículo 65 del Reglamento (UE) 2016/679.
2.Al remitir el asunto a la resolución de conflictos, la autoridad de control principal facilitará al Comité todos los documentos siguientes:
a)el proyecto de decisión o el proyecto de decisión revisado con las objeciones pertinentes y motivadas;
b)el resumen de los hechos pertinentes;
c)las conclusiones preliminares;
d)las opiniones expresadas por escrito por las partes investigadas, en su caso, de conformidad con los artículos 14 y 17;
e)las opiniones expresadas por escrito por los reclamantes, en su caso, de conformidad con los artículos 11, 12 y 15;
f)las objeciones pertinentes y motivadas que la autoridad de control principal no haya seguido;
g)los motivos por los que la autoridad de control principal no haya seguido las objeciones pertinentes y motivadas o haya considerado que las objeciones no eran pertinentes ni motivadas.
3.En el plazo de cuatro semanas a partir de la recepción de los documentos enumerados en el apartado 2, el Comité determinará las objeciones pertinentes y motivadas que se consideran admitidas.
Artículo 23
Registro en relación con las decisiones adoptadas con arreglo al artículo 65, apartado 1, letra a), del Reglamento (UE) 2016/679
El presidente del Comité registrará la remisión de un asunto a la resolución de conflictos con arreglo al artículo 65, apartado 1, letra a), del Reglamento (UE) 2016/679 a más tardar una semana después de haber recibido todos los documentos siguientes:
a)el proyecto de decisión o el proyecto de decisión revisado con las objeciones pertinentes y motivadas;
b)el resumen de los hechos pertinentes;
c)las opiniones expresadas por escrito por las partes investigadas, en su caso, de conformidad con los artículos 14 y 17;
d)las opiniones expresadas por escrito por los reclamantes, en su caso, de conformidad con los artículos 11, 12 y 15;
e)las objeciones pertinentes y motivadas admitidas;
f)los motivos por los que la autoridad de control principal no haya seguido las objeciones pertinentes y motivadas admitidas.
Artículo 24
Escrito de motivación antes de la adopción de la decisión con arreglo al artículo 65, apartado 1, letra a), del Reglamento (UE) 2016/679
1.Antes de adoptar la decisión vinculante a que se refiere el artículo 65, apartado 1, letra a), del Reglamento (UE) 2016/679, el presidente del Comité, a través de la autoridad de control principal, enviará a las partes investigadas o, en caso de rechazo total o parcial de la reclamación, al reclamante el escrito de motivación en que se expliquen los fundamentos que el Comité prevea utilizar en su decisión. Si dicha decisión vinculante exigiera a la autoridad de control principal que modifique su proyecto de decisión o su proyecto de decisión revisado, el Comité decidirá si dicho escrito de motivación debe ir acompañado de las objeciones pertinentes y motivadas admitidas sobre cuya base el Comité tenga la intención de adoptar su decisión.
2.Las partes investigadas o, en caso de rechazo total o parcial de una reclamación, el reclamante dispondrán de una semana a partir de la recepción del escrito de motivación mencionado en el apartado 1 para dar a conocer su opinión.
3.El plazo establecido en el apartado 2 se prorrogará una semana cuando el Comité prorrogue el plazo para la adopción de la decisión vinculante de conformidad con el artículo 65, apartado 2, del Reglamento (UE) 2016/679.
4.El plazo para la adopción de la decisión vinculante del Comité previsto en el artículo 65, apartado 2, del Reglamento (UE) 2016/679 no se computará durante los plazos previstos en los apartados 2 y 3.
Artículo 25
Procedimiento en relación con las decisiones adoptadas con arreglo al artículo 65, apartado 1, letra b), del Reglamento (UE) 2016/679
1.Al remitir un asunto al Comité de conformidad con el artículo 65, apartado 1, letra b), del Reglamento (UE) 2016/679, la autoridad de control que remita el asunto relativo a la competencia respecto del establecimiento principal facilitará al Comité todos los documentos siguientes:
a)el resumen de los hechos pertinentes;
b)la evaluación de estos hechos en lo que respecta a las condiciones del artículo 56, apartado 1, del Reglamento (UE) 2016/679;
c)las opiniones expresadas por el responsable o encargado del tratamiento cuyo establecimiento principal sea objeto de la remisión;
d)las opiniones de otras autoridades de control interesadas en la remisión;
e)cualquier otro documento o información que la autoridad de control remitente considere pertinente y necesario para encontrar una solución al asunto.
2.El presidente del Comité registrará la remisión a más tardar una semana después de haber recibido los documentos a que se refiere el apartado 1.
Artículo 26
Procedimiento en relación con las decisiones adoptadas con arreglo al artículo 65, apartado 1, letra c), del Reglamento (UE) 2016/679
1.Cuando se remita un asunto al Comité en virtud del artículo 65, apartado 1, letra c), del Reglamento 2016/679, la autoridad de control que remita el asunto o la Comisión facilitarán al Comité todos los documentos siguientes:
a)el resumen de los hechos pertinentes;
b)el dictamen, según el caso, emitido por el Comité de conformidad con el artículo 64 del Reglamento (UE) 2016/679;
c)las opiniones de la autoridad de control que remite el asunto o de la Comisión sobre si, en su caso, la autoridad de control estaba obligada a comunicar el proyecto de decisión al Comité de conformidad con el artículo 64, apartado 1, del Reglamento (UE) 2016/679, o si la autoridad de control no siguió el dictamen del Comité emitido de conformidad con el artículo 64 del Reglamento (UE) 2016/679.
2.El presidente del Comité solicitará los siguientes documentos:
a)la opinión de la autoridad de control que supuestamente haya incumplido el requisito de comunicar un proyecto de decisión al Comité o no haya seguido un dictamen del Comité;
b)cualquier otro documento o información que la autoridad de control considere pertinente y necesario para hallar una solución al asunto.
Si alguna autoridad de control declara la necesidad de comunicar su opinión sobre el asunto mencionado, lo hará en el plazo de dos semanas a partir de la remisión a que se refiere el apartado 1.
3.El presidente del Comité registrará la remisión a más tardar una semana después de haber recibido los documentos a que se refieren los apartados 1 y 2.
Capítulo VI
Procedimiento de urgencia
Artículo 27
Dictámenes urgentes con arreglo al artículo 66, apartado 2, del Reglamento (UE) 2016/679
1.La solicitud de dictamen urgente del Comité de conformidad con el artículo 66, apartado 2, del Reglamento (UE) 2016/679 se presentará a más tardar tres semanas antes de la caducidad de las medidas provisionales adoptadas en virtud del artículo 66, apartado 1, de dicho Reglamento y contendrá todos los elementos siguientes:
a)el resumen de los hechos pertinentes;
b)la descripción de la medida provisional adoptada en el territorio de la autoridad de control requirente, su duración y las razones para adoptarla, incluida la justificación de la necesidad urgente de actuar para proteger los derechos y libertades de interesados;
c)la justificación de la necesidad urgente de adoptar medidas definitivas en el territorio del Estado miembro de la autoridad de control requirente, incluida una explicación del carácter excepcional de las circunstancias que requieran la adopción de las medidas en cuestión.
2.El dictamen urgente del Comité se dirigirá a la autoridad de control que haya presentado la solicitud. Será similar a un dictamen en el sentido del artículo 64, apartado 1, del Reglamento (UE) 2016/679 y permitirá a la autoridad requirente mantener o modificar su medida provisional en consonancia con las obligaciones del artículo 64, apartado 7, del Reglamento (UE) 2016/679.
Artículo 28
Decisiones urgentes contempladas en el artículo 66, apartado 2, del Reglamento (UE) 2016/679
1.La solicitud de decisión urgente del Comité contemplada en el artículo 66, apartado 2, del Reglamento (UE) 2016/679 se presentará a más tardar tres semanas antes de la caducidad de las medidas provisionales adoptadas en virtud del artículo 61, apartado 8, el artículo 62, apartado 7, o el artículo 66, apartado 1, del Reglamento (UE) 2016/679. La solicitud deberá contener toda la información indicada a continuación:
a)el resumen de los hechos pertinentes;
b)la medida provisional adoptada en el territorio del Estado miembro de la autoridad de control que solicita la decisión, su duración y los motivos para adoptar las medidas provisionales, en particular la justificación de la necesidad urgente de actuar para proteger los derechos y libertades de interesados;
c)la información sobre cualquier medida de investigación adoptada en su propio territorio y las respuestas recibidas del establecimiento local de las partes investigadas o cualquier otra información que obre en poder de la autoridad de control requirente;
d)la justificación de la necesidad urgente de adoptar medidas definitivas en el territorio de la autoridad de control requirente, teniendo en cuenta el carácter excepcional de las circunstancias que requieran la adopción de la medida definitiva, o la prueba de que una autoridad de control no ha respondido a una solicitud con arreglo al artículo 61, apartado 3, o al artículo 62, apartado 2, del Reglamento (UE) 2016/679;
e)cuando la autoridad requirente no sea la autoridad de control principal, la opinión de la autoridad de control principal;
f)cuando proceda, la opinión del establecimiento local de las partes investigadas contra las que se hayan adoptado medidas provisionales de conformidad con el artículo 66, apartado 1, del Reglamento (UE) 2016/679.
2.La decisión urgente a que se refiere el apartado 1 se dirigirá a la autoridad de control que haya presentado la solicitud y permitirá a la autoridad requirente mantener o modificar su medida provisional.
3.Cuando el Comité adopte una decisión vinculante urgente en la que se indique que deben adoptarse medidas definitivas, la autoridad de control a la que vaya dirigida la decisión adoptará dichas medidas antes de que caduquen las medidas provisionales adoptadas en virtud del artículo 66, apartado 1, del Reglamento (UE) 2016/679.
4.La autoridad de control que haya presentado la solicitud a que se refiere el apartado 1 notificará su decisión sobre las medidas definitivas al establecimiento del responsable o del encargado del tratamiento en el territorio de su Estado miembro e informará al Comité. Cuando la autoridad de control principal no sea la autoridad requirente, la autoridad requirente informará a la autoridad de control principal de la medida definitiva.
5.Cuando la decisión vinculante urgente indique que no es necesario adoptar urgentemente medidas definitivas, las autoridades principal y de control interesadas seguirán el procedimiento establecido en el artículo 60 del Reglamento (UE) 2016/679.
Capítulo VII
Disposiciones generales y finales
Artículo 29
Inicio de los plazos y definición de día hábil
1.Los plazos previstos en el Reglamento (UE) 2016/679 o fijados por las autoridades de control en aplicación de dicho Reglamento se computarán con arreglo a lo dispuesto en el Reglamento (CEE, Euratom) n.º 1182/71 del Consejo.
2.Los plazos se contarán a partir del día hábil siguiente al hecho al que se refiera la disposición pertinente del Reglamento (UE) 2016/679 o del presente Reglamento.
Artículo 30
Disposiciones transitorias
Los capítulos III a IV se aplicarán a las investigaciones de oficio iniciadas después de la entrada en vigor del presente Reglamento y a las investigaciones basadas en reclamaciones cuando la reclamación se haya presentado después de la entrada en vigor del presente Reglamento.
El capítulo V se aplicará a todos los casos sometidos a resolución de conflictos con arreglo al artículo 65 del Reglamento (UE) 2016/679 después de la entrada en vigor del presente Reglamento.
Artículo 31
Entrada en vigor
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el
Por el Parlamento Europeo
Por el Consejo
El Presidente / La Presidenta
El Presidente / La Presidenta