(1)

El Reglamento (UE) 2016/679 establece las normas que regulan la transferencia de datos personales desde los responsables o encargados del tratamiento en la Unión Europea (UE) a terceros países y organizaciones internacionales, en la medida en que tales transferencias se encuentren comprendidas dentro de su ámbito de aplicación. Las normas relativas a las transferencias internacionales de datos se establecen en el capítulo V de dicho Reglamento, en concreto en sus artículos 44 a 50. Si bien el flujo de datos personales hacia y desde países no pertenecientes a la Unión es esencial para la expansión de la cooperación internacional y el comercio transfronterizo, el nivel de protección de los datos personales en la UE no debe verse menoscabado por transferencias a terceros países (2).

(2)

A tenor del artículo 45, apartado 3, del Reglamento (UE) 2016/679, la Comisión puede decidir, mediante un acto de ejecución, que un tercer país, un territorio o uno o varios sectores específicos de un tercer país o una organización internacional garantizan un nivel de protección adecuado. En virtud de esta condición, las transferencias de datos personales a un tercer país pueden producirse sin que sea necesario obtener ninguna autorización adicional, tal como establecen el artículo 45, apartado 1, y el considerando 103, de dicho Reglamento.

(3)

Según lo especificado en el artículo 45, apartado 2, del Reglamento (UE) 2016/679, la adopción de una decisión de adecuación ha de basarse en un análisis exhaustivo del ordenamiento jurídico del tercer país, que contemple tanto las normas aplicables a los importadores de datos como las limitaciones y garantías en lo que respecta al acceso a los datos personales por parte de las autoridades públicas. En su evaluación, la Comisión debe determinar si el tercer país en cuestión garantiza un nivel de protección «esencialmente equivalente» al ofrecido en la Unión Europea [considerando 104 del Reglamento (UE) 2016/679]. La norma con la que se evalúa el nivel de protección «equivalente en lo esencial» es la que establece la legislación de la Unión Europea, en concreto el Reglamento (UE) 2016/679, así como la jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE) (3). En este sentido, también son importantes las referencias sobre adecuación del Comité Europeo de Protección de Datos (CEPD) (4).

(4)

Tal como ha precisado el Tribunal de Justicia de la Unión Europea, no se exige un nivel de protección idéntico (5). En particular, los medios de que se sirve el tercer país en cuestión para la protección de los datos personales pueden ser diferentes de los aplicados en la Unión Europea siempre que, en la práctica, sean eficaces para garantizar un nivel de protección adecuado (6). Por consiguiente, el nivel de adecuación no exige que se reproduzcan al pie de la letra las normas de la Unión. Se trata más bien de determinar si el sistema extranjero ofrece, en su conjunto y por la esencia de los derechos a la protección de los datos y su aplicación, fuerza ejecutiva y supervisión efectivas, el nivel de protección exigido (7).

(5)

La Comisión ha analizado detenidamente el Derecho y la práctica del Reino Unido. A partir de las conclusiones desarrolladas en los considerandos 8 a 270, la Comisión concluye que el Reino Unido garantiza un nivel adecuado de protección para los datos personales transferidos dentro del ámbito de aplicación del Reglamento (UE) 2016/679 de la Unión Europea al Reino Unido.

(6)

Esta conclusión no se refiere a los datos personales transferidos con fines de control de la inmigración en el Reino Unido o que se comprenden dentro del ámbito de aplicación de la exención de ciertos derechos de los interesados a efectos del mantenimiento de un control de la inmigración efectivo («exención de inmigración») de conformidad con el cuarto párrafo, del punto 1, del anexo 2 de la Data Protection Act del Reino Unido. La validez e interpretación de la exención de inmigración con arreglo al Derecho del Reino Unido no se ha resulto tras la decisión del Tribunal de Apelación de Inglaterra y Gales, de 26 de mayo de 2021. Si bien se reconoce que los derechos de los interesados pueden, en principio, restringirse con fines de control de la inmigración como «un aspecto importante del interés público», el Tribunal de Apelación ha concluido que la exención de inmigración es, en su forma actual, incompatible con el Derecho del Reino Unido, ya que la medida legislativa carece de disposiciones específicas que establezcan las garantías contempladas en el artículo 23, apartado 2, del Reglamento general de protección de datos del Reino Unido (RGPD del Reino Unido) (8). En estas condiciones, deben excluirse del ámbito de aplicación de la presente Decisión las transferencias de datos personales desde la Unión Europea al Reino Unido a las que se puede aplicar la exención de inmigración (9). Una vez que se resuelva la incompatibilidad con el Derecho del Reino Unido, se debe volver a evaluar la exención de inmigración, así como la necesidad de mantener la limitación del ámbito de aplicación de la presente Decisión.

(7)

La presente Decisión no debe afectar a la aplicación directa del Reglamento (UE) 2016/679 a las organizaciones establecidas en el Reino Unido en las que se cumplan las condiciones relativas al ámbito territorial de dicho Reglamento, establecidas en su artículo 3.

(8)

El Reino Unido es una democracia parlamentaria que tiene un monarca constitucional como jefe de Estado. Tiene un Parlamento soberano, que es supremo frente a todas las demás instituciones gubernamentales, un poder ejecutivo que se deriva del Parlamento y rinde cuentas ante él y un poder judicial independiente. El poder ejecutivo adquiere su autoridad de su capacidad para obtener la confianza de la Cámara de los Comunes electa y rinde cuentas ante ambas cámaras del Parlamento, que son responsables de escrutar al Gobierno y debatir y aprobar las leyes.

(9)

El Parlamento del Reino Unido ha delegado la responsabilidad al Parlamento de Escocia, el Parlamento de Gales (Senedd Cymru) y la Asamblea de Irlanda del Norte de legislar en Escocia, Gales e Irlanda del Norte sobre asuntos internos que el Parlamento del Reino Unido no se haya reservado para sí. Si bien la protección de datos es una cuestión reservada, es decir, que la misma legislación aplica en todo el país, se delegan otras áreas de política pertinentes para la presente Decisión. Por ejemplo, los sistemas de justicia penal, incluidas las autoridades policiales, de Escocia e Irlanda del Norte se delegan en el Parlamento de Escocia y la Asamblea de Irlanda del Norte, respectivamente. El Reino Unido no tiene una constitución codificada, en el sentido de un documento constitutivo afianzado. Los principios constitucionales del Reino Unido han surgido con el tiempo y proceden, en concreto, de la jurisprudencia y del consenso. Los tribunales han reconocido el valor constitucional de determinadas leyes parlamentarias, como la Carta Magna, la Bill of Rights (Declaración de Derechos) de 1689 y la Human Rights Act (Ley de Derechos Humanos) de 1998. A través del common law, las leyes parlamentarias mencionadas y determinados tratados internacionales, en especial el Convenio Europeo de Derechos Humanos, que el Reino Unido ratificó en 1951, se han desarrollado los derechos fundamentales de las personas como parte de la constitución. En 1987, el Reino Unido también ratificó el Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (10).

(10)

La Human Rights Act de 1998 incorpora los derechos recogidos en el Convenio Europeo de Derechos Humanos en el Derecho del Reino Unido. La Human Rights Act concede a toda persona los derechos y libertades fundamentales recogidos en los artículos 2 a 12 y 14 del Convenio Europeo de Derechos Humanos, los artículos 1 a 3 de su Protocolo n.o 1 y el artículo 1 de su Protocolo n.o 13, interpretados según los artículos 16, 17 y 18 de dicho Convenio. Esto incluye el derecho al respeto a la vida privada y familiar (y el derecho a la protección de los datos como parte del anterior derecho), así como el derecho a un proceso equitativo (11). En concreto, en virtud del artículo 8 del Convenio, solo podrá haber injerencia de la autoridad pública en el ejercicio de este derecho en tanto en cuanto esta injerencia esté prevista por la ley y constituya una medida que, en una sociedad democrática, sea necesaria para la seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención del delito, la protección de la salud o de la moral, o la protección de los derechos y las libertades de los demás.

(11)

En virtud de la Human Rights Act de 1998, cualquier acción de las autoridades públicas debe ser compatible con uno de los derechos del Convenio (12). Además, el Derecho primario y el subordinado deben interpretarse y aplicarse de manera compatible con los derechos del Convenio (13).

(12)

El Reino Unido se retiró de la Unión Europea el 31 de enero de 2020. En virtud del Acuerdo sobre la retirada del Reino Unido de Gran Bretaña e Irlanda del Norte de la Unión Europea y de la Comunidad Europea de la Energía Atómica (14), el Derecho de la Unión se aplicó en el Reino Unido durante el período transitorio hasta el 31 de diciembre de 2020. Antes de la retirada y durante el período transitorio, el marco legislativo sobre la protección de datos personales en el Reino Unido consistía en la legislación pertinente de la UE [en particular, el Reglamento (UE) 2016/679 y la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (15)] y la legislación nacional, en particular, la Data Protection Act de 2018 (DPA de 2018) (16) que estableció normas nacionales, cuando lo permitía el Reglamento (UE) 2016/679, que especificaban y restringían la aplicación de las normas del Reglamento (UE) 2016/679 y la Directiva transpuesta (UE) 2016/680.

(13)

A fin de preparar la retirada de la UE, el Gobierno del Reino Unido promulgó la European Union (Withdrawal) Act (Ley de Retirada de la Unión Europea) de 2018 (17), que incorpora la legislación de la Unión directamente aplicable al Derecho del Reino Unido (18). Este denominado «Derecho de la Unión conservado» incluye el Reglamento (UE) 2016/679 en su totalidad (incluidos sus considerandos) (19). De acuerdo con la European Union (Withdrawal) Act, los tribunales del Reino Unido debían interpretar el Derecho de la Unión conservado no modificado de conformidad con la jurisprudencia pertinente del Tribunal de Justicia de la Unión Europea y los principios generales del Derecho de la Unión, de modo que tuvieran efecto de manera inmediata antes del final del período transitorio (denominados «jurisprudencia de la Unión conservada» y «principios generales del Derecho de la Unión conservados» respectivamente) (20).

(14)

En virtud de la European Union (Withdrawal) Act de 2018, los ministros del Reino Unido están facultados para introducir una legislación secundaria, por medio de instrumentos jurídicos, para realizar las modificaciones necesarias en el Derecho de la Unión conservado como consecuencia de la retirada del Reino Unido de la UE. Hicieron uso de esa habilitación al adoptar el Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 o DPPEC Regulations [Reglamentos en materia de Protección de Datos, Privacidad y Comunicaciones Electrónicas (modificaciones, etc.) (salida de la UE) de 2019] (21). Dicha normativa modifica el Reglamento (UE) 2016/679 incorporado a la legislación del Reino Unido a través de la European Union (Withdrawal) Act de 2018, la DPA de 2018 y otra legislación en materia de protección de datos a fin de adaptarlo al contexto nacional (22).

(15)

En consecuencia, el marco jurídico sobre la protección de datos personales en el Reino Unido una vez finalizado el período transitorio consiste en:

(16)

Dado que el RGPD del Reino Unido se basa en la legislación de la Unión, las normas en materia de protección de datos en el Reino Unido reflejan fielmente en muchos aspectos las normas correspondientes aplicables dentro de la UE.

(17)

Además de los poderes que la European Union (Withdrawal) Act de 2018 otorga al secretario de Estado, varias disposiciones de la DPA de 2018 confieren poderes al secretario de Estado para adoptar una legislación secundaria a fin de modificar ciertas disposiciones de dicha normativa o proporcionar normas complementarias y adicionales (25). Hasta el momento, el secretario de Estado solo ha ejercido sus poderes en virtud del artículo 137 de la DPA de 2018 para adoptar la normativa Data Protection (Charges and Information) (Amendment) Regulations 2019 [Reglamentos en materia de Protección de Datos (tasas e información) (modificación) de 2019], que establece las circunstancias en las que los responsables del tratamiento deben pagar una tasa anual a la autoridad de protección de datos independiente del Reino Unido, la Oficina del Comisionado de Información del Reino Unido (ICO, por sus siglas en inglés).

(18)

Por último, en los códigos de práctica y otras orientaciones aprobadas por la ICO se proporciona más orientación sobre la legislación en materia de protección de datos del Reino Unido. Esta orientación, aunque no es formalmente vinculante desde el punto de vista jurídico, tiene un peso interpretativo y demuestra cómo se aplica la legislación en materia de protección de datos y cómo la hace cumplir la ICO en la práctica. En concreto, las secciones 121 a 125 de la DPA de 2018 requieren que la ICO prepare códigos de práctica sobre intercambio de datos, comercialización directa, diseño adaptado a la edad y protección de datos y periodismo.

(19)

En lo que respecta a su estructura y componentes principales, el marco jurídico del Reino Unido que se aplica a los datos transferidos en virtud de la presente Decisión es, por tanto, muy similar al que se aplica en la UE. Esto incluye el hecho de que dicho marco no solo se basa en obligaciones establecidas en el Derecho interno, a las que el Derecho de la Unión ha dado forma, sino también en obligaciones consagradas en el Derecho internacional, en concreto a través de la adhesión del Reino Unido al Convenio Europeo de Derechos Humanos (CEDH) y al Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, así como su acatamiento de la jurisdicción del Tribunal Europeo de Derechos Humanos. Estas obligaciones derivadas de los instrumentos internacionales jurídicamente vinculantes son, por tanto, en especial en relación con la protección de datos personales, un elemento especialmente importante del marco jurídico evaluado en la presente Decisión.

(20)

De manera similar al Reglamento (UE) 2016/679, el RGPD del Reino Unido se aplica al tratamiento de datos personales por medios automatizados total o parcialmente, o a otro tratamiento, si los datos personales forman parte de un fichero (26). Las definiciones de «datos personales», «interesado» y «tratamiento» del RGPD del Reino Unido son idénticas a las del Reglamento (UE) 2016/679 (27). Además, el RGPD del Reino Unido se aplica al tratamiento manual de datos personales no estructurados (28) en poder de ciertas autoridades públicas del Reino Unido (29), aunque los principios y derechos del RGPD del Reino Unido que no son pertinentes para tales datos personales no se aplican en las secciones 24 y 25 de la DPA de 2018. De manera similar a lo que establece el Reglamento (UE) 2016/679, el RGPD del Reino Unido no se aplica al tratamiento de datos personales por parte de un individuo en el curso de una actividad meramente personal o doméstica (30).

(21)

El RGPD del Reino Unido extiende su alcance también al tratamiento en el curso de una actividad que, inmediatamente antes del final del período transitorio, quedaba fuera del ámbito de aplicación del Derecho de la Unión (por ejemplo, la seguridad nacional) (31), o entraba en el ámbito de aplicación del título V, capítulo 2, del Tratado de la Unión Europea (Disposiciones específicas sobre la Política Exterior y de Seguridad Común) (32). Al igual que en el sistema de la UE, el RGPD del Reino Unido no se aplica al tratamiento de datos personales por parte de una autoridad competente para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad pública y su prevención (los denominados «efectos de aplicación de la ley») [dicho tratamiento se rige, en cambio, por la parte 3 de la DPA de 2018, como es el caso de la Directiva (UE) 2016/680 en virtud del Derecho de la Unión], o el tratamiento de datos personales por parte de los servicios de inteligencia (el Servicio de Seguridad, el Servicio de Inteligencia Secreto y el Cuartel General de Comunicaciones del Gobierno), que recoge la parte 4 de la DPA de 2018 (33).

(22)

El ámbito de aplicación territorial del RGPD del Reino Unido se describe en su artículo 3 (34) e incluye el tratamiento de datos personales (independientemente de dónde tenga lugar) en el contexto de las actividades de un establecimiento de un responsable o encargado del tratamiento en el Reino Unido, así como el tratamiento de datos personales de interesados que se encuentran en el Reino Unido, en que las actividades de tratamiento están relacionadas con la oferta de bienes o servicios a dichos interesados o el seguimiento de su comportamiento (35). Esto refleja el enfoque adoptado en el artículo 3 del Reglamento (UE) 2016/679.

(23)

Las definiciones de «datos personales», «tratamiento», «responsable» y «encargado», así como la definición de «seudonimización», que establece el Reglamento (UE) 2016/679, se han conservado sin modificaciones sustanciales en el RGPD del Reino Unido (36). Además, en el artículo 9, apartado 1, del RGPD del Reino Unido se definen las categorías especiales de datos de la misma manera que en el Reglamento (UE) 2016/679 («datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física»). Por su parte, la sección 205 de la DPA de 2018 establece la definición de «datos biométricos» (37), «datos relativos a la salud» (38) y «datos genéticos» (39).

(24)

Los datos personales deben tratarse de manera lícita y leal.

(25)

En el Derecho del Reino Unido, los principios de licitud, lealtad y transparencia y los fundamentos de la licitud del tratamiento se garantizan a través del artículo 5, apartado 1, letra a), y el artículo 6, apartado 1, del RGPD del Reino Unido, que son idénticos a las disposiciones correspondientes en el Reglamento (UE) 2016/679 (40). La sección 8 de la DPA de 2018 complementa el artículo 6, apartado 1, letra e), al establecer que el tratamiento de datos personales en virtud del artículo 6, apartado 1, letra e), del RGPD del Reino Unido (necesario para el desempeño de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento), incluye el tratamiento de datos personales que son necesarios para la administración de justicia, el ejercicio de una función de cualquiera de las cámaras del Parlamento británico, el ejercicio de una función conferida a una persona por una disposición o por el Estado de Derecho, el ejercicio de una función de la Corona, un cargo del Gobierno del Reino Unido o un departamento gubernamental, o una actividad que apoye o promueva el compromiso democrático.

(26)

En relación con el consentimiento (uno de los fundamentos para el tratamiento lícito), el RGPD del Reino Unido también conserva las condiciones previstas en el artículo 7 del Reglamento (UE) 2016/679 sin modificaciones, es decir, que el responsable deberá ser capaz de demostrar que el interesado dio su consentimiento, que deberá presentarse una solicitud de consentimiento por escrito utilizando un lenguaje claro y sencillo, que el interesado tendrá derecho a retirar el consentimiento en cualquier momento y, al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta si la ejecución de un contrato se supedita al consentimiento para el tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato. Además, de conformidad con el artículo 8 del RGPD del Reino Unido, en el contexto de la prestación de servicios de la sociedad de la información, el consentimiento de un niño solo es lícito cuando tiene, al menos, trece años. Esto se enmarca dentro del intervalo de edad establecido en el artículo 8 del Reglamento (UE) 2016/679.

(27)

Deben preverse garantías específicas cuando se estén tratando «categorías especiales» de datos.

(28)

El RGPD del Reino Unido y la DPA de 2018 contienen normas específicas relativas al tratamiento de categorías especiales de datos personales, que se definen en el artículo 9, apartado 1, del RGPD del Reino Unido de la misma forma que en el Reglamento (UE) 2016/679 (véase el considerando 23). De conformidad con el artículo 9 del RGPD del Reino Unido, el tratamiento de categorías especiales de datos personales está, en principio, prohibido salvo que se aplique una excepción específica.

(29)

Dichas excepciones (que se enumeran en el artículo 9, apartados 2 y 3, del RGPD del Reino Unido) no presentan ningún cambio sustancial a las recogidas en el artículo 9, apartados 2 y 3, del Reglamento (UE) 2016/679. Salvo que el interesado diera su consentimiento explícito para el tratamiento de dichos datos personales, el tratamiento de categorías especiales de datos personales solo está permitido en circunstancias específicas y limitadas. En la mayoría de los casos, el tratamiento de datos sensibles debe ser necesario para un propósito específico definido en la disposición pertinente [véase el artículo 9, apartado 2, letras b), c), f), g), h), i) y j)].

(30)

Además, cuando una excepción en virtud del artículo 9, apartado 2, del RGPD del Reino Unido requiera una autorización por ley o remita al interés público, la sección 10 de la DPA de 2018 junto con el anexo 1 de dicha Ley especifican con más detalle las condiciones que deben cumplirse para que pueda confiarse en las excepciones. Por ejemplo, en el caso del tratamiento de datos sensibles para proteger la «salud pública» [artículo 9, apartado 2, letra i), del RGPD del Reino Unido], la parte 1, párrafo tercero, letra b), del anexo 1 requiere que, además de la evaluación de la necesidad, dicho tratamiento se lleve a cabo «por parte de o bajo la responsabilidad de un profesional de la salud» o «por parte de otra persona que tiene el deber de confidencialidad en virtud de una disposición o del Estado de Derecho», especialmente en virtud del deber de confidencialidad bien establecido del common law.

(31)

Cuando se traten datos sensibles por razones de un interés público esencial [artículo 9, apartado 2, letra g), del RGPD del Reino Unido], la parte 2, del anexo 1, de la DPA de 2018 proporciona una lista exhaustiva de fines que pueden considerarse de interés público esencial y, para cada uno de dichos fines, establece condiciones adicionales específicas. Por ejemplo, la promoción de la diversidad racial y étnica en los niveles superiores de las organizaciones se reconoce como un interés público esencial. El tratamiento de datos sensibles para este propósito específico está sujeto a requisitos bien definidos, incluido que el tratamiento se lleve a cabo como parte de un proceso de identificación de personas adecuadas para ocupar puestos de dirección, que sea necesario para promover la diversidad racial y étnica y que no sea probable que cause un daño o una angustia importantes al interesado.

(32)

La sección 11, apartado 1, de la DPA de 2018 establece las condiciones para que los datos personales se traten en las circunstancias descritas en el artículo 9, apartado 3, del RGPD del Reino Unido vinculadas a la obligación de secreto. Esto incluye circunstancias en las que el tratamiento lo realiza un profesional de la salud o un profesional del ámbito social, o bajo su responsabilidad, o bien lo realiza otra persona que, en las circunstancias, tiene el deber de confidencialidad en virtud de una disposición o del Estado de Derecho.

(33)

Además, varias de las excepciones recogidas en el artículo 9, apartado 2, RGPD del Reino Unido requieren garantías adecuadas y específicas para su uso. Las condiciones para el tratamiento previstas en el anexo 1 de la DPA de 2018 establecen distintas garantías en función de la naturaleza del tratamiento y del nivel de riesgo para los derechos y las libertades de los interesados. El anexo 1 establece las condiciones para cada una de las situaciones del tratamiento.

(34)

En algunos casos, la DPA de 2018 regula y limita el tipo de datos sensibles que pueden tratarse para el cumplimiento de una base jurídica determinada. Por ejemplo, el párrafo octavo del anexo 1 autoriza el tratamiento de datos sensibles con el fin de promover la igualdad de oportunidades o de trato. Esta condición de tratamiento solo puede utilizarse si los datos revelan un origen racial o étnico, convicciones religiosas o filosóficas, orientación sexual o si se trata de datos relativos a la salud.

(35)

En otros casos, la DPA de 2018 limita el tipo de responsable del tratamiento que puede hacer uso de la condición de tratamiento. Por ejemplo, el párrafo vigesimotercero del anexo 1 prevé el tratamiento de datos sensibles en relación con las respuestas de los representantes electos al público. Esta condición de tratamiento solo puede utilizarse cuando el responsable del tratamiento es el representante electo o cuando actúa bajo su autoridad.

(36)

En otros casos, la DPA de 2018 establece límites en las categorías de interesados para la condición de tratamiento que pueden utilizarse. Por ejemplo, el párrafo vigesimoprimero del anexo 1 regula el tratamiento de datos sensibles para los sistemas de previsión para la jubilación. Esta condición solo puede utilizarse si el interesado en cuestión es un hermano, progenitor, abuelo/a o bisabuelo/a del afiliado al sistema de previsión para la jubilación.

(37)

Además, el responsable del tratamiento, cuando se base en las excepciones recogidas en el artículo 9, apartado 2, del RGPD del Reino Unido que se especifican con más detalle en la sección 10 de la DPA de 2018 junto con el anexo 1 de la DPA, debe redactar en la mayoría de los casos un «documento reglamentario adecuado». Este documento debe describir los procedimientos del responsable para garantizar el cumplimiento de los principios del artículo 5 del RGPD del Reino Unido. Asimismo, debe establecer políticas para la conservación y la supresión de datos, con una indicación del período de conservación probable. Los responsables deben revisar y actualizar este documento según corresponda. El responsable debe conservar el documento reglamentario por un plazo de seis meses después de que finalice el tratamiento y debe ponerlo a disposición de la ICO, previa solicitud (41).

(38)

De conformidad con el apartado 41, del anexo 1, de la DPA de 2018, el documento reglamentario debe ir siempre acompañado de un registro de las actividades de tratamiento a mayor escala. Este registro debe realizar un seguimiento de los compromisos incluidos en el documento reglamentario, es decir, de si los datos se conservan o se suprimen de acuerdo con las políticas. Si no se están respetando las políticas, entonces el registro debe dar cuenta de los motivos. Asimismo, el registro debe describir cómo el tratamiento cumple con el artículo 6 del RGPD del Reino Unido (licitud del tratamiento) y la condición específica recogida en el anexo 1 de la DPA de 2018, en la que se basa.

(39)

Por último, al igual que el Reglamento (UE) 2016/679, el RGPD del Reino Unido también ofrece unas garantías generales para ciertas operaciones de tratamiento de categorías especiales de datos. El artículo 35 del RGPD del Reino Unido requiere una evaluación de impacto relativa a la protección de datos cuando se tratan categorías especiales de datos a gran escala. De conformidad con el artículo 37 del RGPD del Reino Unido, un responsable o encargado del tratamiento debe nombrar un delegado de protección de datos cuyas actividades principales consisten en el tratamiento a gran escala de categorías especiales de datos.

(40)

Con respecto a los datos personales que están relacionados con condenas e infracciones penales, el artículo 10 del RGPD del Reino Unido es idéntico al artículo 10 del Reglamento (UE) 2016/679. Permite el tratamiento de datos personales relacionados con condenas e infracciones penales solo bajo la supervisión de las autoridades públicas o cuando el tratamiento lo autorice el Derecho interno que establezca garantías adecuadas para los derechos y libertades de los interesados.

(41)

Cuando el tratamiento de datos relacionados con condenas e infracciones penales no se realice bajo la supervisión de las autoridades públicas, la sección 10, apartado 5, de la DPA de 2018 establece que dicho tratamiento solo puede realizarse para las finalidades específicas/en las situaciones específicas establecidas en las partes 1, 2 y 3, del anexo 1, de la DPA de 2018 y su subordinación a los requisitos específicos que se establecen para cada una de estas finalidades/situaciones. Por ejemplo, el tratamiento de datos relacionados con condenas penales pueden realizarlo entidades sin ánimo de lucro, siempre que dicho tratamiento se realice a) en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, y b) siempre que: i) el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y ii) los datos personales no se comuniquen al exterior sin el consentimiento de los interesados.

(42)

Además, la parte 3, del anexo 1, de la DPA de 2018 establece circunstancias adicionales en las que pueden emplearse datos relacionados con condenas penales, que corresponden a los fundamentos jurídicos del tratamiento de datos sensibles recogidos en el artículo 9, apartado 2, del Reglamento (UE) 2016/679 y el RGPD del Reino Unido (por ejemplo, consentimiento del interesado; intereses vitales de un individuo en caso de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento; si el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos; si el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones; etc.).

(43)

Los datos personales deben tratarse con una finalidad específica y, posteriormente, solo deben utilizarse en la medida en que ello no sea incompatible con la finalidad del tratamiento.

(44)

Este principio se recoge en el artículo 5, apartado 1, letra b), del Reglamento (UE) 2016/679 y se ha mantenido sin cambios en el artículo 5, apartado 1, letra b), del RGPD del Reino Unido. Las condiciones sobre un tratamiento compatible adicional de conformidad con el artículo 6, apartado 4, del Reglamento (UE) 2016/679 también se han mantenido sin modificaciones sustanciales en el artículo 6, apartado 4, letras a) a e), del RGPD del Reino Unido.

(45)

Por otro lado, los datos deberán ser exactos y, en caso necesario, se mantendrán actualizados. También deben ser adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados y, en principio, no deben conservarse más tiempo del necesario en relación con los fines para los que se tratan los datos personales.

(46)

En el artículo 5, apartado 1, letras c) a e), del Reglamento (UE) 2016/679 se establecen los principios de minimización de los datos, exactitud y limitación del plazo de conservación, y se mantienen sin modificaciones en el artículo 5, apartado 1, letras c) a e), del RGPD del Reino Unido.

(47)

Los datos personales deben también ser tratados de modo que se garantice su seguridad, incluida la protección contra todo tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental. A tal fin, los operadores económicos deben adoptar las medidas técnicas u organizativas apropiadas para proteger los datos personales frente a posibles amenazas. Estas medidas deben evaluarse teniendo en cuenta el estado de la técnica y los costes relacionados.

(48)

La seguridad de los datos está consagrada en el Derecho del Reino Unido a través del principio de integridad y confidencialidad en el artículo 5, apartado 1, letra f), del RGPD del Reino Unido y en el artículo 32 del mismo Reglamento, relativo a la seguridad del tratamiento. Estas disposiciones son idénticas a las disposiciones correspondientes del Reglamento (UE) 2016/679. Además, el RGPD del Reino Unido requiere, en virtud de las mismas condiciones que las establecidas en los artículos 33 y 34 del Reglamento (UE) 2016/679, la notificación de una violación de la seguridad de los datos personales a la autoridad de control (artículo 33 del RGPD del Reino Unido) y la comunicación de una violación de la seguridad de los datos personales al interesado (artículo 34 del RGPD del Reino Unido).

(49)

Los interesados deben ser informados de las principales características del tratamiento de sus datos personales.

(50)

Esta condición se garantiza en los artículos 13 y 14 del RGPD del Reino Unido que, además de un principio general de transparencia, establece normas relativas a la información que debe proporcionarse al interesado (42). El RGPD del Reino Unido no introduce ninguna modificación sustancial a estas normas en comparación con los artículos correspondientes del Reglamento (UE) 2016/679. Sin embargo, al igual que en el Reglamento (UE) 2016/679, los requisitos de transparencia de dichos artículos están sujetos a varias excepciones que se establecen en la DPA de 2018 (véanse los considerandos 55 a 72).

(51)

Los interesados deben tener ciertos derechos que puedan hacer valer ante el responsable o el encargado del tratamiento, en concreto el derecho de acceso a los datos, el derecho a oponerse al tratamiento y el derecho de rectificación o supresión de datos. Al mismo tiempo, estos derechos pueden estar sujetos a limitaciones, en la medida en que dichas limitaciones sean necesarias y proporcionadas para salvaguardar la seguridad pública u otros objetivos importantes de interés público general.

(52)

El RGPD del Reino Unido otorga a las personas los mismos derechos exigibles que el Reglamento (UE) 2016/679. Las disposiciones que garantizan los derechos de las personas se han mantenido sin cambios sustanciales en el RGPD del Reino Unido.

(53)

Estos derechos incluyen el derecho de acceso del interesado (artículo 15 del RGPD del Reino Unido), el derecho de rectificación (artículo 16 del RGPD del Reino Unido), el derecho de supresión (artículo 17 del RGPD del Reino Unido), el derecho a la limitación del tratamiento (artículo 18 del RGPD del Reino Unido), la obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento (artículo 19 del RGPD del Reino Unido), el derecho a la portabilidad de los datos (artículo 20 del RGPD del Reino Unido) y el derecho de oposición (artículo 21 del RGPD del Reino Unido) (43). Este último incluye también el derecho del interesado de oponerse al tratamiento de sus datos personales con fines de mercadotecnia directa, que se recoge en el artículo 21, apartados 2 y 3, del Reglamento (UE) 2016/679. Además, de conformidad con la sección 122 de la DPA de 2018, la ICO debe preparar un código de prácticas en relación con el ejercicio de la mercadotecnia directa, de acuerdo con los requisitos de la legislación en materia de protección de datos [y el Reglamento sobre la privacidad y las comunicaciones electrónicas (Directiva CE) de 2003] y otras orientaciones para promover las buenas prácticas en relación con la mercadotecnia directa que la ICO considere apropiadas. La ICO está desarrollando en estos momentos el código sobre mercadotecnia directa (44).

(54)

Según lo dispuesto en el artículo 22 del Reglamento (UE) 2016/679, el derecho del interesado a no ser objeto de una decisión basada únicamente en el tratamiento automatizado que produzca efectos jurídicos en él o le afecte significativamente de modo similar, también se ha mantenido en el RGPD del Reino Unido sin cambios sustanciales. Sin embargo, se ha añadido un nuevo párrafo 3A para indicar que la sección 14 de la DPA de 2018 establece garantías para los derechos, libertades e intereses legítimos de los interesados cuando el tratamiento se realiza de conformidad con el artículo 22, apartado 2, letra b), del RGPD del Reino Unido. Esto solo aplica cuando la base de dicha decisión es una autorización o requisito en virtud del Derecho del Reino Unido, y no aplica cuando la decisión es necesaria en virtud de un contrato o se toma con el consentimiento explícito del interesado. En los casos en los que se aplica la sección 14 de la DPA de 2018, el responsable debe, tan pronto como sea razonablemente posible, notificar por escrito al interesado de que se ha tomado una decisión basada únicamente en el tratamiento automatizado. El interesado tiene derecho a solicitar, en el plazo de un mes a partir de la recepción de la notificación, que el responsable reconsidere la decisión o tome una nueva decisión que no se base únicamente en el tratamiento automatizado. El secretario de Estado está facultado para adoptar garantías adicionales en lo que respecta a las decisiones automatizadas. Esta facultad no se ha ejercido todavía.

(55)

La DPA de 2018 establece varias limitaciones a los derechos individuales dentro del marco del artículo 23 del RGPD del Reino Unido. En dicho marco no se introducen limitaciones en relación con el derecho de oponerse a la mercadotecnia directa según lo dispuesto en el artículo 21, apartados 2 y 3, del RGPD del Reino Unido, o al derecho a no ser objeto de decisiones automatizadas según lo dispuesto en el artículo 22 del RGPD del Reino Unido.

(56)

En los anexos 2 a 4 de la DPA de 2018 se definen las limitaciones en detalle. Las autoridades del Reino Unido explicaron que se rigen por dos principios: el principio de especificidad (adoptando un enfoque muy específico y dividiendo las limitaciones más generales en varias disposiciones más específicas) y el principio de condicionalidad (cada disposición se complementa con garantías en forma de limitaciones o condiciones para evitar abusos) (45).

(57)

Las limitaciones que se describen en el artículo 23, apartado 1, del RGPD del Reino Unido están pensadas para garantizar que solo se apliquen en circunstancias específicas cuando sea necesario en una sociedad democrática y para que sean proporcionadas al fin legítimo que persiguen. Además, de acuerdo con la jurisprudencia establecida sobre la interpretación de las limitaciones, solo puede aplicarse una exención del régimen de protección de datos en casos particulares y cuando resulte necesario y proporcionado para ello (46). Por otro lado, se exige que la evaluación de la necesidad sea «estricta y que requiera que cualquier injerencia en los derechos del sujeto sea proporcional a la gravedad de la amenaza al interés público. Por tanto, el ejercicio implica un análisis de proporcionalidad clásico» (47).

(58)

Los fines que persiguen estas limitaciones corresponden a los enumerados en el artículo 23 del Reglamento (UE) 2016/679, salvo las limitaciones de seguridad nacional y defensa que, en cambio, regula el artículo 26 de la DPA de 2018, pero que están sujetas a los mismos principios de proporcionalidad y necesidad (véanse los considerandos 63 a 66).

(59)

Algunas de las limitaciones, por ejemplo, las que se relacionan con la prevención o detección de la delincuencia, la detención o el enjuiciamiento de los delincuentes, y con la evaluación o recaudación de derechos e impuestos (48), autorizan limitaciones a todos los derechos individuales y obligaciones de transparencia (salvo los derechos que se recogen en el artículo 21, apartado 2, y el artículo 22). El alcance de otras limitaciones atañe únicamente a las obligaciones de transparencia y los derechos de acceso, como las limitaciones relacionadas con la prerrogativa de confidencialidad (49), el derecho a la libertad ante el requisito de proporcionar información que conduciría a la autoincriminación (50), y la financiación corporativa, en particular la prevención de las operaciones con información privilegiada (51). Pocas de las limitaciones permiten una restricción a la obligación del responsable del tratamiento de comunicar una violación de la seguridad de los datos al interesado y a los principios de limitación de la finalidad y licitud, lealtad y transparencia del tratamiento (52).

(60)

Algunas de las limitaciones se aplican automáticamente «en su totalidad» a un cierto tipo de tratamiento de datos personales (por ejemplo, la aplicación de las obligaciones de transparencia y derechos individuales se excluye cuando los datos personales se tratan con el fin de evaluar la idoneidad de una persona para una función jurisdiccional o cuando los datos personales los trata un tribunal o individuo que actúa en el ejercicio de su función judicial).

(61)

Sin embargo, en la mayoría de los casos, el apartado pertinente del anexo 2 de la DPA de 2018 especifica que la limitación se aplica solo cuando (y en la medida en que) la aplicación de las disposiciones «podría perjudicar» el objetivo legítimo perseguido por dicha limitación: por ejemplo, las disposiciones enumeradas en el RGPD del Reino Unido no se aplican a los datos personales tratados para la prevención o detección de la delincuencia, la detención o el enjuiciamiento de los delincuentes, o la evaluación o recaudación de derechos e impuestos «en la medida en que la aplicación de esas disposiciones podría perjudicar» cualquiera de estas cuestiones (53).

(62)

Los tribunales del Reino Unido han interpretado reiteradamente que la apreciación «podría perjudicar» representa «una posibilidad muy significativa y relevante de perjuicio para los intereses públicos identificados» (54). Por consiguiente, una restricción sujeta al criterio del perjuicio real y concreto solo puede invocarse si, y en la medida en que exista, una posibilidad muy significativa y relevante de que la concesión de un determinado derecho perjudique el interés público en juego. Corresponde al responsable del tratamiento evaluar caso por caso si se cumplen estas condiciones (55).

(63)

Además de las restricciones que recoge el anexo 2 de la DPA de 2018, la sección 26 de la DPA ofrece una exención que puede aplicarse a determinadas disposiciones del RGPD del Reino Unido y de la propia DPA cuando esa exención es necesaria a fin de salvaguardar la seguridad nacional o con fines de defensa. Esta exención se aplica a los principios de protección de datos (salvo el principio de licitud), las obligaciones de transparencia, los derechos del interesado, la obligación de notificar una violación de la seguridad de los datos, las normas sobre transferencias internacionales, algunos de los deberes y poderes de la ICO y las reglas sobre recursos, responsabilidades y sanciones, salvo la disposición sobre las condiciones generales para imponer multas administrativas establecidas en el artículo 83 del RGPD del Reino Unido y la disposición sobre sanciones en el artículo 84 del RGPD. Además, la sección 28 de la DPA de 2018 modifica la aplicación del artículo 9, apartado 1 para permitir el tratamiento de categorías especiales de datos recogidas en el artículo 9, apartado 1, del RGPD del Reino Unido en la medida en que el tratamiento se realice para salvaguardar la seguridad nacional o para fines de defensa, y con las garantías adecuadas para los derechos y libertades de los interesados (56).

(64)

La exención solo puede aplicarse en la medida en que sea necesaria para salvaguardar la seguridad nacional o la defensa. Como también ocurre con las demás exenciones previstas por la DPA de 2018, el responsable del tratamiento debe considerarla y acogerse a ella caso por caso. Además, cualquier aplicación de la exención debe cumplir con las normas sobre derechos humanos (amparadas por la Human Rights Act de 1998), según las cuales cualquier injerencia en los derechos a la privacidad debe ser necesaria y proporcionada en una sociedad democrática (57).

(65)

Esta interpretación de la exención es confirmada por la ICO que ha emitido una guía detallada sobre la aplicación de la exención de seguridad nacional y defensa, dejando claro que debe ser considerada y aplicada por el controlador caso por caso (58). En particular, la guía hace hincapié en que «no es una exención general» y que, para invocarla, «no es suficiente que los datos se traten con fines de seguridad nacional». Por el contrario, el responsable del tratamiento que se acoja a ella debe «demostrar que existe una posibilidad real de que haya un efecto adverso en la seguridad nacional» y, cuando proceda se espera que «aporte [a la ICO] pruebas de por qué utilizó esta exención». La guía contiene una lista de comprobación y una serie de ejemplos para aclarar las condiciones en las que se puede invocar dicha exención.

(66)

Por lo tanto, el hecho de que los datos se traten con fines de seguridad nacional o defensa no es suficiente por sí solo para la aplicación de la exención. En la práctica, un responsable del tratamiento debe considerar las consecuencias reales para la seguridad nacional si tuviera que cumplir con la disposición específica de protección de datos. La exención solo puede aplicarse a aquellas disposiciones concretas para las que se haya determinado que, en efecto, plantean el riesgo y debe aplicarse de la manera más restrictiva posible (59).

(67)

El Tribunal de Información confirmó este planteamiento (60). En el asunto Baker v Secretary of State for the Home Department («Baker v Secretary of State»), se determinó que era ilícito aplicar la exención de seguridad nacional como exención general a las solicitudes de acceso recibidas por parte de los servicios de inteligencia. En su lugar, la exención debía aplicarse caso por caso, valorando cada solicitud sobre la base de su fundamento y teniendo en cuenta el derecho de las personas al respeto de su vida privada (61).

(68)

El artículo 85, apartado 2, del RGPD del Reino Unido permite que los datos personales tratados con fines periodísticos, artísticos, académicos y literarios estén exentos de varias disposiciones del propio RGPD. La parte 5, del anexo 2, de la DPA de 2018 establece las exenciones del tratamiento para estos fines. Establece exenciones de los principios de protección de datos (excepto el principio de integridad y confidencialidad), los fundamentos jurídicos para el tratamiento (incluidas categorías especiales de datos y datos relacionados con condenas penales, etc.), las condiciones para el consentimiento, las obligaciones de transparencia, los derechos de los interesados, la obligación de notificación de violaciones de la seguridad de los datos, y el requisito de consultar a la ICO antes del tratamiento de alto riesgo, y las normas sobre transferencias internacionales (62). En este sentido, el RGPD del Reino Unido no difiere de forma importante del Reglamento (UE) 2016/679, que en su artículo 85 también prevé la posibilidad de eximir el tratamiento realizado con fines periodísticos y fines de expresión académica, artística o literaria de una serie de requisitos del propio Reglamento. Las disposiciones de la DPA de 2018, en especial la parte 5, del anexo 2, son compatibles con el RGPD del Reino Unido.

(69)

La ponderación básica que debe realizarse en virtud del artículo 85 del RGPD del Reino Unido se refiere a si una exención a las normas de protección de datos mencionadas en el considerando 68 es «necesaria para conciliar el derecho a la protección de los datos personales con la libertad de expresión e información» (63). De conformidad con la parte 5, párrafo vigesimosexto, puntos 2 y 3, del anexo 2, de la DPA de 2018, el Reino Unido aplica una evaluación de «creencia razonable» para lograr el equilibrio necesario. Para que pueda justificarse una exención, el responsable del tratamiento debe creer razonablemente que i) la publicación es de interés público; y ii) que la aplicación de la disposición pertinente del Reglamento (UE) 2016/679 sería incompatible con fines periodísticos, artísticos, académicos o literarios. Tal como confirma la jurisprudencia (64), la evaluación de la «creencia razonable» tiene un componente tanto subjetivo como objetivo: no basta con que el responsable del tratamiento demuestre que él/ella mismo/a creía que el cumplimiento era incompatible. Su creencia debe ser razonable, es decir, debe compartirla una persona de carácter razonable que conozca los hechos pertinentes. Por tanto, el responsable debe actuar con la debida diligencia al formarse su creencia para poder demostrar el carácter razonable de la misma. De acuerdo con las aclaraciones facilitadas por las autoridades del Reino Unido, la evaluación de «creencia razonable» debe realizarse caso por caso (exención por exención) (65). Si se cumplen las condiciones, entonces la exención se considera necesaria y proporcionada con arreglo al Derecho del Reino Unido.

(70)

En virtud de la sección 124 de la DPA de 2018, la ICO preparará un código de práctica en materia de protección de datos y periodismo. La preparación del código está en curso en estos momentos. En el marco de la Data Protection Act de 1998 se ha emitido una orientación acerca de esta cuestión que destaca principalmente que, para acogerse a esta exención, no basta con declarar que el cumplimiento supondría un inconveniente para las actividades periodísticas, sino que debe haber un argumento claro de que la disposición en cuestión presenta un obstáculo para el ejercicio del periodismo responsable (66). El regulador de telecomunicaciones del Reino Unido, OFCOM, y la BBC también han publicado en sus directrices editoriales (67) una serie de orientaciones sobre la aplicación del criterio de interés público y la ponderación del interés público con el interés de una persona en la privacidad. Las directrices ofrecen principalmente ejemplos de información que puede considerarse de interés público, y explican la necesidad de poder demostrar que el interés público rebasa los derechos de privacidad en las circunstancias concretas del caso.

(71)

De manera similar a lo que establece el artículo 89 del Reglamento (UE) 2016/679, los datos personales tratados con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos también pueden estar exentos de una serie de disposiciones enumeradas en el propio RGPD (68). Por lo que respecta a los fines de investigación y estadísticos, puede haber exenciones a las disposiciones del RGPD del Reino Unido relacionadas con la confirmación del tratamiento y el acceso a los datos y las garantías para las transferencias a terceros países; el derecho de rectificación; la limitación y la retirada del tratamiento. Por lo que respecta al archivo en interés público, también puede haber exenciones a la obligación de notificación en relación con la rectificación o supresión de datos personales o la restricción del tratamiento y al derecho a la portabilidad de los datos.

(72)

En virtud de la parte 6, párrafos vigesimoséptimo, punto 1, y vigesimoctavo, punto 1, del anexo 2, de la DPA de 2018, las exenciones a las disposiciones enumeradas del RGPD del Reino Unido son posibles cuando la aplicación de las disposiciones «impediría o perjudicaría gravemente la consecución» de los fines en cuestión (69).

(73)

Dada su relevancia para el ejercicio efectivo de los derechos individuales, cualquier novedad pertinente en relación con la interpretación y aplicación en la práctica de las exenciones antes señaladas (además de la relativa al mantenimiento de un control efectivo de la inmigración, como se explica en el considerando 6), en particular, cualquier evolución de la jurisprudencia y de las orientaciones y medidas de ejecución de la OIC, se tendrá debidamente en cuenta en el contexto de la supervisión continua de la presente Decisión (70).

(74)

El nivel de protección de los datos personales que se transfieren desde la Unión Europea a responsables o encargados del tratamiento en el Reino Unido no debe verse comprometido por la transferencia ulterior de dichos datos a destinatarios que se encuentran en un tercer país. Estas «transferencias ulteriores» que constituyen, desde el punto de vista del responsable o encargado del tratamiento del Reino Unido, transferencias internacionales desde el Reino Unido, solo deberían estar permitidas cuando el destinatario ulterior fuera del Reino Unido esté, por su parte, sujeto a normas que aseguren un nivel de protección similar al garantizado en el ordenamiento jurídico del Reino Unido. Por este motivo, la aplicación de las normas del RGPD del Reino Unido y de la DPA de 2018 sobre transferencias internacionales de datos personales es un factor importante para garantizar la continuidad de la protección en el caso de datos personales que se transfieren de la UE al Reino Unido en virtud de la presente Decisión.

(75)

En los artículos 44 a 49 del RGPD del Reino Unido se establece el régimen sobre transferencias internacionales de datos personales desde el Reino Unido, complementado por la DPA de 2018; dicho régimen es en esencia idéntico a las normas establecidas en el capítulo V del Reglamento (UE) 2016/679 (71). Las transferencias de datos personales a un tercer país u organización internacional solo pueden realizarse sobre la base de normas en materia de adecuación [el equivalente en el Reino Unido a una decisión de adecuación en virtud del Reglamento (UE) 2016/679], o en ausencia de dichas normas, cuando el responsable o encargado del tratamiento haya proporcionado las garantías adecuadas de conformidad con el artículo 46 del RGPD del Reino Unido. En ausencia de normas en materia de adecuación o garantías apropiadas, una transferencia solo puede realizarse sobre la base de las derogaciones establecidas en el artículo 49 del RGPD del Reino Unido.

(76)

Las normas en materia de adecuación dictadas por el secretario de Estado pueden estipular que un tercer país (o un territorio o un sector dentro de un tercer país), una organización internacional, o una descripción (72) de dicho país, territorio, sector u organización asegura un nivel adecuado de protección de datos personales. Al evaluar la idoneidad del nivel de protección, el secretario de Estado debe tener en cuenta exactamente los mismos elementos que la Comisión debe evaluar con arreglo al artículo 45, apartado 2, letras a) a c), del Reglamento (UE) 2016/679, interpretado junto con el considerando 104 del mismo Reglamento y la jurisprudencia de la Unión conservada. Esto significa que, al evaluar el nivel adecuado de protección de un tercer país, el criterio pertinente será si ese tercer país en cuestión garantiza un nivel de protección «esencialmente equivalente» al garantizado en el Reino Unido.

(77)

Por lo que respecta al procedimiento, las normas en materia de adecuación están sujetas a los requisitos de procedimiento «generales» previstos en la sección 182 de la DPA de 2018. En virtud de este procedimiento, el secretario de Estado debe consultar a la ICO al proponer la adopción de normas en materia de adecuación en el Reino Unido (73). Una vez que el secretario de Estado ha adoptado las normas, estas se presentan ante el Parlamento y están sujetas al procedimiento de «resolución negativa», en virtud del cual ambas cámaras del Parlamento pueden examinarlas y tienen la capacidad de aprobar una moción que anule las normas en un plazo de cuarenta días (74).

(78)

De conformidad con la sección 17B, apartado 1, de la DPA de 2018, las normas en materia de adecuación deben revisarse a intervalos de no más de cuatro años y el secretario de Estado debe, de manera continua, supervisar las novedades en terceros países y organizaciones internacionales que podrían afectar las decisiones para adoptar normas en materia de adecuación, o para modificar o derogar tales normas. Cuando el secretario de Estado tenga conocimiento de que un país u organización concretos ya no garantiza un nivel adecuado de protección de los datos personales debe, en la medida necesaria, modificar o derogar las normas y celebrar consultas con el tercer país u organización internacional en cuestión para remediar la falta de un nivel de protección adecuado. Estos aspectos procedimentales reflejan también los requisitos correspondientes del Reglamento (UE) 2016/679.

(79)

En ausencia de normas en materia de adecuación, pueden realizarse transferencias internacionales cuando el responsable o encargado del tratamiento haya proporcionado las garantías adecuadas de acuerdo con el artículo 46 del RGPD del Reino Unido. Estas garantías son similares a las que establece el artículo 46 del Reglamento (UE) 2016/679. Incluyen instrumentos jurídicamente vinculantes y exigibles entre autoridades u organismos públicos, normas corporativas vinculantes (75), cláusulas tipo de protección de datos, códigos de conducta aprobados, mecanismos de certificación aprobados y, con la autorización de la ICO, cláusulas contractuales entre responsables (o encargados del tratamiento) o acuerdos administrativos entre las autoridades públicas. Sin embargo, desde un punto de vista procedimental, las normas se han modificado para actuar dentro del marco del Reino Unido; en particular, y de conformidad con la DPA de 2018, las cláusulas tipo de protección de datos pueden ser adoptadas por el secretario de Estado (sección 17C) o la ICO (sección 119A).

(80)

En ausencia de una decisión de adecuación o de garantías adecuadas, una transferencia únicamente puede realizarse sobre la base de las excepciones establecidas en el artículo 49 del RGPD del Reino Unido (76). El RGPD del Reino Unido no introduce ningún cambio sustancial a estas excepciones en comparación con las normas correspondientes del Reglamento (UE) 2016/679. De conformidad con el RGPD del Reino Unido, así como con arreglo al Reglamento (UE) 2016/679, solo se puede apelar a determinadas excepciones si la transferencia es ocasional (77). Además, en sus directrices sobre transferencias internacionales, la ICO aclara que: «Solo debe utilizarlas como verdaderas "excepciones" de la norma general de que no debe realizarse una transferencia restringida a menos que esté cubierta por una decisión de adecuación o existan las garantías adecuadas» (78). En relación con las transferencias que son necesarias por razones importantes de interés público [artículo 49, apartado 1, letra d) del Reglamento (UE) 2016/679], el secretario de Estado puede adoptar regulaciones para especificar circunstancias en las que una transferencia de datos personales a un tercer país u organización internacional es o no es necesaria por razones importantes de interés público. Además, el secretario de Estado puede limitar mediante regulación la transferencia de una categoría de datos personales a un tercer país u organización internacional donde la transferencia no puede realizarse sobre la base de normas en materia de adecuación, y cuando el secretario de Estado considere que la limitación es necesaria por razones importantes de interés público. Hasta la fecha no se ha adoptado ninguna regulación de este tipo.

(81)

Este marco para las transferencias internacionales entró en vigor al final del período transitorio (79). Sin embargo, el párrafo cuarto, del anexo 21, de la DPA de 2018 (introducido por la normativa DPPEC Regulations) establece que, a partir del final del período transitorio, ciertas transferencias de datos personales deben tratarse como si estuvieran basadas en normas en materia de adecuación. Dichas transferencias incluyen transferencias a un Estado del EEE, el territorio de Gibraltar, una institución, organismo, oficina o agencia de la UE establecidos por el Tratado de la Unión Europea o sobre la base del mismo, y a terceros países que fueron objeto de una decisión de adecuación de la UE al final del período transitorio. En consecuencia, las transferencias a estos países pueden seguir realizándose como antes de la retirada del Reino Unido de la UE. Al final del período transitorio, el secretario de Estado tuvo que iniciar una revisión de estas decisiones de adecuación para un período de cuatro años, es decir, hasta finales de diciembre de 2024. Según la aclaración proporcionada por las autoridades del Reino Unido, a pesar de que el secretario de Estado debe llevar a cabo esta revisión para finales de diciembre de 2024, las disposiciones transitorias no incluyen una disposición de caducidad y las disposiciones transitorias pertinentes no perderán su vigencia automáticamente en caso de que no se complete la revisión para finales de diciembre de 2024.

(82)

Por último, en lo que respecta a la evolución futura del régimen de transferencias internacionales del Reino Unido, a través de la adopción de nuevas normas de adecuación, la celebración de acuerdos internacionales o el desarrollo de otros mecanismos de transferencia, la Comisión seguirá de cerca la situación, evaluará si los diferentes mecanismos de transferencia se utilizan de forma que se garantice la continuidad de la protección y adoptará, en su caso, las medidas adecuadas para abordar los posibles efectos adversos para dicha continuidad (véanse los considerandos 278 a 287). Dado que la UE y el Reino Unido comparten normas similares sobre transferencias internacionales, se espera que las divergencias problemáticas también puedan evitarse mediante la cooperación y el intercambio de información y experiencias, incluso entre la ICO y el CEPD.

(83)

De conformidad con el principio de responsabilidad proactiva, las entidades que traten datos están obligadas a adoptar las medidas técnicas y organizativas apropiadas para cumplir de manera efectiva con sus obligaciones en materia de protección de datos y deben demostrar el respeto de estas obligaciones, en particular ante la autoridad de control competente.

(84)

El principio de responsabilidad proactiva previsto en el Reglamento (UE) 2016/679 se ha mantenido en el artículo 5, apartado 2, del RGPD del Reino Unido sin cambios sustanciales, y lo mismo aplica al artículo 24 sobre la responsabilidad del responsable del tratamiento, al artículo 25 sobre la protección de datos desde el diseño y por defecto, y al artículo 30 sobre el registro de las actividades de tratamiento. También se han mantenido sin cambios los artículos 35 y 36 concernientes a la evaluación de impacto relativa a la protección de datos y la consulta previa de la autoridad de control. Asimismo, los artículos 37 a 39 del Reglamento (UE) 2016/679 relativos a la designación y las tareas de los delegados de protección de datos se han mantenido sin cambios importantes en el RGPD del Reino Unido. Por otro lado, en el RGPD del Reino Unido también se han mantenido las disposiciones recogidas en los artículos 40 y 42 del Reglamento (UE) 2016/679 sobre los códigos de conducta y certificación (80).

(85)

Con el fin de garantizar un nivel adecuado de protección de los datos en la práctica, debe existir una autoridad de control independiente encargada de supervisar las normas en materia de protección de datos y hacerlas cumplir. Esta autoridad debe actuar con total independencia e imparcialidad en el desempeño de sus funciones y en el ejercicio de sus competencias.

(86)

En el Reino Unido, la autoridad encargada de la supervisión y el cumplimiento de las normas del RGPD del Reino Unido y de la DPA de 2018 es el/la Information Commissioner. El/la Information Commissioner es una persona jurídica unipersonal: una entidad jurídica independiente constituida por una sola persona física. El/la Information Commissioner cuenta con el apoyo de una oficina en su trabajo (la ICO). El 31 de marzo de 2020, la ICO contaba con 768 empleados fijos (81). El departamento que ampara a la ICO es el Departamento de Cultura, Medios de Comunicación y Deporte del Reino Unido (82).

(87)

La independencia del cargo de Information Commissioner se determina explícitamente en el artículo 52 del RGPD del Reino Unido, que no presenta cambios importantes en relación con el artículo 52, apartados 1 a 3, del Reglamento (UE) 2016/679. El/la Information Commissioner debe actuar con total independencia en el desempeño de sus funciones y en el ejercicio de sus poderes de conformidad con el RGPD del Reino Unido, ser ajeno/a a toda influencia externa, ya sea directa o indirecta, en relación con dichos poderes y funciones, y no solicitará ni admitirá ninguna instrucción. Asimismo, se abstendrá de cualquier acción que sea incompatible con sus funciones y no participará, mientras dure su mandato, en ninguna actividad profesional que sea incompatible, remunerada o no.

(88)

En el anexo 12 de la DPA de 2018 se establecen las condiciones para el nombramiento y la destitución del/de la Information Commissioner. El nombramiento para el cargo de Information Commissioner lo realiza Su Majestad por recomendación del Gobierno, en virtud de una competencia justa y abierta. El/la candidato/a debe contar con las cualificaciones, capacidades y competencias necesarias. De conformidad con lo dispuesto en el Governance Code on Public Appointments (83), un grupo consultivo de evaluación elabora una lista de posibles candidatos. Antes de que el secretario de Estado del Departamento de Cultura, Medios de Comunicación y Deporte tome su decisión, el Select Committee of Parliament (comité selecto del Parlamento) correspondiente debe realizar un escrutinio previo al nombramiento. La posición del comité se hace pública (84).

(89)

El/la Information Commissioner ocupa el cargo por un período de hasta siete años y no es posible nombrar a una persona Information Commissioner más de una vez. El/la Information Commissioner puede ser destituido/a de su cargo por decisión de Su Majestad en respuesta a un discurso de ambas cámaras del Parlamento (85). No es posible presentar una solicitud de destitución del/de la Information Commissioner ante ninguna de las cámaras del Parlamento salvo que un secretario de Estado haya presentado un informe que indique su convencimiento de que el/la Information Commissioner es culpable de una falta grave o de que ya no cumple las condiciones requeridas para el desempeño de las funciones del cargo (86).

(90)

La financiación de la ICO procede de tres fuentes: i) tasas por protección de datos que los responsables del tratamiento pagan, y que establecen las regulaciones del secretario de Estado (87) [Data Protection (Charges and Information) Regulations de 2018], y ascienden al 85-90 % del presupuesto anual de la oficina (88); ii) subvención del Gobierno a la ICO, que se emplea principalmente para financiar los costes operativos de la ICO en lo que respecta a las funciones no relacionadas con la protección de datos (89); y iii) tasas por servicios ofrecidos (90). Actualmente no se cobra ninguna de estas tasas.

(91)

Las funciones generales de la ICO en relación con el tratamiento de datos personales al que aplica el RGPD del Reino Unido se establecen en el artículo 57 de dicho Reglamento, que reflejan estrechamente las normas correspondientes del Reglamento (UE) 2016/679. Entre sus funciones se encuentra el control de la aplicación del RGPD del Reino Unido, la promoción de la sensibilización del público, la gestión de las reclamaciones presentadas por los interesados, la realización de investigaciones, etc. Además, la sección 115 de la DPA de 2018 establece otras funciones generales de la ICO, que incluyen el deber de asesorar al Parlamento, el Gobierno y otras instituciones y organismos sobre las medidas legislativas y administrativas relacionadas con la protección de los derechos y libertades de las personas en relación con el tratamiento de los datos personales, y la facultad de emitir, por iniciativa propia o previa solicitud, dictámenes al Parlamento, al Gobierno u otras instituciones y organismos, así como al público, sobre cualquier cuestión relacionada con la protección de los datos personales. A fin de mantener la independencia del poder judicial, la ICO no está autorizada para ejercer sus funciones en relación con el tratamiento de datos personales por parte de una persona en el ejercicio de su función judicial o de un tribunal que actúe en el ejercicio de su función judicial. Sin embargo, la supervisión del poder judicial está a cargo de organismos especializados (véanse los considerandos 99 a 103).

(92)

Los poderes de la ICO se establecen en el artículo 58 del RGPD del Reino Unido, que no introduce cambios sustanciales en relación con el artículo correspondiente del Reglamento (UE) 2016/679. La DPA de 2018 establece normas adicionales sobre la forma de ejecución de estos poderes. En concreto, la ICO dispone de poderes para: a) ordenar al responsable y al encargado del tratamiento (y, en determinadas circunstancias, a cualquier otra persona), que faciliten información necesaria mediante un aviso de información («aviso de información») (91); b) llevar a cabo investigaciones y auditorías dando un aviso de evaluación, que puede requerir que el responsable o encargado del tratamiento permita a la ICO entrar en instalaciones específicas, inspeccionar o examinar documentos o equipos, entrevistar a las personas que tratan los datos personales en nombre del responsable, etc. («aviso de evaluación») (92); c) obtener el acceso a documentos, etc. de los responsables y encargados del tratamiento y acceder a sus instalaciones de acuerdo con la sección 154 de la DPA de 2018 («poderes de entrada e inspección»); d) ejercer poderes correctivos mediante advertencias y sanciones o dar órdenes mediante un aviso de ejecución, que requiera que los responsables/encargados del tratamiento adopten o se abstengan de adoptar medidas específicas, incluida la orden al responsable o encargado de llevar a cabo alguna de las acciones especificadas en el artículo 58, apartado 2, letras c) a g) y letra j), del RGPD del Reino Unido («aviso de ejecución») (93); e) emitir multas administrativas en forma de aviso de sanción («aviso de sanción») (94). Este último también puede emitirse en caso de que una autoridad pública no haya cumplido con las disposiciones del RGPD del Reino Unido (95).

(93)

La política de acción reguladora de la ICO establece las circunstancias en virtud de las cuales emitirá un aviso de información, de evaluación, de ejecución o de sanción (96). Un aviso de ejecución que se emite en respuesta a una infracción por parte de un responsable o encargado del tratamiento solo puede imponer los requisitos que la ICO considere adecuados con el fin de remediar dicha infracción. Pueden emitirse avisos de ejecución y sanción a un responsable o encargado del tratamiento en relación con violaciones del capítulo II del RGPD del Reino Unido (principios relativos al tratamiento), los artículos 12 a 22 (derechos del interesado), los artículos 25 a 39 (obligaciones por parte del responsable y el encargado del tratamiento) y los artículos 44 a 49 (transferencias internacionales) del RGPD del Reino Unido. También puede darse un aviso de ejecución a un responsable del tratamiento que ha incumplido el requisito de pagar una tasa en las regulaciones establecidas con arreglo a la sección 137 de la DPA de 2018. Además, un organismo de supervisión, en virtud del artículo 41, o un proveedor de servicios de certificación pueden recibir un aviso de ejecución si no cumplen con sus obligaciones con arreglo al RGPD del Reino Unido. Asimismo, puede darse un aviso de sanción a una persona que no haya cumplido con un aviso de información, de evaluación o de ejecución.

(94)

El aviso de sanción requiere que la persona pague a la ICO la cuantía especificada en el aviso. Para determinar si debe emitirse un aviso de sanción a una persona, así como para determinar la cuantía de dicha sanción, la ICO debe tener en cuenta las cuestiones enumeradas en el artículo 83, apartados 1 y 2, del RGPD del Reino Unido, que son idénticas a las correspondientes del Reglamento (UE) 2016/679 (97). Con arreglo al artículo 83, apartados 4 y 5, del RGPD del Reino Unido la cuantía máxima de las multas administrativas en caso de incumplimiento de las obligaciones indicadas en dichas disposiciones es de 8,7 millones o 17,5 millones de libras esterlinas, respectivamente. Si se trata de una empresa, la ICO puede también imponer multas como porcentaje del volumen de negocio total anual global, cuando este sea superior. Al igual que en las disposiciones equivalentes del Reglamento (UE) 2016/679, estas cuantías se establecen en el 2 y el 4 % en el artículo 83, apartados 4 y 5, respectivamente. En caso de incumplimiento de un aviso de información, de evaluación o de ejecución, la cuantía máxima de la sanción que puede imponerse mediante un aviso de sanción es la cuantía mayor de 17,5 millones de libras esterlinas o, en el caso de una empresa, el 4 % del volumen de negocio total anual global.

(95)

El RGPD del Reino Unido, junto con la DPA de 2018, también ha reforzado otros poderes de la ICO. Por ejemplo, la ICO ahora puede realizar auditorías obligatorias en relación con todos los responsables y encargados del tratamiento mediante el recurso a los avisos de evaluación, mientras que con arreglo a la legislación anterior, la Data Protection Act de 1998, la ICO solo tenía esta facultad en relación con el Gobierno central y las organizaciones de la salud, mientras que los demás organismos debían aceptar la auditoría previamente.

(96)

Desde la introducción del Reglamento (UE) 2016/679, la ICO atiende en torno a 40 000 reclamaciones de interesados al año (98) y, además, lleva a cabo unas 2 000 investigaciones ex officio (99). La mayoría de las reclamaciones están relacionadas con los derechos de acceso y comunicación de los datos. Tras sus investigaciones, la ICO está tomando medidas de ejecución en una amplia gama de sectores. En concreto, según el último informe anual de la ICO (2019-2020) (100), se emitieron 54 avisos de información, 8 avisos de evaluación, 7 avisos de ejecución, 4 amonestaciones, 8 enjuiciamientos y 15 multas durante el período de notificación (101).

(97)

Esto incluye varias sanciones monetarias importantes impuestas en virtud del Reglamento (UE) 2016/679 y la DPA de 2018. En concreto, la ICO multó en octubre de 2020 a una compañía aérea británica con 20 millones de libras esterlinas por una violación de la seguridad de los datos que afectó a más de 400 000 clientes. A finales de octubre de 2020, una cadena hotelera internacional recibió una multa de 18,4 millones de libras esterlinas por no mantener seguros los datos personales de millones de clientes y, en noviembre de 2020, un proveedor de servicios británico que vendía entradas para eventos en línea recibió una multa de 1,25 millones de libras esterlinas por no proteger la información de pago de los clientes (102).

(98)

Además de los poderes de ejecución de la ICO descritos en el considerando 92, ciertas violaciones de la legislación en materia de protección de datos constituyen infracciones y, por tanto, pueden estar sujetas a sanciones penales (sección 196 de la DPA de 2018). Esto aplica, por ejemplo, a la obtención o comunicación de datos personales intencionalmente o a causa de una imprudencia sin el consentimiento del responsable del tratamiento, la comunicación de datos personales a otra persona sin el consentimiento del responsable del tratamiento (103), la desanonimización de información basada en datos personales anonimizados sin el consentimiento del responsable del tratamiento encargado de anonimizar los datos personales (104), obstaculizar de manera intencionada a la ICO para ejercer sus poderes en relación con la inspección de datos personales con arreglo a las obligaciones internacionales (105), realizar declaraciones falsas en respuesta a un aviso de información o destruir información en relación con avisos de información y evaluación (106).

(99)

La supervisión del tratamiento de datos personales por parte de los tribunales y el poder judicial es doble. Cuando el titular de un cargo judicial o un tribunal no actúa en el ejercicio de su función judicial, la ICO se encarga de la supervisión. Cuando el responsable del tratamiento actúa en el ejercicio de su función judicial, la ICO no puede ejercer sus funciones de supervisión (107) y, en consecuencia, organismos especiales realizan la supervisión. Esto refleja el enfoque adoptado en Reglamento (UE) 2016/679 (artículo 55, apartado 3).

(100)

En el segundo escenario, para los tribunales de Inglaterra y Gales y los Tribunales de Primera Instancia y Tribunales Superiores de Inglaterra y Gales, dicha supervisión la proporciona, en particular, el Judicial Data Protection Panel (Sala Jurisdiccional de Protección de Datos) (108). Además, el Lord Chief Justice y el Senior President of Tribunals emitieron un aviso de privacidad (109) que establece cómo los tribunales de Inglaterra y Gales tratan los datos personales para las funciones jurisdiccionales. Los poderes judiciales de Irlanda del Norte (110) y Escocia (111) emitieron una notificación similar.

(101)

Además, en Irlanda del Norte, el Lord Chief Justice de Irlanda del Norte nombró a un juez del Tribunal Superior como Data Supervisory Judge (juez supervisor de datos) (112). Asimismo, se han emitido unas directrices para el poder judicial de Irlanda del Norte sobre qué hacer en caso de pérdida o posible pérdida de datos y el proceso para abordar cualquier problema que surja a raíz de ello (113).

(102)

En Escocia, el Lord President designó un juez supervisor de datos (Data Supervisory Judge) para investigar cualquier queja por motivos de protección de datos. Esta medida se establece en las normas sobre reclamaciones judiciales, que reflejan las establecidas para Inglaterra y Gales (114).

(103)

Por último, en el Tribunal Supremo del Reino Unido se designa a uno de los magistrados para supervisar la protección de datos.

(104)

A fin de garantizar una protección adecuada y, en particular, el respeto de los derechos individuales, deben reconocerse al interesado acciones administrativas y judiciales efectivas, incluida la indemnización por daños y perjuicios.

(105)

En primer lugar, todo interesado tiene derecho a presentar una reclamación ante la ICO si considera que, en relación con los datos personales que le conciernen, existe una infracción del RGPD del Reino Unido (115). El RGPD del Reino Unido mantiene sin cambios las normas que establece el artículo 77 del Reglamento (UE) 2016/679 en relación con ese mismo derecho. Lo mismo aplica al artículo 57, apartado 1, letra f), y al apartado 2, del RGPD del Reino Unido, que establece las funciones de la ICO en relación con la tramitación de las reclamaciones. Tal como se describe en los considerandos 92 a 98, la ICO tiene el poder de evaluar la conformidad del responsable y el encargado del tratamiento con el RGPD del Reino Unido y la DPA de 2018, y de exigirles que adopten o se abstengan de adoptar las medidas necesarias en caso de incumplimiento e imponer multas.

(106)

En segundo lugar, el RGPD del Reino Unido y la DPA de 2018 otorgan el derecho a la tutela judicial contra la ICO. Con arreglo al artículo 78, apartado 1, del RGPD del Reino Unido, un individuo tiene derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de la ICO que le concierna. En el contexto del control jurisdiccional, el juez examina la decisión impugnada en la reclamación y valora si la ICO ha actuado de manera lícita. Además, en virtud del artículo 78, apartado 2, del RGPD del Reino Unido, si la ICO no da curso a una reclamación presentada por el interesado (116), el reclamante tiene acceso a la tutela judicial. Este puede solicitar a un Tribunal de Primera Instancia que ordene a la ICO tomar las medidas adecuadas para responder a la reclamación, o para informar al reclamante sobre el progreso de la misma (117). Por otro lado, toda persona a la que la ICO haya hecho entrega de uno de los avisos mencionados anteriormente (de información, evaluación, ejecución o sanción) puede apelar ante un Tribunal de Primera Instancia (118). Si el tribunal considera que la decisión de la ICO no cumple con la ley o que la ICO debería haber ejercido su facultad de apreciación de manera diferente, entonces el tribunal debe permitir la apelación o sustituir cualquier otro aviso o decisión que la ICO pudiera haber dado o adoptado.

(107)

En tercer lugar, todo individuo tiene derecho a emprender acciones judiciales contra los responsables y encargados del tratamiento directamente ante los tribunales, de conformidad con el artículo 79 del RGPD del Reino Unido y la sección 167 de la DPA de 2018. Si, en una solicitud por parte de un interesado, un tribunal está convencido de que ha habido una infracción de los derechos del interesado en virtud de la legislación en materia de protección de datos, el tribunal puede ordenar al responsable, en relación con el tratamiento (o un encargado que actúe en nombre de ese responsable del tratamiento), que tome las medidas especificadas en la resolución o que se abstenga de tomar las medidas especificadas en la misma.

(108)

Además, con arreglo al artículo 82 del RGPD del Reino Unido y la sección 168 de la DPA de 2018, toda persona que haya sufrido daños y perjuicios materiales o inmateriales como resultado de una infracción del RGPD del Reino Unido tiene derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos. Las normas relativas a la indemnización y la responsabilidad recogidas en el artículo 82, apartados 1 a 5, del RGPD del Reino Unido son idénticas a las normas correspondientes del Reglamento (UE) 2016/679. Con arreglo a la sección 168 de la DPA de 2018, los daños y perjuicios inmateriales incluyen también la ansiedad. En virtud del artículo 80 del RGPD del Reino Unido, el interesado tiene también derecho a dar mandato a un organismo u organización representante para presentar en su nombre la reclamación ante la ICO (con arreglo al artículo 77 del RGPD del Reino Unido) y a ejercer los derechos mencionados en los artículos 78 (derecho a la tutela judicial efectiva contra la ICO), 79 (derecho a la tutela judicial efectiva contra el responsable o encargado del tratamiento) y 82 (derecho a indemnización y responsabilidad) del RGPD del Reino Unido en su nombre.

(109)

En cuarto lugar, y además de las vías de reparación descritas previamente, toda persona que considere que las autoridades públicas han violado sus derechos, incluidos los derechos a la privacidad y la protección de datos, puede obtener una reparación ante los tribunales del Reino Unido en virtud de la Human Rights Act de 1998 (119). Una persona física que alegue que una autoridad pública ha actuado (o se propone actuar) de una manera que es incompatible con un derecho del Convenio Europeo de Derechos Humanos y, por lo tanto, ilícita en virtud del artículo 6, apartado 1, de la Human Rights Act de 1998, puede iniciar un procedimiento contra dicha autoridad en el tribunal correspondiente, o apelar a los derechos de que se trate en cualquier procedimiento judicial cuando sea (o vaya a ser) víctima del acto ilícito.

(110)

Si el tribunal determina que un acto de una autoridad pública es ilícito, puede conceder dicha compensación o reparación o dictar sentencia, dentro de sus facultades, según lo considere justo y adecuado (120). El tribunal también puede declarar que una disposición de la legislación primaria es incompatible con uno de los derechos del Convenio.

(111)

Por último, una vez agotados los recursos nacionales, una persona puede obtener una reparación ante el Tribunal Europeo de Derechos Humanos por violaciones de los derechos garantizados por el Convenio Europeo de Derechos Humanos.

(112)

La Comisión evaluó también el marco jurídico del Reino Unido para la recogida y el uso posterior de los datos personales que las autoridades públicas del Reino Unido transfieren a operadores comerciales del Reino Unido en interés público, en particular a efectos de control de la aplicación del Derecho penal y de seguridad nacional (en lo sucesivo, denominado «acceso gubernamental»). A la hora de evaluar si, con arreglo a la presente Decisión, las condiciones en las que el acceso del Gobierno a los datos transferidos al Reino Unido cumpliría la prueba de «equivalencia esencial» de conformidad con el artículo 45, apartado 1, del Reglamento (UE) 2016/679, según la interpretación del Tribunal de Justicia de la Unión Europea a la luz de la Carta de los Derechos Fundamentales, la Comisión tuvo en cuenta, en particular, los siguientes criterios.

(113)

En primer lugar, cualquier limitación al derecho a la protección de datos personales debe estar prevista por la ley y la base jurídica que permite la injerencia en este derecho debe definir por sí misma el alcance de la limitación al ejercicio del derecho en cuestión (121).

(114)

En segundo lugar, a fin de satisfacer el requisito de proporcionalidad, según el cual las excepciones y limitaciones a la protección de datos personales deben aplicarse únicamente en la medida en que sea estrictamente necesario en una sociedad democrática para lograr objetivos específicos de interés general equivalentes a los reconocidos por la Unión, la legislación del tercer país en cuestión que permite la interferencia debe establecer normas claras y precisas que regulen el alcance y la aplicación de dichas medidas e imponer salvaguardias mínimas para que las personas cuyos datos se hayan transferido dispongan de garantías suficientes para proteger de manera efectiva sus datos personales contra un posible riesgo de abuso (122). En particular, la legislación debe indicar en qué circunstancias y en qué condiciones puede adoptarse una medida que prevea el tratamiento de dichos datos (123), así como someter el cumplimiento de tales requisitos a una supervisión independiente (124).

(115)

En tercer lugar, esta legislación debe ser jurídicamente vinculante en virtud del Derecho interno y estos requisitos jurídicos no solo deben ser vinculantes para las autoridades, sino también exigibles ante los tribunales contra las autoridades del tercer país en cuestión (125). En concreto, los interesados deben tener la posibilidad de emprender acciones legales ante un tribunal independiente e imparcial para acceder a los datos personales que les conciernen o para obtener su rectificación o supresión (126).

(116)

Como ejercicio de poder por parte de una autoridad pública, el acceso del Gobierno en el Reino Unido debe llevarse a cabo con pleno respeto de la ley. El Reino Unido ha ratificado el Convenio Europeo de Derechos Humanos (véase el considerando 9) y todas las autoridades públicas del Reino Unido deben actuar de conformidad con el Convenio (127). El artículo 8 del Convenio establece que cualquier injerencia en la vida privada debe estar prevista por la ley, en interés de uno de los objetivos establecidos en el artículo 8, apartado 2, y proporcionada a la luz de ese objetivo. Asimismo, el artículo 8 exige que la injerencia sea «previsible», es decir, que tenga una base jurídica clara y accesible, y que la ley contenga las garantías adecuadas para evitar abusos.

(117)

Además, en su jurisprudencia, el Tribunal Europeo de Derechos Humanos especifica que cualquier injerencia en el derecho a la privacidad y la protección de datos debe estar sujeta a un sistema de supervisión eficaz, independiente e imparcial que debe brindar un juez u otro organismo independiente (128) (por ejemplo, una autoridad administrativa o una instancia parlamentaria).

(118)

Por otro lado, las personas deben disponer de una tutela judicial efectiva, y el Tribunal Europeo de Derechos Humanos ha aclarado que el recurso debe ofrecerlo un organismo independiente e imparcial que haya adoptado su propio reglamento interno, integrado por miembros que deben ostentar o haber ostentando un alto cargo judicial o ser abogados con experiencia, y que no debe haber una carga probatoria que deba superarse para presentar una demanda ante él. Al realizar el examen de las reclamaciones de las personas físicas, el organismo independiente e imparcial debe tener acceso a toda la información pertinente, incluidos los materiales restringidos. Por último, debe contar con los poderes para subsanar el incumplimiento (129).

(119)

El Reino Unido ratificó también el Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal y firmó el Protocolo que modifica dicho Convenio en 2018 (130). El artículo 9 del Convenio establece que las excepciones a los principios generales de protección de datos (artículo 5, calidad de los datos), las normas que rigen las categorías especiales de datos (artículo 6, categorías particulares de datos) y los derechos del interesado (artículo 8, garantías complementarías para la persona concernida) solo son admisibles cuando dicha excepción está prevista por la ley de la Parte y constituye una medida necesaria en una sociedad democrática en interés de proteger la seguridad del Estado, la seguridad pública, los intereses monetarios del Estado o la represión de infracciones penales, o para proteger al interesado o los derechos y libertades de otras personas (131).

(120)

Por lo tanto, a través de la pertenencia al Consejo de Europa, la adhesión al Convenio Europeo de Derechos Humanos y el acatamiento de la jurisdicción del Tribunal Europeo de Derechos Humanos, el Reino Unido está sujeto a una serie de obligaciones, consagradas en el Derecho internacional, que enmarcan su sistema de acceso gubernamental sobre la base de principios, garantías y derechos individuales similares a los que garantiza el Derecho de la Unión y que son de aplicación en los Estados miembros. Tal como se destaca en el considerando 19, la adhesión continuada a dichos instrumentos es, por tanto, un elemento de especial importancia para la evaluación en la que se basa la presente Decisión.

(121)

Además, la DPA de 2018 garantiza derechos y garantías específicos de protección de datos cuando los datos los tratan las autoridades públicas, incluidas las autoridades encargadas de garantizar el cumplimiento de la ley y los cuerpos nacionales de seguridad.

(122)

En particular, el régimen para el tratamiento de datos personales en el ámbito penal se establece en la parte 3 de la DPA de 2018, que se promulgó a fin de adoptar la Directiva (UE) 2016/680. La parte 3 de la DPA de 2018 se aplica al tratamiento de datos personales con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención (132).

(123)

En la sección 30 de la DPA de 2018 se define el concepto de «autoridad competente» como una persona incluida en el anexo 7 de la DPA, así como cualquier otra persona en la medida en que dicha persona tenga funciones estatutarias a efectos de la aplicación de la ley (133). Tal como se explica más adelante (véase el considerando 139), algunas autoridades competentes (por ejemplo, la National Crime Agency) pueden, en determinadas condiciones, ejercer los poderes previstos en la Investigatory Powers Act de 2016 (Ley de poderes de investigación, «IPA de 2016»). En este caso, además de las garantías establecidas en la parte 3 de la DPA de 2018, se aplicarán las garantías que establece la IPA de 2016. Los servicios de inteligencia (el Servicio de Inteligencia Secreto, el Servicio de Seguridad y el Cuartel General de Comunicaciones del Gobierno) no son «autoridades competentes» (134) con arreglo a la parte 3 de la DPA de 2018 y, por tanto, las normas previstas en ella no tienen aplicación en ninguna de sus actividades. Una parte específica de la DPA de 2018 (parte 4) trata sobre el tratamiento de datos personales por parte de los servicios de inteligencia (para más información, véase el considerando 125).

(124)

De manera similar a la Directiva (UE) 2016/680, la parte 3 de la DPA 2018 establece los principios de licitud y lealtad (135), limitación de la finalidad (136), minimización de los datos (137), exactitud (138), limitación del plazo de conservación (139) y seguridad (140). La legislación impone obligaciones específicas de transparencia (141) y otorga a las personas el derecho de acceso (142), rectificación y supresión (143) y el derecho a no estar sujeto a decisiones automatizadas (144). También se solicita a las autoridades competentes que apliquen la protección de datos desde el diseño y por defecto, que mantengan los registros de las actividades de tratamiento y, para determinadas operaciones de tratamiento, que lleven a cabo evaluaciones de impacto relativas a la protección de datos, previa consulta a la ICO (145). Con arreglo a la sección 56 de la DPA de 2018, también deben demostrar el cumplimiento de estas obligaciones. Además, están obligadas a aplicar medidas adecuadas para garantizar la seguridad del tratamiento (146) y están sujetas a obligaciones específicas en caso de una violación de la seguridad de los datos, incluida la notificación de dichas violaciones de la seguridad a la ICO y a los interesados (147). Al igual que en la Directiva (UE) 2016/680, también existe el requisito de que el responsable del tratamiento (salvo que sea un tribunal u otra autoridad judicial que actúe en el ejercicio de su función judicial) designe un delegado de protección de datos (148) que ayude al responsable del tratamiento en el cumplimiento de sus obligaciones y en el seguimiento de dicho cumplimiento (149). Por otro lado, la legislación impone requisitos específicos para las transferencias internacionales de datos personales con fines de aplicación de la ley a terceros países u organizaciones internacionales para garantizar la continuidad de la protección (150). En la misma fecha que la presente Decisión, la Comisión ha adoptado una decisión de adecuación sobre la base del artículo 36, apartado 3, de la Directiva (UE) 2016/680, al concluir que el régimen de protección de datos aplicable al tratamiento por parte de las autoridades encargadas de garantizar el cumplimiento del Derecho penal del Reino Unido garantiza un nivel de protección esencialmente equivalente al que garantiza la Directiva (UE) 2016/680.

(125)

La parte 4 de la DPA de 2018 se aplica a todo tratamiento de datos personales por parte de los servicios de inteligencia o realizado en su nombre. En concreto, establece los principios fundamentales de la protección de datos (licitud, lealtad y transparencia (151); limitación de la finalidad (152); minimización de los datos (153); exactitud (154); limitación del plazo de conservación (155) y seguridad (156)), impone condiciones sobre el tratamiento de categorías especiales de datos (157), establece los derechos de los interesados (158), requiere la protección de datos desde el diseño (159) y regula las transferencias internacionales de datos personales (160). Recientemente, la ICO ha publicado orientaciones detalladas sobre el tratamiento por parte de los servicios de inteligencia, en la parte 4 de la DPA de 2018 (161).

(126)

Al mismo tiempo, la sección 110 de la DPA de 2018 prevé una exención de las disposiciones especificadas en la parte 4 de esta Ley (162) cuando dicha exención sea necesaria para salvaguardar la seguridad nacional. Es posible acogerse a esta exención sobre la base de un análisis caso por caso (163). Tal como aclararon las autoridades del Reino Unido y como confirma la jurisprudencia, el «responsable del tratamiento debe tener en cuenta las consecuencias reales para la seguridad nacional o la defensa en caso de tener que cumplir con la disposición de protección de datos en cuestión, así como si podría cumplir razonablemente con la norma habitual sin perjudicar a la seguridad nacional o la defensa» (164). La ICO es la encargada de supervisar si la exención se ha utilizado adecuadamente o no (165).

(127)

Además, en relación con la posibilidad de restringir la aplicación de las disposiciones específicas antes mencionadas, con arreglo a la sección 111 de la DPA de 2018, con el fin de proteger la «seguridad nacional», un responsable del tratamiento puede solicitar un certificado firmado por un ministro del Gabinete o por el fiscal general que certifique que una restricción de tales derechos constituye una medida necesaria y proporcionada para la protección de la seguridad nacional (166).

(128)

El Gobierno del Reino Unido ha publicado una guía para ayudar a los responsables del tratamiento cuando deban considerar si deben solicitar un certificado de seguridad nacional con arreglo a la DPA de 2018, que destaca en particular que cualquier limitación a los derechos de los interesados para salvaguardar la seguridad nacional debe ser proporcionada y necesaria (167). Todos los certificados de seguridad nacional deben publicarse en el sitio web de la ICO (168).

(129)

El certificado debe tener una duración determinada de no más de cinco años, de modo que el poder ejecutivo pueda revisarlo periódicamente (169). En el certificado deben figurar los datos personales o las categorías de datos personales sujetos a la exención, así como las disposiciones de la DPA de 2018 a las que se aplica la exención (170).

(130)

Es importante señalar que los certificados de seguridad nacional no prevén un motivo adicional para restringir los derechos de protección de datos por razones de seguridad nacional. En otras palabras, el responsable o encargado del tratamiento solo puede acogerse a un certificado cuando haya concluido que es necesario acogerse a la exención de seguridad nacional que, como se explicó anteriormente, debe aplicarse caso por caso (171). Aun en el caso de que un certificado de seguridad nacional se aplique al asunto en cuestión, la ICO puede investigar si el amparo en la exención de seguridad nacional estaba justificado en un caso específico (172).

(131)

Cualquier persona directamente afectada por la emisión de un certificado puede apelar ante el Tribunal Superior (173) contra el certificado (174) o, cuando el certificado identifique datos mediante una descripción general, impugnar la aplicación del certificado a datos específicos (175). El tribunal revisará la decisión de emisión del certificado y decidirá si existían motivos razonables para su emisión (176). Puede tener en cuenta una amplia gama de cuestiones, incluida la necesidad, la proporcionalidad y la licitud, considerando el impacto en los derechos de los interesados y sopesando la necesidad de salvaguardar la seguridad nacional. Como resultado de ello, el tribunal puede determinar que el certificado no se aplica a los datos personales específicos objeto de la apelación (177).

(132)

Un conjunto diferente de posibles restricciones se refiere a las que se aplican, con arreglo al anexo 11 de la DPA de 2018, a determinadas disposiciones de la parte 4 de dicha Ley (178) para salvaguardar otros objetivos importantes de interés público general o intereses protegidos como, por ejemplo, el privilegio parlamentario, la prerrogativa de confidencialidad, la conducción de procedimientos judiciales o la eficacia de combate de las fuerzas armadas (179). La aplicación de estas disposiciones está exenta para ciertas categorías de información («basadas en la clase») o exenta en la medida en que la aplicación de las disposiciones pueda perjudicar el interés protegido («basadas en el perjuicio») (180). Solo es posible apelar a las exenciones basadas en el perjuicio en la medida en que la aplicación de las disposiciones de protección de datos enumeradas pueda perjudicar el interés específico en cuestión. Por tanto, el uso de una exención siempre debe justificarse haciendo referencia al perjuicio pertinente que probablemente se produciría en el caso en cuestión. En cuanto a las exenciones basadas en la clase, solo puede apelarse a ellas en relación con la categoría de información específica y estrechamente definida para la que se concede la exención. Estas son similares, en cuanto a su fin y efecto, a varias de las excepciones al RGPD del Reino Unido (con arreglo al anexo 2 de la DPA de 2018) que, a su vez, reflejan las previstas en el artículo 23 del Reglamento (UE) 2016/679.

(133)

De lo anterior se desprende que las limitaciones y las condiciones están establecidas con arreglo a las disposiciones jurídicas aplicables del Reino Unido, así como de acuerdo con la interpretación que los tribunales y la ICO hacen de ellas, para garantizar que estas exenciones y restricciones permanezcan dentro de los límites de lo que es necesario y proporcionado para proteger la seguridad nacional.

(134)

El Derecho del Reino Unido impone una serie de limitaciones al acceso y uso de datos personales a efectos de control de la aplicación del Derecho penal, y proporciona mecanismos de supervisión y reparación en este ámbito que se ajustan a los requisitos mencionados en los considerandos 113 a 115 de la presente Decisión. Las condiciones en las que puede tener lugar dicho acceso y las garantías aplicables al uso de estos poderes se precisan en detalle en las siguientes secciones.

(135)

De conformidad con el principio de licitud garantizado con arreglo a la sección 35 de la DPA de 2018, el tratamiento de datos personales para cualquiera de los fines de aplicación de la ley es lícito solo si se basa en la ley y si el interesado ha dado su consentimiento para el tratamiento para dicho fin (181) o el tratamiento es necesario para la realización de una tarea que una autoridad competente lleva a cabo a tal efecto.

(136)

En el marco jurídico del Reino Unido, la recogida de datos personales de operadores económicos, incluidos los operadores que procesarían datos transferidos desde la UE en virtud de la presente decisión de adecuación, a efectos de control de la aplicación del Derecho penal, está permitida sobre la base de órdenes de registro (182) y órdenes de entrega (183).

(137)

Las órdenes de registro las emite un tribunal, por lo general previa solicitud del agente investigador. Estas órdenes permiten que un agente entre en las instalaciones para buscar material o personas pertinentes para su investigación y que retenga cualquier cosa para la que se haya autorizado una búsqueda, incluidos los documentos o materiales pertinentes que contengan datos personales (184). Las órdenes de entrega, que también debe emitirlas un tribunal, requieren que la persona que figura en ella produzca o dé acceso al material que está en su posesión o bajo su control. El solicitante debe justificar ante el tribunal por qué es necesaria la orden, así como por qué es de interés público. Hay varios poderes estatutarios que permiten la emisión de órdenes de registro y de entrega. Cada disposición tiene su propio conjunto de condiciones legales que deben cumplirse para que sea posible emitir una orden de registro (185) o una orden de entrega (186).

(138)

Las órdenes de entrega y las órdenes de registro pueden impugnarse mediante un control jurisdiccional (187). En términos de garantías, todas las autoridades encargadas de garantizar el cumplimiento del Derecho penal que entran en el ámbito de aplicación de la parte 3 de la DPA de 2018 solo pueden acceder a los datos personales (lo que constituye una forma de tratamiento) de acuerdo con los principios y requisitos establecidos en la DPA de 2018 (véanse los considerandos 122 y 124). Por lo tanto, una solicitud que haya realizado cualquier autoridad encargada de garantizar el cumplimiento de la ley debe cumplir con el principio según el cual los fines del tratamiento deben ser determinados, explícitos y legítimos (188) y que los datos personales tratados por una autoridad competente deben ser pertinentes para ese propósito y no excesivos (189).

(139)

Con el fin de prevenir o detectar solo delitos graves (190), ciertas autoridades encargadas de garantizar el cumplimiento de la ley, por ejemplo, la National Crime Agency o el jefe de policía (191), pueden utilizar poderes de investigación selectiva con arreglo a la IPA de 2016. En este caso, además de las garantías establecidas en la parte 3 de la DPA de 2018, se aplicarán las garantías que establece la IPA de 2016. Los poderes de investigación específicos en que pueden apoyarse esas autoridades encargadas de garantizar el cumplimiento de la ley son: interceptaciones selectivas (parte 2 de la IPA de 2016), adquisición de datos de comunicaciones (parte 3 de la IPA de 2016), conservación de datos de comunicaciones (parte 4 de la IPA de 2016) e interferencia de equipos específicos (parte 5 de la IPA de 2016). La interceptación cubre la captación del contenido de una comunicación (192), mientras que la captación y la conservación de los datos de comunicaciones no tienen como objetivo obtener el contenido de la comunicación, sino la información relativa al «quién», «cuándo», «dónde» y «cómo» de la comunicación. Esto cubre, por ejemplo, el tiempo y la duración de una comunicación, el número de teléfono o la dirección de correo electrónico del remitente y el destinatario de la comunicación y, algunas veces, la ubicación de los dispositivos desde los que se realizó la comunicación, el suscriptor a un servicio telefónico o una facturación desglosada (193). La interferencia de equipos es un conjunto de técnicas que se utilizan para obtener una variedad de datos de los equipos, que incluyen ordenadores, tabletas y teléfonos inteligentes, así como cables y dispositivos de almacenamiento (194).

(140)

Los poderes de interceptación selectiva también pueden utilizarse cuando «sea necesario a efectos de la aplicación de las disposiciones de un instrumento de asistencia mutua de la UE o un acuerdo internacional de asistencia mutua» (la denominada «orden de asistencia mutua» (195)). Las órdenes de asistencia mutua solo se otorgan en relación con el fin de interceptación, no con la adquisición de datos de comunicaciones ni con la interferencia de equipos. Estos poderes específicos los regula la IPA de 2016 (196) que, junto con la Regulation of Investigatory Powers Act de 2000 (RIPA) para Inglaterra, Gales e Irlanda del Norte y la Regulation of Investigatory Powers (Scotland) Act de 2000 (RIPSA) para Escocia, establecen la base jurídica y establecen las limitaciones y garantías aplicables para el uso de tales poderes. La IPA de 2016 establece también el régimen para el uso de los poderes de investigación masiva de datos, aunque las autoridades encargadas de garantizar el cumplimiento de la ley no pueden hacer uso de ellos (solo están disponibles para los servicios de inteligencia pueden hacer uso de ellos) (197).

(141)

Para ejercer estos poderes, las autoridades deben obtener una orden (198) emitida por una autoridad competente (199) y aprobada por un comisionado judicial independiente (200) (el llamado procedimiento de «doble bloqueo»). Para obtener dicha orden debe realizarse un examen de necesidad y proporcionalidad (201). Dado que estos poderes de investigación selectiva que proporciona la IPA de 2016 son los mismos que los disponibles para las agencias de seguridad nacional, las condiciones, limitaciones y garantías aplicables a dichos poderes se tratan en detalle en la sección sobre acceso y el uso de datos personales por parte de las autoridades públicas del Reino Unido con fines de seguridad nacional (véanse el considerando 177 y siguientes).

(142)

El intercambio de datos por parte de una autoridad encargada de garantizar el cumplimiento de la ley con una autoridad diferente para fines distintos de aquellos para los que se recogieron originalmente (el llamado «intercambio posterior») está sujeto a ciertas condiciones.

(143)

De manera similar a lo que se establece en el artículo 4, apartado 2, de la Directiva (UE) 2016/680, la sección 36, apartado 3, de la DPA de 2018 permite que los datos personales recogidos por una autoridad competente con fines de aplicación de la ley puedan tratarse posteriormente (ya sea por parte del responsable original del tratamiento o por parte de otro responsable) para cualquier otro fin de aplicación de la ley, siempre que el responsable del tratamiento esté autorizado por ley para tratar datos para dicho fin y el tratamiento sea necesario y proporcionado para ese otro fin (202). En este caso, todas las garantías que establece la parte 3 de la DPA de 2018, recogidas en los considerandos 122 y 124, se aplican al tratamiento que realiza la autoridad receptora.

(144)

En el ordenamiento jurídico del Reino Unido, distintas leyes permiten explícitamente este intercambio. En particular, i) la Digital Economy Act (Ley de economía digital) de 2017 permite el intercambio entre autoridades públicas para varios fines, por ejemplo, en caso de cualquier tipo de fraude contra el sector público que implique una pérdida o un riesgo de pérdida para las autoridades públicas (203), o en caso de una deuda con una autoridad pública o la Corona (204); ii) la Crime and Courts Act (Ley de delincuencia y tribunales) de 2013, que permite el intercambio de información con la National Crime Agency (NCA) (205) para combatir, investigar y perseguir la delincuencia organizada y grave; iii) la Serious Crime Act (Ley de delitos graves) de 2007 permite a las autoridades públicas comunicar información a organizaciones de lucha contra el fraude con fines de prevención del fraude (206).

(145)

Estas leyes establecen explícitamente que el intercambio de información debe respetar los principios establecidos en la DPA de 2018. Además, el College of Policing ha emitido una práctica profesional autorizada sobre intercambio de información (207) para ayudar a la policía a cumplir con sus obligaciones de protección de datos en virtud del RGPD del Reino Unido, la DPA y la Human Rights Act de 1998. El cumplimiento del intercambio con el marco jurídico de protección de datos aplicable está, por supuesto, sujeto a control jurisdiccional (208).

(146)

Además, de manera similar a lo que dispone el artículo 9 de la Directiva (UE) 2016/680, la DPA de 2018 establece que los datos personales recogidos para cualquier propósito de aplicación de la ley pueden tratarse para un fin distinto siempre que dicho tratamiento esté autorizado por la ley (209).

(147)

Este tipo de intercambio de datos cubre dos posibles escenarios: 1) cuando una autoridad encargada del cumplimiento del Derecho penal comparte datos con una autoridad que no está encargada del cumplimiento del Derecho penal que no es un servicio de inteligencia (como, por ejemplo, una autoridad financiera o fiscal, una autoridad de competencia, una oficina de servicio social para menores, etc.); y 2) cuando una autoridad encargada del cumplimiento del Derecho penal comparte datos con un servicio de inteligencia. En el primer escenario, el tratamiento de datos personales quedará dentro del alcance del RGPD del Reino Unido, así como de la parte 2 de la DPA de 2018. La Comisión ha evaluado las garantías que proporcionan el RGPD del Reino Unido y la parte 2 de la DPA de 2018 en los considerandos 12 a 111 y ha llegado a la conclusión de que el Reino Unido garantiza un nivel adecuado de protección de los datos personales que se transfieren, en el ámbito del Reglamento (UE) 2016/679, desde la Unión Europea al Reino Unido.

(148)

En el segundo escenario, en relación con el intercambio con fines de seguridad nacional de datos recopilados por parte de una autoridad encargada del cumplimiento del Derecho penal con un servicio de inteligencia, la base jurídica que autoriza dicho intercambio es la sección 19 de la Counter Terrorism Act (Ley contra el terrorismo) de 2008 (CTA 2008) (210). Con arreglo a la CTA 2008, cualquier persona puede dar información a cualquiera de los servicios de inteligencia con el propósito de cumplir con cualquiera de las funciones de ese servicio, incluida la «seguridad nacional».

(149)

Por lo que respecta a las condiciones en virtud de las cuales pueden compartirse datos con fines de seguridad nacional, la Intelligence Services Act (211) y la Security Service Act (212) limitan la capacidad de los servicios de inteligencia para obtener datos a lo que se considera necesario para el desempeño de sus funciones estatutarias. Los organismos encargados del cumplimiento de la ley que deseen compartir datos con los servicios de inteligencia deberán tener en cuenta una serie de factores/limitaciones, además de las funciones estatutarias de los organismos, que se establecen en la Intelligence Services Act y la Security Service Act (213). La sección 20 de la CTA de 2008 deja claro que cualquier intercambio de datos con arreglo a la sección 19 debe seguir cumpliendo con la legislación en materia de protección de datos, lo que significa que se aplican todas las limitaciones y requisitos recogidos en la parte 3 de la DPA de 2018. Además, dado que las autoridades competentes son autoridades públicas a efectos de la Human Rights Act de 1998, deben garantizar que actúan de conformidad con los derechos del Convenio Europeo de Derechos Humanos, incluido su artículo 8. Estas limitaciones garantizan que todo intercambio de datos entre los organismos encargados del cumplimiento de la ley y los servicios de inteligencia cumpla con la legislación en materia de protección de datos y con el Convenio Europeo de Derechos Humanos.

(150)

En los casos en los que una autoridad competente tiene la intención de intercambiar datos personales, tratados en virtud de la parte 3 de la DPA de 2018, con las autoridades encargadas del cumplimiento de la ley de un tercer país se aplican requisitos específicos (214). En concreto, dichas transferencias pueden realizarse cuando se basan en normas en materia de adecuación adoptadas por el secretario de Estado o, en ausencia de tales regulaciones, deben asegurarse las garantías adecuadas. La sección 75 de la DPA de 2018 establece que existen garantías adecuadas cuando las establece un instrumento jurídico que vincula al destinatario, o cuando el responsable del tratamiento, una vez que ha evaluado todas las circunstancias que rodean las transferencias de ese tipo de datos personales al tercer país u organización internacional, llega a la conclusión de que existen las garantías adecuadas para proteger los datos.

(151)

Si una transferencia no se basa en una norma en materia de adecuación o en garantías adecuadas, entonces solo puede realizarse en determinas circunstancias específicas, denominadas «circunstancias especiales» (215). Este es el caso cuando la transferencia es necesaria: a) para proteger los intereses vitales del interesado o de otra persona; b) para salvaguardar intereses legítimos del interesado; c) para prevenir una amenaza inmediata y grave para la seguridad pública de un Estado miembro o de un tercer país; d) en un caso concreto a efectos de aplicación de la ley; o e) en un caso concreto con fines jurídicos (como en relación con procedimientos legales o para obtener asesoramiento jurídico). Cabe señalar que los supuestos d) y e) no se aplican si los derechos y libertades del interesado prevalecen sobre el interés público en la transferencia. Este conjunto de circunstancias corresponde a las situaciones y condiciones específicas que se califican como «excepciones» con arreglo al artículo 38 de la Directiva (UE) 2016/680.

(152)

Por otro lado, la IPA de 2016 impone garantías adicionales cuando se entrega a un tercer país material adquirido por parte de las autoridades encargadas del cumplimiento de la ley en virtud de una orden que autoriza el uso de interceptación o interferencia de equipos. En concreto, este tipo de comunicación, que se denomina «comunicación internacional», solo se permite si la autoridad emisora considera que existen acuerdos específicos adecuados que limitan el número de personas a las que se comunican los datos y la medida en que se comunica o se pone a disposición cualquier material, así como la medida en que se copia el material y el número de copias realizadas. Además, la autoridad emisora puede considerar que son necesarios acuerdos apropiados para garantizar que se destruye cada copia realizada de cualquier parte de ese material tan pronto como dejen de existir motivos pertinentes para conservarla (si no se destruye antes) (216).

(153)

Por último, en el futuro podrían realizarse transferencias ulteriores del Reino Unido a los Estados Unidos sobre la base del Acuerdo entre el Gobierno del Reino Unido de Gran Bretaña e Irlanda del Norte y el Gobierno de los Estados Unidos de América sobre el acceso a datos electrónicos con el fin de combatir delitos graves (el «Acuerdo entre el Reino Unido y EE. UU.» o «el Acuerdo») (217), celebrado en octubre de 2019 (218). Si bien el Acuerdo entre el Reino Unido y EE. UU. todavía no ha entrado en vigor en el momento de la adopción de la presente Decisión, su probable entrada en vigor puede afectar a las transferencias ulteriores a Estados Unidos de datos transferidos primero al Reino Unido sobre la base de esta Decisión. Más concretamente, los datos transferidos desde la UE a proveedores de servicios en el Reino Unido podrían estar sujetos a órdenes para la producción de pruebas electrónicas emitidas por las autoridades competentes de Estados Unidos encargadas del cumplimiento de la ley, y que podrían aplicarse en el Reino Unido en virtud de dicho Acuerdo, una vez que entre en vigor. Por estos motivos, es pertinente para la presente Decisión la evaluación de las condiciones y garantías en virtud de las cuales pueden emitirse y ejecutarse dichas órdenes.

(154)

En este sentido, cabe señalar que, en primer lugar, en lo que respecta a su alcance material, el Acuerdo solo es aplicable a delitos que sean punibles con una pena máxima de encarcelación de, al menos, tres años (definido como «delito grave») (219), incluyendo «actividad terrorista». En segundo lugar, que los datos tratados en la otra jurisdicción pueden obtenerse en virtud de este Acuerdo solo como consecuencia de una «Orden [...] sujeta a control o supervisión, con arreglo al Derecho interno de la Parte emisora, por parte de un tribunal, juez, magistrado u otra autoridad independiente antes o durante el proceso con respecto a la ejecución de la Orden» (220). En tercer lugar, que cualquier orden debe «basarse en requisitos para una justificación razonable basada en hechos articulables y creíbles, particularidad, licitud y gravedad en relación con la conducta sometida a investigación» (221) y «estar dirigida a cuentas específicas, así como identificar a una persona, cuenta, dirección, dispositivo personal o cualquier otro identificador específico» (222). En cuarto lugar, que los datos obtenidos en virtud de este Acuerdo se benefician de protecciones equivalentes a las garantías específicas que brinda el denominado «Acuerdo marco UE-EE. UU.» (223), un acuerdo integral de protección de datos firmado en diciembre de 2016 por la UE y los Estados Unidos y que establece las garantías y derechos aplicables a las transferencias de datos en el ámbito de la cooperación policial, y que se incorporan todas en este Acuerdo por referencia mutatis mutandis para tener en cuenta, en particular, la naturaleza específica de las transferencias (es decir, transferencias de operadores privados a las autoridades encargadas de garantizar el cumplimiento de la ley, en lugar de transferencias entre las propias autoridades encargadas de garantizar el cumplimiento de la ley) (224). El Acuerdo entre el Reino Unido y EE. UU. establece específicamente que se aplicarán protecciones equivalentes a las que brinda el Acuerdo marco UE-EE. UU. «a toda la información personal producida durante la ejecución de órdenes sujetas al Acuerdo para producir protecciones equivalentes» (225).

(155)

Los datos transferidos a las autoridades de los Estados Unidos en virtud del Acuerdo entre el Reino Unido y EE. UU. deberían beneficiarse de las mismas protecciones que brinda un instrumento legislativo de la UE, con las adaptaciones necesarias para reflejar la naturaleza de las transferencias en cuestión. Las autoridades del Reino Unido han confirmado, además, que las protecciones del Acuerdo marco se aplicarán a toda la información personal producida o conservada en virtud del Acuerdo, independientemente de la naturaleza o el tipo de organismo que realiza la solicitud (p. ej., tanto las autoridades policiales federales como estatales de los Estados Unidos), por lo que debe proporcionarse una protección equivalente en todos los casos. Sin embargo, las autoridades del Reino Unido también han aclarado que los detalles de la aplicación completa de las garantías de protección de datos todavía están sujetos a conversaciones entre el Reino Unido y los Estados Unidos. En el contexto de las conversaciones con los servicios de la Comisión Europea en torno a la presente decisión, las autoridades del Reino Unido confirmaron que el Acuerdo solo entrará en vigor cuando estén satisfechas de que su aplicación cumple con las obligaciones jurídicas previstas en el mismo, incluida la claridad con respecto al cumplimiento de las normas de protección de datos para cualquier dato solicitado en virtud de este Acuerdo. Dado que una posible entrada en vigor del Acuerdo puede afectar al nivel de protección valorado en la presente Decisión, el Reino Unido debe comunicar a la Comisión Europea, tan pronto como esté disponible y, en cualquier caso, antes de la entrada en vigor del Acuerdo, cualquier información y aclaración futura sobre la forma en que los Estados Unidos cumplirán con sus obligaciones en virtud del Acuerdo, a fin de garantizar un seguimiento adecuado de esta decisión en virtud de artículo 45, apartado 4, del Reglamento (UE) 2016/679. Se prestará especial atención a la aplicación y adaptación de las protecciones del Acuerdo marco al tipo específico de transferencias contempladas por el Acuerdo entre el Reino Unido y EE. UU.

(156)

De manera más general, cualquier desarrollo pertinente en lo que respecta a la entrada en vigor y la aplicación del Acuerdo se tendrá debidamente en cuenta en el contexto del seguimiento continuo de esta decisión, en especial en lo que respecta a las consecuencias necesarias que deban extraerse en caso de haber indicios de que ya no se garantiza un nivel de protección esencialmente equivalente.

(157)

Dependiendo de los poderes que emplean las autoridades competentes al tratar datos personales con fines de aplicación de la ley (ya sea en el marco de la DPA de 2018 o la IPA de 2016), diferentes organismos garantizan la supervisión del uso de estos poderes. En concreto, la ICO supervisa el tratamiento de datos personales cuando entra dentro del ámbito de la parte 3 de la DPA de 2018 (226). La Investigatory Powers Commissioner’s Office (IPCO) (227) garantiza la supervisión judicial e independiente sobre el uso de los poderes de investigación en virtud de la IPA de 2016 (esta parte se aborda en los considerandos 250 a 255). Además, el Parlamento y otros órganos garantizan una supervisión adicional.

(158)

En el anexo 13 de la DPA de 2018 se establecen las funciones generales de la ICO, cuya independencia y organización se detallan en el considerando 87, en relación con el tratamiento de datos personales que entran en el ámbito de aplicación de la parte 3 de dicha Ley. La labor principal de la ICO es la supervisión y el cumplimiento de la parte 3 de la DPA de 2018, así como promover la sensibilización del público, asesorar al Parlamento, al Gobierno y a otras instituciones y organismos. A fin de mantener la independencia del poder judicial, la ICO no está autorizada para ejercer sus funciones en relación con el tratamiento de datos personales por parte de una persona en el ejercicio de su función judicial o de un tribunal que actúe en el ejercicio de su función judicial. En estas circunstancias, otros organismos ejercerían las funciones de supervisión, como se explica en los considerandos 99 a 103.

(159)

La ICO tiene competencias generales de investigación, corrección, autorización y asesoramiento en relación con el tratamiento de datos personales que entra en el ámbito de la parte 3 de la DPA. En particular, la ICO tiene competencias para notificar al responsable o al encargado del tratamiento acerca de una supuesta infracción de la parte 3 de la DPA de 2018, emitir advertencias o sanciones a un responsable o encargado del tratamiento que haya infringido las disposiciones de la parte 3 de la Ley, así como para emitir por propia iniciativa o previa solicitud dictámenes al Parlamento, al Gobierno u otras instituciones y organismos, así como al público sobre cualquier tema relacionado con la protección de datos personales (228).

(160)

Además, la ICO tiene competencias para emitir avisos de información (229), de evaluación (230) y de ejecución (231), así como la competencia para acceder a los documentos de responsables y encargados del tratamiento, acceder a sus instalaciones (232) y emitir multas administrativas en forma de avisos de sanción (233). La política de acción reguladora de la ICO establece las circunstancias en virtud de las cuales emitir un aviso de información, de evaluación, de ejecución o de sanción (234) [véase también el considerando 93 y los considerandos 101 y 102 de la decisión de adecuación de la Directiva (UE) 2016/680].

(161)

Según sus últimos informes anuales (2018-2019 (235), 2019-2020 (236)), la ICO ha llevado a cabo una serie de investigaciones y ha adoptado medidas de ejecución con respecto al tratamiento de datos por parte de las autoridades encargadas de garantizar el cumplimiento de la ley. Por ejemplo, la ICO realizó una investigación y publicó un dictamen en octubre de 2019 sobre el uso de la tecnología de reconocimiento facial con fines de aplicación de la ley en lugares públicos. La investigación se centró, en concreto, en el uso de capacidades de reconocimiento facial en directo por parte de la policía de Gales del Sur y la Policía Metropolitana de Londres. La ICO investigó también la «Gangs Matrix» (237) de la Policía Metropolitana de Londres y encontró una serie de infracciones graves de la ley de protección de datos que probablemente debilitarían la confianza del público en la matriz y en cómo se estaban utilizando los datos. En noviembre de 2018, la ICO emitió un aviso de ejecución y, posteriormente, la Policía Metropolitana de Londres tomó las medidas necesarias para aumentar la seguridad y la responsabilidad, y para garantizar el uso de los datos de manera proporcional. Otro ejemplo de una medida de ejecución en esta área es la multa de 325 000 libras esterlinas emitida por la ICO en mayo de 2018 contra el Crown Prosecution Service, por perder múltiples DVD sin cifrar que contenían grabaciones de entrevistas policiales. La ICO realizó llevó también a cabo investigaciones sobre temas más amplios; por ejemplo, en el primer semestre de 2020 sobre el uso de la extracción de teléfonos móviles con fines policiales y sobre el tratamiento de los datos de las víctimas por parte de la policía. Además, la ICO está investigando en estos momentos un caso que implica el acceso por parte de las autoridades encargadas de garantizar el cumplimiento de la ley a datos en poder de una entidad del sector privado, Clearview AI Inc. (238).

(162)

Además de los poderes de ejecución de la ICO mencionados en los considerandos 160 y 161, ciertas violaciones de la legislación en materia de protección de datos constituyen infracciones y, por tanto, pueden estar sujetas a sanciones penales (sección 196 de la DPA de 2018). Esto aplica, por ejemplo, a la obtención, comunicación o conservación de datos personales sin el consentimiento del responsable del tratamiento y a facilitar la comunicación de datos personales a otra persona sin el consentimiento del responsable del tratamiento (239); a la desanonimización de información basada en datos personales anonimizados sin el consentimiento del responsable del tratamiento encargado de la anonimización de los datos personales (240); y a obstaculizar de forma intencionada a la ICO para ejercer sus poderes en relación con la inspección de datos personales con arreglo a las obligaciones internacionales (241), realizar declaraciones falsas en respuesta a un aviso de información o destruir información en relación con avisos de información y evaluación (242).

(163)

Además de la ICO, existen varios organismos de supervisión en el ámbito penal con mandatos específicos pertinentes en cuestiones de protección de datos. Por ejemplo, el Commissioner for the Retention and Use of Biometric Material (243) (Comisionado para la Retención y Uso de Material Biométrico) y el Surveillance Camera Commissioner (244) (Comisionado de Cámaras de Vigilancia).

(164)

El Home Affairs Select Committee (Comité Selecto de Asuntos Internos) garantiza la supervisión parlamentaria en el ámbito de la aplicación de la ley. Este Comité está formado por once miembros del Parlamento, procedentes de los tres partidos políticos mayoritarios. El Comité tiene la labor de examinar el gasto, la administración y la política del Ministerio del Interior y los organismos públicos asociados, en concreto, la policía y la NCA, cuyo trabajo el Comité puede examinar específicamente (245).

(165)

El Comité puede, dentro de los límites de su competencia, elegir su propio tema de investigación, incluidos casos específicos, siempre que el tema no esté pendiente de resolución judicial. El Comité también puede buscar pruebas escritas y orales de una amplia gama de grupos e individuos relevantes. Redacta informes sobre sus conclusiones y emite recomendaciones al Gobierno (246). El Gobierno debe responder a cada una de las recomendaciones de los informes, y debe hacerlo en un plazo de sesenta días (247).

(166)

En el área de la vigilancia, el Comité también ha elaborado un informe relativo a la Regulation of Investigatory Powers Act (RIPA) de 2000 (248), que concluyó que la RIPA de 2000 no era adecuada para su propósito. Este informe se tuvo en cuenta durante la sustitución de partes importantes de la RIPA 2000 con partes de la IPA 2016. En el sitio web del Comité puede encontrarse una lista completa de las consultas (249).

(167)

En Escocia, las tareas del Home Affairs Select Committee las lleva a cabo el Justice Subcommittee on Policing, y en Irlanda del Norte el Committee for Justice (250).

(168)

Por lo que respecta al tratamiento de datos por parte de las autoridades encargadas de garantizar el cumplimiento de la ley, los mecanismos de reparación están disponibles en la parte 3 de la DPA de 2018 y en la IPA de 2016, así como en la Human Rights Act de 1998.

(169)

Esta serie de mecanismos ofrecen a los interesados acciones administrativas y judiciales efectivas que les permiten, en particular, garantizar sus derechos, en especial el derecho a acceder a sus datos personales o a obtener la rectificación o supresión de dichos datos.

(170)

En primer lugar, con arreglo a la sección 165 de la DPA de 2018, un interesado tiene el derecho a presentar una reclamación ante la ICO si considera que, en relación con datos personales que le conciernen, existe una infracción de la parte 3 de la DPA de 2018 (251). La ICO tiene la facultad de evaluar el cumplimiento del responsable y el encargado del tratamiento con la DPA de 2018, exigirles que adopten las medidas necesarias en caso de incumplimiento e imponer multas.

(171)

En segundo lugar, la DPA de 2018 establece el derecho a la tutela judicial contra la ICO si esta no maneja adecuadamente una reclamación presentada por el interesado. En concreto, si la ICO no «procesa» (252) una reclamación presentada por el interesado, el reclamante tiene acceso a la tutela judicial, ya que puede apelar ante un Tribunal de Primera Instancia (253) para que ordene a la ICO que adopte las medidas adecuadas para responder a la reclamación o para informar al reclamante sobre el progreso de la misma (254). Por otro lado, toda persona a la que la ICO entregue cualquiera de los avisos mencionados con anterioridad (aviso de información, de evaluación, de ejecución o de sanción) puede apelar ante un Tribunal de Primera Instancia. Si el tribunal considera que la decisión de la ICO no cumple con la ley o que la ICO debería haber ejercido su facultad de apreciación de manera diferente, entonces el tribunal debe permitir la apelación o sustituir cualquier otro aviso o decisión que la ICO pudiera haber dado o adoptado (255).

(172)

En tercer lugar, toda persona tiene derecho a emprender acciones judiciales contra los responsables y encargados del tratamiento directamente ante los tribunales. En concreto, con arreglo a la sección 167 de la DPA de 2018, un interesado puede obtener una reparación ante el tribunal por una infracción de su derecho en virtud de la legislación en materia de protección de datos y el tribunal puede, mediante una orden, solicitar al responsable del tratamiento que adopte (o se abstenga de adoptar) cualquier medida en relación con el tratamiento para cumplir con la DPA de 2018. Además, con arreglo a la sección 169 de la DPA de 2018, toda persona que haya sufrido daños debido a una violación de un requisito de la legislación en materia de protección de datos (incluida la parte 3 de la DPA de 2018), que no sea el RGPD del Reino Unido, tiene derecho a una compensación por dicho daño por parte del responsable o el encargado del tratamiento, salvo que el responsable o el encargado del tratamiento demuestre que el responsable o el encargado del tratamiento no son de ninguna manera responsables del hecho que dio lugar al daño. El daño incluye tanto las pérdidas económicas como los daños que no implican pérdidas económicas, por ejemplo, la ansiedad.

(173)

Por último, cualquier persona, en la medida en que considere que cualquier autoridad pública ha violado sus derechos, incluidos los derechos a la privacidad y la protección de los datos, puede obtener una reparación ante los tribunales del Reino Unido en virtud de la Human Rights Act de 1998 (256) y, después de agotar los recursos nacionales, una persona, una organización no gubernamental y grupos de personas pueden obtener una reparación ante el Tribunal Europeo de Derechos Humanos por violaciones de los derechos reconocidos por el Convenio Europeo de Derechos Humanos (257) (véase el considerando 111).

(174)

Las personas físicas pueden obtener una reparación por violaciones de la IPA de 2016 ante el Investigatory Powers Tribunal (Tribunal de Poderes de Investigación). Las vías de reparación disponibles con arreglo a la IPA de 2016 se describen en los considerandos 263 a 269 siguientes.

(175)

En el ordenamiento jurídico del Reino Unido, los servicios de inteligencia facultados para recopilar información electrónica en poder de los responsables o encargados del tratamiento por motivos de seguridad nacional, en situaciones que sean pertinentes para un escenario de adecuación, son el Servicio de Seguridad (MI5) (258), el Servicio de Inteligencia Secreto (SIS) (259) y el Cuartel General de Comunicaciones del Gobierno (260) (GCHQ) (261).

(176)

En el Reino Unido, los poderes de los servicios de inteligencia se establecen en la IPA de 2016 y la RIPA de 2000, que, junto con la DPA de 2018, define el alcance material y personal de estos poderes, así como las limitaciones y garantías para su uso. En las siguientes secciones se evalúan en detalle estos poderes, así como las limitaciones y garantías que les son aplicables.

(177)

La IPA de 2016 proporciona el marco jurídico para el uso de los poderes de investigación, esto es, el poder de interceptación, de acceso a datos de comunicación y de realizar interferencias de equipos. La IPA de 2016 introduce una prohibición general y tipifica como delito el uso de técnicas que permitan el acceso al contenido de comunicaciones, el acceso a los datos de comunicaciones o la interferencia de equipos sin autorización legal (262). Esto se refleja en el hecho de que el uso de estos poderes de investigación solo es lícito cuando se lleva a cabo sobre la base de una orden judicial o una autorización (263).

(178)

La IPA de 2016 establece normas detalladas que rigen el alcance y la aplicación de cada poder de investigación, así como sus limitaciones y garantías específicas. Se aplican diferentes normas en función del tipo de poder de investigación (interceptación de comunicaciones, adquisición y conservación de datos de comunicaciones e interferencia de equipos) (264) y en función de si el poder se ejerce sobre un objetivo específico o de forma masiva. En la sección específica más adelante se describen con detalle el alcance, las garantías y las limitaciones de cada medida prevista en la IPA de 2016.

(179)

Además, la IPA de 2016 se complementa con una serie de códigos de práctica estatutarios, emitidos por el secretario de Estado, aprobados por ambas cámaras del Parlamento (265) y aplicables en todo el país, que ofrecen orientación adicional sobre el uso de estos poderes (266). Si bien los interesados pueden basarse directamente en las disposiciones establecidas en la IPA de 2016 para ejercer sus derechos, el apartado 5, anexo 7, de la IPA de 2016 especifica que los códigos de práctica son admisibles como prueba en procesos civiles y penales, y que el tribunal o la autoridad de control puede tener en cuenta cualquier incumplimiento de los códigos al determinar la pertinencia de un asunto en un proceso judicial (267). En el contexto de su evaluación de la «calidad de la ley» de la legislación anterior del Reino Unido en el ámbito de la vigilancia, la RIPA de 2000, la Gran Sala del Tribunal Europeo de Derechos Humanos reconoció expresamente la importancia de los códigos de práctica del Reino Unido y aceptó que sus disposiciones pudiesen tenerse en cuenta al evaluar la previsibilidad de la legislación que permite la vigilancia (268).

(180)

Cabe señalar entonces que los poderes selectivos (interceptación selectiva (269), captación de datos de comunicaciones (270), conservación de datos de comunicaciones (271) e interferencia de equipos específicos (272)) están disponibles para las agencias de seguridad nacional y ciertas autoridades encargadas de garantizar el cumplimiento de la ley (273), mientras que solo los servicios de inteligencia pueden hacer uso de poderes masivos (es decir, interceptación masiva (274), adquisición masiva de datos de comunicaciones (275), interferencia masiva de equipos (276) y conjuntos de datos personales masivos (277)).

(181)

En el momento de decidir qué poder de investigación debe usarse, el servicio de inteligencia debe cumplir con los «deberes generales en relación con la privacidad» enumerados en la sección 2, apartado 2, letra a), de la IPA de 2016, que incluyen una evaluación de la necesidad y la proporcionalidad. En concreto, con arreglo a esta disposición, una autoridad pública que tenga la intención de hacer uso de un poder de investigación debe valorar i) si lo que se busca lograr por medio de la orden, autorización o aviso podría lograrse razonablemente por otros medios menos intrusivos; ii) si el nivel de protección que se aplicará en relación con cualquier obtención de información en virtud de la orden, autorización o aviso es mayor debido a la sensibilidad particular de esa información; iii) el interés público en la integridad y seguridad de los sistemas de telecomunicaciones y los servicios postales, y iv) cualquier otro aspecto de interés público en la protección de la privacidad (278).

(182)

La forma en que deben aplicarse estos criterios, y la forma en que se evalúa su cumplimiento como parte de la autorización del uso de tales poderes por parte del secretario de Estado y los comisionados judiciales independientes, se especifica con más detalle en los códigos de práctica correspondientes. En concreto, el uso de cualquiera de estos poderes de investigación debe ser siempre «proporcional al objetivo que se pretende alcanzar [lo que] implica equilibrar la gravedad de la intrusión en la privacidad (y otras consideraciones establecidas en la sección 2, apartado 2) frente a la necesidad de la actividad en términos de investigación, operativos o de capacidad». Esto significa, en particular, que «debe ofrecer una perspectiva realista de la obtención del beneficio esperado y no debe ser desproporcionado o arbitrario» y «[ninguna] interferencia con la privacidad debe considerarse proporcionada si la información que se busca podría obtenerse razonablemente por otros medios menos intrusivos» (279). Más concretamente, el cumplimiento del principio de proporcionalidad debe evaluarse atendiendo a los siguientes criterios: «i) el alcance de la injerencia propuesta en la privacidad frente al objetivo que se pretende alcanzar; ii) cómo y por qué los métodos que se adoptarán causarán la menor injerencia posible a la persona y a los demás; iii) si la actividad supone un uso adecuado de la Ley y una forma razonable, tras haber tenido en cuenta todas las alternativas razonables, de lograr el objetivo que se pretende alcanzar; iv) qué otros métodos, según corresponda, no se aplicaron o se han utilizado pero se consideran insuficientes para cumplir los objetivos operativos sin el uso del poder de investigación propuesto» (280).

(183)

En la práctica, como explicaron las autoridades del Reino Unido, esto garantiza, en primer lugar, que un servicio de inteligencia establezca el objetivo operativo (delimitando así la recogida; por ejemplo, un fin de lucha contra el terrorismo internacional en un área geográfica específica) y, en segundo lugar, sobre la base de ese objetivo operativo, tendrá que valorar qué opción técnica (por ejemplo, interceptación selectiva o masiva, interferencia de equipos o adquisición de datos de comunicaciones) es la más proporcionada (es decir, la menos intrusiva para la privacidad; véase la sección 2, apartado 2, de la IPA de 2016) al objetivo que se pretende alcanzar y que, por lo tanto, puede autorizarse con arreglo a una de las bases jurídicas disponibles.

(184)

Cabe señalar que el Relator Especial sobre el derecho a la privacidad de las Naciones Unidas, Joseph Cannataci, también señaló y acogió esta dependencia de los estándares de necesidad y proporcionalidad, y afirmó, en relación con el sistema que establece la IPA de 2016, que «[l]os procedimientos establecidos tanto dentro de los servicios de inteligencia como dentro de los organismos encargados de garantizar el cumplimiento de la ley parecen requerir sistemáticamente una consideración de la necesidad y proporcionalidad de una medida u operación de vigilancia antes de que se recomiende su autorización, así como su revisión de acuerdo con los mismos motivos» 2016 (281). Asimismo, observó que en su reunión con representantes de las autoridades encargadas de garantizar el cumplimiento de la ley y las agencias de seguridad nacional «[él] recibió una opinión consensuada de que el derecho a la privacidad debe ser una consideración primordial para cualquier decisión relacionada con las medidas de vigilancia. Todos comprendieron y valoraron la necesidad y la proporcionalidad como principios primordiales a tener en cuenta».

(185)

Los criterios específicos para la emisión de las distintas órdenes, así como las limitaciones y garantías que establece la IPA de 2016 en relación con cada poder de investigación, se detallan en los considerandos 186 a 243.

(186)

Hay tres tipos de órdenes de interceptación selectiva: la orden de interceptación selectiva (282), la orden de examen selectivo y la orden de asistencia mutua (283). En la parte 2, capítulo 1, de la IPA de 2016 se establecen las condiciones para la obtención de estas órdenes y las garantías pertinentes.

(187)

Una orden de interceptación selectiva autoriza la interceptación de las comunicaciones que se describen en la orden durante su transmisión y la obtención de otros datos pertinentes para esas comunicaciones (284), incluidos datos secundarios (285). Una orden de examen selectivo autoriza a una persona a realizar una selección para el examen del contenido interceptado obtenido en virtud de una orden de interceptación masiva (286).

(188)

Toda orden judicial con arreglo a la parte 2 de la IPA de 2016 puede emitirla el secretario de Estado (287) y ser aprobada por un comisionado judicial (288). En todos los casos, la duración de cualquier tipo de orden selectiva está limitada a seis meses (289), y se aplican normas específicas relativas a su modificación (290) y renovación (291).

(189)

Antes de emitir una orden, el secretario de Estado debe realizar una evaluación de necesidad y proporcionalidad (292). En concreto, para una orden de interceptación selectiva y una orden de examen selectivo, el secretario de Estado debe verificar si la medida es necesaria con base en uno de los siguientes motivos: en interés de la seguridad nacional; la prevención o detección de un delito grave; en interés del bienestar económico del Reino Unido (293), en la medida en que esos intereses también sean pertinentes para los intereses de la seguridad nacional (294). Por otro lado, solo puede emitirse una orden de asistencia mutua (véase el considerando 139) si el secretario de Estado considera que existen circunstancias equivalentes a aquellas en las que emitiría una orden judicial con el propósito de prevenir o detectar delitos graves (295).

(190)

Además, el secretario de Estado debe evaluar si la medida es proporcional al objetivo que se pretende alcanzar (296). La evaluación de la proporcionalidad de las medidas solicitadas debe tener en cuenta los deberes generales en relación con la privacidad que establece la sección 2, apartado 2, de la IPA de 2016, en particular la necesidad de evaluar si el objetivo que se pretende alcanzar con la orden, autorización o aviso podría lograrse razonablemente por otros medios menos intrusivos y si el nivel de protección que debe aplicarse en relación con cualquier obtención de información en virtud de la orden es mayor debido a la sensibilidad particular de esa información (véase el considerando 181).

(191)

Para ello, el secretario de Estado deberá tener en cuenta todos los elementos de la solicitud que facilite la autoridad que la presenta, en particular los relacionados con las personas a interceptar y la relevancia de la medida para la investigación. Dichos elementos se detallan en el Code of Practice on Interception of Communications y deben describirse con un cierto grado de especificidad (297). Además, la sección 17 de la IPA de 2016 requiere que cualquier orden que se emita con arreglo al capítulo 2 de dicha sección debe nombrar o describir a la persona específica o grupo de personas, organización o instalaciones que se interceptarán (el «objetivo»). Las órdenes de interceptación selectiva y las órdenes de examen selectivo también pueden estar relacionadas con un grupo de personas, más de una persona o una organización, o con más de un conjunto de instalaciones (también se denominan «órdenes temáticas») (298). En estos casos, la orden debe describir el fin o actividad común que comparte el grupo de personas o la operación/investigaciones y nombrar o describir tantas personas/organizaciones o conjunto de instalaciones, cuando sea razonablemente factible (299). Por último, todas las órdenes que se emiten con arreglo a la parte 2 de la IPA de 2016 deben especificar las direcciones, números, aparatos, factores o combinación de factores que se utilizarán para identificar las comunicaciones (300). A este respecto, el Code of Practice on Interception of Communications especifica que, en caso de una orden de interceptación selectiva y de una orden de examen selectivo, «la orden debe especificar (o describir) los factores o la combinación de factores que se utilizarán para identificar las comunicaciones. Cuando las comunicaciones deban identificarse por referencia a un número de teléfono (por ejemplo), el número se especificará plasmándose en su totalidad. Pero cuando, para identificar las comunicaciones, vayan a utilizarse selectores de conexión a Internet muy complejos o que cambian continuamente, esos selectores deberán describirse tanto como sea posible» (301).

(192)

Una garantía importante en este contexto es que la evaluación realizada por el secretario de Estado para la emisión de una orden debe aprobarla un comisionado judicial independiente (302), que comprobará en particular si la decisión de emitir la orden cumple con los principios de necesidad y proporcionalidad (303) (acerca de la condición y función de los comisionados judiciales véanse los considerandos 251 a 256). La IPA de 2016 aclara también que, al realizar dicha comprobación, el comisionado judicial debe aplicar los mismos principios que aplicaría un tribunal en una solicitud de revisión judicial (304). Esto garantiza que, en cada caso, y antes de que se produzca el acceso a los datos, un organismo independiente compruebe sistemáticamente el cumplimiento del principio de necesidad y proporcionalidad.

(193)

La IPA de 2016 prevé pocas excepciones específicas y estrictas para llevar a cabo interceptaciones selectivas sin una orden. Los casos limitados se detallan en la ley (305) y, salvo el caso basado en el «consentimiento» del remitente/destinatario, los llevan a cabo personas (organismos públicos o privados) distintas a las agencias de seguridad nacional. Además, este tipo de interceptaciones se llevan a cabo para fines distintos de la recopilación de «inteligencia» (306) y, para algunas de ellas, es muy improbable que la recogida pueda tener lugar en el contexto de un escenario de «transferencia» (por ejemplo, en caso de interceptación realizada en un hospital psiquiátrico o en prisión). Teniendo en cuenta la naturaleza del organismo al que se aplican estos casos específicos (distinto de las agencias de seguridad nacional), se aplicarán todas las garantías previstas en la parte 2 de la DPA de 2018 y en el RGPD del Reino Unido, incluida la supervisión de la ICO y los mecanismos de reparación disponibles. Por otra parte, además de las garantías proporcionadas por la DPA de 2018, en algunos casos, la IPA de 2016 también prevé la supervisión ex post de la IPCO (307).

(194)

Cuando se lleva a cabo una interceptación, se aplican limitaciones y garantías adicionales relacionadas con la condición específica de la persona o personas interceptadas (308). Por ejemplo, la interceptación de artículos sujetos a la prerrogativa de confidencialidad solo está autorizada cuando se dan circunstancias excepcionales y apremiantes; la persona que emite la orden debe tener en cuenta el interés público en la confidencialidad de los artículos sujetos a tal prerrogativa, así como la existencia de requisitos específicos para el manejo, conservación y comunicación de dicho material (309).

(195)

Además, la IPA de 2016 dispone garantías específicas relacionadas con la seguridad, la conservación y la comunicación, que el secretario de Estado debe tener en cuenta antes de emitir una orden selectiva (310). En concreto, la sección 53, apartado 5, de la IPA de 2016, establece que toda copia de cualquier material recogido con arreglo a la orden se conserve de manera segura y se destruya tan pronto como ya no existan motivos pertinentes para conservarlo, mientras que la sección 53, apartado 2, de la IPA de 2016 requiere que el número de personas a las que se comunique el material y la medida en que se comunique, se ponga a disposición o se copie debe limitarse al mínimo necesario para los fines jurídicos.

(196)

Por último, cuando el material que ha sido interceptado, ya sea por medio de una orden de interceptación selectiva o de una orden de asistencia mutua, debe entregarse a un tercer país («comunicación internacional»), la IPA de 2016 dispone que el secretario de Estado debe asegurarse de que hay acuerdos en vigor que garanticen la existencia de garantías similares en materia de seguridad, conservación y comunicación en ese tercer país (311). Además, la sección 109, apartado 2, de la DPA de 2018 establece que los servicios de inteligencia solo pueden transferir datos personales fuera del territorio del Reino Unido si la transferencia constituye una medida necesaria y proporcionada a efectos de las funciones estatutarias del responsable del tratamiento o para otros fines dispuestos en la sección 2, apartado 2, letra a), de la Security Service Act de 1989 o en la sección 2, apartado 2, letra a), y la sección 4, apartado 2, letra a), de la Intelligence Services Act de 1994 (312). Es importante señalar que estos requisitos también se aplican en los casos en que se recurra a la exención de seguridad nacional con arreglo a la sección 110 de la DPA de 2018, ya que esa sección no menciona la sección 109 de la DPA de 2018 como una de las disposiciones que pueden no aplicarse si se requiere una exención de determinadas disposiciones con el fin de salvaguardar la seguridad nacional.

(197)

La IPA de 2016 permite que el secretario de Estado exija a los operadores de telecomunicaciones que retengan los datos de las comunicaciones con el fin de obtener acceso selectivo por parte de una variedad de autoridades públicas, incluidos los organismos encargados de garantizar el cumplimiento de la ley y los servicios de inteligencia. La parte 4 de la IPA de 2016 prevé la conservación de datos de comunicaciones, mientras que la parte 3 prevé la adquisición selectiva de datos de comunicaciones. Las partes 3 y 4 de la IPA de 2016 también establecen limitaciones específicas sobre el uso de estos poderes y disponen garantías específicas.

(198)

El término «datos de comunicaciones» cubre el «quién», «cuándo», «dónde» y «cómo» de la comunicación, pero no el contenido, es decir, no cubre lo que se dice o lo que está escrito. La adquisición y la conservación de datos de comunicaciones, a diferencia de la interceptación de datos, no están destinadas a obtener el contenido de las comunicaciones, sino a obtener información como el abonado a un servicio telefónico o una facturación desglosada. Esto podría incluir el tiempo y la duración de la comunicación, el número o la dirección de correo electrónico del originador/remitente y el destinatario y, a veces, la ubicación de los dispositivos desde los que se realizó la telecomunicación (313).

(199)

Cabe señalar que la conservación y adquisición de datos de comunicaciones, por lo general, no se referirá a los datos personales de interesados de la UE transferidos al Reino Unido en virtud de la presente Decisión. La obligación de conservar o comunicar datos de comunicaciones, con arreglo a las partes 3 y 4 de la IPA de 2016, cubre los datos recogidos por los operadores de telecomunicaciones en el Reino Unido directamente de los usuarios de un servicio de telecomunicaciones (314). Este tipo de tratamiento «de cara al cliente» generalmente no implica una transferencia sobre la base de esta Decisión, es decir, una transferencia de un responsable/encargado del tratamiento en la UE a un responsable/encargado del tratamiento en el Reino Unido.

(200)

Sin embargo, en aras de la exhaustividad, en los siguientes considerandos se analizan las condiciones y garantías que rigen estos regímenes de adquisición y conservación.

(201)

Como premisa, cabe señalar que la conservación y la adquisición selectiva de datos de comunicaciones están a disposición tanto de las agencias de seguridad nacional como de determinadas autoridades encargadas de garantizar el cumplimiento de la ley (315). Las condiciones para exigir la conservación o la adquisición de datos de comunicaciones pueden variar en función del motivo para solicitar la medida, a saber, a efectos de seguridad nacional o de aplicación de la ley.

(202)

En particular, si bien el nuevo régimen ha introducido el requisito general de una autorización ex ante por parte de un organismo independiente, que se aplicará en todos los casos en que se conserven o adquieran datos de comunicaciones (a efectos de aplicación de la ley o de seguridad nacional), a raíz de la sentencia Tele2/Watson del Tribunal de Justicia de la Unión Europea (316), se han introducido garantías específicas cuando la medida se solicita a efectos de aplicación de la ley. En particular, cuando se solicite la conservación o la adquisición de datos de comunicaciones a efectos de aplicación de la ley, la autorización ex ante siempre debe ser otorgada por el Investigatory Powers Commissioner. Este no siempre es el caso cuando la medida se solicita a efectos de seguridad nacional, ya que, como se describe a continuación, en algunos casos, este tipo de medidas puede ser autorizado por otra «persona encargada de la autorización». Además, el nuevo régimen ha elevado a «delitos graves» el umbral para el que puede permitirse la conservación y la adquisición de datos de comunicaciones (317).

(203)

De conformidad con la parte 3 de la IPA de 2016, las autoridades públicas pertinentes están autorizadas para obtener datos de comunicaciones de un operador de telecomunicaciones o de cualquier persona capaz de obtener y comunicar dichos datos. La autorización puede no permitir la interceptación del contenido de las comunicaciones (318) y deja de tener efecto al cabo de un mes (319), con la posibilidad de ser renovada sujeta a una autorización adicional (320). La adquisición de datos de comunicaciones requiere una autorización del Investigatory Powers Commissioner (321) (para más información sobre la condición y los poderes del Investigatory Powers Commissioner, véanse los considerandos 250 a 251). Este es siempre el caso cuando una autoridad encargada de garantizar el cumplimiento de la ley solicita la adquisición de datos de comunicaciones. Sin embargo, de acuerdo con la sección 61 de la IPA de 2016, cuando los datos se adquieren en interés de la seguridad nacional o el bienestar económico del Reino Unido, siempre que sean pertinentes para la seguridad nacional, o cuando la solicitud la realiza un miembro de un servicio de inteligencia con arreglo a la sección 61, apartado 7, letra b) (322), la adquisición puede autorizarla de manera alternativa (323) el Investigatory Powers Commissioner o un funcionario de alto rango designado (324). El funcionario designado debe ser independiente de la investigación u operación en cuestión y tener conocimientos prácticos de los principios y la legislación en materia de derechos humanos, específicamente los principios de necesidad y proporcionalidad (325). La decisión adoptada por el funcionario designado estará sujeta a una supervisión ex post por parte del Investigatory Powers Commissioner (véase el considerando 254) para más información sobre las funciones de supervisión ex post del Investigatory Powers Commissioner].

(204)

La autorización para adquirir datos de comunicaciones se basa en una evaluación de la necesidad y proporcionalidad de la medida. En concreto, la necesidad de la medida se evalúa a la luz de los motivos enumerados en la legislación (326). Teniendo en cuenta el carácter específico de esta medida, también debe ser necesaria para una investigación u operación específica (327). En el Code of Practice on Communication Data se establecen requisitos adicionales sobre la evaluación de la necesidad de las medidas (328). En particular, el código dispone que la solicitud presentada por la autoridad solicitante debe identificar tres elementos mínimos para justificar la necesidad de dicha solicitud: i) el evento bajo investigación, como un crimen o la ubicación de una persona vulnerable desaparecida; ii) la persona cuyos datos se buscan, como puede ser un sospechoso, testigo o desaparecido, y cuál es su vinculación con el hecho; y iii) los datos de comunicaciones buscados, como un número telefónico o una dirección IP, y cómo se relacionan estos datos con la persona y el evento (329).

(205)

Además, la adquisición de datos de comunicaciones debe ser proporcional al objetivo que se pretende alcanzar (330). El Code of Practice on Interception of Communications especifica que, al realizar dicha evaluación, la persona encargada de la autorización debe realizar un ejercicio de equilibrio entre «el alcance de la interferencia con los derechos y libertades de una persona frente a un beneficio específico para la investigación u operación que realiza una autoridad pública pertinente en interés público» y que, teniendo en cuenta todas las consideraciones de un caso particular, «una injerencia en los derechos de un individuo puede no estar justificada, debido a que el impacto adverso en los derechos de otro individuo o grupo de individuos es demasiado serio». Además, para evaluar específicamente la proporcionalidad de la medida, el código enumera una serie de elementos que deben incluirse en la solicitud presentada por la autoridad solicitante (331). Debe prestarse también especial atención al tipo de datos de comunicación (datos de «entidad» o «eventos» (332)) que van a adquirirse y debe darse preferencia al uso de una categoría de datos menos intrusiva (333). El Code of Practice on Interception of Communications contiene también instrucciones específicas para autorizaciones que involucran datos de comunicaciones de personas en profesiones particulares (como médicos, abogados, periodistas, parlamentarios o ministros religiosos) (334), y que están sujetos a garantías adicionales (335).

(206)

La parte 4 de la IPA de 2016 establece las normas relativas a la conservación de datos de comunicaciones y, en específico, los criterios que permiten al secretario de Estado emitir un aviso de conservación (336). Las garantías que introduce la IPA de 2016 se son las mismas cuando los datos se conservan con fines de aplicación de la ley o en interés de la seguridad nacional.

(207)

La emisión de dichos avisos de conservación tiene como objetivo garantizar que los operadores de telecomunicaciones conserven, durante un período máximo de doce meses, los datos de comunicaciones pertinentes que, de otro modo, se eliminarían una vez que dejan de ser necesarios para fines comerciales (337). Los datos conservados deben estar disponibles durante el período requerido en caso de que, posteriormente, sea necesario que una autoridad pública los adquiera en virtud de una autorización para una adquisición selectiva de datos de comunicaciones contemplada por la parte 3 del IPA de 2016, y descrita en los considerandos 203 a 205.

(208)

El ejercicio de la facultad de exigir la conservación de determinados datos está sujeto a una serie de limitaciones y garantías. El secretario de Estado puede emitir un aviso de conservación a uno o varios operadores (338) solo cuando considere que el requisito de conservación de los datos es necesario para uno de los fines jurídicos (339) y es proporcional al objetivo que se pretende alcanzar (340). Como especifica la IPA de 2016 (341), antes de emitir un aviso de conservación, el secretario de Estado debe tener en cuenta: los beneficios probables del aviso (342); una descripción de los servicios de telecomunicaciones; la conveniencia de limitar los datos que se conservarán por referencia a la ubicación o descripciones de las personas a las que se prestan los servicios de telecomunicaciones (343); el número probable de usuarios (si se conoce) de cualquier servicio de telecomunicaciones al que se refiere el aviso (344); la viabilidad técnica de cumplir con el aviso; el coste probable de cumplir con el aviso, y cualquier otro efecto que el aviso tenga en el operador de telecomunicaciones (o descripción de los operadores) al que hace referencia (345). Como se explica en detalle en el capítulo 17 del Code of Practice on Interception of Communications, todos los avisos de conservación deben especificar cada tipo de datos que deben conservarse y cómo ese tipo de datos cumple con las evaluaciones necesarias para la conservación.

(209)

En todos los casos (tanto a efectos de seguridad nacional como de aplicación de la ley), la decisión del secretario de Estado de emitir el aviso de conservación debe ser aprobada por un comisionado judicial independiente, con arreglo al denominado «procedimiento de doble llave», quien debe comprobar, en particular, si el aviso de conservación de los datos de comunicaciones pertinentes es necesario y proporcionado para uno o varios de los fines jurídicos (346).

(210)

La interferencia de equipos consiste en un conjunto de técnicas que se utilizan para obtener una variedad de datos procedentes de equipos (347), que incluyen ordenadores, tabletas y teléfonos inteligentes, así como cables y dispositivos de almacenamiento de datos (348). La interferencia de equipos permite obtener tanto el contenido de las comunicaciones como los datos del equipo (349).

(211)

Con arreglo a la sección 13, apartado 1, de la IPA de 2016, las interferencias de equipos por parte de un servicio de inteligencia requieren una autorización mediante orden judicial de acuerdo con el procedimiento de «doble bloqueo» establecido por la IPA de 2016, siempre que exista una «conexión con las Islas Británicas» (350). Según las aclaraciones proporcionadas por las autoridades del Reino Unido, en situaciones en las que los datos se transfieran de la UE al Reino Unido dentro del alcance de la presente Decisión, siempre habrá una «conexión con las Islas Británicas» y, por lo tanto, cualquier interferencia de equipos que cubriera dichos datos estaría sujeta al requisito de autorización obligatoria de la sección 13, apartado 1, de la IPA de 2016 (351).

(212)

En la parte 5 de la IPA de 2016 se establecen las normas sobre las garantías de interferencia selectiva de equipos. De manera similar a la interceptación selectiva, la interferencia selectiva de equipos debe estar relacionada con un «objetivo» específico, que debe reflejarse en la orden judicial (352). El asunto y el tipo de equipo que se interferirá determinan los detalles sobre cómo debe identificarse un «objetivo». En concreto, la sección 115, apartado 3, de la IPA de 2016 especifica los elementos que deben incluirse en la orden (p. ej. el nombre de la persona u organización y la descripción de la ubicación) dependiendo, por ejemplo, de si la interferencia está relacionada con un equipo que pertenece, lo utiliza o está en posesión de una persona específica, una organización o un grupo de personas, si se encuentra en una ubicación específica, etc. (353). Los fines para los cuales pueden emitirse órdenes de interferencia selectiva de equipos dependen de la autoridad pública que las solicite (354).

(213)

De manera similar a la interceptación selectiva, la autoridad emisora debe tener en cuenta si la medida es necesaria para lograr un fin específico, así como si es proporcional al objetivo que se pretende alcanzar (355). Además, también debe considerar si hay garantías en relación con la seguridad, la conservación y la comunicación, así como en relación con la «comunicación internacional» (356) (véase el considerando 196).

(214)

La orden debe aprobarla un comisionado judicial, salvo en caso de urgencia (357). En este último caso, es necesario informar al comisionado judicial de que se ha emitido una orden y este debe aprobarla en un plazo de tres días hábiles. El caso de que el comisionado no apruebe la orden, esta dejará de tener efecto y no podrá renovarse (358). Además, el comisionado está facultado para exigir que se suprima cualquier dato obtenido en virtud de la orden (359). El hecho de que se emita una orden con urgencia no afecta a la supervisión ex post (véanse los considerandos 244 a 255) ni las posibilidades para que las personas busquen reparación (véanse los considerandos 260 a 270). Las personas pueden presentar un recurso ante la ICO o presentar una reclamación con respecto a cualquier presunta conducta ante el Investigatory Powers Tribunal (Tribunal de Poderes de Investigación) del modo habitual. En todos los casos, la prueba que aplica el comisionado judicial a la hora de decidir si aprueba o no una orden es el examen de necesidad y proporcionalidad aplicable a las solicitudes de interceptación selectiva (360) (véase el considerando 192).

(215)

Por último, las garantías específicas aplicables a la interceptación selectiva se aplican también a la interferencia de equipos en lo que respecta a la duración, renovación y modificación de la orden judicial, así como a la interceptación de miembros del Parlamento, de elementos sujetos a la prerrogativa de confidencialidad y de material periodístico (véase el considerando 193 para más información).

(216)

La parte 6 de la IPA de 2016 regula los poderes masivos. Por su parte, los códigos de práctica ofrecen más información sobre el uso de los poderes masivos. Si bien no existe una definición en el Derecho del Reino Unido de «poderes masivos», en el contexto de la IPA de 2016 se ha descrito como la recogida y conservación de grandes cantidades de datos adquiridos por el Gobierno a través de varios medios (es decir, los poderes de interceptación masiva, adquisición masiva, interferencia masiva de equipos y conjuntos de datos personales masivos) y a los que las autoridades pueden acceder posteriormente. Esta descripción se precisa al contrastarla con lo que no son «poderes masivos»: no equivale a la denominada «vigilancia masiva» sin limitaciones ni garantías. Por el contrario, como se explica a continuación, incorpora limitaciones y garantías diseñadas para asegurar que el acceso a los datos no se haga de forma indiscriminada o injustificada (361). En concreto, solo puede hacerse uso de los poderes masivos si se establece un vínculo entre la medida técnica que un servicio de inteligencia nacional pretende utilizar y el objetivo operativo para el que se solicita dicha medida.

(217)

Además, los poderes masivos están disponibles solamente para los servicios de inteligencia y siempre están sujetos a una orden emitida por el secretario de Estado y aprobada por un comisionado judicial. Al escoger los medios para recopilar datos, debe tenerse en cuenta si el objetivo en cuestión puede alcanzarse por «medios menos intrusivos» (362). Este enfoque deriva del marco de la legislación que se basa en el principio de proporcionalidad y, por lo tanto, prioriza la recogida selectiva sobre la recogida masiva.

(218)

El régimen para la interceptación masiva se recoge en la parte 6, capítulo 1, de la IPA de 2016, mientras que la parte 6, capítulo 3, regula la interferencia masiva de equipos. Estos regímenes son, en esencia, los mismos, por lo que las condiciones y las garantías adicionales aplicables a las correspondientes órdenes se analizan en conjunto.

(219)

Las órdenes de interceptación masiva se limitan a la interceptación de comunicaciones producidas en el curso de su transmisión, enviada o recibida por personas que se encuentran fuera de las Islas Británicas (363), las denominadas «comunicaciones internacionales» (364), así como otros datos pertinentes y la posterior selección para examen del material interceptado (365). Una orden de interferencia masiva de equipos (366) autoriza al destinatario a asegurar la interferencia con cualquier equipo con el fin de obtener comunicaciones internacionales (incluyendo cualquier elemento que comprenda voz, música, sonidos, imágenes visuales o datos de cualquier descripción), datos de equipos (datos que habilitan o facilitan el funcionamiento de un servicio postal; un sistema de telecomunicaciones; o un servicio de telecomunicaciones) o cualquier otro tipo de información (367).

(220)

El secretario de Estado puede emitir una orden masiva solo en respuesta a una solicitud realizada por un director de un servicio de inteligencia (368). Una orden que autorice una interceptación masiva o una interferencia masiva de equipos debe emitirse solo si es necesario para el interés de la seguridad nacional y para un fin adicional de prevención o detección de delitos graves, o en interés del bienestar económico del Reino Unido cuando sea pertinente para la seguridad nacional (369). Además, la sección 142, apartado 7, de la IPA de 2016 establece que una orden de interceptación masiva debe incluir más detalles que la simple referencia a los «intereses de la seguridad nacional», el «bienestar económico del Reino Unido» y la «prevención y lucha contra la delincuencia grave», y que debe establecerse un vínculo entre la medida que va a solicitarse y uno o varios fines operativos que deberán incluirse en la orden.

(221)

La elección del fin operativo es el resultado de un proceso a varios niveles. La sección 142, apartado 4, de la IPA de 2016 dispone que los fines operativos que se precisen en la orden judicial deben especificarse también en una lista que mantendrán los directores de los servicios de inteligencia, como fines que ellos consideran que constituyen fines operativos para los cuales puede seleccionarse para examen el contenido interceptado o los datos secundarios obtenidos en virtud de órdenes de interceptación masiva. El secretario de Estado debe aprobar la lista de fines operativos. El secretario de Estado solo puede conceder dicha aprobación si está convencido de que el propósito operativo se especifica con un mayor nivel de detalle que los motivos generales para autorizar la orden (seguridad nacional o seguridad nacional y bienestar económico o prevención de delitos graves) (370). Al final de cada período pertinente de tres meses, el secretario de Estado debe entregar una copia de la lista de fines operativos al Intelligence and Security Committee (Comité de Inteligencia y Seguridad) del Parlamento. Por último, el primer ministro debe revisar la lista de fines operativos, por lo menos, una vez al año (371). Como señaló el Tribunal Superior, «[n]o deben tomarse por garantías insignificantes, ya que junto construyen un intrincado conjunto de modos de rendición de cuentas que involucran al Parlamento y a miembros del Gobierno al más alto nivel» (372).

(222)

Dichos fines operativos también limitan el alcance selección del material de interceptación para la etapa de examen. La selección para examen de cualquier material recogido en virtud de la orden masiva debe justificarse a la luz del(los) fin(es) operativo(s). Como explicaron las autoridades del Reino Unido, esto significa que el secretario de Estado debe evaluar ya en la etapa de solicitud de la orden las disposiciones prácticas en relación con el examen, proporcionando detalles suficientes para cumplir con los deberes estatutarios en virtud de las secciones 152 y 193 de la IPA de 2016 (373). Los detalles que se proporcionen al secretario de Estado en relación con dichas disposiciones deberían incluir, por ejemplo, información (cuando corresponda) sobre cómo las disposiciones de filtrado pueden variar a lo largo del tiempo en que una orden tendrá validez (374). Para más información sobre el proceso y las garantías aplicadas en las fases de filtrado y examen, véase el considerando 229.

(223)

Un poder masivo solo puede autorizarse si es proporcional al objetivo que se pretende alcanzar (375). Como se especifica en el Code of Practice on Interception of Communications, cualquier evaluación de la proporcionalidad implica «equilibrar la seriedad de la intrusión en la privacidad (y otras consideraciones establecidas en la sección 2, apartado 2) con la necesidad de la actividad en términos de investigación, operatividad y capacidad. La conducta autorizada debe ofrecer una perspectiva realista de generar el beneficio esperado y no debe ser desproporcionada ni arbitraria» (376). Como ya se ha indicado, en la práctica esto significa que la evaluación de la proporcionalidad se basa en una prueba de equilibrio entre el objetivo que se pretende alcanzar [«fin(es) operativo(s)»] y las opciones técnicas disponibles (p. ej., interceptación, interferencia de equipos y adquisición de datos de comunicaciones, selectivas o masivas), dando preferencia a los medios menos intrusivos (véanse los considerandos 181 y 182). Cuando más de una medida es adecuada para el objetivo, entonces debe optarse por los medios menos intrusivos.

(224)

Una garantía adicional en la evaluación de la proporcionalidad de la medida solicitada queda garantizada por el hecho de que el secretario de Estado debe recibir la información pertinente necesaria para realizar debidamente su evaluación. En concreto, el Code of Practice on Interception of Communications y el Code of Practice on Equipment Interference requieren que la solicitud presentada por la autoridad pertinente indique la información previa asociada a la solicitud, la descripción de las comunicaciones que se interceptarán y los operadores de telecomunicaciones requeridos para ayudar, la descripción de la conducta que se autorizará, los fines operativos y una explicación de por qué la conducta es necesaria y proporcionada (377).

(225)

Por último, y un paso importante, es que la decisión del secretario de Estado de emitir la orden debe ser aprobada por un comisionado judicial independiente, que deberá valorar la evaluación de la necesidad y proporcionalidad de la medida propuesta utilizando los mismos principios que utilizaría un tribunal en una solicitud de control jurisdiccional (378). Más concretamente, el comisionado judicial revisará las conclusiones del secretario de Estado en cuanto a si la orden es necesaria y si la conducta es proporcionada a la luz de los principios establecidos en la sección 2, apartado 2, de la IPA de 2016 (deberes generales en relación con la privacidad). Asimismo, el comisionado judicial revisará las conclusiones del secretario de Estado en relación con si cada uno de los fines operativos especificados en la orden es un fin para el cual es, o puede ser, necesaria la selección. Si el comisionado judicial se niega a aprobar la decisión de emitir una orden, el secretario de Estado podrá entonces: i) aceptar la decisión y, por lo tanto, no emitir la orden; o ii) remitir el asunto al Investigatory Powers Commissioner para una decisión (salvo que el Investigatory Powers Commissioner haya tomado la decisión original) (379).

(226)

La IPA de 2016 ha introducido límites adicionales en torno a la duración, renovación y modificación de las órdenes masivas. La orden debe tener una duración máxima de seis meses y cualquier decisión de renovación o modificación (excepto modificaciones menores) de la orden también debe aprobarla un comisionado judicial (380). El Code of Practice on Interception of Communications y el Code of Practice on Equipment Interference establecen que un cambio en los fines operativos de la orden se considera una modificación mayor de la misma (381).

(227)

De manera similar a lo que se estipula para la interceptación selectiva, la parte 6 de la IPA de 2016 establece que el secretario de Estado debe asegurarse de que estén vigentes los acuerdos para ofrecer garantías sobre la conservación y comunicación del material obtenido en virtud de la orden (382), así como para las comunicaciones internacionales (383). En concreto, la sección 150, apartado 5, y la sección 191, apartado 5, de la IPA de 2016 requieren que toda copia hecha de cualquier material recogido en virtud de la orden judicial se almacene de forma segura y se destruya tan pronto como ya no existan motivos pertinentes para retenerla, mientras que la sección 150, apartado 2, y la sección 191, apartado 2 requieren que el número de personas a quienes se comunica el material y la medida en que se comunica, se pone a disposición o se copia cualquier material debe limitarse al mínimo necesario para los fines estatutarios (384).

(228)

Por último, cuando el material que ha sido interceptado, ya sea mediante una interceptación masiva o una interferencia masiva de equipos, debe entregarse a un tercer país («comunicación internacional»), la IPA de 2016 dispone que el secretario de Estado debe asegurarse de que hay acuerdos en vigor que garanticen la existencia de garantías similares en materia de seguridad, conservación y comunicación en ese tercer país (385). Además, la sección 109 de la DPA de 2018 establece requisitos específicos para las transferencias internacionales de datos personales por parte de los servicios de inteligencia a terceros países u organizaciones internacionales, y no permite las transferencias de datos personales a un país o territorio fuera del Reino Unido o a una organización internacional, a menos que la transferencia sea necesaria y proporcionada a efectos de las funciones estatutarias del responsable del tratamiento o para otros fines dispuestos en la sección 2, apartado 2, letra a), de la Security Service Act de 1989 o en la sección 2, apartado 2, letra a), y la sección 4, apartado 2, letra a), de la Intelligence Services Act de 1994 (386). Es importante señalar que estos requisitos también se aplican en los casos en que se recurra a la exención de seguridad nacional con arreglo a la sección 110 de la DPA de 2018, ya que esa sección no menciona la sección 109 de la DPA de 2018 como una de las disposiciones que pueden no aplicarse si se requiere una exención de determinadas disposiciones con el fin de salvaguardar la seguridad nacional.

(229)

Una vez que se ha aprobado la orden y que los datos se han recogido de forma masiva, estos quedarán sujetos a una selección antes de ser examinados. La fase de selección y examen está sujeta a una evaluación de la proporcionalidad adicional que lleva a cabo el analista, quien define los criterios de selección sobre la base de los propósitos operativos incluidos en la orden (y las disposiciones de filtrado que puedan existir). Como establecen las secciones 152 y 193 de la IPA, al emitir la orden, el secretario de Estado debe asegurarse de que existan disposiciones para garantizar que la selección del material se lleve a cabo solo para los fines operativos especificados y que sea necesaria y proporcionada en todas las circunstancias. En este sentido, las autoridades del Reino Unido aclararon que el material que se intercepta de forma masiva se selecciona, en primer lugar, mediante un filtrado automatizado con el objetivo de descartar datos que probablemente no sean de interés para la seguridad nacional. Los filtros variarán de tanto en tanto (a medida que cambien los patrones, tipos y protocolos del tráfico de internet) y dependerán de la tecnología y del contexto operativo. Una vez superada esta fase, solo podrán seleccionarse datos para examen si resultan pertinentes para los fines operativos que aparecen reflejados en la orden (387). Las garantías previstas por la IPA de 2016 para el examen del material recogido se aplican a todo tipo de datos (tanto contenidos interceptados como datos secundarios) (388). Las secciones 152 y 193 de la IPA de 2016 también establecen una prohibición general para la selección del material a examinar que se refiera a conversaciones enviadas por o destinadas a personas que se encuentran en las Islas Británicas. Si las autoridades desean examinar este material, tendrán que enviar una solicitud para una orden de examen selectivo en virtud de las partes 2 y 4 de la IPA de 2016, que emitirá el secretario de Estado y deberá aprobar un comisionado judicial (389). Si una persona selecciona para examen de forma deliberada contenido interceptado, incumpliendo de esta forma los requisitos establecidos en la legislación (390), incurre en un delito (391).

(230)

La evaluación realizada por el analista sobre la selección del material está sujeta a una supervisión ex post por parte del comisionado judicial, que evalúa el cumplimiento de las garantías específicas establecidas en la IPA de 2016 para la fase de examen (392) (véase también el considerando 229). El comisionado judicial debe someter a revisión continua (incluso mediante procesos de auditoría, inspección e investigación) el ejercicio por parte de las autoridades públicas de los poderes de investigación recogidos en la IPA de 2016 (393). A este respecto, el Code of Practice on Interception of Communications y el Code of Practice on Equipment Interference especifican que la agencia debe mantener registros con fines de posteriores exámenes y auditorías, y que estos registros deben describir por qué es necesario y proporcionado el acceso al material por parte de personas autorizadas, así como los fines operativos aplicables (394). Por ejemplo, en su informe anual de 2018, la Investigatory Powers Commissioner Office (395) concluyó que las justificaciones registradas por los analistas para el examen de cierto material recogido de forma masiva cumplían con el estándar de proporcionalidad requerido, proporcionando suficientes detalles acerca de los motivos de sus «consultas» en relación con el objetivo que se pretendía alcanzar (396). En su informe de 2019, la IPCO, en relación con los poderes masivos, declaró claramente su intención de continuar las inspecciones de las interceptaciones masivas, incluido un examen detallado de los selectores y criterios de búsqueda (397). Asimismo, seguirá examinando cuidadosamente, caso por caso, la elección de las medidas de vigilancia (específicas frente a masivas) tanto durante el examen de las solicitudes de órdenes en virtud del procedimiento de doble bloqueo como en las inspecciones (398). Este seguimiento ulterior se tendrá debidamente en cuenta en el contexto del seguimiento por parte de la Comisión de esta Decisión a que se hace referencia en los considerandos 281 a 284.

(231)

La parte 6, capítulo 2, de la IPA de 2016 regula las órdenes de adquisición masiva de datos que autorizan al destinatario a exigir a un operador de telecomunicaciones la comunicación u obtención de cualquier dato de comunicaciones en posesión de este último. Estas órdenes autorizan también a la autoridad solicitante a seleccionar los datos para la fase posterior de examen. Al igual que sucede con la conservación y adquisición selectivas de datos de comunicaciones (véase el considerando 199), la adquisición masiva de datos de comunicaciones normalmente no afecta a los datos personales de interesados de la UE transferidos en virtud de la presente Decisión al Reino Unido. La obligación de comunicar datos de comunicaciones, con arreglo a la parte 6, capítulo 2, de la IPA de 2016, cubre los datos recogidos por los operadores de telecomunicaciones en el Reino Unido directamente de los usuarios de un servicio de telecomunicaciones (399). Este tipo de tratamiento «de cara al cliente» generalmente no implica una transferencia sobre la base de esta Decisión, es decir, una transferencia de un responsable/encargado del tratamiento en la UE a un responsable/encargado del tratamiento en el Reino Unido.

(232)

Sin embargo, en aras de la exhaustividad, a continuación se describen las condiciones y garantías que rigen la adquisición masiva de datos de comunicaciones.

(233)

La IPA de 2016 sustituye a la legislación en materia de adquisición masiva de datos de comunicaciones que fue objeto de la sentencia del TJUE en el asunto de Privacy International. La legislación involucrada en ese asunto del TJUE fue derogada y el nuevo régimen establece condiciones y garantías específicas que aplican a la autorización de la medida.

(234)

En concreto, a diferencia del régimen anterior, en virtud del cual el secretario de Estado podía hacer uso únicamente de su criterio para autorizar la medida (400), la IPA de 2016 requiere que el secretario de Estado emita una orden judicial solo si la medida es necesaria y proporcionada. En la práctica, esto significa que debe existir un vínculo entre el acceso a los datos y el fin que se pretende alcanzar (401). En concreto, el secretario de Estado tendrá que valorar la existencia de un vínculo entre la medida solicitada y uno o varios «fin(es) operativo(s)» indicado(s) en la orden (véase el considerando 219) con respecto a la evaluación de la proporcionalidad; el Código de práctica pertinente especifica que «el secretario de Estado debe tener en cuenta si el objetivo que se pretende alcanzar con la orden judicial podría lograrse razonablemente por otros medios menos intrusivos [sección 2, apartado 2, letra a), de la IPA]. Por ejemplo, obtener la información requerida a través de un poder menos intrusiva, como puede ser la adquisición específica de datos de comunicaciones» (402).

(235)

Para realizar dicha evaluación, el secretario de Estado se apoyará en la información que los directores de los servicios de inteligencia (403) deben presentar en su solicitud, como son las razones por las que la medida se considera necesaria para alguna de las bases estatutarias y las razones por las que el objetivo que se pretende alcanzar no puede lograrse razonablemente por otros medios menos intrusivos (404). Además, los fines operativos limitan el alcance por el que pueden seleccionarse los datos obtenidos en virtud de la orden para examen (405). Como se especifica en el Código de práctica pertinente, los fines operativos deben describir un requisito claro y contener detalles suficientes para demostrar al secretario de Estado que los datos adquiridos solo pueden seleccionarse para examen por razones específicas (406). De hecho, el secretario de Estado tendrá que asegurarse, antes de emitir la orden, de que existen disposiciones específicas para garantizar que solo se seleccione el material que se ha considerado necesario para examen en aras de un fin operativo y un fin estatutario, y que dicho material sea proporcionado y necesario en todas las circunstancias. Este requisito específico, que se refleja en las secciones 158 y 172 (407) de la IPA de 2016, relativo a la evaluación previa de la necesidad y proporcionalidad de los criterios empleados a efectos de la selección de los datos representa otra importante novedad del régimen que introdujo la IPA de 2016, en comparación con el régimen anterior.

(236)

La IPA de 2016 introdujo también la obligación para el secretario de Estado de asegurarse de que, antes de emitir una orden para la adquisición masiva de datos de comunicaciones, existan limitaciones específicas en materia de seguridad, conservación y comunicación de los datos de carácter personal recogidos (408). En el caso de las comunicaciones internacionales, también se aplican las garantías (que se describen en el considerando 227) para la interceptación masiva y la interferencia masiva de equipos (409). En la legislación pertinentes también se establecen límites adicionales sobre la duración (410), renovación (411) y modificación de las órdenes masivas (412).

(237)

Cabe señalar que, por lo que respecta a los demás poderes masivos, antes de emitir la orden, el secretario de Estado debe obtener la aprobación de un comisionado judicial (413). Esta es una característica clave del régimen establecido por la IPA de 2016.

(238)

El Investigatory Powers Commissioner realiza una supervisión ex post del procedimiento de examen del material (datos de comunicaciones) adquirido de forma masiva (véase el considerando 254). A este respecto, la IPA de 2016 introdujo el requisito de que el analista de inteligencia que lleva a cabo el examen registre, antes de seleccionar los datos para examen, la razón por la que el examen propuesto es necesario y proporcionado para un fin operativo específico (414). En el informe anual de 2019 de la Investigatory Powers Commissioner Office se constató, en relación con la práctica del Cuartel General de Comunicaciones del Gobierno y del MI5 que «el papel crítico de los datos de comunicaciones masivos en el rango de actividades realizadas en el Cuartel General de Comunicaciones del Gobierno estaba bien articulado en los casos que inspeccionamos. Tuvimos en consideración la naturaleza de los datos solicitados y los requisitos de inteligencia declarados y quedamos satisfechos de que la documentación demostrara que su enfoque era necesario y proporcionado (415). Las justificaciones registradas del MI5 eran satisfactorias y cumplían con los principios de necesidad y proporcionalidad» (416).

(239)

Las órdenes de conjuntos de datos personales masivos (417) autorizan a los servicios de inteligencia a conservar y examinar conjuntos de datos que contengan datos personales relativos a una serie de individuos. Según las aclaraciones facilitadas por las autoridades del Reino Unido, el análisis de estos conjuntos de datos puede ser «la única manera de que la UK Intelligence Community avance en sus investigaciones e identifique a los terroristas a partir de una pista de inteligencia muy limitada, o cuando sus comunicaciones se hayan ocultado deliberadamente» (418). Hay dos tipos de órdenes: por un lado, las «órdenes de conjuntos de datos personales masivos de clase» (419), que se refieren a una categoría de conjuntos de datos determinada, esto es, conjuntos de datos que son similares en cuanto a su contenido y uso propuesto y que plantean consideraciones similares en cuanto a, por ejemplo, el grado de intrusión y sensibilidad y la proporcionalidad del uso de los datos, lo que permite al secretario de Estado valorar la necesidad y proporcionalidad de adquirir todos los datos dentro de la clase pertinente de una sola vez. Por ejemplo, una orden de conjuntos de datos personales masivos de clase puede cubrir conjuntos de datos de viajes que se relacionan con rutas similares (420). Y, por otro lado, «órdenes selectivas de conjuntos de datos personales masivos» (421), que se refieren a un conjunto de datos específico, como puede ser un conjunto de datos de un tipo de información nuevo o inusual que no pertenece al ámbito de una orden de datos personales masivos de una clase existente, o un conjunto de datos que se refiere a tipos específicos de datos personales (422) y que, por lo tanto, requieren garantías adicionales (423). Las disposiciones de la IPA de 2016 relativas a los conjuntos de datos personales masivos permiten que estos conjuntos de datos se examinen y conserven solo cuando la medida resulte necesaria y proporcionada (424), y siempre de conformidad con las obligaciones generales relacionadas con la privacidad (425).

(240)

La facultad de emitir órdenes de conjuntos de datos personales masivos está sujeta al procedimiento de «doble bloqueo»: la evaluación de la necesidad y la proporcionalidad de la medida la realiza, en primer lugar, el secretario de Estado y, a continuación, el comisionado judicial (426). El secretario de Estado debe valorar la naturaleza y el alcance del tipo de orden judicial que se solicita, la categoría de datos en cuestión y el número de conjuntos de datos personales masivos que probablemente pertenezcan al ámbito del tipo concreto de orden judicial (427). Asimismo, como se especifica en el Code of Practice on Intelligence Services’ Retention and Use of Bulk Personal Datasets, deben mantenerse registros detallados que están, además, sujetos a auditoría por parte del Investigatory Powers Commissioner (428). La conservación y el examen de conjuntos de datos personales masivos fuera de los límites de la IPA de 2016 constituye un delito penal (429).

(241)

Los datos personales tratados con arreglo a la parte 4 de la DPA de 2018 no deben tratarse de una manera que sea incompatible con el fin para el que se recogieron (430). La DPA de 2018 dispone que el responsable del tratamiento puede tratar los datos para otro fin distinto de aquel para el que se recogieron, siempre y cuando sea compatible con el fin original y siempre que el responsable del tratamiento esté autorizado por ley para tratar dichos datos y que el tratamiento sea necesario y proporcionado (431). Además, la Security Service Act de 1989 y la Intelligence Services Act de 1994 especifican que los directores de los servicios de inteligencia tienen el deber de garantizar que no se obtenga ni se comunique ninguna información, salvo en la medida necesaria para el desempeño adecuado de las funciones de la agencia o para los demás fines limitados y específicos recogidos en las disposiciones pertinentes (432).

(242)

Además, la sección 109 de la DPA de 2018 establece requisitos específicos para las transferencias internacionales de datos personales por parte de los servicios de inteligencia a terceros países u organizaciones internacionales. Con arreglo a esta disposición, no se permiten las transferencias de datos personales a un país o territorio fuera del Reino Unido o a una organización internacional, a menos que la transferencia sea necesaria y proporcionada a efectos de las funciones estatutarias del responsable del tratamiento o para otros fines dispuestos en la sección 2, apartado 2, letra a), de la Security Service Act de 1989 o en la sección 2, apartado 2, letra a), y la sección 4, apartado 2, letra a), de la Intelligence Services Act de 1994 (433). Es importante señalar que estos requisitos también se aplican en los casos en que se recurra a la exención de seguridad nacional con arreglo a la sección 110 de la DPA de 2018, ya que esa sección no menciona la sección 109 de la DPA de 2018 como una de las disposiciones que pueden no aplicarse si se requiere una exención de determinadas disposiciones con el fin de salvaguardar la seguridad nacional.

(243)

Por otra parte, como subraya la ICO en sus orientaciones sobre el tratamiento por parte de los servicios de inteligencia, además de las garantías previstas en la parte 4 de la DPA de 2018, una agencia de inteligencia, al compartir datos con un organismo de inteligencia de un tercer país, también está sujeta a las garantías previstas en otras medidas legislativas que se le apliquen para garantizar que los datos personales se obtengan, compartan y traten de manera lícita y responsable (434). Por ejemplo, la IPA de 2016 establece garantías adicionales con respecto a las transferencias a un tercer país del material recogido mediante interceptación selectiva (435), interferencia selectiva de equipos (436), interceptación masiva (437), adquisición masiva de datos de comunicaciones (438) e interferencia masiva de equipos (439) (la denominada «comunicación internacional»). En particular, la autoridad que emite la orden debe asegurarse de que existen disposiciones para garantizar que el tercer país que recibe los datos limite el número de personas que ven el material, el alcance de la comunicación y el número de copias realizadas de cualquier material al mínimo necesario para los fines autorizados establecidos en la IPA de 2016 (440).

(244)

Varios organismos supervisan el acceso del Gobierno por motivos de seguridad nacional. La ICO supervisa el tratamiento de datos personales a la luz de la DPA de 2018 (para obtener más información sobre la independencia, la función de nombramiento y los poderes de la ICO, consulte los considerandos 85 a 98), mientras que la supervisión judicial e independiente sobre el uso de los poderes de investigación en virtud de la IPA de 2016 le corresponde al Investigatory Powers Commissioner. El Investigatory Powers Commissioner supervisa el uso de los poderes de investigación contemplados en la IPA de 2016 por parte de las autoridades encargadas de garantizar el cumplimiento de la ley y de las autoridades nacionales de seguridad. La supervisión política está garantizada por el Intelligence Service Committee del Parlamento.

(245)

La ICO supervisa el tratamiento de datos personales que realizan los servicios de inteligencia en virtud de la parte 4 de la DPA de 2018 (441).

(246)

En el anexo 13 de la DPA de 2018 se establecen las funciones generales de la ICO en relación con el tratamiento de datos personales por parte de los servicios de inteligencia que entran en el ámbito de aplicación de la parte 4 de dicha Ley. Estas funciones incluyen, pero no se limitan a, el control de la aplicación de la parte 4 de la DPA de 2018; la promoción de la sensibilización del público; asesorar al Parlamento, al Gobierno y otras instituciones sobre medidas legislativas y administrativas; la promoción del conocimiento por parte de los responsables y encargados del tratamiento de sus obligaciones; proporcionar información a un interesado sobre el ejercicio de los derechos del interesado; realizar investigaciones; etc.

(247)

Con arreglo a la parte 3 de la DPA de 2018, la ICO tiene poderes para notificar a los responsables del tratamiento de una presunta infracción y para emitir avisos de la probabilidad de que un tratamiento infrinja las normas, así como de sancionar cuando se confirma una infracción. También puede emitir avisos de ejecución y de sanción por el incumplimiento de una determinada disposición de la DPA (442). Sin embargo, a diferencia de lo que disponen otras partes de la DPA de 2018, la ICO no puede entregar un aviso de evaluación a una autoridad nacional de seguridad (443).

(248)

Además, la sección 110 de la DPA de 2018 establece una excepción al uso de ciertos poderes de la ICO cuando resulta necesario para salvaguardar la seguridad nacional. Esto incluye el poder de la ICO de emitir (cualquier tipo de) avisos con arreglo a la DPA (avisos de información, evaluación, ejecución y sanción), la facultad de realizar inspecciones de conformidad con las obligaciones internacionales, los poderes de entrada e inspección y las normas sobre infracciones (444). Como se explica en el considerando 126, estas excepciones se aplican solo si resulta necesario y proporcionado, y siempre caso por caso.

(249)

La ICO y los servicios de inteligencia del Reino Unido han firmado un memorando de entendimiento (445) que establece un marco para la cooperación en varias cuestiones, incluidas las notificaciones de violación de la seguridad de los datos y el manejo de las reclamaciones de los interesados. En concreto, el memorando establece que, cuando se reciba una reclamación, la ICO evaluará el uso adecuado de la aplicación de cualquier exención relacionada con la seguridad nacional. El servicio de inteligencia de que se trate debe enviar las respuestas a las consultas realizadas por la ICO en el contexto del examen de reclamaciones individuales en un plazo de veinte días hábiles, utilizando los canales seguros apropiados si se trata de información clasificada. Desde abril de 2018 hasta la fecha, la ICO ha recibido veintiuna reclamaciones de personas físicas sobre los servicios de inteligencia. Cada una de estas reclamaciones se evaluó y se comunicaron al interesado las conclusiones (446).

(250)

De acuerdo con la parte 8 de la IPA de 2016, el Investigatory Powers Commissioner es el encargado de supervisar el uso de los poderes de investigación. Este órgano está asistido por otros comisionados judiciales, a los que se hace referencia de forma conjunta como «comisionados judiciales» (447). La IPA de 2016 establece las garantías que protegen la independencia de los comisionados judiciales. Los comisionados judiciales deben ocupar o haber ocupado un alto cargo judicial (es decir, deben ser o haber sido miembros de los tribunales de mayor rango) (448) y, como cualquier miembro del poder judicial, gozan de independencia respecto al Gobierno (449). De conformidad con la sección 227 de la IPA de 2016, el primer ministro es quien nombra al Investigatory Powers Commissioner y al número de comisionados judiciales que considere necesario. Todos los comisionados, ya sean miembros actuales o antiguos del poder judicial, solo pueden ser nombrados sobre la base de una recomendación conjunta de los tres Chief Justices de Inglaterra y Gales, Escocia e Irlanda del Norte y el Lord Chancellor (450). El secretario de Estado debe proporcionar al Investigatory Powers Commissioner personal, alojamiento, equipos y otras instalaciones y servicios que pueda necesitar (451). El mandato de los comisionados es de tres años y pueden ser reelegidos (452). Como garantía adicional de su independencia, los comisionados judiciales solo pueden ser destituidos de su cargo sujeto a condiciones estrictas que impongan un umbral elevado: ya sea por el primer ministro en las circunstancias específicas enumeradas de forma exhaustiva en la sección 228, apartado 5, de la IPA de 2016 (como pueden ser quiebra o encarcelamiento), o si cada una de las cámaras del Parlamento ha ratificado una resolución que aprueba la destitución (453).

(251)

La Investigatory Powers Commissioner y los comisionados judiciales reciben apoyo en sus funciones de la Investigatory Powers Commissioner’s Office (IPCO). El personal de la IPCO incluye un equipo de inspectores, expertos juristas y técnicos internos y un grupo consultivo en materia de tecnología que ofrecen asesoramiento de expertos. Como ocurre con cada uno de los comisionados judiciales, la independencia de la IPCO está protegida. La IPCO es un organismo independiente del Home Office, es decir, que recibe financiación del Home Office pero lleva a cabo sus funciones de forma independiente (454).

(252)

En la sección 229 de la IPA de 2016 (455) se establecen las funciones principales de los comisionados judiciales. En particular, los comisionados judiciales tienen un amplio poder de aprobación previa, que forma parte de las garantías que introdujo la IPA de 2016 en el marco jurídico del Reino Unido. Los comisionados judiciales son los encargados de aprobar las garantías en relación con la interceptación selectiva, la interferencia de equipos, los conjuntos de datos personales masivos, la adquisición masiva de datos de comunicaciones, así como los avisos de conservación de datos de comunicaciones (456). El Investigatory Powers Commissioner también debe emitir siempre una autorización previa para la adquisición de datos de comunicaciones con fines de aplicación de la ley (457). Si un comisionado se niega a aprobar una orden judicial, el secretario de Estado puede apelar al Investigatory Powers Commissioner, cuya decisión es definitiva.

(253)

El Relator Especial sobre el derecho a la privacidad de las Naciones Unidas acogió con gran satisfacción el establecimiento de los comisionados judiciales con la IPA de 2016, ya que «todas las solicitudes, de carácter más sensible o intrusivo, para realizar vigilancias debe autorizarlas tanto un ministro del Gabinete como la Investigatory Powers Commissioner’s Office». En particular, destacó que «este elemento de control jurisdiccional (a través de la función del Investigatory Powers Commissioner) asistido por un equipo de inspectores experimentados y expertos en tecnología con mejores recursos es una de las garantías nuevas más importantes introducidas por el IPA», que sustituyó a un sistema previamente fragmentado de autoridades de supervisión y complementa el papel del Intelligence and Security Committee del Parlamento y del Investigatory Powers Tribunal (458).

(254)

Además, el Investigatory Powers Commissioner tiene poderes para realizar una supervisión ex post, incluso mediante auditoría, inspección e investigación, del uso de los poderes de investigación con arreglo a la IPA de 2016 (459), y algunos poderes y funciones adicionales previstos en la legislación pertinente (460). Los resultados de la supervisión ex post se incluyen en el informe que el Investigatory Powers Commissioner debe elaborar anualmente y presentar al primer ministro (461), y que debe publicarse y presentarse al Parlamento (462) El informe contiene estadísticas e información relevante sobre el uso de los poderes de investigación por parte de los servicios de inteligencia y las autoridades encargadas de garantizar el cumplimiento de la ley, así como la aplicación de las garantías en relación con elementos sujetos a la prerrogativa de confidencialidad, material periodístico confidencial y fuentes de información periodística, información sobre las disposiciones adoptadas y los fines operativos empleados en el contexto de las órdenes masivas. Por último, en el informe anual de la IPCO se especifica en qué ámbito se han ofrecido recomendaciones a las autoridades públicas y cómo estas se han abordado (463).

(255)

De acuerdo con la sección 231 de la IPA de 2016, si el Investigatory Powers Commissioner tiene conocimiento de algún error pertinente cometido por las autoridades públicas en el uso de sus poderes de investigación, deberá informar al interesado cuando considere que el error es grave y que es de interés público para la persona ser informado/a (464). En particular, la sección 231 de la IPA de 2016 especifica que, cuando se informe a una persona de un error, el Investigatory Powers Commissioner debe proporcionar información sobre cualquier derecho que deba ejercer ante el Investigatory Powers Tribunal, y brindar los detalles que el Investigatory Powers Commissioner considere necesarios para el ejercicio de tales derechos y cuando exista un interés público para la comunicación en cuestión (465).

(256)

La supervisión parlamentaria por parte del Intelligence and Security Committee tiene su fundamente jurídico en la Justice and Security Act de 2013 (JSA de 2013) (466). Esta Ley establece al Intelligence and Security Committee como un comité del Parlamento del Reino Unido. Desde 2013, el Intelligence and Security Committee ha estado recibiendo poderes de mayor envergadura, en especial la supervisión de las actividades operativas de los servicios de seguridad. En virtud de la sección 2 de la JSA de 2013, el Intelligence and Security Committee tiene la tarea de supervisar los gastos, la administración, la política y las operaciones de las agencias de seguridad nacional. La JSA de 2013 también especifica que el Intelligence and Security Committee puede realizar investigaciones sobre cuestiones operativas cuando estas no estén relacionadas con operaciones en curso (467). El memorando de entendimiento entre el primer ministro y el Intelligence and Security Committee (468) especifica en detalle los elementos que deben tenerse en cuenta al valorar si una actividad no forma parte de ninguna operación en curso (469). El primer ministro puede también solicitar al Intelligence and Security Committee que investigue operaciones en curso y puede revisar la información proporcionada voluntariamente por las agencias de seguridad nacional.

(257)

Con arreglo al anexo 1 de la JSA de 2013, el Intelligence and Security Committee puede solicitar a los directores de cualquiera de los tres servicios de inteligencia que comuniquen cualquier información. La agencia debe entonces poner dicha información a disposición, salvo que el secretario de Estado la vete (470). De acuerdo con las aclaraciones proporcionadas por las autoridades del Reino Unido, en la práctica se retiene una parte muy marginal de la información que el Intelligence and Security Committee solicita (471).

(258)

El Intelligence and Security Committee está formado por miembros que pertenecen a una de las dos cámaras del Parlamento y son nombrados por el primer ministro tras consultar con el líder de la oposición (472). El Intelligence and Security Committee debe presentar un informe anual al Parlamento sobre el desempeño de sus funciones y otros informes que considere oportunos (473). Además, el Intelligence and Security Committee tiene derecho a recibir cada tres meses la lista de fines operativos que se utiliza para examinar el material que se obtiene de forma masiva (474). El primer ministro comparte con el Intelligence and Security Committee copias de las investigaciones, inspecciones o auditorías realizadas por el Investigatory Powers Commissioner cuando la cuestión tratada en los informes es pertinente para las competencias estatutarias del Comité (475). Por último, el Intelligence and Security Committee puede solicitar al Investigatory Power Commissioner que realice una investigación, y este último debe informar al Comité sobre la decisión de llevar a cabo o no la investigación (476).

(259)

El Intelligence and Security Committee también proporcionó información sobre el proyecto de ley de la IPA de 2016, que resultó en una serie de enmiendas que ahora se reflejan en la IPA de 2016 (477). En concreto, el Intelligence and Security Committee recomendó reforzar las protecciones de la privacidad mediante la introducción de un conjunto de protecciones de la privacidad que aplican a toda la gama de poderes de investigación (478). Asimismo, sugirió cambios a las capacidades propuestas relativas a la interferencia de equipos, los conjuntos de datos personales masivos y los datos de comunicaciones, y solicitó otras enmiendas específicas para reforzar las limitaciones y garantías para el uso de los poderes de investigación (479).

(260)

En el ámbito del acceso gubernamental con fines de seguridad nacional, los interesados deben tener la posibilidad de emprender acciones legales ante un tribunal imparcial e independiente para acceder a los datos personales que les conciernen o para obtener su rectificación o supresión (480). Este órgano jurisdiccional debe tener, en particular, la facultad de adoptar decisiones vinculantes sobre el servicio de inteligencia (481). En el Reino Unido, como se explica en los considerandos 261 a 271, una serie de vías de acción judicial brindan a los interesados la posibilidad de perseguir y obtener tales vías de derecho.

(261)

En virtud de la sección 165 de la DPA de 2018, un interesado tiene el derecho a presentar una reclamación ante la ICO si considera que, en relación con datos personales que le conciernen, existe una infracción de la parte 4 de dicha Ley. La ICO tiene la facultad de evaluar el cumplimiento del responsable y el encargado del tratamiento con la DPA de 2018, así como de exigirles que adopten medidas oportunas, de ser necesario. Además, en virtud de la parte 4 de la DPA de 2018, las personas físicas tienen derecho a solicitar al Tribunal Superior (o Tribunal Superior de Justicia de Escocia) una orden que requiera que el responsable del tratamiento cumpla con los derechos de acceso a los datos (482), a oponerse al tratamiento (483) y a la rectificación o supresión de los datos (484).

(262)

Las personas físicas también tienen derecho a reclamar una indemnización por los daños sufridos debido a la violación de un requisito de la parte 4 de la DPA de 2018 por parte del responsable o del encargado del tratamiento (485). Los daños incluyen tanto las pérdidas económicas como los daños que no implican pérdidas económicas, como puede ser la ansiedad (486).

(263)

Las personas físicas pueden obtener una reparación por violaciones de la IPA de 2016 ante el Investigatory Powers Tribunal.

(264)

La RIPA de 2000 establece la creación del Investigatory Powers Tribunal, que es independiente del poder ejecutivo (487). En virtud de la sección 65 de la RIPA de 2000, Su Majestad nombra a los miembros de este Tribunal por un período de cinco años. Los miembros del Tribunal pueden ser destituidos de su cargo por decisión de Su Majestad en respuesta a un discurso (488) de ambas cámaras del Parlamento (489).

(265)

Con arreglo a la sección 65 de la RIPA de 2000, el Investigatory Powers Tribunal es el órgano jurisdiccional apropiado para cualquier reclamación de una persona agraviada por una conducta contemplada en la IPA de 2016, la RIPA de 2000 o cualquier conducta de los servicios de inteligencia (490).

(266)

De conformidad con la sección 65 de la RIPA de 2000, para que una persona pueda presentar un recurso ante el Investigatory Powers Tribunal («requisito de legitimación») debe creer (491) que la conducta de un servicio de inteligencia ha tenido lugar en relación con él/ella, cualquiera de sus bienes, cualquier comunicación enviada por él/ella o a él/ella, o destinada a él/ella, o en relación con su uso de cualquier servicio postal, servicio de telecomunicaciones o sistema de telecomunicaciones (492). Además, el reclamante debe creer que la conducta se ha producido en «circunstancias impugnables» (493) o que «la han llevado a cabo los servicios de inteligencia o se ha llevado a cabo en su nombre» (494). Dado que, en particular, este estándar de «creencia» se ha interpretado de manera bastante difusa (495), llevar un caso ante el Investigatory Powers Tribunal está sujeto a requisitos de baja legitimación.

(267)

Cuando el Investigatory Powers Tribunal sopesa una reclamación que se ha presentado ante él, es su deber investigar si las personas contra las que se hace alguna acusación en la reclamación tienen alguna implicación respecto al reclamante, así como investigar a la autoridad que presuntamente ha cometido las violaciones y si la presunta conducta efectivamente se ha producido (496). En las vistas del Tribunal este debe aplicar, para adoptar su resolución, los mismos principios que aplicaría un tribunal en una solicitud de control jurisdiccional (497). Además, los destinatarios de las órdenes o avisos en virtud de la IPA de 2016, y todas las demás personas que ocupen un cargo dentro de la Corona británica, que sean empleados de las fuerzas del orden o formen parte del Police Investigations and Review Commissioner tienen el deber de comunicar o proporcionar al Investigatory Powers Tribunal todos los documentos e información que el Tribunal pueda requerir con el fin de permitirle ejercer sus competencias (498).

(268)

El Investigatory Powers Tribunal debe notificar al reclamante si ha habido una resolución a su favor o no (499). En virtud de la sección 67, apartados 6 y 7, de la RIPA de 2000, el Tribunal tiene la facultad de emitir medidas provisionales y conceder cualquier indemnización u otra medida que considere adecuada. Estas medidas pueden incluir órdenes que anulen o invaliden cualquier orden o autorización y órdenes que requieran la destrucción de cualquier registro de información obtenida en el ejercicio de cualquier tipo de poder conferido por una orden, autorización o aviso, o que de otra manera tenga cualquier autoridad pública en relación con cualquier persona (500). Con arreglo a la sección 67A de la RIPA de 2000, las resoluciones del Investigatory Powers Tribunal pueden apelarse, bajo reserva de la autorización concedida por este Tribunal o el tribunal de apelaciones correspondiente.

(269)

Por último, cabe señalar que se ha debatido en varias ocasiones el papel del Investigatory Powers Tribunal en el contexto de acciones legales ante el Tribunal Europeo de Derechos Humanos, en particular en el asunto Kennedy v. the United Kingdom (501) y, más recientemente, en el asunto Big Brother Watch and others v. United Kingdom (502) , en el que el Tribunal Europeo declaró que «el Investigatory Powers Tribunal ofreció un recurso judicial sólido a toda persona que sospechase que sus comunicaciones habían sido interceptadas por los servicios de inteligencia» (503).

(270)

Como se explica en los considerandos 109 a 111, los medios de reparación en virtud de la Human Rights Act de 1998 y ante el Tribunal Europeo de Derechos Humanos (504) también están disponibles en el ámbito de la seguridad nacional. La sección 65, apartado 2, de la RIPA de 2000 otorga al Investigatory Powers Tribunal la jurisdicción exclusiva para todas las reclamaciones de la Human Rights Act relacionadas con los servicios de inteligencia (505). Tal como apunta el Tribunal Superior «si se ha producido una violación de la Human Rights Act sobre los hechos de un caso particular esto puede, en principio, plantearse y juzgarse en un tribunal independiente que puede tener acceso a todo el material pertinente, incluido material secreto. […] También tenemos en cuenta en este contexto que el propio Tribunal está ahora sujeto a la posibilidad de una apelación ante un tribunal de apelaciones apropiado (en Inglaterra y Gales, dicho tribunal sería el Tribunal de Apelación); y que el Tribunal Supremo del Reino Unido ha decidido recientemente que el Tribunal es, en principio, susceptible de control jurisdiccional: véase R (Privacy International) v Investigatory Powers Tribunal [2019] UKSC 22; [2019] 2 WLR 1219» (506).

(271)

De lo anterior se desprende que cuando las autoridades encargadas de garantizar el cumplimiento de la ley o las autoridades nacionales de seguridad del Reino Unido acceden a datos personales que entran en el ámbito de aplicación de la presente Decisión, dicho acceso se rige por leyes que establecen las condiciones en las que puede realizarse el acceso y garantizan que el acceso y el uso ulterior de los datos se limiten a lo necesario y proporcionado al objetivo perseguido de aplicación de la ley o de seguridad nacional. Además, dicho acceso está sujeto en la mayoría de los casos a la autorización previa por parte de un órgano jurisdiccional, mediante la aprobación de una orden judicial o una orden de entrega y, en todos los casos, está sujeto a supervisión independiente. Una vez que las autoridades públicas han accedido a los datos, su tratamiento, incluido el intercambio y la transferencia ulteriores de los mismos, está sujeto a garantías específicas de protección de datos en virtud de la parte 3 de la DPA de 2018, que refleja las garantías previstas por la Directiva (UE) 2016/680, para su tratamiento por parte de las autoridades encargadas de garantizar el cumplimiento de la ley y la parte 4 de la DPA de 2018 para su tratamiento por parte de los servicios de inteligencia. Por último, los interesados disfrutan en este ámbito de la posibilidad de recurrir a acciones administrativas y judiciales efectivas, incluido el acceso a sus datos o la rectificación o supresión de dichos datos.

(272)

Dada la importancia de tales condiciones, limitaciones y garantías a efectos de la presente Decisión, la Comisión seguirá de cerca la aplicación e interpretación de las normas del Reino Unido que regulan el acceso del Gobierno a los datos. Esto incluirá los avances legislativos, reglamentarios y de la jurisprudencia pertinentes, así como las actividades de la ICO y otras autoridades de supervisión en este ámbito. También se prestará especial atención a la ejecución por parte del Reino Unido de las sentencias pertinentes del Tribunal Europeo de Derechos Humanos, incluidas las medidas identificadas en los «planes de acción» y los «informes de acción» presentados al Comité de Ministros en el contexto de la supervisión del cumplimiento de las sentencias del Tribunal.

(273)

La Comisión considera que el RGPD del Reino Unido y la DPA de 2018 garantizan un nivel de protección de los datos personales transferidos desde la Unión Europea que es esencialmente equivalente al que garantiza el Reglamento (UE) 2016/679.

(274)

Además, la Comisión estima que, en su conjunto, los mecanismos de supervisión y las vías de reparación previstos en el Derecho del Reino Unido permiten identificar y sancionar en la práctica las infracciones cometidas y ofrecen al interesado remedios legales para obtener acceso a los datos personales que le conciernen y, en su caso, a la rectificación o supresión de los mismos.

(275)

Por último, sobre la base de la información disponible sobre el ordenamiento jurídico del Reino Unido, la Comisión considera que cualquier injerencia en los derechos fundamentales de las personas cuyos datos personales se transfieren desde la Unión Europea al Reino Unido por parte de las autoridades públicas del Reino Unido con fines de interés público, en particular con fines de aplicación de la ley y de seguridad nacional, se limitará a lo estrictamente necesario para lograr el objetivo legítimo en cuestión, y que existe una tutela judicial efectiva contra tal injerencia.

(276)

Por lo tanto, a la luz de las conclusiones de la presente Decisión, debe concluirse que el Reino Unido garantiza un nivel adecuado de protección a tenor del artículo 45 del Reglamento (UE) 2016/679, interpretado a la luz de la Carta de los Derechos Fundamentales de la Unión Europea.

(277)

Esta conclusión se basa tanto en el régimen nacional pertinente del Reino Unido como en sus compromisos internacionales, en particular la adhesión al Convenio Europeo de Derechos Humanos y el acatamiento de la jurisdicción del Tribunal Europeo de Derechos Humanos. Por tanto, la adhesión continuada a dichas obligaciones internacionales es un elemento de especial importancia para la evaluación en la que se basa la presente Decisión.

(278)

Los Estados miembros y sus organismos están obligados a adoptar las medidas necesarias para dar cumplimiento a los actos de las instituciones de la Unión, ya que estos disfrutan de una presunción de legalidad y producen, por consiguiente, efectos jurídicos en tanto no hayan expirado, no hayan sido revocados, anulados en el marco de un recurso de anulación o declarados inválidos a raíz de una cuestión prejudicial o de una excepción de ilegalidad.

(279)

Por lo tanto, toda decisión de adecuación de la Comisión adoptada en virtud del artículo 45, apartado 3, del Reglamento (UE) 2016/679 vincula a todos los organismos de los Estados miembros destinatarios, incluidas sus autoridades de control independientes. En particular, durante el período de aplicación de la presente Decisión, pueden producirse transferencias de un responsable o encargado del tratamiento en la Unión Europea a responsables o encargados del tratamiento en el Reino Unido sin necesidad de obtener ninguna autorización adicional.

(280)

Cabe recordar que, de conformidad con el artículo 58, apartado 5, del Reglamento (UE) 2016/679 y como explicó el Tribunal de Justicia en la sentencia Maximillian Schrems (507), cuando una autoridad nacional de protección de datos cuestiona, en especial a raíz de una reclamación, la compatibilidad de una decisión de adecuación de la Comisión con los derechos fundamentales de la persona a la privacidad y la protección de los datos, el Derecho nacional debe proporcionarle un recurso legal para presentar esas objeciones ante un tribunal nacional, al que podrá exigirse la presentación de una petición de decisión prejudicial al Tribunal de Justicia (508).

(281)

De conformidad con el artículo 45, apartado 4, del Reglamento (UE) 2016/679, la Comisión supervisará de manera continuada los acontecimientos pertinentes en el Reino Unido tras la adopción de la presente Decisión a fin de valorar si esta aún garantiza un nivel de protección esencialmente equivalente. Dicha supervisión es de especial importancia en este caso particular, ya que el Reino Unido administrará y aplicará un nuevo régimen de protección de datos que ya no está sujeto al Derecho de la Unión y que puede transformarse. A ese respecto, se prestará especial atención a la aplicación práctica de las normas del Reino Unido relativas a la transferencias de datos personales a terceros países y al impacto que pueda tener en el nivel de protección que se garantiza a los datos transferidos en virtud de la presente Decisión; a la eficacia del ejercicio de los derechos individuales, incluido cualquier avance pertinente en la legislación y en la práctica con respecto a las excepciones o restricciones de dichos derechos (en particular, la relativa al mantenimiento de un control efectivo de la inmigración); así como al cumplimiento de las limitaciones y garantías con respecto al acceso del Gobierno. La supervisión de la Comisión se basará en, entre otros elementos, los avances de la jurisprudencia y la supervisión de la ICO y otros organismos independientes.

(282)

Para facilitar esta supervisión, las autoridades del Reino Unido deben informar puntualmente a la Comisión de cualquier cambio sustancial en el ordenamiento jurídico del Reino Unido que tenga un impacto en el marco jurídico objeto de la presente Decisión, así como de cualquier evolución en las prácticas relacionadas con el tratamiento de los datos personales evaluados en la presente Decisión, tanto en lo que se refiere al tratamiento de datos personales por parte de los responsables y encargados del tratamiento con arreglo al RGPD del Reino Unido como a las limitaciones y garantías aplicables al acceso a los datos personales por parte de las autoridades. Esto debe incluir la evolución de los elementos mencionados en el considerando 281.

(283)

Además, a fin de que la Comisión pueda desempeñar eficazmente su función de supervisión, los Estados miembros deben informarle de cualquier medida pertinente adoptada por las autoridades nacionales de protección de datos, en particular en lo que respecta a las consultas o las reclamaciones de los interesados de la UE en relación con la transferencia de datos personales desde la UE a los responsables o encargados del tratamiento en el Reino Unido. También debe informarse a la Comisión de todo indicio de que las acciones de las autoridades públicas del Reino Unido responsables de la prevención, investigación, detección o enjuiciamiento de infracciones penales, o de la seguridad nacional, incluidos los órganos de supervisión, no garantizan el nivel de protección necesario.

(284)

Cuando la información disponible, en particular la información resultante de la supervisión de la presente Decisión o proporcionada por las autoridades del Reino Unido o de los Estados miembros, revele que el nivel de protección ofrecido por el Reino Unido podría ya no ser adecuado, la Comisión debe informar sin demora a las autoridades competentes del Reino Unido y solicitar que se adopten medidas adecuadas dentro de un plazo determinado, el cual no podrá exceder de tres meses. En caso necesario, este plazo podrá ampliarse por un período determinado, teniendo en cuenta la naturaleza del asunto en cuestión o las medidas que deban tomarse. Por ejemplo, este procedimiento se activaría en los casos en que las transferencias ulteriores, incluso sobre la base de nuevas normas en materia de adecuación adoptadas por el secretario de Estado o de acuerdos internacionales celebrados por el Reino Unido, ya no se lleven a cabo con arreglo a salvaguardias que garanticen la continuidad de la protección en el sentido del artículo 44 del Reglamento (UE) 2016/679.

(285)

Si, al expirar dicho plazo determinado, las autoridades competentes del Reino Unido no han adoptado dichas medidas o no han demostrado satisfactoriamente de otro modo que la presente Decisión sigue basándose en un nivel de protección adecuado, la Comisión iniciará el procedimiento a que se refiere el artículo 93, apartado 2, del Reglamento (UE) 2016/679 con el fin de suspender o derogar, total o parcialmente, esta Decisión.

(286)

De manera alternativa, la Comisión iniciará este procedimiento con miras a modificar la Decisión, en particular mediante la imposición de condiciones adicionales para las transferencias de datos o limitando el alcance de la conclusión de adecuación solo a las transferencias de datos para las que se sigue garantizando un nivel adecuado de protección.

(287)

Por razones imperiosas de urgencia debidamente justificadas, la Comisión hará uso de la posibilidad de adoptar, de conformidad con el procedimiento a que se refiere el artículo 93, apartado 3, del Reglamento (UE) 2016/679, actos de ejecución inmediatamente aplicables que suspendan, deroguen o modifiquen la Decisión.

(288)

La Comisión debe tener en cuenta que, una vez finalizado el período transitorio previsto por el acuerdo de retirada, y tan pronto como deje de aplicarse la disposición provisional en virtud del artículo 782 del Acuerdo de Comercio y Cooperación UE-Reino Unido, el Reino Unido administrará, aplicará y ejecutará un nuevo régimen de protección de datos comparable al acuerdo vigente cuando estaba sujeto al Derecho de la Unión. Esto puede implicar, en especial, modificaciones o cambios en el marco de protección de datos evaluado en la presente Decisión, así como otros acontecimientos pertinentes.

(289)

Por tanto, conviene estipular que la presente Decisión se aplicará durante un período de cuatro años a partir de su entrada en vigor.

(290)

Cuando, en particular, la información resultante de la supervisión de la presente Decisión revele que las conclusiones relativas a la adecuación del nivel de protección garantizado en el Reino Unido siguen estando justificadas de hecho y de derecho, la Comisión debe, a más tardar seis meses antes de que la presente Decisión deje de aplicarse, iniciar el procedimiento para modificar la presente Decisión ampliando su ámbito temporal de aplicación, en principio, por un período adicional de cuatro años. Cualquier acto de ejecución que modifique la presente Decisión se adoptará de conformidad con el procedimiento contemplado en el artículo 93, apartado 2, del Reglamento (UE) 2016/679.

(291)

El Comité Europeo de Protección de Datos publicó su dictamen (509), que se ha tomado en consideración en la elaboración de la presente Decisión.

(292)

Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité creado en virtud del artículo 93 del Reglamento (UE) 2016/679,