52017PC0008

•Proporcionalidad

De conformidad con el principio de proporcionalidad, para alcanzar los objetivos básicos de garantizar un nivel equivalente de protección de las personas físicas con respecto al tratamiento de los datos personales y la libre circulación de estos en la Unión, es necesario y conveniente establecer normas sobre el tratamiento de datos personales por parte de las instituciones, órganos y organismos de la Unión. El presente Reglamento no va más allá de lo necesario para alcanzar los objetivos perseguidos, de conformidad con lo dispuesto en el artículo 5, apartado 4, del Tratado de la Unión Europea.

•Elección del instrumento

Se considera que un Reglamento es el instrumento jurídico apropiado para definir el marco de la protección de las personas con respecto al tratamiento de los datos personales por parte de las instituciones, órganos y organismos de la Unión y la libre circulación de estos. Proporciona a las personas físicas unos derechos protegidos jurídicamente y especifica las obligaciones de los responsables del tratamiento de datos en las instituciones, órganos y organismos de la Unión. También prevé una autoridad de control independiente, el Supervisor Europeo de Protección de Datos, que será responsable de supervisar el tratamiento de los datos personales por parte de las instituciones, órganos y organismos de la Unión.

3.RESULTADOS DE LAS EVALUACIONES EX POST, DE LAS CONSULTAS CON LAS PARTES INTERESADAS Y DE LAS EVALUACIONES DE IMPACTO

La Comisión llevó a cabo consultas con las partes interesadas en 2010 y 2011 y una evaluación de impacto en el contexto de la preparación del paquete de reforma de la protección de datos que informa de los cambios propuestos en el Reglamento (CE) n.º 45/2001. En este contexto, la Comisión también realizó una encuesta de Coordinadores de la Protección de Datos de la Comisión (CPD) 5 .

En lo referente a la aplicación práctica del Reglamento (CE) n.º 45/2001 por parte de las instituciones, órganos y organismos de la Unión, se recogió información del Supervisor Europeo de Protección de Datos (SEPD), de otras instituciones, órganos y organismos de la Unión, de otras DG de la Comisión y de un contratista externo. Se remitió un cuestionario a la red de delegados de protección de datos (DPD) 6 .

Los delegados de protección de datos de una serie de instituciones, órganos y organismos de la Unión celebraron talleres sobre la reforma del Reglamento (CE) n.º 45/2001 los días 9 de julio de 2015, 22 de octubre de 2015, 19 de enero de 2016 y 15 de marzo de 2016.

En 2013, la Comisión decidió realizar un estudio de evaluación sobre la aplicación hasta la fecha del Reglamento (CE) n.º 45/2001, que se subcontrató a un contratista externo. Los resultados finales del estudio de evaluación (informe final, cinco estudios de casos y análisis artículo por artículo) fueron presentados a la Comisión el 8 de junio de 2015 7 .

La evaluación demostró la eficacia del sistema de gobernanza estructurado en torno a los DPD y el SEPD. Concluyó que el reparto de poderes entre los DPD y el SEPD está claro y es equilibrado, y que ambos tienen un adecuado ámbito de competencias. Sin embargo, podrían surgir dificultades derivadas de la falta de autoridad a causa del apoyo insuficiente a los DPD por parte de sus superiores jerárquicos.

El estudio de evaluación indicó que el Reglamento (CE) n.º 45/2001 podría tener una mejor aplicación a través del uso de sanciones por parte del SEPD. Un mayor uso de sus poderes como autoridad supervisora podría derivar en una mejor aplicación de las normas de protección de datos. Otra conclusión fue que los responsables del tratamiento de datos deben adoptar un sistema de gestión del riesgo y realizar evaluaciones de riesgo antes de llevar a cabo operaciones de tratamiento con el fin de mejorar el cumplimiento de los requisitos de conservación y seguridad de datos.

El estudio también demostró que las actuales normas del capítulo IV del Reglamento (CE) n.º 45/2001 sobre el sector de las telecomunicaciones están obsoletas y existe la necesidad de armonizar dicho capítulo con la Directiva sobre la privacidad y las comunicaciones electrónicas. Según el estudio de evaluación, también existe la necesidad de aclarar algunas definiciones clave del Reglamento (CE) n.º 45/2001. Entre estas se encuentra la identificación de los responsables del tratamiento de datos en las instituciones, órganos y organismos de la Unión, la definición de los destinatarios y la ampliación de la obligación de confidencialidad a los encargados del tratamiento externos.

Asimismo, el estudio de evaluación señaló la necesidad de simplificar el régimen de notificaciones y controles previos a fin de aumentar la eficiencia y reducir la carga administrativa.

El evaluador llevó a cabo una encuesta en línea en 64 instituciones, órganos y organismos de la Unión. 422 funcionarios a cargo de responsables del tratamiento de datos, 73 DPD, 118 CPD y 109 informáticos participantes respondieron a las preguntas de la encuesta. Asimismo, el evaluador llevó a cabo una serie de entrevistas con las partes interesadas. El 26 de marzo de 2015, el evaluador y la Comisión organizaron un taller final al que asistieron una serie de responsables del tratamiento de datos, DPD, CPD e informáticos encuestados así como representantes del SEPD.

•Obtención y uso de asesoramiento especializado

Véase la referencia al estudio de evaluación en el apartado anterior.

•Evaluación de impacto

El impacto de la actual propuesta afectará principalmente a las instituciones, órganos y organismos de la Unión. Esto ha sido confirmado por la información recogida del SEPD, de otras instituciones, órganos y organismos de la Unión, de Direcciones Generales de la Comisión y del contratista externo. Además, el impacto de las nuevas obligaciones derivadas del Reglamento (UE) 2016/679, con el que debe armonizarse el presente Reglamento, ha sido evaluado en el contexto de los trabajos preparatorios de este último. Esto hace innecesaria una evaluación de impacto específica para el presente Reglamento.

•Adecuación regulatoria y simplificación

No procede

•Derechos fundamentales

El derecho a la protección de los datos personales está establecido en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea («la Carta»), el artículo 16 del TFUE y el artículo 8 del Convenio Europeo de Derechos Humanos. Como subrayó el Tribunal de Justicia de la Unión Europea 8 , el derecho a la protección de datos de carácter personal no es un derecho absoluto, sino que se ha de considerar en relación con su función en la sociedad 9 . La protección de datos también está estrechamente vinculada al respeto de la vida privada y familiar establecido en el artículo 7 de la Carta.

La presente propuesta establece normas sobre la protección de las personas físicas con respecto al tratamiento de los datos personales por parte de las instituciones, órganos y organismos de la Unión y la libre circulación de estos.

Otros derechos fundamentales consagrados en la Carta que podrían verse afectados son: la libertad de expresión (artículo 11); el derecho a la propiedad y especialmente a la protección de la propiedad intelectual (artículo 17, apartado 2); la prohibición de toda discriminación ejercida por razón de raza, orígenes étnicos, características genéticas, religión o convicciones, opiniones políticas o de cualquier otro tipo, discapacidad u orientación sexual (artículo 21); los derechos del menor (artículo 24); el derecho a un alto nivel de protección de la salud humana (artículo 35); el derecho de acceso a los documentos (artículo 42); el derecho a la tutela judicial efectiva y a un juez imparcial (artículo 47).

4.REPERCUSIONES PRESUPUESTARIAS

Véase la ficha financiera en el anexo.

5.OTROS ELEMENTOS

•Planes de ejecución y disposiciones sobre seguimiento, evaluación e información

No procede

•Documentos explicativos (en el caso de las Directivas)

No procede

CAPÍTULO I - DISPOSICIONES GENERALES

El artículo 1 define el objeto del Reglamento y, como el artículo 1 del Reglamento (CE) n.º 45/2001, establece los dos objetivos del mismo: defender el derecho fundamental a la protección de datos y garantizar la libre circulación de los datos personales en toda la Unión. También prevé las principales tareas del Supervisor Europeo de Protección de Datos.

El artículo 2 define el ámbito de aplicación del Reglamento: las disposiciones del presente Reglamento se aplicarán al tratamiento de datos personales por parte de todas las instituciones y organismos de la Unión, en la medida en que dicho tratamiento se lleve a cabo para el ejercicio de actividades que pertenezcan al ámbito de aplicación del Derecho de la Unión. El ámbito de aplicación material del presente Reglamento es tecnológicamente neutro. La protección de los datos personales se aplica al tratamiento automatizado de datos personales, así como a su tratamiento manual, cuando los datos personales figuren en un fichero o estén destinados a ser incluidos en él.

El artículo 3 contiene definiciones de los términos utilizados en el Reglamento. Además de las definiciones de «instituciones y organismos de la Unión», «responsable del tratamiento», «usuario» y «guía», que son específicos de este Reglamento, los términos usados en él se definen en el Reglamento (UE) 2016/679, el Reglamento (UE) 0000/00 [nuevo Reglamento sobre la privacidad y las comunicaciones electrónicas], la Directiva 00/0000/UE [Directiva por la que se establece el Código Europeo de las Comunicaciones Electrónicas] y la Directiva 2008/63/CE de la Comisión.

CAPÍTULO II - PRINCIPIOS

El artículo 4 establece los principios relativos al tratamiento de los datos personales, que corresponden a los establecidos en el artículo 5 del Reglamento (UE) 2016/679. En comparación con el Reglamento (CE) n.º 45/2001, añade los nuevos principios de transparencia y de integridad y confidencialidad.

El artículo 5 se basa en el artículo 6 del Reglamento (UE) 2016/679 y establece los criterios para un tratamiento lícito, con la única excepción del criterio del legítimo interés del responsable que no puede aplicarse al sector público y, por tanto, no debe aplicarse a las instituciones y organismos de la Unión. El artículo 5 mantiene los criterios ya establecidos en el artículo 5 del Reglamento (CE) n.º 45/2001.

El artículo 6 aclara las condiciones para el tratamiento con otro fin compatible en consonancia con el artículo 6, apartado 4, del Reglamento (UE) 2016/679. En comparación con el artículo 6 del Reglamento (CE) n.º 45/2001, esta nueva disposición ofrece una mayor flexibilidad y seguridad jurídica respecto a otros tratamientos con fines compatibles.

El artículo 7 aclara, de acuerdo con el artículo 7 del Reglamento (UE) 2016/679, las condiciones para que el consentimiento sea válido como fundamento jurídico para el tratamiento lícito.

El artículo 8 establece, en consonancia con el artículo 8 del Reglamento (UE) 2016/679, nuevas condiciones para la licitud del tratamiento de los datos personales de los niños en relación con los servicios de la sociedad de la información que se les ofrecen directamente. Establece los trece años como la edad mínima de un niño para el consentimiento válido.

El artículo 9 establece, de acuerdo con el artículo 8 del Reglamento (CE) n.º 45/2001, normas que ofrecen un nivel concreto de protección relativo a la transmisión de datos personales a destinatarios, que no sean las instituciones y organismos de la Unión, establecidos en la Unión y sujetos al Reglamento (UE) 2016/679 o a la Directiva (UE) 2016/680. Aclara que, siempre que sea el responsable del tratamiento quien inicie la transmisión, debe demostrarse la necesidad y la proporcionalidad de esta.

El artículo 10 establece la prohibición general del tratamiento de categorías especiales de datos personales y las excepciones a esta norma general, inspirándose en el artículo 9 del Reglamento (UE) 2016/679 y desarrollando el artículo 10 del Reglamento (CE) n.º 45/2001.

El artículo 11 establece, de acuerdo con el artículo 10 del Reglamento (UE) 2016/679 y en consonancia con el artículo 10, apartado 5, del Reglamento (CE) n.º 45/2001, las condiciones para el tratamiento de datos personales relativos a condenas e infracciones penales.

El artículo 12 aclara las obligaciones de información del responsable del tratamiento en relación con el interesado, de acuerdo con al artículo 11 del Reglamento (UE) 2016/679, estableciendo que, si los datos personales tratados por un responsable no le permiten identificar a una persona física, el responsable no debe estar obligado a obtener información adicional para identificar al interesado con la única finalidad de cumplir cualquier disposición del presente Reglamento. No obstante, el responsable del tratamiento no debe negarse a recibir información adicional facilitada por el interesado a fin de respaldarle en el ejercicio de sus derechos.

El artículo 13 establece, en base al artículo 89, apartado 1, del Reglamento (UE) 2016/679, las normas sobre garantías aplicables al tratamiento de datos con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.

CAPÍTULO III – DERECHOS DEL INTERESADO

Sección 1 – Transparencia y modalidades

El artículo 14 introduce, en base al artículo 12 del Reglamento (UE) 2016/679, la obligación para los responsables del tratamiento de ofrecer información transparente y de fácil acceso y comprensión así como procedimientos y mecanismos para que puedan ejercerse los derechos de los interesados, incluidos, cuando sean necesario, los medios para presentar solicitudes electrónicas, con la obligación de responder a la solicitud del interesado en un plazo determinado, y de motivar las denegaciones. Ya que no se espera bajo ninguna circunstancia que las instituciones y organismos de la Unión cobren ninguna tasa relativa a los costes administrativos de ofrecer esta información, esta posibilidad no se retoma del Reglamento (UE) 2016/679.

Sección 2 – Información y acceso a los datos

El artículo 15 especifica las obligaciones de información del responsable del tratamiento hacia el interesado cuando los datos personales se obtengan de este, sobre la base del artículo 13 del Reglamento (UE) 2016/679 y desarrollando el artículo 11 del Reglamento (CE) n.º 45/2001, y por las que deberá proporcionarle información, incluso sobre el periodo de conservación de los datos, el derecho a presentar una reclamación y en relación con las transferencias internacionales.

El artículo 16 profundiza, sobre la base del artículo 14 del Reglamento (UE) 2016/679 y desarrollando el artículo 12 del Reglamento (CE) n.º 45/2001, en las obligaciones de información del responsable del tratamiento en relación con el interesado cuando los datos personales no se hayan obtenido de este y por las que deberá proporcionar información a la fuente de la que estos proceden. Asimismo, mantiene las posibles excepciones del Reglamento (UE) 2016/679, es decir, no habrá tal obligación si el interesado ya tiene dicha información, su comunicación resulta imposible o hacerlo implicaría un esfuerzo desproporcionado para el responsable, cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión o si el registro o la comunicación están expresamente previstos por ley. Esto podría ser de aplicación, por ejemplo, en procedimientos de servicios competentes en cuestiones de seguridad social o sanitarias.

El artículo 17 dispone, de acuerdo con el artículo 15 del Reglamento (UE) 2016/679 y desarrollando el artículo 13 del Reglamento (CE) n.º 45/2001, el derecho de acceso del interesado a sus datos personales y añade nuevos elementos, como la obligación de informar a los interesados sobre el periodo de conservación, y los derechos de rectificación y supresión y a interponer una reclamación.

Sección 3 – Rectificación y supresión

El artículo 18 establece el derecho del interesado a la rectificación, sobre la base del artículo 16 del Reglamento (UE) 2016/679 y desarrollando el artículo 14 del Reglamento (CE) n.º 45/2001.

El artículo 19 establece, de acuerdo con el artículo 17 del Reglamento (UE) 2016/679 y desarrollando el artículo 16 del Reglamento (CE) n.º 45/2001, el derecho del interesado al olvido y a la supresión. Establece las condiciones del derecho al olvido, incluida la obligación del responsable del tratamiento que haya difundido los datos personales de informar a los terceros sobre la solicitud del interesado de suprimir todos los enlaces a los datos personales, copias o réplicas de los mismos.

El artículo 20 introduce el derecho a que se limite el tratamiento en determinados casos, evitando la ambigüedad del término «bloqueo» usado en el Reglamento (CE) n.º 45/2001 y garantizando la coherencia con la nueva terminología según el artículo 18 del Reglamento (UE) 2016/679.

El artículo 21 dispone, de conformidad con el artículo 19 del Reglamento (UE) 2016/679 y desarrollando el artículo 17 del Reglamento (CE) n.º 45/2001, la obligación del responsable del tratamiento de comunicar a los destinatarios a los que se hayan comunicado los datos personales cualquier rectificación o supresión de estos así como cualquier limitación salvo que ello sea imposible o exija un esfuerzo desproporcionado. El responsable también informará al interesado acerca de dichos destinatarios, si este así lo solicita.

El artículo 22 introduce, de acuerdo con el artículo 20 del Reglamento (UE) 2016/679, el derecho del interesado a la portabilidad de los datos, es decir, el derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, o a que los datos personales se transmitan directamente a otro responsable cuando sea técnicamente posible. A modo de condición previa y con el fin de seguir mejorando el acceso de las personas físicas a sus datos personales, establece el derecho de obtener del responsable esos datos en un formato estructurado, de uso común y legible por máquina. Este derecho solo se aplica cuando el tratamiento se basa en el consentimiento del interesado o en un contrato celebrado por este.

Sección 4 – Derecho de oposición y decisiones individuales automatizadas

El artículo 23 prevé el derecho de oposición del interesado, sobre la base del artículo 21 del Reglamento (UE) 2016/679 y desarrollando el artículo 18 del Reglamento (CE) n.º 45/2001.

El artículo 24 se refiere al derecho del interesado a no ser objeto de una medida basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, en consonancia con el artículo 22 del Reglamento (UE) 2016/679 y desarrollando el artículo 19 del Reglamento (CE) n.º 45/2001.

Sección 5 – Limitaciones

El artículo 25 permite limitaciones de los derechos del interesado establecidos en los artículos 14 a 22 y 34 a 38 y de los principios establecidos en el artículo 4 (en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 14 a 22). Dichas limitaciones deben establecerse en actos jurídicos adoptados sobre la base de los Tratados o las normas internas de las instituciones y organismos de la Unión. En caso de que dicha limitación no se establezca en los actos jurídicos adoptados sobre la base de los Tratados o las normas internas de las instituciones y organismos de la Unión, estas podrán imponer una limitación ad hoc si esta respeta en lo esencial los derechos y libertades fundamentales, en relación con una operación de tratamiento específica, y si constituye una medida necesaria y proporcional en una sociedad democrática para salvaguardar uno o más de los objetivos que permiten las limitaciones de los derechos del interesado. Este enfoque se ajusta al artículo 23 del Reglamento (UE) 2016/679. Sin embargo, al contrario que el artículo 23 del Reglamento (UE) 2016/679 y en consonancia con el artículo 20 del Reglamento (CE) n.º 45/2001, la disposición no prevé la posibilidad de limitar el derecho de oposición y el derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado. Los requisitos para las limitaciones se ajustan a la Carta de los Derechos Fundamentales y al Convenio Europeo de Derechos Humanos, tal como interpretan el Tribunal de Justicia de la Unión Europea y el Tribunal Europeo de Derechos Humanos respectivamente.

CAPÍTULO IV – RESPONSABLE Y ENCARGADO DEL TRATAMIENTO

Sección 1 - Obligaciones generales

El artículo 26 se basa en el artículo 24 del Reglamento (UE) 2016/679 e introduce el «principio de responsabilidad» describiendo la obligación de responsabilidad del responsable del tratamiento a la hora de cumplir el presente Reglamento y de demostrar su observancia, incluso mediante la adopción de medidas técnicas y organizativas apropiadas y, cuando sea necesario, de políticas y mecanismos internos que garanticen dicha conformidad. El artículo 24, apartado 3, del Reglamento (UE) 2016/679 no se ha mantenido en esta disposición ya que las instituciones y organismos de la Unión no deben adherirse a códigos de conducta o mecanismos de certificación.

El artículo 27 establece, de acuerdo con el artículo 25 del Reglamento (UE) 2016/679, las obligaciones del responsable del tratamiento que emanan de los principios de la protección de datos desde el diseño y por defecto.

El artículo 28 relativo a los corresponsables del tratamiento se basa en el artículo 26 del Reglamento (UE) 2016/679 para aclarar las responsabilidades de estos (tanto si se trata de instituciones u organismos de la Unión como si no) por lo que se refiere a su relación interna y en relación con el interesado. Esta disposición establece la situación en la que todos los corresponsables del tratamiento están sujetos al mismo régimen jurídico (el presente Reglamento) y la situación en la que algunos de ellos están sujetos a este Reglamento y otros a un instrumento jurídico diferente [Reglamento (UE) 2016/679, Directiva (UE) 2016/680, Directiva (UE) 2016/681 y otros regímenes de protección de datos referentes a instituciones u organismos de la Unión].

El artículo 29 se basa en el artículo 28 del Reglamento (UE) 2016/679 y desarrolla el artículo 23 del Reglamento (CE) n.º 45/2001, para aclarar la posición y las obligaciones de los encargados del tratamiento, incluida la determinación de que si uno de ellos infringe el presente Reglamento al determinar los fines y medios del tratamiento, será considerado responsable de este.

El artículo 30 sobre el tratamiento bajo la autoridad del responsable y del encargado se basa en el artículo 29 del Reglamento (UE) 2016/679 y establece la prohibición, para el encargado del tratamiento o cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales, de tratar dichos datos a menos que sigan instrucciones del responsable, a no ser que estén obligados a ello en virtud del Derecho de la Unión o de los Estados miembros.

El artículo 31 se basa en el artículo 30 del Reglamento (UE) 2016/679 e introduce la obligación de conservar la documentación relativa a las operaciones de tratamiento que estén bajo su responsabilidad, en lugar de una notificación previa al SEPD exigida por el artículo 25 del Reglamento (CE) n.º 45/2001 y el registro de los DPD. Al contrario que el Reglamento (UE) 2016/679, esta disposición no hace referencia a los representantes, ya que las instituciones de la Unión no tendrán representantes sino DPD. Las referencias a transferencias basadas en excepciones para situaciones específicas incluidas en el Reglamento (UE) 2016/679 no se mantuvieron, ya que estos tipos de transferencia no se contemplan en el presente Reglamento. La obligación de mantener un registro de las actividades de tratamiento puede centralizarse al nivel de una institución u organismo de la Unión. En ese caso, las instituciones y organismos de la Unión tienen la posibilidad de mantener sus registros de actividades de tratamiento en forma de registro accesible al público.

El artículo 32 aclara, sobre la base del artículo 31 del Reglamento (UE) 2016/679, las obligaciones de las instituciones y organismos de la Unión para la cooperación con el SEPD.

Sección 2 – Seguridad de los datos personales y confidencialidad de las comunicaciones electrónicas

El artículo 33 obliga al responsable, de acuerdo con el artículo 32 del Reglamento (UE) 2016/679 y desarrollando el artículo 22 del Reglamento (CE) n.º 45/2001, a adoptar las medidas oportunas para garantizar la seguridad del tratamiento, extendiendo la obligación a los encargados, independientemente del contrato suscrito con el responsable del tratamiento.

El artículo 34 se basa en el artículo 36 del Reglamento (CE) n.º 45/2001 y garantiza la confidencialidad de las comunicaciones electrónicas dentro de las instituciones y organismos de la Unión.

El artículo 35 se basa en la práctica actual de las instituciones y organismos de la Unión y protege la información relativa a los equipos terminales de usuarios finales que acceden a sitios web y aplicaciones para móviles disponibles públicamente ofrecidos por las instituciones y organismos de la Unión, de acuerdo con el Reglamento (UE) XXXX/XX [nuevo Reglamento sobre la privacidad y las comunicaciones electrónicas], en particular su artículo 8.

El artículo 36 se basa en el artículo 38 del Reglamento (CE) n.º 45/2001 y protege los datos personales dispuestos en guías públicas y privadas de las instituciones y organismos de la Unión.

Los artículos 37 y 38 introducen la obligación de notificar las violaciones de la seguridad de los datos personales, de acuerdo con los artículos 33 y 34 del Reglamento (UE) 2016/679.

Sección 3 – Evaluación de impacto relativa a la protección de datos y consulta previa

El artículo 39 se basa en el artículo 35 del Reglamento (UE) 2016/679 e introduce la obligación de los responsables y los encargados de realizar una evaluación de impacto relativa a la protección de datos antes de la operaciones de tratamiento que puedan entrañar un alto riesgo para los derechos y libertades de las personas físicas. Esta obligación se aplicará en particular en caso de una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, el tratamiento a gran escala de categorías especiales de datos o la observación sistemática a gran escala de una zona de acceso público.

El artículo 40 se basa en el artículo 36 del Reglamento (UE) 2016/679 y se refiere a los casos en que es obligatoria la autorización y consulta del SEPD con anterioridad al tratamiento. Sin embargo, el primer apartado del artículo 40 reproduce el considerando 94 del Reglamento (UE) 2016/679 y pretende aclarar el alcance de la obligación de consulta.

Sección 4 – Información y consulta legislativa

El artículo 41 prevé la obligación de las instituciones y organismos de la Unión de informar al SEPD cuando elaboren medidas administrativas y normas internas relacionadas con el tratamiento de datos personales.

El artículo 42 prevé la obligación para la Comisión de consultar al SEPD tras la adopción de propuestas de actos legislativos y de recomendaciones o propuestas al Consejo, en virtud del artículo del artículo 218 del TFUE, y al preparar actos delegados o actos de ejecución que tengan un impacto sobre la protección de los derechos y libertades de las personas en relación con el tratamiento de datos personales. Cuando dichos actos sean de especial importancia para la protección de los derechos y libertades de las personas en relación con el tratamiento de datos personales, la Comisión puede consultar al Comité Europeo de Protección de Datos. En estos casos, ambas entidades deben coordinar sus esfuerzos a fin de emitir un dictamen conjunto. Se establece un plazo de ocho semanas para emitir dicho asesoramiento en los casos mencionados, con la posibilidad de hacer una excepción en los casos urgentes y cuando se considere conveniente, por ejemplo cuando la Comisión esté preparando actos delegados o de ejecución.

Sección 5 – Obligación de respuesta a las acusaciones

El artículo 43 establece la obligación de los responsables y los encargados de responder a la acusaciones después de que el SEPD les remita un asunto.

Sección 6 – Delegado de protección de datos

El artículo 44 se basa en el artículo 37, apartado 1, letra a, del Reglamento (UE) 2016/679 y en el artículo 24 del Reglamento (CE) n.º 45/2001 para prever un DPD obligatorio para las instituciones y organismos de la Unión.

El artículo 45 se basa en el artículo 38 del Reglamento (UE) 2016/679 y en el artículo 24 del Reglamento (CE) n.º 45/2001 para establecer la posición del DPD.

El artículo 46 se basa en el artículo 39 del Reglamento (UE) 2016/679 y en el artículo 24 y en el segundo y tercer apartados del anexo del Reglamento (CE) n.º 45/2001 para prever la tareas esenciales del DPD.

CAPÍTULO V – TRANSFERENCIA DE DATOS PERSONALES A TERCEROS PAÍSES U ORGANIZACIONES INTERNACIONALES

El artículo 47 refuerza el artículo 9 del Reglamento (CE) n.º 45/2001 y detalla el principio general, de acuerdo con el artículo 44 del Reglamento (UE) 2016/679, de que el cumplimiento de las demás disposiciones de este Reglamento y las condiciones establecidas en el capítulo V es obligatorio para cualquier transferencia de datos personales a terceros países u organizaciones internacionales, incluidas las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u organización internacional.

El artículo 48 establece que podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido, en virtud del artículo 45, apartado 3, del Reglamento (UE) 2016/679, que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado y los datos se transmiten exclusivamente para permitir el ejercicio de las tareas que son competencia del responsable del tratamiento. Los apartados 2 y 3 de este artículo proceden del artículo 9 del Reglamento (CE) n.º 45/2001 ya que son elementos útiles para supervisar el nivel de protección en terceros países y organizaciones internacionales.

El artículo 49 se basa en el artículo 46 del Reglamento (UE) 2016/679 y exige que, para las transferencias a terceros países en relación con las cuales la Comisión no haya adoptado ninguna decisión de adecuación, se aporten las garantías apropiadas, especialmente cláusulas tipo de protección de datos y cláusulas contractuales. Según el Reglamento (UE) 2016/679, los encargados que no sean instituciones y organismos de la Unión pueden utilizar normas corporativas vinculantes, códigos de conducta e instrumentos de certificación. El cuarto apartado de este artículo sobre la obligación de las instituciones y organismos de la Unión de informar al SEPD de las categorías de casos en que las que hayan aplicado el presente artículo corresponde al artículo 9, apartado 8, del Reglamento (CE) n.º 45/2001 y se mantiene dada su especificidad. El quinto apartado se basa en el régimen de anterioridad de las autorizaciones existentes establecidas en el artículo 46, apartado 5, del Reglamento (UE) 2016/679.

El artículo 50 aclara, de acuerdo con el artículo 48 del Reglamento (UE) 2016/679, que las sentencias de los tribunales o las decisiones de las autoridades administrativas de terceros países que exijan una transferencia o comunicación de datos personales únicamente serán reconocidas o ejecutables en cualquier modo si se basan en un acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente entre el país tercero requirente y la Unión, sin perjuicio de otros motivos para la transferencia al amparo del presente capítulo.

El artículo 51 se basa en el artículo 49 del Reglamento (UE) 2016/679 y define y aclara las excepciones a una transferencia de datos. Ello se aplica en particular a las transferencias de datos requeridas y necesarias para la protección de intereses públicos importantes, por ejemplo en caso de transferencias internacionales de datos en las que participen autoridades de competencia, administraciones fiscales o aduaneras, o entre servicios competentes en materia de seguridad social o de gestión de la pesca. El quinto apartado sobre la obligación de informar al SEPD de las categorías de casos cuando se han invocado excepciones para una transferencia corresponde al actual artículo 9, apartado 8, del Reglamento (CE) n.º 45/2001.

El artículo 52 se basa en el artículo 50 del Reglamento (UE) 2016/679 y prevé explícitamente los mecanismos de cooperación internacional para la protección de los datos personales entre el SEPD, en cooperación con la Comisión y el Comité Europeo de Protección de Datos, y las autoridades de control de terceros países.

CAPÍTULO VI - EL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS

El artículo 53 se basa en el artículo 41 del Reglamento (CE) n.º 45/2001 y se refiere a la creación del SEPD.

El artículo 54 se basa en el artículo 42 del Reglamento (CE) n.º 45/2001 y el artículo 3 de la Decisión 1247/2002/CE y establece las normas para el nombramiento del SEPD por parte del Parlamento Europeo y del Consejo. Asimismo, especifica la duración de su mandato: cinco años.

El artículo 55 se basa en el artículo 43 del Reglamento (CE) n.º 45/2001 y el artículo 1 de la Decisión 1247/2002/CE y prevé el estatuto y condiciones generales de ejercicio de las funciones del SEPD, así como su personal y recursos financieros.

El artículo 56 se basa en el artículo 52 del Reglamento (UE) 2016/679 y el artículo 44 del Reglamento (CE) n.º 45/2001 y aclara las condiciones para la independencia del SEPD, teniendo en cuenta la jurisprudencia del Tribunal de Justicia de la Unión Europea.

El artículo 57 se basa en el artículo 45 del Reglamento (CE) n.º 45/2001 y establece los deberes de secreto profesional del SEPD, tanto durante su mandato como después del mismo, con relación a las informaciones confidenciales de las que haya tenido conocimiento en el cumplimiento de sus obligaciones profesionales.

El artículo 58 se basa en el artículo 57 del Reglamento (UE) 2016/679 y el artículo 46 del Reglamento (CE) n.º 45/2001 y establece las tareas del SEPD, entre las que se incluye conocer e investigar las reclamaciones y fomentar el conocimiento de los ciudadanos en materia de riesgos, normas, garantías y derechos.

El artículo 59 se basa en el artículo 58 del Reglamento (UE) 2016/679 y en el artículo 47 del Reglamento (CE) n.º 45/2001 y establece los poderes del SEPD.

El artículo 60 se basa en el artículo 59 del Reglamento (UE) 2016/679 y en el artículo 48 del Reglamento (CE) n.º 45/2001 y establece la obligación del SEPD de elaborar un informe anual de actividad.

CAPÍTULO VII - COOPERACIÓN Y COHERENCIA

El artículo 61 se basa en el artículo 61 del Reglamento (UE) 2016/679 y en el artículo 46, letra f, del Reglamento (CE) n.º 45/2001 e introduce normas explícitas sobre la cooperación del SEPD con las autoridades de control nacionales.

El artículo 62 prevé las obligaciones del SEPD cuando otros actos de la Unión se refieran a este artículo en el marco de una supervisión coordinada con las autoridades de control nacionales. Pretende aplicar un modelo único de supervisión coordinada. Este modelo puede usarse para la supervisión coordinada de grandes sistemas informáticos como Eurodac, el Sistema de Información de Schengen de segunda generación, el Sistema de Información de Visados, el Sistema de Información Aduanero o el Sistema de Información del Mercado Interior, pero también para la supervisión de algunas agencias de la Unión cuando se establezca un modelo específico de cooperación entre el SEPD y autoridades nacionales, como Europol. El Comité Europeo de Protección de Datos debe servir de foro único para garantizar la supervisión coordinada eficaz de forma generalizada.

CAPÍTULO VIII – RECURSOS, RESPONSABILIDAD Y SANCIONES

El artículo 63 se basa en el artículo 77 del Reglamento (UE) 2016/679 y en el artículo 32 del Reglamento (CE) n.º 45/2001 y prevé el derecho de cualquier interesado a presentar una reclamación ante el SEPD. Asimismo, establece la obligación del SEPD de tratar las reclamaciones e informar al interesado sobre el curso y el resultado de la misma en un plazo de tres meses, tras el cual se entenderá desestimada la reclamación.

El artículo 64 mantiene el artículo 32, apartado 1, del Reglamento (CE) n.º 45/2001, que establece que el Tribunal de Justicia de la Unión Europea será competente en todos los litigios que se relacionen con las disposiciones del presente Reglamento, incluidas las demandas por perjuicios.

El artículo 65 establece el derecho a indemnización, por daños y perjuicios materiales o inmateriales, siempre que se cumplan las condiciones, incluida la responsabilidad, previstas en los Tratados.

El artículo 66 se basa en el artículo 83 del Reglamento (UE) 2016/679 y confiere al SEPD la facultad de imponer multas administrativas a las instituciones y organismos de la Unión, como sanción de último recurso y solo cuando estas incumplan uno de los requerimientos del SEPD a los que se refiere el artículo 59, apartado 2, letras a) a h) y j). Asimismo, el artículo especifica los criterios para decidir la cuantía de la multa administrativa en cada caso individual, mientras que los límites máximos anuales están inspirado por las cuantías de las multas aplicables en algunos Estados miembros.

El artículo 67, de acuerdo con el artículo 80, apartado 1, del Reglamento (UE) 2016/679, permite a ciertos organismos, organizaciones o asociaciones presentar una reclamación en nombre del interesado.

El artículo 68 prevé, con arreglo al artículo 33 del Reglamento (CE) n.º 45/2001, normas específicas destinadas a proteger al personal de la Unión que presente una reclamación ante el SEPD en relación con una presunta violación de las disposiciones del presente Reglamento, sin necesidad de seguir los conductos oficiales.

El artículo 69 se basa en el artículo 49 del Reglamento (CE) n.º 45/2001 y prevé sanciones aplicables al incumplimiento de las obligaciones del presente Reglamento por parte de funcionarios u otros agentes de la Unión Europea.

CAPÍTULO IX – ACTOS DE EJECUCIÓN

El artículo 70 recoge la disposición relativa al procedimiento del comité necesario para la atribución de competencias de ejecución a la Comisión en los casos en que, de conformidad con el artículo 291 del TFUE, se requieran condiciones uniformes de ejecución de los actos jurídicamente vinculantes de la Unión. Es de aplicación el procedimiento de examen.

CAPÍTULO X - DISPOSICIONES FINALES

El artículo 71 deroga el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE y determina que las referencias a estos instrumentos derogados se entiendan como referencias al presente Reglamento.

El artículo 72 aclara que el mandato actual del Supervisor Europeo de Protección de Datos y el Supervisor Adjunto no se verá afectado por el presente Reglamento y que el artículo 54, apartados 4, 5 y 7, y los artículos 56 y 57 del Reglamento se aplican al actual Supervisor Adjunto hasta el final de su mandato, es decir, el 5 de diciembre de 2019.

El artículo 73 establece el 25 de mayo de 2018 como la fecha de entrada en vigor del presente Reglamento a fin de garantizar la coherencia con la fecha de aplicación del Reglamento (UE) 2016/679.

2017/0002 (COD)

Propuesta de

REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO

relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión y a la libre circulación de estos datos, y por el que se deroga el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea y, en particular, su artículo 16, apartado 2,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de texto legislativo a los Parlamentos nacionales,

Visto el dictamen del Consejo Económico y Social Europeo 10 ,

De conformidad con el procedimiento legislativo ordinario,

Considerando lo siguiente:

(1)La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea («la Carta») y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE) establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.

(2)El Reglamento (CE) n.º 45/2001 del Parlamento Europeo y del Consejo 11 proporciona a las personas físicas unos derechos protegidos jurídicamente, especifica las obligaciones de los responsables del tratamiento dentro de las instituciones y los organismos de la Unión en materia de tratamiento de datos y crea una autoridad de control independiente, el Supervisor Europeo de Protección de Datos, responsable de la vigilancia de los tratamientos de datos personales efectuados por las instituciones y los organismos de la Unión. Sin embargo, no se aplica al tratamiento de datos personales en el ejercicio de una actividad de las instituciones y los organismos de la Unión no comprendida en el ámbito de aplicación del Derecho de la Unión.

(3)El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo 12 y la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo 13 fueron adoptados el 27 de abril de 2016. Mientras que el Reglamento establece normas generales para proteger a las personas físicas en relación con el tratamiento de los datos personales y de facilitar la libre circulación de dichos datos personales en la Unión, la Directiva establece normas específicas para proteger a las personas físicas en relación con el tratamiento de los datos personales y de garantizar la libre circulación de dichos datos personales en la Unión en los ámbitos de la cooperación judicial en materia penal y en el de la cooperación policial.

(4)El Reglamento (UE) 2016/679 subraya la necesidad de realizar las adaptaciones pertinentes del Reglamento (CE) n.º 45/2001 a fin de establecer un marco sólido y coherente en materia de protección de datos en la Unión y permitir que pueda aplicarse al mismo tiempo que el Reglamento (UE) 2016/679.

(5)Redunda en interés de un enfoque coherente de la protección de datos personales en la Unión y de la libre circulación de dichos datos personales en la Unión, armonizar, en la medida de lo posible, las normas de protección de datos de las instituciones y organismos de la Unión con las adoptadas para el sector público en los Estados miembros. Cuando las disposiciones del presente Reglamento se basen en el mismo concepto que las disposiciones del Reglamento (UE) 2016/679, ambas deben interpretarse de manera homogénea, en particular porque debe entenderse que la estructura del presente Reglamento es equivalente a la del Reglamento (UE) 2016/679.

(6)Se debe proteger a las personas cuyos datos personales son tratados por las instituciones y organismos de la Unión en cualquier contexto, por ejemplo, porque estas personas estén empleadas por dichas instituciones y organismos. El presente Reglamento no se aplica al tratamiento de datos personales de personas fallecidas. El presente Reglamento no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto.

(7)A fin de evitar que haya un grave riesgo de elusión, la protección de las personas físicas debe ser tecnológicamente neutra y no debe depender de las técnicas utilizadas. La protección de las personas físicas debe aplicarse al tratamiento automatizado de datos personales, así como a su tratamiento manual, cuando los datos personales figuren en un fichero o estén destinados a ser incluidos en él. Los ficheros o conjuntos de ficheros, así como sus portadas, que no estén estructurados con arreglo a criterios específicos, no deben entrar en el ámbito de aplicación del presente Reglamento.

(8)En la Declaración n.º 21 relativa a la protección de datos de carácter personal en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial, anexa al acta final de la Conferencia Intergubernamental que adoptó el Tratado de Lisboa, la Conferencia reconoció que podrían requerirse normas específicas sobre protección de datos personales y libre circulación de los mismos en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial basada en el artículo 16 del TFUE, en razón de la naturaleza específica de dichos ámbitos. Por lo tanto, el presente Reglamento debe aplicarse a las agencias de la Unión que lleven a cabo actividades en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial solo en la medida en que el Derecho de la Unión aplicable a dichas agencias no incluya normas específicas sobre el tratamiento de datos personales.

(9)La Directiva (UE) 2016/680 establece normas armonizadas para la protección y libre circulación de datos personales tratados con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención. A fin de promover el mismo nivel de protección de las personas físicas mediante derechos protegidos jurídicamente en toda la Unión y evitar divergencias que dificulten el intercambio de datos personales entre las agencias de la Unión que llevan a cabo actividades en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial y las autoridades competentes de los Estados miembros, las normas para la protección y la libre circulación de datos personales operativos tratados por dichas agencias de la Unión deben basarse en los principios en que se basa el presente Reglamento y ser coherentes con la Directiva (UE) 2016/680.

(10)Cuando el acta fundacional de una agencia de la Unión que lleve a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 y 5 del título V del Tratado establezca un régimen de protección de datos independiente para el tratamiento de datos personales operativos, dicho régimen no se verá afectado por el presente Reglamento. Sin embargo, antes del 6 de mayo de 2019, la Comisión debe, de acuerdo con el artículo 62 de la Directiva (UE) 2016/680, revisar los actos de la Unión que regulen el tratamiento por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención y, en su caso, hacer las propuestas necesarias para modificar dichos actos con el fin de garantizar un enfoque coherente de la protección de datos personales en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial.

(11)Los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable. Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable. Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos. Por lo tanto, los principios de protección de datos no deben aplicarse a la información anónima, es decir, información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación.

(12)La aplicación de la seudonimización a los datos personales puede reducir los riesgos para los interesados afectados y ayudar a los responsables y a los encargados del tratamiento a cumplir sus obligaciones de protección de los datos. Así pues, la introducción explícita de la «seudonimización» en el presente Reglamento no pretende excluir ninguna otra medida relativa a la protección de los datos.

(13)Las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» u otros identificadores, como etiquetas de identificación por radiofrecuencia. Esto puede dejar huellas que, en particular, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas.

(14)El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.

(15)Todo tratamiento de datos personales debe ser lícito y leal. Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales así como del modo de hacer valer sus derechos en relación con el tratamiento. En particular, los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida. Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación. Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica. Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos. Los datos personales deben tratarse de un modo que garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento.

(16)Según el principio de rendición de cuentas, cuando las instituciones y organismos de la Unión transmitan datos personales en su seno o a otras instituciones y organismos de la Unión, estos deben verificar si dichos datos personales son necesarios para el ejercicio legítimo de las tareas que pertenecen al ámbito de competencia del destinatario cuando dicho destinatario no forma parte del responsable. En particular, tras la petición de transmisión de datos personales por parte de un destinatario, el responsable debe verificar la existencia de un motivo pertinente para el tratamiento lícito de los datos personales por su parte así como la competencia del destinatario y deberá efectuar una evaluación provisional de la necesidad de la transmisión de dichos datos. En caso de abrigar dudas sobre tal necesidad, el responsable del tratamiento debe pedir al destinatario que aporte información complementaria. El destinatario debe garantizar la posibilidad de verificar subsiguientemente la necesidad de la transmisión de los datos.

(17)Para que el tratamiento sea lícito, los datos personales deben ser tratados sobre la base de la necesidad del cumplimiento de una misión realizada en interés público por parte de las instituciones y organismos de la Unión o en el ejercicio de sus poderes públicos, la necesidad de cumplir la obligación legal aplicable al responsable del tratamiento o sobre alguna otra base legítima a que se refiera el presente Reglamento, incluido el consentimiento del interesado o la necesidad de ejecutar un contrato en el que sea parte el interesado o con objeto de tomar medidas a instancia del interesado con anterioridad a la conclusión de un contrato. El tratamiento de datos personales efectuado a cargo de las instituciones y organismos de la Unión para la realización de las tareas de interés público incluye el tratamiento de datos personales necesarios para la gestión y el funcionamiento de dichas instituciones y organismos. El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.

(18)El Derecho de la Unión que incluye las normas internas referidas en el presente Reglamento debe ser claro y preciso y su aplicación previsible para sus destinatarios, de conformidad con la jurisprudencia del Tribunal de Justicia de la Unión Europea y del Tribunal Europeo de Derechos Humanos.

(19)El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. En tal caso, no se requiere una base jurídica aparte, distinta de la que permitió la obtención de los datos personales. Si el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, los cometidos y los fines para los cuales se debe considerar compatible y lícito el tratamiento ulterior se pueden determinar y especificar de acuerdo con el Derecho de la Unión. Las operaciones de tratamiento ulterior con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos deben considerarse operaciones de tratamiento lícitas compatibles. La base jurídica establecida en el Derecho de la Unión para el tratamiento de datos personales también puede servir de base jurídica para el tratamiento ulterior. Con objeto de determinar si el fin del tratamiento ulterior es compatible con el fin de la recogida inicial de los datos personales, el responsable del tratamiento, tras haber cumplido todos los requisitos para la licitud del tratamiento original, debe tener en cuenta, entre otras cosas: cualquier relación entre estos fines y los fines del tratamiento ulterior previsto; el contexto en el que se recogieron los datos, en particular, las expectativas razonables del interesado basadas en su relación con el responsable en cuanto a su uso posterior; la naturaleza de los datos personales; las consecuencias para los interesados del tratamiento ulterior previsto; y la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento ulterior prevista.

(20)Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento. En particular en el contexto de una declaración por escrito efectuada sobre otro asunto, debe haber garantías de que el interesado es consciente del hecho de que da su consentimiento y de la medida en que lo hace. De acuerdo con la Directiva 93/13/CEE del Consejo 14 , debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas. Para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.

(21)Los niños merecen una protección específica de sus datos personales, ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales. Dicha protección específica debe aplicarse, en particular, a la elaboración de perfiles de personalidad y a la obtención de datos personales relativos a niños cuando se utilicen servicios ofrecidos directamente a un niño en los sitios web de las instituciones y organismos de la Unión, tales como los servicios de comunicación interpersonal o la venta por Internet de entradas, y cuando el tratamiento de los datos personales se base en el consentimiento del interesado.

(22)Cuando los destinatarios establecidos en la Unión y sujetos al Reglamento (UE) 2016/679 o la Directiva (UE) 2016/680 quieran que las instituciones y organismos de la Unión les transmitan datos personales, dichos destinatarios deben demostrar que la transmisión es necesaria para alcanzar su objetivo, es proporcionada y no excede de lo necesario para alcanzar dicho objetivo. Las instituciones y organismos de la Unión deben demostrar esta necesidad en el momento en que ellos mismo inicien la transmisión, con arreglo al principio de transparencia.

(23)Especial protección merecen los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales. Debe incluirse entre tales datos personales los datos de carácter personal que revelen el origen racial o étnico, entendiéndose que el uso del término «origen racial» en el presente Reglamento no implica la aceptación por parte de la Unión de teorías que traten de determinar la existencia de razas humanas separadas. El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física. Además de los requisitos específicos para el tratamiento de datos sensibles, deben aplicarse los principios generales y otras normas del presente Reglamento, sobre todo en lo que se refiere a las condiciones de licitud del tratamiento. Se deben establecer de forma explícita excepciones a la prohibición general de tratamiento de esas categorías especiales de datos personales, entre otras cosas cuando el interesado dé su consentimiento explícito o tratándose de necesidades específicas, en particular cuando el tratamiento sea realizado en el marco de actividades legítimas por determinadas asociaciones o fundaciones cuyo objetivo sea permitir el ejercicio de las libertades fundamentales.

(24)El tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de interés público en el ámbito de la salud pública. Ese tratamiento debe estar sujeto a medidas adecuadas y específicas a fin de proteger los derechos y libertades de las personas físicas. En ese contexto, «salud pública» debe interpretarse según se define en el Reglamento (CE) n.º 1338/2008 del Parlamento Europeo y del Consejo 15 , es decir, todos los elementos relacionados con la salud, concretamente el estado de salud, con inclusión de la morbilidad y la discapacidad, los determinantes que influyen en dicho estado de salud, las necesidades de asistencia sanitaria, los recursos asignados a la asistencia sanitaria, la puesta a disposición de asistencia sanitaria y el acceso universal a ella, así como los gastos y la financiación de la asistencia sanitaria, y las causas de mortalidad. Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros traten los datos personales con otros fines.

(25)Si los datos personales tratados por un responsable no le permiten identificar a una persona física, el responsable no debe estar obligado a obtener información adicional para identificar al interesado con la única finalidad de cumplir cualquier disposición del presente Reglamento. No obstante, el responsable del tratamiento no debe negarse a recibir información adicional facilitada por el interesado a fin de respaldarle en el ejercicio de sus derechos. La identificación debe incluir la identificación digital de un interesado, por ejemplo mediante un mecanismo de autenticación, como las mismas credenciales, empleadas por el interesado para abrir una sesión en el servicio en línea ofrecido por el responsable.

(26)El tratamiento de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos debe estar supeditado a unas garantías adecuadas para los derechos y libertades del interesado de conformidad con el presente Reglamento. Esas garantías deben asegurar que se aplican medidas técnicas y organizativas para que se observe, en particular, el principio de minimización de los datos. El tratamiento ulterior de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos ha de efectuarse cuando el responsable del tratamiento haya evaluado la viabilidad de cumplir esos fines mediante un tratamiento de datos que no permita identificar a los interesados, o que ya no lo permita, siempre que existan las garantías adecuadas (como, por ejemplo, la seudonimización de datos). Las instituciones y organismos de la Unión deben establecer garantías adecuadas para el tratamiento de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos en el Derecho de la Unión, el cual puede incluir normas internas.

(27)Deben arbitrarse fórmulas para facilitar al interesado el ejercicio de sus derechos en virtud del presente Reglamento, incluidos los mecanismos para solicitar y, en su caso, obtener de forma gratuita, en particular, el acceso a los datos personales y su rectificación o supresión, así como el ejercicio del derecho de oposición. El responsable del tratamiento también debe proporcionar medios para que las solicitudes se presenten por medios electrónicos, en particular cuando los datos personales se tratan por medios electrónicos. El responsable del tratamiento debe estar obligado a responder a las solicitudes del interesado sin dilación indebida y a más tardar en el plazo de un mes, y a explicar sus motivos en caso de que no fuera a atenderlas.

(28)Los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de la operación de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales. Se debe además informar al interesado de la existencia de la elaboración de perfiles y de las consecuencias de dicha elaboración. Si los datos personales se obtienen de los interesados, también se les debe informar de si están obligados a facilitarlos y de las consecuencias en caso de que no lo hicieran. Dicha información puede transmitirse en combinación con unos iconos normalizados que ofrezcan, de forma fácilmente visible, inteligible y claramente legible, una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presentan en formato electrónico deben ser legibles mecánicamente.

(29)Se debe facilitar a los interesados la información sobre el tratamiento de sus datos personales en el momento en que se obtengan de ellos o, si se obtienen de otra fuente, en un plazo razonable, dependiendo de las circunstancias del caso. Si los datos personales pueden ser comunicados legítimamente a otro destinatario, se debe informar al interesado en el momento en que se comunican al destinatario por primera vez. El responsable del tratamiento que proyecte tratar los datos para un fin que no sea aquel para el que se recogieron debe proporcionar al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y otra información necesaria. Cuando el origen de los datos personales no pueda facilitarse al interesado por haberse utilizado varias fuentes, debe facilitarse información general.

(30)Los interesados deben tener derecho a acceder a los datos personales recogidos que les conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento. Ello incluye el derecho de los interesados a acceder a datos relativos a la salud, por ejemplo los datos de sus historias clínicas que contengan información como diagnósticos, resultados de exámenes, evaluaciones de facultativos y cualesquiera tratamientos o intervenciones practicadas. Todo interesado debe, por tanto, tener el derecho a conocer y a que se le comuniquen, en particular, los fines para los que se tratan los datos personales, su plazo de tratamiento, sus destinatarios, la lógica implícita en todo tratamiento automático de datos personales y, por lo menos cuando se base en la elaboración de perfiles, las consecuencias de dicho tratamiento. Este derecho no debe afectar negativamente a los derechos y libertades de terceros, incluidos los secretos comerciales o la propiedad intelectual y, en particular, los derechos de propiedad intelectual que protegen programas informáticos. No obstante, estas consideraciones no deben tener como resultado la negativa a prestar toda la información al interesado. Si trata una gran cantidad de información relativa al interesado, el responsable del tratamiento debe estar facultado para solicitar que, antes de facilitarse la información, el interesado especifique la información o actividades de tratamiento a que se refiere la solicitud.

(31)Los interesados deben tener derecho a que se rectifiquen los datos personales que le conciernen y un «derecho al olvido» si la retención de tales datos infringe el presente Reglamento o el Derecho de la Unión aplicable al responsable del tratamiento. Los interesados deben tener derecho a que sus datos personales se supriman y dejen de tratarse si ya no son necesarios para los fines para los que fueron recogidos o tratados de otro modo, si los interesados han retirado su consentimiento para el tratamiento o se oponen al tratamiento de datos personales que les conciernen, o si el tratamiento de sus datos personales incumple de otro modo el presente Reglamento. Este derecho es pertinente en particular si el interesado dio su consentimiento siendo niño y no se es plenamente consciente de los riesgos que implica el tratamiento, y más tarde quiere suprimir tales datos personales, especialmente en internet. El interesado debe poder ejercer este derecho aunque ya no sea un niño. Sin embargo, la retención ulterior de los datos personales debe ser lícita cuando sea necesaria para el ejercicio de la libertad de expresión e información, para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, por razones de interés público en el ámbito de la salud pública, con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, o para la formulación, el ejercicio o la defensa de reclamaciones.

(32)A fin de reforzar el «derecho al olvido» en el entorno en línea, el derecho de supresión debe ampliarse de tal forma que el responsable del tratamiento que haya hecho públicos datos personales esté obligado a indicar a los responsables del tratamiento que estén tratando tales datos personales que supriman todo enlace a ellos, o las copias o réplicas de tales datos. Al proceder así, dicho responsable debe tomar medidas razonables, teniendo en cuenta la tecnología y los medios a su disposición, incluidas las medidas técnicas, para informar de la solicitud del interesado a los responsables que estén tratando los datos personales.

(33)Entre los métodos para limitar el tratamiento de datos personales cabría incluir los consistentes en trasladar temporalmente los datos seleccionados a otro sistema de tratamiento, en impedir el acceso de usuarios a los datos personales seleccionados o en retirar temporalmente los datos publicados de un sitio internet. En los ficheros automatizados la limitación del tratamiento debe realizarse, en principio, por medios técnicos, de forma que los datos personales no sean objeto de operaciones de tratamiento ulterior ni puedan modificarse. El hecho de que el tratamiento de los datos personales esté limitado debe indicarse claramente en el sistema.

(34)Para reforzar aún más el control sobre sus propios datos, cuando el tratamiento de los datos personales se efectúe por medios automatizados, debe permitirse asimismo que los interesados que hubieran facilitado datos personales que les conciernan a un responsable del tratamiento los reciban en un formato estructurado, de uso común, de lectura mecánica e interoperable, y los transmitan a otro responsable del tratamiento. Debe alentarse a los responsables a crear formatos interoperables que permitan la portabilidad de datos. Dicho derecho debe aplicarse cuando el interesado haya facilitado los datos personales dando su consentimiento o cuando el tratamiento sea necesario para la ejecución de un contrato. Por lo tanto, no debe aplicarse, cuando el tratamiento de los datos personales sea necesario para cumplir una obligación legal aplicable al responsable o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable. El derecho del interesado a transmitir o recibir datos personales que lo conciernan no debe obligar al responsable a adoptar o mantener sistemas de tratamiento que sean técnicamente compatibles. Cuando un conjunto de datos personales determinado concierna a más de un interesado, el derecho a recibir tales datos se debe entender sin menoscabo de los derechos y libertades de otros interesados de conformidad con el presente Reglamento. Por otra parte, ese derecho no debe menoscabar el derecho del interesado a obtener la supresión de los datos personales y las limitaciones de ese derecho recogidas en el presente Reglamento, y en particular no debe implicar la supresión de los datos personales concernientes al interesado que este haya facilitado para la ejecución de un contrato, en la medida y durante el tiempo en que los datos personales sean necesarios para la ejecución de dicho contrato. El interesado debe tener derecho a que los datos personales se transmitan directamente de un responsable del tratamiento a otro, cuando sea técnicamente posible.

(35)En los casos en que los datos personales puedan ser tratados lícitamente porque el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, el interesado debe, sin embargo, tener derecho a oponerse al tratamiento de cualquier dato personal relativo a su situación particular. Debe ser el responsable el que demuestre que sus intereses legítimos imperiosos prevalecen sobre los intereses o los derechos y libertades fundamentales del interesado.

(36)El interesado debe tener derecho a no ser objeto de una decisión, que puede incluir una medida, que evalúe aspectos personales relativos a él, y que se base únicamente en el tratamiento automatizado y produzca efectos jurídicos en él o le afecte significativamente de modo similar, como los servicios de contratación en red en los que no medie intervención humana alguna. Este tipo de tratamiento incluye la elaboración de perfiles consistente en cualquier forma de tratamiento de los datos personales que evalúe aspectos personales relativos a una persona física, en particular para analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado, en la medida en que produzca efectos jurídicos en él o le afecte significativamente de modo similar. Sin embargo, se deben permitir las decisiones basadas en tal tratamiento, incluida la elaboración de perfiles, si lo autoriza expresamente el Derecho de la Unión. En cualquier caso, dicho tratamiento debe estar sujeto a las garantías apropiadas, entre las que se deben incluir la información específica al interesado y el derecho a obtener intervención humana, a expresar su punto de vista, a recibir una explicación de la decisión tomada después de tal evaluación y a impugnar la decisión. Tal medida no debe afectar a un menor. A fin de garantizar un tratamiento leal y transparente respecto del interesado, teniendo en cuenta las circunstancias y contexto específicos en los que se tratan los datos personales, el responsable del tratamiento debe utilizar procedimientos matemáticos o estadísticos adecuados para la elaboración de perfiles, aplicar medidas técnicas y organizativas apropiadas para garantizar, en particular, que se corrigen los factores que introducen inexactitudes en los datos personales y se reduce al máximo el riesgo de error, asegurar los datos personales de forma que se tengan en cuenta los posibles riesgos para los intereses y derechos del interesado y se impidan, entre otras cosas, efectos discriminatorios en las personas físicas por motivos de raza u origen étnico, opiniones políticas, religión o creencias, afiliación sindical, condición genética o estado de salud u orientación sexual, o que den lugar a medidas que produzcan tal efecto. Las decisiones automatizadas y la elaboración de perfiles sobre la base de categorías particulares de datos personales únicamente deben permitirse en condiciones específicas.

(37)Los actos jurídicos adoptados con arreglo a los Tratados o las normas internas de las instituciones y organismos de la Unión pueden imponer limitaciones a determinados principios y a los derechos de información, acceso, rectificación o supresión de datos personales, al derecho a la portabilidad de los datos, a la confidencialidad de las comunicaciones electrónicas así como a la comunicación de una violación de la seguridad de los datos personales a un interesado y a determinadas obligaciones conexas de los responsables del tratamiento, en la medida en que sea necesario y proporcionado en una sociedad democrática para salvaguardar la seguridad pública, la prevención, investigación y el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad pública, incluida la protección de la vida humana, especialmente en respuesta a catástrofes naturales o de origen humano, la seguridad interna de las instituciones y organismos de la Unión, otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un importante interés económico o financiero de la Unión o de un Estado miembro, el mantenimiento de registros públicos por razones de interés público general o la protección del interesado o de los derechos y libertades de otros, incluida la protección social, la salud pública y los fines humanitarios.

Cuando una limitación no se establezca en los actos jurídicos adoptados sobre la base de los Tratados o de sus normas internas, las instituciones y organismos de la Unión podrán imponer en un caso concreto una limitación ad hoc relativa a principios específicos y a los derechos del interesado si esta respeta en lo esencial los derechos y libertades fundamentales y, en relación con una operación de tratamiento específica, es necesaria y proporcional en una sociedad democrática para salvaguardar uno o más de los objetivos mencionados en el apartado 1. Dicha limitación debe notificarse al delegado de protección de datos. Todas las limitaciones deben ajustarse a lo dispuesto en la Carta y en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales.

(38)Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas. Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular: en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen el origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas; en los casos en los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales; en los casos en los que se traten datos personales de personas vulnerables, en particular niños; o en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados. La probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto.

(39)La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del presente Reglamento. A fin de poder demostrar la conformidad con este, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan, en particular, los principios de protección de datos desde el diseño y por defecto. Dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad. Los principios de la protección de datos desde el diseño y por defecto también deben tenerse en cuenta en el contexto de los contratos públicos.

(40)La protección de los derechos y libertades de los interesados, así como la responsabilidad de los responsables y encargados del tratamiento, requieren una atribución clara de las responsabilidades en virtud del presente Reglamento, incluidos los casos en los que un responsable determine los fines y medios del tratamiento de forma conjunta con otros responsables, o en los que el tratamiento se lleve a cabo por cuenta de un responsable.

(41)Para garantizar el cumplimiento de las disposiciones del presente Reglamento respecto del tratamiento que lleve a cabo el encargado por cuenta del responsable, este, al encomendar actividades de tratamiento a un encargado, debe recurrir únicamente a encargados que ofrezcan suficientes garantías, en particular en lo que respecta a conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del presente Reglamento, incluida la seguridad del tratamiento. La adhesión de encargados distintos a las instituciones y organismos de la Unión a un código de conducta aprobado o a un mecanismo de certificación aprobado puede servir de elemento para demostrar el cumplimiento de las obligaciones por parte del responsable. El tratamiento por un encargado debe regirse por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros que vincule al encargado con el responsable, que fije el objeto y la duración del tratamiento, la naturaleza y fines del tratamiento, el tipo de datos personales y las categorías de interesados, habida cuenta de las funciones y responsabilidades específicas del encargado en el contexto del tratamiento que ha de llevarse a cabo y del riesgo para los derechos y libertades del interesado. El responsable y el encargado deben tener la posibilidad de optar por basarse en un contrato individual o en cláusulas contractuales tipo que adopte directamente la Comisión o el Supervisor Europeo de Protección de Datos y posteriormente la Comisión. Una vez finalizado el tratamiento por cuenta del responsable, el encargado debe, a elección de aquel, devolver o suprimir los datos personales, salvo que el Derecho de la Unión o de los Estados miembros aplicable al encargado del tratamiento obligue a conservar dichos datos.

(42)Para demostrar la conformidad con el presente Reglamento, los responsables del tratamiento deben mantener registros de las actividades de tratamiento bajo su responsabilidad y los encargados del tratamiento deben mantener registros de las categorías de actividades de tratamiento bajo su responsabilidad. Las instituciones y organismos de la Unión están obligados a cooperar con el Supervisor Europeo de Protección de Datos y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento. Las instituciones y organismos de la Unión deben tener la posibilidad de establecer un archivo central de información de sus actividades de tratamiento. Por razones de transparencia, deben tener la posibilidad de hacerlo público.

(43)A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales.

(44)Las instituciones y organismos de la Unión deben garantizar la confidencialidad de las comunicaciones electrónicas con arreglo al artículo 7 de la Carta. En particular, deben garantizar la seguridad de sus redes de comunicación electrónica, proteger la información relativa a los equipos terminales de usuarios finales que acceden a sus sitios web y aplicaciones para móviles disponibles públicamente de conformidad con el Reglamento (UE) XXXX/XX [nuevo Reglamento sobre la privacidad y las comunicaciones electrónicas] y proteger los datos personales en las guías de usuarios.

(45) Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales podrían entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas. Por consiguiente, tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, debe, sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, notificar dicha violación de la seguridad de los datos personales al Supervisor Europeo de Protección de Datos, a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas. Si dicha notificación no es posible en el plazo de 72 horas, debe acompañarse de una indicación de los motivos de la dilación, pudiendo facilitarse información por fases sin más dilación indebida. Si dicha dilación está justificada, se debe dar a conocer, tan pronto como sea posible, información menos sensible o menos específica acerca de la violación, en lugar de solucionar totalmente el incidente subyacente antes de notificarlo.

(46)El responsable del tratamiento debe comunicar al interesado sin dilación indebida la violación de la seguridad de los datos personales en caso de que puede entrañar un alto riesgo para sus derechos y libertades, y permitirle tomar las precauciones necesarias. La comunicación debe describir la naturaleza de la violación de la seguridad de los datos personales y las recomendaciones para que la persona física afectada mitigue los potenciales efectos adversos resultantes de la violación. Dichas comunicaciones a los interesados deben realizarse tan pronto como sea razonablemente posible y en estrecha cooperación con el Supervisor Europeo de Protección de Datos, siguiendo sus orientaciones o las de otras autoridades competentes, como las autoridades policiales.

(47)El Reglamento (CE) n.º 45/2001 establece la obligación general del responsable del tratamiento de notificar el tratamiento de datos personales al delegado de protección de datos que, a su vez, mantendrá un registro de las operaciones de tratamiento que se le notifiquen. Pese a implicar cargas administrativas y financieras, dicha obligación, sin embargo, no contribuyó en todos los casos a mejorar la protección de los datos personales. Por tanto, estas obligaciones generales de notificación indiscriminada deben eliminarse y sustituirse por procedimientos y mecanismos eficaces que se centren, en su lugar, en los tipos de operaciones de tratamiento que, por su naturaleza, alcance, contexto y fines, entrañen probablemente un alto riesgo para los derechos y libertades de las personas físicas. Estos tipos de operaciones de tratamiento podrían ser, en particular, las que implican el uso de nuevas tecnologías, o son de una nueva clase y el responsable del tratamiento no ha realizado previamente una evaluación de impacto relativa a la protección de datos, o si resultan necesarias visto el tiempo transcurrido desde el tratamiento inicial. En tales casos, el responsable debe llevar a cabo, antes del tratamiento, una evaluación de impacto relativa a la protección de datos con el fin de valorar la particular gravedad y probabilidad del alto riesgo, teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo. Dicha evaluación de impacto debe incluir, en particular, las medidas, garantías y mecanismos previstos para mitigar el riesgo, garantizar la protección de los datos personales y demostrar la conformidad con el presente Reglamento.

(48)Debe consultarse al Supervisor Europeo de Protección de Datos antes de iniciar las actividades de tratamiento si una evaluación de impacto relativa a la protección de datos muestra que, en ausencia de garantías, medidas de seguridad y mecanismos destinados a mitigar los riesgos, el tratamiento entrañaría un alto riesgo para los derechos y libertades de las personas físicas, y el responsable del tratamiento considera que el riesgo no puede mitigarse por medios razonables en cuanto a tecnología disponible y costes de aplicación. Existe la probabilidad de que ese alto riesgo se deba a determinados tipos de tratamiento y al alcance y frecuencia de este, lo que también podría ocasionar daños y perjuicios o una injerencia en los derechos y libertades de la persona física. El Supervisor Europeo de Protección de Datos debe responder a la solicitud de consulta dentro de un plazo determinado. Sin embargo, la ausencia de respuesta del Supervisor Europeo de Protección de Datos dentro de dicho plazo no debe obstar a cualquier intervención de dicho Supervisor basada en las funciones y poderes que le atribuye el presente Reglamento, incluido el poder de prohibir operaciones de tratamiento. Como parte de dicho proceso de consulta, debería poder presentarse al Supervisor Europeo de Protección de Datos el resultado de una evaluación de impacto relativa a la protección de datos efectuada en relación con el tratamiento en cuestión, en particular las medidas previstas para mitigar los riesgos para los derechos y libertades de las personas físicas.

(49)El Supervisor Europeo de Protección de Datos debe ser informado acerca de las medidas administrativas y normas internas de las instituciones y organismos de la Unión que prevén el tratamiento de datos personales, establecen condiciones para limitaciones de derechos del interesado o proporcionan garantías para los derechos de este, a fin de garantizar la conformidad del tratamiento previsto con el presente Reglamento y, en particular, de mitigar el riesgo que implique el tratamiento para el interesado.

(50)El Reglamento (UE) 2016/679 estableció el Comité Europeo de Protección de Datos como organismo independiente de la Unión dotado de personalidad jurídica. El Comité debe contribuir a la aplicación coherente del Reglamento (UE) 2016/679 y la Directiva 2016/680 en toda la Unión, entre otras cosas, asesorando a la Comisión. Al mismo tiempo, el Supervisor Europeo de Protección de Datos seguirá ejerciendo sus funciones supervisoras y consultivas respecto a todas las instituciones y organismos de la Unión, incluso por iniciativa propia o a petición. A fin de garantizar la coherencia de las normas de protección de datos en toda la Unión, la Comisión debe llevar a cabo consultas de manera obligatoria tras la adopción de actos legislativos o durante la preparación de actos delegados y actos de ejecución, tal como se define en los artículos 289, 290 y 291 del TFUE, y tras la adopción de recomendaciones y propuestas relativas a acuerdos con terceros países y organizaciones internacionales, con arreglo al artículo 218 del TFUE, que repercutan en el derecho a la protección de los datos personales. En estos casos, la Comisión debe estar obligada a consultar al Supervisor Europeo de Protección de Datos, excepto cuando el Reglamento (UE) 2016/679 prevea una consulta obligatoria del Comité Europeo de Protección de Datos, por ejemplo, sobre decisiones de adecuación o actos delegados relativos a iconos normalizados y requisitos para los mecanismos de certificación. Cuando dicho acto sea de especial importancia para la protección de los derechos y libertades de las personas en relación con el tratamiento de datos personales, la Comisión debe tener la posibilidad de consultar, además, al Comité Europeo de Protección de Datos. En estos casos, el Supervisor Europeo de Protección de Datos debe, como miembro del Comité Europeo de Protección de Datos, coordinar su trabajo con este último a fin de emitir un dictamen conjunto. El Supervisor Europeo de Protección de Datos y, si procede, el Comité Europeo de Protección de Datos deben ofrecer su asesoramiento escrito en un plazo de ocho semanas. El plazo debe ser más corto en caso de urgencia o cuando se considere conveniente, por ejemplo, cuando la Comisión esté preparando actos delegados y de ejecución.

(51)En cada institución u organismo de la Unión, el delegado de protección de datos debe velar por que se aplique lo dispuesto en el presente Reglamento y asesorar a los responsables y encargados del tratamiento en el ejercicio de sus obligaciones. El delegado debe ser una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos, que se debe determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado. Dichos delegados de protección de datos deben estar en condiciones de desempeñar sus funciones y tareas con independencia.

(52)Si los datos personales se transfieren de las instituciones y organismos de la Unión a responsables, encargados u otros destinatarios en terceros países o a organizaciones internacionales, esto no debe menoscabar el nivel de protección de las personas físicas garantizado en la Unión por el presente Reglamento, ni siquiera en las transferencias ulteriores de datos personales desde el tercer país u organización internacional a responsables y encargados en el mismo u otro tercer país u organización internacional. En todo caso, las transferencias a terceros países y organizaciones internacionales solo pueden llevarse a cabo de plena conformidad con el presente Reglamento. Una transferencia solo podría tener lugar si, a reserva de las demás disposiciones del presente Reglamento, el responsable o encargado cumple las disposiciones del presente Reglamento relativas a la transferencia de datos personales a terceros países u organizaciones internacionales.

(53)La Comisión puede decidir, con arreglo al artículo 45 del Reglamento (UE) 2016/679, que un tercer país, un territorio o sector específico en un tercer país, o una organización internacional, ofrece un nivel de protección de datos adecuado. En estos casos, las instituciones y organismos de la Unión pueden realizar transferencias de datos personales a estos países u organizaciones internacionales sin que se requiera obtener otro tipo de autorización.

(54)En ausencia de una decisión por la que se constate la adecuación de la protección de los datos, el responsable o el encargado del tratamiento deben tomar medidas para compensar la falta de protección de datos en un tercer país mediante garantías adecuadas para el interesado. Tales garantías adecuadas pueden consistir en el recurso a cláusulas tipo de protección de datos adoptadas por la Comisión o por el Supervisor Europeo de Protección de Datos, o a cláusulas contractuales autorizadas por este último. Cuando el encargado del tratamiento no es una institución u organismo de la Unión, dichas garantías adecuadas pueden consistir en normas corporativas vinculantes, códigos de conducta y mecanismos de certificación utilizados para realizar transferencias internacionales de conformidad con el Reglamento (UE) 2016/679. Esas garantías deben asegurar la observancia de requisitos de protección de datos y derechos de los interesados adecuados al tratamiento dentro de la Unión, incluida la disponibilidad por parte de los interesados de derechos exigibles y de acciones legales efectivas, lo que incluye el derecho a obtener una reparación administrativa o judicial efectiva y a reclamar una indemnización, en la Unión o en un tercer país. En particular, deben referirse al cumplimiento de los principios generales relativos al tratamiento de los datos personales y los principios de la protección de datos desde el diseño y por defecto. Las transferencias también pueden realizarlas instituciones y organismos de la Unión a entidades o autoridades públicas de terceros países o a organizaciones internacionales con competencias o funciones correspondientes, igualmente sobre la base de disposiciones incorporadas a acuerdos administrativos, como un memorando de entendimiento, que reconozcan derechos exigibles y efectivos a los interesados. Si las garantías figuran en acuerdos administrativos que no sean jurídicamente vinculantes se debe recabar la autorización del Supervisor Europeo de Protección de Datos.

(55)La posibilidad de que el responsable o el encargado del tratamiento recurran a cláusulas tipo de protección de datos adoptadas por la Comisión o el Supervisor Europeo de Protección de Datos no debe obstar a que los responsables o encargados incluyan las cláusulas tipo de protección de datos en un contrato más amplio, como un contrato entre dos encargados, o a que añadan otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, las cláusulas contractuales tipo adoptadas por la Comisión o por el Supervisor Europeo de Protección de Datos, ni mermen los derechos o las libertades fundamentales de los interesados. Se debe alentar a los responsables y encargados del tratamiento a ofrecer garantías adicionales mediante compromisos contractuales que complementen las cláusulas tipo de protección de datos.

(56)Algunos países terceros adoptan leyes, reglamentaciones y otros actos jurídicos con los que se pretende regular directamente las actividades de tratamiento de las instituciones y organismos de la Unión. Esto puede incluir sentencias de órganos jurisdiccionales o decisiones de autoridades administrativas de terceros países que obliguen a un responsable o un encargado del tratamiento a transferir o comunicar datos personales, y que no se basen en un acuerdo internacional en vigor entre el tercer país requirente y la Unión. La aplicación extraterritorial de dichas leyes, reglamentaciones y otros actos jurídicos puede ser contraria al Derecho internacional e impedir la protección de las personas físicas garantizada en la Unión en virtud del presente Reglamento. Las transferencias solo deben autorizarse cuando se cumplan las condiciones del presente Reglamento relativas a las transferencias a terceros países. Tal puede ser el caso, entre otros, cuando la comunicación sea necesaria por una razón importante de interés público reconocida por el Derecho de la Unión.

(57)Se debe establecer la posibilidad en situaciones concretas de realizar transferencias en determinadas circunstancias, de mediar el consentimiento explícito del interesado, si la transferencia es ocasional y necesaria en relación con un contrato o una reclamación, independientemente de tratarse de un procedimiento judicial o un procedimiento administrativo o extrajudicial, incluidos los procedimientos ante organismos reguladores. También se debe establecer la posibilidad de realizar transferencias cuando así lo requieran razones importantes de interés público establecidas por el Derecho de la Unión, o cuando la transferencia se haga a partir de un registro establecido por ley y se destine a consulta por el público o por personas que tengan un interés legítimo. En este último caso la transferencia no debe afectar a la totalidad de los datos personales o de las categorías de datos incluidos en el registro, a menos que lo autorice el Derecho de la Unión, y, cuando el registro esté destinado a su consulta por personas que tengan un interés legítimo, la transferencia solo debe efectuarse a petición de dichas personas o, si estas van a ser las destinatarias, teniendo plenamente en cuenta los intereses y los derechos fundamentales del interesado.

(58)Dichas excepciones deben aplicarse en particular a las transferencias de datos requeridas y necesarias por razones importantes de interés público, por ejemplo en caso de intercambios internacionales de datos entre las instituciones y organismos de la Unión y autoridades en el ámbito de la competencia, administraciones fiscales o aduaneras, autoridades de supervisión financiera y servicios competentes en materia de seguridad social o de sanidad pública, por ejemplo en caso de contactos destinados a localizar enfermedades contagiosas o para reducir y/o eliminar el dopaje en el deporte. La transferencia de datos personales también debe considerarse lícita en caso de que sea necesaria para proteger un interés esencial para los intereses vitales del interesado o de otra persona, incluida la integridad física o la vida, si el interesado no está en condiciones de dar su consentimiento. En ausencia de una decisión de adecuación, el Derecho de la Unión puede limitar expresamente, por razones importantes de interés público, la transferencia de categorías específicas de datos a un tercer país o a una organización internacional. Puede considerarse necesaria, por una razón importante de interés público o por ser de interés vital para el interesado, toda transferencia a una organización internacional humanitaria de datos personales de un interesado que no tenga capacidad física o jurídica para dar su consentimiento, con el fin de desempeñar un cometido basado en las Convenciones de Ginebra o de conformarse al Derecho internacional humanitario aplicable en caso de conflictos armados.

(59)En cualquier caso, cuando la Comisión no haya tomado ninguna decisión sobre el nivel adecuado de la protección de datos en un tercer país, el responsable o el encargado del tratamiento deben arbitrar soluciones que garanticen a los interesados derechos exigibles y efectivos con respecto al tratamiento de sus datos en la Unión, una vez transferidos estos, de forma que sigan beneficiándose de derechos fundamentales y garantías.

(60)Cuando los datos personales circulan a través de las fronteras hacia el exterior de la Unión se puede poner en mayor riesgo la capacidad de las personas físicas para ejercer los derechos de protección de datos, en particular con el fin de protegerse contra la utilización o comunicación ilícitas de dicha información. Al mismo tiempo, es posible que las autoridades de control de la Unión, incluido el Supervisor Europeo de Protección de Datos, se vean en la imposibilidad de tramitar reclamaciones o realizar investigaciones relativas a actividades desarrolladas fuera de su jurisdicción. Sus esfuerzos por colaborar en el contexto transfronterizo también pueden verse obstaculizados por poderes preventivos o correctivos insuficientes, regímenes jurídicos incoherentes y obstáculos prácticos, como la escasez de recursos. Por consiguiente, es necesario fomentar una cooperación más estrecha entre el Supervisor Europeo de Protección de Datos y otras autoridades de control encargadas de la protección de datos para contribuir al intercambio de información con sus homólogos internacionales.

(61)El establecimiento del Supervisor Europeo de Protección de Datos en el Reglamento (CE) n.º 45/2001, capacitado para desempeñar sus funciones y ejercer sus competencias con plena independencia, constituye un elemento esencial de la protección de las personas físicas con respecto al tratamiento de datos de carácter personal. El presente Reglamento debe reforzar y aclarar aún más su función e independencia.

(62)Para garantizar la supervisión y ejecución coherentes de las normas de protección de datos en toda la Unión, el Supervisor Europeo de Protección de Datos debe tener las mismas funciones y poderes efectivos que las autoridades de control en los Estados miembros, incluidos poderes de investigación, poderes correctivos y sancionadores, y poderes de autorización y consultivos, especialmente en casos de reclamaciones de personas físicas, y poner en conocimiento del Tribunal de Justicia de la Unión Europea las infracciones del presente Reglamento y ejercitar acciones judiciales conforme a las disposiciones de Derecho primario. Dichos poderes deben incluir también el poder de imponer una limitación temporal o definitiva al tratamiento, incluida su prohibición. Para evitar costes superfluos y molestias excesivas para las personas afectadas, toda medida del Supervisor Europeo de Protección de Datos debe ser adecuada, necesaria y proporcionada con vistas a garantizar el cumplimiento del presente Reglamento, debe tener en cuenta las circunstancias de cada caso concreto y respetar el derecho de todas las personas a ser oídas antes de que se adopte cualquier medida. Toda medida jurídicamente vinculante del Supervisor Europeo de Protección de Datos debe constar por escrito, ser clara e inequívoca, indicar la fecha en que se dictó, llevar la firma del Supervisor Europeo de Protección de Datos, especificar los motivos de la misma y mencionar el derecho a la tutela judicial efectiva.

(63)Las decisiones del Supervisor Europeo de Protección de Datos relacionadas con excepciones, garantías, autorizaciones y condiciones relativas a los tratamientos de datos, según se definen en el presente Reglamento, serán publicadas en el informe de actividad. Con independencia de la publicación anual del informe de actividad, el Supervisor Europeo de Protección de Datos podrá publicar informes sobre temas específicos.

(64)A fin de proteger a las personas físicas con respecto al tratamiento de sus datos personales y de facilitar la libre circulación de los datos personales en el mercado interior, las autoridades de control nacionales supervisan la aplicación del Reglamento (UE) 2016/679 y contribuyen a que esta sea coherente en toda la Unión. Para aumentar la coherencia en la aplicación de las normas de protección de datos aplicables en los Estados miembros y de las aplicables a las instituciones y organismos de la Unión, el Supervisor Europeo de Protección de Datos debe cooperar de manera efectiva con las autoridades de control nacionales.

(65)En algunos casos, el Derecho de la Unión prevé un modelo de supervisión coordinada, compartido por el Supervisor Europeo de Protección de Datos y las autoridades de control nacionales. Además, el Supervisor Europeo de Protección de Datos es la autoridad de control de Europol y se establece un modelo de cooperación con las autoridades de control nacionales mediante un consejo de cooperación con funciones consultivas. Para mejorar la supervisión efectiva y el cumplimiento de las normas sustantivas de protección de datos debe introducirse en la Unión un modelo único y coherente de supervisión coordinada. La Comisión debe presentar, si procede, propuestas legislativas para modificar actos jurídicos de la Unión que establezcan un modelo de supervisión coordinada, a fin de armonizarlos con el modelo de supervisión coordinada del presente Reglamento. El Comité Europeo de Protección de Datos debe servir de foro único para garantizar la supervisión coordinada eficaz de forma generalizada.

(66)Todo interesado debe tener derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos, y derecho a la tutela judicial efectiva ante el Tribunal de Justicia de la Unión Europea de conformidad con los Tratados, si considera que se vulneran sus derechos con arreglo al presente Reglamento o en caso de que el Supervisor Europeo de Protección de Datos no responda a una reclamación, rechace o desestime total o parcialmente una reclamación o no actúe cuando sea necesario para proteger los derechos del interesado. La investigación abierta a raíz de una queja debe llevarse a cabo, bajo control judicial, en la medida en que sea adecuada en el caso específico. El Supervisor Europeo de Protección de Datos debe informar al interesado de la evolución y el resultado de la reclamación en un plazo razonable. Si el asunto requiere una mayor coordinación con una autoridad de control nacional, se debe facilitar información intermedia al interesado. Para facilitar la presentación de reclamaciones, el Supervisor Europeo de Protección de Datos debe adoptar medidas como el suministro de un formulario de reclamaciones, que pueda cumplimentarse también por medios electrónicos, sin excluir otros medios de comunicación.

(67)Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento debe tener derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos, con arreglo a las condiciones previstas en el Tratado.

(68)Para fortalecer la función supervisora del Supervisor Europeo de Protección de Datos y la aplicación eficaz del presente Reglamento, el primero debe estar facultado para imponer multas administrativas, como sanción de último recurso. Las multas deben aspirar a sancionar a las instituciones u organismos, más que a los individuos, que incumplan el presente Reglamento, impedir futuras violaciones del mismo y fomentar una cultura de protección de los datos personales dentro de las instituciones u organismos de la Unión. El presente Reglamento debe indicar las infracciones así como los límites máximos y los criterios para fijar las correspondientes multas administrativas. El Supervisor Europeo de Protección de Datos debe determinar la cuantía de las multas en cada caso individual, teniendo en cuenta todas las circunstancias concurrentes en él, atendiendo a la naturaleza, gravedad y duración de la infracción y sus consecuencias y a las medidas tomadas para garantizar el cumplimiento de las obligaciones impuestas por el presente Reglamento e impedir o mitigar las consecuencias de la infracción. Al imponer una multa administrativa a un organismo de la Unión, el Supervisor Europeo de Protección de Datos debe considerar la proporcionalidad de su cuantía. El procedimiento administrativo para la imposición de multas a instituciones y organismos de la Unión debe respetar los principios generales del Derecho de esta, según la interpretación del Tribunal de Justicia de la Unión Europea.

(69)El interesado que considere vulnerados los derechos reconocidos por el presente Reglamento debe tener derecho a conferir mandato a una entidad, organización o asociación sin ánimo de lucro que esté constituida con arreglo al Derecho de la Unión o de un Estado miembro, tenga objetivos estatutarios que sean de interés público y actúe en el ámbito de la protección de los datos personales, para que presente en su nombre una reclamación ante el Supervisor Europeo de Protección de Datos. Dicha entidad, organización o asociación debe tener la posibilidad de ejercer el derecho a la tutela judicial en nombre de los interesados o el derecho a recibir una indemnización en nombre de estos.

(70)El incumplimiento por parte de un funcionario u otro agente de la Unión de las obligaciones del presente Reglamento dará lugar a la apertura de un expediente disciplinario u otro tipo de acción, de conformidad con las disposiciones fijadas en el Estatuto de los funcionarios de la Unión Europea o en los regímenes de otros agentes de esta.

(71)A fin de garantizar condiciones uniformes de ejecución del presente Reglamento, deben conferirse a la Comisión competencias de ejecución cuando así lo establezca el presente Reglamento. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.º 182/2011 del Parlamento Europeo y del Consejo 16 . El procedimiento de examen debe seguirse para la adopción de cláusulas contractuales tipo entre responsables y encargados del tratamiento y entre responsables del tratamiento para la adopción de una lista de operaciones de tratamiento en las que se exija por parte de los responsables una consulta previa del Supervisor Europeo de Protección de Datos para el cumplimiento de una misión realizada en interés público, y para la adopción de cláusulas contractuales tipo que ofrezcan unas garantías adecuadas para las transferencias internacionales.

(72)Debe protegerse la información confidencial que las autoridades estadísticas de la Unión y nacionales recojan para la elaboración de las estadísticas oficiales europeas y nacionales. Las estadísticas europeas deben desarrollarse, elaborarse y difundirse con arreglo a los principios estadísticos fijados en el artículo 338, apartado 2, del TFUE. El Reglamento (CE) n.º 223/2009 del Parlamento Europeo y del Consejo 17 facilita especificaciones adicionales sobre la confidencialidad estadística aplicada a las estadísticas europeas.

(73)Procede derogar el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE. Las referencias al Reglamento y a la Decisión derogados deben entenderse hechas al presente Reglamento.

(74)Para garantizar la independencia plena de los miembros de la autoridad de control independiente, el mandato del actual Supervisor Europeo de Protección de Datos y del actual Supervisor Adjunto no debe verse afectado por el presente Reglamento. El actual Supervisor Adjunto debe permanecer en su puesto hasta el final de su mandato, a menos que se dé alguna de las condiciones para la finalización prematura del mandato del Supervisor Europeo de Protección de Datos establecidas en el presente Reglamento. Las disposiciones pertinentes del presente Reglamento deben aplicarse al Supervisor Adjunto hasta el final de su mandato.

(75)De conformidad con el principio de proporcionalidad, es necesario y conveniente para el logro del objetivo básico de garantizar un nivel equivalente de protección de las personas físicas y la libre circulación de datos personales en la Unión Europea establecer normas sobre el tratamiento de datos personales en las instituciones y organismos de la Unión. El presente Reglamento no excede de lo necesario para alcanzar los objetivos perseguidos, de conformidad con el artículo 5, apartado 4, del Tratado de la Unión Europea.

(76)El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 28, apartado 2, del Reglamento (CE) n.º 45/2001, emitió su dictamen el XX/XX/XXXX.

HAN ADOPTADO EL PRESENTE REGLAMENTO:

CAPÍTULO I

DISPOSICIONES GENERALES

Artículo 1

Objeto

1.El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales por las instituciones, órganos y organismos de la Unión y las normas relativas a la libre circulación de dichos datos entre ellos o entre ellos y destinatarios establecidos en la Unión y sujetos al Reglamento (UE) 2016/679 18 o a las disposiciones del Derecho nacional adoptado en aplicación de la Directiva (UE) 2016/680 19 .

2.El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.

3.El Supervisor Europeo de Protección de Datos («SEPD») supervisará la aplicación de las disposiciones del presente Reglamento en todas las operaciones de tratamiento realizadas por las instituciones y organismos de la Unión.

Artículo 2

Ámbito de aplicación

1.El presente Reglamento se aplica al tratamiento de datos personales por parte de todas las instituciones y organismos de la Unión, en la medida en que dicho tratamiento se lleve a cabo para el ejercicio de actividades comprendidas total o parcialmente en el ámbito de aplicación del Derecho de la Unión.

2.El presente Reglamento se aplicará al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

Artículo 3

Definiciones

1.A efectos del presente Reglamento, se aplicarán las definiciones siguientes:

a)las definiciones del Reglamento (UE) 2016/679, con la excepción de la definición de «responsable del tratamiento» del artículo 4, apartado 7, de dicho Reglamento;

b)la definición de «comunicación electrónica» del artículo 4, apartado 2, letra a), del Reglamento (UE) XXXX/XX [Reglamento sobre la privacidad y las comunicaciones electrónicas];

c)las definiciones de «red de comunicaciones electrónicas» y «usuario final» del artículo 2, apartados 1 y 14, de la Directiva 00/0000/UE [Directiva por la que se establece el Código Europeo de las Comunicaciones Electrónicas] respectivamente;

d)la definición de «equipo terminal» del artículo 1, apartado 1, de la Directiva 2008/63/CE de la Comisión 20 .

2.Además, a efectos del presente Reglamento se aplicarán las definiciones siguientes:

a)«instituciones y organismos de la Unión»: las instituciones, órganos y organismos de la Unión establecidos por, o sobre la base del Tratado de la Unión Europea, el Tratado de Funcionamiento de la Unión Europea o el Tratado Euratom;

b)«responsable del tratamiento» o «responsable»: la institución, órgano y organismo o dirección general u otra entidad organizativa de la Unión que por sí sola o conjuntamente con otras determine los fines y los medios del tratamiento de datos personales; cuando los fines y los medios del tratamiento estén determinados por un acto concreto de la Unión, el responsable del tratamiento o los criterios específicos aplicables a su nombramiento podrán ser establecidos por el Derecho de la Unión;

c)«usuario»: cualquier persona física que use una red o un equipo terminal que funcionen bajo el control de las instituciones y organismos de la Unión;

d)«guía»: guía de usuarios disponible para el público o guía interna de usuarios disponible dentro de las instituciones y organismos de la Unión o compartida entre estos, ya sea en formato impreso o electrónico.

CAPÍTULO II

PRINCIPIOS

Artículo 4

Principios relativos al tratamiento

1.Los datos personales serán:

a)tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);

b)recogidos con fines determinados, explícitos y legítimos, y no ser tratados ulteriormente de forma incompatible con esos fines; de acuerdo con el artículo 13, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);

c)adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);

d)exactos y, si fuera necesario, actualizados; se tomarán todas las medidas razonables para la supresión o rectificación sin dilación de los datos inexactos o incompletos en relación con los fines para los que fueron recogidos o para los que son tratados posteriormente («exactitud»);

e)mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 13, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);

f)tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

2.El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).

Artículo 5

Licitud del tratamiento

1.El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a)el tratamiento es necesario para el cumplimiento de una función realizada en interés público sobre la base o en el ejercicio de poderes públicos conferidos a las instituciones y organismos de la Unión;

b)el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

c)el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

d)el interesado ha dado su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

e)el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física.

2.Las funciones indicadas en la letra a) del apartado 1 serán establecidas en el Derecho de la Unión.

Artículo 6

Tratamiento para otro fin compatible

Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 25, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:

a)cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;

b)el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento;

c)la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 10, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 11;

d)las posibles consecuencias para los interesados del tratamiento ulterior previsto;

e)la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.

Artículo 7

Condiciones para el consentimiento

1.Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.

2.Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.

3.El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.

4.Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.

Artículo 8

Condiciones aplicables al consentimiento de los niños en relación con los servicios de la sociedad de la información

1.Cuando se aplique el artículo 5, apartado 1, letra d), en relación con la oferta directa a niños de servicios de la sociedad de la información, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 13 años. Si el niño es menor de 13 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó.

2.El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible.

3.El apartado 1 no afectará a las disposiciones generales del Derecho contractual de los Estados miembros, como las normas relativas a la validez, formación o efectos de los contratos en relación con un niño.

Artículo 9

Transmisiones de datos personales a destinatarios distintos de las instituciones y los organismos de la Unión, establecidos en esta y sujetos al Reglamento (UE) 2016/679 o la Directiva (UE) 2016/680

1.Sin perjuicio de lo dispuesto en los artículos 4, 5, 6 y 10, los datos personales solo se transmitirán a destinatarios establecidos en la Unión y sujetos al Reglamento (UE) 2016/679 o al Derecho nacional adoptado en aplicación de la Directiva (UE) 2016/680, cuando el destinatario demuestre:

a)que los datos son necesarios para el cumplimiento de una misión de interés público o son inherentes al ejercicio de la autoridad pública, o

b)la necesidad de transmitir los datos, la proporcionalidad con los fines de la transmisión y que no existen motivos para suponer que ello pudiera perjudicar los derechos y libertades así como los intereses legítimos del interesado.

2.Cuando, en virtud de este artículo, la transmisión se produzca por iniciativa del responsable del tratamiento, este demostrará que la transmisión de datos personales es necesaria y proporcional a los fines de la transmisión, aplicando los criterios establecidos en las letras a) o b) del apartado 1.

Artículo 10

Tratamiento de categorías especiales de datos personales

1.Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.

2.El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:

a)el interesado ha dado su consentimiento explícito para el tratamiento de dichos datos con uno o más de los fines especificados, excepto cuando el Derecho de la Unión establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado, o

b)el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión que establece garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado, o

c)el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento,

d)el tratamiento lo lleva a cabo, en el curso de sus actividades legítimas y con las garantías apropiadas, un organismo sin ánimo de lucro que constituye una entidad integrada en una institución u organismo de la Unión, cuya finalidad es política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a sus miembros, a antiguos miembros del organismo o a personas que mantengan contactos regulares con este en relación con sus fines y siempre que los datos no se comuniquen fuera del organismo sin el consentimiento de los interesados;

e)el tratamiento se refiere a datos que el interesado ha hecho manifiestamente públicos;

f)el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando el Tribunal de Justicia de la Unión Europea actúe en ejercicio de su función judicial, o

g)el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;

h)el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;

i)el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional;

j)el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos sobre la base del Derecho de la Unión, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

3.Los datos personales a que se refiere el apartado 1 podrán tratarse para los fines citados en el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión.

Artículo 11

Tratamiento de datos personales relativos a condenas e infracciones penales

El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas en virtud del artículo 5, apartado 1, solo podrá llevarse a cabo si así lo autoriza el Derecho de la Unión, el cual puede incluir normas internas, ofreciendo las garantías específicas adecuadas para los derechos y libertades de los interesados.

Artículo 12

Tratamiento que no requiere identificación

1.Si los fines para los cuales un responsable trata datos personales no requieren o ya no requieren la identificación de un interesado por el responsable, este no estará obligado a mantener, obtener o tratar información adicional con vistas a identificar al interesado con la única finalidad de cumplir el presente Reglamento.

2.Cuando, en los casos a que se refiere el apartado 1 del presente artículo, el responsable sea capaz de demostrar que no está en condiciones de identificar al interesado, le informará en consecuencia, de ser posible. En tales casos no se aplicarán los artículos 17 a 22, excepto cuando el interesado, a efectos del ejercicio de sus derechos en virtud de dichos artículos, facilite información adicional que permita su identificación.

Artículo 13

Garantías aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos

El tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos estará sujeto a las garantías adecuadas, con arreglo al presente Reglamento, para los derechos y las libertades de los interesados. Dichas garantías harán que se disponga de medidas técnicas y organizativas, en particular para garantizar el respeto del principio de minimización de los datos personales. Tales medidas podrán incluir la seudonimización, siempre que de esa forma puedan alcanzarse dichos fines. Siempre que esos fines pueden alcanzarse mediante un tratamiento ulterior que no permita o ya no permita la identificación de los interesados, esos fines se alcanzarán de ese modo.

CAPÍTULO III

DERECHOS DEL INTERESADO

SECCIÓN 1

TRANSPARENCIA Y MODALIDADES

Artículo 14

Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado

1.El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 15 y 16, así como cualquier comunicación con arreglo a los artículos 17 a 24 y 38 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.

2.El responsable del tratamiento facilitará al interesado el ejercicio de sus derechos en virtud de los artículos 17 a 24. En los casos a que se refiere el artículo 12, apartado 2, el responsable no se negará a actuar a petición del interesado con el fin de ejercer sus derechos en virtud de los artículos 17 a 24, salvo que pueda demostrar que no está en condiciones de identificar al interesado.

3.El responsable del tratamiento facilitará al interesado información relativa a sus actuaciones sobre la base de una solicitud con arreglo a los artículos 17 a 24, y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo.

4.Si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos y de ejercitar acciones judiciales.

5.La información facilitada en virtud de los artículos 15 y 16 así como toda comunicación y cualquier actuación realizada en virtud de los artículos 17 a 24 y 38 serán a título gratuito. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá negarse a actuar respecto de la solicitud.

El responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

6.Sin perjuicio de lo dispuesto en el artículo 12, cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona física que cursa la solicitud a que se refieren los artículos 17 a 23, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado.

7.La información que deberá facilitarse a los interesados en virtud de los artículos 15 y 16 podrá transmitirse en combinación con iconos normalizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico serán legibles mecánicamente.

8.Si la Comisión adopta actos delegados en virtud del artículo 12, apartado 8, del Reglamento (UE) 2016/679 a fin de especificar la información que se ha de presentar a través de los iconos y los procedimientos para proporcionar iconos normalizados, las instituciones y organismos de la Unión facilitarán, en su caso, la información en virtud de los artículo 15 y 16 en combinación con dichos iconos normalizados.

SECCIÓN 2

INFORMACION Y ACCESO A LOS DATOS PERSONALES

Artículo 15

Información que deberá facilitarse cuando los datos personales se obtengan del interesado

1.Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:

a)la identidad y los datos de contacto del responsable;

b)los datos de contacto del delegado de protección de datos;

c)los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento;

d)los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

e)en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en el artículo 49, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.

2.Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:

a)el plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo;

b)la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o, cuando proceda, el derecho a oponerse al tratamiento o el derecho a la portabilidad de los datos;

c)cuando el tratamiento esté basado en el artículo 5, apartado 1, letra d), o el artículo 10, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;

d)el derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos;

e)si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de no facilitar tales datos;

f)la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 24, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

3.Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2.

4.Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en la medida en que el interesado ya disponga de la información.

Artículo 16

Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado

1.Cuando los datos personales no se hayan obtenidos del interesado, el responsable del tratamiento le facilitará la siguiente información:

a)la identidad y los datos de contacto del responsable;

b)los datos de contacto del delegado de protección de datos;

c)los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento;

d)las categorías de datos personales de que se trate;

e)los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f)en su caso, la intención del responsable de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en el artículo 49, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de ellas o al hecho de que se hayan prestado.

2.Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente respecto del interesado:

a)el plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo;

d)el derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos;

e)la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público;

3.El responsable del tratamiento facilitará la información indicada en los apartados 1 y 2:

a)dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos;

b)si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado, o

c)si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.

4.Cuando el responsable del tratamiento proyecte el tratamiento ulterior de los datos personales para un fin que no sea aquel para el que se obtuvieron, proporcionará al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y cualquier otra información pertinente indicada en el apartado 2.

5.Las disposiciones de los apartados 1 a 4 no serán aplicables cuando y en la medida en que:

a)el interesado ya disponga de la información;

b)la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, o en la medida en que la obligación mencionada en el apartado 1 del presente artículo pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento;

c)la obtención o la comunicación esté expresamente establecida por el Derecho de la Unión; o

d)cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión.

Artículo 17

Derecho de acceso del interesado

1.El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:

a)los fines del tratamiento;

b)las categorías de datos personales de que se trate;

c)los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales;

d)de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;

e)la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;

f)el derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos;

g)cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;

h)la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 24, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

2.Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 49 relativas a la transferencia.

3.El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.

4.El derecho a obtener copia mencionado en el apartado 3 no afectará negativamente a los derechos y libertades de otros.

SECCIÓN 3

RECTIFICACIÓN Y SUPRESIÓN

Artículo 18

Derecho de rectificación

El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.

Artículo 19

Derecho de supresión («el derecho al olvido»)

1.El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:

a)los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;

b)el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 5, apartado 1, letra d), o el artículo 10, apartado 2, letra a), y este no se base en otro fundamento jurídico;

c)el interesado se oponga al tratamiento con arreglo al artículo 23, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento;

d)los datos personales hayan sido tratados ilícitamente;

e)los datos personales deban suprimirse para el cumplimiento de una obligación legal que se aplique al responsable del tratamiento;

f)los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1.

2.Cuando haya hecho públicos los datos personales y esté obligado, en virtud de lo dispuesto en el apartado 1, a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.

3.Los apartados 1 y 2 no se aplicarán cuando el tratamiento sea necesario:

a)para ejercer el derecho a la libertad de expresión e información;

b)para el cumplimiento de una obligación legal que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable;

c)por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 10, apartado 2, letras h) e i), y apartado 3;

d)con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento; o

e)para la formulación, el ejercicio o la defensa de reclamaciones.

Artículo 20

Derecho a la limitación del tratamiento

1.El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes:

a)el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar que son exactos y que están completos;

b)el tratamiento sea ilícito y el interesado se oponga a su supresión y solicite en su lugar la limitación de su uso;

c)el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;

d)el interesado se haya opuesto al tratamiento en virtud del artículo 23, apartado 1, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.

2.Cuando el tratamiento de datos personales se haya limitado en virtud del apartado 1, dichos datos solo podrán ser objeto de tratamiento, con excepción de su conservación, con el consentimiento del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica o por razones de interés público importante de la Unión o de un determinado Estado miembro.

3.Todo interesado que haya obtenido la limitación del tratamiento con arreglo al apartado 1 será informado por el responsable antes del levantamiento de dicha limitación.

4.En los ficheros automatizados la limitación del tratamiento deberá realizarse, en principio, por medios técnicos. El hecho de que los datos personales están limitados deberá indicarse en el sistema de tal modo que quede claro que no se pueden utilizar.

Artículo 21

Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento

El responsable del tratamiento comunicará cualquier rectificación o supresión de datos personales o limitación del tratamiento efectuada con arreglo al artículo 18, al artículo 19, apartado 1, y al artículo 20 a cada uno de los destinatarios a los que se hayan comunicado los datos personales, salvo que sea imposible o exija un esfuerzo desproporcionado. El responsable informará al interesado acerca de dichos destinatarios, si este así lo solicita.

Artículo 22

Derecho a la portabilidad de los datos

1.El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:

a)el tratamiento esté basado en el consentimiento con arreglo al artículo 5, apartado 1, letra d), o el artículo 10, apartado 2, letra a), o en un contrato con arreglo al artículo 5, apartado 1, letra c); y

b)el tratamiento se efectúe por medios automatizados.

2.Al ejercer su derecho a la portabilidad de los datos de acuerdo con el apartado 1, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.

3.El ejercicio del derecho mencionado en el apartado 1 del presente artículo se entenderá sin perjuicio del artículo 19. Tal derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

4.El derecho mencionado en el apartado 1 no afectará negativamente a los derechos y libertades de otros.

SECCIÓN 4

DERECHO DE OPOSICIÓN Y DECISIONES INDIVIDUALES AUTOMATIZADAS

Artículo 23

Derecho de oposición

1.El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 5, apartado 1, letra a), incluida la elaboración de perfiles sobre la base de dicha disposición. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.

2.A más tardar en el momento de la primera comunicación con el interesado, el derecho indicado en el apartado 1 será mencionado explícitamente al interesado y será presentado claramente y al margen de cualquier otra información.

3.Sin perjuicio de lo dispuesto en los artículos 34 y 35, en el contexto de la utilización de servicios de la sociedad de la información, el interesado podrá ejercer su derecho a oponerse por medios automatizados que apliquen especificaciones técnicas.

4.Cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos, el interesado tendrá derecho, por motivos relacionados con su situación particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario para el cumplimiento de una misión realizada por razones de interés público.

Artículo 24

Decisiones individuales automatizadas, incluida la elaboración de perfiles

1.Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

2.El apartado 1 no se aplicará si la decisión:

a)es necesaria para la celebración o la ejecución de un contrato entre el interesado y el responsable del tratamiento;

b)está autorizada por el Derecho de la Unión que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado; o

c)se basa en el consentimiento explícito del interesado.

3.En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.

4.Las decisiones a que se refiere el apartado 2 no se basarán en las categorías especiales de datos personales contempladas en el artículo 10, apartado 1, salvo que se aplique el artículo 10, apartado 2, letras a) o g), y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.

SECCIÓN 5

LIMITACIONES

Artículo 25

Limitaciones

1.Los actos jurídicos adoptados con arreglo a los Tratados o, en cuestiones relacionadas con el funcionamiento de las instituciones y organismos de la Unión, las normas internas establecidas por estos últimos podrán limitar la aplicación de los artículos 14 a 22, 34 y 38, así como el artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 14 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:

a)la seguridad nacional, el orden público o la defensa de los Estados miembros;

b)la prevención, investigación, detección y enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención;

c)otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un interés económico o financiero importante de la Unión o de un Estado miembro, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social;

d)la seguridad interna de las instituciones y organismos de la Unión, incluida la de sus redes de comunicación electrónica;

e)la protección de la independencia judicial y de los procedimientos judiciales;

f)la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas;

g)una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos contemplados en las letras a) a c);

h)la protección del interesado o de los derechos y libertades de otros;

i)la ejecución de demandas civiles.

2.Cuando una limitación no se establezca en un acto jurídico adoptado sobre la base de los Tratados o en una norma interna en virtud del apartado 1, las instituciones y organismos de la Unión podrán limitar la aplicación de los artículos 14 a 22, 34 y 38, así como el artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 14 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales, en relación con una operación de tratamiento específica, y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar uno o más de los objetivos mencionados en el apartado 1. Dicha limitación deberá notificarse al delegado de protección de datos pertinente.

3.Cuando se traten datos personales con fines de investigación científica o histórica o estadísticos, el Derecho de la Unión, el cual puede incluir normas internas, podrá establecer excepciones a los derechos contemplados en los artículos 17, 18, 20 y 23, sujetas a las condiciones y garantías indicadas en el artículo 13, siempre que sea probable que esos derechos imposibiliten u obstaculicen gravemente el logro de los fines específicos, y cuanto esas excepciones sean necesarias para alcanzar esos fines.

4.Cuando se traten datos personales con fines de archivo en interés público, el Derecho de le Unión, el cual puede incluir normas internas, podrá establecer excepciones a los derechos contemplados en los artículos 17, 18, 20, 21, 22 y 23, sujetas a las condiciones y garantías citadas en el apartado 13 del presente artículo, siempre que sea probable que esos derechos imposibiliten u obstaculicen gravemente el logro de los fines específicos, y cuanto esas excepciones sean necesarias para alcanzar esos fines.

5.Las normas internas mencionadas en los apartados 1, 3 y 4 serán suficientemente claras y precisas y deben ser objeto de una publicación apropiada.

6.En caso de que se imponga una limitación en virtud de los apartados 1 y 2, se informará al interesado, de conformidad con el Derecho de la Unión, de las razones principales que justifican la limitación, así como de su derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos.

7.En caso de que se imponga una limitación en virtud de los apartados 1 y 2 para denegar al interesado el acceso a los datos, el Supervisor Europeo de Protección de Datos, durante la investigación subsiguiente a la reclamación, solo le comunicará si los datos se trataron correctamente y, de no ser así, si se han efectuado las correcciones necesarias.

8.Podrá aplazarse, omitirse o denegarse la comunicación de la información a la que se refieren los apartados 6 y 7 y el artículo 46, apartado 2, si esta deja sin efecto la limitación impuesta sobre la base de los apartados 1 y 2.

CAPÍTULO IV

RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO

SECCIÓN 1

OBLIGACIONES GENERALES

Artículo 26

Responsabilidad del responsable del tratamiento

1.Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.

2.Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.

Artículo 27

Protección de datos desde el diseño y por defecto

1.Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.

2.El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.

Artículo 28

Corresponsables del tratamiento

1.Cuando una institución u organismo de la Unión junto a otro u otros responsables del tratamiento, ya sean o no instituciones u organismos de la Unión, determinen conjuntamente los objetivos y los medios del tratamiento, serán considerados corresponsables del tratamiento. Los corresponsables determinarán de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de sus obligaciones en materia de protección de datos, en particular en cuanto al ejercicio de los derechos del interesado y a sus respectivas obligaciones de suministro de información a que se refieren los artículos 15 y 16, salvo, y en la medida en que, sus responsabilidades respectivas se rijan por el Derecho de la Unión o de los Estados miembros que se les aplique a ellos. Dicho acuerdo podrá designar un punto de contacto para los interesados.

2.El acuerdo indicado en el apartado 1 reflejará debidamente las funciones y relaciones respectivas de los corresponsables en relación con los interesados. Se pondrán a disposición del interesado los aspectos esenciales del acuerdo.

3.Los interesados podrán ejercer los derechos que les reconoce el presente Reglamento frente a uno o más corresponsables del tratamiento y en contra de estos, teniendo en cuenta sus funciones tal y como están determinadas en los términos del acuerdo a que se refiere el apartado 1.

Artículo 29

Encargado del tratamiento

1.Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.

2.El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable. En este último caso, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios.

3.El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:

a)tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público;

b)garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;

c)tomará todas las medidas necesarias de conformidad con el artículo 33;

d)respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento;

e)asistirá al responsable, teniendo en cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III;

f)ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 33 a 40, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado;

g)a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros;

h)pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.

En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe el presente Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.

4.Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al Derecho de la Unión o de los Estados miembros, las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado a que se refiere el apartado 3, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con las disposiciones del presente Reglamento. Si ese otro encargado incumple sus obligaciones de protección de datos, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado.

5.Cuando el encargado no sea una institución u organismo de la Unión, la adhesión a un código de conducta aprobado a tenor del artículo 40, apartado 5, del Reglamento (UE) 2016/679 o a un mecanismo de certificación aprobado a tenor del artículo 42 de dicho Reglamento podrá utilizarse como elemento para demostrar la existencia de las garantías suficientes a que se refieren los apartados 1 y 4 del presente artículo.

6.Sin perjuicio de que el responsable y el encargado del tratamiento celebren un contrato individual, el contrato u otro acto jurídico a que se refieren los apartados 3 y 4 del presente artículo podrá basarse, total o parcialmente, en las cláusulas contractuales tipo a que se refieren los apartados 7 y 8 del presente artículo, inclusive cuando formen parte de una certificación concedida a un encargado que no sea una institución u organismo de la Unión de conformidad con el artículo 42 del Reglamento (UE) 2016/679.

7.La Comisión podrá fijar cláusulas contractuales tipo para los asuntos a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el procedimiento de examen a que se refiere el artículo 70, apartado 2.

8.El Supervisor Europeo de Protección de Datos podrá adoptar cláusulas contractuales tipo para los asuntos a que se refieren los apartados 3 y 4.

9.El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por escrito, inclusive en formato electrónico.

10.Sin perjuicio de lo dispuesto en los artículos 65 y 66, si un encargado del tratamiento infringe el presente Reglamento al determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento.

Artículo 30

Tratamiento bajo la autoridad del responsable y del encargado del tratamiento

El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable, a no ser que estén obligados a ello en virtud del Derecho de la Unión o de los Estados miembros.

Artículo 31

Registro de las actividades de tratamiento

1.Cada responsable llevará un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:

a)el nombre y los datos de contacto del responsable, del delegado de protección de datos y, en su caso, del encargado y del corresponsable;

b)los fines del tratamiento;

c)una descripción de las categorías de interesados y de las categorías de datos personales;

d)las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en Estados miembros, terceros países u organizaciones internacionales;

e)en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y la documentación de garantías adecuadas;

f)cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;

g)cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 33.

2.Cada encargado llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga:

a)el nombre y los datos de contacto del encargado o encargados del tratamiento y de cada responsable del tratamiento en cuyo nombre actúe el encargado, y del delegado de protección de datos;

b)las categorías de tratamientos efectuados por cuenta de cada responsable;

c)en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y la documentación de garantías adecuadas;

d)cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 33.

3.Los registros a que se refieren los apartados 1 y 2 constarán por escrito, inclusive en formato electrónico.

4.Las instituciones y organismos de la Unión pondrán el registro a disposición del Supervisor Europeo de Protección de Datos cuando este lo solicite.

5.Las instituciones y organismos de la Unión pueden decidir mantener sus registros de actividades de tratamiento en un registro central. En ese caso, también pueden decidir que el registro sea de acceso público.

Artículo 32

Cooperación con el Supervisor Europeo de Protección de Datos

Las instituciones y organismos de la Unión cooperarán con el Supervisor Europeo de Protección de Datos en el desempeño de sus funciones cuando este lo solicite.

SECCIÓN 2

SEGURIDAD DE LOS DATOS PERSONALES Y CONFIDENCIALIDAD DE LAS COMUNICACIONES ELECTRÓNICAS

Artículo 33

Seguridad del tratamiento

1.Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

a)la seudonimización y el cifrado de datos personales;

b)la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

c)la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;

d)un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

2.Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

3.El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión.

Artículo 34

Confidencialidad de las comunicaciones electrónicas

Las instituciones y organismos de la Unión deberán garantizar la confidencialidad de las comunicaciones electrónicas, en particular protegiendo sus redes de comunicación electrónica.

Artículo 35

Protección de información relacionada con equipos terminales de usuarios finales

Las instituciones y organismos de la Unión protegerán la información relativa a los equipos terminales de usuarios finales que acceden a sus sitios web y aplicaciones para móviles disponibles públicamente de conformidad con el Reglamento (UE) XX/XXXX [nuevo Reglamento sobre la privacidad y las comunicaciones electrónicas], en particular el artículo 8 del mismo.

Artículo 36

Guías de usuarios

1.Los datos personales contenidos en las guías de usuarios, así como el acceso a dichas guías, quedarán limitados a lo necesario para los fines específicos de la guía.

2.Las instituciones y organismos de la Unión adoptarán las medidas necesarias para evitar que los datos personales contenidos en estas guías, independientemente de si resultan accesibles al público o no, sean utilizados para fines de venta directa.

Artículo 37

Notificación de una violación de la seguridad de los datos personales al Supervisor Europeo de Protección de Datos

1.En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará al Supervisor Europeo de Protección de Datos sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación al Supervisor Europeo de Protección de Datos no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.

2.El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.

3.La notificación contemplada en el apartado 1 deberá, como mínimo:

a)describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;

b)comunicar el nombre y los datos de contacto del delegado de protección de datos;

c)describir las posibles consecuencias de la violación de datos personales;

d)describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

4.Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

5.El responsable del tratamiento informará al delegado de protección de datos acerca de la violación de la seguridad de los datos.

6.El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá al Supervisor Europeo de Protección de Datos verificar el cumplimiento de lo dispuesto en el presente artículo.

Artículo 38

Comunicación de una violación de la seguridad de los datos personales al interesado

1.Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.

2.La comunicación al interesado contemplada en el apartado 1 del presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las medidas a que se refiere el artículo 37, apartado 3, letras b), c) y d).

3.La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes:

a)el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;

b)el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1;

c)suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.

4.Cuando el responsable todavía no haya comunicado al interesado la violación de la seguridad de los datos personales, el Supervisor Europeo de Protección de Datos, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones mencionadas en el apartado 3.

SECCIÓN 3

EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS Y CONSULTA PREVIA

Artículo 39

Evaluación de impacto relativa a la protección de datos

1.Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.

2.El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos al realizar la evaluación de impacto relativa a la protección de datos.

3.La evaluación de impacto relativa a la protección de los datos a que se refiere el apartado 1 se requerirá en particular en caso de:

a)evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;

b)tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 10, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 11, o

c) observación sistemática a gran escala de una zona de acceso público.

4.El Supervisor Europeo de Protección de Datos establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos de conformidad con el apartado 1.

5.El Supervisor Europeo de Protección de Datos podrá asimismo establecer y publicar la lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos.

6.La evaluación deberá incluir como mínimo:

a)una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento;

b)una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;

c)una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1, y

d)las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

7.El cumplimiento de los códigos de conducta aprobados a que se refiere el artículo 40 del Reglamento (UE) 2016/679 por los encargados correspondientes que no sean instituciones y organismos de la Unión se tendrá debidamente en cuenta al evaluar las repercusiones de las operaciones de tratamiento realizadas por dichos encargados, en particular a efectos de la evaluación de impacto relativa a la protección de datos.

8.Cuando proceda, el responsable recabará la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, sin perjuicio de la protección de intereses públicos o de la seguridad de las operaciones de tratamiento.

9.Cuando el tratamiento de conformidad con el artículo 5, apartado 1, letras a) o b), tenga su base jurídica en un acto legislativo adoptado sobre la base de los Tratados que regule la operación específica de tratamiento o conjunto de operaciones en cuestión, y cuando ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general anterior a la adopción de dicho acto legislativo, los apartados 1 a 6 no serán de aplicación excepto si el Derecho de la Unión establece otra cosa.

10.En caso necesario, el responsable examinará si el tratamiento es conforme con la evaluación de impacto relativa a la protección de datos, al menos cuando exista un cambio del riesgo que representen las operaciones de tratamiento.

Artículo 40

Consulta previa

1.El responsable consultará al Supervisor Europeo de Protección de Datos antes de proceder al tratamiento si una evaluación de impacto relativa a la protección de datos en virtud del artículo 39 muestra que, en ausencia de garantías, medidas de seguridad y mecanismos destinados a mitigar los riesgos, el tratamiento entrañaría un alto riesgo para los derechos y libertades de las personas físicas, y el responsable del tratamiento considera que el riesgo no puede mitigarse por medios razonables en cuanto a tecnología disponible y costes de aplicación. El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos acerca de la necesidad de una consulta previa.

2.Cuando el Supervisor Europeo de Protección de Datos considere que el tratamiento previsto a que se refiere el apartado 1 podría infringir el presente Reglamento, en particular cuando el responsable no haya identificado o mitigado suficientemente el riesgo, el Supervisor Europeo de Protección de Datos deberá, en un plazo de ocho semanas desde la solicitud de la consulta, asesorar por escrito al responsable, y en su caso al encargado, y podrá utilizar cualquiera de sus poderes mencionados en el artículo 59. Dicho plazo podrá prorrogarse seis semanas, en función de la complejidad del tratamiento previsto. El Supervisor Europeo de Protección de Datos informará al responsable y, en su caso, al encargado de tal prórroga en el plazo de un mes a partir de la recepción de la solicitud de consulta, indicando los motivos de la dilación. Estos plazos podrán suspenderse hasta que el Supervisor Europeo de Protección de Datos haya obtenido la información solicitada a los fines de la consulta.

3.Cuando consulte al Supervisor Europeo de Protección de Datos con arreglo al apartado 1, el responsable del tratamiento le facilitará la información siguiente:

a)en su caso, las responsabilidades respectivas del responsable, los corresponsables y los encargados implicados en el tratamiento;

b)los fines y medios del tratamiento previsto;

c)las medidas y garantías establecidas para proteger los derechos y libertades de los interesados de conformidad con el presente Reglamento;

d)los datos de contacto del delegado de protección de datos;

e)la evaluación de impacto relativa a la protección de datos establecida en el artículo 39; y

f)cualquier otra información que solicite el Supervisor Europeo de Protección de Datos.

4.La Comisión podrá determinar, mediante un acto de ejecución, una lista de los casos en los que los responsables del tratamiento consultarán al Supervisor Europeo de Protección de Datos y recabarán su autorización previa en relación con el tratamiento por un responsable en el ejercicio de una misión realizada en interés público, en particular el tratamiento en relación con la protección social y la salud pública.

SECCIÓN 4

INFORMACIÓN Y CONSULTA LEGISLATIVA

Artículo 41

Información

Las instituciones y los organismos de la Unión informarán al Supervisor Europeo de Protección de Datos cuando elaboren medidas administrativas y normas internas relacionadas con el tratamiento de datos personales que impliquen a una institución o un organismo de la Unión aisladamente o junto con otros.

Artículo 42

Consulta legislativa

1.Tras la adopción de propuestas de actos legislativos y de recomendaciones o propuestas al Consejo, en virtud del artículo del artículo 218 del TFUE, y al preparar actos delegados o actos de ejecución que tengan un impacto sobre la protección de los derechos y libertades de las personas en relación con el tratamiento de datos personales, la Comisión consultará al Supervisor Europeo de Protección de Datos.

2.Cuando uno de los actos mencionados en el apartado 1 sea de especial importancia para la protección de los derechos y libertades de las personas en relación con el tratamiento de datos personales, la Comisión podrá consultar al Comité Europeo de Protección de Datos. En estos casos, el Supervisor Europeo de Protección de Datos y el Comité Europeo de Protección de Datos coordinarán su trabajo a fin de emitir un dictamen conjunto.

3.El asesoramiento mencionado en los apartados 1 y 2 será facilitado por escrito en un periodo de hasta ocho semanas desde la solicitud de la consulta mencionada en los mismos apartados. En casos urgentes, o cuando se considere conveniente, la Comisión podrá acortar este plazo.

4.El presente artículo no será aplicable cuando la Comisión, de conformidad con el Reglamento (UE) 2016/679, deba consultar al Comité Europeo de Protección de Datos.

SECCIÓN 5

OBLIGACIÓN DE RESPUESTA A LAS ACUSACIONES

Artículo 43

Obligación de respuesta a las acusaciones

Cuando el Supervisor Europeo de Protección de Datos ejerza las competencias establecidas en el artículo 59, apartado 2, letras a), b) y c), el responsable o encargado del tratamiento informará a este de sus puntos de vista en un plazo razonable fijado por el Supervisor Europeo de Protección de Datos, teniendo en cuenta las circunstancias de cada caso. La respuesta comprenderá asimismo una descripción de las medidas adoptadas, en su caso, a raíz de las observaciones del Supervisor Europeo de Protección de Datos.

SECCIÓN 6

DELEGADO DE PROTECCIÓN DE DATOS

Artículo 44

Designación del delegado de protección de datos

1.Todas las instituciones u organismos de la Unión designarán un delegado de protección de datos.

2.Las instituciones y organismos de la Unión pueden designar a un único delegado de protección de datos para varias de ellas, teniendo en cuenta su estructura organizativa y tamaño.

3.El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 46.

4.El delegado de protección de datos podrá formar parte de la plantilla de la institución u organismo de la Unión, o desempeñar sus funciones en el marco de un contrato de servicios.

5.Las instituciones y organismos de la Unión publicarán los datos de contacto del delegado de protección de datos y los comunicarán al Supervisor Europeo de Protección de Datos.

Artículo 45

Posición del delegado de protección de datos

1.Las instituciones y organismos de la Unión garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.

2.Las instituciones y organismos de la Unión respaldarán al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 46, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.

3.Las instituciones y organismos de la Unión garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.

4.Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento.

5.El delegado de protección de datos y su personal estarán obligados a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión.

6.El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

7.El delegado de protección de datos podrá ser consultado por el responsable y el encargado del tratamiento, por el Comité de personal afectado y por cualquier particular, sin seguir los conductos oficiales, con relación a cualquier asunto que se refiera a la interpretación o aplicación del presente Reglamento. Nadie deberá sufrir perjuicio alguno por informar al delegado competente de protección de datos de que se ha cometido una presunta infracción de lo dispuesto en el presente Reglamento.

8.El delegado de protección de datos será designado por un mandato de entre tres y cinco años y este podrá ser renovado. El delegado de protección de datos solo podrá ser destituido de su función de delegado de protección de datos por la institución u organismo de la Unión que le haya designado, previo consentimiento del Supervisor Europeo de Protección de Datos, en caso de que deje de cumplir las condiciones requeridas para el ejercicio de sus funciones.

9.Tras haber designado al delegado de protección de datos, la institución o el organismo de la Unión que le haya designado comunicará su nombre al Supervisor Europeo de Protección de Datos.

Artículo 46

Funciones del delegado de protección de datos

1.El delegado de protección de datos tendrá las siguientes funciones:

a)informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión;

b)garantizar de forma independiente la aplicación interna del presente Reglamento y supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras legislaciones aplicables de la Unión que contengan disposiciones de protección de datos y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;

c)velar por que los interesados sean informados de los derechos y obligaciones que les incumben con arreglo al presente Reglamento;

d)ofrecer el asesoramiento que se le solicite acerca de la necesidad de notificar o comunicar una violación de la seguridad de los datos personales con arreglo a los artículos 37 y 38;

e)ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 39 y consultar al Supervisor Europeo de Protección de Datos en caso de duda sobre la necesidad de una evaluación de impacto relativa a la protección de datos;

f)ofrecer el asesoramiento que se le solicite acerca de la necesidad de una consulta previa del Supervisor Europeo de Protección de Datos de conformidad con el artículo 40 y consultar a este en caso de duda sobre la necesidad de una consulta previa;

g)responder a las solicitudes del Supervisor Europeo de Protección de Datos y, en el marco de sus competencias, cooperar y consultar con el Supervisor Europeo de Protección de Datos a petición de este o por iniciativa propia.

2.El delegado de protección de datos puede formular recomendaciones para la mejora práctica de la protección de datos al responsable y al encargado del tratamiento y aconsejarles sobre asuntos relativos a la puesta en práctica de las disposiciones sobre protección de datos. Por otra parte, por iniciativa propia o a petición del responsable o del encargado del tratamiento, del comité de personal interesado o de cualquier persona física, podrá investigar los asuntos y los incidentes directamente relacionados con sus tareas que lleguen a su conocimiento e informar de ello a la persona que solicitó la investigación o al responsable o al encargado del tratamiento.

3.Cada institución u organismo de la Unión adoptará normas complementarias respecto al delegado de protección de datos. Las normas de aplicación se referirán en especial a las tareas, funciones y competencias del delegado de protección de datos.

CAPÍTULO V

Transferencias de datos personales a terceros países u organizaciones internacionales

Artículo 47

Principio general de las transferencias

Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado.

Artículo 48

Transferencias basadas en una decisión de adecuación

1.Podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido, en virtud del artículo 45, apartado 3, del Reglamento (UE) 2016/679, que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado y los datos se transmitan exclusivamente para permitir el ejercicio de las tareas que son competencia del responsable del tratamiento.

2.Las instituciones y los organismos de la Unión informarán a la Comisión y al Supervisor Europeo de Protección de Datos de los casos en los que a su entender el tercer país o la organización internacional de que se trate no garanticen un nivel de protección suficiente de acuerdo con el apartado 1.

3.Las instituciones y los organismos de la Unión tomarán las medidas oportunas para cumplir las decisiones adoptadas por la Comisión en las que se haga constar, en aplicación del artículo 45, apartados 3 y 5, del Reglamento (UE) 2016/679, que un tercer país o una organización internacional garantizan o ya no garantizan un nivel de protección suficiente.

Artículo 49

Transferencias mediante garantías adecuadas

1.A falta de decisión con arreglo al artículo 45, apartado 3, del Reglamento (UE) 2016/679, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.

2.Las garantías adecuadas con arreglo al apartado 1 podrán ser aportadas, sin que se requiera ninguna autorización expresa del Supervisor Europeo de Protección de Datos, por:

a)un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos;

b)cláusulas tipo de protección de datos adoptadas por la Comisión de conformidad con el procedimiento de examen a que se refiere el artículo 70, apartado 2;

c)cláusulas tipo de protección de datos adoptadas por el Supervisor Europeo de Protección de Datos y aprobadas por la Comisión con arreglo al procedimiento de examen a que se refiere en el artículo 70, apartado 2;

d)normas corporativas vinculantes, códigos de conducta y mecanismos de certificación con arreglo al artículo 46, apartado 2, letras b), e) y f), del Reglamento (UE) 2016/679, cuando el encargado del tratamiento no es una institución u organismo e la Unión.

3.Siempre que exista autorización del Supervisor Europeo de Protección de Datos, las garantías adecuadas contempladas en el apartado 1 podrán igualmente ser aportadas, en particular, mediante:

a)cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional, o

b)disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

4.Las instituciones y los organismos de la Unión informarán al Supervisor Europeo de Protección de Datos de las categorías de casos en que el presente artículo haya sido aplicado.

5.Las autorizaciones otorgadas por el Supervisor Europeo de Protección de Datos de conformidad con el artículo 9, apartado 7, del Reglamento (CE) n.º 45/2001 seguirán siendo válidas hasta que hayan sido modificadas, sustituidas o derogadas, en caso necesario, por este.

Artículo 50

Transferencias o divulgaciones no autorizadas por el Derecho de la Unión

Cualquier sentencia de un órgano jurisdiccional o decisión de una autoridad administrativa de un tercer país que exijan que un responsable o encargado del tratamiento transfiera o divulgue datos personales únicamente será reconocida o ejecutable en cualquier modo si se basa en un acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente entre el país tercero requirente y la Unión, sin perjuicio de otros motivos para la transferencia al amparo del presente capítulo.

Artículo 51

Excepciones para situaciones específicas

1.En ausencia de una decisión de conformidad con lo dispuesto en el artículo 45, apartado 3, del Reglamento (UE) 2016/679, o de garantías adecuadas de conformidad con lo dispuesto en el artículo 49, solo podrá procederse a una transferencia o una serie de transferencias de datos personales a un tercer país o una organización internacional únicamente si se cumple alguna de las condiciones siguientes:

a)el interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas;

b)la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado;

c)la transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica;

d)la transferencia sea necesaria por razones importantes de interés público;

e)la transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones; o

f)la transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento; o

g)la transferencia se realice desde un registro que, con arreglo al Derecho de la Unión, tenga por objeto proporcionar información al público y que esté disponible para consulta del público en general o de cualquier persona que pueda demostrar un interés legítimo, pero solo en la medida en que en ese caso particular se cumplan las condiciones de consulta fijadas en el Derecho de la Unión.

2.Una transferencia efectuada de conformidad con el apartado 1, letra g), no implicará la totalidad de los datos personales ni categorías enteras de datos personales contenidos en el registro, a menos que así lo autorice el Derecho de la Unión. Si la finalidad del registro es la consulta por parte de personas que tengan un interés legítimo, la transferencia solo se efectuará a solicitud de dichas personas o si estas han de ser las destinatarias.

3.El interés público indicado en el apartado 1, letra d), será reconocido por el Derecho de la Unión.

4.En ausencia de una decisión por la que se constate la adecuación de la protección de los datos, el Derecho de la Unión o de los Estados miembros podrá, por razones importantes de interés público, establecer expresamente límites a la transferencia de categorías específicas de datos personales a un tercer país u organización internacional.

5.Las instituciones y los organismos de la Unión informarán al Supervisor Europeo de Protección de Datos de las categorías de casos en que el presente artículo haya sido aplicado.

Artículo 52

Cooperación internacional en el ámbito de la protección de datos personales

En relación con los terceros países y las organizaciones internacionales, el Supervisor Europeo de Protección de Datos, en cooperación con la Comisión y el Comité Europeo de Protección de Datos, tomará medidas apropiadas para:

a)crear mecanismos de cooperación internacional que faciliten la aplicación eficaz de la legislación relativa a la protección de datos personales;

b)prestarse mutuamente asistencia a escala internacional en la aplicación de la legislación relativa a la protección de datos personales, en particular mediante la notificación, la remisión de reclamaciones, la asistencia en las investigaciones y el intercambio de información, a reserva de las garantías adecuadas para la protección de los datos personales y otros derechos y libertades fundamentales;

c)asociar a partes interesadas en la materia a los debates y actividades destinados a reforzar la cooperación internacional en la aplicación de la legislación relativa a la protección de datos personales;

d)promover el intercambio y la documentación de la legislación y las prácticas en materia de protección de datos personales, inclusive en materia de conflictos de jurisdicción con terceros países.

CAPÍTULO VI

EL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS

Artículo 53

Supervisor Europeo de Protección de Datos

1.Se crea el Supervisor Europeo de Protección de Datos.

2.Por lo que respecta al tratamiento de los datos personales, el Supervisor Europeo de Protección de Datos velará por que los derechos y libertades fundamentales de las personas físicas, en particular el derecho de las mismas a la protección de datos, sean respetados por las instituciones y los organismos de la Unión.

3.El Supervisor Europeo de Protección de Datos garantizará y supervisará la aplicación de las disposiciones del presente Reglamento y de cualquier otro acto de la Unión relacionado con la protección de los derechos y libertades fundamentales de las personas físicas en lo que respecta al tratamiento de datos personales por parte de una institución u organismo de la Unión, y asesorará a las instituciones y a los organismos de la Unión, así como a los interesados, en todas las cuestiones relacionadas con el tratamiento de datos personales. Con este fin, el Supervisor Europeo de Protección de Datos ejercerá las funciones establecidas en el artículo 58 y las competencias que le confiere el artículo 59.

Artículo 54

Nombramiento del Supervisor Europeo de Protección de Datos

1.El Parlamento Europeo y el Consejo nombrarán de común acuerdo al Supervisor Europeo de Protección de Datos por un mandato de cinco años, sobre la base de una lista elaborada por la Comisión como resultado de una convocatoria pública de candidaturas. La convocatoria de candidaturas permitirá a las partes interesadas de toda la Unión presentar sus solicitudes. La lista de candidatos elaborada por la Comisión será pública. Sobre la base de la lista elaborada por la Comisión, la comisión competente del Parlamento Europeo podrá decidir la celebración de una audiencia con objeto de definir una preferencia.

2.La lista elaborada por la Comisión a partir de la cual será elegido el Supervisor Europeo de Protección de Datos estará formada por personas cuya independencia esté fuera de toda duda y que posean una experiencia y competencia notorias para el cumplimiento de las funciones de Supervisor Europeo de Protección de Datos, como pertenecer o haber pertenecido a las autoridades de control establecidas en el artículo 41 del Reglamento (UE) 2016/679.

3.El mandato del Supervisor Europeo de Protección de Datos será renovable una sola vez.

4.El mandato del Supervisor Europeo de Protección de Datos llegará a su fin en las siguientes circunstancias:

a)si el Supervisor Europeo de Protección de Datos es sustituido;

b)si el Supervisor Europeo de Protección de Datos dimite;

c)si el Supervisor Europeo de Protección de Datos es despedido u obligado a jubilarse.

5.El Supervisor Europeo de Protección de Datos podrá ser destituido o desposeído de su derecho de pensión u otros privilegios equivalentes por el Tribunal de Justicia de la Unión Europea a petición del Parlamento Europeo, el Consejo o la Comisión si dejare de cumplir las condiciones necesarias para el ejercicio de sus funciones o hubiere cometido una falta grave.

6.En los casos de renovación periódica y dimisión voluntaria, el Supervisor Europeo de Protección de Datos permanecerá en funciones hasta su sustitución.

7.Los artículos 11 a 14 y 17 del Protocolo sobre los privilegios y las inmunidades de la Unión Europea serán aplicables al Supervisor Europeo de Protección de Datos.

Artículo 55

Estatuto y condiciones generales de ejercicio de las funciones de Supervisor Europeo de Protección de Datos, personal y recursos financieros

1.El Supervisor Europeo de Protección de Datos recibirá la misma consideración que un juez del Tribunal de Justicia de la Unión Europea en cuanto a la determinación de su salario, asignaciones, pensión de jubilación y demás ventajas de carácter retributivo.

2.La autoridad presupuestaria garantizará que el Supervisor Europeo de Protección de Datos disponga de los recursos humanos y financieros necesarios para el ejercicio de sus funciones.

3.El presupuesto del Supervisor Europeo de Protección de Datos figurará en una línea propia de la sección IX del presupuesto general de la Unión Europea.

4.El Supervisor Europeo de Protección de Datos estará asistido por una secretaría. Los funcionarios y otros miembros del personal de la Secretaría serán nombrados por el Supervisor Europeo de Protección de Datos que será su superior jerárquico. Estarán sometidos exclusivamente a su dirección. El número de puestos se decidirá anualmente en el marco del procedimiento presupuestario.

5.Los funcionarios y otros miembros del personal de la secretaría del Supervisor Europeo de Protección de Datos estarán sujetos a los reglamentos y normas aplicables a los funcionarios y otros agentes de la Unión Europea.

6.El Supervisor Europeo de Protección de Datos tendrá su sede en Bruselas.

Artículo 56

Independencia

1.El Supervisor Europeo de Protección de Datos actuará con total independencia en el desempeño de sus funciones y en el ejercicio de sus competencias de conformidad con el presente Reglamento.

2.El Supervisor Europeo de Protección de Datos será ajeno, en el desempeño de sus funciones y en el ejercicio de sus poderes de conformidad con el presente Reglamento, a toda influencia externa, ya sea directa o indirecta, y no solicitará ni admitirá ninguna instrucción.

3.El Supervisor Europeo de Protección de Datos se abstendrá de cualquier acción incompatible con sus funciones y de desempeñar, durante su mandato, ninguna otra actividad profesional, sea o no retribuida.

4.Tras la finalización de su mandato el Supervisor Europeo de Protección de Datos actuará con integridad y discreción en lo que respecta a la aceptación de nombramientos y privilegios.

Artículo 57

Secreto profesional

El Supervisor Europeo de Protección de Datos y su personal estarán sujetos, incluso después de haber cesado en sus funciones, al deber de secreto profesional sobre las informaciones confidenciales a las que hayan tenido acceso durante el ejercicio de sus funciones.

Artículo 58

Funciones

1.Sin perjuicio de otras funciones en virtud del presente Reglamento, incumbirá al Supervisor Europeo de Protección de Datos:

a)supervisar y asegurar la aplicación del presente Reglamento y de cualquier otro acto de la Unión relacionado con la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de una institución u organismo de la Unión, con excepción del tratamiento de datos personales por el Tribunal de Justicia de la Unión Europea cuando actúe en el ejercicio de sus funciones jurisdiccionales;

b)promover la sensibilización del público y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento; las actividades dirigidas específicamente a los niños deberán ser objeto de especial atención;

c)promover la sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en virtud del presente Reglamento;

d)previa solicitud, facilitar información a cualquier interesado en relación con el ejercicio de sus derechos en virtud del presente Reglamento y, en su caso, cooperar a tal fin con las autoridades de control de los Estados miembros;

e)tratar las reclamaciones presentadas por un interesado o por un organismo, organización o asociación de conformidad con el artículo 67, e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control;

f)llevar a cabo investigaciones sobre la aplicación del presente Reglamento, en particular basándose en información recibida de otra autoridad de control u otra autoridad pública;

g)asesorar a todas las instituciones y los organismos de la Unión sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas en lo que respecta al tratamiento de datos personales;

h)hacer un seguimiento de los hechos nuevos de interés, en la medida en que tengan repercusiones sobre la protección de datos personales, en particular de la evolución de las tecnologías de la información y la comunicación;

i)adoptar las cláusulas contractuales tipo a que se refieren el artículo 29, apartado 8, y el artículo 49, apartado 2, letra c);

j)elaborar y mantener una lista relativa al requisito de la evaluación de impacto relativa a la protección de datos, en virtud del artículo 39, apartado 4;

k)participar en las actividades del Comité Europeo de Protección de Datos establecido en el artículo 68 del Reglamento (UE) 2016/679;

l)facilitar una secretaría al Comité Europeo de Protección de Datos, de conformidad con el artículo 75 del Reglamento (UE) 2016/679;

m)ofrecer asesoramiento sobre el tratamiento contemplado en el artículo 40, apartado 2;

n)autorizar las cláusulas contractuales y disposiciones a que se refiere el artículo 49, apartado 3;

o)llevar registros internos de las infracciones del presente Reglamento y de las medidas adoptadas de conformidad con el artículo 59, apartado 2,

p)desempeñar cualquier otra función relacionada con la protección de los datos personales; y

q)adoptar su reglamento interno.

2.El Supervisor Europeo de Protección de Datos facilitará la presentación de las reclamaciones contempladas en el apartado 1, letra e), mediante un formulario de presentación de reclamaciones que pueda cumplimentarse también por medios electrónicos, sin excluir otros medios de comunicación.

3.El desempeño de las funciones del Supervisor Europeo de Protección de Datos será gratuito para el interesado.

4.Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el Supervisor Europeo de Protección de Datos podrá negarse a actuar respecto de la solicitud. La carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud recaerá en el Supervisor Europeo de Protección de Datos.

Artículo 59

Poderes

1.El Supervisor Europeo de Protección de Datos dispondrá de los poderes de investigación indicados a continuación:

a)ordenar al responsable y al encargado del tratamiento que faciliten cualquier información que requiera para el desempeño de sus funciones;

b)llevar a cabo investigaciones en forma de auditorías de protección de datos;

c)notificar al responsable o al encargado del tratamiento las presuntas infracciones del presente Reglamento;

d)obtener del responsable y del encargado del tratamiento el acceso a todos los datos personales y a toda la información necesaria para el ejercicio de sus funciones;

e)obtener el acceso a todos los locales del responsable y del encargado del tratamiento, incluidos cualesquiera equipos y medios de tratamiento de datos, de conformidad con el Derecho procesal de la Unión o de los Estados miembros.

2.El Supervisor Europeo de Protección de Datos dispondrá de los poderes correctivos indicados a continuación:

a)sancionar a todo responsable o encargado del tratamiento con una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el presente Reglamento;

b)sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;

c)someter un asunto al responsable o encargado del tratamiento de que se trate y, en su caso, al Parlamento Europeo, al Consejo y a la Comisión;

d)ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento;

e)ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado;

f)ordenar al responsable del tratamiento que comunique al interesado las violaciones de la seguridad de los datos personales;

g)imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición;

h)ordenar la rectificación o supresión de datos personales o la limitación de tratamiento con arreglo a los artículos 18, 19 y 20 y la notificación de dichas medidas a los destinatarios a quienes se hayan comunicado datos personales con arreglo a al artículo 19, apartado 2, y al artículo 21;

i)imponer una multa administrativa con arreglo al artículo 66, sujeta al incumplimiento por la institución u organismo de la Unión de alguna de las medidas mencionadas en el presente apartado y según las circunstancias de cada caso particular;

j)ordenar la suspensión de los flujos de datos hacia un destinatario situado en un Estado miembro, un tercer país o hacia una organización internacional.

3.El Supervisor Europeo de Protección de Datos dispondrá de los poderes de autorización y consultivos indicados a continuación:

a)asesorar a los interesados en el ejercicio de sus derechos;

b)asesorar al responsable del tratamiento conforme al procedimiento de consulta previa contemplado en el artículo 40;

c)emitir, por iniciativa propia o previa solicitud, dictámenes destinados a las instituciones y organismos de la Unión y al público sobre cualquier asunto relacionado con la protección de los datos personales;

d)adoptar las cláusulas tipo de protección de datos contempladas en el artículo 29, apartado 8, y el artículo 49, apartado 2, letra c);

e)autorizar las cláusulas contractuales indicadas en el artículo 49, apartado 3, letra a);

f)autorizar los acuerdos administrativos contemplados en el artículo 49, apartado 3, letra b).

4.El ejercicio de los poderes conferidos al Supervisor Europeo de Protección de Datos en virtud del presente artículo estará sujeto a las garantías adecuadas, incluida la tutela judicial efectiva y el respeto de las garantías procesales, establecidas en el Derecho de la Unión.

5.El Supervisor Europeo de Protección de Datos tendrá el poder de someter un asunto al Tribunal de Justicia de la Unión Europea en las condiciones previstas en el Tratado e intervenir en los asuntos presentados ante dicho Tribunal.

Artículo 60

Informe de actividad

1.El Supervisor Europeo de Protección de Datos presentará anualmente al Parlamento Europeo, al Consejo y a la Comisión un informe sobre sus actividades, que paralelamente hará público.

2.El Supervisor Europeo de Protección de Datos transmitirá el informe de actividad a las demás instituciones y organismos de la Unión, los cuales podrán presentar comentarios con vistas a un posible debate del informe en el Parlamento Europeo.

CAPÍTULO VII

COOPERACIÓN Y COHERENCIA

Artículo 61

Cooperación con las autoridades de control nacionales

El Supervisor Europeo de Protección de Datos cooperará con las autoridades de control previstas en el artículo 41 del Reglamento (UE) 2016/679 y el artículo 51 de la Directiva (UE) 2016/680 (en adelante, «autoridades de control nacionales») y con las autoridades de control comunes previstas en el artículo 25 de la Decisión 2009/917/JAI del Consejo 21 en la medida necesaria para el ejercicio de sus deberes respectivos, en particular intercambiando información pertinente, instando a las autoridades de control nacionales a ejercer sus poderes o respondiendo a una solicitud de dichas autoridades.

Artículo 62

Supervisión coordinada del Supervisor Europeo de Protección de Datos y las autoridades de control nacionales

1.Cuando un acto de la Unión haga referencia a este artículo, el Supervisor Europeo de Protección de Datos cooperará de forma activa con las autoridades de control nacionales, a fin de garantizar una supervisión efectiva de grandes sistemas informáticos o agencias de la Unión.

2.En sus respectivos ámbitos de competencia y en el marco de sus responsabilidades, el Supervisor Europeo de Protección de Datos intercambiará la información oportuna, ayudará en el desarrollo de las auditorías e inspecciones, examinará las dificultades de interpretación o aplicación del presente Reglamento y de otros actos de la Unión aplicables, estudiará los problemas que plantee el ejercicio de una supervisión independiente o que surjan en el ejercicio de los derechos de los interesados, elaborará propuestas armonizadas para aportar soluciones a cualquier problema existente y fomentará el conocimiento de los derechos relacionados con la protección de datos, cuando resulte oportuno, junto a las autoridades de control nacionales.

3.A los fines establecidos en el apartado 2, el Supervisor Europeo de Protección de Datos se reunirá con las autoridades de control nacionales al menos dos veces al año en el marco del Comité Europeo de Protección de Datos. Los costes y la organización de esas reuniones correrán a cargo del Comité Europeo de Protección de Datos. El reglamento interno se adoptará en la primera reunión. Se irán desarrollando conjuntamente nuevos métodos de trabajo en función de las necesidades.

4.Cada dos años el Comité Europeo de Protección de Datos remitirá al Parlamento Europeo, al Consejo y a la Comisión un informe conjunto sobre las actividades relativas a la supervisión coordinada.

CAPÍTULO VIII

RECURSOS, RESPONSABILIDAD Y SANCIONES

Artículo 63

Derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos

1.Sin perjuicio de los recursos judiciales, administrativos o extrajudiciales, todo interesado tendrá derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos si considera que el tratamiento de sus datos personales infringe el presente Reglamento.

2.El Supervisor Europeo de Protección de Datos informará al interesado del curso y el resultado de la reclamación, inclusive sobre la posibilidad de acceder a la tutela judicial en virtud del artículo 64.

3.Si el Supervisor Europeo de Protección de Datos no da curso a una reclamación o no informa al interesado en el plazo de tres meses sobre el curso o el resultado de la reclamación, esta se entenderá desestimada.

Artículo 64

Derecho a la tutela judicial efectiva

El Tribunal de Justicia de la Unión Europea será competente en todos los litigios que se relacionen con las disposiciones del presente Reglamento, incluidas las demandas por daños y perjuicios.

Artículo 65

Derecho a indemnización

Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos, con arreglo a las condiciones previstas en los Tratados.

Artículo 66

Multas administrativas

1.El Supervisor Europeo de Protección de Datos podrá imponer multas administrativas a las instituciones y organismos de la Unión, según las circunstancias de cada caso particular, cuando estas incumplan una de sus resoluciones con arreglo a lo dispuesto en el artículo 59, apartado 2, letras d) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:

a)la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;

b)cualquier medida tomada por la institución u organismo de la Unión para paliar los daños y perjuicios sufridos por los interesados;

c)el grado de responsabilidad de la institución u organismo de la Unión, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 27 y 33;

d)toda infracción anterior similar cometida por la institución u organismo de la Unión;

e)el grado de cooperación con el Supervisor Europeo de Protección de Datos con el fin de poner remedio a la infracción y mitigar sus posibles efectos adversos;

f)las categorías de los datos de carácter personal afectados por la infracción;

g)la forma en que el Supervisor Europeo de Protección de Datos tuvo conocimiento de la infracción, en particular si la institución u organismo de la Unión la notificó y, en tal caso, en qué medida;

h)cuando las medidas indicadas en el artículo 59 hayan sido ordenadas previamente contra la institución u organismo de la Unión de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas.

Las procedimientos que llevan a la imposición de dichas multas deben llevarse a cabo en un plazo razonable según las circunstancias de cada caso y teniendo en cuenta las acciones pertinentes y los procedimientos mencionados en el artículo 69.

2.Las infracciones de las obligaciones de la institución u organismo de la Unión en virtud de los artículos 8, 12, 27, 28, 29, 30, 31, 32, 33, 37, 38, 39, 40, 44, 45 y 46, se sancionarán, de acuerdo con el apartado 1, con multas administrativas de hasta 25 000 EUR como máximo por cada infracción, hasta un total de 250 000 EUR al año.

3.Las infracciones de las disposiciones siguientes por parte de la institución u organismo de la Unión se sancionarán, de acuerdo con el apartado 1, con multas administrativas de hasta 50 000 EUR como máximo por cada infracción, hasta un total de 500 000 EUR al año:

a)los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 4, 5, 7 y 10;

b)los derechos de los interesados a tenor de los artículos 14 a 24;

c)las transferencias de datos personales a un destinatario en un tercer país o una organización internacional a tenor de los artículos 47 a 51.

4.Si una institución u organismo de la Unión incumpliera, para las mismas operaciones de tratamiento, operaciones vinculadas u operaciones continuas, diversas disposiciones del presente Reglamento o la misma disposición en varias ocasiones, la cuantía total de la multa administrativa no será superior a la cuantía prevista para las infracciones más graves.

5.Antes de tomar ninguna decisión en virtud de este artículo, el Supervisor Europeo de Protección de Datos ofrecerá a la institución u organismo de la Unión sometida al procedimiento instruido por el Supervisor la oportunidad de manifestar su opinión con respecto a los cargos que le sean imputados por este. El Supervisor Europeo de Protección de Datos basará sus decisiones únicamente en las objeciones sobre las que las partes afectadas hayan podido manifestarse. Los denunciantes participarán estrechamente en el procedimiento.

6.Los derechos de la defensa de las partes estarán garantizados plenamente en el curso del procedimiento. Tendrán derecho a acceder al expediente del Supervisor Europeo de Protección de Datos, sin perjuicio del interés legítimo de las personas físicas y las empresas en la protección de sus datos personales o secretos comerciales.

7.La recaudación proveniente de la imposición de multas con arreglo al presente artículo pasará a engrosar los ingresos del presupuesto general de la Unión Europea.

Artículo 67

Representación de los interesados

El interesado tendrá derecho a dar mandato a una entidad, organización o asociación sin ánimo de lucro que haya sido correctamente constituida con arreglo al Derecho de la Unión o de un Estado miembro, cuyos objetivos estatutarios sean de interés público y que actúe en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales, para que presente en su nombre la reclamación ante el Supervisor Europeo de Protección de Datos, y ejerza en su nombre los derechos contemplados en el artículo 63, y el derecho a ser indemnizado mencionado en el artículo 65.

Artículo 68

Reclamaciones del personal de la Unión

Toda persona empleada por una institución u organismo de la Unión podrá presentar una reclamación ante el Supervisor Europeo de Protección de Datos en caso de presunta violación de las disposiciones del presente Reglamento, sin necesidad de seguir los conductos oficiales. Nadie habrá de sufrir perjuicio en razón de una reclamación ante el Supervisor Europeo de Protección de Datos presentada por dicha violación.

Artículo 69

Sanciones

El incumplimiento, ya sea intencionado o por negligencia, de las obligaciones establecidas en el presente Reglamento por un funcionario u otro agente de la Unión Europea dará lugar a la apertura de un expediente disciplinario u otro tipo de acción, de conformidad con las disposiciones fijadas en el Estatuto de los funcionarios de la Unión Europea o en los regímenes de otros agentes de esta.

CAPÍTULO IX

ACTOS DE EJECUCIÓN

Artículo 70

Procedimiento de comité

1.La Comisión estará asistida por el comité establecido por el artículo 93 del Reglamento (UE) 2016/679. Dicho comité será un comité en el sentido del Reglamento (UE) n.º 182/2011.

2.En los casos en que se haga referencia al presente apartado, se aplicará el artículo 5 del Reglamento (UE) n.º 182/2011.

CAPÍTULO X

DISPOSICIONES FINALES

Artículo 71

Derogación del Reglamento (CE) n.º 45/2001 y de la Decisión n.º 1247/2002/CE

Quedan derogados, con efectos a partir del 25 de mayo de 2018, el Reglamento (CE) n.º 45/2001 22 y la Decisión n.º 1247/2002/CE 23 . Las referencias al Reglamento y a la Decisión derogados se entenderán hechas al presente Reglamento.

Artículo 72

Medidas transitorias

1.La Decisión 2014/886/UE del Parlamento Europeo y del Consejo 24 y los actuales mandatos del Supervisor Europeo de Protección de Datos y el Supervisor Adjunto no se verán afectados por el presente Reglamento.

2.El Supervisor Adjunto recibirá la misma consideración que el secretario del Tribunal de Justicia de la Unión Europea en cuanto a la determinación de su salario, asignaciones, pensión de jubilación y demás ventajas de carácter retributivo.

3.El artículo 54, apartados 4, 5 y 7, y los artículos 56 y 57 del presente Reglamento se aplicarán al actual Supervisor Adjunto hasta el final de su mandato el 5 de diciembre de 2019.

4.El Supervisor Adjunto asistirá al Supervisor Europeo de Protección de Datos en todas sus funciones y le sustituirá en caso de ausencia o impedimento hasta el final de su mandato el 5 de diciembre de 2019.

Artículo 73

Entrada en vigor y aplicación

1.El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

2.Se aplicará a partir del 25 de mayo de 2018.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el

Por el Parlamento Europeo Por el Consejo

El Presidente El Presidente

FICHA FINANCIERA LEGISLATIVA

1.MARCO DE LA PROPUESTA/INICIATIVA

1.1.Denominación de la propuesta/iniciativa

1.2.Ámbito(s) político(s) afectado(s) en la estructura GPA/PPA

1.3.Naturaleza de la propuesta/iniciativa

1.4.Objetivo(s)

1.5.Justificación de la propuesta/iniciativa

1.6.Duración e incidencia financiera

1.7.Modo(s) de gestión previsto(s)

2.MEDIDAS DE GESTIÓN

2.1.Disposiciones en materia de seguimiento e informes

2.2.Sistema de gestión y de control

2.3.Medidas de prevención del fraude y de las irregularidades

3.INCIDENCIA FINANCIERA ESTIMADA DE LA PROPUESTA/INICIATIVA

3.1.Rúbrica(s) del marco financiero plurianual y línea(s) presupuestaria(s) de gastos afectada(s)

3.2.Incidencia estimada en los gastos

3.2.1.Resumen de la incidencia estimada en los gastos

3.2.2.Incidencia estimada en los créditos de operaciones

3.2.3.Incidencia estimada en los créditos de carácter administrativo

3.2.4.Compatibilidad con el marco financiero plurianual vigente

3.2.5.Contribución de terceros

3.3.Incidencia estimada en los ingresos

FICHA FINANCIERA LEGISLATIVA

1.MARCO DE LA PROPUESTA/INICIATIVA

1.1.Denominación de la propuesta/iniciativa

Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos u organismos de la Unión y a la libre circulación de estos datos, y por el que se deroga el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE.

1.2.Ámbito(s) político(s) afectado(s) en la estructura GPA/PPA 25

Justicia - Protección de datos personales

1.3.Naturaleza de la propuesta/iniciativa

◻ La propuesta/iniciativa se refiere a una acción nueva

◻ La propuesta/iniciativa se refiere a una acción nueva a raíz de un proyecto piloto/una acción preparatoria 26

–La propuesta/iniciativa se refiere a la prolongación de una acción existente

◻ La propuesta o iniciativa se refiere a una acción reorientada hacia una nueva acción

1.4.Objetivo(s)

1.4.1.Objetivo(s) estratégico(s) plurianual(es) de la Comisión contemplado(s) en la propuesta/iniciativa

La entrada en vigor del Tratado de Lisboa y, en particular, la introducción de una nueva base jurídica (artículo 16 del TFUE), ofrece la oportunidad de establecer un marco exhaustivo de protección de datos que cubra todas las áreas.

El 27 de abril de 2016, la Unión adoptó el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (Texto pertinente a efectos del EEE), DO L 119 de 4.5.2016, pp. 1–88.

El mismo día, la Unión adoptó la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y la libre circulación de dichos datos, y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, DO L 119 de 4.5.2016, pp. 89–131.

La presente propuesta pretende completar la creación de un marco exhaustivo de protección de datos en la Unión, armonizando las normas de protección de datos aplicables a las instituciones y organismos de la Unión con las del Reglamento (UE) 2016/679. Por razones de coherencia, las instituciones y organismos de la Unión deben aplicar un conjunto de normas de protección de datos similar al aplicado por el sector público en los Estados miembros.

1.4.2.Objetivo(s) específico(s) y actividad(es) GPA/PPA afectada(s)

Objetivo específico n.º 1:

Garantizar la aplicación coherente de las normas de protección de datos en toda la Unión.

Objetivo específico n.º 2:

Racionalizar el actual modelo de gobernanza de protección de datos en las instituciones y organismos de la Unión.

Objetivo específico n.º 3:

Garantizar un mayor cumplimiento y aplicación de las normas de protección de datos en las instituciones y organismos de la Unión.

1.4.3.Resultado(s) e incidencia esperados

Especifíquense los efectos que la propuesta/iniciativa debería tener sobre los beneficiarios / la población destinataria.

En cuanto a las instituciones y organismos de la Unión como responsables del tratamiento de datos, estas se deben beneficiar de la transición desde los procesos relativos a la protección de datos actuales (enfoque ex ante) hacia un cumplimiento efectivo y una mejor aplicación de las normas sustantivas de protección de datos y de los nuevos principios y conceptos introducidos por el Reglamento (UE) 2016/679 (enfoque ex post), que será de aplicación en toda la Unión.

Las persona físicas cuyos datos son procesados por instituciones y organismos de la Unión tendrán un mejor control de sus datos personales, lo que aumentará su confianza en el entorno digital. También se beneficiarán de un refuerzo de la responsabilidad de las instituciones y organismos de la Unión.

El Supervisor Europeo de Protección de Datos será capaz de prestar mayor atención a su función supervisora. Se aclarará el reparto de la tarea de ofrecer asesoramiento a la Comisión entre el Comité Europeo de Protección de Datos creado por el Reglamento (UE) 2016/679 y el Supervisor Europeo de Protección de Datos y se evitarán duplicaciones.

1.4.4.Indicadores de resultados e incidencia

Especifíquense los indicadores que permiten realizar el seguimiento de la ejecución de la propuesta/iniciativa.

Los indicadores incluirán los siguientes elementos:

número de dictámenes emitidos por el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos,

desglose de las actividades de los delegados de protección de datos,

uso hecho de las evaluaciones de impacto de la protección de datos,

número de reclamaciones presentadas por los interesados,

multas impuestas a los responsables del tratamiento de datos competentes por infracciones de la protección de datos.

1.5.Justificación de la propuesta/iniciativa

1.5.1.Necesidad(es) que debe(n) satisfacerse a corto o largo plazo

En el Reglamento (UE) 2016/679 (artículo 2, apartado 3, y artículo 98, considerando 17) los colegisladores de la Unión pidieron adaptar el Reglamento (CE) n.º 45/2001 a los principios y normas establecidos en el Reglamento (UE) 2016/679 a fin de establecer un marco sólido y coherente en materia de protección de datos en la Unión y permitir que ambos instrumentos puedan aplicarse al mismo tiempo, es decir, el 25 de mayo de 2018.

1.5.2.Valor añadido de la intervención de la UE

Las normas de protección de datos aplicables a las instituciones y organismos de la Unión solo pueden introducirse mediante un acto de la UE.

1.5.3.Principales conclusiones extraídas de experiencias similares anteriores

La presente propuesta se basa en la experiencia con el Reglamento (CE) n.º 45/2001 y la evaluación de su aplicación, realizada en un estudio de evaluación (dirigido por un contratista externo entre septiembre de 2014 y junio de 2015) 27 .

1.5.4.Compatibilidad y posibles sinergias con otros instrumentos adecuados

La presente propuesta se basa en el Reglamento (UE) 2016/679 y finaliza la creación de un marco sólido, coherente y moderno en materia de protección de datos en la Unión, tecnológicamente neutro y válido para el futuro.

1.6.Duración e incidencia financiera

◻ Propuesta/iniciativa de duración limitada

–◻ Propuesta/iniciativa vigente del [DD/MM]AAAA al [DD/MM]AAAA

–◻ Incidencia financiera desde AAAA hasta AAAA

Propuesta/iniciativa de duración ilimitada

Ejecución: fase de puesta en marcha desde [2017] hasta el 25 de mayo de 2018 y pleno funcionamiento a partir de la última fecha.

1.7.Modo(s) de gestión previsto(s) 28

Gestión directa a cargo de la Comisión

–◻ por sus servicios, incluido su personal en las Delegaciones de la Unión;

–◻ por las agencias ejecutivas

◻ Gestión compartida con los Estados miembros

◻ Gestión indirecta mediante delegación de tareas de ejecución presupuestaria en:

–◻ terceros países o los organismos que estos hayan designado;

–◻ organizaciones internacionales y sus agencias (especifíquense);

–◻ el BEI y el Fondo Europeo de Inversiones;

–◻ los organismos a que se hace referencia en los artículos 208 y 209 del Reglamento Financiero;

–◻ organismos de Derecho público;

–◻ organismos de Derecho privado investidos de una misión de servicio público, en la medida en que presenten garantías financieras suficientes;

–◻ organismos de Derecho privado de un Estado miembro a los que se haya encomendado la ejecución de una colaboración público-privada y que presenten garantías financieras suficientes;

–◻ personas a quienes se haya encomendado la ejecución de acciones específicas en el marco de la PESC, de conformidad con el título V del Tratado de la Unión Europea, y que estén identificadas en el acto de base correspondiente.

–Si se indica más de un modo de gestión, facilítense los detalles en el recuadro de observaciones.

Observaciones

La presente propuesta se limita a las instituciones y organismos de la Unión y afecta a todas ellas.

2.MEDIDAS DE GESTIÓN

2.1.Disposiciones en materia de seguimiento e informes

Especifíquense la frecuencia y las condiciones de dichas disposiciones.

La presente propuesta se limita a la aplicación de las normas de protección de datos por parte de las instituciones y organismos de la Unión. La supervisión y aplicación de dichas normas es realizada por el Supervisor Europeo de Protección de Datos. Por lo tanto, el seguimiento y los informes son facilitados por este. En particular, en virtud del artículo 60 de la presente propuesta, el Supervisor Europeo de Protección de Datos tiene la obligación de presentar anualmente al Parlamento Europeo, al Consejo y a la Comisión un informe sobre las actividades enmarcadas en sus competencias, que paralelamente hará público.

2.2.Sistema de gestión y de control

2.2.1.Riesgo(s) definido(s)

Entre septiembre de 2014 y junio de 2015, un contratista externo realizó un estudio de evaluación de la aplicación del Reglamento (CE) n.º 45/2001. Asimismo, dicho estudio examinó el impacto de la introducción de conceptos y principios clave del Reglamento (UE) 2016/679 en las instituciones y organismos de la Unión.

El nuevo modelo de protección de datos se centrará en el cumplimiento efectivo de las normas de protección de datos y en la supervisión y aplicación efectivas de dichas normas. Esto requerirá una transición de la cultura de protección de datos en las instituciones y organismos de la Unión, pasando del enfoque administrativo ex ante al enfoque efectivo ex post.

2.2.2.Información relativa al sistema de control interno establecido

Métodos de control existentes aplicados por las instituciones y organismos de la Unión.

2.2.3.Estimación de los costes y beneficios de los controles y evaluación del nivel de riesgo de error esperado

Métodos de control existentes aplicados por las instituciones y organismos de la Unión.

2.3.Medidas de prevención del fraude y de las irregularidades

Especifíquense las medidas de prevención y protección existentes o previstas.

Métodos de prevención del fraude existentes aplicados por las instituciones y organismos de la Unión.

3.INCIDENCIA FINANCIERA ESTIMADA DE LA PROPUESTA/INICIATIVA

3.1.Rúbrica(s) del marco financiero plurianual y línea(s) presupuestaria(s) de gastos afectada(s)

Líneas presupuestarias existentes

En el orden de las rúbricas del marco financiero plurianual y las partidas presupuestarias.

Rúbrica del marco financiero plurianual

Línea presupuestaria

Tipo de
gasto

Contribución

Número
[Rúbrica………………………...……………]

CD/CND 29 .

de países de la AELC 30

de países candidatos 31

de terceros países

a efectos de lo dispuesto en el artículo 21, apartado 2, letra b), del Reglamento Financiero

[XX.YY.YY.YY]

CD/CND

SÍ/NO

Nuevas líneas presupuestarias solicitadas

En el orden de las rúbricas del marco financiero plurianual y las partidas presupuestarias.

Rúbrica del marco financiero plurianual

Línea presupuestaria

Tipo de
gasto

Contribución

Número
[Rúbrica………………………………………]

CD/CND

de países de la AELC

de países candidatos

de terceros países

a efectos de lo dispuesto en el artículo 21, apartado 2, letra b), del Reglamento Financiero

[XX.YY.YY.YY]

SÍ/NO

3.2.Incidencia estimada en los gastos

El impacto de la presente propuesta sobre el gasto se limita al gasto de las instituciones y organismos de la Unión. Sin embargo, la evaluación de los costes vinculados a esta propuesta muestra que esta no supone un gasto adicional importante para las instituciones y organismos de la Unión.

En cuanto a los responsables del tratamiento de datos, el estudio de evaluación del Reglamento (CE) n.º 45/2001 muestra que sus actividades en materia de protección de datos corresponden a 70 equivalentes de jornada completa (EJC), es decir, 9,3 millones EUR al año. Alrededor del 20 % de sus actividades en materia de protección de datos están dedicadas actualmente a las notificaciones de tratamiento de datos. Esta actividad ha sido eliminada del presente Reglamento, lo cual supone un ahorro anual de 1,922 millones EUR para los responsables del tratamiento de datos en las instituciones y organismos de la Unión. Se espera que este ahorro sea compensado con una mayor inversión de los responsables del tratamiento de datos en la aplicación de los nuevos principios y conceptos introducidos por el presente Reglamento.

Más concretamente, la encuesta realizada en el marco del estudio de evaluación señaló que la introducción de:

a) el principio de minimización de datos supondría un impacto mínimo o inexistente en las instituciones y organismos de la Unión;

b) el principio de transparencia no tendría un impacto significativo en las instituciones y organismos de la Unión;

c) el aumento de las obligaciones de información incrementaría la carga de trabajo de los responsables del tratamiento de datos y de los delegados de protección de datos;

d) el derecho al olvido no tendría un impacto significativo en las instituciones y organismos de la Unión;

e) el derecho a la portabilidad de los datos supondría un impacto mínimo o inexistente en las instituciones y organismos de la Unión;

f) las evaluaciones de impacto de la protección de datos tendrían una repercusión moderada en la carga de trabajo de los responsables del tratamiento de datos y de los delegados de protección de datos, porque algunas instituciones y organismos de la Unión ya realizan este tipo de evaluaciones y los casos en los que estas deben llevarse a cabo son limitados;

g) las notificaciones de las violaciones de datos personales aumentarían la carga de trabajo de los responsables del tratamiento de datos, pero dichas violaciones no ocurren con frecuencia;

h) la protección de datos desde el diseño y por defecto ya están siendo aplicadas en varias instituciones y organismos de la Unión.

Además, la evaluación de impacto realizada antes de la adopción de la propuesta para un paquete legislativo de reforma de la protección de datos concluyó que «no se generaría carga administrativa alguna por parte de las autoridades públicas o de los responsables del tratamiento de datos a causa de la introducción del principio de la protección de datos desde el diseño». 32

En cuanto a los delegados de protección de datos, el estudio de evaluación calculó que el coste de la actual red de delegados de protección de datos y coordinadores de la protección de datos (DPD y CPD) en las instituciones y organismos de la Unión es de 82,9 EJC o 10,9 millones EUR al año. Dedican el 26 % de su tiempo destinado a la protección de datos a actividades eliminadas por el presente Reglamento, es decir, elaborar notificaciones (en lugar de los responsables del tratamiento de datos), evaluar las notificaciones recibidas y mantener su información en el registro y realizar controles previos. Esto supone un nuevo ahorro de 2,834 millones EUR al año en las instituciones y organismos de la Unión. Además, el presente Reglamento deja espacio para otros ahorros potenciales al permitir a las instituciones y organismos de la Unión externalizar actividades de los DPD, en lugar de hacer uso de su propio personal.

Estos ahorros relacionados con actividades de los DPD se compensarán con su participación en el aumento de las obligaciones de información, las evaluaciones de impacto de la protección de datos (en determinadas circunstancias en las que son solicitadas) y en consultas previa del Supervisor Europeo de Protección de Datos (cuyo alcance será mucho más limitado que la actual obligación de controles previos).

En cuanto al Supervisor Europeo de Protección de Datos, su presupuesto anual es bastante estable desde 2011 y está acordado en alrededor de 8 millones EUR. Actualmente, su unidad de supervisión y aplicación y su unidad de política y consulta tienen cifras de personal similares, estables desde 2008. La mayor atención prestada por el presente Reglamento a la función supervisora del Supervisor Europeo de Protección de Datos será compensada con una función consultiva más específica y la eliminación de duplicaciones de tareas con el Comité Europeo de Protección de Datos. Por lo tanto, se puede llevar a cabo una reasignación interna de personal del Supervisor Europeo de Protección de Datos.

Esta propuesta prevé la posibilidad de que el Supervisor Europeo de Protección de Datos imponga multas administrativas a las instituciones y organismos de la Unión. Cada institución u organismo puede ser multado con un importe máximo de 250 000 EUR al año (25 000 EUR por cada infracción) o 500 000 EUR al año (50 000 EUR por cada infracción) para las infracciones más graves del presente Reglamento. Se espera que dichas multas se apliquen únicamente en los casos más graves, y tras el incumplimiento de la institución u organismo de la Unión, en el ejercicio de otros poderes correctivos por parte del Supervisor Europeo de Protección de Datos. Por lo tanto, se espera que el impacto económico de dichas multas sea limitado.

3.2.1.Resumen de la incidencia estimada en los gastos

En millones EUR (al tercer decimal)

Rúbrica del marco financiero
plurianual

Número

[Rúbrica……………...……………………………………………………………….]

DG: <…….>			Año N 33	Año N+1	Año N+2	Año N+3	Insértense tantos años como sea necesario para reflejar la duración de la incidencia (véase el punto 1.6)	TOTAL
• Créditos de operaciones
Número de línea presupuestaria	Compromisos	(1)
	Pagos	(2)
Número de línea presupuestaria	Compromisos	(1a)
	Pagos	(2a)
Créditos de carácter administrativo financiados mediante la dotación de programas específicos 34
Número de línea presupuestaria		(3)
TOTAL de los créditos para la DG <…….>	Compromisos	=1+1a +3
	Pagos	=2+2a +3

• TOTAL de los créditos de operaciones	Compromisos	(4)
	Pagos	(5)
• TOTAL de los créditos de carácter administrativo financiados mediante la dotación de programas específicos		(6)
TOTAL de los créditos para la RÚBRICA <….> del marco financiero plurianual	Compromisos	=4+ 6
	Pagos	=5+ 6

Si la propuesta/iniciativa afecta a más de una rúbrica:

• TOTAL de los créditos de operaciones	Compromisos	(4)
	Pagos	(5)
• TOTAL de los créditos de carácter administrativo financiados mediante la dotación de programas específicos		(6)
TOTAL de los créditos para las RÚBRICAS 1 a 4 del marco financiero plurianual (Importe de referencia)	Compromisos	=4+ 6
	Pagos	=5+ 6

Rúbrica del marco financiero
plurianual

«Gastos administrativos»

En millones EUR (al tercer decimal)

		Año N	Año N+1	Año N+2	Año N+3	Insértense tantos años como sea necesario para reflejar la duración de la incidencia (véase el punto 1.6)	TOTAL
DG: <…….>
•Recursos humanos
•Otros gastos administrativos
TOTAL para la DG <….>	Créditos

TOTAL de los créditos
para la RÚBRICA 5
del marco financiero plurianual

(Total de los compromisos = total de los pagos)

En millones EUR (al tercer decimal)

		Año N 35	Año N+1	Año N+2	Año N+3	Insértense tantos años como sea necesario para reflejar la duración de la incidencia (véase el punto 1.6)	TOTAL
TOTAL de los créditos para las RÚBRICAS 1 a 5 del marco financiero plurianual	Compromisos
	Pagos

3.2.2.Incidencia estimada en los créditos de operaciones

La propuesta/iniciativa no exige la utilización de créditos de operaciones.

◻ La propuesta/iniciativa exige la utilización de créditos de operaciones, tal como se explica a continuación:

Créditos de compromiso en millones EUR (al tercer decimal)

Indíquense los objetivos y los resultados

⇩

Año
N

Año
N+1

Año
N+2

Año
N+3

Insértense tantos años como sea necesario para reflejar la duración de la incidencia (véase el punto 1.6)

TOTAL

RESULTADOS

Tipo 36

Coste medio

Coste

Número total

Coste total

OBJETIVO ESPECÍFICO N.º 1 37

- Resultado

Subtotal del objetivo específico n.º 1

OBJETIVO ESPECÍFICO N.º 2

- Resultado

Subtotal del objetivo específico n.º 2

COSTE TOTAL

3.2.3.Incidencia estimada en los créditos de carácter administrativo

3.2.3.1.Resumen

La propuesta/iniciativa no exige la utilización de créditos administrativos.

◻ La propuesta/iniciativa exige la utilización de créditos administrativos, tal como se explica a continuación:

En millones EUR (al tercer decimal)

Año
N 38

Año
N+1

Año
N+2

Año
N+3

Insértense tantos años como sea necesario para reflejar la duración de la incidencia (véase el punto 1.6)

TOTAL

RÚBRICA 5 del marco financiero plurianual
Recursos humanos
Otros gastos administrativos
Subtotal para la RÚBRICA 5 del marco financiero plurianual

Al margen de la RÚBRICA 5 39 del marco financiero plurianual
Recursos humanos
Otros gastos de carácter administrativo
Subtotal al margen de la RÚBRICA 5 del marco financiero plurianual

TOTAL

Los créditos necesarios para recursos humanos y otros gastos de carácter administrativo se cubrirán mediante créditos de la DG ya asignados a la gestión de la acción y/o reasignados dentro de la DG, que se complementarán, en caso necesario, con cualquier dotación adicional que pudiera asignarse a la DG gestora en el marco del procedimiento de asignación anual y a la luz de los imperativos presupuestarios existentes.

3.2.3.2.Necesidades estimadas de recursos humanos

La propuesta/iniciativa no exige la utilización de recursos humanos.

◻ La propuesta/iniciativa exige la utilización de recursos humanos, tal como se explica a continuación:

Estimación que debe expresarse en unidades de equivalente a jornada completa

		Año N	Año N+1	Año N+2	Año N+3	Insértense tantos años como sea necesario para reflejar la duración de la incidencia (véase el punto 1.6)
• Empleos de plantilla (funcionarios y personal temporal)
XX 01 01 01 (Sede y Oficinas de Representación de la Comisión)
XX 01 01 02 (Delegaciones)
XX 01 05 01 (Investigación indirecta)
10 01 05 01 (Investigación directa)
• Personal externo (en equivalentes de jornada completa: EJC) 40
XX 01 02 01 (AC, ENCS, INT de la dotación global)
XX 01 02 02 (AC, LA, ENCS, INT y JED en las Delegaciones)
XX 01 04 yy 41	- en la sede
	- en las Delegaciones
XX 01 05 02 (AC, END, INT; investigación indirecta)
10 01 05 02 (AC, INT, ENCS; investigación directa)
Otras líneas presupuestarias (especifíquense)
TOTAL

XX es el ámbito político o rúbrica presupuestaria en cuestión.

Las necesidades en materia de recursos humanos las cubrirá el personal de la DG ya destinado a la gestión de la acción y/o reasignado dentro de la DG, que se complementará, en caso necesario, con cualquier dotación adicional que pudiera asignarse a la DG gestora en el marco del procedimiento de asignación anual y a la luz de los imperativos presupuestarios existentes.

Descripción de las tareas que deben llevarse a cabo:

Funcionarios y agentes temporales
Personal externo

3.2.4.Compatibilidad con el marco financiero plurianual vigente

La propuesta/iniciativa es compatible con el marco financiero plurianual vigente.

◻ La propuesta/iniciativa implicará la reprogramación de la rúbrica correspondiente del marco financiero plurianual.

Explíquese la reprogramación requerida, precisando las líneas presupuestarias afectadas y los importes correspondientes.

◻ La propuesta/iniciativa requiere la aplicación del Instrumento de Flexibilidad o la revisión del marco financiero plurianual.

Explíquese qué es lo que se requiere, precisando las rúbricas y líneas presupuestarias afectadas y los importes correspondientes.

3.2.5.Contribución de terceros

La propuesta/iniciativa no prevé la cofinanciación por terceros.

La propuesta/iniciativa prevé la cofinanciación que se estima a continuación:

Créditos en millones EUR (al tercer decimal)

	Año N	Año N+1	Año N+2	Año N+3	Insértense tantos años como sea necesario para reflejar la duración de la incidencia (véase el punto 1.6)	Total
Especifíquese el organismo de cofinanciación
TOTAL de los créditos cofinanciados

3.3.Incidencia estimada en los ingresos

La propuesta/iniciativa no tiene incidencia financiera en los ingresos.

◻ La propuesta/iniciativa tiene la incidencia financiera que se indica a continuación:

–◻ en los recursos propios

–◻ en ingresos diversos

En millones EUR (al tercer decimal)

Línea presupuestaria de ingresos:	Créditos disponibles para el ejercicio presupuestario en curso	Incidencia de la propuesta/iniciativa 42
		Año N	Año N+1	Año N+2	Año N+3	Insértense tantos años como sea necesario para reflejar la duración de la incidencia (véase el punto 1.6)
Artículo…

En el caso de los ingresos diversos «asignados», especifíquese la línea o líneas presupuestarias de gasto en la(s) que repercutan.

Especifíquese el método de cálculo de la incidencia en los ingresos.

(1) Reglamento (CE) n.º 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001).

(2) Decisión n.º 1247/2002/CE, de 1 de julio de 2002, relativa al estatuto y a las condiciones generales de ejercicio de las funciones de Supervisor Europeo de Protección de Datos, DO L 183 de 12.7.2002, p. 1.

(3) Véase el Reglamento (UE) 2016/679, artículo 98 y considerando 17.

(4) Véase el asunto C-518/07 del TJUE, Comisión/Alemania, de 9 de marzo de 2010, ECLI:EU:C:2010:125, apartados 26 y 28.

(5) Véase en http://ec.europa.eu/justice/data-protection/reform/index_en.htm

(6) Véase el informe general del Supervisor Europeo de Protección de Datos relativo a la «Medición del cumplimiento del Reglamento (CE) n.º 45/2001 en las instituciones de la UE (“Encuesta 2013”)» y el «Dictamen 3/2015 “La gran oportunidad de Europa: Recomendaciones del SEPD sobre las opciones de la UE relativas a la reforma de la protección de datos”».

(7) JUST/2013/FRAC/FW/0157/A4 en el contexto del contrato marco múltiple JUST/2011/EVAL/01 (RS 2013/05) - Estudio de evaluación sobre el Reglamento (CE) n.º 45/2001, por Ernst and Young, disponible en http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=51087

(8) Véanse los asuntos acumulados C-92/09 y C-93/09 del TJUE, Volker und Markus Schecke y Eifert, de 9 de noviembre de 2010, ECLI:EU:C:2009:284, apartado 48.

(9) En consonancia con el artículo 52, apartado 1, de la Carta, pueden introducirse limitaciones al ejercicio del derecho a la protección de datos, siempre que tales limitaciones estén establecidas por ley, respeten el contenido esencial de dichos derechos y libertades y, respetando el principio de proporcionalidad, sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás.

(10) DO C , p.

(11) Reglamento (CE) n.º 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1).

(12) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, pp. 1–88).

(13) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión 2008/977/JAI (DO L 119 de 4.5.2016, pp. 89–131).

(14) Directiva 93/13/CEE del Consejo, de 5 de abril de 1993, sobre las cláusulas abusivas en los contratos celebrados con consumidores (DO J 95 de 21.4.1993, p. 29).

(15) Reglamento (CE) n.º 1338/2008 del Parlamento Europeo y del Consejo, de 16 de diciembre de 2008, sobre estadísticas comunitarias de salud pública y de salud y seguridad en el trabajo ( DO L 354 de 31.12.2008, p. 70 ).

(16) Reglamento (UE) n.º 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).

(17) Reglamento (CE) n.º 223/2009 del Parlamento Europeo y del Consejo, de 11 de marzo de 2009, relativo a la estadística europea y por el que se deroga el Reglamento (CE, Euratom) n.º 1101/2008 relativo a la transmisión a la Oficina Estadística de las Comunidades Europeas de las informaciones amparadas por el secreto estadístico, el Reglamento (CE) n.º 322/97 del Consejo sobre la estadística comunitaria y la Decisión 89/382/CEE, Euratom del Consejo por la que se crea un Comité del programa estadístico de las Comunidades Europeas ( DO L 87 de 31.3.2009, p. 164 ).

(18) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, pp. 1–88).

(19) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión 2008/977/JAI (DO L 119 de 4.5.2016, pp. 89–131).

(20) Directiva 2008/63/CE de la Comisión, de 20 de junio de 2008, relativa a la competencia en los mercados de equipos terminales de telecomunicaciones (DO L 162 de 21.06.2008, p. 20).

(21) Decisión 2009/917/JAI del Consejo, de 30 de noviembre de 2009, sobre la utilización de la tecnología de la información a efectos aduaneros (DO L 323 de 10.12.2009, pp. 20–30).

(22) Reglamento (CE) n.º 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001).

(23) Decisión n.º 1247/2002/CE del Parlamento Europeo, del Consejo y de la Comisión, de 1 de julio de 2002, relativa al estatuto y a las condiciones generales de ejercicio de las funciones de Supervisor Europeo de Protección de Datos (DO L 183, de 12.7.2002, p. 1).

(24) Decisión 2014/886/UE del Parlamento Europeo y del Consejo, de 4 de diciembre de 2014, por la que se nombra al Supervisor Europeo de Protección de Datos y al Supervisor Adjunto, DO L 351 de 9.12.2014, p. 9.

(25) GPA: Gestión por actividades. PPA: Presupuestación por actividades.

(26) Tal como se contempla en el artículo 54, apartado 2, letras a) o b), del Reglamento Financiero.

(27) JUST/2013/FRAC/FW/0157/A4 en el contexto del contrato marco múltiple JUST/2011/EVAL/01 (RS 2013/05) - Estudio de evaluación sobre el Reglamento (CE) n.º 45/2001, por Ernst and Young.

(28) Las explicaciones sobre los modos de gestión y las referencias al Reglamento Financiero pueden consultarse en el sitio BudgWeb: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html

(29) CD = créditos disociados CND = créditos no disociados.

(30) AELC: Asociación Europea de Libre Comercio.

(31) Países candidatos y, en su caso, países candidatos potenciales de los Balcanes Occidentales.

(32) Documento de trabajo de los servicios de la Comisión, Evaluación de impacto, SEC(2012) 72 final, página 110.

(33) El año N es el año de comienzo de la ejecución de la propuesta/iniciativa.

(34) Asistencia técnica y/o administrativa y gastos de apoyo a la ejecución de programas o acciones de la UE (antiguas líneas «BA»), investigación indirecta, investigación directa.

(35) El año N es el año de comienzo de la ejecución de la propuesta/iniciativa.

(36) Los resultados son los productos y servicios que se proporcionarán (por ejemplo, el número de intercambios de estudiantes financiados, el número de kilómetros de carreteras construidos, etc.).

(37) Tal como se describe en el punto 1.4.2. «Objetivo(s) específico(s)».

(38) El año N es el año de comienzo de la ejecución de la propuesta/iniciativa.

(39) Asistencia técnica y/o administrativa y gastos de apoyo a la ejecución de programas y/o acciones de la UE (antiguas líneas «BA»), investigación indirecta, investigación directa.

(40) AC = agente contractual; AL = agente local; ENCS = experto nacional en comisión de servicios; INT = personal de empresas de trabajo temporal («intérimaires»); JED = joven experto en delegación.

(41) Por debajo del límite de personal externo con cargo a créditos de operaciones (antiguas líneas «BA»).

(42) Por lo que se refiere a los recursos propios tradicionales (derechos de aduana, cotizaciones sobre el azúcar), los importes indicados deben ser importes netos, es decir, importes brutos tras la deducción del 25 % de los gastos de recaudación.