02016R0794 — ES — 28.06.2022 — 001.001
Este texto es exclusivamente un instrumento de documentación y no surte efecto jurídico. Las instituciones de la UE no asumen responsabilidad alguna por su contenido. Las versiones auténticas de los actos pertinentes, incluidos sus preámbulos, son las publicadas en el Diario Oficial de la Unión Europea, que pueden consultarse a través de EUR-Lex. Los textos oficiales son accesibles directamente mediante los enlaces integrados en este documento
|
REGLAMENTO (UE) 2016/794 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 11 de mayo de 2016 (DO L 135 de 24.5.2016, p. 53) |
Modificado por:
|
|
|
Diario Oficial |
||
|
n° |
página |
fecha |
||
|
REGLAMENTO (UE) 2022/991 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 8 de junio de 2022 |
L 169 |
1 |
27.6.2022 |
|
REGLAMENTO (UE) 2016/794 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 11 de mayo de 2016
relativo a la Agencia de la Unión Europea para la Cooperación Policial (Europol) y por el que se sustituyen y derogan las Decisiones 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI y 2009/968/JAI del Consejo
CAPÍTULO I
DISPOSICIONES GENERALES, OBJETIVOS Y FUNCIONES DE EUROPOL
Artículo 1
Creación de la Agencia de la Unión Europea para la Cooperación Policial
Artículo 2
Definiciones
A efectos del presente Reglamento, se entenderá por:
|
a) |
«autoridades competentes de los Estados miembros» : todas las fuerzas de policía y demás servicios con funciones de policía existentes en los Estados miembros que sean responsables, en virtud del Derecho nacional, de la prevención y la lucha contra la delincuencia. Las autoridades competentes de los Estados miembros comprenden asimismo otras autoridades públicas existentes en los Estados miembros que sean responsables, de conformidad con el Derecho nacional, de la prevención y la lucha contra los actos delictivos que sean competencia de Europol; |
|
b) |
«análisis estratégico» : todos los métodos y técnicas mediante los cuales la información se recopila, almacena, trata y evalúa con la finalidad de apoyar y desarrollar una política frente a la delincuencia que contribuya a prevenir y combatir la delincuencia de manera eficiente y efectiva; |
|
c) |
«análisis operativo» : todos los métodos y técnicas mediante los cuales la información se recopila, almacena, trata y evalúa con la finalidad de apoyar investigaciones penales; |
|
d) |
«organismos de la Unión» : las instituciones, organismos, misiones, oficinas y agencias creadas por o sobre la base del TUE y del TFUE; |
|
e) |
«organización internacional» : una organización y sus entes subordinados de Derecho internacional público, o cualquier otro organismo creado por, o basado en, un acuerdo entre dos o más países; |
|
f) |
«entidades privadas» : las entidades y organismos establecidos en virtud del Derecho de un Estado miembro o de un país tercero, en particular empresas, asociaciones empresariales, organizaciones sin ánimo de lucro y otras personas jurídicas que no estén incluidas en la letra e); |
|
g) |
«particulares» : todas las personas físicas; |
▼M1 —————
|
l) |
«destinatario» : la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que reciba comunicación de datos, se trate o no de un tercero; |
▼M1 —————
|
p) |
«datos personales administrativos» : los datos personales tratados por Europol que no sean datos personales operativos; |
|
q) |
«datos de investigación» : los datos que un Estado miembro, la Fiscalía Europea creada por el Reglamento (UE) 2017/1939 del Consejo ( 1 ), Eurojust o un tercer país esté autorizado a tratar en una investigación penal en curso relacionada con uno o varios Estados miembros, de conformidad con los requisitos y garantías procesales aplicables en virtud del Derecho de la Unión o nacional, que un Estado miembro, la Fiscalía Europea, Eurojust o un tercer país haya facilitado a Europol en apoyo de dicha investigación penal en curso y que contengan datos personales que no atañan a las categorías de interesados enumeradas en el anexo II; |
|
r) |
«contenidos terroristas» : los contenidos terroristas tal como se definen en el artículo 2, punto 7, del Reglamento (UE) 2021/784 del Parlamento Europeo y del Consejo ( 2 ); |
|
s) |
«material en línea de abusos sexuales a menores» : el material en línea que constituya pornografía infantil tal como se define esta en el artículo 2, letra c), de la Directiva 2011/93/UE del Parlamento Europeo y del Consejo ( 3 ) o espectáculo pornográfico tal como se define este en el artículo 2, letra e), de dicha Directiva; |
|
t) |
«situación de crisis en línea» : la difusión de contenido en línea derivado de un acontecimiento real actual o reciente, que muestre imágenes de agresiones contra la vida o la integridad física o que incite a agresiones inminentes contra la vida o la integridad física y que tenga por objeto o por efecto intimidar gravemente a una población, siempre que exista un vínculo, o una sospecha razonable de un vínculo, con el terrorismo o el extremismo violento y que se prevean una potencial multiplicación exponencial y una difusión viral de ese contenido a través de múltiples servicios en línea; |
|
u) |
«categoría de transferencias de datos personales» : un conjunto de transferencias de datos personales cuando los datos se refieran a la misma situación específica y cuando las transferencias consistan en las mismas categorías de datos personales y las mismas categorías de interesados; |
|
v) |
«proyectos de investigación e innovación» : los proyectos relativos a las materias reguladas por el presente Reglamento, que tengan por objeto el desarrollo, el entrenamiento, la prueba y la validación de algoritmos para el desarrollo de herramientas específicas, y otros proyectos específicos de investigación e innovación que resulten pertinentes para lograr los objetivos de Europol. |
Artículo 3
Objetivos
Además de lo indicado en el apartado 1, los objetivos de Europol abarcarán también los delitos conexos. Se considerarán delitos conexos:
los delitos cometidos con objeto de procurarse los medios para perpetrar actos en los que Europol sea competente;
los delitos cometidos para facilitar o perpetrar actos en los que Europol sea competente;
los delitos cometidos para asegurar la impunidad de quienes cometen estos actos en los que Europol sea competente.
Artículo 4
Funciones
Para alcanzar los objetivos establecidos en el artículo 3, Europol desempeñará las siguientes funciones:
recoger, conservar, tratar, analizar e intercambiar información, incluida inteligencia criminal;
notificar a los Estados miembros a través de las unidades nacionales designadas al amparo del artículo 7, apartado 2, sin demora, cualquier información y las conexiones entre actos delictivos que les afecten;
coordinar, organizar y ejecutar cualesquiera actuaciones de investigación y operativas para respaldar y reforzar las actuaciones que lleven a cabo las autoridades competentes de los Estados miembros:
conjuntamente con las autoridades competentes de los Estados miembros, o
en el contexto de equipos conjuntos de investigación, de conformidad con el artículo 5 y, en su caso, en conexión con Eurojust;
participar en equipos conjuntos de investigación, así como proponer su creación de conformidad con el artículo 5;
facilitar información y apoyo analítico a los Estados miembros en relación con los grandes acontecimientos internacionales;
elaborar evaluaciones de las amenazas, análisis estratégicos y operativos e informes generales de situación;
desarrollar, compartir y promover conocimientos especializados sobre métodos de prevención de la delincuencia, procedimientos de investigación y métodos técnicos y criminalísticos, y prestar asesoramiento a los Estados miembros;
respaldar las actividades de intercambio de información, las operaciones y las investigaciones así como a los equipos conjuntos de investigación, inclusive mediante un apoyo operativo, técnico y financiero;
prestar apoyo administrativo y financiero a las unidades especiales de intervención de los Estados miembros a que se refiere la Decisión 2008/617/JAI del Consejo ( 4 );
facilitar formación especializada y ayudar a los Estados miembros a organizar la formación, incluso mediante el suministro de apoyo financiero, dentro del ámbito de sus objetivos y con arreglo a los recursos presupuestarios y de personal a su disposición, en coordinación con la Agencia de la Unión Europea para la Formación Policial (CEPOL);
cooperar con los organismos de la Unión establecidos sobre la base del título V del TFUE, con la OLAF y la Agencia de la Unión Europea para la Ciberseguridad (ENISA) creada por el Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo ( 5 ), en particular, mediante el intercambio de información y la prestación de apoyo analítico en ámbitos incluidos dentro de sus respectivas competencias;
facilitar información y ayuda a las estructuras de gestión de crisis de la UE y a las misiones establecidas en virtud del TUE en el ámbito de los objetivos de Europol enunciados en el artículo 3;
crear centros de asesoramiento especializados de la Unión para combatir determinados tipos de delitos enunciados en el ámbito de aplicación de los objetivos de Europol, en particular, el Centro Europeo de Lucha contra la Ciberdelincuencia;
respaldar las acciones de los Estados miembros para prevenir y combatir las formas de delincuencia enumeradas en el anexo I que hayan sido facilitadas, fomentadas o cometidas a través de internet, incluyendo las siguientes actuaciones:
ayudar a las autoridades competentes de los Estados miembros, a petición de estas, a responder a ciberataques de presunto origen delictivo,
cooperar con las autoridades competentes de los Estados miembros en relación con las órdenes de retirada, de conformidad con el artículo 14 del Reglamento (UE) 2021/784, y
notificar contenidos en línea a los proveedores de servicios en línea de que se trate para que examinen de manera voluntaria la compatibilidad de esos contenidos con sus propias condiciones contractuales;
apoyar a los Estados miembros en la identificación de las personas cuyas actividades delictivas se incluyen en las formas de delincuencia enumeradas en el anexo I y que constituyen un alto riesgo para la seguridad;
facilitar investigaciones conjuntas, coordinadas y prioritarias en relación con las personas a que se refiere la letra r);
apoyar a los Estados miembros en el tratamiento de los datos sobre personas implicadas en terrorismo o en formas de delincuencia grave facilitados a Europol por terceros países u organizaciones internacionales y proponer la posible introducción por parte de los Estados miembros, a su discreción y a reserva de su propia comprobación y análisis de dichos datos, de las descripciones de información en interés de la Unión relativas a nacionales de terceros países (en lo sucesivo, «descripciones de información») en el Sistema de Información de Schengen (SIS), de conformidad con el Reglamento (UE) 2018/1862 del Parlamento Europeo y del Consejo ( 6 );
apoyar la aplicación del mecanismo de evaluación y seguimiento para verificar la aplicación del acervo de Schengen que establece el Reglamento (UE) n.o 1053/2013, dentro del ámbito de los objetivos de Europol, proporcionando conocimientos especializados y análisis, cuando sea pertinente;
hacer un seguimiento proactivo de las actividades de investigación e innovación que sean pertinentes para el logro de los objetivos de Europol y contribuir a tales actividades mediante un apoyo a las actividades conexas de los Estados miembros y mediante la ejecución de sus propias actividades de investigación e innovación, incluidos los proyectos de desarrollo, entrenamiento, prueba y validación de algoritmos para el desarrollo de herramientas específicas para su uso por las autoridades policiales, y difundir los resultados de dichas actividades entre los Estados miembros de conformidad con el artículo 67;
contribuir a crear sinergias entre las actividades de investigación e innovación de los organismos de la Unión, que sean pertinentes para el logro de los objetivos de Europol, también por medio del Centro de Innovación de la UE para la Seguridad Interior, y en estrecha colaboración con los Estados miembros;
apoyar, previa solicitud de los Estados miembros, las acciones de estos para hacer frente a situaciones de crisis en línea, en particular, proporcionando a las entidades privadas la información necesaria para identificar los contenidos en línea pertinentes;
respaldar las acciones de los Estados miembros para hacer frente a la difusión en línea de material en línea de abusos sexuales a menores;
cooperar, de conformidad con el artículo 12 de la Directiva (UE) 2019/1153 del Parlamento Europeo y del Consejo ( 7 ), con las unidades de inteligencia financiera (UIF) establecidas con arreglo a la Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo ( 8 ), por medio de la correspondiente unidad nacional de Europol o, si así lo permite el Estado miembro de que se trate, mediante un contacto directo con las UIF, en particular, intercambiando información y proporcionando análisis a los Estados miembros para apoyar las investigaciones transfronterizas de las actividades de blanqueo de capitales de organizaciones delictivas transnacionales y las de financiación del terrorismo.
Se establecerá un mecanismo de información periódica para que los Estados miembros informen a los demás Estados miembros y a Europol, en un plazo de doce meses desde que Europol haya propuesto la posible introducción de una descripción de información a que se refiere la letra t) del párrafo primero, sobre el resultado de la comprobación y análisis de los datos y sobre si se ha introducido en el SIS alguna descripción.
Los Estados miembros informarán a Europol de cualquier descripción de información introducida en el SIS y de cualquier respuesta positiva en relación con dicha descripción de información, y podrán informar, por medio de Europol, sobre las respuestas positivas relacionadas con dicha descripción de información al tercer país u organización internacional que haya facilitado los datos que hayan dado lugar a la introducción de la descripción de información, de conformidad con el procedimiento establecido en el Reglamento (UE) 2018/1862.
Europol asistirá a la Comisión en la elaboración y ejecución de los programas marco de la Unión para las actividades de investigación e innovación que sean pertinentes para lograr los objetivos de Europol.
Cuando sea conveniente, Europol podrá difundir los resultados de sus actividades de investigación e innovación como parte de su contribución a la creación de sinergias entre las actividades de investigación e innovación de los correspondientes organismos de la Unión, de conformidad con el apartado 1, párrafo primero, letra w).
Europol adoptará todas las medidas necesarias para evitar conflictos de intereses. Europol no podrá recibir financiación de un determinado programa marco de la Unión cuando asista a la Comisión en la identificación de los temas clave de investigación y en la elaboración y ejecución de dicho programa.
A la hora de diseñar y conceptualizar las actividades de investigación e innovación relativas a las materias objeto del presente Reglamento, Europol podrá, en su caso, consultar al Centro Común de Investigación de la Comisión.
El personal de Europol podrá prestar apoyo operativo a las autoridades competentes de los Estados miembros durante la ejecución de las medidas de investigación, a petición de estas y de conformidad con su Derecho nacional, en particular, facilitando el intercambio transfronterizo de información, proporcionando apoyo criminalístico y técnico, y estando presente durante la ejecución de dichas medidas. El personal de Europol no estará facultado por sí mismo para ejecutar medidas de investigación.
CAPÍTULO II
COOPERACIÓN ENTRE LOS ESTADOS MIEMBROS Y EUROPOL
Artículo 5
Participación en equipos conjuntos de investigación
Artículo 6
Solicitudes cursadas por Europol para la apertura de una investigación penal
Si las autoridades competentes de un Estado miembro decidieran no acceder a una solicitud cursada por Europol con arreglo al apartado 1, informarán a Europol de los motivos de su decisión sin demoras indebidas, preferiblemente en el plazo de un mes a partir de la recepción de la solicitud. No obstante, no será necesario motivar la decisión si ello:
es contrario a los intereses fundamentales de seguridad del Estado miembro de que se trate, o
pone en peligro el desarrollo de las investigaciones en curso o la seguridad de las personas.
Artículo 7
Unidades nacionales de Europol
Los Estados miembros, a través de su unidad nacional o, a tenor de lo dispuesto en el apartado 5, una autoridad competente:
suministrarán a Europol la información necesaria para que pueda cumplir sus objetivos, incluida información relativa a formas de delincuencia cuya prevención o combate considere prioritario la Unión;
garantizarán una comunicación y cooperación eficaces con Europol de todas las autoridades competentes pertinentes;
propiciarán el conocimiento de las actividades de Europol;
de conformidad con el artículo 38, apartado 5, letra a), garantizarán el cumplimiento del Derecho nacional al proporcionar información a Europol.
Sin perjuicio del ejercicio por parte de los Estados miembros de sus responsabilidades con respecto al mantenimiento del orden público y la salvaguardia de la seguridad interior, los Estados miembros no tendrán la obligación de transmitir, en un caso concreto, información con arreglo al apartado 6, letra a), si:
fuese contrario a los intereses fundamentales de seguridad del Estado miembro de que se trate;
comprometiese el resultado de una investigación en curso o la seguridad de una persona, o
revelase información referida a organizaciones o actividades específicas de inteligencia en materia de seguridad nacional.
No obstante, los Estados miembros transmitirán la información tan pronto como deje de estar incluida en el ámbito de aplicación de las letras a), b) o c) del primer párrafo.
Artículo 8
Funcionarios de enlace
CAPÍTULO III
ORGANIZACIÓN DE EUROPOL
Artículo 9
Estructura administrativa y de gestión de Europol
La estructura administrativa y de gestión de Europol estará compuesta por:
un Consejo de Administración;
un director ejecutivo;
en su caso, otro órgano consultivo establecido por el Consejo de Administración de conformidad con el artículo 11, apartado 1, letra s).
SECCIÓN 1
Consejo de Administración
Artículo 10
Composición del Consejo de Administración
Se tendrá también en cuenta el principio de una representación por sexos equilibrada en el Consejo de Administración.
Artículo 11
Funciones del Consejo de Administración
El Consejo de Administración:
adoptará cada año el documento único de programación a que se refiere el artículo 32 del Reglamento Delegado (UE) 2019/715 de la Comisión ( 11 ), por mayoría de dos tercios de sus miembros y de conformidad con el artículo 12 del presente Reglamento;
adoptará, por mayoría de dos tercios de sus miembros, el presupuesto anual de Europol y ejercerá otras funciones relacionadas con el presupuesto de Europol con arreglo al capítulo X;
adoptará un informe anual de actividades consolidado sobre las actividades de Europol y lo remitirá, a más tardar el 1 de julio del año siguiente, al Parlamento Europeo, al Consejo, a la Comisión, al Tribunal de Cuentas y a los parlamentos nacionales. El informe anual de actividades consolidado se hará público;
adoptará las normas financieras aplicables a Europol, de conformidad con el artículo 61;
adoptará una estrategia interna de lucha contra el fraude proporcional a los riesgos de fraude, teniendo en cuenta los costes y beneficios de las medidas que vayan a aplicarse;
adoptará normas sobre la prevención y la gestión de los conflictos de intereses de sus miembros, incluso en relación con su declaración de intereses;
de conformidad con el apartado 2, ejercerá, con respecto al personal de Europol, las competencias atribuidas por el Estatuto a la autoridad facultada para proceder a los nombramientos y por el régimen aplicable a los otros agentes a la autoridad facultada para celebrar contratos de empleo («competencias de la autoridad facultada para proceder a los nombramientos»);
adoptará normas de desarrollo adecuadas para dar efecto al Estatuto de los funcionarios y al régimen aplicable a los otros agentes de conformidad con el artículo 110 del Estatuto de los funcionarios;
adoptará normas internas relativas al procedimiento de selección del director ejecutivo, incluidas las normas sobre la composición del comité de selección que garanticen su independencia e imparcialidad;
propondrá al Consejo una lista de candidatos preseleccionados para el puesto de director ejecutivo y directores ejecutivos adjuntos y, cuando proceda, propondrá al Consejo la prórroga de su mandato o la destitución de sus cargos de conformidad con los artículos 54 y 55;
establecerá indicadores de rendimiento y supervisará la actuación del director ejecutivo, incluida la aplicación de las decisiones del Consejo de Administración;
nombrará un responsable de protección de datos que actuará con independencia funcional en el ejercicio de sus funciones;
nombrará a un contable, sujeto al Estatuto de los funcionarios y al régimen aplicable a los otros agentes, que será funcionalmente independiente en el ejercicio de sus funciones;
establecerá en su caso una estructura de auditoría interna;
asegurará un seguimiento adecuado de las conclusiones y recomendaciones resultantes de los informes de auditoría y evaluaciones internas o externas, así como de las investigaciones de la OLAF y el SEPD;
establecerá los criterios de evaluación para el informe anual con arreglo al artículo 7, apartado 11;
adoptará unas directrices que especifiquen más detalladamente los procedimientos para el tratamiento de la información por parte de Europol, de conformidad con el artículo 18 y tras haber consultado al SEPD;
decidirá sobre la celebración de acuerdos de trabajo y administrativos con arreglo al artículo 23, apartado 4, y al artículo 25, apartado 1, respectivamente;
decidirá, teniendo en cuenta tanto los requisitos operativos como los financieros, en relación con la creación de las estructuras internas de Europol, incluidos los centros de la Unión de asesoramiento especializado a que hace referencia el artículo 4, apartado 1, letra l), a propuesta del director ejecutivo;
adoptará su reglamento interno, incluidas las disposiciones relativas a las tareas y al funcionamiento de su secretaría;
adoptará otras normas internas cuando convenga;
designará al agente de derechos fundamentales a que se refiere el artículo 41 quater;
especificará los criterios sobre cuya base Europol podrá formular propuestas para la posible introducción de descripciones de información en el SIS.
Cuando circunstancias excepcionales así lo requieran, el Consejo de Administración podrá, mediante decisión, suspender temporalmente la delegación de las competencias, y cualquier subdelegación de las mismas, de la autoridad facultada para proceder a los nombramientos en el director ejecutivo y ejercerlas él mismo o delegarlas en uno de sus miembros o en un miembro del personal que no sea el director ejecutivo.
Artículo 12
Programación plurianual y programa de trabajo anual
Cuando el Consejo de Administración decida no tener en cuenta el dictamen de la Comisión mencionado en el párrafo primero, en su totalidad o en parte, Europol proporcionará una justificación exhaustiva.
Cuando el Consejo de Administración decida no tener en cuenta ninguna de las cuestiones planteadas por el GCPC de conformidad con el artículo 51, apartado 2, letra c), Europol proporcionará una justificación exhaustiva.
Una vez se haya adoptado el documento único de programación, el Consejo de Administración lo remitirá al Consejo, a la Comisión y al GCPC.
La programación plurianual se ejecutará a través de programas de trabajo anuales y se actualizará, en su caso, en función de los resultados de evaluaciones internas y externas. Las conclusiones de estas evaluaciones se reflejarán también, en su caso, en el programa de trabajo anual para el año siguiente.
Artículo 13
Presidente y vicepresidente del Consejo de Administración
Artículo 14
Reuniones del Consejo de Administración
Se invitará a dos representantes del GCPC a asistir a dos reuniones ordinarias del Consejo de Administración al año, en calidad de observadores sin derecho a voto para discutir las siguientes cuestiones de interés político:
el informe anual de actividad consolidado mencionado en el artículo 11, apartado 1, letra c), correspondiente al año anterior;
el documento único de programación mencionado en el artículo 12 y correspondiente al año siguiente, así como el presupuesto anual;
las preguntas y respuestas por escrito del GCPC;
las cuestiones relativas a las relaciones exteriores y las asociaciones.
El Consejo de Administración, junto con los representantes del GCPC, podrá determinar otras cuestiones de interés político que deban discutirse en las reuniones mencionadas en el párrafo primero.
Artículo 15
Votaciones del Consejo de Administración
SECCIÓN 2
Director ejecutivo
Artículo 16
Cometidos del director ejecutivo
El director ejecutivo será responsable de la ejecución de las tareas que competen a Europol en virtud del presente Reglamento, en particular, de lo siguiente:
la administración cotidiana de Europol;
presentar al Consejo de Administración propuestas en relación con el establecimiento de las estructuras internas de Europol;
la aplicación de las decisiones adoptadas por el Consejo de Administración;
la preparación del proyecto de documento único de programación a que se refiere el artículo 12 y su presentación al Consejo de Administración, previa consulta a la Comisión y al GCPC;
la ejecución de la programación plurianual y de los programas de trabajo anual y la presentación de informes al Consejo de Administración sobre su ejecución;
la elaboración de proyectos de normas de desarrollo adecuadas para aplicar al Estatuto de los funcionarios y al régimen aplicable a los otros agentes de conformidad con el artículo 110 del Estatuto de los funcionarios;
la preparación del proyecto de informe anual consolidado sobre las actividades de Europol y su presentación al Consejo de Administración para su adopción;
la preparación de un plan de acción sobre la base de las conclusiones de los informes de auditoría y evaluaciones internas o externas, así como informes de investigación y recomendaciones a raíz de las investigaciones llevadas a cabo por la OLAF y el SEPD, y la presentación de informes de evolución dos veces al año a la Comisión y regularmente al Consejo de Administración;
la protección de los intereses financieros de la Unión mediante la aplicación de medidas preventivas contra el fraude, la corrupción y cualesquiera otra actividad ilegales y, sin perjuicio de las competencias de investigación de la OLAF, mediante la realización de controles efectivos y, si se detectan irregularidades, mediante la recuperación de los importes indebidamente abonados, y, en su caso, mediante sanciones administrativas y financieras efectivas, proporcionales y disuasorias;
la preparación de un proyecto de estrategia interna de lucha contra el fraude de Europol y su presentación al Consejo de Administración para su adopción;
la preparación de un proyecto de normas internas para la prevención y gestión de los conflictos de intereses en lo que respecta al Consejo de Administración y la presentación de esas propuestas de normas al Consejo de Administración para su adopción;
la preparación del proyecto de normas financieras aplicables a Europol;
la preparación del proyecto de estado de previsiones de ingresos y gastos de Europol y la ejecución de su presupuesto;
el apoyo al presidente del Consejo de Administración en la preparación de las reuniones del Consejo de Administración;
la información periódica al Consejo de Administración sobre la aplicación de las prioridades estratégicas y operativas de la Unión en la lucha contra la delincuencia;
la información al Consejo de Administración sobre los memorandos de entendimiento firmados con entidades privadas;
el desempeño de otras tareas con arreglo al presente Reglamento.
CAPÍTULO IV
TRATAMIENTO DE LA INFORMACIÓN
Artículo 17
Fuentes de información
Europol solamente podrá tratar la información que le haya sido facilitada por:
los Estados miembros, de conformidad con su Derecho nacional y con el artículo 7;
organismos de la Unión, países terceros y organizaciones internacionales, de conformidad con el capítulo V;
por entidades privadas y particulares de conformidad con el capítulo V.
Artículo 18
Fines de las actividades de tratamiento de la información
Los datos personales podrán tratarse únicamente a fin de efectuar:
controles cruzados destinados a identificar conexiones u otras relaciones pertinentes entre datos relacionados con:
las personas que sean sospechosas de haber cometido o de haber participado en un delito penal que sea competencia de Europol o que hayan sido condenadas por tal delito,
personas respecto de las cuales existan indicios concretos o motivos razonables para pensar que cometerán delitos penales que son competencia de Europol;
análisis estratégicos o temáticos;
análisis operativos;
intercambios más ágiles de información entre los Estados miembros, Europol, otros organismos de la Unión, terceros países, organizaciones internacionales y entidades privadas;
proyectos de investigación e innovación;
actividades destinadas a apoyar a los Estados miembros, previa solicitud de estos, a la hora de informar al público sobre los sospechosos o las personas condenadas en búsqueda sobre la base de una resolución judicial nacional relativa a un delito que se incluya en los objetivos de Europol, y a facilitar que el público proporcione información sobre dichas personas a los Estados miembros y a Europol.
El tratamiento, a efectos de análisis operativos como los mencionados en el apartado 2, letra c), se realizará mediante proyectos de análisis operativos a los que se aplicarán las siguientes garantías específicas:
para cada proyecto de análisis operativo, el director ejecutivo definirá el objetivo específico, las categorías de datos personales y las categorías de interesados, los participantes, la duración de la conservación y condiciones de acceso, transferencia y uso de los datos en cuestión, e informará de ello al Consejo de Administración y al SEPD;
los datos personales podrán recopilarse y tratarse solo a efectos del proyecto específico de análisis operativo. Cuando resulte evidente que los datos personales puedan ser pertinentes para otro proyecto de análisis operativo, solo se permitirá el tratamiento ulterior de dichos datos personales en la medida en que dicho tratamiento ulterior resulte necesario y proporcionado y los datos personales sean compatibles con las disposiciones establecidas en la letra a) que se apliquen al otro proyecto de análisis;
solo el personal autorizado podrá acceder a los datos del proyecto correspondiente y tratarlos.
Europol tratará datos personales en virtud del párrafo primero durante un período máximo de dieciocho meses a partir del momento en que Europol determine que esos datos se incluyen en sus objetivos o, en casos justificados, durante un período más largo, cuando sea necesario a efectos del presente artículo. Europol informará al SEPD de toda ampliación del período de tratamiento. El período máximo de tratamiento de datos en virtud del párrafo primero será de tres años. Dichos datos personales se conservarán de tal modo que exista una separación funcional de otros datos.
Cuando Europol llegue a la conclusión de que los datos personales a los que se refiere el párrafo primero del presente apartado no se ajustan a lo dispuesto en el apartado 5, los suprimirá e informará de ello, en su caso, al proveedor de los datos suprimidos.
Artículo 18 bis
Tratamiento de datos personales en apoyo de una investigación penal
Cuando sea necesario para apoyar una investigación penal específica en curso que entre en el ámbito de los objetivos de Europol, Europol podrá tratar los datos personales que no atañan a las categorías de interesados enumeradas en el anexo II en el caso de que:
un Estado miembro, la Fiscalía Europea o Eurojust facilite datos de investigación a Europol en aplicación del artículo 17, apartado 1, letras a) o b), y solicite a Europol apoyo en esa investigación:
mediante un análisis operativo en virtud del artículo 18, apartado 2, letra c), o
en casos excepcionales y debidamente justificados, mediante controles cruzados en virtud del artículo 18, apartado 2, letra a);
Europol valore que no es posible llevar a cabo el análisis operativo en virtud del artículo 18, apartado 2, letra c), o los controles cruzados en virtud del artículo 18, apartado 2, letra a), en apoyo de dicha investigación sin tratar datos personales que no se ajusten a lo dispuesto en el artículo 18, apartado 5.
Los resultados de la valoración a la que se refiere la letra b) del párrafo primero se registrarán y remitirán al SEPD a título informativo, cuando Europol deje de apoyar la investigación mencionada en el párrafo primero.
Cuando la Fiscalía Europea o Eurojust facilite datos de investigación a Europol y deje de estar autorizada para tratar los datos de la investigación penal específica en curso a la que se refiere el apartado 1, de conformidad con los requisitos y garantías procesales aplicables en virtud del Derecho de la Unión y del Derecho nacional, informará a Europol.
Los proveedores de los datos de investigación a que se refiere el apartado 1, párrafo primero, letra a), o, con su acuerdo, un Estado miembro en el que esté tramitándose un procedimiento judicial relacionado con una investigación penal conexa, podrá solicitar a Europol que conserve los datos de investigación y el resultado de su análisis operativo de dichos datos una vez transcurrido el período de tratamiento indicado en el apartado 3 con el fin de garantizar la veracidad, fiabilidad y trazabilidad del proceso de inteligencia criminal, y únicamente durante el tiempo en que se esté tramitando en dicho otro Estado miembro un procedimiento judicial relacionado con una investigación penal conexa.
El Consejo de Administración, a propuesta del director ejecutivo y previa consulta al SEPD, especificará las condiciones relativas al suministro y al tratamiento de datos personales de conformidad con los apartados 3 y 4.
Cuando un tercer país facilite datos de investigación a Europol de conformidad con el párrafo primero, el responsable de protección de datos podrá notificarlo al SEPD, cuando proceda.
Europol comprobará que la cantidad de datos personales a los que se refiere el párrafo primero no sea manifiestamente desproporcionada en relación con la investigación penal específica en el Estado miembro de que se trate. Cuando Europol llegue a la conclusión de que existen indicios de que tales datos son manifiestamente desproporcionados o han sido obtenidos vulnerando claramente los derechos fundamentales, Europol no tratará los datos y los suprimirá.
Europol podrá consultar los datos personales tratados con arreglo al presente apartado solo cuando sea necesario para apoyar la investigación penal específica para la que hayan sido facilitados. Dichos datos personales se compartirán únicamente dentro de la Unión.
Artículo 19
Determinación de los fines y de las restricciones del tratamiento de la información por Europol
Cuando el proveedor de información a que se refiere el párrafo primero no haya cumplido lo dispuesto en dicho párrafo, Europol, de acuerdo con el proveedor de información en cuestión, tratará la información con el fin de determinar la pertinencia de dicha información, así como el fin o los fines de su ulterior tratamiento.
Europol tratará la información con un fin distinto a aquel para el que fue facilitada solo si así lo autoriza el proveedor de la información.
La información facilitada a efectos del artículo 18, apartado 2, letras a) a d), también podrá ser tratada por Europol a efectos del artículo 18, apartado 2, letra e), de conformidad con el artículo 33 bis.
Artículo 20
Acceso de los Estados miembros y del personal de Europol a la información conservada por Europol
En caso de respuesta positiva, Europol abrirá el procedimiento para que pueda compartirse la información que generó la respuesta positiva, de conformidad con la decisión del proveedor de la información a Europol.
De conformidad con el Derecho nacional, los Estados miembros tendrán acceso a la información mencionada en los apartados 1, 2 y 2 bis y la tratarán ulteriormente solo a efectos de la prevención, detección, investigación y enjuiciamiento de:
formas de delincuencia para las que Europol sea competente, y
otras formas de delincuencia grave, según se recoge en la Decisión Marco 2002/584/JAI del Consejo ( 13 ).
Artículo 20 bis
Relaciones con la Fiscalía Europea
En caso de respuesta positiva, Europol abrirá el procedimiento para que pueda compartirse la información que generó la respuesta positiva, de conformidad con la decisión del proveedor de la información a la que se refiere el artículo 19, apartado 1, y solo en la medida en que los datos que hayan generado la respuesta positiva resulten pertinentes para la solicitud presentada con arreglo al apartado 2 del presente artículo.
Cuando Europol informe a la Fiscalía Europea con arreglo al párrafo primero, lo notificará sin demora a los Estados miembros afectados.
Cuando alguna información relativa a la conducta delictiva respecto de la cual la Fiscalía Europea puede ejercer su competencia haya sido facilitada a Europol por un Estado miembro que haya indicado restricciones al uso de dicha información con arreglo al artículo 19, apartado 2, del presente Reglamento, Europol notificará a la Fiscalía Europea la existencia de dichas restricciones y remitirá el asunto al Estado miembro afectado. El Estado miembro afectado colaborará directamente con la Fiscalía Europea a fin de cumplir lo dispuesto en el artículo 24, apartados 1 y 4, del Reglamento (UE) 2017/1939.
Artículo 21
Acceso de Eurojust y de la OLAF a la información conservada por Europol
En caso de respuesta positiva, Europol abrirá el procedimiento para que pueda compartirse la información que generó la respuesta positiva, de conformidad con la decisión del proveedor de la información a Europol, y solo en la medida en que los datos que hayan generado la respuesta positiva resulten necesarios para la realización de las tereas de Eurojust o de la OLAF.
Cuando Europol facilite a la OLAF información con arreglo al párrafo primero, lo notificará sin demora a los Estados miembros afectados.
Artículo 22
Obligación de notificación a los Estados miembros
En tal caso la información no podrá compartirse sin autorización expresa del proveedor de la misma.
En tal caso, Europol notificará al mismo tiempo al proveedor de la información de que se va a compartir dicha información y justificará su análisis de la situación.
CAPÍTULO V
RELACIONES CON LOS SOCIOS
SECCIÓN 1
Disposiciones comunes
Artículo 23
Disposiciones comunes
SECCIÓN 2
Artículo 24
Transmisión de datos personales a organismos de la Unión
El organismo de la Unión solicitante garantizará que pueda valorarse la necesidad de la transmisión de los datos personales.
Artículo 25
Transferencia de datos personales a países terceros y organizaciones internacionales
Siempre que se respeten las posibles restricciones indicadas con arreglo al artículo 19, apartados 2 o 3, y sin perjuicio de lo dispuesto en el artículo 67, Europol podrá transferir datos personales a las autoridades competentes de un tercer país o a una organización internacional, a condición de que dicha transferencia sea necesaria para el desempeño de las funciones de Europol, sobre la base de alguno de los actos siguientes:
una decisión de la Comisión adoptada de conformidad con el artículo 36 de la Directiva (UE) 2016/680, en la que se decida que el tercer país, un territorio o uno o varios sectores específicos en ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado («decisión de adecuación»),
un acuerdo internacional celebrado entre la Unión y ese país tercero u organización internacional con arreglo al artículo 218 del TFUE que ofrezca garantías adecuadas con respecto a la protección de la intimidad y los derechos y libertades fundamentales de las personas físicas, o
un acuerdo de cooperación que permita el intercambio de datos personales celebrado antes del 1 de mayo de 2017 entre Europol y ese país tercero u organización internacional con arreglo al artículo 23 de la Decisión 2009/371/JAI.
Europol podrá celebrar acuerdos administrativos para aplicar dichos acuerdos o decisiones de adecuación.
▼M1 —————
A falta de decisión de adecuación, el Consejo de Administración podrá autorizar a Europol a transferir datos personales a una autoridad competente de un tercer país o a una organización internacional cuando:
se hayan aportado garantías adecuadas con respecto a la protección de datos personales, en un instrumento jurídicamente vinculante, o
Europol haya valorado todas las circunstancias que concurren en la transferencia de los datos personales y haya llegado a la conclusión de que existen garantías adecuadas con respecto a la protección de datos personales.
►M1 No obstante lo dispuesto en el apartado 1, el director ejecutivo podrá autorizar, en casos debidamente justificados, la transferencia o una categoría de transferencias de datos personales a una autoridad competente de un tercer país o a una organización internacional en función del caso concreto, si la transferencia o la categoría de transferencias es: ◄
necesaria para proteger los intereses vitales del interesado o de otra persona, o
necesaria para salvaguardar intereses legítimos del interesado,
esencial para prevenir una amenaza inminente y grave para la seguridad pública de un Estado miembro o de un país tercero, o
necesaria en casos concretos a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, o
necesaria en casos concretos para el reconocimiento, el ejercicio o la defensa de un derecho en un procedimiento judicial relativo a la prevención, investigación, detección o enjuiciamiento de una infracción penal o la ejecución de una sanción penal específica.
Los datos personales no se transferirán si el director ejecutivo determina que los derechos y libertades fundamentales del interesado en cuestión priman sobre el interés público en la transferencia a que se refieren las letras d) y e).
No se aplicarán excepciones a las transferencias sistemáticas, masivas o estructurales.
Artículo 26
Intercambios de datos personales con entidades privadas
En la medida en que sea necesario para el desempeño de sus tareas, Europol podrá tratar datos personales procedentes de entidades privadas siempre que hayan sido recibidos a través de:
una unidad nacional de conformidad con el Derecho nacional;
el punto de contacto de un país tercero o una organización internacional con la que Europol haya concluido, antes del 1 de mayo de 2017, un acuerdo de cooperación que permita el intercambio de datos personales de conformidad con el artículo 23 de la Decisión 2009/371/JAI, o
una autoridad de un tercer país o una organización internacional a que se refiere el artículo 25, apartado 1, letra a), b) o c), o el artículo 25, apartado 4 bis.
Los criterios para determinar si la unidad nacional del Estado miembro en el que esté establecida la entidad privada pertinente constituye una unidad nacional afectada se establecerán en las directrices a que se refiere el artículo 18, apartado 7.
Sin perjuicio de lo dispuesto en el párrafo primero del presente apartado, Europol podrá transferir los resultados a los que se refiere el párrafo primero del presente apartado al tercer país de que se trate con arreglo al artículo 25, apartados 5 o 6.
Europol no podrá transmitir ni transferir datos personales a entidades privadas excepto en los casos siguientes y siempre que dicha transmisión o transferencia sea estrictamente necesaria y proporcionada, en función de cada caso concreto:
la transmisión o la transferencia revista indudablemente un interés para el interesado;
la transmisión o la transferencia sea estrictamente necesaria para prevenir la perpetración inminente de un delito que se incluya en los objetivos de Europol, incluido el terrorismo;
la transmisión o la transferencia de datos personales que estén públicamente disponibles sea estrictamente necesaria para desempeñar la función a que se refiere el artículo 4, apartado 1, letra m), y se cumplan las siguientes condiciones:
que la transmisión o la transferencia se refiera a un caso concreto y específico,
que los derechos y libertades fundamentales de los interesados no primen sobre el interés público que exija que esos datos personales se transmitan o transfieran en el caso de que se trate, o
la transmisión o la transferencia sea estrictamente necesaria para que Europol notifique a la entidad privada que la información recibida es insuficiente para permitir a Europol determinar las unidades nacionales afectadas, y se cumplan las siguientes condiciones:
que la transmisión o la transferencia se produzca tras la recepción de datos personales directamente de una entidad privada de conformidad con el apartado 2,
que la información que falte, a la que Europol puede referirse en su notificación, tenga un vínculo claro con la información previamente compartida por dicha entidad privada,
que la información que falte, a la que Europol puede referirse en su notificación, se limite estrictamente a lo necesario para que Europol determine las unidades nacionales afectadas.
La transmisión o transferencia mencionada en el párrafo primero del presente apartado estará supeditada a las posibles restricciones indicadas con arreglo al artículo 19, apartados 2 o 3, y se entenderá sin perjuicio de lo dispuesto en el artículo 67.
En relación con el apartado 5, letras a), b) y d), del presente artículo, si la entidad privada de que se trate no está establecida en la Unión o en un tercer país según se contempla en el artículo 25, apartado 1, letras a), b) o c), o el artículo 25, apartado 4 bis, el director ejecutivo solo podrá autorizar la transferencia si es:
necesaria para proteger los intereses vitales del interesado o de otra persona;
necesaria para salvaguardar intereses legítimos del interesado;
esencial para prevenir una amenaza inminente y grave para la seguridad pública de un Estado miembro o de un tercer país;
necesaria en casos concretos a efectos de prevención, investigación, detección o enjuiciamiento de un delito específico que se incluya en los objetivos de Europol, o
necesaria en casos concretos para el reconocimiento, el ejercicio o la defensa de un derecho en un procedimiento judicial relativo a la prevención, investigación, detección o enjuiciamiento de una infracción penal específica que se incluya en los objetivos de Europol.
Los datos personales no podrán ser transferidos si el director ejecutivo determina que los derechos y libertades fundamentales del interesado priman sobre el interés público que requiere la transferencia a que se refiere el párrafo primero, letras d) y e), del presente apartado.
No obstante la competencia de los Estados miembros sobre un delito específico, los Estados miembros garantizarán que sus autoridades competentes puedan tramitar las solicitudes a las que se refiere el párrafo primero de conformidad con su Derecho nacional con el fin de facilitar a Europol la información necesaria para determinar las unidades nacionales afectadas.
Cuando los Estados miembros utilicen la infraestructura de Europol para el intercambio de datos personales sobre delitos que se incluyan en los objetivos de Europol, podrán otorgar a Europol acceso a dichos datos.
Cuando los Estados miembros utilicen la infraestructura de Europol para el intercambio de datos personales sobre delitos que no se incluyan en los objetivos de Europol, Europol no podrá tener acceso a dichos datos y se le considerará un encargado del tratamiento de conformidad con el artículo 87 del Reglamento (UE) 2018/1725.
Europol evaluará los riesgos para la seguridad que plantee permitir la utilización de su infraestructura por parte de entidades privadas, y, en caso necesario, aplicará las medidas preventivas y de atenuación adecuadas.
▼M1 —————
El informe anual incluirá ejemplos concretos que demuestren la necesidad de las solicitudes de Europol de conformidad con el apartado 6 ter del presente artículo para cumplir sus objetivos y desempeñar sus funciones.
El informe anual tendrá en cuenta las obligaciones de discreción y confidencialidad, y los ejemplos se anonimizarán en lo que respecta a los datos personales.
El informe anual se remitirá al Parlamento Europeo, al Consejo, a la Comisión y a los Parlamentos nacionales.
Artículo 26 bis
Intercambio de datos personales con entidades privadas en situaciones de crisis en línea
Europol podrá transferir los resultados de su análisis y comprobación de los datos a los que se refiere el apartado 1 del presente artículo al tercer país afectado en virtud del artículo 25, apartados 5 o 6.
No obstante la competencia de los Estados miembros en materia de difusión del contenido sobre el que Europol solicite datos personales, los Estados miembros garantizarán que sus autoridades competentes puedan tramitar las solicitudes a las que se refiere el párrafo primero de conformidad con el Derecho nacional, con el fin de facilitar a Europol la información necesaria para lograr sus objetivos.
Artículo 26 ter
Intercambio de datos personales con entidades privadas para combatir la difusión en línea de material en línea de abusos sexuales a menores
Europol podrá transferir los resultados de su análisis y comprobación de los datos mencionados en el párrafo primero del presente apartado al tercer país afectado con arreglo al artículo 25, apartados 5 o 6.
No obstante la competencia de los Estados miembros en materia de difusión del contenido sobre el que Europol solicite datos personales, los Estados miembros garantizarán que las autoridades competentes de los Estados miembros puedan tramitar las solicitudes a las que se refiere el párrafo primero de conformidad con el Derecho nacional con el fin de facilitar a Europol la información necesaria para lograr sus objetivos.
Artículo 27
Información procedente de particulares
Europol solo podrá tratar los datos personales procedentes de particulares si han sido recibidos a través de:
una unidad nacional, de conformidad con el Derecho nacional;
el punto de contacto de un tercer país o una organización internacional en aplicación del artículo 25, apartado 1, letra c), o
una autoridad de un tercer país o una organización internacional según se contempla en el artículo 25, apartado 1, letras a) o b), o en el artículo 25, apartado 4 bis.
CAPÍTULO VI
PROTECCIÓN DE DATOS
Artículo 27 bis
Tratamiento de datos personales por Europol
El Reglamento (UE) 2018/1725, a excepción del capítulo IX, se aplicará al tratamiento de datos personales administrativos por Europol.
▼M1 —————
Artículo 29
Valoración de la fiabilidad de la fuente y la exactitud de la información
La fiabilidad de la fuente de la información procedente de un Estado miembro será valorada en la medida de lo posible por el Estado miembro que haya facilitado los datos, utilizando los siguientes códigos de evaluación de fuentes:
La exactitud de la información procedente de un Estado miembro será valorada en la medida de lo posible por el Estado miembro que haya facilitado los datos utilizando los siguientes códigos de evaluación de fuentes:
Artículo 30
Tratamiento de categorías especiales de datos personales y de categorías diferentes de interesados
No obstante lo dispuesto en el párrafo primero, cuando resulte necesario autorizar al personal de las autoridades competentes de los Estados miembros o de los organismos de la Unión establecidos sobre la base del título V del TFUE un acceso directo a datos personales para desempeñar sus tareas, en los casos previstos en el artículo 20, apartados 1 y 2 bis, del presente Reglamento, o para proyectos de investigación e innovación de conformidad con el artículo 33 bis, apartado 2, letra d), del presente Reglamento, el director ejecutivo autorizará debidamente tal acceso a un número limitado de miembros de dicho personal.
▼M1 —————
Artículo 31
Plazos de conservación y cancelación de datos personales
No se procederá a la cancelación de datos personales si:
ello pudiera perjudicar los intereses de un interesado que requiera protección. En tales casos, los datos solo podrán utilizarse con el consentimiento expreso y por escrito del interesado;
el interesado impugnara su exactitud, durante un plazo que permita a los Estados miembros o a Europol, en su caso, verificar la exactitud de los datos;
fuera preciso conservarlos a efectos probatorios o para el reconocimiento, el ejercicio o la defensa de un derecho legal, o
el interesado se opusiera a su cancelación y solicitara, en su lugar, la restricción de su utilización.
Artículo 32
Seguridad del tratamiento
Europol y los Estados miembros establecerán, de conformidad, respectivamente, con el artículo 91 del Reglamento (UE) 2018/1725 y con el artículo 29 de la Directiva (UE) 2016/680, mecanismos para garantizar que se abordan las medidas de seguridad, más allá de los límites de los sistemas de información.
▼M1 —————
Artículo 33 bis
Tratamiento de datos personales para investigación e innovación
Europol podrá tratar datos personales para fines de sus proyectos de investigación e innovación a condición de que el tratamiento de dichos datos personales:
sea absolutamente necesario y esté debidamente justificado para lograr los objetivos del proyecto de que se trate;
por lo que se refiere a categorías especiales de datos personales, sea estrictamente necesario y esté sujeto a unas garantías adecuadas, entre las que se puede incluir la seudonimización.
El tratamiento de datos personales por Europol en el contexto de los proyectos de investigación e innovación se guiará por los principios de transparencia, explicabilidad, equidad y rendición de cuentas.
Sin perjuicio de lo dispuesto en el apartado 1, para el tratamiento de datos personales realizado en el contexto de los proyectos de investigación e innovación de Europol, se aplicarán las siguientes garantías:
todo proyecto de investigación e innovación requerirá la autorización previa del director ejecutivo, en consulta con el responsable de la protección de datos y el agente de derechos fundamentales, sobre la base de:
una descripción de los objetivos del proyecto y una explicación de cómo el proyecto ayuda a Europol o a las autoridades competentes de los Estados miembros en sus funciones,
una descripción de la actividad de tratamiento prevista, en la que se expongan los objetivos, el alcance y la duración del tratamiento, así como la necesidad y la proporcionalidad del tratamiento de datos personales, por ejemplo, para explorar y probar soluciones tecnológicas innovadoras y garantizar la exactitud de los resultados del proyecto,
una descripción de las categorías de datos personales que vayan a tratarse,
una valoración de la observancia de los principios de la protección de datos establecidos en el artículo 72 del Reglamento (UE) 2018/1725, los plazos de conservación y las condiciones de acceso a los datos personales, y
una evaluación de impacto sobre la protección de datos, en la que se incluyan los riesgos para los derechos y libertades de los interesados, el riesgo de cualquier sesgo en los datos personales que vayan a utilizarse para el entrenamiento de los algoritmos y en el resultado del tratamiento, y las medidas previstas para hacer frente a dichos riesgos, así como para evitar las vulneraciones de derechos fundamentales;
se informará al SEPD antes del inicio del proyecto;
se consultará o informará al Consejo de Administración antes del inicio del proyecto, de conformidad con las directrices a que se refiere el artículo 18, apartado 7;
los datos personales que vayan a tratarse en el contexto del proyecto:
se copiarán temporalmente en un entorno de tratamiento de datos separado, aislado y protegido dentro de Europol con el único fin de llevar a cabo dicho proyecto,
serán accesibles solo para el personal específicamente autorizado de Europol de conformidad con el artículo 30, apartado 3, del presente Reglamento, y, siempre que se disponga de medidas técnicas de seguridad, para el personal específicamente autorizado de las autoridades competentes de los Estados miembros y los organismos de la Unión establecidos sobre la base del título V del TFUE,
no serán transmitidos o transferidos,
no darán lugar a medidas o decisiones que afecten a los interesados como resultado del tratamiento,
se cancelarán una vez concluido el proyecto o vencido el plazo de conservación de conformidad con el artículo 31;
los registros del tratamiento de datos personales en el contexto del proyecto se conservarán hasta dos años después de la conclusión del proyecto, únicamente con el fin de comprobar la exactitud de los resultados del tratamiento de datos y solo durante el tiempo necesario para ello.
Europol no tratará datos para proyectos de investigación e innovación sin el consentimiento del proveedor de los datos. Dicho consentimiento podrá retirarse en cualquier momento.
Artículo 34
Notificación de una violación de datos personales a las autoridades afectadas
La notificación contemplada en el apartado 1 deberá, al menos:
describir la naturaleza de la violación de datos personales, en particular, cuando sea posible y oportuno, las categorías y el número de interesados afectados, y las categorías y el número de registros de datos de que se trate;
describir las posibles consecuencias de la violación de datos personales;
describir las medidas propuestas o adoptadas por Europol para poner remedio a la violación de datos personales, y
cuando convenga, recomendar medidas tendentes a atenuar los posibles efectos negativos de la violación de datos personales.
▼M1 —————
Artículo 35
Comunicación de una violación de datos personales al interesado
▼M1 —————
▼M1 —————
Artículo 36
Derecho de acceso del interesado
▼M1 —————
▼M1 —————
Artículo 37
Derecho de rectificación, cancelación y restricción
▼M1 —————
Los datos restringidos solo se tratarán con el fin de proteger los derechos del interesado, cuando sea necesario para proteger los intereses vitales del interesado o de otra persona, o para los fines establecidos en el artículo 82, apartado 3, del Reglamento (UE) 2018/1725.
▼M1 —————
Artículo 38
Responsabilidad en materia de protección de datos
La responsabilidad por la exactitud de los datos personales a que se refiere el artículo 71, apartado 1, letra d), del Reglamento (UE) 2018/1725 recaerá en:
el Estado miembro y en el organismo de la Unión que facilitaron los datos personales a Europol;
Europol en lo que respecta a los datos personales facilitados por países terceros u organizaciones internacionales o directamente por entidades privadas, por los datos personales extraídos por Europol de fuentes públicas o que resulten de los propios análisis de Europol y por los datos personales almacenados por Europol de conformidad con el artículo 31, apartado 5.
La responsabilidad por la legalidad de la transferencia de los datos recaerá en:
el Estado miembro que facilitó los datos personales a Europol;
Europol en el caso de los datos personales facilitados por él a los Estados miembros, países terceros u organizaciones internacionales.
Sin perjuicio del párrafo primero, cuando los datos hubieran sido transferidos por Europol a petición del destinatario, tanto Europol como el destinatario serán responsables de la legalidad de la transferencia.
Artículo 39
Consulta previa
El asesoramiento por escrito del SEPD en virtud del artículo 90, apartado 4, del Reglamento (UE) 2018/1725 se tendrá en cuenta de manera retroactiva, y la forma en que se lleve a cabo el tratamiento se adaptará en consecuencia.
El responsable de protección de datos participará en la valoración de la urgencia de dichas operaciones de tratamiento antes de que expire el plazo previsto en el artículo 90, apartado 4, del Reglamento (UE) 2018/1725 y supervisará el tratamiento en cuestión.
Artículo 39 bis
Registro de categorías de actividades de tratamiento
Europol llevará un registro de todas las categorías de actividades de tratamiento bajo su responsabilidad. Dicho registro contendrá la siguiente información:
los datos de contacto de Europol y el nombre y los datos de contacto del responsable de protección de datos;
los fines del tratamiento;
una descripción de las categorías de interesados y de las categorías de datos personales;
las categorías de destinatarios a los que se hayan comunicado o vayan a comunicarse los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
cuando proceda, las transferencias de datos personales a un tercer país, a una organización internacional o a una entidad privada, incluido el nombre de dicho destinatario;
cuando sea posible, los plazos previstos para la cancelación de las diferentes categorías de datos;
cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 91 del Reglamento (UE) 2018/1725;
en su caso, el recurso a la elaboración de perfiles.
Artículo 40
Registros de operaciones
Artículo 41
Designación del responsable de protección de datos
Artículo 41 bis
Cargo de responsable de protección de datos
Con el fin de respaldar al responsable de protección de datos en el desempeño de sus funciones, se podrá designar a un miembro del personal de Europol como responsable adjunto de protección de datos.
El responsable de protección de datos informará directamente al Consejo de Administración.
Nadie deberá sufrir perjuicio alguno por informar al responsable de protección de datos de una presunta infracción del presente Reglamento o del Reglamento (UE) 2018/1725.
Artículo 41 ter
Funciones del responsable de protección de datos
El responsable de protección de datos desempeñará, en particular, las siguientes funciones en relación con el tratamiento de datos personales:
garantizar de manera independiente el cumplimiento por parte de Europol de las disposiciones sobre protección de datos del presente Reglamento y del Reglamento (UE) 2018/1725, así como de las disposiciones pertinentes en materia de protección de datos de las normas internas de Europol, incluido el seguimiento del cumplimiento del presente Reglamento, del Reglamento (UE) 2018/1725, de otras disposiciones de la Unión o nacionales en materia de protección de datos y de las políticas de Europol en esta materia, incluida la asignación de responsabilidades, la concienciación y la formación del personal que participe en las operaciones de tratamiento, y las auditorías correspondientes;
informar a Europol y a aquellos miembros del personal que se ocupen del tratamiento de datos personales de las obligaciones que les incumben en virtud del presente Reglamento, del Reglamento (UE) 2018/1725 y de otras disposiciones de la Unión o nacionales en materia de datos personales y asesorarles en la materia;
prestar el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos con arreglo al artículo 89 del Reglamento (UE) 2018/1725 y hacer el seguimiento de la eficacia de la evaluación de impacto relativa a la protección de datos;
llevar un registro de las violaciones de datos personales y prestar el asesoramiento que se le solicite acerca de la necesidad de notificar o comunicar una violación de datos personales con arreglo a los artículos 92 y 93 del Reglamento (UE) 2018/1725;
velar por que se lleve un registro de la transmisión, la transferencia y la recepción de datos personales de conformidad con el presente Reglamento;
velar por que los interesados que lo soliciten sean informados de sus derechos en virtud del presente Reglamento y del Reglamento (UE) 2018/1725;
cooperar con el personal de Europol responsable de los procedimientos, la formación y el asesoramiento en materia de tratamiento de datos;
responder a las solicitudes del SEPD, en el ámbito de sus competencias, cooperar y consultar con el SEPD, a petición de este o por iniciativa propia;
cooperar con las autoridades competentes de los Estados miembros, en particular, con los responsables de protección de datos de las autoridades competentes de los Estados miembros y las autoridades nacionales de control en materia de protección de datos en el ámbito policial;
actuar como punto de contacto del SEPD para las cuestiones relacionadas con el tratamiento, incluida la consulta previa con arreglo a los artículos 40 y 90 del Reglamento (UE) 2018/1725, y realizar consultas, en su caso, sobre cualquier otra cuestión de su ámbito de competencias;
elaborar un informe anual y transmitirlo al Consejo de Administración y al SEPD;
velar por que las operaciones de tratamiento no tengan efectos adversos en los derechos y las libertades de los interesados.
El responsable de protección de datos podrá investigar, de oficio o a instancias del Consejo de Administración o de cualquier persona física, las cuestiones y los incidentes directamente relacionados con sus funciones que lleguen a su conocimiento e informar a la persona que solicitó la investigación o al Consejo de Administración sobre los resultados de dicha investigación.
Si el director ejecutivo no subsanara el incumplimiento en el plazo fijado, el responsable de protección de datos informará al Consejo de Administración. El Consejo de Administración responderá en un plazo determinado acordado con el responsable de protección de datos. Si el Consejo de Administración no subsanara el incumplimiento en el plazo fijado, el responsable de protección de datos remitirá el asunto al SEPD.
Artículo 41 quater
Agente de derechos fundamentales
El agente de derechos fundamentales desempeñará las siguientes funciones:
asesorar a Europol, si lo considera necesario o previa solicitud, en relación con cualquier actividad de Europol sin impedir ni retrasar las actividades de que se trate;
hacer el seguimiento del cumplimiento de los derechos fundamentales por parte de Europol;
elaborar dictámenes no vinculantes sobre los acuerdos de trabajo;
informar al director ejecutivo de posibles vulneraciones de los derechos fundamentales durante las actividades de Europol;
promover el respeto de los derechos fundamentales por parte de Europol en el desempeño de sus funciones y actividades;
cualquier otra tarea prevista en el presente Reglamento.
Artículo 41 quinquies
Formación sobre derechos fundamentales
Todo miembro del personal de Europol que participe en tareas operativas que conlleven el tratamiento de datos personales recibirá una formación obligatoria en materia de protección de los derechos y libertades fundamentales, incluida la relativa al tratamiento de datos personales. Dicha formación se impartirá en cooperación con la Agencia de los Derechos Fundamentales de la Unión Europea (FRA), creada por el Reglamento (CE) n.o 168/2007 del Consejo ( 14 ), y la Agencia de la Unión Europea para la Formación Policial (CEPOL), creada por el Reglamento (UE) 2015/2219 del Parlamento Europeo y del Consejo ( 15 ).
Artículo 42
Vigilancia por parte de la autoridad nacional de control
Artículo 43
Vigilancia por parte del SEPD
El SEPD tendrá los siguientes cometidos:
atender e investigar las quejas e informar al interesado, en un plazo razonable, del curso dado a las mismas;
efectuar pesquisas por iniciativa propia o a raíz de una queja e informar a los interesados de los resultados en un plazo razonable;
vigilar y garantizar la aplicación del presente Reglamento y de cualquier otro acto de la Unión relativo a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales por Europol;
asesorar a Europol, por propia iniciativa o en respuesta a una consulta, sobre todas las cuestiones relacionadas con el tratamiento de los datos personales, en particular antes de la elaboración de normas internas sobre la protección de los derechos y libertades fundamentales en relación con el tratamiento de los datos personales;
llevar un registro de los nuevos tipos de operaciones de tratamiento que se le hayan notificado en virtud del artículo 39, apartado 1, y que hayan sido registradas de conformidad con el artículo 39, apartado 4;
efectuar una consulta previa sobre los tratamientos que se le hayan notificado.
El SEPD podrá, en virtud del presente Reglamento:
asesorar a los interesados en el ejercicio de sus derechos;
remitir el asunto a Europol en caso de presunta violación de las disposiciones que rigen el tratamiento de datos personales y, en su caso, formular propuestas encaminadas a subsanar esa violación y mejorar la protección de los interesados;
ordenar que se atiendan las solicitudes para ejercer determinados derechos en relación con los datos cuando se hayan denegado tales solicitudes en violación de lo dispuesto en los artículos 36 y 37;
dirigir una advertencia o una amonestación a Europol;
ordenar a Europol que efectúe la rectificación, restricción, cancelación o destrucción de datos personales que hayan sido tratados en violación de las disposiciones que rigen el tratamiento de datos personales y notificar de dichas medidas a los terceros a quienes se hayan divulgado dichos datos;
prohibir temporal o definitivamente las operaciones de tratamiento por parte de Europol que violen las disposiciones que rigen el tratamiento de datos personales;
remitir el asunto a Europol y, en caso de necesidad, al Parlamento Europeo, al Consejo y a la Comisión;
remitir el asunto al Tribunal de Justicia de la Unión Europea en las condiciones previstas en el TFUE;
intervenir en los procesos ante el Tribunal de Justicia de la Unión Europea;
ordenar al responsable del tratamiento o al encargado del tratamiento que las operaciones de tratamiento cumplan el presente Reglamento, en su caso, de una determinada manera y dentro de un plazo señalado;
ordenar la suspensión de los flujos de datos hacia un destinatario en un Estado miembro o en un tercer país o hacia una organización internacional;
imponer una multa administrativa en caso de incumplimiento por parte de Europol de alguna de las medidas contempladas en las letras c), e), f), j) y k) del presente apartado, en función de las circunstancias de cada caso concreto.
El SEPD será competente para:
obtener de Europol acceso a todos los datos personales y a toda la información necesaria para sus pesquisas;
obtener acceso a todos los locales en los que Europol lleva a cabo sus actividades, cuando hubiera motivos razonables para suponer que en ellos se lleva a cabo una actividad cubierta por el presente Reglamento.
El SEPD invitará a las autoridades nacionales de control a formular observaciones sobre dicha parte del informe anual antes de que se adopte el informe anual. El SEPD prestará suma atención a dichas observaciones y hará referencia a ellas en el informe anual.
La parte del informe anual a que se refiere el párrafo segundo incluirá información estadística sobre quejas, pesquisas e investigaciones, así como sobre las transferencias de datos personales a terceros países y organizaciones internacionales, los casos de consulta previa al SEPD y el ejercicio de las competencias establecidas en el apartado 3 del presente artículo.
Artículo 44
Cooperación entre el SEPD y las autoridades nacionales de control
Teniendo debidamente en cuenta los principios de subsidiariedad y de proporcionalidad, los miembros y el personal de las autoridades nacionales de control tendrán competencias equivalentes a las contempladas en el artículo 43, apartado 4, del presente Reglamento y tendrán una obligación equivalente a la dispuesta en el artículo 43, apartado 6, del presente Reglamento, cuando realicen inspecciones conjuntas con el SEPD.
▼M1 —————
CAPÍTULO VII
RECURSOS Y RESPONSABILIDAD
Artículo 47
Derecho a presentar una queja ante el SEPD
Artículo 48
Derecho de recurso judicial contra el SEPD
Las decisiones del SEPD podrán recurrirse ante el Tribunal de Justicia de la Unión Europea.
Artículo 49
Disposiciones generales sobre responsabilidad y derecho a una indemnización
Artículo 50
Derecho a indemnización
CAPÍTULO VIII
CONTROL PARLAMENTARIO CONJUNTO
Artículo 51
Control parlamentario conjunto
A efectos del apartado primero:
el presidente del Consejo de Administración, el director ejecutivo o sus suplentes comparecerán ante el GCPC a petición de este para debatir cuestiones relativas a las actividades a que se refiere el primer párrafo, incluidos los aspectos presupuestarios de dichas actividades, la organización estructural de Europol y la posible creación de unidades y centros especializados nuevos, teniendo en cuenta las obligaciones de discreción y confidencialidad. El GCPC podrá, cuando proceda, decidir invitar a sus reuniones a otras personas pertinentes;
el SEPD comparecerá ante el GCPC a petición de este al menos una vez al año, para debatir sobre cuestiones generales relativas a la protección de los derechos y libertades fundamentales de las personas físicas y, en particular, la protección de los datos personales, con respecto a las actividades de Europol, teniendo en cuenta las obligaciones de discreción y confidencialidad;
se consultará al GCPC en relación con la programación plurianual de Europol con arreglo al artículo 12, apartado 1.
Europol transmitirá los siguientes documentos, a efectos informativos, al GCPC, teniendo en cuenta las obligaciones de discreción y confidencialidad:
valoraciones de las amenazas, análisis estratégicos e informes generales de situación relacionados con los objetivos de Europol, así como los resultados de los estudios y evaluaciones encargados por Europol;
los acuerdos administrativos adoptados de conformidad con el artículo 25, apartado 1;
el documento que contenga la programación plurianual y el programa de trabajo anual de Europol mencionados en el artículo 12, apartado 1;
el informe anual de actividades consolidado sobre las actividades de Europol, mencionado en el artículo 11, apartado 1, letra c), incluida la información pertinente sobre las actividades de Europol y los resultados obtenidos en el tratamiento de grandes conjuntos de datos, sin revelar detalles operativos y sin perjuicio de las investigaciones en curso;
el informe de evaluación elaborado por la Comisión mencionado en el artículo 68, apartado 1;
información anual de conformidad con el artículo 26, apartado 11, sobre los datos personales intercambiados con entidades privadas en virtud de los artículos 26, 26 bis y 26 ter, incluida una evaluación de la eficacia de la cooperación, ejemplos concretos en los que se demuestre por qué esas solicitudes eran necesarias y proporcionadas, para que Europol pueda lograr sus objetivos y desempeñar sus funciones, y, en lo que respecta a los intercambios de datos personales en virtud del artículo 26 ter, el número de niños identificados como resultado de dichos intercambios en la medida en que Europol disponga de esta información;
información anual sobre el número de casos en los que Europol haya tenido que tratar datos personales que no atañan a las categorías de interesados enumeradas en el anexo II con el fin de apoyar a los Estados miembros en una investigación penal específica en curso de conformidad con el artículo 18 bis, así como información sobre la duración y los resultados del tratamiento, que incluya ejemplos de casos en los que se demuestre por qué ese tratamiento de datos era necesario y proporcionado;
información anual sobre las transferencias de datos personales a terceros países y organizaciones internacionales en virtud del artículo 25, apartados 1 y 4 bis, desglosadas por base jurídica, y sobre el número de casos en los que el director ejecutivo haya autorizado, en virtud del artículo 25, apartado 5, la transferencia o las categorías de transferencias de datos personales relacionadas con una investigación penal específica en curso a terceros países u organizaciones internacionales, incluida la información sobre los países de que se trate y la duración de la autorización;
información anual sobre el número de casos en los que Europol haya propuesto la posible introducción de descripciones de información de conformidad con el artículo 4, apartado 1, letra t), que incluya ejemplos concretos de casos en los que se demuestre por qué se había propuesto la introducción de dichas descripciones;
información anual sobre el número de proyectos de investigación e innovación emprendidos, que incluya información sobre los fines de dichos proyectos, las categorías de datos personales tratados, las garantías adicionales utilizadas, incluida la minimización de datos, las necesidades policiales que dichos proyectos pretenden abordar y el resultado de estos;
información anual sobre el número de casos en los que Europol haya recurrido al tratamiento temporal de conformidad con el artículo 18, apartado 6 bis y, en su caso, el número de casos en que se haya ampliado el período de tratamiento;
información anual sobre el número y los tipos de casos en los que se hayan tratado categorías especiales de datos personales, en virtud del artículo 30, apartado 2.
Los ejemplos a que se refieren las letras f) e i) se anonimizarán en lo que respecta a los datos personales.
Los ejemplos a que se refiere la letra g) se anonimizarán en lo que respecta a los datos personales, sin revelar detalles operativos y sin perjuicio de las investigaciones en curso.
Artículo 52
Acceso del Parlamento Europeo a información tratada por Europol o por su mediación
Artículo 52 bis
Foro consultivo
El GCPC y el director ejecutivo podrán consultar al foro consultivo acerca de cualquier asunto relacionado con los derechos fundamentales.
CAPÍTULO IX
PERSONAL
Artículo 53
Disposiciones generales
Artículo 54
Director ejecutivo
Un comité de selección creado por el Consejo de Administración e integrado por miembros designados por los Estados miembros y un representante de la Comisión elaborará la lista de candidatos preseleccionados.
A efectos de la celebración del contrato con el director ejecutivo, Europol estará representada por el presidente del Consejo de Administración.
Antes del nombramiento, podrá invitarse al candidato seleccionado por el Consejo a que comparezca ante la comisión competente del Parlamento Europeo, que a continuación emitirá su dictamen no vinculante.
El mandato del director ejecutivo tendrá una duración de cuatro años. Al final de ese período, la Comisión, en asociación con el Consejo de Administración, llevará a cabo:
una valoración teniendo en cuenta una evaluación de la actuación del director ejecutivo, y
las futuras tareas y retos de Europol.
Artículo 55
Directores ejecutivos adjuntos
Artículo 56
Expertos nacionales en comisión de servicios
CAPÍTULO X
DISPOSICIONES FINANCIERAS
Artículo 57
Presupuesto
Artículo 58
Establecimiento del presupuesto
Artículo 59
Ejecución del presupuesto
Artículo 60
Rendición de cuentas y aprobación de la gestión
Artículo 61
Normas financieras
Las normas financieras a que se refiere el apartado 1 podrán especificar los criterios con arreglo a los cuales la ayuda financiera podrá sufragar la totalidad de los costes de inversión a que se refiere el párrafo primero del presente apartado.
CAPÍTULO XI
DISPOSICIONES VARIAS
Artículo 62
Estatuto jurídico
Artículo 63
Privilegios e inmunidades
Artículo 64
Régimen lingüístico
Artículo 65
Transparencia
Artículo 66
Lucha contra el fraude
Artículo 67
Normas en materia de protección de la información sensible no clasificada y clasificada
Artículo 68
Evaluación y reexamen
Artículo 69
Investigaciones administrativas
Las actividades de Europol estarán sujetas a investigaciones del Defensor del Pueblo Europeo de conformidad con el artículo 228 del TFUE.
Artículo 70
Sede
Las disposiciones necesarias relativas a la localización de Europol en el Reino de los Países Bajos y las instalaciones que debe poner a disposición el Reino de los Países Bajos, así como las normas específicas allí aplicables al director ejecutivo, a los miembros del Consejo de Administración, al personal de Europol y a los miembros de sus familias se fijarán en un acuerdo de sede concluido entre Europol y el Reino de los Países Bajos de conformidad con el Protocolo n.o 6.
CAPÍTULO XII
DISPOSICIONES TRANSITORIAS
Artículo 71
Sucesión legal
Artículo 72
Disposiciones transitorias relativas al Consejo de Administración
En el período comprendido entre el 13 de junio de 2016 y el 1 de mayo de 2017, el Consejo de Administración establecido sobre la base del artículo 37 de la Decisión 2009/371/JAI:
ejercerá las funciones del Consejo de Administración de conformidad con el artículo 11 del presente Reglamento;
preparará la adopción de las normas relativas a la aplicación del Reglamento (CE) n.o 1049/2001 con respecto a los documentos de Europol a que se refiere el artículo 65, apartado 2, del presente Reglamento, y de las normas a que se refiere el artículo 67 del presente Reglamento;
preparará los instrumentos necesarios para la aplicación del presente Reglamento, en particular, las medidas relacionadas con el capítulo IV, y
reexaminará las normas y medidas internas adoptadas sobre la base de la Decisión 2009/371/JAI, de modo que el Consejo de Administración establecido con arreglo al artículo 10 del presente Reglamento pueda adoptar una decisión con arreglo al artículo 76 del presente Reglamento.
Artículo 73
Disposiciones transitorias relativas al director ejecutivo, a los directores adjuntos y al personal
Artículo 74
Disposiciones presupuestarias transitorias
El procedimiento para la aprobación de la gestión de los presupuestos, aprobado con arreglo al artículo 42 de la Decisión 2009/371/JAI, se llevará a cabo de conformidad con las normas establecidas por su artículo 43.
Artículo 74 bis
Disposiciones transitorias relativas al tratamiento de datos personales en apoyo de una investigación penal específica en curso
Cuando un Estado miembro, la Fiscalía Europea o Eurojust hayan facilitado datos personales que no atañan a las categorías de interesados enumeradas en el anexo II a Europol antes del 28 de junio de 2022, Europol podrá tratar dichos datos personales de conformidad con el artículo 18 bis, cuando:
el Estado miembro afectado, la Fiscalía Europea o Eurojust informen a Europol a más tardar el 29 de septiembre de 2022 de que está autorizado a tratar dichos datos personales, de conformidad con los requisitos y garantías procesales aplicables en virtud del Derecho de la Unión o nacional, en la investigación penal en curso para la que hubiera solicitado el apoyo de Europol cuando proporcionó inicialmente los datos;
el Estado miembro afectado, la Fiscalía Europea o Eurojust soliciten a Europol, a más tardar el 29 de septiembre de 2022, que apoye la investigación penal en curso a que se refiere la letra a), y
Europol valore que, de conformidad con el artículo 18 bis, apartado 1, letra b), no es posible apoyar la investigación penal en curso a que se refiere la letra a) del presente apartado sin tratar datos personales que no cumplan con lo dispuesto en el artículo 18, apartado 5.
La valoración mencionada en la letra c) del presente apartado se registrará y remitirá al SEPD a efectos informativos cuando Europol deje de apoyar la investigación penal específica conexa.
Cuando un tercer país a que se refiere el artículo 18 bis, apartado 6, haya facilitado datos personales que no atañan a las categorías de interesados enumeradas en el anexo II a Europol antes del 28 de junio de 2022, Europol podrá tratar dichos datos personales de conformidad con el artículo 18 bis, apartado 6, cuando:
el tercer país haya facilitado los datos personales en apoyo de una investigación penal específica en uno o más Estados miembros a los que Europol apoye;
el tercer país haya obtenido los datos en el contexto de una investigación penal de conformidad con los requisitos y garantías procesales aplicables en virtud de su Derecho penal nacional;
el tercer país informe a Europol, a más tardar el 29 de septiembre de 2022, de que está autorizado a tratar dichos datos personales en la investigación penal en el contexto de la cual haya obtenido los datos;
Europol valore que, de conformidad con el artículo 18 bis, apartado 1, letra b), no es posible apoyar la investigación penal específica a que se refiere la letra a) del presente apartado sin tratar datos personales que no cumplan con lo dispuesto en el artículo 18, apartado 5, y dicha valoración se registre y remita al SEPD a efectos informativos cuando Europol deje de apoyar la investigación penal específica conexa; y
Europol compruebe, de conformidad con el artículo 18 bis, apartado 6, que la cantidad de datos personales no es manifiestamente desproporcionada en relación con la investigación penal específica a que se refiere la letra a) del presente apartado en uno o más Estados miembros a los que Europol apoya.
Artículo 74 ter
Disposiciones transitorias relativas al tratamiento de datos personales en poder de Europol
Sin perjuicio de lo dispuesto en el artículo 74 bis, respecto de los datos personales recibidos por Europol antes del 28 de junio de 2022, Europol podrá comprobar si dichos datos personales atañen a alguna de las categorías de interesados establecidas en el anexo II. Con este fin, Europol podrá llevar a cabo un análisis preliminar de dichos datos personales durante un período máximo de dieciocho meses a partir de la fecha en que se recibieran por primera vez o, en casos justificados y con la autorización previa del SEPD, durante un período más largo.
El período máximo de tratamiento de los datos a que se refiere el párrafo primero será de tres años a partir del día de la recepción de los datos por Europol.
CAPÍTULO XIII
DISPOSICIONES FINALES
Artículo 75
Sustitución y derogación
Por tanto, se derogan las Decisiones 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI, y 2009/968/JAI, con efecto a partir del 1 de mayo de 2017.
Artículo 76
Mantenimiento de la vigencia de las normas internas adoptadas por el Consejo de Administración
Las normas internas y las medidas adoptadas por el Consejo de Administración sobre la base de la Decisión 2009/371/JAI permanecerán en vigor después del 1 de mayo de 2017, salvo decisión en contrario del Consejo de Administración en aplicación del presente Reglamento.
Artículo 77
Entrada en vigor y aplicación
No obstante, los artículos 71, 72 y 73 se aplicarán a partir del 13 de junio de 2016.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en los Estados miembros de conformidad con los Tratados.
ANEXO I
LISTA DE FORMAS DE DELINCUENCIA A LAS QUE HACE REFERENCIA EL ARTÍCULO 3, APARTADO 1
ANEXO II
A. Categorías de datos personales y categorías de interesados cuyos datos pueden ser recogidos y tratados a efectos de la verificación cruzada a que se refiere el artículo 18, apartado 2, letra a)
1. Los datos personales recogidos y tratados a efectos de verificación cruzada deberán referirse a:
personas que, de conformidad con el Derecho nacional del Estado miembro de que se trate, sean sospechosas de haber cometido o de haber participado en un delito que es competencia de Europol o que hayan sido condenadas por tal delito;
personas respecto de las cuales existan indicios concretos o motivos razonables, de acuerdo con el Derecho nacional del Estado miembro de que se trate, para pensar que cometerán delitos que son competencia de Europol.
2. Los datos relativos a las personas mencionadas en el punto 1 solo podrán incluir las siguientes categorías de datos personales:
apellido, apellido de soltera, nombre y, en su caso, alias o nombre falso utilizados;
fecha y lugar de nacimiento;
nacionalidad;
sexo;
lugar de residencia, profesión y paradero de la persona de que se trate;
número de la seguridad social, permisos de conducción, documentos de identidad y datos del pasaporte, y
en la medida en que sea necesario, otras características que puedan resultar útiles para su identificación, en particular rasgos físicos específicos, objetivos y permanentes, tales como los datos dactiloscópicos y el perfil de ADN (establecido a partir de la parte no codificante del ADN).
3. Además de los datos a que se refiere el punto 2, podrán recogerse y tratarse las siguientes categorías de datos personales relativos a las personas contempladas en el punto 1:
delitos, hechos imputados, fecha, lugar y forma de comisión (presuntamente);
medios utilizados o que puedan serlo para cometer los delitos, incluida la información relativa a personas jurídicas;
servicios responsables del expediente y número de referencia de este;
sospecha de pertenencia a una organización delictiva;
condenas, siempre que se refieran a delitos que sean competencia de Europol;
parte que haya introducido los datos.
Dichos datos podrán facilitarse a Europol incluso cuando aún no contengan referencias a personas.
4. Podrá comunicarse a cualquier unidad nacional o a Europol, si así lo solicitan, información adicional en poder de Europol y de las unidades nacionales con respecto a las personas contempladas en el punto 1. A este respecto, las unidades nacionales deberán atenerse a su Derecho nacional.
5. Si la causa contra la persona interesada fuera archivada definitivamente o si se dictara resolución absolutoria definitiva en su favor, se suprimirán los datos relativos al asunto en base a los cuales se haya tomado una u otra decisión.
B. Categorías de datos personales y categorías de interesados cuyos datos pueden ser recogidos y tratados a efectos de análisis estratégicos o temáticos, de análisis operativos o de facilitación del intercambio de información, según lo dispuesto en el artículo 18, apartado 2, letras b), c) y d)
1. Los datos personales recogidos y tratados a efectos de análisis estratégicos o temáticos, de análisis operativos o de facilitación del intercambio de información entre Estados miembros, Europol, otros órganos de la Unión, países terceros y organizaciones internacionales deberán referirse a:
personas que, en virtud del Derecho nacional del Estado miembro de que se trate, sean sospechosas de haber cometido o de haber participado en un delito que es competencia de Europol o que hayan sido condenadas por tal delito;
personas respecto de las cuales existan indicios concretos o motivos razonables, de acuerdo con el Derecho nacional del Estado miembro de que se trate, para pensar que cometerán delitos que son competencia de Europol;
personas que podrían ser citadas como testigos en investigaciones sobre los delitos en cuestión o en futuras causas penales;
personas que hayan sido víctimas de uno de los delitos en cuestión o respecto de las cuales existan motivos para pensar que podrían ser víctimas de tales delitos;
personas de contacto y asociados, y
personas que puedan facilitar información sobre los delitos en cuestión.
2. Las siguientes categorías de datos personales, incluidos los datos administrativos asociados, podrán ser tratados con respecto a las categorías de personas mencionadas en el punto 1, letras a) y b):
datos personales:
apellidos actuales y anteriores,
nombres actuales y anteriores,
apellido de soltera,
nombre del padre (si fuera necesario para proceder a la identificación),
nombre de la madre (si fuera necesario para proceder a la identificación),
sexo,
fecha de nacimiento,
lugar de nacimiento,
nacionalidad,
estado civil,
alias,
sobrenombre,
nombre supuesto o falso,
residencia o domicilio actuales y anteriores;
descripción física:
descripción física,
rasgos distintivos (señales, cicatrices, tatuajes, etc.);
medios de identificación:
documentos de identidad o permiso de conducir,
número de documento nacional de identidad o de pasaporte,
número de identificación nacional o de la seguridad social, si procede,
imágenes visuales y otras informaciones sobre el aspecto físico,
datos de identificación forense, como impresiones dactilares, perfil del ADN (establecido a partir de la parte no codificante del ADN), características de la voz, grupo sanguíneo, información dental, etc.;
profesión y competencias:
empleo y profesión actuales,
empleo y profesión anteriores,
nivel de estudios (escolares, universitarios, formación profesional),
cualificaciones,
competencias y otros conocimientos (lingüísticos u otros);
información económica y financiera:
datos financieros (cuentas y códigos bancarios, tarjetas de crédito, etc.),
activos disponibles,
acciones y otros valores,
datos patrimoniales,
vínculos con sociedades,
contactos bancarios y crediticios,
situación fiscal,
otras informaciones que indiquen cómo gestiona la persona sus finanzas;
datos sobre el comportamiento:
estilo de vida (por ejemplo, si vive por encima de sus posibilidades) y hábitos,
desplazamientos,
lugares frecuentados,
armas y otros instrumentos peligrosos,
nivel de peligrosidad,
riesgos específicos, como probabilidad de fuga, utilización de agentes dobles, conexiones con personal policial,
rasgos y perfiles relacionados con la delincuencia,
consumo de drogas;
personas de contacto y asociados, incluido el tipo y naturaleza del contacto o la asociación;
medios de comunicación utilizados, como teléfono (fijo o móvil), fax, buscapersonas, correo electrónico, direcciones postales, conexiones a internet;
medios de transporte utilizados, como automóviles, embarcaciones, aviones, así como información para identificar estos medios de transporte (números de matrícula);
información relativa a la conducta delictiva:
condenas anteriores,
presunta implicación en actividades delictivas,
modi operandi,
instrumentos efectivos o posibles para preparar o cometer delitos,
pertenencia a grupos u organizaciones delictivas y posición dentro del grupo u organización,
papel en la organización delictiva,
ámbito geográfico de las actividades delictivas,
material recogido durante la investigación, como imágenes fotográficas y de vídeo;
referencias a otros sistemas de información en que haya conservados datos sobre la persona:
Europol,
servicios de policía o aduanas,
otros servicios con funciones de policía,
organizaciones internacionales,
entidades públicas,
entidades privadas;
información sobre las personas jurídicas relacionadas con los datos contemplados en las letras e) y j):
denominación de la persona jurídica,
ubicación,
fecha y lugar de constitución,
número de registro administrativo,
forma jurídica,
capital,
sector de actividad,
filiales nacionales e internacionales,
directores,
vínculos con bancos.
3. Se entiende por «personas de contacto y asociados», a que se refiere el punto 1, letra e), las personas a través de las cuales hay suficientes motivos para pensar que se puede obtener información sobre las personas contempladas en el punto 1, letras a) y b), que sea pertinente para el análisis, siempre que no estén incluidas en una de las categorías de personas mencionadas en el punto 1, letras a), b), c), d) y f). «Personas de contacto» son las personas que tienen contactos esporádicos con las personas contempladas en el punto 1, letras a) y b). «Asociados» son las personas que tienen contactos regulares con las personas a que se refiere el punto 1, letras a) y b).
Por lo que se refiere a las personas de contacto y los asociados, podrán conservarse, en caso necesario, los datos a que se refiere el punto 2, siempre que haya motivos para pensar que tales datos son necesarios para analizar la relación de dichas personas con las personas a que se refiere el punto 1, letras a) y b). En este contexto, deberá observarse lo siguiente:
deberá aclararse con la mayor brevedad tal relación;
deberán suprimirse los datos a que se refiere el punto 2 sin demora si la presunción de que existe tal relación resultara infundada;
podrán conservarse todos los datos a que se refiere el punto 2 si las personas de contacto y los asociados fueran sospechosos de haber cometido un delito comprendido en el ámbito de los objetivos de Europol, hubieran sido condenados por tales delitos o existieran indicios concretos o motivos razonables, en virtud del Derecho nacional del Estado miembro de que se trate, para presumir que van a cometer tales delitos;
los datos a que se refiere el punto 2 sobre personas de contacto y asociados de personas de contactos, así como sobre personas de contacto y asociados de asociados, no podrán conservarse, con la excepción de los datos sobre el tipo y la naturaleza de sus contactos o asociaciones con las personas contempladas en el punto 1, letras a) y b);
si no fuera posible una aclaración con arreglo a los puntos anteriores, este extremo se tendrá en cuenta a la hora de decidir sobre la necesidad y el alcance de la conservación para análisis ulteriores.
4. Por lo que se refiere a las personas que, según se indica en el punto 1, letra d), hayan sido víctimas de uno de los delitos en cuestión o respecto de las cuales existan, en base a determinados hechos, motivos para pensar que podrían ser víctimas de tales delitos, podrán conservarse los datos contemplados entre el punto 2, letra a), inciso i), y el punto 2, letra c), inciso iii), del presente anexo, así como las siguientes categorías de datos:
datos de identificación de la víctima;
motivo de la victimización;
daños (físicos, financieros, psicológicos, otros);
necesidad o no de garantizar su anonimato;
posibilidad de comparecer ante los tribunales;
información relacionada con delitos facilitada por o a través de las personas contempladas en el punto 1, letra d), incluida, en su caso, la información sobre sus relaciones con otras personas para identificar a las personas contempladas en el punto 1, letras a) y b).
Podrán conservarse, en su caso, otros datos a que se refiere el punto 2, siempre que haya motivos para presumir que son necesarios para analizar la condición de víctima o de posible víctima de una persona.
Se suprimirán los datos que no sean necesarios para análisis ulteriores.
5. Por lo que se refiere a las personas que, según se indica en el punto 1, letra c), pudieran ser citadas a testificar en investigaciones sobre los delitos en cuestión o en una futura causa penal, podrán conservarse los datos contemplados entre el punto 2, letra a), y el punto 2, letra c), inciso iii), así como las categorías de datos que cumplan los siguientes criterios:
información relacionada con delitos facilitada por tales personas, incluida la información sobre sus relaciones con otras personas incluidas en el fichero de análisis;
necesidad o no de garantizar su anonimato;
necesidad o no de garantizar su protección y quién debe encargarse de ello;
nueva identidad;
posibilidad de comparecer ante los tribunales.
Podrán conservarse, en su caso, otros datos a que se refiere el punto 2, siempre que haya motivos para presumir que son necesarios para analizar el papel de dichas personas como testigos.
Se suprimirán los datos que no sean necesarios para análisis ulteriores.
6. Por lo que se refiere a las personas que, según se indica en el punto 1, letra f), pudieran facilitar información sobre los delitos en cuestión, podrán conservarse los datos contemplados entre el punto 2, letra a), y el punto 2, letra c), inciso iii), así como las categorías de datos que cumplan los siguientes criterios:
detalles personales codificados;
tipo de información facilitada;
necesidad o no de garantizar su anonimato;
necesidad o no de garantizar su protección y quién debe encargarse de ello;
nueva identidad;
posibilidad de comparecer ante los tribunales;
experiencias negativas;
recompensas (financieras/favores).
Podrán conservarse, en su caso, otros datos a que se refiere el punto 2, siempre que haya motivos para presumir que son necesarios para analizar el papel de dichas personas como informantes.
Se suprimirán los datos que no sean necesarios para análisis ulteriores.
7. Si, en cualquier momento durante el transcurso de un análisis resultara evidente, sobre la base de indicios claros y concluyentes, que debe clasificarse a una persona en una categoría de personas, definida en el presente anexo, diferente de la categoría en la cual fue clasificada inicialmente, Europol solo podrá tratar los datos de dicha persona cuyo tratamiento esté autorizado en función de su clasificación en esta nueva categoría, debiendo suprimirse todos los demás datos.
Si de tales indicios se desprendiera claramente que dicha persona debería clasificarse en dos o más categorías diferentes, definidas en el presente anexo, Europol podrá tratar todos los datos autorizados en estas categorías.
( 1 ) Reglamento (UE) 2017/1939 del Consejo, de 12 de octubre de 2017, por el que se establece una cooperación reforzada para la creación de la Fiscalía Europea (DO L 283 de 31.10.2017, p. 1).
( 2 ) Reglamento (UE) 2021/784 del Parlamento Europeo y del Consejo, de 29 de abril de 2021, sobre la lucha contra la difusión de contenidos terroristas en línea (DO L 172 de 17.5.2021, p. 79).
( 3 ) Directiva 2011/93/UE del Parlamento Europeo y del Consejo, de 13 de diciembre de 2011, relativa a la lucha contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil y por la que se sustituye la Decisión Marco 2004/68/JAI del Consejo (DO L 335 de 17.12.2011, p. 1).
( 4 ) Decisión 2008/617/JAI del Consejo, de 23 de junio de 2008, sobre la mejora de la cooperación entre las unidades especiales de intervención de los Estados miembros de la Unión Europea en situaciones de crisis (DO L 210 de 6.8.2008, p. 73).
( 5 ) Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 («Reglamento sobre la Ciberseguridad») (DO L 151 de 7.6.2019, p. 15).
( 6 ) Reglamento (UE) 2018/1862 del Parlamento Europeo y del Consejo, de 28 de noviembre de 2018, relativo al establecimiento, funcionamiento y utilización del Sistema de Información de Schengen (SIS) en el ámbito de la cooperación policial y de la cooperación judicial en materia penal, por el que se modifica y deroga la Decisión 2007/533/JAI del Consejo, y se derogan el Reglamento (CE) n.o 1986/2006 del Parlamento Europeo y del Consejo y la Decisión 2010/261/UE de la Comisión (DO L 312 de 7.12.2018, p. 56).
( 7 ) Directiva (UE) 2019/1153 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, por la que se establecen normas destinadas a facilitar el uso de información financiera y de otro tipo para la prevención, detección, investigación o enjuiciamiento de infracciones penales y por la que se deroga la Decisión 2000/642/JAI del Consejo (DO L 186 de 11.7.2019, p. 122).
( 8 ) Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo, de 20 de mayo de 2015, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo, y por la que se modifica el Reglamento (UE) n.o 648/2012 del Parlamento Europeo y del Consejo, y se derogan la Directiva 2005/60/CE del Parlamento Europeo y del Consejo y la Directiva 2006/70/CE de la Comisión (DO L 141 de 5.6.2015, p. 73).
( 9 ) Decisión 2005/511/JAI del Consejo, de 12 de julio de 2005, relativa a la protección del euro contra la falsificación mediante la designación de Europol como organismo central para la lucha contra la falsificación del euro (DO L 185 de 16.7.2005, p. 35).
( 10 ) Reglamento (UE) 2019/452 del Parlamento Europeo y del Consejo, de 19 de marzo de 2019, para el control de las inversiones extranjeras directas en la Unión (DO L 79 I de 21.3.2019, p. 1).
( 11 ) Reglamento Delegado (UE) 2019/715 de la Comisión, de 18 de diciembre de 2018, relativo al Reglamento Financiero marco de los organismos creados en virtud del TFUE y el Tratado Euratom y a los que se refiere el artículo 70 del Reglamento (UE, Euratom) 2018/1046 del Parlamento Europeo y del Consejo (DO L 122 de 10.5.2019, p. 1).
( 12 ) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).
( 13 ) Decisión Marco 2002/584/JAI del Consejo, de 13 de junio de 2002, relativa a la orden de detención europea y a los procedimientos de entrega entre Estados miembros (DO L 190 de 18.7.2002, p. 1).
( 14 ) Reglamento (CE) n.o 168/2007 del Consejo, de 15 de febrero de 2007, por el que se crea una Agencia de los Derechos Fundamentales de la Unión Europea (DO L 53 de 22.2.2007, p. 1).
( 15 ) Reglamento (UE) 2015/2219 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre la Agencia de la Unión Europea para la formación policial (CEPOL) y por el que se sustituye y deroga la Decisión 2005/681/JAI del Consejo (DO L 319 de 4.12.2015, p. 1).
( 16 ) Reglamento (CE) n.o 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión (DO L 145 de 31.5.2001, p. 43).
( 17 ) DO C 95 de 1.4.2014, p. 1.
( 18 ) Reglamento (UE, Euratom) 2018/1046 del Parlamento Europeo y del Consejo, de 18 de julio de 2018, sobre las normas financieras aplicables al presupuesto general de la Unión, por el que se modifican los Reglamentos (UE) n.o 1296/2013, (UE) n.o 1301/2013, (UE) n.o 1303/2013, (UE) n.o 1304/2013, (UE) n.o 1309/2013, (UE) n.o 1316/2013, (UE) n.o 223/2014 y (UE) n.o 283/2014 y la Decisión n.o 541/2014/UE y por el que se deroga el Reglamento (UE, Euratom) n.o 966/2012 (DO L 193 de 30.7.2018, p. 1).
( 19 ) Reglamento n.o 1 por el que se fija el régimen lingüístico de la Comunidad Económica Europea (DO 17 de 6.10.1958, p. 385/58).
( 20 ) DO L 136 de 31.5.1999, p. 15.
( 21 ) Reglamento (Euratom, CE) n.o 2185/96 del Consejo, de 11 de noviembre de 1996, relativo a los controles y verificaciones in situ que realiza la Comisión para la protección de los intereses financieros de las Comunidades Europeas contra los fraudes e irregularidades (DO L 292 de 15.11.1996, p. 2).