COMISIÓN EUROPEA
Bruselas, 13.5.2022
COM(2022) 207 final
2022/0145(NLE)
Propuesta de
DECISIÓN DEL CONSEJO
relativa a la firma, en nombre de la Unión Europea, del Acuerdo entre la Unión Europea, por una parte, y Nueva Zelanda, por otra, sobre el intercambio de datos de carácter personal entre la Agencia de la Unión Europea para la Cooperación Policial (Europol) y las autoridades neozelandesas competentes en materia de lucha contra la delincuencia grave y el terrorismo
EXPOSICIÓN DE MOTIVOS
1.OBJETO DE LA PROPUESTA
La presente propuesta se refiere a la firma, en interés de la Unión Europea, de un Acuerdo con Nueva Zelanda sobre el intercambio de datos de carácter personal entre la Agencia de la Unión Europea para la Cooperación Policial (Europol) y las autoridades neozelandesas competentes en materia de lucha contra la delincuencia grave y el terrorismo.
El objetivo del Acuerdo es permitir la transferencia de datos personales entre Europol y las autoridades competentes de Nueva Zelanda para apoyar y reforzar la actuación de las autoridades de los Estados miembros de la Unión Europea y de Nueva Zelanda, así como su cooperación mutua en la prevención y la lucha contra la delincuencia grave y el terrorismo, al mismo tiempo que se proporcionan salvaguardias apropiadas con respecto a los derechos humanos y las libertades fundamentales de las personas, entre ellas la intimidad y la protección de datos. Tanto dentro de la Unión Europea como en las relaciones con nuestros socios en todo el mundo, se debería dar prioridad al intercambio transfronterizo de información entre todas las fuerzas policiales pertinentes para evitar y combatir el terrorismo, desarticular la delincuencia organizada y luchar contra la ciberdelincuencia. En este sentido, la cooperación con Nueva Zelanda en el ámbito policial es fundamental para ayudar a la Unión Europea a seguir protegiendo sus intereses en materia de seguridad.
2. CONTEXTO DE LA PROPUESTA
•Razones y objetivos de la propuesta
En un mundo globalizado, donde los delitos graves y el terrorismo son cada vez más transnacionales y multiforme, las autoridades policiales deben contar con todos los equipos necesarios para cooperar con socios externos al objeto de garantizar la seguridad de los ciudadanos. Por consiguiente, Europol debe poder intercambiar datos personales con las autoridades policiales de terceros países en la medida en que sea necesario para el cumplimiento de sus funciones en el marco de los requisitos establecidos en el Reglamento 2016/794, de 11 de mayo de 2016 1 .
Europol podrá intercambiar datos personales con terceros países u organizaciones internacionales sobre la base de:
·Acuerdos de cooperación celebrados entre Europol y los países socios antes de la entrada en vigor del Reglamento de Europol actual, el 1 de mayo de 2017.
A partir del 1 de mayo de 2017, podrá hacerlo sobre la base de:
·Una decisión de la Comisión por la que se declare que el país u organización internacional del que se trate garantiza un nivel adecuado de protección de datos («decisión de adecuación»).
·A falta de una decisión de adecuación, un acuerdo internacional que ofrezca salvaguardias adecuadas con respecto a la protección de la intimidad y los derechos y libertades fundamentales de las personas. Con arreglo a la base jurídica actual, la Comisión es ahora responsable, en nombre de la Unión, de negociar dichos acuerdos internacionales.
En la medida en que sea necesario para el desempeño de sus tareas, Europol también podrá establecer y mantener relaciones de cooperación con socios externos a través de acuerdos de trabajo y administrativos que no pueden por sí solos constituir una base jurídica para el intercambio de datos personales.
En el undécimo informe de evolución hacia una Unión de la Seguridad genuina y efectiva 2 , la Comisión señaló ocho países prioritarios 3 de las regiones de Oriente Medio y Norte de África (MENA, por sus siglas en inglés) en lo referente a las amenazas terroristas, los retos relativos a la migración y las necesidades operativas de Europol para iniciar las negociaciones. Teniendo en cuenta la estrategia política esbozada en la Agenda Europea de Seguridad 4 , las Conclusiones del Consejo 5 y la Estrategia Global 6 , las necesidades operativas de las autoridades policiales de toda la Unión Europea y los beneficios potenciales de una cooperación estrecha entre Europol y las autoridades competentes de Nueva Zelanda en este ámbito (como se demostró tras el ataque de Christchurch en marzo de 2019), la Comisión considera que es necesario que Europol pueda intercambiar datos personales con las autoridades competentes de Nueva Zelanda para combatir la delincuencia grave y el terrorismo.
En abril de 2019, Europol y la policía neozelandesa firmaron un acuerdo de colaboración 7 . Este acuerdo proporcionó un marco para una cooperación estructurada, incluida una línea segura que permite la comunicación directa entre ambas partes y el envío en comisión de servicio por parte de Nueva Zelanda de un funcionario de enlace en Europol. Sin embargo, dicho acuerdo de trabajo no ofrece una base jurídica para el intercambio de datos personales. Considerando lo anterior, el 30 de octubre de 2019, la Comisión presentó una Recomendación en la que proponía que el Consejo autorizara la apertura de negociaciones para la celebración de un acuerdo entre la Unión Europea y Nueva Zelanda sobre el intercambio de datos personales entre Europol y las autoridades neozelandesas competentes en materia de lucha contra la delincuencia grave y el terrorismo 8 . El 13 de mayo de 2020, el Consejo autorizó a la Comisión para entablar negociaciones con Nueva Zelanda y adoptó directrices de negociación 9 10 .
Las negociaciones comenzaron en abril de 2021 en un ambiente distendido y constructivo. Tras la cuarta y última ronda de negociaciones, que tuvo lugar en septiembre de 2021, ambas Partes convinieron las disposiciones del Acuerdo. Los negociadores principales rubricaron el borrador del Acuerdo en noviembre de 2021.
•Coherencia con las políticas existentes de la Unión
El Acuerdo se negoció de conformidad con las directrices de negociación adoptadas por el Consejo el 13 de mayo de 2020. El presente Acuerdo también es coherente con la política actual de la Unión en el ámbito de la cooperación policial. En los últimos años se ha avanzado en la mejora del intercambio de información y la cooperación entre los Estados miembros, así como en la reducción del margen de actuación de los terroristas y los delincuentes peligrosos. Los documentos estratégicos de la Comisión existentes apoyan la necesidad de mejorar la eficiencia y la eficacia de la cooperación policial en la UE, así como la necesidad de ampliar la cooperación con terceros países. Entre otros documentos, se incluyen la Estrategia de la Unión de la Seguridad 11 , la Agenda de Lucha contra el Terrorismo de la UE 12 y la Estrategia de la UE para luchar contra la delincuencia organizada 13 .
Un conjunto concreto de salvaguardias, sobre todo las que se muestran en el capítulo II del Acuerdo, se refiere a la protección de los datos personales, que es un derecho fundamental consagrado en los Tratados de la UE y en la Carta de los Derechos Fundamentales de la Unión Europea. Con arreglo al artículo 25, apartado 1, letra b), del Reglamento de Europol, Europol podrá transferir datos personales a una autoridad de un país tercero o a una organización internacional sobre la base de un acuerdo internacional celebrado entre la Unión y ese país tercero u organización internacional con arreglo al artículo 218 del TFUE que ofrezca garantías adecuadas con respecto a la protección de la intimidad y los derechos y libertades fundamentales de las personas. El capítulo II del Acuerdo establece tales salvaguardias e incluye disposiciones concretas que garantizan una serie de principios y obligaciones en materia de protección de datos que las Partes deben respetar (artículos 3, 4, 5, 7, 8, 11, 12, 13, 14 y 15), disposiciones que garantizan los derechos individuales exigibles (artículos 6, 10 y 11), la supervisión independiente (artículo 16) y los recursos administrativos y acciones judiciales efectivos en caso de violación de los derechos, así como salvaguardias reconocidas en el Acuerdo como consecuencia del tratamiento de datos personales (artículo 17).
Es necesario lograr un equilibrio entre el refuerzo de la seguridad y la tutela de los derechos humanos, entre ellos los relacionados con los datos y la intimidad. La Comisión veló por que el Acuerdo ofrezca salvaguardias con respecto a la protección de la intimidad y los derechos y libertades fundamentales de las personas, así como una base jurídica para el intercambio de datos personales para luchar contra la delincuencia grave y el terrorismo.
Además, la colaboración entre la Unión Europea y Nueva Zelanda es estrecha. El Acuerdo de Asociación sobre Relaciones y Cooperación entre la UE y Nueva Zelanda firmado el 5 de octubre de 2016 refleja una asociación reforzada entre las Partes, que profundiza y fortalece la cooperación en cuestiones de interés mutuo con valores compartidos y principios comunes. El Acuerdo no solo abarca disposiciones para facilitar el comercio, sino que también contiene una serie de disposiciones en las que las Partes se comprometen a cooperar en el ámbito policial, la prevención y la lucha contra la delincuencia organizada, la corrupción, las drogas, la ciberdelincuencia, el blanqueo de capitales, el terrorismo y su financiación, la migración y el asilo. La UE y Nueva Zelanda también son socios dentro del Foro Mundial contra el Terrorismo (GCTF, por sus siglas en inglés), el cual está formado por 29 países y la Unión Europea y cuya misión fundamental es reducir la vulnerabilidad de las personas en todo el mundo frente al terrorismo mediante la prevención, la lucha y persecución de los actos terroristas y la lucha contra la incitación y captación que alimentan dicho terrorismo. Además, la UE y Nueva Zelanda cooperan estrechamente en asuntos exteriores y de seguridad, y participan regularmente en diálogos políticos y de seguridad. En el marco de dichos diálogos, también se realizan consultas en los ámbitos ministerial y de altos funcionarios. Nueva Zelanda también participó en algunas operaciones de gestión de crisis de la UE como, por ejemplo, en la operación Atalanta (piratería en el Cuerno de África) en 2014.
3.BASE JURÍDICA, SUBSIDIARIEDAD Y PROPORCIONALIDAD
•Base jurídica
Esta propuesta se basa en el artículo 16, apartado 2, y el artículo 88, en relación con el artículo 218, apartado 5, del Tratado de Funcionamiento de la Unión Europea.
El Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, relativo a la Agencia de la Unión Europea para la Cooperación Policial (Europol) y por el que se sustituyen y derogan las Decisiones 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI y 2009/968/JAI del Consejo 14 (en lo sucesivo, «Reglamento de Europol») establece normas acerca de las transferencias de datos personales por parte de Europol fuera de la UE. El artículo 25, apartado 1, enumera una serie de bases jurídicas sobre las que Europol puede transferir legalmente datos personales a autoridades de terceros países. Una posibilidad sería una decisión de adecuación de la Comisión de conformidad con el artículo 36 de la Directiva (UE) 2016/680 en la que se declare que el tercer país al que Europol transfiere datos personales garantiza un nivel de protección adecuado. Dado que actualmente no existe ni una decisión de adecuación ni un acuerdo sobre cooperación operativa con Nueva Zelanda, la otra alternativa para llevar a cabo transferencias estructurales de datos personales por parte de Europol a Nueva Zelanda es la celebración de un acuerdo internacional vinculante entre la UE y Nueva Zelanda que ofrezca salvaguardias adecuadas con respecto a la protección de la intimidad y otros derechos y libertades fundamentales de las personas.
Por lo tanto, el Acuerdo entra dentro de las competencias externas exclusivas de la Unión. La celebración del Acuerdo puede tener lugar, en nombre de la Unión, sobre la base del artículo 218, apartado 5, letra, del Tratado de Funcionamiento de la Unión Europea (TFUE).
•Subsidiariedad (en el caso de competencia no exclusiva)
No procede.
•Proporcionalidad
Los objetivos de la Unión en relación con la presente propuesta, tal como se ha expuesto anteriormente, solo pueden lograrse mediante la celebración de un acuerdo internacional vinculante que disponga las medidas de cooperación necesarias, garantizando al mismo tiempo una protección adecuada de los derechos fundamentales. Las disposiciones del Acuerdo se limitan a lo necesario para alcanzar sus objetivos principales. La acción unilateral no constituye una verdadera alternativa, ya que no proporcionaría una base suficiente para la cooperación policial con países no pertenecientes a la UE y no podría garantizar la necesaria protección de los derechos fundamentales.
•Elección del instrumento
No procede.
4.RESULTADOS DE LAS EVALUACIONES EX POST, DE LAS CONSULTAS CON LAS PARTES INTERESADAS Y DE LAS EVALUACIONES DE IMPACTO
•Evaluaciones ex post/controles de la adecuación de la legislación existente
No procede.
•Consultas con las partes interesadas
No procede.
•Obtención y uso de asesoramiento especializado
En el proceso de negociación, la Comisión no recurrió a asesoramiento externo.
•Evaluación de impacto
No procede.
•Adecuación regulatoria y simplificación
No procede.
•Derechos fundamentales
Es posible que el intercambio de datos personales repercuta en la protección de los datos. Sin embargo, tal como se establece en el Acuerdo, estará sujeto a las mismas normas y procedimientos existentes para tratar dichos datos de conformidad con el Derecho de la UE.
El capítulo II prevé la protección de los datos personales. Partiendo de esta base, el artículo 3 y los artículos 4 a 17 establecen principios fundamentales de protección de datos, como la limitación de la finalidad; la calidad de los datos y las reglas aplicables al tratamiento de categorías especiales de datos; las obligaciones aplicables a los responsables del tratamiento, especialmente en materia de conservación; la conservación de los registros; la seguridad en lo que respecta a las transferencias ulteriores; los derechos individuales exigibles, especialmente en materia de acceso, rectificación y toma de decisiones automatizadas; la supervisión independiente y eficaz; así como las vías de resarcimiento administrativas y judiciales. Las salvaguardias cubren todas las formas de tratamiento de datos personales en el contexto de la cooperación entre Europol y Nueva Zelanda. El ejercicio de determinados derechos individuales puede retrasarse, limitarse o denegarse cuando sea necesario, razonable y proporcionado, teniendo en cuenta los derechos e intereses fundamentales del interesado, sobre todo para no poner en peligro una investigación o un proceso penal en curso, lo que también está en consonancia con el Derecho de la Unión.
Además, tanto la Unión Europea como Nueva Zelanda garantizarán que una autoridad pública independiente responsable de la protección de datos (autoridad de control) supervise aquellos asuntos que afectan a la intimidad de las personas con el fin de proteger los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos personales.
El artículo 29 refuerza la eficacia de las salvaguardias en el Acuerdo al prever revisiones conjuntas de su ejecución a intervalos regulares. Los equipos de evaluación incluirán expertos pertinentes en los ámbitos de la protección de datos y policial.
Como salvaguardia adicional, de conformidad con el artículo 19, párrafo 15, en el caso de incumplimiento grave o incumplimiento de las obligaciones derivadas de las disposiciones del presente Acuerdo, el Acuerdo podrá suspenderse. Los datos personales transferidos antes de la suspensión se seguirán tratando de conformidad con el Acuerdo. Además, en caso de resolución del Acuerdo, los datos personales transferidos antes de su resolución continuarán siendo tratados de conformidad con las disposiciones del Acuerdo.
Además, el Acuerdo garantiza que el intercambio de datos personales entre Europol y Nueva Zelanda sea coherente tanto con el principio de no discriminación como con el artículo 52, apartado 1, de la Carta, que garantiza que las interferencias en los derechos fundamentales que pudieran derivarse se limiten a lo estrictamente necesario para alcanzar realmente los objetivos de interés general perseguidos, respetando el principio de proporcionalidad.
5.REPERCUSIONES PRESUPUESTARIAS
La propuesta no tiene repercusiones presupuestarias para el presupuesto de la Unión.
6.OTROS ELEMENTOS
•Planes de ejecución y modalidades de seguimiento, evaluación e información
No es necesario un plan de ejecución, ya que el Acuerdo entrará en vigor en la fecha de recepción de la última notificación escrita mediante la cual la Unión Europea y Nueva Zelanda se hayan notificado mutuamente por vía diplomática que sus propios procedimientos han finalizado.
En relación con el seguimiento del Acuerdo, la Unión Europea y Nueva Zelanda revisarán conjuntamente la ejecución del presente Acuerdo un año después de su entrada en vigor y, posteriormente, a intervalos regulares y, adicionalmente, a petición de cualquiera de las Partes y por decisión conjunta.
•Explicación detallada de las disposiciones específicas de la propuesta
El artículo 1 incluye el objetivo del Acuerdo.
El artículo 2 incluye las definiciones del Acuerdo.
El artículo 3 incluye los fines del tratamiento de datos personales.
El artículo 4 establece los principios generales de la protección de datos que la Unión Europea y Nueva Zelanda deben respetar.
El artículo 5 establece las categorías especiales de datos personales y las diferentes categorías de interesados, como pueden ser los datos personales acerca de víctimas de un delito, testigos u otras personas que puedan facilitar información relativa a delitos o datos personales acerca de personas menores de 18 años.
El artículo 6 prevé el tratamiento automatizado de datos personales.
El artículo 7 sienta las bases para la transferencia ulterior de los datos personales recibidos.
El artículo 8 prevé la evaluación de la fiabilidad de la fuente y la exactitud de la información.
El artículo 9 establece el derecho de acceso, que garantiza que el interesado tenga derecho, en intervalos razonables, a recibir información sobre si sus datos personales están tratados en virtud del Acuerdo.
El artículo 10 establece el derecho de rectificación, corrección, supresión, eliminación y restricción, que garantiza que el interesado tenga derecho a solicitar a las autoridades competentes que corrijan o rectifiquen datos personales inexactos que le conciernan y que hayan sido transferidos en virtud del Acuerdo.
El artículo 11 prevé la notificación de una violación de la seguridad de los datos personales que afecte a los datos personales transferidos en virtud del Acuerdo, garantizando que las respectivas autoridades competentes se notifiquen dicha violación sin demora, así como a sus respectivas autoridades de control, y adopten medidas para mitigar sus posibles efectos adversos.
El artículo 12 prevé la comunicación al interesado de una violación de la seguridad de los datos personales, garantizando que las autoridades competentes de ambas Partes del Acuerdo se lo comuniquen sin demora indebida en caso de que dicha violación pueda afectar gravemente a sus derechos y libertades.
El artículo 13 prevé el almacenamiento, la revisión, la corrección y la supresión de datos personales.
El artículo 14 prevé la conservación de registros de la recogida, la modificación, el acceso, la divulgación, incluidas las transferencias ulteriores, la combinación y la supresión de datos personales.
El artículo 15 establece la seguridad de los datos, garantizando la ejecución de medidas técnicas y organizativas para proteger los datos personales intercambiados en virtud del presente Acuerdo.
El artículo 16 contempla la autoridad de control, garantizando que una autoridad pública independiente responsable de la protección de datos (autoridad de control) supervise aquellos asuntos que afectan a la intimidad de las personas, incluidas las normas nacionales relevantes en el marco del Acuerdo para proteger los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos personales.
El artículo 17 prevé un recurso administrativo y judicial que garantiza que los interesados tengan derecho a un recurso administrativo y judicial efectivo en caso de violación de los derechos y garantías reconocidos en el Acuerdo como consecuencia del tratamiento de sus datos personales.
El artículo 18 establece la solución de diferencias, garantizando que todas las controversias que puedan surgir en relación con la interpretación, aplicación o ejecución del presente Acuerdo, así como cualquier asunto relacionado con el mismo, darán lugar a consultas y negociaciones entre representantes de la UE y Nueva Zelanda con vistas a alcanzar una solución mutuamente aceptable.
El artículo 19 establece una cláusula suspensiva.
El artículo 20 incluye la resolución del Acuerdo.
El artículo 21 establece la relación con otros instrumentos internacionales que garantizan que el Acuerdo no perjudique ni afecte a las disposiciones legales relativas al intercambio de información previsto en cualquier tratado, acuerdo o arreglo entre Nueva Zelanda y cualquier Estado miembro de la Unión Europea.
El artículo 22 establece las disposiciones administrativas de aplicación.
El artículo 23 establece los acuerdos administrativos en materia de confidencialidad, lo que garantiza que un acuerdo administrativo sobre confidencialidad celebrado entre Europol y las autoridades competentes de Nueva Zelanda regulará el intercambio de información clasificada de la UE, si fuese necesario, en virtud del Acuerdo.
El artículo 24 establece los puntos de contacto nacionales y los funcionarios de enlace.
El artículo 25 aborda los gastos del Acuerdo.
El artículo 26 incluye la notificación de ejecución del Acuerdo.
El artículo 27 establece la entrada en vigor y la aplicación del presente Acuerdo.
El artículo 28 incluye las modificaciones y los suplementos del Acuerdo.
El artículo 29 incluye la revisión y la evaluación del Acuerdo.
El artículo 30 establece la aplicación territorial del Acuerdo, garantizando que se aplicará en el territorio en el que el Tratado de la Unión Europea y el Tratado de Funcionamiento de la Unión Europea son aplicables y en el territorio de Nueva Zelanda.
2022/0145 (NLE)
Propuesta de
DECISIÓN DEL CONSEJO
relativa a la firma, en nombre de la Unión Europea, del Acuerdo entre la Unión Europea, por una parte, y Nueva Zelanda, por otra, sobre el intercambio de datos de carácter personal entre la Agencia de la Unión Europea para la Cooperación Policial (Europol) y las autoridades neozelandesas competentes en materia de lucha contra la delincuencia grave y el terrorismo
EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 16, apartado 2, su artículo 88 y su artículo 218, apartado 5,
Vista la propuesta de la Comisión Europea,
Considerando lo siguiente:
(1)El Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo 15 establece que Europol podrá transferir datos personales a una autoridad de un país tercero inter alia sobre la base de un acuerdo internacional celebrado entre la Unión y dicho país tercero, de conformidad con el artículo 218 del TFUE, en el que se contemplen salvaguardias adecuadas con respecto a la protección de la intimidad, las libertades y los derechos fundamentales de las personas.
(2)El 13 de mayo de 2020, el Consejo autorizó a la Comisión para la apertura de negociaciones con Nueva Zelanda para un acuerdo sobre el intercambio de datos personales entre Europol y las autoridades neozelandesas para la lucha contra la delincuencia grave y el terrorismo.
(3)Concluyeron con éxito las negociaciones sobre el Acuerdo entre la Unión Europea, por una parte, y Nueva Zelanda, por otra, sobre el intercambio de datos de carácter personal entre la Agencia de la Unión Europea para la Cooperación Policial (Europol) y las autoridades neozelandesas competentes en materia de lucha contra la delincuencia grave y el terrorismo («el Acuerdo») y fueron seguidas por el intercambio del texto rubricado del Acuerdo, recibido el 3 de diciembre de 2021.
(4)El Acuerdo garantiza el pleno respeto de los derechos fundamentales de la Unión Europea, en particular del derecho al respeto de la vida privada y familiar, reconocido en el artículo 7 de la Carta de los Derechos Fundamentales de la Unión Europea; del derecho a la protección de los datos de carácter personal, reconocido en el artículo 8; y del derecho a la tutela judicial efectiva y a un juez imparcial, reconocido en el artículo 47 de dicha Carta.
(5)El Acuerdo no afecta a la transferencia de datos de carácter personal o a otras formas de cooperación entre las autoridades responsables de velar por la seguridad nacional, ni debe ser un obstáculo para ello.
(6)[«De conformidad con los artículos 1 y 2 del Protocolo n.º 21 sobre la posición del Reino Unido y de Irlanda respecto del espacio de libertad, seguridad y justicia, anejo al Tratado de la Unión Europea y al Tratado de Funcionamiento de la Unión Europea, y sin perjuicio del artículo 4 de dicho Protocolo, Irlanda no participa en la adopción de la presente Decisión y no queda vinculada por ella ni sujeta a su aplicación».
O
«De conformidad con el artículo 3 del Protocolo n.º 21 sobre la posición del Reino Unido y de Irlanda respecto del espacio de libertad, seguridad y justicia, anejo al Tratado de la Unión Europea y al Tratado de Funcionamiento de la Unión Europea, Irlanda ha notificado [, mediante carta de ...,] su deseo de participar en la adopción y aplicación de la presente Decisión» o «Irlanda queda vinculada por [la medida interna de la Unión] y, por lo tanto, participa en la adopción de la presente Decisión»].
(7)[«De conformidad con los artículos 1 y 2 del Protocolo n.º 22 sobre la posición de Dinamarca, anejo al Tratado de la Unión Europea y al Tratado de Funcionamiento de la Unión Europea, Dinamarca no participa en la adopción de la presente Decisión y no queda vinculada por esta ni sujeta a su aplicación»].
(8)Por lo tanto, procede firmar dicho Acuerdo en nombre de la Unión, a reserva de su celebración en una fecha posterior.
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1
Se aprueba la firma del presente Acuerdo, en nombre de la Unión, entre la Unión Europea, por una parte, y Nueva Zelanda, por otra, sobre el intercambio de datos de carácter personal entre la Agencia de la Unión Europea para la Cooperación Policial (Europol) y las autoridades neozelandesas competentes en materia de lucha contra la delincuencia grave y el terrorismo, a reserva de la celebración de dicho Acuerdo.
El texto del Acuerdo que debe firmarse se adjunta a la presente Decisión.
Artículo 2
La Secretaría General del Consejo establecerá el instrumento de plenos poderes para firmar el Acuerdo, a reserva de su celebración, para la persona o personas indicadas por la Comisión.
Artículo 3
La presente Decisión entrará en vigor el día de su adopción.
Hecho en Bruselas, el
Por el Consejo
El Presidente
COMISIÓN EUROPEA
Bruselas, 13.5.2022
COM(2022) 207 final
Propuesta de
ANEXO
de la
DECISIÓN DEL CONSEJO
relativa a la firma, en nombre de la Unión Europea, del Acuerdo entre la Unión Europea, por una parte, y Nueva Zelanda, por otra, sobre el intercambio de datos de carácter personal entre la Agencia de la Unión Europea para la Cooperación Policial (Europol) y las autoridades neozelandesas competentes en materia de lucha contra la delincuencia grave y el terrorismo
ANEXO
LA UNIÓN EUROPEA, denominada en lo sucesivo «Unión» o «UE»,
así como
Nueva Zelanda
denominadas en lo sucesivo «Partes contratantes»,
Considerando lo siguiente:
(1)Al autorizar el intercambio de datos personales entre Europol y las autoridades competentes neozelandesas, el presente Acuerdo creará el marco para una cooperación operativa reforzada entre la Unión Europea y Nueva Zelanda en el ámbito policial, salvaguardando al mismo tiempo los derechos humanos y las libertades fundamentales de todas las personas afectadas, incluidas la intimidad y la protección de datos.
(2)El presente Acuerdo se entiende sin perjuicio de los acuerdos de asistencia judicial mutua entre Nueva Zelanda y los Estados miembros de la UE que permitan el intercambio de datos personales.
(3)Este acuerdo no impone a las autoridades competentes ningún requisito para la transferencia de datos personales. La transferencia de datos personales solicitados en virtud del presente Acuerdo sigue siendo voluntaria.
(4)El Acuerdo reconoce que las Partes aplican principios comparables de proporcionalidad y razonabilidad. La esencia común de estos principios es el requisito de garantizar un equilibrio justo entre todos los intereses afectados, ya sean públicos o privados, en vista de todas las circunstancias del caso en cuestión. Dicho equilibrio implica, por un lado, el derecho a la intimidad de las personas junto con otros derechos e intereses humanos y, por otro lado, los objetivos legítimos compensatorios que pueden perseguirse, como los fines del tratamiento de datos personales reflejados en el presente Acuerdo.
Han acordado lo siguiente:
CAPÍTULO I – Disposiciones generales
Artículo 1
Objetivo
El objetivo del presente Acuerdo es permitir la transferencia de datos personales entre la Agencia de la Unión Europea para la Cooperación Policial (Europol) y las autoridades competentes de Nueva Zelanda para apoyar y reforzar la actuación de las autoridades de los Estados miembros de la Unión Europea y de Nueva Zelanda, así como su cooperación mutua en la prevención y la lucha contra delitos, entre ellas la delincuencia grave y el terrorismo, al mismo tiempo que se proporcionan salvaguardias apropiadas con respecto a los derechos humanos y las libertades fundamentales de las personas, incluidas la intimidad y la protección de datos.
Artículo 2
Definiciones
A efectos del presente Acuerdo, se entenderá por:
a)«Partes contratantes»: por una parte, la Unión Europea y, por otra, Nueva Zelanda.
b) «Europol»: Agencia de la Unión Europea para la Cooperación Policial, instituida en virtud del Reglamento (UE) 2016/794 1 o de cualquier modificación del mismo («Reglamento de Europol»).
c)«Autoridad competente»: en el caso de Nueva Zelanda, autoridades policiales nacionales responsables bajo la legislación nacional neozelandesa de prevenir y combatir los delitos enumerados en el anexo II del presente Acuerdo («autoridades competentes de Nueva Zelanda») y, en el caso de la Unión Europea, Europol.
d)«Organismos de la Unión»: las instituciones, entidades, misiones, oficinas y agencias creadas por o sobre la base del Tratado de la Unión Europea y el Tratado de Funcionamiento de la Unión Europea, enumerados en el anexo III del presente Acuerdo.
e)«Delitos»: los tipos de delitos enumerados en el anexo I y los delitos conexos. Los delitos están relacionados con los tipos de delitos enumerados en el anexo I si se cometen con objeto de procurarse los medios para perpetrar, facilitar o cometer y asegurar la impunidad de quienes cometen este tipo de delitos.
f)«Datos personales»: toda información sobre un interesado.
g)«Interesado»: una persona física identificada o identificable; es decir, persona cuya identidad pueda determinarse, directa o indirectamente en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, unos datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
h)«Datos genéticos»: todos los datos personales relativos a las características genéticas de una persona que hayan sido heredadas o adquiridas, que proporcionen una información única sobre la fisiología o la salud de esa persona y que sean obtenidos en particular del análisis de una muestra biológica de la persona de que se trate.
i)«Tratamiento»: cualquier operación o conjunto de operaciones, efectuadas o no con medios automáticos, aplicadas a datos personales o a conjuntos de datos personales, como la recogida, la anotación, la organización, la conservación, la adaptación o alteración, la extracción, la consulta, la utilización, la divulgación mediante transmisión, la difusión o cualquier otra forma puesta a disposición, la alineación o combinación, el bloqueo y la cancelación o destrucción.
j)«Información»: los datos personales.
k)«Violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione, de forma accidental o ilícita, la destrucción, la pérdida o alteración, la comunicación no autorizada o el acceso a datos personales transmitidos, conservados o tratados de otra forma.
l)«Autoridad de control»: una o varias autoridades nacionales independientes que son, por separado o en conjunto, responsables de la protección de datos en el sentido del artículo 16 del presente Acuerdo y que han sido notificadas de conformidad con dicho artículo.
Es posible que esto incluya a aquellas autoridades cuya responsabilidad abarque también otros derechos humanos;
m)«Organización internacional»: una organización y sus organismos subordinados de Derecho internacional público, o cualquier otro organismo creado por, o basado en, un acuerdo entre dos o más países.
Artículo 3
Finalidades del tratamiento de datos personales
1.Los datos personales solicitados y recibidos en virtud del presente Acuerdo serán tratados únicamente con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, dentro de los límites del artículo 4, apartado 5, y de los mandatos respectivos de las autoridades competentes.
2.Las autoridades competentes indicarán claramente, a más tardar en el momento de la transferencia de datos personales, la finalidad o finalidades específicas para las que se están transfiriendo los datos. Para transferencias a Europol, el fin o fines de dicha transferencia se especificará de acuerdo con los fines específicos de tratamiento establecidos en el mandato de Europol.
Capítulo II - Intercambio de información y protección de datos
Artículo 4
Principios generales en materia de protección de datos
1.Cada parte contratante dispondrá que los datos personales intercambiados en virtud del presente Acuerdo sean:
a)tratados de manera leal, lícita y exclusivamente para los fines para los que hayan sido transferidos de conformidad con el artículo 3;
b)adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados;
c)exactos y actualizados, para lo que cada Parte contratante dispondrá que las autoridades competentes tomen todas las medidas razonables para garantizar que los datos personales que sean inexactos con respecto a los fines para los que son tratados se supriman o rectifiquen sin demora injustificada;
d)conservados en una forma que permita identificar al interesado durante un período no superior al necesario para lo fines para los que se someten a tratamiento;
e)tratados de un modo que garantice una seguridad adecuada de los datos personales.
2.La autoridad competente transmisora podrá indicar, en el momento de la transferencia de los datos personales, cualquier limitación del acceso a los mismos o el uso que deba hacerse de ellos, en términos generales o específicos, así como en lo que se refiere a su transferencia ulterior, supresión o destrucción después de un determinado período de tiempo, o al tratamiento ulterior de los mismos. Cuando la necesidad de tales limitaciones se manifieste después de que se hayan facilitado los datos personales, la autoridad competente transmisora informará de ello a la autoridad receptora.
3.Cada Parte contratante velará por que la autoridad competente receptora cumpla cualquier restricción de acceso o de ulterior utilización de los datos personales indicada por la autoridad competente transmisora, tal como se describe en el apartado 2.
4.Las Partes contratantes dispondrán que sus autoridades competentes apliquen las medidas técnicas y organizativas apropiadas para poder demostrar que el tratamiento de datos será conforme con el presente Acuerdo y que se protegerán los derechos de los interesados afectados.
5.Las Partes contratantes velarán por que las autoridades competentes no transfieran los datos personales que se hayan obtenido en vulneración manifiesta de los derechos humanos reconocidos por las normas de Derecho internacional vinculantes para las Partes contratantes. Las Partes contratantes garantizarán que los datos personales recibidos no se utilizarán para solicitar, dictar o ejecutar la pena capital u otra forma de trato cruel o inhumano.
6.Las Partes contratantes velarán por que se lleve un registro de todas las transferencias de datos personales con arreglo al presente Acuerdo y de la finalidad o finalidades de dichas transferencias.
Artículo 5
Categorías especiales de datos personales y categorías diferentes de interesados
1.La transferencia de datos personales de víctimas de infracciones penales, testigos u otras personas que pudieran facilitar información sobre infracciones penales, así como de menores de dieciocho años estará prohibida, a menos que la transferencia sea estrictamente necesaria, razonable y proporcionada en casos concretos para la prevención o la lucha contra una infracción penal.
2.La transferencia de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, así como el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud, a la vida sexual o a las orientaciones sexuales de una persona física solo se permitirá cuando sea estrictamente necesario, razonable y proporcionado en casos individuales para prevenir o combatir una infracción penal y si dichos datos, salvo los datos biométricos, complementan otros datos personales.
3.Las Partes contratantes velarán por que el tratamiento de datos personales en virtud de los apartados 1 y 2 esté sujeto a salvaguardias adicionales ante riesgos específicos, entre ellas las restricciones de acceso, las medidas de seguridad adicionales en el sentido del artículo 15 y las limitaciones a las transferencias ulteriores en virtud del artículo 7.
Artículo 6
Tratamiento automatizado de datos personales
Estarán prohibidas las decisiones basadas únicamente en un tratamiento automatizado de los datos personales intercambiados, incluida la elaboración de perfiles, que produzcan efectos jurídicos negativos para el interesado o le afecten significativamente, salvo que la ley lo autorice para la prevención y lucha contra infracciones penales, y que ofrezca garantías adecuadas para salvaguardar los derechos y libertades del interesado, incluido al menos el derecho a obtener la intervención humana.
Artículo 7
Transferencia ulterior de los datos personales recibidos
1.Nueva Zelanda velará por que sus autoridades competentes solo transfieran datos personales recibidos en virtud del presente Acuerdo a otras autoridades de Nueva Zelanda si:
a)Europol ha dado su autorización explícita previa.
b)La finalidad de la transferencia ulterior es la misma que la finalidad original de la transferencia por parte de Europol o está directamente relacionada, dentro de los límites del artículo 3, con dicha finalidad original.
c)La transferencia ulterior está sujeta a las mismas condiciones y garantías que las aplicables a la transferencia original.
2.Sin perjuicio de lo dispuesto en el artículo 4, apartado 2, no se requerirá autorización previa cuando la autoridad receptora sea ella misma una autoridad competente de Nueva Zelanda. Lo mismo se aplica a la capacidad de Europol de compartir datos personales con las autoridades responsables en los Estados miembros de la Unión Europea de la prevención y la lucha contra delitos y los organismos de la Unión enumerados en el Anexo III.
3.Nueva Zelanda velará por que se prohíban las transferencias ulteriores de datos personales recibidos por sus autoridades competentes en virtud del presente Acuerdo a las autoridades de un tercer país o a una organización internacional, a menos que se cumplan las siguientes condiciones:
a)la transferencia se refiere a datos personales distintos a los contemplados en el artículo 5 del Acuerdo;
b)Europol ha dado su autorización explícita previa;
c)la finalidad de la transferencia ulterior es la misma que la finalidad original de la transferencia por parte de Europol, y;
d)la transferencia ulterior está sujeta a las mismas condiciones y garantías que las aplicables a la transferencia original.
4.Europol solo podrá conceder su autorización con arreglo al apartado 3, letra b), para una transferencia ulterior a la autoridad de un tercer país o a una organización internacional si existe una decisión de adecuación, un acuerdo internacional que ofrezca garantías adecuadas con respecto a la protección de la intimidad y los derechos y libertades fundamentales de las personas, un acuerdo de cooperación o cualquier otro motivo futuro de Derecho para las transferencias de datos personales el sentido del Reglamento de Europol que regule la transferencia ulterior.
5.La Unión Europea velará por que se prohíban las transferencias ulteriores de datos personales recibidos por parte de Europol en virtud del presente Acuerdo a los organismos de la Unión Europea no enumerados en el anexo III, a las autoridades de terceros países o a una organización internacional, a menos que:
a)la transferencia se refiere a datos personales distintos a los contemplados en el artículo 5 del Acuerdo;
b)Nueva Zelanda haya dado su autorización explícita previa;
c)la finalidad de la transferencia ulterior sea la misma que la finalidad original de la transferencia por parte de Nueva Zelanda, y;
d)haya vigente una decisión de adecuación, un acuerdo internacional que ofrezca salvaguardias adecuadas con respecto a la protección de la intimidad y de los derechos y libertades fundamentales de las personas o un acuerdo de cooperación en el sentido del Reglamento de Europol con ese tercer país u organización internacional.
Artículo 8
Valoración de la fiabilidad de la fuente y la exactitud de la información
1.Las autoridades competentes indicarán, en la medida de lo posible, a más tardar en el momento de la transferencia de la información, la fiabilidad de la fuente de información sobre la base de uno o varios de los siguientes criterios:
1.cuando no quepa duda sobre la autenticidad, veracidad y competencia de la fuente, o si la información es suministrada por una fuente que en el pasado haya resultado ser fiable en todos los casos;
2.cuando la información sea facilitada por una fuente que en el pasado haya resultado ser fiable en la mayoría de los casos;
3.cuando la información sea facilitada por una fuente que haya resultado ser poco fiable en la mayoría de los casos;
4.cuando no pueda determinarse la fiabilidad de la fuente.
2.Las autoridades competentes indicarán, en la medida de lo posible, a más tardar en el momento de la transferencia de la información, la exactitud de la información de acuerdo con los siguientes criterios:
1.información cuya exactitud no se ponga en duda en el momento de la transferencia;
2.información conocida personalmente por la fuente, pero no conocida personalmente por el funcionario que la transmite;
3.información no conocida personalmente por la fuente, pero corroborada por otra información ya registrada;
4.cuando la información no sea conocida personalmente por la fuente y no pueda ser corroborada de ninguna manera.
3.Cuando la autoridad competente receptora, sobre la base de la información que ya posee, llegue a la conclusión de que se debe corregir la evaluación de la información o de la fuente facilitada por la autoridad competente de transferencia, de conformidad con los apartados 1 y 2, informará a la autoridad competente e intentará acordar una modificación de dicha evaluación. La autoridad competente receptora no modificará la evaluación de la información recibida o de su fuente sin ese acuerdo.
4.Si una autoridad competente recibe información sin una evaluación, tratará de evaluar, en la medida de lo posible y de acuerdo con la autoridad competente de transferencia, la fiabilidad de la fuente o la exactitud de la información sobre la base de los datos que ya obren en su poder.
5.Si no se puede hacer una evaluación fiable, la información se evaluará de conformidad con los apartados 1 (4) y 2 (4).
DERECHOS DE LOS INTERESADOS
Artículo 9
Derecho de acceso
1.Las Partes contratantes velarán por que el interesado tenga derecho a obtener información sobre si los datos personales que le conciernen se tratan en el marco del presente Acuerdo y, en su caso, el acceso al menos a la siguiente información:
a)confirmación de si se están tratando o no datos que guarden relación con su persona;
b)información sobre, al menos, los fines de la operación de tratamiento, las categorías de datos implicadas y, en su caso, los destinatarios o categorías de destinatarios a quienes se divulguen los datos;
c)la existencia del derecho a solicitar al responsable del tratamiento la rectificación, corrección, supresión o eliminación de los datos personales relativos al interesado, o la limitación de su tratamiento;
d)indicación de la base jurídica con arreglo a la cual se realizará el tratamiento de los datos;
e)de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
f)comunicación en forma inteligible de los datos personales objeto de tratamiento, así como cualquier información disponible sobre el origen de los datos;
2.En los casos en que se ejerza el derecho de acceso, se consultará a la Parte que realiza la transferencia sobre una base no vinculante antes de que se adopte una decisión definitiva sobre la solicitud.
3.Las Partes contratantes podrán disponer que el suministro de información en respuesta a cualquier solicitud con arreglo al apartado 1 se retrase, deniegue o limite en la medida y durante el tiempo en que dicha denegación o limitación constituya una medida necesaria, razonable y proporcionada, teniendo en cuenta los derechos e intereses fundamentales del interesado, con el fin de:
a)garantizar que no se pongan en peligro ninguna investigación ni enjuiciamiento penal,
b)proteger los derechos y libertades de terceros o
c)proteger la seguridad nacional y el orden público y prevenir delitos.
4.Las Partes contratantes velarán por que la autoridad competente informe por escrito al interesado de cualquier retraso, denegación o restricción de acceso y de los motivos de tal retraso, denegación o limitación. Dichos motivos podrán omitirse cuando ello menoscabe la finalidad del retraso, la denegación o la restricción con arreglo al apartado 3. La autoridad competente informará al interesado de las posibilidades de presentar una reclamación ante las autoridades de control respectivas y de otras vías de recurso disponibles previstas en sus respectivos marcos jurídicos.
Artículo 10
Derecho de rectificación, corrección, supresión, eliminación y restricción
1.Las Partes contratantes dispondrán que todo interesado tenga derecho a solicitar a las autoridades competentes que corrijan y rectifiquen los datos personales inexactos relativos al interesado transferidos en virtud del presente Acuerdo. Teniendo en cuenta los fines del tratamiento, esto incluye el derecho a que se completen los datos personales incompletos transferidos en virtud del Acuerdo.
2.La rectificación y corrección incluirá la supresión y eliminación de datos personales que ya no sean necesarios para los fines para los que se tratan.
3.Las Partes contratantes podrán prever la restricción del tratamiento en lugar de la supresión y eliminación de los datos personales, tal y como se contempla en el apartado 2, en caso de que hubiera motivos razonables para suponer que la supresión y eliminación podrían perjudicar intereses legítimos del interesado.
4.Las autoridades competentes se informarán mutuamente de las medidas tomadas en virtud de los apartados 1, 2 y 3. La autoridad competente receptora rectificará, corregirá, suprimirá o restringirá el tratamiento de dichos datos de conformidad con las medidas adoptadas por la autoridad competente transmisora.
5.Las Partes contratantes dispondrán que la autoridad competente que haya recibido la petición informe al interesado por escrito, sin demora indebida, y en cualquier caso en el plazo de tres meses a partir de la recepción de la solicitud, de conformidad con los apartados 1 o 2, de que los datos que le conciernen han sido rectificados, corregidos, suprimidos, eliminados o restringidos en su tratamiento.
6.Las Partes contratantes velarán por que la autoridad competente que haya recibido la solicitud informe por escrito al interesado sin demora indebida y en cualquier caso en el plazo de tres meses a partir de la recepción de la solicitud de cualquier denegación de rectificación, corrección, supresión, eliminación o restricción del tratamiento, de las razones de dicha denegación y de la posibilidad de presentar una reclamación ante las autoridades de control respectivas y de otras vías de recurso disponibles en los marcos jurídicos respectivos.
Artículo 11
Notificación de una violación de la seguridad de datos personales a las autoridades afectadas
1.Las Partes contratantes velarán, en el caso de una violación de la seguridad de los datos personales que afecte a los datos personales transferidos en virtud del Acuerdo, que las respectivas autoridades competentes se notifiquen dicha violación sin demora, así como a sus respectivas autoridades de control, y adopten medidas para mitigar sus posibles efectos adversos.
2.La notificación deberá, como mínimo:
a)describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
b)describir las posibles consecuencias de la violación de la seguridad de datos personales;
c)describir las medidas adoptadas o propuestas por la autoridad competente para poner remedio a la violación de la seguridad de los datos personales, incluidas las medidas adoptadas para mitigar los posibles efectos negativos.
3.En la medida en que no sea posible facilitar toda la información requerida al mismo tiempo, podrá facilitarse por fases. La información pendiente se facilitará sin más demora injustificada.
4.Las Partes contratantes dispondrán que sus respectivas autoridades competentes documenten toda violación de la seguridad de los datos personales que afecte a datos personales transferidos en virtud del presente Acuerdo, incluidos los hechos relativos a la violación, sus efectos y las medidas correctoras adoptadas, permitiendo así a sus respectivas autoridades de control verificar el cumplimiento del presente artículo.
Artículo 12
Comunicación de una violación de la seguridad de los datos personales al interesado
1.Las Partes contratantes dispondrán que, cuando sea probable que la violación de la seguridad de los datos personales como se menciona en el artículo 11 tenga un efecto adverso grave para los derechos y libertades de las personas físicas, sus respectivas autoridades competentes comuniquen al interesado, sin dilación indebida, la violación de la seguridad de los datos personales.
2.En la comunicación al interesado según lo dispuesto en el apartado 1 se describirá, a ser posible, la naturaleza de la violación de seguridad de los datos personales, se recomendarán medidas para mitigar los posibles efectos adversos de la violación y, además, se incluirán el nombre y la información de contacto del punto de contacto de quien se puede obtener más información.
3.La comunicación al interesado a la que se hace referencia en el apartado 1 no será necesaria si:
a)los datos personales afectados por la violación han sido objeto de medidas de protección tecnológica adecuadas que hacen ininteligibles los datos para cualquier persona que no esté autorizada a acceder a ellos;
b)se han tomado medidas ulteriores que garantizan que ya no sea probable que los derechos y libertades del interesado se vean gravemente afectados; o
c)dicha comunicación supone una carga desproporcionada, en particular habida cuenta del número de casos afectados. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.
4.La comunicación al interesado podrá retrasarse, restringirse u omitirse cuando sea probable que dicha comunicación:
a)obstruya indagaciones, investigaciones o procedimientos administrativos o judiciales;
b)perjudique la prevención, detección, investigación y enjuiciamiento de infracciones penales o la ejecución de sanciones penales, el orden público o la seguridad nacional;
c)afecte a los derechos y libertades de terceros;
siempre y cuando ello sea una medida necesaria y proporcionada, teniendo debidamente en cuenta los intereses legítimos de la persona de que se trate.
Artículo 13
Conservación, revisión, corrección y supresión de datos personales
1.Las Partes contratantes dispondrán que se establezcan plazos adecuados para la conservación de los datos personales recibidos en virtud del presente Acuerdo o para la revisión periódica de la necesidad de conservación de dichos datos, de modo que no se conserven más tiempo del necesario para el fin para el que se transfieren.
2.En cualquier caso, la necesidad de seguir conservando dichos datos se revisará a más tardar tres años después de su transferencia y, si no se adopta ninguna decisión justificada y documentada sobre la continuación del almacenamiento de los datos personales, dichos datos se borrarán de forma automáticamente transcurridos tres años.
3.Cuando una autoridad competente tenga motivos para creer que los datos personales anteriormente transferidos por ella son incorrectos, inexactos, han dejado de estar actualizados o no deberían haber sido transmitidos, informará de ello a la autoridad competente receptora, quien corregirá o suprimirá los datos personales y lo notificará a la autoridad transmisora.
4.Cuando una autoridad competente tenga motivos para creer que los datos personales anteriormente recibidos por ella son incorrectos, inexactos, han dejado de estar actualizados o no deberían haber sido transmitidos, informará de ello a la autoridad competente transmisora, quien expondrá su posición al respecto. Cuando la autoridad competente transmisora llegue a la conclusión de que los datos personales son incorrectos, inexactos, han dejado de estar actualizados o no deberían haber sido transmitidos, informará de ello a la autoridad competente receptora, quien corregirá o suprimirá los datos personales y lo notificará a la autoridad transmisora.
Artículo 14
Registro y documentación
Las Partes contratantes dispondrán la conservación de registros de la recogida; la modificación; el acceso; la divulgación, incluidas las transferencias ulteriores; la combinación y la supresión de datos personales.
Dichos registros o documentación se pondrán a disposición de la autoridad de control respectiva previa solicitud para la verificación de la legalidad del tratamiento de datos, el autocontrol y la garantía de la integridad y seguridad adecuadas de los datos.
Artículo 15
Seguridad de los datos
Las Partes contratantes garantizarán la aplicación de medidas técnicas y organizativas para proteger los datos personales intercambiados en virtud del presente Acuerdo.
En lo que respecta al tratamiento automatizado de datos, las Partes contratantes velarán por la aplicación de medidas destinadas a:
a)denegar a las personas no autorizadas el acceso a los equipamientos utilizados para el tratamiento de datos personales (control del acceso a los equipamientos);
b)impedir que los soportes de datos se puedan leer, copiar, modificar o retirar sin autorización (control de los soportes de datos);
c)impedir que se introduzcan sin autorización datos personales conservados, o que estos puedan inspeccionarse, modificarse o suprimirse sin autorización (control del almacenamiento);
d)impedir que los sistemas de tratamiento automatizado de datos puedan ser utilizados por personas no autorizadas por medio de equipamientos de transmisión de datos (control del usuario);
e)garantizar que las personas autorizadas para utilizar un sistema de tratamiento automatizado solo puedan tener acceso a los datos personales para los que han sido autorizados (control del acceso a los datos);
f)garantizar la posibilidad de verificar y determinar a qué organismos pueden transmitirse o se han transmitido datos personales utilizando equipamientos de transmisión de datos (control de la transmisión);
g)garantizar la posibilidad de verificar y determinar qué datos personales se han introducido en los sistemas de tratamiento automatizado de datos, en qué momento y por quién (control de la introducción de datos);
h)garantizar que sea posible verificar y establecer qué miembro del personal ha accedido a qué datos y a qué hora (registro de acceso);
i)impedir que durante las transferencias de datos personales o durante el transporte de soportes de datos, los datos personales puedan ser leídos, copiados, modificados o suprimidos sin autorización (control del transporte);
j)garantizar que los sistemas utilizados puedan repararse rápidamente en caso de avería (restablecimiento);
k)garantizar que las funciones del sistema no presenten defectos, que los errores de funcionamiento se señalen de forma inmediata (fiabilidad) y que los datos almacenados no se falseen por defectos de funcionamiento del sistema (autenticidad).
Artículo 16
Autoridad de control
1.Cada Parte contratante garantizará que una autoridad pública independiente responsable de la protección de datos (autoridad de control) supervise aquellos asuntos que afectan a la intimidad de las personas, incluidas las normas nacionales relevantes en virtud del presente Acuerdo, para proteger los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos personales. Las Partes contratantes se notificarán mutuamente la autoridad que cada una de ellas considere autoridad de control en el sentido del presente artículo.
2.Las Partes contratantes garantizarán que la autoridad de control actúe con total independencia en el desempeño de sus funciones y en el ejercicio de sus poderes. Dicha autoridad actuará sin influencia externa y no solicitará ni aceptará instrucciones. Sus miembros tendrán un mandato seguro, que incluya garantías contra la destitución arbitraria.
3.Las Partes contratantes velarán por que cada autoridad de control disponga de los recursos humanos, técnicos y financieros, así como de los locales e infraestructuras necesarios para el desempeño efectivo de sus funciones y el ejercicio de sus competencias.
4.Las Partes contratantes velarán por que cada autoridad de control disponga de poderes efectivos de investigación e intervención para supervisar los organismos que supervisa y para emprender acciones judiciales.
5.Las Partes contratantes velarán por que cada autoridad de control esté facultada para conocer de las reclamaciones de particulares sobre el uso de sus datos personales por las autoridades competentes bajo su supervisión.
Artículo 17
Recursos administrativos y judiciales
Los interesados tendrán derecho a un recurso administrativo y judicial efectivo en caso de violación de los derechos y garantías reconocidos en el presente Acuerdo como consecuencia del tratamiento de sus datos personales. Las Partes contratantes se notificarán mutuamente la legislación nacional que cada una de ellas considere que prevé los derechos garantizados en virtud del presente artículo.
Capítulo III - Diferencias
Artículo 18
Solución de diferencias
Todas las diferencias que puedan surgir en relación con la interpretación, aplicación o ejecución del presente Acuerdo, así como cualquier asunto relacionado con el mismo, darán lugar a consultas y negociaciones entre representantes de las Partes contratantes con vistas a alcanzar una solución mutuamente aceptable.
Artículo 19
Cláusula suspensiva
1.En caso de incumplimiento grave o incumplimiento de las obligaciones derivadas de las disposiciones del presente Acuerdo, las Partes Contratantes podrán suspender el presente Acuerdo de forma temporal por completo o parcialmente mediante notificación escrita a la otra Parte por vía diplomática. Dicha notificación por escrito no podrá efectuarse hasta después de que las Partes contratantes hayan abierto un período razonable de consulta sin llegar a una resolución, y la suspensión entrará en vigor veinte días después de la fecha de recepción de dicha notificación. Dicha suspensión podrá ser levantada por la Parte contratante que lo suspenda previa notificación por escrito a la otra Parte contratante. El levantamiento de la suspensión tendrá lugar inmediatamente después de la recepción de la citada notificación.
2.A pesar de la suspensión del presente Acuerdo, los datos personales que entren en el ámbito de su aplicación y hayan sido transferidos con anterioridad a dicha suspensión seguirán tratándose de conformidad con las disposiciones del presente Acuerdo.
Artículo 20
Denuncia del Acuerdo
1.Cualquiera de las Partes contratantes podrá denunciar el presente Acuerdo en cualquier momento mediante notificación escrita por vía diplomática, con un preaviso de tres meses.
2.Los datos personales incluidos en el ámbito de aplicación del presente Acuerdo y transferidos antes de su denuncia seguirán siendo tratados de conformidad con las disposiciones del presente Acuerdo en el momento de la denuncia.
3.En caso de denuncia, las Partes contratantes llegarán a un acuerdo sobre la continuación de la utilización y el almacenamiento de la información ya comunicada entre ellas.
Capítulo IV - Disposiciones finales
Artículo 21
Relación con otros instrumentos internacionales
1.El presente Acuerdo no prejuzgará ni afectará de otro modo a las disposiciones jurídicas con respecto al intercambio de información previsto por cualquier tratado de asistencia judicial mutua, por cualquier otro acuerdo de cooperación o en las relaciones de trabajo en materia policial para el intercambio de información entre Nueva Zelanda y cualquier Estado miembro de la Unión Europea.
2.El presente Acuerdo complementará el Acuerdo de trabajo por el que se establecen relaciones de cooperación entre la policía neozelandesa y la Agencia de la Unión Europea para la Cooperación Policial.
Artículo 22
Disposiciones administrativo de aplicación
Los pormenores de la cooperación entre las Partes contratantes correspondientes para la aplicación del presente Acuerdo serán objeto de un acuerdo administrativo de aplicación celebrado entre Europol y las autoridades competentes de Nueva Zelanda de conformidad con el Reglamento de Europol.
Artículo 23
Acuerdo administrativo sobre confidencialidad
El intercambio de información clasificada de la UE, si es necesario en virtud del presente Acuerdo, será regulado por un acuerdo administrativo sobre confidencialidad celebrado entre Europol y las autoridades competentes de Nueva Zelanda.
Artículo 24
Punto de contacto nacional y funcionarios de enlace
1.Nueva Zelanda designará un punto de contacto nacional que actuará como el punto de contacto central entre Europol y las autoridades competentes de Nueva Zelanda. Las tareas específicas del punto de contacto serán enumeradas en el acuerdo administrativo de aplicación con arreglo al artículo 22, apartado 1. El punto de contacto nacional designado para Nueva Zelanda se indica en el anexo IV.
2.Europol y Nueva Zelanda reforzarán su cooperación tal y como se establece en el presente Acuerdo mediante el despliegue de funcionarios de enlace por parte de Nueva Zelanda. Europol podrá enviar uno o varios funcionarios de enlace a Nueva Zelanda.
Artículo 25
Gastos
Las Partes contratantes velarán por que las autoridades competentes sufraguen sus propios gastos derivados de la aplicación del presente Acuerdo, salvo disposición en contrario del mismo o del acuerdo administrativo.
Artículo 26
Notificación de la aplicación
1.Cada Parte contratante dispondrá que las autoridades competentes pongan a disposición del público un documento en el que se expongan de forma inteligible las disposiciones relativas al tratamiento de los datos personales transferidos en virtud del presente Acuerdo, incluidos los medios disponibles para el ejercicio de los derechos de los interesados. Cada Parte contratante velará por que se notifique una copia de dicho documento a la otra Parte contratante.
2.Cuando aún no existan, las autoridades competentes adoptarán normas que especifiquen cómo se garantizará en la práctica el cumplimiento de las disposiciones relativas al tratamiento de datos personales. Se notificará una copia de estas normas a la otra Parte contratante y a las respectivas autoridades de control.
Artículo 27
Entrada en vigor y aplicación
1.El presente Acuerdo será aprobado por las Partes contratantes de conformidad con sus propios procedimientos.
2.El presente Acuerdo entrará en vigor en la fecha de recepción de la última notificación escrita en la que las Partes contratantes se hayan notificado mutuamente, por vía diplomática, que han concluido los procedimientos a que se hace referencia en el apartado 1.
3.El presente Acuerdo entrará en vigor el primer día siguiente a la fecha en que se cumplan todas las condiciones siguientes:
a)el acuerdo administrativo de aplicación establecido en el artículo 22 ha pasado a ser aplicable;
b)las Partes Contratantes se han notificado mutuamente que se han cumplido las obligaciones establecidas en el presente Acuerdo, incluidas las establecidas en el artículo 26, y dicha notificación ha sido aceptada.
4.Las Partes Contratantes intercambiarán por vía diplomática notificaciones escritas que confirmen el cumplimiento de las condiciones mencionadas.
Artículo 28
Modificaciones y suplementos
1.El presente Acuerdo podrá modificarse por escrito en cualquier momento, de común acuerdo entre las Partes contratantes, mediante notificación escrita intercambiada entre ellas por vía diplomática. Las modificaciones entrarán en vigor con arreglo al mismo procedimiento legal establecido en los apartados 1 y 2 del artículo 27.
2.Los anexos del presente Acuerdo podrán actualizarse, cuando sea necesario, mediante el intercambio de notas diplomáticas. Dichas actualizaciones entrarán en vigor de conformidad con los apartados 1 y 2 del artículo 27.
3.Las Partes contratantes iniciarán consultas sobre la modificación del presente Acuerdo o de sus anexos a petición una de las Partes.
Artículo 29
Revisión y evaluación
1.Las Partes contratantes revisarán conjuntamente la aplicación del presente Acuerdo un año después de su entrada en vigor y, posteriormente, a intervalos regulares y adicionalmente, a petición de cualquiera de las Partes y por decisión conjunta.
2.Las Partes contratantes evaluarán conjuntamente el presente Acuerdo cuatro años después de su entrada en vigor.
3.Las Partes contratantes decidirán por adelantado las modalidades de la revisión de la aplicación del Acuerdo y se comunicarán mutuamente la composición de sus respectivos equipos. Los equipos incluirán expertos pertinentes en protección de datos y aplicación de las leyes. Sin perjuicio de las disposiciones legales aplicables, los participantes en la revisión conjunta deberán contar con la correspondiente habilitación de seguridad y tendrán la obligación de respetar el carácter confidencial de los debates. A efectos de cualquier revisión, Nueva Zelanda y la Unión Europea garantizarán el acceso a la documentación, los sistemas y el personal pertinentes.
Artículo 30
Aplicación territorial
1.El presente Acuerdo se aplicará en el territorio en el que son aplicables el Tratado de la Unión Europea y el Tratado de Funcionamiento de la Unión Europea y en el territorio de Nueva Zelanda.
2.El presente Acuerdo solo se aplicará al territorio de Dinamarca o Irlanda si la Unión Europea notifica por escrito a Nueva Zelanda que Dinamarca o Irlanda han decidido quedar vinculados a este Acuerdo.
3.Si la Unión Europea notifica a Nueva Zelanda antes de la entrada en vigor del presente Acuerdo que este se aplicará al territorio de Dinamarca o de Irlanda, el presente Acuerdo se aplicará al territorio de dicho Estado miembro el mismo día en que se aplique a los demás Estados miembros de la Unión Europea.
4.Si la Unión Europea notifica a Nueva Zelanda después de la entrada en vigor del presente Acuerdo que este se aplica al territorio de Dinamarca o de Irlanda, el presente Acuerdo se aplicará al territorio de dicho Estado miembro 30 días después de la fecha de la notificación.
Hecho en ..., el ... por duplicado en alemán, búlgaro, checo, croata, danés, eslovaco, esloveno, español, estonio, finés, francés, griego, húngaro, inglés, italiano, letón, lituano, maltés, neerlandés, polaco, portugués, rumano y sueco, siendo todos los textos igualmente auténticos.
Por Nueva Zelanda Por la UE
Anexo I: áreas de delincuencia
Los delitos se definen en el artículo 2 como:
–terrorismo,
–delincuencia organizada,
–narcotráfico,
–actividades de blanqueo de capitales,
–delitos relacionados con materiales nucleares o sustancias radiactivas,
–tráfico de inmigrantes,
–trata de seres humanos,
–delincuencia relacionada con vehículos de motor,
–homicidio voluntario, agresión con lesiones graves,
–tráfico ilícito de órganos y tejidos humanos,
–secuestro, detención ilegal y toma de rehenes,
–racismo y xenofobia,
–robo y hurto con agravantes,
–tráfico ilícito de bienes culturales, incluidas las antigüedades y obras de arte,
–estafa y fraude,
–delitos contra los intereses financieros de la Unión,
–operaciones con información privilegiada y manipulación del mercado financiero,
–chantaje y extorsión,
–falsificación y piratería,
–falsificación de documentos administrativos y tráfico de documentos administrativos falsos,
–falsificación de moneda y de medios de pago,
–ciberdelincuencia,
–corrupción,
–tráfico ilícito de armas, municiones y explosivos,
–tráfico ilícito de especies en peligro de extinción,
–tráfico ilícito de especies y variedades vegetales protegidas,
–delitos contra el medio ambiente, incluida la contaminación procedente de buques,
–tráfico ilícito de sustancias hormonales y otros factores de crecimiento,
–abusos sexuales y explotación sexual, incluido el material sobre abuso de menores y la captación de menores con fines sexuales,
–genocidio, crímenes contra la humanidad y crímenes de guerra.
Las formas de delincuencia a las que se refiere el presente anexo serán evaluadas por las autoridades competentes de Nueva Zelanda de conformidad con la legislación de Nueva Zelanda.
Anexo II: autoridades competentes de Nueva Zelanda y sus competencias
Las autoridades competentes de Nueva Zelanda a las que Europol podrá transferir datos son las siguientes:
|
Autoridad |
|
|
Policía de Nueva Zelanda (como autoridad competente principal) |
|
|
Administración aduanera de Nueva Zelanda |
|
|
Servicio de Inmigración de Nueva Zelanda |
|
Anexo III — Lista de organismos de la Unión
Misiones y operaciones comunes de seguridad y defensa, limitadas a las actividades policiales.
Oficina Europea de Lucha contra el Fraude (OLAF)
Agencia Europea de la Guardia de Fronteras y Costas (Frontex)
Banco Central Europeo (BCE)
Fiscalía Europea (OEPP)
Agencia de la Unión Europea para la Cooperación Judicial Penal (Eurojust)
Oficina de Propiedad Intelectual de la Unión Europea (EUIPO)
Anexo IV: punto de contacto nacional
El punto de contacto nacional central para que Nueva Zelanda actúe como punto de contacto central entre Europol y las autoridades competentes de Nueva Zelanda queda designado como:
Policía de Nueva Zelanda
Nueva Zelanda tendrá la obligación de informar a Europol en caso de que cambie el punto de contacto