COMISIÓN EUROPEA
Bruselas, 22.2.2023
COM(2023) 97 final
ANEXO
de la
Recomendación de DECISIÓN DEL CONSEJO
por la que se autoriza la apertura de negociaciones para la celebración de un Acuerdo entre la Unión Europea y la República del Ecuador sobre el intercambio de datos de carácter personal entre la Agencia de la Unión Europea para la Cooperación Policial (Europol) y las autoridades ecuatorianas competentes en materia de lucha contra la delincuencia grave y el terrorismo
ANEXO
Directrices para la negociación de un Acuerdo entre la Unión Europea y la República del Ecuador sobre el intercambio de datos personales entre la Agencia de la Unión Europea para la Cooperación Policial (Europol) y las autoridades ecuatorianas competentes en materia de lucha contra la delincuencia grave y el terrorismo
Durante las negociaciones, la Comisión debe tratar de conseguir los objetivos que se detallan a continuación:
1)El objetivo general del Acuerdo será establecer una base jurídica para la transmisión de datos personales entre Europol y las autoridades competentes de la República del Ecuador, respectivamente, para apoyar y reforzar la acción de las autoridades competentes de este país y de los Estados miembros, así como su cooperación mutua en la prevención y la lucha contra el terrorismo y los delitos transnacionales graves, proporcionando al mismo tiempo garantías apropiadas con respecto a la protección de la privacidad, los datos personales y los derechos y libertades fundamentales de las personas.
2)Para garantizar la delimitación de dicho objetivo, la cooperación y el intercambio de datos en virtud del Acuerdo se referirán solo a los delitos e infracciones penales que formen parte de las competencias de Europol de conformidad con el artículo 3 del Reglamento (UE) 2016/794 (en lo sucesivo, conjuntamente, «infracciones penales»). En particular, la cooperación ha de tener por objeto la prevención y la lucha contra el terrorismo y la desarticulación de la delincuencia organizada y la lucha contra el tráfico de drogas y la ciberdelincuencia. El Acuerdo concretará su ámbito de aplicación y los fines con los que Europol puede transferir datos a las autoridades competentes de la República del Ecuador.
3)El Acuerdo establecerá con claridad y precisión las salvaguardias y controles necesarios para la protección de datos personales y de los derechos fundamentales y las libertades de las personas, con independencia de su nacionalidad y de su lugar de residencia, al intercambiar datos personales entre Europol y las autoridades ecuatorianas competentes. Además de las garantías que se fijan más adelante, estas velarán por exigir que la transmisión de datos personales esté sujeta a obligaciones de confidencialidad y que dichos datos no se empleen para solicitar, dictar o ejecutar una pena de muerte ni ningún otro tipo de trato cruel o inhumano, sin perjuicio de otras garantías adicionales que se puedan requerir.
En particular:
a)El Acuerdo contendrá definiciones de términos clave conformes con el artículo 3, apartado 1, del Reglamento (CE) n.º 2016/680.
b)El Acuerdo respetará el principio de especificidad, que garantiza que los datos no se tratarán para fines distintos de aquellos para los que se han transmitido. Por consiguiente, los fines del tratamiento de los datos personales por las Partes en el contexto del Acuerdo se detallarán de forma clara y precisa y no serán más amplios de lo necesario en casos concretos para la prevención del terrorismo y las infracciones penales y la lucha contra los mismos a que se hace referencia en el Acuerdo.
c)Los datos personales transmitidos por Europol de conformidad con el Acuerdo serán tratados de forma leal, sobre una base legítima y únicamente para los fines para los que hayan sido transmitidos. El Acuerdo ofrecerá la posibilidad de que, en el momento de transmitir los datos, Europol indique cualquier restricción de acceso o utilización, sobre todo por lo que respecta a su transmisión, supresión o destrucción o tratamiento posterior. El Acuerdo obligará a las autoridades ecuatorianas competentes a que respeten estas restricciones y determinen cómo se va a garantizar su cumplimiento en la práctica. Los datos personales serán adecuados, pertinentes y estar limitados a lo necesario en relación con dicha finalidad. Dichos datos serán exactos y estarán actualizados. No se conservarán más tiempo del necesario para los fines para los que hayan sido transmitidos. El Acuerdo incluirá un anexo que contenga una lista exhaustiva de las autoridades competentes de la República del Ecuador a las que Europol puede transferir datos personales, así como una breve descripción de sus competencias.
d)Solo se permitirá la transferencia, por Europol, de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, así como el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, o de datos relativos a la salud, a la vida sexual o a las orientaciones sexuales de una persona física, cuando sea estrictamente necesario, razonable y proporcionado en casos individuales para prevenir o combatir un delito y, si dichos datos, salvo los datos biométricos, complementan otros datos personales. El Acuerdo también debe contener salvaguardias específicas en relación con la transmisión de datos personales de las víctimas de infracciones penales, los testigos u otras personas que pudieran facilitar información sobre infracciones penales, y de los menores.
e)El Acuerdo garantizará los derechos jurídicamente vinculantes de las personas cuyos datos personales se traten, mediante el establecimiento de normas sobre el derecho de acceso, la rectificación y la supresión, que incluyan las razones concretas por las que se pueden autorizar restricciones necesarias y proporcionadas. El Acuerdo también garantizará los derechos jurídicamente vinculantes de recurso administrativo y judicial a toda persona cuyos datos se traten en virtud del mismo, así como vías de recurso efectivas.
f)El Acuerdo establecerá las normas sobre almacenamiento, acceso, rectificación y cancelación de datos personales, así como sobre el mantenimiento de archivos a efectos de registro y documentación, y sobre la información que debe facilitarse a los particulares. También debe prever salvaguardias en relación con el tratamiento automatizado de datos personales.
g)El Acuerdo especificará los criterios en que se basará la indicación de la fiabilidad de la fuente y la exactitud de los datos.
h)El Acuerdo incluirá la obligación de velar por la seguridad de los datos personales a través de medidas técnicas y organizativas apropiadas, en particular estableciendo que solo las personas autorizadas puedan acceder a los datos personales. El Acuerdo también incluirá la obligación de notificación en caso de violación de datos personales que afecte a los datos transmitidos en el marco del Acuerdo.
i)Solo se permitirán las transferencias ulteriores de información de las autoridades competentes de la República del Ecuador a otras autoridades de la República del Ecuador, aunque fuere para su uso en procedimientos judiciales, si se cumplen las condiciones y salvaguardias adecuadas, incluida la autorización previa de Europol.
j)Estas mismas condiciones de la letra i) se aplicarán a las transmisiones ulteriores de información de las autoridades competentes de la República del Ecuador a las autoridades de un tercer país, con el requisito adicional de que tales transmisiones solo se autorizarán respecto a terceros países a los que Europol tenga derecho a transmitir datos personales con arreglo al artículo 25, apartado 1, del Reglamento (UE) 2016/794.
k)El Acuerdo garantizará un sistema de supervisión por parte de una o varias autoridades públicas independientes responsables de la protección de datos, con poderes efectivos de investigación e intervención para supervisar a las autoridades públicas de la República del Ecuador que utilicen datos personales / información intercambiada e incoar procedimientos legales. En concreto, las autoridades independientes serán competentes para resolver las quejas de los ciudadanos sobre el uso de sus datos personales. Las autoridades públicas que utilicen datos personales serán responsables de cumplir las normas de protección de datos personales en virtud del presente Acuerdo.
4)El Acuerdo establecerá un mecanismo eficaz de solución de diferencias, con respecto a su interpretación y aplicación, a fin de garantizar que las Partes observen normas mutuamente acordadas.
5)El Acuerdo incluirá disposiciones sobre el control y la evaluación periódica del Acuerdo.
6)El Acuerdo incluirá una disposición sobre su entrada en vigor y aplicación y una disposición en virtud de la cual cada una de las Partes podrá concluir o suspender el Acuerdo, en particular en los casos en los que el tercer país ya no garantice efectivamente el nivel de protección de los derechos y libertades fundamentales que se exige en virtud del Acuerdo. El Acuerdo también especificará si se podrán seguir tratando los datos personales que entren en su ámbito de aplicación y hayan sido transmitidos antes de la suspensión o denuncia del acuerdo. Si se permite la continuación del tratamiento de los datos personales, este se efectuará en cualquier caso de conformidad con las disposiciones del acuerdo en el momento de la suspensión o denuncia.
7)El Acuerdo será igualmente auténtico en las lenguas alemana, búlgara, checa, croata, danesa, eslovaca, eslovena, española, estonia, finesa, francesa, griega, húngara, inglesa, irlandesa, italiana, letona, lituana, maltesa, neerlandesa, polaca, portuguesa, rumana o sueca e incluirá a tal efecto una cláusula sobre lenguas.