COMISIÓN EUROPEA

Bruselas, 11.5.2023

COM(2023) 244 final

2023/0143(COD)

Propuesta de

REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO

por el que se modifica la Decisión 2009/917/JAI del Consejo en lo que respecta a su aproximación a las normas de la Unión sobre protección de datos de carácter personal

EXPOSICIÓN DE MOTIVOS

1.CONTEXTO DE LA PROPUESTA

•Razones y objetivos de la propuesta

La Directiva (UE) 2016/680 1 (Directiva sobre protección de datos en el ámbito penal) entró en vigor el 6 de mayo de 2016 y los Estados miembros tuvieron hasta el 6 de mayo de 2018 para transponerla a sus ordenamientos jurídicos. Derogó y sustituyó a la Decisión Marco 2008/977/JAI del Consejo 2 , pero es un instrumento de protección de datos personales mucho más completo. En particular, se aplica al tratamiento tanto nacional como transfronterizo de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública (artículo 1, apartado 1).

El artículo 62, apartado 6, de la Directiva sobre protección de datos en el ámbito penal exigía a la Comisión que revisara, antes del 6 de mayo de 2019, otros actos jurídicos de la UE que regulasen el tratamiento de datos personales por parte de las autoridades competentes con fines policiales, a fin de evaluar la necesidad de aproximarlos a las disposiciones de la Directiva y que presentara, en su caso, las propuestas necesarias para modificarlos para garantizar la coherencia en la protección de datos personales en el ámbito de aplicación de la Directiva.

La Comisión expuso los resultados de su revisión en la Comunicación «Manera de avanzar en la alineación del acervo del antiguo tercer pilar con las normas en materia de protección de datos» (24 de junio de 2020) 3 , en la que se especifican diez actos jurídicos que deben aproximarse a las disposiciones de la Directiva sobre protección de datos en el ámbito penal. La lista incluye la Decisión 2009/917/JAI del Consejo sobre la utilización de la tecnología de la información a efectos aduaneros 4 .

La presente propuesta tiene por objeto aproximar las normas de protección de datos de la Decisión 2009/917/JAI del Consejo a los principios y normas establecidos en la Directiva sobre protección de datos en el ámbito penal, con el fin de conformar un marco sólido y coherente de protección de datos personales en la Unión.

•Coherencia con las disposiciones existentes en la misma política sectorial

•Coherencia con otras políticas de la Unión

2.BASE JURÍDICA, SUBSIDIARIEDAD Y PROPORCIONALIDAD

•Base jurídica

La protección de las personas físicas en lo que respecta al tratamiento de los datos personales es un derecho fundamental consagrado en el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»).

La presente propuesta se basa en el artículo 16, apartado 2, del Tratado de Funcionamiento de la Unión Europea (TFUE), que es la base jurídica más adecuada, ya que tanto el objetivo como el contenido de la modificación propuesta se limitan claramente a la protección de los datos personales.

De conformidad con el artículo 2 bis del Protocolo n.º 22 sobre la posición de Dinamarca, anejo al TUE y al TFUE, Dinamarca no está vinculada por las normas establecidas sobre la base del artículo 16 del TFUE que se refieran al tratamiento de datos personales en el ejercicio de las actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE. Por lo tanto, Dinamarca no estará vinculada por el Reglamento que ahora se propone y seguirá aplicando la Decisión del Consejo en su versión actual, es decir, sin las modificaciones que se proponen.

Esto implica, entre otras cosas, que la Autoridad de Supervisión Común a que se refiere el artículo 25 de la Decisión del Consejo seguirá existiendo formalmente, solo en lo que respecta a Dinamarca. Al mismo tiempo, debido a la propuesta de supresión de dicho artículo y a la propuesta de modificación del artículo 26 a fin de introducir el modelo de supervisión coordinada establecido en el artículo 62 del Reglamento (UE) 2018/1725, dicha existencia carece de efectos para los demás Estados miembros y para el propio Sistema de Información Aduanero. Dado que la presente propuesta se limita a aproximar la Decisión del Consejo a las disposiciones de la Directiva sobre protección de datos en el ámbito penal, esta es una consecuencia inevitable del ejercicio de aproximación que exige la Directiva y de los imperativos derivados del Protocolo n.º 22. La Comisión revisará esta cuestión más adelante, cuando esté justificado realizar una evaluación más amplia de la Decisión del Consejo.

De conformidad con el artículo 6 bis del Protocolo n.º 21 sobre la posición del Reino Unido y de Irlanda respecto del espacio de libertad, seguridad y justicia, Irlanda no está vinculada por las normas establecidas sobre la base del artículo 16 del TFUE, en la medida en que no sean vinculantes para Irlanda las normas que regulen formas de cooperación judicial en materia penal y de cooperación policial en cuyo marco deban respetarse las disposiciones establecidas basándose en el artículo 16. Dado que Irlanda participa en la Decisión 2009/917/JAI del Consejo, también participará en la adopción de la presente propuesta.

•Subsidiariedad (en el caso de competencia no exclusiva)

El objeto del presente Reglamento entra en el ámbito de competencia exclusiva de la Unión, ya que solo la Unión puede adoptar normas que regulen el tratamiento de datos personales por parte de las autoridades competentes con fines policiales. Solo la Unión puede aproximar los actos de la UE a las normas que establece la Directiva sobre protección de datos en el ámbito penal. Por consiguiente, solo la Unión puede adoptar un acto legislativo que modifique la Decisión 2009/917/JAI del Consejo.

•Proporcionalidad

La presente propuesta se limita a lo necesario para aproximar la Decisión 2009/917/JAI del Consejo a la legislación de la Unión en materia de protección de datos personales (Directiva sobre protección de datos en el ámbito penal) sin modificar en modo alguno el ámbito de aplicación de la Decisión del Consejo. La presente propuesta no excede de lo necesario para alcanzar los objetivos perseguidos, de conformidad con lo dispuesto en el artículo 5, apartado 4, del Tratado de la Unión Europea.

•Elección del instrumento

La presente propuesta tiene por objeto modificar una Decisión del Consejo que se adoptó antes de la entrada en vigor del Tratado de Lisboa en 2009. Las disposiciones pertinentes de la Decisión 2009/917/JAI del Consejo, por las que se crea el Sistema de Información Aduanero y se establecen las normas relativas al funcionamiento y la utilización de dicho sistema, son directamente aplicables.

Por consiguiente, el instrumento más adecuado para modificar la Decisión del Consejo con arreglo al artículo 16, apartado 2, del TFUE es un reglamento del Parlamento Europeo y del Consejo.

3.RESULTADOS DE LAS EVALUACIONES EX POST, DE LAS CONSULTAS CON LAS PARTES INTERESADAS Y DE LAS EVALUACIONES DE IMPACTO

•Evaluaciones ex post / controles de la adecuación de la legislación existente

La presente propuesta se ajusta a los resultados de la revisión realizada por la Comisión en virtud del artículo 62, apartado 6, de la Directiva sobre protección de datos en el ámbito penal, tal y como se recogió en la Comunicación «Manera de avanzar en la alineación del acervo del antiguo tercer pilar con las normas en materia de protección de datos», de 2020. Dicha Comunicación menciona seis aspectos específicos en los que la Decisión 2009/917/JAI del Consejo debe alinearse con la Directiva sobre protección de datos en el ámbito penal, a saber:

–Especificar las infracciones graves a las que se aplica la Decisión del Consejo.

–Aclarar las condiciones de recogida y registro de datos personales y exigir que los datos personales solo puedan introducirse en el SIA cuando existan motivos razonables, en particular por la existencia de actividades ilegales previas, para creer que la persona en cuestión ha cometido, está cometiendo o pretende cometer una infracción penal.

–Establecer requisitos adicionales en relación con la seguridad del tratamiento para alinear la lista de las medidas de seguridad necesarias con el artículo 29 de la Directiva sobre protección de datos en el ámbito penal, es decir, mediante la adición de requisitos en materia de recuperación, fiabilidad e integridad de los sistemas.

–Limitar el posterior tratamiento de los datos personales registrados en el SIA para fines distintos de aquellos para los que se recogieron, de modo que solo pueda producirse en las condiciones previstas en la Directiva sobre protección de datos en el ámbito penal.

–Someter el tratamiento de datos personales de conformidad con la Decisión 2009/917/JAI del Consejo al modelo de supervisión coordinada establecido en el artículo 62 del Reglamento (UE) 2018/1725 5 . La Decisión del Consejo es el único acto jurídico restante en virtud del cual la supervisión del tratamiento de datos personales la realiza la Autoridad de Supervisión Común, que ahora ha quedado obsoleta.

–Actualizar la referencia general a la Decisión Marco 2008/977/JAI del Consejo con la referencia a la aplicabilidad de la Directiva sobre protección de datos en el ámbito penal. Cualquier disposición que se solape con la Directiva sobre protección de datos en el ámbito penal (como las definiciones o las disposiciones sobre los derechos de los interesados o la disponibilidad de vías de recurso y en materia de responsabilidad) debe derogarse por considerarse caduca y obsoleta. Las referencias a las disposiciones específicas de la Decisión Marco 2008/977/JAI del Consejo deben actualizarse con las correspondientes referencias específicas a la Directiva sobre protección de datos en el ámbito penal.

La presente propuesta se limita a lo necesario para poner en práctica los puntos anteriores.

•Consultas con las partes interesadas

•Obtención y uso de asesoramiento especializado

En su revisión, realizada en virtud del artículo 62, apartado 6, de la Directiva sobre protección de datos en el ámbito penal, la Comisión tuvo en cuenta un estudio realizado en el marco de un proyecto piloto de revisión desde el punto de vista de los derechos fundamentales de los instrumentos y programas de recopilación de datos de la UE 6 . En el estudio se enumeraban los actos de la Unión contemplados en el artículo 62, apartado 6, de la Directiva sobre protección de datos en el ámbito penal y se señalaban disposiciones que podían requerir una adaptación desde la perspectiva de la protección de datos.

•Evaluación de impacto

El impacto de la presente propuesta se limita al tratamiento de datos personales por parte de las autoridades competentes en los supuestos específicos regulados por la Decisión 2009/917/JAI del Consejo. El impacto de las nuevas obligaciones derivadas de la Directiva sobre protección de datos en el ámbito penal se evaluó durante los preparativos de la Directiva, por lo que resulta innecesaria una evaluación de impacto específica de la presente propuesta.

•Adecuación regulatoria y simplificación

La presente propuesta no se enmarca en el programa de adecuación y eficacia de la reglamentación (REFIT).

•Derechos fundamentales

El derecho a la protección de los datos de carácter personal se establece en el artículo 8 de la Carta y en el artículo 16 del TFUE. Tal y como subraya el Tribunal de Justicia de la Unión Europea 7 , el derecho a la protección de los datos personales no es un derecho absoluto, sino que debe considerarse en relación con su función en la sociedad 8 . La protección de los datos personales también está estrechamente ligada al respeto de la vida privada y familiar, protegido por el artículo 7 de la Carta.

La presente propuesta garantiza que todo tratamiento de datos personales obtenidos en virtud de la Decisión 2009/917/JAI del Consejo esté sujeto a los principios y normas horizontales de la legislación de la UE en materia de protección de datos personales, con lo que se da aplicación al artículo 8 de la Carta. Dicho acto legislativo tiene por objeto garantizar un elevado nivel de protección de los datos personales. El hecho de aclarar que las normas de la Directiva sobre protección de datos en el ámbito penal se aplican al tratamiento de datos personales en virtud de la Decisión del Consejo, además de especificar cómo se aplican, tendrá un impacto positivo en lo que respecta a los derechos fundamentales a la intimidad y a la protección de los datos personales.

4.REPERCUSIONES PRESUPUESTARIAS

5.OTROS ELEMENTOS

•Planes de ejecución y modalidades de seguimiento, evaluación e información

•Explicación detallada de las disposiciones específicas de la propuesta

En el artículo 1 se enumeran las disposiciones pertinentes de la Decisión 2009/917/JAI del Consejo que deben modificarse sobre la base de la revisión realizada por la Comisión en virtud del artículo 62, apartado 6, de la Directiva sobre protección de datos en el ámbito penal y presentada en su Comunicación de 2020. Estas disposiciones son las siguientes:

·En el artículo 1, se modifica el apartado 2 para sustituir el concepto de «infracciones graves de las leyes nacionales» por la referencia a «infracciones penales previstas por las leyes nacionales», para aumentar la claridad y la aproximación a las disposiciones de la Directiva sobre protección de datos en el ámbito penal.

·En el artículo 2, se suprime el punto 2) relativo a la definición de «datos personales», ya que se aplica la definición de datos personales que figura en el artículo 3, punto 1), de la Directiva sobre protección de datos en el ámbito penal.

·En el artículo 3, se modifica el apartado 2, para aclarar las funciones respectivas de la Comisión y de los Estados miembros en relación con los datos personales. También se introduce un considerando con este fin.

·En el artículo 4, se actualiza el apartado 5 para sustituir la referencia a la lista de determinadas categorías de datos personales que no pueden introducirse en el sistema con arreglo a la Decisión marco 2008/977/JAI por una referencia a la lista correspondiente de la Directiva sobre protección de datos en el ámbito penal.

·En el artículo 5, se actualiza el apartado 2 para aclarar las condiciones de recogida y registro de datos personales y exigir que los datos personales solo puedan introducirse en el SIA cuando haya motivos razonables, en particular por la existencia de actividades ilegales previas, para creer que la persona en cuestión ha cometido, está cometiendo o pretende cometer alguna de las infracciones penales previstas por las leyes nacionales pertinentes.

·En el artículo 7, se actualiza el apartado 3 para aclarar las condiciones en las que puede permitirse el acceso de organizaciones internacionales o regionales al SIA en virtud de la Directiva sobre protección de datos en el ámbito penal.

·En el artículo 8, se actualiza el apartado 1 para limitar el tratamiento posterior de los datos personales registrados en el SIA, en consonancia con el principio de limitación de finalidad según las disposiciones de la Directiva sobre protección de datos en el ámbito penal. También se detallan las condiciones en las que los datos no personales pueden tratarse para otros fines. Se reformula el apartado 4 para especificar las condiciones en las que pueden tener lugar las transmisiones y las transferencias internacionales de datos personales y no personales.

·El artículo 14 relativo a la conservación de datos personales se actualiza para introducir un período máximo de conservación de conformidad con el artículo 4, apartado 1, letra e), de la Directiva sobre protección de datos en el ámbito penal, así como para simplificar el procedimiento anterior. También se introduce un considerando para explicar con más detalle los motivos de esta actualización.

·En el artículo 15, se sustituye el apartado 3 para adaptar el concepto de «infracciones graves de las leyes nacionales» a la referencia a «infracciones penales previstas por las leyes nacionales» introducida en el nuevo apartado 2 del artículo 1.

·El artículo 20 se sustituye para actualizar la referencia general a la Decisión Marco 2008/977/JAI por una referencia a la Directiva sobre protección de datos en el ámbito penal.

·Se suprime el artículo 22, relativo a los derechos de acceso, rectificación, borrado o bloqueo, por considerarse caduco y obsoleto.

·Se suprime el artículo 23, relativo a los derechos de los interesados a nivel nacional, por considerarse caduco y obsoleto.

·Se suprime el artículo 24, relativo a la designación de una o varias autoridades nacionales de supervisión, por considerarse caduco y obsoleto.

·Se suprime el artículo 25, relativo a la creación de una Autoridad de Supervisión Común, por considerarse caduco y obsoleto.

·El artículo 26 se actualiza para someter el tratamiento de datos personales al modelo de supervisión coordinada establecido en el artículo 62 del Reglamento (UE) 2018/1725.

·En el artículo 28, se modifica el apartado 2 a fin de establecer requisitos adicionales en relación con la seguridad del tratamiento para alinear la lista de las medidas de seguridad necesarias con el artículo 29 de la Directiva sobre protección de datos en el ámbito penal, es decir, mediante la adición de requisitos en materia de recuperación, fiabilidad e integridad de los sistemas.

·En el artículo 30, se suprime el apartado 1 por considerarse caduco y obsoleto.

El artículo 2 fija la fecha de entrada en vigor del presente Reglamento.

2023/0143 (COD)

Propuesta de

REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO

por el que se modifica la Decisión 2009/917/JAI del Consejo en lo que respecta a su aproximación a las normas de la Unión sobre protección de datos de carácter personal

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 16, apartado 2,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

De conformidad con el procedimiento legislativo ordinario,

Considerando lo siguiente:

(1)La Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo 9 establece normas armonizadas para la protección y libre circulación de datos personales tratados con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención. La Directiva exige a la Comisión que revise otros actos pertinentes del Derecho de la Unión a fin de evaluar la necesidad de aproximarlos a dicha Directiva y que presente, en su caso, las propuestas necesarias para modificar dichos actos para garantizar un enfoque coherente de la protección de datos personales en el ámbito de aplicación de la Directiva.

(2)La Decisión 2009/917/JAI del Consejo 10 sobre la utilización de la tecnología de la información a efectos aduaneros establece el Sistema de Información Aduanero (SIA) para contribuir a prevenir, investigar y perseguir las infracciones graves de las leyes nacionales, acelerando la disponibilidad de los datos y aumentando la eficacia de las administraciones aduaneras. Con el fin de garantizar la aplicación de un enfoque coherente de la protección de los datos personales en la Unión, dicha Decisión debe modificarse para aproximarla a las disposiciones de la Directiva (UE) 2016/680. En particular, las normas en materia de protección de datos personales deben respetar el principio de especificación de la finalidad, limitarse a categorías específicas de personas interesadas y de datos personales, respetar los requisitos de seguridad de los datos, incluir una protección suplementaria para categorías especiales de datos personales y respetar las condiciones para su tratamiento posterior. Además, debe preverse la aplicación del modelo de supervisión coordinada establecido por el artículo 62 del Reglamento (UE) 2018/1725 11 .

(3)En particular, a fin de garantizar la aplicación de un enfoque claro y coherente que garantice una protección adecuada de los datos personales, el término «infracciones graves» debe sustituirse por «infracciones penales», teniendo en cuenta que el hecho de que una determinada conducta esté prohibida por el Derecho penal de un Estado miembro implica en sí mismo que la infracción reviste un cierto grado de gravedad. Además, el objetivo del SIA debe seguir limitado a la contribución a la prevención, investigación, detección o enjuiciamiento de infracciones penales previstas por las leyes nacionales, tal como se definen en la Decisión 2009/917/JAI del Consejo, es decir, las leyes nacionales respecto de las cuales las administraciones aduaneras nacionales son competentes y que, por tanto, son especialmente pertinentes en el contexto de las aduanas. Por consiguiente, si bien la tipificación como infracción penal es un requisito necesario, no debe considerarse que todas las infracciones penales se vean afectadas. A modo de ejemplo, entre las infracciones penales que se ven afectadas figuran el tráfico ilícito de drogas, el tráfico ilícito de armas y el blanqueo de capitales. Además, aparte de la introducción del término «infracciones penales», no debe interpretarse que esta modificación afecte a los requisitos específicos establecidos en la antes mencionada Decisión del Consejo en relación con la elaboración y la transmisión de una lista de infracciones penales previstas por las leyes nacionales que cumplan determinadas condiciones, refiriéndose dichos requisitos únicamente a la finalidad específica del fichero de identificación de los expedientes de investigaciones aduaneras.

(4)Es necesario aclarar las funciones respectivas de la Comisión y de los Estados miembros en relación con los datos personales. Se considera que la Comisión es el encargado del tratamiento que actúa por cuenta de las autoridades nacionales designadas por cada Estado miembro, que se consideran responsables del tratamiento de los datos personales.

(5)A fin de garantizar una conservación óptima de los datos, y de reducir al mismo tiempo la carga administrativa de las autoridades competentes, debe simplificarse el procedimiento que rige la conservación de los datos personales en el SIA mediante la eliminación de la obligación de revisar los datos anualmente y el establecimiento de un período máximo de conservación de cinco años, que puede incrementarse, previa justificación, por un período adicional de dos años. Este período de conservación es necesario y proporcionado habida cuenta de la duración habitual de los procesos penales y de la necesidad de disponer de los datos para llevar a cabo operaciones aduaneras conjuntas e investigaciones.

(6)De conformidad con el artículo 6 bis del Protocolo n.º 21 sobre la posición del Reino Unido y de Irlanda respecto del espacio de libertad, seguridad y justicia, anejo al Tratado de la Unión Europea (TUE) y al TFUE, Irlanda está vinculada por la Decisión 2009/917/JAI del Consejo y, por lo tanto, participa en la adopción del presente Reglamento.

(7)De conformidad con los artículos 1, 2 y 2 bis del Protocolo n.º 22 sobre la posición de Dinamarca, anejo al Tratado de la Unión Europea y al Tratado de Funcionamiento de la Unión Europea, Dinamarca no participa en la adopción del presente Reglamento y no queda vinculada por él ni sujeta a su aplicación.

(8)El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42 del Reglamento (UE) 2018/1725, emitió su dictamen el XX de XX de 202X.

(9)Procede, por lo tanto, modificar la Decisión 2009/917/JAI del Consejo en consecuencia.

HAN ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1

La Decisión 2009/917/JAI del Consejo se modifica como sigue:

1)En el artículo 1, el apartado 2 se sustituye por el texto siguiente:

«2. El objetivo del Sistema de Información Aduanero es ayudar a las autoridades competentes de los Estados miembros a prevenir, detectar, investigar y perseguir las infracciones penales previstas por las leyes nacionales, acelerando la disponibilidad de los datos y aumentando así la eficacia de los procedimientos de cooperación y control de las administraciones aduaneras de los Estados miembros.».

2)En el artículo 2, el punto 2) queda suprimido.

3)En el artículo 3, apartado 2, después de la primera frase, se añade la frase siguiente:

«En relación con el tratamiento de datos personales en el Sistema de Información Aduanero, la Comisión será considerada el encargado del tratamiento, en el sentido del artículo 3, punto 12), del Reglamento (UE) 2018/1725, que actúa por cuenta de las autoridades nacionales designadas por cada Estado miembro, que serán consideradas responsables del tratamiento de los datos personales.».

4)En el artículo 4, el apartado 5 se sustituye por el texto siguiente:

«5. En ningún caso se introducirán en el Sistema de Información Aduanero los datos personales contemplados en el artículo 10 de la Directiva (UE) 2016/680.».

5)En el artículo 5, el apartado 2 se sustituye por el texto siguiente:

«2. A efectos de las acciones mencionadas en el apartado 1, solo podrán introducirse en el Sistema de Información Aduanero los datos personales de las categorías contempladas en el artículo 3, apartado 1, si existen motivos razonables, en particular por la existencia de actividades ilegales previas, para creer que la persona en cuestión ha cometido, está cometiendo o pretende cometer infracciones penales previstas por las leyes nacionales.».

6)En el artículo 7, el apartado 3 se sustituye por el texto siguiente:

«3. No obstante los apartados 1 y 2, el Consejo estará facultado para autorizar excepcionalmente, previa decisión unánime y previa consulta al Consejo Europeo de Protección de Datos, el acceso de organizaciones internacionales o regionales al Sistema de Información Aduanero, siempre que se cumplan las dos condiciones siguientes:

a)el acceso cumple los principios generales de las transferencias de datos personales establecidos en el artículo 35 o, en su caso, en el artículo 39 de la Directiva (UE) 2016/680;

b)el acceso se basa en una decisión de adecuación adoptada con arreglo a lo dispuesto en el artículo 36 o está sujeto a garantías apropiadas con arreglo a lo dispuesto en el artículo 37 de dicha Directiva.».

7)En el artículo 8, el apartado 1 se sustituye por el texto siguiente:

«1. Los Estados miembros, Europol y Eurojust únicamente podrán tratar los datos personales obtenidos del Sistema de Información Aduanero para alcanzar el objetivo enunciado en el artículo 1, apartado 2, de conformidad con las normas aplicables del Derecho de la Unión en materia de tratamiento de datos personales.

Los Estados miembros, Europol y Eurojust podrán tratar los datos no personales obtenidos del Sistema de Información Aduanero para alcanzar el objetivo enunciado en el artículo 1, apartado 2, o para otros fines, incluidos los administrativos, de conformidad con las condiciones impuestas por el Estado miembro que haya introducido los datos no personales en dicho sistema.».

8)En el artículo 8, el apartado 4 se sustituye por el texto siguiente:

«4. Los datos personales obtenidos del Sistema de Información Aduanero podrán, con la autorización previa del Estado miembro que los haya introducido en dicho sistema y siempre que se cumplan las condiciones que este haya impuesto:

a)ser transmitidos a autoridades nacionales distintas de las designadas con arreglo a lo dispuesto en el apartado 2 y tratados posteriormente por ellas, de conformidad con las normas aplicables del Derecho de la Unión en materia de tratamiento de datos personales; o

b)ser transferidos a las autoridades competentes de terceros países y a organizaciones internacionales o regionales y tratados posteriormente por ellas, de conformidad con el capítulo V de la Directiva (UE) 2016/680 y, cuando proceda, de conformidad con el capítulo V del Reglamento (UE) 2018/1725.

Los datos no personales obtenidos del Sistema de Información Aduanero podrán ser transferidos y tratados posteriormente por autoridades nacionales distintas de las designadas con arreglo a lo dispuesto en el apartado 2, terceros países y organizaciones internacionales o regionales, de conformidad con las condiciones impuestas por el Estado miembro que haya introducido los datos no personales en dicho sistema.».

9)El artículo 14 se sustituye por el texto siguiente:

«Los datos personales introducidos en el Sistema de Información Aduanero solo se conservarán durante el tiempo necesario para alcanzar el objetivo establecido en el artículo 1, apartado 2, y no podrán conservarse durante más de cinco años. Sin embargo, excepcionalmente, dichos datos podrán conservarse durante un período adicional máximo de dos años, cuando y en la medida en que sea estrictamente necesario para alcanzar dicho objetivo en un caso concreto.».

10)En el artículo 15, el apartado 3 se sustituye por el texto siguiente:

«3. A efectos del fichero de identificación de los expedientes de investigación aduanera, cada Estado miembro remitirá a los demás Estados miembros, a Europol, Eurojust y al Comité indicado en el artículo 27 una lista de las infracciones penales previstas por sus leyes nacionales.

Dicha lista incluirá únicamente las infracciones penales castigadas:

a)con pena privativa de libertad o medida de seguridad privativa de libertad cuya duración máxima sea de doce meses por lo menos, o bien

b)con multa de al menos 15 000 EUR.».

11)El artículo 20 se sustituye por el texto siguiente:

«La Directiva (UE) 2016/680 se aplicará al tratamiento de datos personales en virtud de la presente Decisión.».

12)Se suprimen los artículos 22, 23, 24 y 25.

13)El artículo 26 se sustituye por el texto siguiente:

«Se garantizará una supervisión coordinada entre las autoridades de control nacionales y el Supervisor Europeo de Protección de Datos de conformidad con el artículo 62 del Reglamento (UE) 2018/1725.».

14)En el artículo 28, apartado 2, se añaden las letras siguientes:

«i)    garantizar que los sistemas instalados puedan restablecerse en caso de interrupción;

j)    garantizar que las funciones del sistema no presenten defectos, que los errores de funcionamiento sean señalados y que los datos personales almacenados no se degraden por fallos de funcionamiento del sistema.».

15)En el artículo 30, el apartado 1 queda suprimido.

Artículo 2

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en los Estados miembros de conformidad con los Tratados.

Hecho en Bruselas, el

(1)    Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).

(2)    Decisión Marco 2008/977/JAI del Consejo, de 27 de noviembre de 2008, relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal (DO L 350 de 30.12.2008, p. 60).

(3)    COM(2020) 262 final.

(4)    DO L 323 de 10.12.2009, p. 20.

(5)    Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).

(6)    El proyecto piloto fue solicitado por el Parlamento Europeo, gestionado por la Comisión y llevado a cabo por un contratista (grupo de expertos independientes). La Comisión seleccionó al contratista basándose en los criterios fijados por el Parlamento. Los resultados del proyecto solo reflejan los juicios y puntos de vista del contratista; la Comisión no puede ser considerada responsable del uso que se dé a la información que contienen. Los resultados se han publicado en http://www.fondazionebrodolini.it/en/projects/pilot-project-fundamental-rights-review-eu-data-collectioninstruments-and-programmes  

(7)    TJUE, 9 de noviembre de 2010, Volker und Markus Schecke y Eifert, asuntos acumulados C-92/09 y C-93/09 (ECLI:EU:C:2009:284, apartado 48).

(8)    En consonancia con el artículo 52, apartado 1, de la Carta, pueden imponerse limitaciones al ejercicio del derecho a la protección de datos, siempre que esas limitaciones se dispongan por ley, respeten el contenido esencial de los derechos y libertades, y, respetando el principio de proporcionalidad, sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás.

(9)    Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).

(10)    Decisión 2009/917/JAI del Consejo sobre la utilización de la tecnología de la información a efectos aduaneros (DO L 323 de 10.12.2009, p. 20).

(11)    Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).