|
17.12.2016 |
ES |
Diario Oficial de la Unión Europea |
L 344/83 |
DECISIÓN DE EJECUCIÓN (UE) 2016/2295 DE LA COMISIÓN
de 16 de diciembre de 2016
por la que se modifican las Decisiones 2000/518/CE, 2002/2/CE, 2003/490/CE, 2003/821/CE, 2004/411/CE, 2008/393/CE, 2010/146/UE, 2010/625/UE, 2011/61/UE, y las Decisiones de Ejecución 2012/484/UE y 2013/65/UE, relativas a la protección adecuada de los datos personales por determinados países, en aplicación del artículo 25, apartado 6, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo
[notificada con el número C(2016) 8353]
(Texto pertinente a efectos del EEE)
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1), y en particular su artículo 25, apartado 6,
Previa consulta al Supervisor Europeo de Protección de Datos,
Considerando lo siguiente:
|
(1) |
En su sentencia de 6 de octubre de 2015 en el asunto C-362/14, Maximillian Schrems/Data Protection Commissioner (2), el Tribunal de Justicia de la Unión Europea consideró que, al adoptar el artículo 3 de la Decisión 2000/520/CE (3), la Comisión excedió los límites de la competencia que le atribuye el artículo 25, apartado 6, de la Directiva 95/46/CE, interpretado a la luz de la Carta de los Derechos Fundamentales de la Unión Europea, y declaró inválido el artículo 3 de dicha Decisión. |
|
(2) |
El artículo 3, apartado 1, párrafo primero, de la Decisión 2000/520/CE establece condiciones restrictivas en las que las autoridades nacionales de supervisión podrían ejercer su facultad de suspender los flujos de datos hacia una entidad de los Estados Unidos de América que haya autocertificado su adhesión a los principios y su cumplimiento, a pesar de la decisión de adecuación de la Comisión. |
|
(3) |
En la sentencia Schrems, el Tribunal de Justicia aclaró que las autoridades nacionales de supervisión siguen siendo competentes para supervisar las transferencias de datos personales a un tercer país que haya sido objeto de una decisión de adecuación de la Comisión, y que la Comisión no tiene competencia para restringir las facultades que les confiere el artículo 28 de la Directiva 95/46/CE. Con arreglo a dicho artículo, estas autoridades disponen, en particular, de facultades de investigación, como la de recabar toda la información necesaria para el cumplimiento de su misión de control, y de facultades efectivas de intervención, como la de prohibir provisional o definitivamente el tratamiento de determinados datos o la de emprender acciones judiciales (4). |
|
(4) |
Por otro lado, en la sentencia Schrems, el Tribunal de Justicia recordó que, de conformidad con el artículo 25, apartado 6, párrafo segundo, de la Directiva 95/46/CE, los Estados miembros y sus órganos deben adoptar las medidas necesarias para dar cumplimiento a los actos de las instituciones de la Unión, los cuales disfrutan, en principio, de una presunción de legalidad y producen, por tanto, efectos jurídicos mientras no hayan sido revocados, anulados en virtud de un recurso de anulación o declarados inválidos a raíz de una cuestión prejudicial o de una excepción de ilegalidad. |
|
(5) |
En consecuencia, una decisión de adecuación de la Comisión adoptada de conformidad con el artículo 25, apartado 6, de la Directiva 95/46/CE es vinculante para todos los órganos de los Estados miembros a los que se dirige, incluidas sus autoridades de supervisión independientes, en la medida en que tiene el efecto de autorizar transferencias de datos personales desde los Estados miembros al tercer país cubierto por la misma (5). De ello se deduce que las autoridades nacionales de supervisión no pueden adoptar medidas contrarias a una decisión de adecuación de la Comisión como actos que declaren inválida la Decisión o que pretendan establecer con efecto obligatorio que el tercer país afectado no garantiza un nivel de protección adecuado. Como se aclara en la sentencia Schrems, ello no impide que una autoridad nacional de supervisión examine la solicitud de una persona por lo que se refiere al nivel de protección de los datos personales garantizado en un tercer país sujeto a una decisión de adecuación de la Comisión y pueda, si lo considera fundado, emprender acciones judiciales ante los tribunales nacionales, para que estos, si comparten las dudas en cuanto a la validez de la decisión de la Comisión, planteen una decisión prejudicial con respecto a dicha validez (6). |
|
(6) |
Las Decisiones 2000/518/CE (7), 2002/2/CE (8), 2003/490/CE (9), 2003/821/CE (10), 2004/411/CE (11), 2008/393/CE (12), 2010/146/UE (13), 2010/625/UE (14), 2011/61/UE (15) de la Comisión y las Decisiones de Ejecución 2012/484/UE (16), y 2013/65/UE (17) de la Comidión, que son decisiones de adecuación, imponen una limitación de las facultades de las autoridades nacionales de supervisión comparable a la contemplada en el artículo 3, apartado 1, párrafo primero, de la Decisión 2000/520/CE, considerada inválida por el Tribunal de Justicia. |
|
(7) |
A la luz de la sentencia Schrems y de conformidad con el artículo 266 del Tratado, debe, por lo tanto, procederse a la sustitución de las disposiciones de estas Decisiones que limitan las facultades de las autoridades nacionales de supervisión. |
|
(8) |
En la sentencia Schrems, el Tribunal de Justicia aclara también que, dado que el nivel de protección garantizado por un tercer país puede estar sujeto a cambios, corresponde a la Comisión, tras adoptar una decisión conforme al artículo 25, apartado 6, de la Directiva 95/46/CE, comprobar periódicamente si la conclusión relativa a la adecuación del nivel de protección ofrecido por el tercer país en cuestión aún está objetiva y jurídicamente justificada (18). A la luz de las conclusiones de la sentencia en lo que se refiere al acceso a los datos personales por parte de las autoridades públicas, también deberá hacerse un seguimiento de las normas y prácticas que regulen dicho acceso. |
|
(9) |
Por lo tanto, en el caso de los países para los que se haya adoptado una decisión de adecuación, la Comisión realizará un seguimiento continuo, tanto en la legislación como en la práctica, de los cambios que puedan afectar al funcionamiento de este tipo de decisiones, y en particular de la evolución de las normas que regulan el acceso a los datos personales por parte de las autoridades públicas. |
|
(10) |
A fin de facilitar el control eficaz del funcionamiento de las decisiones de adecuación actualmente en vigor, los Estados miembros deberían informar a la Comisión sobre las medidas relevantes adoptadas por las autoridades nacionales de supervisión. |
|
(11) |
El Grupo de trabajo de protección de las personas en lo que respecta al tratamiento de datos personales, creado en virtud del artículo 29 de la Directiva 95/46/CE, ha emitido un dictamen que ha sido tenido en cuenta a la hora de redactar la presente Decisión. |
|
(12) |
Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité creado en virtud del artículo 31, apartado 1, de la Directiva 95/46/CE. |
|
(13) |
Deben, por lo tanto, modificarse en consecuencia las Decisiones 2000/518/CE, 2002/2/CE, 2003/490/CE, 2003/821/CE, 2004/411/CE, 2008/393/CE, 2010/146/UE, 2010/625/UE, 2011/61/UE y las Decisiones de Ejecución 2012/484/UE y 2013/65/UE. |
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1
La Decisión 2000/518/CE se modifica del siguiente modo:
|
1) |
El artículo 3 se sustituye por el texto siguiente: «Artículo 3 Cuando las autoridades competentes de los Estados miembros ejerzan sus facultades con arreglo al artículo 28, apartado 3, de la Directiva 95/46/CE, y ello dé lugar a la suspensión o la prohibición definitiva de los flujos de datos hacia Suiza con el fin de proteger a las personas en lo que respecta al tratamiento de sus datos personales, el Estado miembro afectado informará inmediatamente a la Comisión, que remitirá la información a los demás Estados miembros.». |
|
2) |
Se inserta el artículo 3 bis siguiente: «Artículo 3 bis 1. La Comisión realizará un seguimiento continuo de toda evolución del ordenamiento jurídico suizo que pueda afectar al funcionamiento de la presente Decisión, y en particular de la evolución de las normas que regulan el acceso a los datos personales por parte de las autoridades públicas, con el fin de determinar si Suiza sigue garantizando un nivel adecuado de protección de los datos personales. 2. Los Estados miembros y la Comisión se informarán recíprocamente de aquellos casos en que la actuación de los organismos responsables del cumplimiento de las normas de protección en Suiza no garantice dicho cumplimiento. 3. Los Estados miembros y la Comisión se informarán recíprocamente cuando haya algún indicio de que las injerencias por parte de los poderes públicos suizos competentes en materia de seguridad nacional, aplicación de la ley u otros intereses públicos en el derecho de las personas a la protección de sus datos de carácter personal van más allá de lo estrictamente necesario, o de que no existe una tutela judicial efectiva frente a tales injerencias. 4. Si se demuestra que ya no está garantizado un nivel adecuado de protección, incluso en las situaciones a que se refieren los apartados 2 y 3 del presente artículo, la Comisión informará de ello a la autoridad competente suiza y, en caso necesario, propondrá un proyecto de medidas de conformidad con el procedimiento a que se refiere el artículo 31, apartado 2, de la Directiva 95/46/CE, a fin de anular o suspender la presente Decisión, o limitar su ámbito de aplicación.». |
Artículo 2
La Decisión 2002/2/CE se modifica del siguiente modo:
|
1) |
El artículo 3 se sustituye por el texto siguiente: «Artículo 3 Cuando las autoridades competentes de los Estados miembros ejerzan sus facultades con arreglo al artículo 28, apartado 3, de la Directiva 95/46/CE, y ello dé lugar a la suspensión o la prohibición definitiva de los flujos de datos hacia un receptor canadiense cuyas actividades entren en el ámbito de la ley canadiense Personal Information and Electronic Documents Act con el fin de proteger a las personas en lo que respecta al tratamiento de sus datos personales, el Estado miembro afectado informará inmediatamente a la Comisión, que remitirá la información a los demás Estados miembros.». |
|
2) |
Se inserta el artículo 3 bis siguiente: «Artículo 3 bis 1. La Comisión realizará un seguimiento continuo de toda evolución del ordenamiento jurídico canadiense que pueda afectar al funcionamiento de la presente Decisión, y en particular de la evolución de las normas que regulan el acceso a los datos personales por parte de las autoridades públicas, con el fin de determinar si Canadá sigue garantizando un nivel adecuado de protección de los datos personales. 2. Los Estados miembros y la Comisión se informarán recíprocamente de aquellos casos en que la actuación de los organismos responsables del cumplimiento de las normas de protección en Canadá no garantice dicho cumplimiento. 3. Los Estados miembros y la Comisión se informarán recíprocamente cuando haya algún indicio de que las injerencias por parte de los poderes públicos canadienses competentes en materia de seguridad nacional, aplicación de la ley u otros intereses públicos en el derecho de las personas a la protección de sus datos de carácter personal van más allá de lo estrictamente necesario, o de que no existe una tutela judicial efectiva frente a tales injerencias. 4. Si se demuestra que ya no está garantizado un nivel adecuado de protección, incluso en las situaciones a que se refieren los apartados 2 y 3 del presente artículo, la Comisión informará de ello a la autoridad competente canadiense y, en caso necesario, propondrá un proyecto de medidas de conformidad con el procedimiento a que se refiere el artículo 31, apartado 2, de la Directiva 95/46/CE, a fin de anular o suspender la presente Decisión, o limitar su ámbito de aplicación.». |
Artículo 3
La Decisión 2003/490/CE se modifica del siguiente modo:
|
1) |
El artículo 3 se sustituye por el texto siguiente: «Artículo 3 Cuando las autoridades competentes de los Estados miembros ejerzan sus facultades con arreglo al artículo 28, apartado 3, de la Directiva 95/46/CE, y ello dé lugar a la suspensión o la prohibición definitiva de los flujos de datos hacia Argentina con el fin de proteger a las personas en lo que respecta al tratamiento de sus datos personales, el Estado miembro afectado informará inmediatamente a la Comisión, que remitirá la información a los demás Estados miembros.». |
|
2) |
Se inserta el artículo 3 bis siguiente: «Artículo 3 bis 1. La Comisión realizará un seguimiento continuo de toda evolución del ordenamiento jurídico argentino que pueda afectar al funcionamiento de la presente Decisión, y en particular de la evolución de las normas que regulan el acceso a los datos personales por parte de las autoridades públicas, con el fin de determinar si Argentina sigue garantizando un nivel adecuado de protección de los datos personales. 2. Los Estados miembros y la Comisión se informarán recíprocamente de aquellos casos en que la actuación de los organismos responsables del cumplimiento de las normas de protección en Argentina no garantice dicho cumplimiento. 3. Los Estados miembros y la Comisión se informarán recíprocamente cuando haya algún indicio de que las injerencias por parte de los poderes públicos argentinos competentes en materia de seguridad nacional, aplicación de la ley u otros intereses públicos en el derecho de las personas a la protección de sus datos de carácter personal van más allá de lo estrictamente necesario, o de que no existe una tutela judicial efectiva frente a tales injerencias. 4. Si se demuestra que ya no está garantizado un nivel adecuado de protección, incluso en las situaciones a que se refieren los apartados 2 y 3 del presente artículo, la Comisión informará de ello a la autoridad competente argentina y, en caso necesario, propondrá un proyecto de medidas de conformidad con el procedimiento a que se refiere el artículo 31, apartado 2, de la Directiva 95/46/CE, a fin de anular o suspender la presente Decisión, o limitar su ámbito de aplicación.». |
Artículo 4
Los artículos 3 y 4 de la Decisión 2003/821/CE se sustituyen por el texto siguiente:
«Artículo 3
Cuando las autoridades competentes de los Estados miembros ejerzan sus facultades con arreglo al artículo 28, apartado 3, de la Directiva 95/46/CE, y ello dé lugar a la suspensión o la prohibición definitiva de los flujos de datos hacia la Bailía de Guernsey con el fin de proteger a las personas en lo que respecta al tratamiento de sus datos personales, el Estado miembro afectado informará inmediatamente a la Comisión, que remitirá la información a los demás Estados miembros.
Artículo 4
1. La Comisión realizará un seguimiento continuo de toda evolución del ordenamiento jurídico de Guernsey que pueda afectar al funcionamiento de la presente Decisión, y en particular de la evolución de las normas que regulan el acceso a los datos personales por parte de las autoridades públicas, con el fin de determinar si Guernsey sigue garantizando un nivel adecuado de protección de los datos personales.
2. Los Estados miembros y la Comisión se informarán recíprocamente de aquellos casos en que la actuación de los organismos responsables del cumplimiento de las normas de protección en Guernsey no garantice dicho cumplimiento.
3. Los Estados miembros y la Comisión se informarán recíprocamente cuando haya algún indicio de que las injerencias por parte de los poderes públicos de Guernsey competentes en materia de seguridad nacional, aplicación de la ley u otros intereses públicos en el derecho de las personas a la protección de sus datos de carácter personal van más allá de lo estrictamente necesario, o de que no existe una tutela judicial efectiva frente a tales injerencias.
4. Si se demuestra que ya no está garantizado un nivel adecuado de protección, incluso en las situaciones a que se refieren los apartados 2 y 3 del presente artículo, la Comisión informará de ello a la autoridad competente de Guernsey y, en caso necesario, propondrá un proyecto de medidas de conformidad con el procedimiento a que se refiere el artículo 31, apartado 2, de la Directiva 95/46/CE, a fin de anular o suspender la presente Decisión, o limitar su ámbito de aplicación.».
Artículo 5
Los artículos 3 y 4 de la Decisión 2004/411/CE se sustituyen por el texto siguiente:
«Artículo 3
Cuando las autoridades competentes de los Estados miembros ejerzan sus facultades con arreglo al artículo 28, apartado 3, de la Directiva 95/46/CE, y ello dé lugar a la suspensión o la prohibición definitiva de los flujos de datos hacia la Isla de Man con el fin de proteger a las personas en lo que respecta al tratamiento de sus datos personales, el Estado miembro afectado informará inmediatamente a la Comisión, que remitirá la información a los demás Estados miembros.
Artículo 4
1. La Comisión realizará un seguimiento continuo de toda evolución del ordenamiento jurídico de la Isla de Man que pueda afectar al funcionamiento de la presente Decisión, y en particular de la evolución de las normas que regulan el acceso a los datos personales por parte de las autoridades públicas, con el fin de determinar si la Isla de Man sigue garantizando un nivel adecuado de protección de los datos personales.
2. Los Estados miembros y la Comisión se informarán recíprocamente de aquellos casos en que la actuación de los organismos responsables del cumplimiento de las normas de protección en la Isla de Man no garantice dicho cumplimiento.
3. Los Estados miembros y la Comisión se informarán recíprocamente cuando haya algún indicio de que las injerencias por parte de los poderes públicos de la Isla de Man competentes en materia de seguridad nacional, aplicación de la ley u otros intereses públicos en el derecho de las personas a la protección de sus datos de carácter personal van más allá de lo estrictamente necesario, o de que no existe una tutela judicial efectiva frente a tales injerencias.
4. Si se demuestra que ya no está garantizado un nivel adecuado de protección, incluso en las situaciones a que se refieren los apartados 2 y 3 del presente artículo, la Comisión informará de ello a la autoridad competente de la Isla de Man y, en caso necesario, propondrá un proyecto de medidas de conformidad con el procedimiento a que se refiere el artículo 31, apartado 2, de la Directiva 95/46/CE, a fin de anular o suspender la presente Decisión, o limitar su ámbito de aplicación.».
Artículo 6
Los artículos 3 y 4 de la Decisión 2008/393/CE se sustituyen por el texto siguiente:
«Artículo 3
Cuando las autoridades competentes de los Estados miembros ejerzan sus facultades con arreglo al artículo 28, apartado 3, de la Directiva 95/46/CE, y ello dé lugar a la suspensión o la prohibición definitiva de los flujos de datos hacia Jersey con el fin de proteger a las personas en lo que respecta al tratamiento de sus datos personales, el Estado miembro afectado informará inmediatamente a la Comisión, que remitirá la información a los demás Estados miembros.
Artículo 4
1. La Comisión realizará un seguimiento continuo de toda evolución del ordenamiento jurídico de Jersey que pueda afectar al funcionamiento de la presente Decisión, y en particular de la evolución de las normas que regulan el acceso a los datos personales por parte de las autoridades públicas, con el fin de determinar si Jersey sigue garantizando un nivel adecuado de protección de los datos personales.
2. Los Estados miembros y la Comisión se informarán recíprocamente de aquellos casos en que la actuación de los organismos responsables del cumplimiento de las normas de protección en Jersey no garantice dicho cumplimiento.
3. Los Estados miembros y la Comisión se informarán recíprocamente cuando haya algún indicio de que las injerencias por parte de los poderes públicos de Jersey competentes en materia de seguridad nacional, aplicación de la ley u otros intereses públicos en el derecho de las personas a la protección de sus datos de carácter personal van más allá de lo estrictamente necesario, o de que no existe una tutela judicial efectiva frente a tales injerencias.
4. Si se demuestra que ya no está garantizado un nivel adecuado de protección, incluso en las situaciones a que se refieren los apartados 2 y 3 del presente artículo, la Comisión informará de ello a la autoridad competente de Jersey y, en caso necesario, propondrá un proyecto de medidas de conformidad con el procedimiento a que se refiere el artículo 31, apartado 2, de la Directiva 95/46/CE, a fin de anular o suspender la presente Decisión, o limitar su ámbito de aplicación.».
Artículo 7
Los artículos 3 y 4 de la Decisión 2010/146/UE se sustituyen por el texto siguiente:
«Artículo 3
Cuando las autoridades competentes de los Estados miembros ejerzan sus facultades con arreglo al artículo 28, apartado 3, de la Directiva 95/46/CE, y ello dé lugar a la suspensión o la prohibición definitiva de los flujos de datos hacia un receptor de las Islas Feroe cuyas actividades entren en el ámbito de aplicación de la Ley de las Islas Feroe sobre el tratamiento de datos personales con el fin de proteger a las personas en lo que respecta al tratamiento de sus datos personales, el Estado miembro afectado informará inmediatamente a la Comisión, que remitirá la información a los demás Estados miembros.
Artículo 4
1. La Comisión realizará un seguimiento continuo de toda evolución del ordenamiento jurídico de las Islas Feroe que pueda afectar al funcionamiento de la presente Decisión, y en particular de la evolución de las normas que regulan el acceso a los datos personales por parte de las autoridades públicas, con el fin de determinar si las Islas Feroe siguen garantizando un nivel adecuado de protección de los datos personales.
2. Los Estados miembros y la Comisión se informarán recíprocamente de aquellos casos en que la actuación de los organismos responsables del cumplimiento de las normas de protección en las Islas Feroe no garantice dicho cumplimiento.
3. Los Estados miembros y la Comisión se informarán recíprocamente cuando haya algún indicio de que las injerencias por parte de los poderes públicos de las Islas Feroe competentes en materia de seguridad nacional, aplicación de la ley u otros intereses públicos en el derecho de las personas a la protección de sus datos de carácter personal van más allá de lo estrictamente necesario, o de que no existe una tutela judicial efectiva frente a tales injerencias.
4. Si se demuestra que ya no está garantizado un nivel adecuado de protección, incluso en las situaciones a que se refieren los apartados 2 y 3 del presente artículo, la Comisión informará de ello a la autoridad competente de las Islas Feroe y, en caso necesario, propondrá un proyecto de medidas de conformidad con el procedimiento a que se refiere el artículo 31, apartado 2, de la Directiva 95/46/CE, a fin de anular o suspender la presente Decisión, o limitar su ámbito de aplicación.».
Artículo 8
Los artículos 3 y 4 de la Decisión 2010/625/UE se sustituyen por el texto siguiente:
«Artículo 3
Cuando las autoridades competentes de los Estados miembros ejerzan sus facultades con arreglo al artículo 28, apartado 3, de la Directiva 95/46/CE, y ello dé lugar a la suspensión o la prohibición definitiva de los flujos de datos hacia Andorra con el fin de proteger a las personas en lo que respecta al tratamiento de sus datos personales, el Estado miembro afectado informará inmediatamente a la Comisión, que remitirá la información a los demás Estados miembros.
Artículo 4
1. La Comisión realizará un seguimiento continuo de toda evolución del ordenamiento jurídico de Andorra que pueda afectar al funcionamiento de la presente Decisión, y en particular de la evolución de las normas que regulan el acceso a los datos personales por parte de las autoridades públicas, con el fin de determinar si Andorra sigue garantizando un nivel adecuado de protección de los datos personales.
2. Los Estados miembros y la Comisión se informarán recíprocamente de aquellos casos en que la actuación de los organismos responsables del cumplimiento de las normas de protección en Andorra no garantice dicho cumplimiento.
3. Los Estados miembros y la Comisión se informarán recíprocamente cuando haya algún indicio de que las injerencias por parte de los poderes públicos de Andorra competentes en materia de seguridad nacional, aplicación de la ley u otros intereses públicos en el derecho de las personas a la protección de sus datos de carácter personal van más allá de lo estrictamente necesario, o de que no existe una tutela judicial efectiva frente a tales injerencias.
4. Si se demuestra que ya no está garantizado un nivel adecuado de protección, incluso en las situaciones a que se refieren los apartados 2 y 3 del presente artículo, la Comisión informará de ello a la autoridad competente de Andorra y, en caso necesario, propondrá un proyecto de medidas de conformidad con el procedimiento a que se refiere el artículo 31, apartado 2, de la Directiva 95/46/CE, a fin de anular o suspender la presente Decisión, o limitar su ámbito de aplicación.».
Artículo 9
Los artículos 3 y 4 de la Decisión 2011/61/UE se sustituyen por el texto siguiente:
«Artículo 3
Cuando las autoridades competentes de los Estados miembros ejerzan sus facultades con arreglo al artículo 28, apartado 3, de la Directiva 95/46/CE, y ello dé lugar a la suspensión o la prohibición definitiva de los flujos de datos hacia el Estado de Israel con el fin de proteger a las personas en lo que respecta al tratamiento de sus datos personales, el Estado miembro afectado informará inmediatamente a la Comisión, que remitirá la información a los demás Estados miembros.
Artículo 4
1. La Comisión realizará un seguimiento continuo de toda evolución del ordenamiento jurídico israelí que pueda afectar al funcionamiento de la presente Decisión, y en particular de la evolución de las normas que regulan el acceso a los datos personales por parte de las autoridades públicas, con el fin de determinar si el Estado de Israel sigue garantizando un nivel adecuado de protección de los datos personales.
2. Los Estados miembros y la Comisión se informarán recíprocamente de aquellos casos en que la actuación de los organismos responsables del cumplimiento de las normas de protección en el Estado de Israel no garantice dicho cumplimiento.
3. Los Estados miembros y la Comisión se informarán recíprocamente cuando haya algún indicio de que las injerencias por parte de los poderes públicos israelíes competentes en materia de seguridad nacional, aplicación de la ley u otros intereses públicos en el derecho de las personas a la protección de sus datos de carácter personal van más allá de lo estrictamente necesario, o de que no existe una tutela judicial efectiva frente a tales injerencias.
4. Si se demuestra que ya no está garantizado un nivel adecuado de protección, incluso en las situaciones a que se refieren los apartados 2 y 3 del presente artículo, la Comisión informará de ello a la autoridad israelí competente y, en caso necesario, propondrá un proyecto de medidas de conformidad con el procedimiento a que se refiere el artículo 31, apartado 2, de la Directiva 95/46/CE, a fin de anular o suspender la presente Decisión, o limitar su ámbito de aplicación.».
Artículo 10
Los artículos 2 y 3 de la Decisión de Ejecución 2012/484/UE se sustituyen por el texto siguiente:
«Artículo 2
Cuando las autoridades competentes de los Estados miembros ejerzan sus facultades con arreglo al artículo 28, apartado 3, de la Directiva 95/46/CE, y ello dé lugar a la suspensión o la prohibición definitiva de los flujos de datos hacia la República Oriental del Uruguay con el fin de proteger a las personas en lo que respecta al tratamiento de sus datos personales, el Estado miembro afectado informará inmediatamente a la Comisión, que remitirá la información a los demás Estados miembros.
Artículo 3
1. La Comisión realizará un seguimiento continuo de toda evolución del ordenamiento jurídico de la República Oriental del Uruguay que pueda afectar al funcionamiento de la presente Decisión, y en particular de la evolución de las normas que regulan el acceso a los datos personales por parte de las autoridades públicas, con el fin de determinar si la República Oriental del Uruguay sigue garantizando un nivel adecuado de protección de los datos personales.
2. Los Estados miembros y la Comisión se informarán recíprocamente de aquellos casos en que la actuación de los organismos responsables del cumplimiento de las normas de protección en la República Oriental del Uruguay no garantice dicho cumplimiento.
3. Los Estados miembros y la Comisión se informarán recíprocamente cuando haya algún indicio de que las injerencias por parte de los poderes públicos uruguayos competentes en materia de seguridad nacional, aplicación de la ley u otros intereses públicos en el derecho de las personas a la protección de sus datos de carácter personal van más allá de lo estrictamente necesario, o de que no existe una tutela judicial efectiva frente a tales injerencias.
4. Si se demuestra que ya no está garantizado un nivel adecuado de protección, incluso en las situaciones a que se refieren los apartados 2 y 3 del presente artículo, la Comisión informará de ello a la autoridad uruguaya competente y, en caso necesario, propondrá un proyecto de medidas de conformidad con el procedimiento a que se refiere el artículo 31, apartado 2, de la Directiva 95/46/CE, a fin de anular o suspender la presente Decisión, o limitar su ámbito de aplicación.».
Artículo 11
Los artículos 2 y 3 de la Decisión de Ejecución 2013/65/UE se sustituyen por el texto siguiente:
«Artículo 2
Cuando las autoridades competentes de los Estados miembros ejerzan sus facultades con arreglo al artículo 28, apartado 3, de la Directiva 95/46/CE, y ello dé lugar a la suspensión o la prohibición definitiva de los flujos de datos hacia Nueva Zelanda con el fin de proteger a las personas en lo que respecta al tratamiento de sus datos personales, el Estado miembro afectado informará inmediatamente a la Comisión, que remitirá la información a los demás Estados miembros.
Artículo 3
1. La Comisión realizará un seguimiento continuo de toda evolución del ordenamiento jurídico de Nueva Zelanda que pueda afectar al funcionamiento de la presente Decisión, y en particular de la evolución de las normas que regulan el acceso a los datos personales por parte de las autoridades públicas, con el fin de determinar si Nueva Zelanda sigue garantizando un nivel adecuado de protección de los datos personales.
2. Los Estados miembros y la Comisión se informarán recíprocamente de aquellos casos en que la actuación de los organismos responsables del cumplimiento de las normas de protección en Nueva Zelanda no garantice dicho cumplimiento.
3. Los Estados miembros y la Comisión se informarán recíprocamente cuando haya algún indicio de que las injerencias por parte de los poderes públicos de Nueva Zelanda competentes en materia de seguridad nacional, aplicación de la ley u otros intereses públicos en el derecho de las personas a la protección de sus datos de carácter personal van más allá de lo estrictamente necesario, o de que no existe una tutela judicial efectiva frente a tales injerencias.
4. Si se demuestra que ya no está garantizado un nivel adecuado de protección, incluso en las situaciones a que se refieren los apartados 2 y 3 del presente artículo, la Comisión informará de ello a la autoridad competente de Nueva Zelanda y, en caso necesario, propondrá un proyecto de medidas de conformidad con el procedimiento a que se refiere el artículo 31, apartado 2, de la Directiva 95/46/CE, a fin de anular o suspender la presente Decisión, o limitar su ámbito de aplicación.».
Artículo 12
Los destinatarios de la presente Decisión serán los Estados miembros.
Hecho en Bruselas, el 16 de diciembre de 2016.
Por la Comisión
Věra JOUROVÁ
Miembro de la Comisión
(1) DO L 281 de 23.11.1995, p. 31.
(2) ECLI:EU:C:2015:650.
(3) Decisión 2000/520/CE de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América (DO L 215 de 25.8.2000, p. 7).
(4) Sentencia Schrems, apartados 40 y siguientes, y 101 a 103.
(5) Schrems, apartados 51, 52 y 62.
(6) Schrems, apartados 52, 62 y 65.
(7) Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo relativa al nivel de protección adecuado de los datos personales en Suiza (DO L 215 de 25.8.2000, p. 1).
(8) Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección de los datos personales conferida por la ley canadiense Personal Information and Electronic Documents Act (DO L 2 de 4.1.2002, p. 13).
(9) Decisión 2003/490/CE de la Comisión, de 30 de junio de 2003, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo sobre la adecuación de la protección de los datos personales en Argentina (DO L 168 de 5.7.2003, p. 19).
(10) Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003, relativa al carácter adecuado de la protección de los datos personales en Guernsey (DO L 308 de 25.11.2003, p. 27).
(11) Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004, relativa al carácter adecuado de la protección de los datos personales en la Isla de Man (DO L 151 de 30.4.2004, p. 48).
(12) Decisión 2008/393/CE de la Comisión, de 8 de mayo de 2008, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada de los datos personales en Jersey (DO L 138 de 28.5.2008, p. 21).
(13) Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada dada en la Ley de las Islas Feroe sobre el tratamiento de datos personales (DO L 58 de 9.3.2010, p. 17).
(14) Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la adecuada protección de los datos personales en Andorra (DO L 277 de 21.10.2010, p. 27).
(15) Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada de los datos personales por el Estado de Israel en lo que respecta al tratamiento automatizado de los datos personales (DO L 27 de 1.2.2011, p. 39).
(16) Decisión de Ejecución 2012/484/UE de la Comisión, de 21 de agosto de 2012, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada de los datos personales por la República Oriental del Uruguay en lo que respecta al tratamiento automatizado de datos personales (DO L 227 de 23.8.2012, p. 11).
(17) Decisión de Ejecución 2013/65/UE de la Comisión, de 19 de diciembre de 2012, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada de los datos personales por Nueva Zelanda (DO L 28 de 30.1.2013, p. 12).
(18) Schrems, apartado 76. En cualquier caso, deberá procederse obligatoriamente a este control cuando la Comisión tenga conocimiento de algún indicio que genere una duda razonable al respecto.