(1)

El Reglamento (UE) 2016/679 establece las normas que regulan la transferencia de datos personales desde los responsables o encargados del tratamiento en la Unión a terceros países y organizaciones internacionales, en la medida en que tales transferencias se encuentren comprendidas dentro de su ámbito de aplicación. Las normas sobre las transferencias internacionales de datos se establecen en el capítulo V (artículos 44 a 50) de dicho Reglamento. Si bien el flujo de datos personales hacia y desde países no pertenecientes a la Unión Europea es esencial para la expansión del comercio transfronterizo y la cooperación internacional, el nivel de protección de los datos personales en la Unión no debe verse menoscabado por transferencias a terceros países (2).

(2)

De conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679, la Comisión puede decidir, mediante un acto de ejecución, que un tercer país, un territorio o uno o varios sectores específicos de un tercer país o una organización internacional garantizan un nivel de protección adecuado. En tal caso, la transferencia de datos personales a un tercer país puede realizarse sin necesidad de obtener ninguna otra autorización, de conformidad con lo dispuesto en el artículo 45, apartado 1, y el considerando 103 de dicho Reglamento.

(3)

Tal como se especifica en el artículo 45, apartado 2, del Reglamento (UE) 2016/679, la adopción de una decisión de adecuación ha de basarse en un análisis exhaustivo del ordenamiento jurídico del tercer país, que contemple tanto las normas aplicables a los importadores de datos como las limitaciones y salvaguardias en lo que respecta al acceso a los datos personales por parte de las autoridades públicas. En su evaluación, la Comisión debe determinar si el tercer país en cuestión garantiza un nivel de protección «equivalente en lo esencial» al ofrecido en la Unión Europea [considerando 104 del Reglamento (UE) 2016/679]. Esto debe evaluarse con arreglo a la legislación de la Unión, en concreto el Reglamento (UE) 2016/679, así como a la jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE) (3).

(4)

Tal como ha precisado el Tribunal de Justicia de la Unión Europea, no se exige un nivel de protección idéntico (4). En particular, los medios de que se sirve el tercer país en cuestión para la protección de los datos personales pueden ser diferentes de los aplicados en la Unión, siempre que, en la práctica, sean eficaces para garantizar un nivel de protección adecuado (5). Por consiguiente, el nivel de adecuación no exige que se reproduzcan al pie de la letra las normas de la Unión. Se trata más bien de determinar si, a través de la esencia de los derechos de privacidad y su aplicación, fuerza ejecutiva y supervisión efectivas, el ordenamiento en cuestión ofrece, en su conjunto, el nivel de protección exigido (6). Las referencias sobre adecuación del Comité Europeo de Protección de Datos, que pretenden aclarar esta norma, también proporcionan orientación a este respecto (7).

(5)

La Comisión ha analizado detenidamente la legislación y las prácticas coreanas. Sobre la base de las constataciones expuestas en los considerandos 8 a 208, la Comisión concluye que la República de Corea garantiza un nivel adecuado de protección de los datos personales transferidos desde un responsable o encargado del tratamiento en la Unión (8) a entidades (por ejemplo, personas físicas o jurídicas, organizaciones o instituciones públicas) de Corea que entran en el ámbito de aplicación de la Ley sobre la protección de la información personal (Ley n.o 10465 de 29 de marzo de 2011, modificada en último lugar por la Ley n.o 16930 de 4 de febrero de 2020). Esto incluye tanto a los responsables como a los encargados del tratamiento (denominados «proveedores externos» (9)) en el sentido del Reglamento (UE) 2016/679. La constatación de adecuación no abarca el tratamiento de datos personales para actividades misioneras por parte de organizaciones religiosas ni para el nombramiento de candidatos por parte de partidos políticos ni el tratamiento de información crediticia personal con arreglo a la Ley de información crediticia por parte de los responsables del tratamiento que estén sujetos a la supervisión de la Comisión de Servicios Financieros.

(6)

Esta conclusión tiene en cuenta las salvaguardias adicionales establecidas en la Nota n.o 2021-5 (anexo I) y las declaraciones, las garantías y los compromisos oficiales del Gobierno coreano a la Comisión (anexo II).

(7)

La presente Decisión tiene como efecto que las transferencias a responsables y encargados del tratamiento en la República de Corea puedan realizarse sin necesidad de obtener otro tipo de autorización. No tiene ninguna incidencia en la aplicación directa del Reglamento (UE) 2016/679 a las entidades cuando se cumplan las condiciones relativas al ámbito territorial de dicho Reglamento, establecidas en su artículo 3.

(8)

El régimen jurídico que rige la privacidad y la protección de datos en Corea tiene sus raíces en la Constitución coreana, promulgada el 17 de julio de 1948. Si bien el derecho a la protección de los datos personales no está expresamente contemplado en la Constitución, sí se reconoce como un derecho fundamental, derivado de los derechos constitucionales a la dignidad humana y a la búsqueda de la felicidad (artículo 10), a la vida privada (artículo 17) y a la privacidad de las comunicaciones (artículo 18). Esto ha sido confirmado tanto por el Tribunal Supremo (10) como por el Tribunal Constitucional (11). Las restricciones de los derechos y libertades fundamentales (incluido el derecho a la privacidad) solo pueden imponerse por ley, cuando sea necesario para la seguridad nacional o para el mantenimiento del orden público en aras del bienestar público, y no pueden afectar al contenido esencial del derecho o la libertad en cuestión (artículo 37, apartado 2).

(9)

Aunque la Constitución hace referencia en varios lugares a los derechos de los ciudadanos coreanos, el Tribunal Constitucional ha dictaminado que los extranjeros también son sujetos de derechos fundamentales (12). En particular, el Tribunal sostuvo que la protección de la dignidad y el valor como ser humano, así como el derecho a buscar la felicidad, son derechos de todo ser humano, no solo de los ciudadanos (13). Además, según las declaraciones oficiales del Gobierno coreano (14), está generalmente reconocido que los artículos 12 a 22 de la Constitución (que incluyen los derechos de privacidad) prevén los derechos humanos fundamentales (15). Aunque hasta ahora no existe una jurisprudencia específica sobre el derecho a la privacidad de los extranjeros, su fundamento en la protección de la dignidad humana y la búsqueda de la felicidad respalda esta conclusión (16).

(10)

Por otra parte, Corea ha promulgado una serie de leyes en el ámbito de la protección de datos que ofrecen salvaguardias para todas las personas, independientemente de su nacionalidad (17). A efectos de la presente Decisión, las leyes pertinentes son:

(11)

La LPIP establece el marco jurídico general para la protección de datos en la República de Corea. Se complementa con un Decreto de Ejecución (Decreto Presidencial n.o 23169, de 29 de septiembre de 2011, modificado por última vez por el Decreto Presidencial n.o 30892, de 4 de agosto de 2020) (Decreto de Ejecución de la LPIP), que, al igual que la LPIP, es jurídicamente vinculante y ejecutable.

(12)

Además, las «Notas» reglamentarias adoptadas por la Comisión de Protección de la Información Personal (CPIP) establecen normas adicionales sobre la interpretación y aplicación de la LPIP. Sobre la base del artículo 5 (Obligaciones del Estado) y del artículo 14 (Cooperación internacional) de la LPIP, la CPIP adoptó la Nota n.o 2021-5, de 1 de septiembre de 2020 (modificada por la Nota n.o 2021-1, de 21 de enero de 2021, y la Nota n.o 2021-5, de 16 de noviembre 2021, Nota n.o 2021-5), sobre la interpretación, aplicación y ejecución de determinadas disposiciones de la LPIP. Esta Nota contiene aclaraciones que se aplican a cualquier tratamiento de datos personales en virtud de la LPIP, así como salvaguardias adicionales para los datos personales transferidos a Corea sobre la base de la presente Decisión. La Notificación es jurídicamente vinculante para los responsables del tratamiento de información personal y ejecutable tanto por la CPIP como por los órganos jurisdiccionales (19). Una infracción de las normas establecidas en la Nota supone una infracción de las disposiciones pertinentes de la LPIP que complementan. Por consiguiente, el contenido de las salvaguardias adicionales se analiza en el marco de la evaluación de los artículos pertinentes de la LPIP. Por último, en el Manual de la LPIP y las directrices aprobadas por la CPIP se ofrece más orientación sobre la LPIP y su Decreto de Ejecución, que guía la aplicación y el cumplimiento de las normas de protección de datos por parte de la CPIP (20).

(13)

Además, la Ley sobre el uso y la protección de la información crediticia (LIC) establece normas específicas que se aplican tanto a los operadores comerciales «ordinarios» como a las entidades especializadas dentro del sector financiero cuando tratan información crediticia personal, es decir, información necesaria para determinar la solvencia de las partes de transacciones financieras o comerciales. Esto incluye, en particular, el nombre, los datos de contacto, las transacciones financieras, la calificación crediticia, la situación de seguro o el saldo de préstamos cuando dicha información se utilice para determinar la solvencia de una persona (21). En cambio, cuando dicha información se utiliza para otros fines (tales como recursos humanos), la LPIP se aplica en su totalidad. En cuanto a las disposiciones específicas de protección de datos de la LIC, el cumplimiento es supervisado en parte por el CPIP (para las organizaciones comerciales, véase el artículo 45-3 de la LIC) y en parte por la Comisión de Servicios Financieros (22) (para el sector financiero, incluidas las agencias de calificación crediticia, los bancos, las compañías de seguros, las cajas mutuas de ahorros, las instituciones financieras de crédito especializadas, las empresas de servicios de inversión financiera, las empresas financieras de valores, las cooperativas de crédito, etc., véanse el artículo 45, apartado 1, de la LIC, en relación con el artículo 36-2 del Decreto de Ejecución de la LIC, y el artículo 38 de la Ley de la Comisión de Servicios Financieros). A este respecto, el ámbito de aplicación de la presente Decisión se limita a los operadores comerciales sujetos a la supervisión de la CPIP (23). Las normas específicas de la LIC que se aplican en este contexto (las normas generales de la LPIP se aplican cuando no existen normas específicas) se describen en el apartado 2.3.11.

(14)

Salvo que se disponga expresamente lo contrario en otras leyes, la protección de los datos personales se rige por la LPIP (artículo 6). El ámbito de aplicación material y personal está determinado por los conceptos definidos de «información personal», «tratamiento» y «responsable del tratamiento de información personal».

(15)

El artículo 2, apartado 1, de la LPIP define «información personal» como la información relativa a una persona viva que permite identificarla directamente, por ejemplo, por su nombre, número de registro de residente o imagen, o de manera indirecta, a saber, cuando la información que por sí sola no permite identificar a un particular determinado puede combinarse fácilmente con otra información. El hecho de si la información puede combinarse «fácilmente» depende de si dicha combinación es razonablemente probable, teniendo en cuenta la posibilidad de obtener otra información, así como el tiempo, el coste y la tecnología necesarios para identificar a un particular.

(16)

Además, la información seudonimizada, es decir, la información que no permite identificar a un particular concreto sin utilizarse o combinarse con información adicional para devolverla a su estado original, se considera datos personales en virtud de la LPIP [artículo 2, apartado 1, letra c), de la LPIP]. En cambio, la información totalmente «anonimizada» queda excluida del ámbito de aplicación de la LPIP (artículo 58-2 de la LPIP). Este es el caso de la información que no permite identificar a un particular concreto, aunque se combine con otra información, teniendo en cuenta el tiempo, el coste y la tecnología razonablemente necesarios para la identificación.

(17)

Esto corresponde al ámbito de aplicación material del Reglamento (UE) 2016/679 y a sus conceptos de «datos personales», «seudonimización» (24) e «información anonimizada» (25).

(18)

En la LPIP, el concepto de «tratamiento» se define de manera general como «la recogida, la generación, la conexión, la interrelación, el registro, el almacenamiento, la conservación, el tratamiento con valor añadido, la edición, la recuperación, la producción, la corrección, la recuperación, la utilización, el suministro, la divulgación y la destrucción de información personal y otras actividades similares» (26). Aunque algunas disposiciones de la LPIP solo se refieren a tipos específicos de tratamiento, tales como el «uso», el «suministro» o la «recogida» (27), el concepto de «uso» se interpreta en el sentido de que incluye cualquier tipo de tratamiento distinto de la «recogida» o el «suministro» (de terceros). Esta amplia interpretación del concepto de «utilización» garantiza que no haya lagunas en la protección con respecto a determinadas actividades de tratamiento. Por consiguiente, el concepto de «tratamiento» corresponde al mismo concepto del Reglamento (UE) 2016/679.

(19)

La LPIP se aplica a los «responsables del tratamiento de información personal» (responsable del tratamiento). Al igual que el Reglamento (UE) 2016/679, esto incluye a toda institución pública, persona jurídica, organización o persona física que trate datos personales directa o indirectamente para gestionar ficheros de datos personales como parte de sus actividades (28). En este contexto, por «fichero de información personal» se entiende cualquier «conjunto o conjuntos de información personal dispuestos u organizados de manera sistemática sobre la base de una norma determinada para facilitar el acceso a la información personal» (artículo 2, apartado 4, de la LPIP) (29). En el ámbito interno, el responsable del tratamiento tiene la obligación de formar a las personas que intervienen en el tratamiento bajo su dirección, como los ejecutivos o los empleados de empresas, y de ejercer el control y la supervisión adecuados (artículo 28, apartado 1, de la LPIP).

(20)

Se aplican obligaciones específicas cuando un responsable del tratamiento («externalizador») externaliza el tratamiento de datos personales a un tercero («proveedor externo»). En particular, la externalización debe regirse por un acuerdo jurídicamente vinculante (por lo general, un contrato) (30) que establezca el alcance del trabajo externalizado, la finalidad del tratamiento, las salvaguardias técnicas y de gestión que deben aplicarse, la supervisión por parte del responsable del tratamiento, la responsabilidad (como la indemnización por los daños y perjuicios causados por un incumplimiento de las obligaciones contractuales), así como las limitaciones de cualquier subtratamiento (31) (artículo 26, apartados 1 y 2, de la LPIP, en relación con el artículo 28, apartado 1, del Decreto de Ejecución) (32).

(21)

Además, el responsable del tratamiento debe publicar y actualizar constantemente los datos sobre el trabajo externalizado y la identidad del proveedor externo o, en la medida en que el tratamiento externalizado se refiera a actividades de comercialización directa, notificar directamente a las personas la información pertinente (artículo 26, apartados 2 y 3, de la LPIP, en relación con el artículo 28, apartados 2 a 5, del Decreto de Ejecución) (33).

(22)

Además, de conformidad con el artículo 26, apartado 4, de la LPIP, en relación con el artículo 28, apartado 6, del Decreto de Ejecución, el responsable del tratamiento tiene la obligación de «educar» al proveedor externo sobre las medidas de seguridad necesarias y supervisar, incluso mediante inspecciones, si cumple todas las obligaciones del responsable del tratamiento en virtud de la LPIP (34) y del contrato de externalización. Cuando el proveedor externo cause daños debido a una infracción de la LPIP, sus acciones u omisiones se atribuirán al responsable del tratamiento a efectos de responsabilidad, como en el caso de un empleado (artículo 26, apartado 6, de la LPIP).

(23)

Aunque la LPIP no utiliza, por tanto, conceptos diferentes para «responsables del tratamiento» y «encargados del tratamiento», las normas sobre la externalización establecen obligaciones y salvaguardias esencialmente equivalentes a las que regulan la relación entre los responsables y los encargados del tratamiento en virtud del Reglamento (UE) 2016/679.

(24)

Si bien la LPIP se aplica al tratamiento de datos personales por parte de cualquier responsable del tratamiento, algunas disposiciones contienen normas específicas (como lex specialis) para el tratamiento de los datos personales de «usuarios» por parte de «proveedores de servicios de información y comunicación» (35). El concepto de «usuarios» abarca a los particulares que utilizan servicios de información y comunicación [artículo 2, apartado 1, punto 4, de la Ley de promoción de la utilización de redes de información y comunicaciones y la protección de la información (Ley de redes)]. Esto requiere que la persona utilice directamente servicios de telecomunicaciones prestados por un operador coreano de telecomunicaciones o utilice servicios de información (36) prestados comercialmente (es decir, con ánimo de lucro) por una entidad que, a su vez, depende de los servicios de un operador de telecomunicaciones con licencia/registrado en Corea (37). En ambos casos, la entidad vinculada por las disposiciones específicas de la LPIP es aquella que ofrece un servicio en línea directamente a un particular (es decir, a un usuario).

(25)

Por el contrario, una constatación de adecuación se refiere exclusivamente al nivel de protección de los datos personales transferidos desde un responsable o encargado del tratamiento en la Unión a una entidad de un tercer país (en este caso, la República de Corea). En este último escenario, las personas físicas de la Unión normalmente solo tendrán una relación directa con el «exportador de datos» de la Unión y no con algún proveedor coreano de servicios de información y comunicación (38). Por consiguiente, las disposiciones específicas de la LPIP con respecto a los datos personales de los usuarios de servicios de información y comunicación solo se aplicarán, a lo sumo, en situaciones limitadas a los datos personales transferidos en virtud de la presente Decisión.

(26)

El artículo 58, apartado 1, de la LPIP excluye la aplicación de una parte de la LPIP (es decir, los artículos 15 a 57) con respecto a cuatro categorías de tratamiento de datos (39). En particular, no son de aplicación las partes de la LPIP que tratan de los motivos específicos del tratamiento, determinadas obligaciones en materia de protección de datos, las normas detalladas para el ejercicio de los derechos individuales ni las normas que rigen la resolución de conflictos por parte del Comité de mediación de conflictos relacionados con la información personal. Otras disposiciones básicas de la LPIP siguen siendo aplicables, especialmente las disposiciones generales sobre los principios de protección de datos (artículo 3 de la LPIP) —entre ellos, por ejemplo, los principios de legalidad, especificación y limitación de la finalidad, minimización de los datos, exactitud y seguridad de los datos— y los derechos individuales (de acceso, rectificación, supresión y suspensión, véase el artículo 4 de la LPIP). Además, el artículo 58, apartado 4, de la LPIP impone obligaciones específicas a dichas actividades de tratamiento, en particular con respecto a la minimización de los datos, la conservación de datos durante un período limitado, las medidas de seguridad y la tramitación de las reclamaciones (40). En consecuencia, los particulares pueden presentar una reclamación ante la CPIP si no se respetan estos principios y obligaciones y la CPIP está facultada para adoptar medidas de ejecución en caso de incumplimiento.

(27)

En primer lugar, la exención parcial abarca los datos personales recogidos con arreglo a la Ley de Estadística para su tratamiento por parte de las instituciones públicas. Según las aclaraciones recibidas del Gobierno coreano, los datos personales tratados en este contexto suelen estar relacionados con nacionales coreanos y solo pueden incluir excepcionalmente información sobre extranjeros, en particular en el caso de las estadísticas sobre la entrada y la salida del territorio o sobre las inversiones extranjeras. Sin embargo, incluso en estas situaciones, estos datos no suelen transferirse desde los responsables o encargados del tratamiento en la Unión, sino que son recogidos directamente por las autoridades públicas coreanas (41). Además, de manera similar a lo que se establece en el considerando 162 del Reglamento (UE) 2016/679, el tratamiento de datos con arreglo a la Ley de Estadística está sujeto a varias condiciones y salvaguardias. En particular, la Ley de Estadística impone obligaciones específicas, tales como garantizar la exactitud, la coherencia y la imparcialidad; garantizar la confidencialidad de los particulares; proteger la información de los encuestados en las consultas estadísticas, incluso con vistas a evitar que dicha información se utilice para fines distintos de la elaboración de estadísticas, y someter a los miembros del personal a requisitos de confidencialidad (42). Las autoridades públicas que tratan estadísticas también deben cumplir, entre otras cosas, los principios de minimización de los datos, limitación de la finalidad y seguridad (artículos 3 y 58, apartado 4, de la LPIP) y permitir a las personas ejercer sus derechos (de acceso, rectificación, supresión y suspensión, véase el artículo 4 de la LPIP). Por último, los datos deben tratarse de forma anonimizada o seudonimizada si esto permite cumplir la finalidad del tratamiento (artículo 3, apartado 7, de la LPIP).

(28)

En segundo lugar, el artículo 58, apartado 1, de la LPIP se refiere a los datos personales recogidos o solicitados para el análisis de información relacionada con la seguridad nacional. El alcance y las consecuencias de esta exención parcial se describen con más detalle en el considerando 149.

(29)

En tercer lugar, la exención parcial se aplica al tratamiento temporal de datos personales cuando esto resulte urgentemente necesario por motivos de seguridad pública, incluida la salud pública. Esta categoría es interpretada en sentido estricto por la CPIP y, según la información recibida, nunca se ha utilizado. Solo se aplica en situaciones de emergencia que requieran medidas urgentes, por ejemplo, para rastrear agentes infecciosos o para rescatar y ayudar a las víctimas de catástrofes naturales (43). Incluso en esas situaciones, la exención parcial solo abarca el tratamiento de datos personales durante un período limitado para ejecutar dichas medidas. Las situaciones en que esto podría aplicarse a las transferencias de datos objeto de la presente Decisión son aún más limitadas, habida cuenta de la baja probabilidad de que los datos personales transferidos desde la Unión a operadores coreanos sean del tipo que podría hacer que su tratamiento posterior sea «urgentemente necesario» para tales situaciones de emergencia.

(30)

Por último, la exención parcial se aplica a los datos personales recogidos o utilizados por la prensa, para actividades misioneras por parte de organizaciones religiosas o para el nombramiento de candidatos por parte de partidos políticos. La exención solo se aplica cuando los datos personales son tratados por la prensa, las organizaciones religiosas o los partidos políticos para esos fines específicos (es decir, las actividades periodísticas, la labor misionera y el nombramiento de candidatos políticos). Cuando dichas entidades traten datos personales para otros fines, tales como la gestión de recursos humanos o la administración interna, la LPIP se aplica en su totalidad.

(31)

Con respecto al tratamiento de datos personales por parte de la prensa para actividades periodísticas, el equilibrio entre la libertad de expresión y otros derechos (incluido el derecho a la privacidad) se establece en la Ley de arbitraje y recursos, etc. para los daños causados por los informes de prensa (Ley de prensa) (44). En particular, el artículo 5 de la Ley de prensa establece que la prensa (es decir, cualquier organismo de radiodifusión, diario, revista o periódico en línea), cualquier servicio de noticias en internet o cualquier organismo de radiodifusión multimedia por internet no pueden vulnerar la privacidad de los particulares. Si, a pesar de todo, se produce una vulneración de la privacidad, esta debe subsanarse sin demora de conformidad con los procedimientos específicos establecidos en la Ley. A este respecto, la Ley concede a las personas que sufran daños debido a un informe de prensa una serie de derechos, tales como la publicación de una corrección de una declaración falsa, una rectificación mediante una declaración contradictoria o un informe adicional (cuando un informe de prensa esté relacionado con acusaciones de delitos de los que la persona sea absuelta posteriormente) (45). Las reclamaciones de particulares pueden ser resueltas por los medios de prensa directamente (a través de un defensor del pueblo) (46), mediante conciliación o arbitraje (ante una Comisión de Arbitraje de la Prensa especializada) (47) o ante los tribunales. Los particulares también pueden obtener una indemnización cuando sufran perjuicios económicos, la vulneración de un derecho de la personalidad o cualquier otra angustia emocional a causa de un acto ilícito de la prensa (por dolo o negligencia) (48). La prensa queda exenta de responsabilidad con arreglo a la Ley en la medida en que un informe de prensa que interfiera con los derechos de una persona no sea contrario a los valores sociales y se publique con el consentimiento de la persona afectada o en interés del público (y haya motivos suficientes para considerar que el informe corresponde a la verdad) (49).

(32)

Si bien el tratamiento de datos personales por parte de la prensa para actividades periodísticas está sujeto, por tanto, a salvaguardias específicas derivadas de la Ley de prensa, no existen salvaguardias adicionales de este tipo que regulen el uso de las excepciones para las actividades de tratamiento por parte de organizaciones religiosas y partidos políticos de manera comparable a los artículos 85, 89 y 91 del Reglamento (UE) 2016/679. Por consiguiente, la Comisión considera apropiado excluir del ámbito de aplicación de la presente Decisión a las organizaciones religiosas en la medida en que traten datos personales para sus actividades misioneras y a los partidos políticos en la medida en que traten datos personales en el marco del nombramiento de candidatos.

(33)

Los datos personales deben tratarse de manera lícita y leal.

(34)

Este principio está establecido en el artículo 3, apartados 1 y 2, de la LPIP y se ve reforzado por el artículo 59 de la LPIP, que prohíbe el tratamiento de datos personales «de manera fraudulenta, inadecuada o injusta», «sin autoridad jurídica» o «más allá de la autoridad correspondiente» (50). Estos principios generales de tratamiento lícito se exponen en los artículos 15 a 19 de la LPIP, que establecen las distintas bases jurídicas para el tratamiento (recogida, utilización y suministro a terceros), incluidas las circunstancias en las que esto pueda implicar un cambio de finalidad (artículo 18 de la LPIP).

(35)

De conformidad con el artículo 15, apartado 1, de la LPIP, un responsable del tratamiento solo puede recoger datos personales (dentro del alcance de la finalidad de la recogida) sobre la base de un número limitado de fundamentos jurídicos. Estos son 1) el consentimiento del interesado (51) (punto 1); 2) la necesidad de ejecutar y cumplir un contrato con el interesado (punto 4); 3) una autorización especial por ley o la necesidad de dar cumplimiento a una obligación legal (punto 2); la necesidad (52) de que una institución pública lleve a cabo las tareas que le competen según lo prescrito por la ley; 4) la necesidad manifiesta de proteger la vida, la integridad física o los intereses patrimoniales del interesado o de un tercero contra un peligro inminente (solo si el interesado no está en condiciones de expresar su intención o no se puede obtener el consentimiento previo) (punto 5); 5) la necesidad de alcanzar el «interés justificable» del responsable del tratamiento si este es «manifiestamente superior» a los intereses del interesado (y solo cuando el tratamiento guarde una «relación sustancial» con el interés legítimo y no exceda de lo razonable) (punto 6) (53). Estos motivos de tratamiento son esencialmente equivalentes a los establecidos en el artículo 6 del Reglamento (UE) 2016/679, en particular el motivo de «interés justificable» que equivale al motivo de «interés legítimo» del artículo 6, apartado 1, letra f), del Reglamento (UE) 2016/679.

(36)

Una vez recogidos, los datos personales pueden utilizarse dentro del alcance de la finalidad de la recogida (artículo 15, apartado 1, de la LPIP) o «dentro del alcance razonablemente relacionado» con la finalidad de la recogida, teniendo en cuenta las posibles desventajas que puedan surgir para el interesado y siempre que se hayan adoptado las medidas de seguridad necesarias (por ejemplo, el cifrado) (artículo 15, apartado 3, de la LPIP). Para determinar si la finalidad de la utilización está «razonablemente relacionada» con la finalidad de la recogida original, el Decreto de Ejecución establece criterios específicos, los cuales son similares a los del artículo 6, apartado 4, del Reglamento (UE) 2016/679. En particular, debe existir una pertinencia considerable para la finalidad original; la utilización uso adicional debe ser previsible (por ejemplo, a la luz de las circunstancias en las que se recogió la información); y, en la medida de lo posible, los datos deben seudonimizarse (54). Los criterios específicos utilizados por el responsable del tratamiento para esta evaluación deben revelarse de antemano en la política de privacidad (55). Además, el responsable de la protección de la privacidad (véase el considerando 94) está específicamente obligado a examinar si la utilización posterior tiene lugar dentro de esos parámetros.

(37)

Se aplican normas similares (aunque un poco más estrictas) al suministro de datos a un tercero. De conformidad con el artículo 17, apartado 1, de la LPIP, el suministro de datos personales a un tercero está permitido sobre la base del consentimiento (56) o, en el marco de la finalidad de la recogida, cuando la información se haya recogido sobre la base de uno de los fundamentos jurídicos contemplados en el artículo 15, apartado 1, puntos 2, 3 y 5, de la LPIP. Esto excluye, en particular, cualquier divulgación basada en el «interés justificable» del responsable del tratamiento. Además, el artículo 17, apartado 4, de la LPIP permite el suministro a terceros «dentro del alcance razonablemente relacionado» con la finalidad de la recogida, teniendo en cuenta una vez más las posibles desventajas que puedan surgir para el interesado y siempre que se hayan adoptado las medidas de seguridad necesarias (como el cifrado). Deben tenerse en cuenta los mismos factores que los descritos en el considerando 36 para evaluar si el suministro entra en el alcance razonablemente relacionado con la finalidad de la recogida y se aplican las mismas salvaguardias (por ejemplo, con respecto a la transparencia a través de la política de privacidad y la participación del responsable de la protección de la privacidad).

(38)

La recepción de datos personales de la Unión por parte de un responsable del tratamiento de datos coreano se considera una «recogida» en el sentido del artículo 15 de la LPIP. La Nota n.o 2021-5 (sección I del anexo I de la presente Decisión) aclara que la finalidad para la que fueron transferidos los datos por la entidad de la UE en cuestión constituye la finalidad de la recogida para el responsable del tratamiento de datos coreano. En consecuencia, los responsables del tratamiento de datos coreanos que reciban datos personales de la Unión están, en principio, obligados a tratar dicha información dentro del alcance de la finalidad de la transferencia, de conformidad con el artículo 17 de la LPIP.

(39)

Se aplican limitaciones especiales en caso de que el responsable del tratamiento pretenda utilizar los datos personales o facilitarlos a un tercero para una finalidad distinta de la de su recogida (57). De conformidad con el artículo 18, apartado 2, de la LPIP, un responsable del tratamiento privado puede, en casos excepcionales (58), utilizar los datos personales o facilitarlos a un tercero para una finalidad diferente: 1) sobre la base del consentimiento adicional (es decir, por separado) del interesado; 2) cuando así lo prevean disposiciones legales especiales; o 3) cuando esto sea manifiestamente necesario para proteger la vida, la integridad física o los intereses patrimoniales del interesado o de un tercero contra un peligro inminente (solo si el interesado no está en condiciones de expresar su intención y no se puede obtener el consentimiento previo) (59).

(40)

Las instituciones públicas también pueden utilizar los datos personales o facilitarlos a un tercero para fines distintos en determinadas situaciones. Esto abarca los casos en que, de lo contrario, sería imposible para las instituciones públicas cumplir con sus deberes estatutarios según lo prescrito por la ley, previa autorización de la CPIP. Además, las instituciones públicas pueden facilitar datos personales a otra autoridad u órgano jurisdiccional cuando sea necesario para la investigación y el enjuiciamiento de delitos o una acusación; para que un órgano jurisdiccional desempeñe sus funciones relacionadas con procedimientos judiciales en curso; o para la ejecución de una sanción penal o una orden de cuidado o de custodia (60). También pueden proporcionar datos personales a un Gobierno extranjero o una organización internacional para cumplir una obligación legal derivada de un tratado o convenio internacional, en cuyo caso también deben cumplir los requisitos para las transferencias de datos transfronterizas (véase el considerando 90).

(41)

Por consiguiente, los principios de licitud y lealtad del tratamiento se aplican en el marco jurídico coreano de manera esencialmente equivalente al Reglamento (UE) 2016/679, al permitir el tratamiento solo sobre la base de motivos legítimos y claramente definidos. Además, en todos los casos mencionados, el tratamiento solo está permitido si no es probable que «vulnere deslealmente» los intereses del interesado o de un tercero, lo que requiere encontrar un equilibrio entre los diferentes intereses. Asimismo, el artículo 18, apartado 5, de la LPIP establece salvaguardias adicionales cuando el responsable del tratamiento facilita los datos personales a un tercero, lo cual puede comprender una solicitud para restringir la finalidad y el método de utilización o adoptar medidas de seguridad específicas. A su vez, el tercero está obligado a aplicar las medidas solicitadas.

(42)

Por último, el artículo 28-2 de la LPIP permite el tratamiento (ulterior) de información seudonimizada sin el consentimiento de la persona afectada con fines estadísticos, de investigación científica (61) y de archivo en interés público, sujeto a salvaguardias específicas. Por lo tanto, al igual que el Reglamento (UE) 2016/679 (62), la LPIP facilita el tratamiento (ulterior) de datos personales para tales fines en un marco que prevé las salvaguardias adecuadas para proteger los derechos de las personas. En lugar de basarse en la seudonimización como posible salvaguardia, la LPIP la impone como condición previa para llevar a cabo determinadas actividades de tratamiento con fines estadísticos, de investigación científica y de archivo en interés público (como poder tratar los datos sin consentimiento o combinar diferentes conjuntos de datos).

(43)

Además, la LPIP impone una serie de salvaguardias específicas, especialmente en lo que se refiere a las medidas técnicas y organizativas necesarias, el mantenimiento de registros, las limitaciones del intercambio de datos y la manera de abordar posibles riesgos de reidentificación. La combinación de las distintas salvaguardias descritas en los considerandos 44 a 48 garantiza que el tratamiento de los datos personales en este contexto esté sujeto a protecciones esencialmente equivalentes a las que se requerirían de conformidad con el Reglamento (UE) 2016/679.

(44)

En primer lugar, y lo más importante, el artículo 28-5, apartado 1, de la LPIP prohíbe el tratamiento de información seudonimizada con el fin de identificar a un particular determinado. No obstante, si se generase información que permitiera identificar a un particular durante el tratamiento de información seudonimizada, el responsable del tratamiento debe suspender de inmediato el tratamiento y destruir dicha información (artículo 28-5, apartado 2, de la LPIP). El incumplimiento de estas disposiciones es objeto de multas administrativas y constituye una infracción penal (63). Esto significa que, incluso en aquellas situaciones en las que sería prácticamente posible reidentificar al particular, dicha reidentificación está legalmente prohibida.

(45)

En segundo lugar, cuando se realice un tratamiento (ulterior) de información seudonimizada para tales fines, el responsable del tratamiento debe adoptar medidas tecnológicas, físicas y de gestión específicas para garantizar la seguridad de la información (incluidos el almacenamiento y la gestión por separado de la información necesaria para restaurar la información seudonimizada a su estado original) (64). Además, deben llevarse registros de la información seudonimizada tratada, la finalidad del tratamiento, el historial de utilización y cualquier tercero destinatario (artículo 29-5, apartado 2, del Decreto de Ejecución de la LPIP).

(46)

En tercer y último lugar, la LPIP prevé salvaguardias específicas para evitar la identificación de particulares por parte de terceros en caso de que se comparta la información. En particular, cuando se suministre información seudonimizada a un tercero con fines estadísticos, de investigación científica o de archivo en interés público, los responsables del tratamiento no pueden incluir información que pueda utilizarse para identificar a una persona concreta (artículo 28-2, apartado 2, de la LPIP) (65).

(47)

Más concretamente, si bien la LPIP permite la combinación de información seudonimizada (tratada por diferentes responsables del tratamiento) con fines estadísticos, de investigación científica o de archivo en interés público, reserva esta facultad a instituciones especializadas equipadas con instalaciones de seguridad específicas (artículo 28-3, apartado 1, de la LPIP) (66). Al solicitar una combinación de datos seudonimizados, el responsable del tratamiento debe presentar documentación, entre otras cosas, sobre los datos que deben combinarse, la finalidad de la combinación y las medidas de seguridad propuestas para el tratamiento de los datos combinados (67). Para permitir la combinación, el responsable del tratamiento debe enviar los datos que deben combinarse a la institución especializada y proporcionar una «clave de combinación» (es decir, la información que se ha utilizado para la seudonimización) a la Agencia de Internet y Seguridad de Corea (68). Esta última genera «datos de enlace de claves de combinación» (que permiten vincular las claves de combinación de diferentes solicitantes para conseguir la combinación de los conjuntos de datos) y los proporciona a la institución especializada (69).

(48)

El responsable del tratamiento que solicita la combinación puede analizar la información combinada en las instalaciones de la institución especializada, en un espacio en el que se apliquen medidas de seguridad técnicas, físicas y administrativas específicas (artículo 29-3 del Decreto de Ejecución de la LPIP). Los responsables del tratamiento que aporten un conjunto de datos para una combinación de este tipo solo pueden sacar los datos combinados de la institución especializada tras una seudonimización o anonimización adicional de los datos combinados y con la aprobación de dicha institución (artículo 28-3, apartado 2, de la LPIP) (70). A la hora de determinar si concede o no dicha aprobación, la institución evaluará el vínculo entre los datos combinados y la finalidad del tratamiento y si se ha elaborado un plan de seguridad específico para la utilización de dichos datos (71). No se permitirá exportar la información combinada fuera de la institución si la información contiene datos que permitan identificar a una persona (72). Por último, la CPIP supervisa la combinación y la divulgación de datos seudonimizados por parte de la institución especializada (artículo 29-4, apartado 3, del Decreto de Ejecución de la LPIP).

(49)

Deben preverse salvaguardias específicas cuando se estén tratando «categorías especiales» de datos.

(50)

La LPIP contiene normas específicas con respecto al tratamiento de datos sensibles (73), que se definen como datos personales que revelan información sobre la ideología, las creencias, la admisión en un sindicato o partido político o la retirada de los mismos, las opiniones políticas, la salud y la vida sexual de una persona, así como otra información personal que pueda amenazar «notablemente» la privacidad del interesado y que haya sido prescrita como información sensible por Decreto Presidencial (74). Según las aclaraciones recibidas de la CPIP, la vida sexual se interpreta en el sentido de que también abarca la orientación o las preferencias sexuales de la persona (75). Además, el artículo 18 del Decreto de Ejecución añade otras categorías al alcance de los datos sensibles, especialmente la información relativa al ADN obtenida a partir de pruebas genéticas y los datos que constituyen antecedentes penales. La reciente modificación del Decreto de Ejecución de la LPIP ha ampliado aún más el concepto de «datos sensibles», incluyendo también datos personales que revelen el origen racial o étnico y la información biométrica (76). Tras esta modificación, el concepto de «datos sensibles» en virtud de la LPIP es esencialmente equivalente al del artículo 9 del Reglamento (UE) 2016/679.

(51)

De conformidad con el artículo 23, apartado 1, de la LPIP y de forma similar a lo dispuesto en el artículo 9, apartado 1, del Reglamento (UE) 2016/679, el tratamiento de datos sensibles está generalmente prohibido, salvo que se aplique una de las excepciones enumeradas (77). Estas limitan el tratamiento a los casos en que el responsable del tratamiento informe al interesado de conformidad con los artículos 15 y 17 de la LPIP y obtenga un consentimiento por separado (es decir, independiente del consentimiento para el tratamiento de otros datos personales) o cuando el tratamiento sea exigido o permitido por la ley. Las autoridades públicas también pueden tratar la información biométrica, la información relativa al ADN obtenida a partir de pruebas genéticas, la información personal que revele el origen racial o étnico y los datos que constituyan antecedentes penales por los motivos que estén exclusivamente a su disposición (por ejemplo, cuando sea necesario para la investigación de delitos o para que un tribunal proceda con un caso) (78). Como tales, las bases jurídicas disponibles para el tratamiento de datos sensibles son más limitadas que para otros tipos de datos personales, e incluso más restrictivas en la legislación coreana que en el artículo 9, apartado 2, del Reglamento (UE) 2016/679.

(52)

Además, el artículo 23, apartado 2, de la LPIP —cuyo incumplimiento puede dar lugar a sanciones (79)— subraya la especial importancia de garantizar una seguridad adecuada a la hora de gestionar datos sensibles para que «no puedan ser extraviados, robados, divulgados, falsificados, alterados o dañados». Si bien este es un requisito general en virtud del artículo 29 de la LPIP, el artículo 3, apartado 4, deja claro que el nivel de seguridad debe adaptarse al tipo de datos personales que se está tratando, lo que implica que deben tenerse en cuenta los riesgos particulares que conlleva el tratamiento de datos sensibles. Por otra parte, el tratamiento de datos siempre deberá realizarse «de forma que se reduzca al mínimo la posibilidad de vulnerar» la privacidad del interesado y, si es posible, «manteniendo el anonimato» (artículo 3, apartados 6 y 7, de la LPIP). Estos requisitos son especialmente importantes cuando el tratamiento se refiere a datos sensibles.

(53)

Los datos personales deben recogerse para una finalidad específica y de manera que no sea incompatible con la finalidad del tratamiento.

(54)

Este principio está garantizado por el artículo 3, apartados 1 y 2, de la LPIP, según el cual el responsable del tratamiento «especificará y explicitará» la finalidad del tratamiento, tratará los datos personales de la manera adecuada necesaria para tal fin y no los utilizará más allá de dicha finalidad. El principio general de limitación de la finalidad también se confirma en el artículo 15, apartado 1; el artículo 18, apartado 1, y el artículo 19 y, en el caso de los encargados del tratamiento (los denominados «proveedores externos»), en el artículo 26, apartado 1, punto 1, y apartados 5 y 7, de la LPIP En particular, los datos personales solo pueden, en principio, utilizarse y facilitarse a terceros dentro del alcance de la finalidad para la que fueron recogidos (artículo 15, apartado 1, y artículo 17, apartado 1, punto 2). El tratamiento para una finalidad compatible, es decir, «dentro del alcance razonablemente relacionado con la finalidad inicial de la recogida», solo puede tener lugar si no afecta negativamente a los interesados de que se trate y si se adoptan las medidas de seguridad necesarias (como el cifrado) (artículo 15, apartado 3, y artículo 17, apartado 4, de la LPIP). A fin de determinar si el tratamiento ulterior es para una finalidad compatible, el Decreto de Ejecución de la LPIP enumera una serie de criterios específicos similares a los previstos en el artículo 6, apartado 4, del Reglamento (UE) 2016/679 (véase el considerando 36).

(55)

Como se explica en el considerando 38, la finalidad de la recogida en el caso de los responsables del tratamiento coreanos que reciben datos personales de la Unión es la finalidad para la que se transfieren los datos. El cambio de finalidad por parte del responsable del tratamiento solo está permitido de manera excepcional en casos específicos (enunciados) (artículo 18, apartado 2, puntos 1 a 3, de la LPIP; véase también el considerando 39). En la medida en que la ley autorice un cambio de finalidad, estas leyes, a su vez, deben respetar el derecho fundamental a la privacidad y a la protección de datos, así como los principios de necesidad y proporcionalidad establecidos en la Constitución coreana. Además, el artículo 18, apartados 2 y 5, de la LPIP prevé salvaguardias adicionales, especialmente el requisito de que tal cambio de finalidad no «vulnere deslealmente los intereses de un interesado», por lo que siempre se requiere encontrar un equilibrio entre los diferentes intereses. Esto ofrece un nivel de protección esencialmente equivalente al previsto en el artículo 5, apartado 1, letra b), y en el artículo 6, en relación con el considerando 50 del Reglamento (UE) 2016/679.

(56)

Los datos personales deben ser exactos y, en caso necesario, se han de mantener actualizados. También deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

(57)

El principio de exactitud se reconoce asimismo en el artículo 3, apartado 3, de la LPIP, que exige que los datos personales sean «exactos, completos y actualizados en la medida necesaria con respecto a los fines» para los que se traten. La minimización de los datos se exige en el artículo 3, apartados 1 y 6, y en el artículo 16, apartado 1, de la LPIP, que estipulan que el responsable del tratamiento (solo) recogerá datos personales «en la medida mínima necesaria» para alcanzar la finalidad perseguida y asumirá la carga de la prueba a este respecto. Si es posible cumplir la finalidad de la recogida mediante el tratamiento de información de forma anonimizada, los responsables del tratamiento deben esforzarse por hacerlo (artículo 3, apartado 7, de la LPIP).

(58)

En principio, los datos personales no deben conservarse más tiempo del que sea necesario para las finalidades para las que se traten.

(59)

El principio de limitación del plazo de conservación se establece de forma similar en el artículo 21, apartado 1, de la LPIP (80), que exige que el responsable del tratamiento «destruya» (81) los datos personales sin demora una vez lograda la finalidad del tratamiento o cuando expire el período de conservación (si esta última fecha es anterior), salvo que la ley exija una retención ulterior (82). En este último caso, los datos personales pertinentes «se almacenarán y gestionarán separados de otros datos personales» (artículo 21, apartado 3, de la LPIP).

(60)

El artículo 21, apartado 1, de la LPIP no se aplica cuando los datos seudonimizados se tratan con fines estadísticos, de investigación científica o de archivo en interés público (83). Para garantizar el principio de conservación limitada de los datos también en este caso, la Notificación 2021-5 exige que los responsables del tratamiento anonimicen la información de conformidad con el artículo 58-2 de la LPIP si los datos no se han destruido una vez lograda la finalidad específica del tratamiento (84).

(61)

Los datos personales deben ser tratados de modo que se garantice su seguridad, incluida la protección contra todo tratamiento no autorizado o ilícito y contra su pérdida, destrucción o deterioro de origen accidental. A tal fin, los operadores económicos deben adoptar las medidas técnicas u organizativas apropiadas para proteger los datos personales frente a posibles amenazas. Estas medidas deben evaluarse teniendo en cuenta el estado de la técnica, los costes conexos y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos de las particulares.

(62)

Un principio de seguridad similar se establece en el artículo 3, apartado 4, de la LPIP, que exige a los responsables del tratamiento «gestionar la información personal de manera segura según los métodos, tipos, etc. de tratamiento de la información personal, teniendo en cuenta la posibilidad de que se vulneren los derechos de los interesados y la gravedad de los riesgos pertinentes». Además, el responsable del tratamiento «tratará la información personal de manera que se reduzca al mínimo la posibilidad de vulnerar la privacidad de un interesado» y, en este contexto, procurará tratar los datos personales de forma anónima o seudonimizada, si es posible (artículo 3, apartados 6 y 7, de la LPIP).

(63)

Estos requisitos generales se exponen de manera más detallada en el artículo 29 de la LPIP, de conformidad con el cual todo responsable del tratamiento «adoptará las medidas técnicas, físicas y administrativas, tales como el establecimiento de un plan de gestión interna y la conservación de los registros de conexión, etc., que sean necesarias para garantizar la seguridad según lo prescrito por el Decreto Presidencial de manera que los datos personales no puedan ser extraviados, robados, divulgados, falsificados, alterados o dañados». El artículo 30, apartado 1, del Decreto de Ejecución de la LPIP especifica dichas medidas haciendo alusión a 1) la elaboración y la aplicación de un plan de gestión interna para el tratamiento seguro de los datos personales, 2) los controles y las restricciones de acceso, 3) la adopción de tecnología de cifrado para almacenar y transmitir los datos personales de manera segura, 4) los registros de conexión, 5) los programas de seguridad y 6) medidas físicas tales como un sistema de almacenamiento o bloqueo seguro (85).

(64)

Además, se aplican obligaciones específicas si se produce una violación de los datos (artículo 34 de la LPIP, en relación con los artículos 39 y 40 del Decreto de Ejecución de la LPIP) (86). En particular, el responsable del tratamiento está obligado a notificar sin demora a los interesados perjudicados los detalles de la violación (87), incluida la información sobre las contramedidas (obligatorias) adoptadas por el responsable del tratamiento y lo que pueden hacer los interesados para minimizar el riesgo de daños (artículo 34, apartados 1 y 2, de la LPIP) (88). Cuando la violación de la seguridad de los datos afecte a 1 000 interesados, como mínimo, el responsable del tratamiento también comunicará sin demora la violación de la seguridad de los datos y las contramedidas adoptadas a la CPIP y a la Agencia de Internet y Seguridad de Corea, que podrán prestar asistencia técnica (artículo 34, apartado 3, de la LPIP, en relación con el artículo 39 del Decreto de Ejecución de la LPIP). Los responsables del tratamiento son responsables de los daños causados por las violaciones de los datos, de conformidad con las disposiciones de la Ley civil sobre responsabilidad civil (véase también la sección 2.5 sobre las vías de recurso) (89).

(65)

En el cumplimiento de sus obligaciones de seguridad, el responsable del tratamiento debe estar asistido por un responsable de la protección de la privacidad, cuyas tareas comprenden, entre otras, la creación de un sistema de control interno «para prevenir la divulgación, el abuso y el uso indebido de la información personal» (artículo 31, apartado 2, punto 4, de la LPIP). Además, el responsable del tratamiento tiene la obligación de llevar a cabo «el control y la supervisión adecuados» de los miembros de su personal que traten datos personales, incluso en lo que se refiere a su gestión segura; esto abarca la formación («educación») necesaria de los empleados (artículo 28, apartados 1 y 2, de la LPIP). Por último, en el caso del subtratamiento, el responsable del tratamiento debe imponer requisitos al «proveedor externo», entre otras cosas, en lo que se refiere a la gestión segura de los datos personales («salvaguardias técnicas y administrativas») y debe supervisar la manera en que se aplican mediante inspecciones (artículo 26, apartados 1 y 4, de la LPIP, en relación con el artículo 28, apartado 1, puntos 3 y 4, y apartado 6, del Decreto de Ejecución de la LPIP).

(66)

Los interesados deben ser informados de las principales características del tratamiento de sus datos personales.

(67)

Esto se garantiza de distintas maneras en el sistema coreano. Además del derecho a la información en virtud del artículo 4, apartado 1 (en general), y el artículo 20, apartado 1, de la LPIP (para los datos personales recogidos de terceros), así como el derecho de acceso en virtud del artículo 35 de la LPIP, la LPIP incluye un requisito general de transparencia con respecto a la finalidad del tratamiento (artículo 3, apartado 1, de la LPIP) y requisitos específicos de transparencia en caso de que el tratamiento se base en el consentimiento (artículo 15, apartado 2; artículo 17, apartado 2, y artículo 18, apartado 3, de la LPIP) (90). Además, el artículo 20, apartado 2, de la LPIP exige que determinados responsables del tratamiento —aquellos cuyo tratamiento supera ciertos umbrales (91)— notifiquen al interesado cuyos datos personales hayan recibido de un tercero la fuente de información, la finalidad del tratamiento y el derecho del interesado a solicitar la suspensión del tratamiento, salvo que dicha notificación resulte imposible debido a la falta de información de contacto. Se aplican excepciones para determinados ficheros de datos personales que obran en poder de las autoridades públicas, sobre todo los que contienen datos tratados por razones de seguridad nacional, otros intereses nacionales particularmente importantes («graves») o a efectos de control de la aplicación del Derecho penal o cuando la notificación pueda atentar contra la vida o la integridad física de un tercero o vulnere deslealmente los intereses patrimoniales y otros intereses de un tercero, pero solo cuando los intereses públicos o privados en juego sean «manifiestamente superiores» a los derechos de los interesados afectados (artículo 20, apartado 4, de la LPIP). Para ello, se requiere encontrar un equilibrio entre los diferentes intereses.

(68)

Además, el artículo 3, apartado 5, de la LPIP establece que los responsables del tratamiento deberán hacer pública su política de privacidad (y otras cuestiones relacionadas con el tratamiento de datos personales). Este requisito se especifica con más detalle en el artículo 30 de la LPIP, en relación con el artículo 31 del Decreto de Ejecución de la LPIP. Según estas disposiciones, la política de privacidad pública debe incluir, entre otras cosas, 1) los tipos de datos personales tratados, 2) la finalidad del tratamiento, 3) el período de conservación, 4) si los datos personales se facilitan a un tercero (92), 5) cualquier subtratamiento, 6) información sobre los derechos del interesado y cómo ejercerlos y 7) información de contacto (incluido el nombre del responsable de la protección de la privacidad o el departamento interno responsable de garantizar el cumplimiento de las normas de protección de datos y la tramitación de las reclamaciones). La política de privacidad debe ponerse a disposición del público de tal manera que los interesados «puedan reconocerla con facilidad» (artículo 30, apartado 2, de la LPIP) (93) y debe actualizarse constantemente (artículo 31, apartado 2, del Decreto de Ejecución de la LPIP).

(69)

Las instituciones públicas están sujetas a una obligación adicional de registrar, en particular, la siguiente información con la CPIP: 1) el nombre de la institución pública, 2) los motivos y finalidades del tratamiento de los ficheros de datos personales, 3) los detalles de los datos personales registrados, 4) el método de tratamiento, 5) el período de conservación, 6) el número de interesados cuyos datos personales se conservan, 7) el departamento que tramita las solicitudes de los interesados y 8) los destinatarios de los datos personales cuando estos últimos se facilitan de forma rutinaria o repetitiva (artículo 32, apartado 1, de la LPIP) (94). La CPIP hace públicos los ficheros de datos personales registrados, a los cuales las instituciones públicas también deben hacer referencia en su política de privacidad (artículo 30, apartado 1, y artículo 32, apartado 4, de la LPIP).

(70)

A fin de aumentar la transparencia para los interesados de la Unión cuyos datos personales se transfieren a Corea sobre la base de la presente Decisión, la sección 3, incisos i) y ii), de la Nota n.o 2021-5 (anexo I) impone requisitos de transparencia adicionales. En primer lugar, cuando se reciban datos personales de la Unión sobre la base de la presente Decisión, los responsables del tratamiento coreanos deben notificar sin demora injustificada a los interesados de que se trate (y, en cualquier caso, a más tardar un mes después de la transferencia) el nombre y los datos de contacto de las entidades que transfieren y reciben la información, los datos personales (o las categorías de datos personales) transferidos, la finalidad de la recogida por parte del responsable del tratamiento coreano, el período de conservación y los derechos disponibles en virtud de la LPIP. En segundo lugar, cuando se faciliten a terceros datos personales recibidos de la Unión sobre la base de la presente Decisión, los interesados deben ser informados, entre otras cosas, sobre el destinatario, los datos personales o las categorías de datos personales que deben facilitarse y el país al que se facilitan los datos (si procede), así como los derechos disponibles en virtud de la LPIP (95). De este modo, la Nota garantiza que los particulares de la UE sigan estando informados de los responsables específicos del tratamiento de su información y puedan ejercer sus derechos frente a las entidades correspondientes.

(71)

La sección 3, inciso iii), de la Nota (anexo I) permite algunas excepciones limitadas y con reservas a estas obligaciones de transparencia adicionales que son esencialmente equivalentes a las previstas en el Reglamento (UE) 2016/679. En particular, no es obligatorio notificar a los interesados de la Unión 1) cuando sea necesario restringir la notificación por determinadas razones de interés público (por ejemplo, cuando la información se trate con fines de seguridad nacional o investigaciones penales en curso), en la medida en que estos objetivos de interés público sean manifiestamente superiores a los derechos del interesado; 2) cuando el interesado ya disponga de la información; 3) cuando la notificación pueda atentar contra la vida o la integridad física del particular o de un tercero o vulnerar deslealmente los intereses patrimoniales de un tercero, en el caso de que dichos derechos o intereses sean manifiestamente superiores a los derechos del interesado; o 4) cuando no se disponga de los datos de contacto de los particulares de que se trate o cuando sea necesario un esfuerzo desproporcionado para notificarlas. A la hora de determinar si es posible o no ponerse en contacto con el interesado o si ello supone un esfuerzo excesivo, se tendrá en cuenta la posibilidad de cooperar con el exportador de datos en la Unión.

(72)

Las normas de los considerandos 67 a 71 garantizan, por tanto, un nivel de protección con respecto a la transparencia esencialmente equivalente al previsto en el Reglamento (UE) 2016/679.

(73)

Los interesados deben tener ciertos derechos que puedan hacer valer ante el responsable o el encargado del tratamiento, en concreto, el derecho de acceso a los datos, el derecho de rectificación, el derecho a oponerse al tratamiento y el derecho de supresión de datos. Al mismo tiempo, estos derechos pueden estar sujetos a limitaciones, en la medida en que dichas limitaciones sean necesarias y proporcionadas para salvaguardar objetivos importantes de interés público general.

(74)

De conformidad con el artículo 3, apartado 5, de la LPIP, el responsable del tratamiento deberá garantizar los derechos de los interesados mencionados en el artículo 4 de la LPIP y especificados con más detalle en los artículos 35 a 37, 39 y 39-2 de la LPIP.

(75)

En primer lugar, los particulares tienen derecho a la información y derecho de acceso. Cuando el responsable del tratamiento recoja datos personales de un tercero —que siempre será el caso cuando los datos se transfieran desde la Unión—, los interesados tienen generalmente derecho a recibir información sobre 1) la «fuente» de los datos personales recogidos (es decir, el transferente), 2) la finalidad del tratamiento y 3) el hecho de que el interesado tiene derecho a solicitar la suspensión del tratamiento (artículo 20, apartado 1, de la LPIP). Se aplican excepciones limitadas, a saber, cuando dicha notificación pueda atentar contra la vida o la integridad física de un tercero o «vulnere deslealmente los intereses patrimoniales y otros intereses» de un tercero, pero solo cuando dichos intereses de terceros sean «explícitamente superiores» a los derechos del interesado (artículo 20, apartado 4, punto 2, de la LPIP).

(76)

Además, el artículo 35, apartados 1 y 3, de la LPIP, en relación con el artículo 41, apartado 4, del Decreto de Ejecución de la LPIP, otorga a los interesados el derecho de acceso a su información personal (96). El derecho de acceso abarca la confirmación del tratamiento, información sobre el tipo de datos tratados, la finalidad del tratamiento y el período de conservación, así como cualquier divulgación a terceros y el suministro de una copia de la información personal tratada (artículo 4, apartado 3, de la LPIP, en relación con el artículo 41, apartado 1, del Decreto de Ejecución de la LPIP) (97). El acceso puede limitarse (acceso parcial) (98) o denegarse únicamente cuando así lo disponga la ley (99), cuando pueda atentar contra la vida o la integridad física de un tercero, o pueda dar lugar a una vulneración injustificada de los intereses patrimoniales y otros intereses de un tercero (artículo 35, apartado 4, de la LPIP) (100). Esto último implica que debe encontrarse un equilibrio entre los derechos y las libertades del particular protegidos por la Constitución, por una parte, y los de otras personas, por otra. Cuando se limite o deniegue el acceso, el responsable del tratamiento debe notificar al interesado los motivos y la forma de recurrir la decisión (artículo 41, apartado 5, y artículo 42, apartado 2, del Decreto de Ejecución de la LPIP).

(77)

En segundo lugar, los interesados tienen derecho a la rectificación o supresión (101) de sus datos personales, «salvo que otras leyes dispongan expresamente lo contrario» (artículo 36, apartados 1 y 2, de la LPIP) (102). Cuando reciba una solicitud, el responsable del tratamiento debe investigar el asunto sin demora, adoptar las medidas necesarias (103) y notificar al respecto al interesado en un plazo de diez días; cuando no pueda accederse a la solicitud, este requisito de notificación abarca los motivos de la denegación y las vías de recurso (véase el artículo 36, apartado 4, de la LPIP, en relación con el artículo 43, apartado 3, del Decreto de Ejecución de la LPIP) (104).

(78)

Por último, los interesados tienen derecho a solicitar la suspensión del tratamiento de sus datos personales, sin demora (105), salvo que se aplique una de las excepciones mencionadas (artículo 37, apartados 1 y 2, de la LPIP) (106). El responsable del tratamiento puede denegar la solicitud 1) cuando esté expresamente autorizado por la ley o sea necesario («inevitable») para cumplir obligaciones legales, 2) cuando la suspensión pueda atentar contra la vida o la integridad física de un tercero o dar lugar a una vulneración injustificada de los intereses patrimoniales y otros intereses de un tercero, 3) cuando sea imposible para una institución pública desempeñar sus funciones según lo establecido por la ley sin el tratamiento de la información, o 4) cuando el interesado no rescinda expresamente el contrato subyacente con el responsable del tratamiento, a pesar de que sería impracticable ejecutar el contrato sin el tratamiento de los datos. En este caso, el responsable del tratamiento debe notificar sin demora al interesado los motivos de la denegación y las vías de recurso (artículo 37, apartado 2, de la LPIP, en relación con el artículo 44, apartado 2, del Decreto de Ejecución de la LPIP). De conformidad con el artículo 37, apartado 4, de la LPIP, el responsable del tratamiento debe «adoptar sin demora las medidas necesarias, incluida la destrucción de la información personal pertinente» a efectos del cumplimiento de la solicitud de suspensión (107).

(79)

El derecho a la suspensión también se aplica cuando los datos personales se utilizan con fines de comercialización directa, es decir, para promover bienes o servicios o solicitar su compra. Además, este tratamiento ulterior suele requerir el consentimiento expreso (adicional) del interesado (véanse el artículo 15, apartado 1, punto 1, y el artículo 17, apartado 2, punto 1, de la LPIP) (108). Al solicitar este consentimiento, el responsable del tratamiento debe informar al interesado especialmente de la utilización prevista de los datos para fines de comercialización directa —es decir, del hecho de que puede ser contactado para promocionar bienes o servicios o solicitar su compra— de «manera explícitamente reconocible» (artículo 22, apartados 2 y 4, de la LPIP, en relación con el artículo 17, apartado 2, punto 1, del Decreto de Ejecución de la LPIP).

(80)

A fin de facilitar el ejercicio de los derechos individuales, el responsable del tratamiento debe establecer procedimientos específicos y anunciarlos públicamente (artículo 38, apartado 4, de la LPIP) (109). Esto incluye los procedimientos para formular objeciones contra la denegación de una solicitud (artículo 38, apartado 5, de la LPIP). El responsable del tratamiento debe garantizar que el procedimiento para el ejercicio de los derechos sea «fácil para los interesados» y que no sea más difícil que el procedimiento para la recogida de los datos personales; esto también incluye la obligación de facilitar información sobre el procedimiento en su sitio web (artículo 41, apartado 2; artículo 43, apartado 1, y artículo 44, apartado 1, del Decreto de Ejecución de la LPIP) (110). Los particulares pueden autorizar a un representante para que presente dicha solicitud (artículo 38, apartado 1, de la LPIP, en relación con el artículo 45 del Decreto de Ejecución de la LPIP). Si bien el responsable del tratamiento tiene derecho a cobrar un canon (y, en caso de que se solicite el envío de copias de los datos personales, franqueo), el importe debe determinarse «dentro de los gastos reales necesarios para el tratamiento de [la solicitud]»; no podrá imponerse ningún canon (ni franqueo) cuando el responsable del tratamiento haya originado la solicitud (artículo 38, apartado 3, de la LPIP, en relación con el artículo 47 del Decreto de Ejecución de la LPIP).

(81)

La LPIP y su Decreto de Ejecución no contienen disposiciones generales que aborden la cuestión de las decisiones que afectan al interesado basadas únicamente en el tratamiento automatizado de datos personales. Sin embargo, en lo que respecta a los datos personales que hayan sido recogidos en la Unión, toda decisión basada en un tratamiento automatizado será adoptada normalmente por el responsable del tratamiento de los datos en la Unión (que tiene una relación directa con el interesado de que se trate) y está, por tanto, sujeta al Reglamento (UE) 2016/679 (111). Esto comprende los escenarios de transferencias en los que el tratamiento lo lleva a cabo un operador económico extranjero (por ejemplo, coreano) que actúa como agente (encargado) por cuenta del responsable de la Unión (o como subencargado que actúa por cuenta del encargado de la Unión, que haya recibido los datos del responsable de la Unión que los recogió) que, sobre esta base, toma entonces la decisión. Por lo tanto, es poco probable que la ausencia en la LPIP de normas específicas sobre la toma de decisiones automatizadas incida en el nivel de protección de los datos personales transferidos en virtud de la presente Decisión.

(82)

Como excepción, las disposiciones relativas a la transparencia previa solicitud (artículo 20) y los derechos individuales (artículos 35 a 37), así como el requisito de notificación individual para los proveedores de servicios de información y comunicación (artículo 39-8 de la LPIP), no se aplican con respecto a la información seudonimizada, cuando se trate con fines estadísticos, de investigación científica o de archivo en interés público (artículo 28-7 de la LPIP) (112). En consonancia con el enfoque del artículo 11, apartado 2 (en relación con el considerando 57), del Reglamento (UE) 2016/679, esto se justifica por el hecho de que, para garantizar la transparencia o conceder derechos individuales, el responsable del tratamiento tendría que identificar si alguno de los datos (y, en su caso, cuál) está relacionado con la persona que presenta la solicitud, lo cual está expresamente prohibido por la LPIP (artículo 28-5, apartado 1, de la LPIP). Además, si dicha reidentificación implica revertir la seudonimización de la totalidad del conjunto de datos (seudonimizados), expondría la información personal de todas las demás personas afectadas a mayores riesgos. Si bien el Reglamento (UE) 2016/679 hace referencia a situaciones en las que la reidentificación es prácticamente imposible, la LPIP adopta un enfoque más estricto al prohibir expresamente la reidentificación en todas las situaciones en las que se trate información seudonimizada.

(83)

Por consiguiente, el sistema coreano, tal como se describe en los considerandos 74 a (82), contiene normas sobre los derechos de los interesados que proporcionan un nivel de protección esencialmente equivalente al previsto en el Reglamento (UE) 2016/679.

(84)

El nivel de protección de los datos personales que se transfieren desde la Unión a responsables del tratamiento en la República de Corea no debe verse comprometido por la transferencia ulterior de dichos datos a destinatarios que se encuentran en un tercer país.

(85)

Estas «transferencias ulteriores» constituyen transferencias internacionales desde la República de Corea, desde la perspectiva del responsable del tratamiento coreano. A este respecto, la LPIP distingue entre la externalización del tratamiento a un proveedor externo (es decir, un encargado del tratamiento) y el suministro de datos personales a terceros (113).

(86)

En primer lugar, cuando el tratamiento de datos personales se externaliza a una entidad ubicada en un tercer país, el responsable del tratamiento coreano debe garantizar el cumplimiento de las disposiciones de la LPIP en materia de externalización (artículo 26 de la LPIP). Esto incluye la creación de un instrumento jurídicamente vinculante que, entre otras cosas, limite el tratamiento por parte del proveedor externo a la finalidad del trabajo externalizado, imponga salvaguardias técnicas y administrativas y limite el subtratamiento (véase el artículo 26, apartado 1, de la LPIP); y la publicación de información sobre el trabajo externalizado. Además, el responsable del tratamiento tiene la obligación de «educar» al proveedor externo sobre las medidas de seguridad necesarias y supervisar, incluso mediante inspecciones, si cumple todas las obligaciones del responsable del tratamiento en virtud de la LPIP (114) y del contrato de externalización.

(87)

Si el proveedor externo causa daños al tratar los datos personales en contravención de la LPIP, esto se atribuirá al responsable del tratamiento a efectos de responsabilidad, como sería el caso de los empleados del responsable del tratamiento (artículo 26, apartado 6, de la LPIP). Por consiguiente, el responsable del tratamiento coreano sigue siendo responsable de los datos personales que se han externalizado y debe garantizar que el encargado del tratamiento extranjero trate la información de conformidad con la LPIP. Si el proveedor externo trata la información en contravención de la LPIP, el responsable del tratamiento coreano puede ser considerado responsable del incumplimiento de su obligación de garantizar el cumplimiento de la LPIP, por ejemplo, a través de su supervisión del proveedor externo. Las salvaguardias previstas en el contrato de externalización y la responsabilidad del responsable del tratamiento coreano en relación con las acciones del proveedor externo garantizan la continuidad de la protección cuando el tratamiento de datos personales se externaliza a una entidad fuera de Corea.

(88)

En segundo lugar, los responsables del tratamiento coreanos pueden facilitar datos personales a un tercero ubicado fuera de Corea. Si bien la LPIP incluye una serie de fundamentos jurídicos que permiten el suministro a terceros en general, si el tercero está ubicado fuera de Corea, el responsable del tratamiento, en principio (115), debe obtener el consentimiento del interesado (116) tras haberle proporcionado información sobre 1) el tipo de datos personales, 2) el destinatario de los datos personales, 3) la finalidad de la transferencia en el sentido de la finalidad del tratamiento perseguida por el destinatario, 4) el período de conservación para el tratamiento por parte del destinatario y 5) el hecho de que el interesado puede negar su consentimiento (artículo 17, apartados 2 y 3, de la LPIP). La Nota n.o 2021-5, en su sección sobre la transparencia (véase el considerando 70), exige que se informe a los particulares sobre el tercer país al que se proporcionarán sus datos. Esto garantiza que los interesados de la Unión puedan tomar una decisión con pleno conocimiento de causa sobre si dar o no su consentimiento para un suministro internacional. Además, el responsable del tratamiento no debe celebrar ningún contrato con el tercero destinatario en violación de la LPIP, lo que significa que el contrato no debe contener obligaciones que contradigan los requisitos impuestos por la LPIP al responsable del tratamiento (117).

(89)

Sin el consentimiento del particular, los datos personales pueden facilitarse a un tercero (extranjero) cuando la finalidad de la divulgación se mantenga «dentro del alcance razonablemente relacionado» con la finalidad inicial de la recogida (artículo 17, apartado 4, de la LPIP, véase el considerando 36). Sin embargo, a la hora de decidir si se divulgan (o no) los datos personales para una finalidad «relacionada», el responsable del tratamiento debe tener en cuenta si la divulgación ocasiona desventajas para el particular y si se han adoptado las medidas de seguridad necesarias (como el cifrado). Dado que el tercer país al que se transfieren los datos personales puede no ofrecer protecciones similares a las previstas en la LPIP, la sección 2 de la Nota n.o 2021-5 reconoce que tales desventajas pueden surgir y solo pueden evitarse si el responsable del tratamiento coreano y el destinatario extranjero, a través de un instrumento jurídicamente vinculante (como un contrato), garantizan un nivel de protección equivalente al previsto en la LPIP, incluso con respecto a los derechos de los interesados.

(90)

Se aplican normas especiales a la divulgación «fuera de la finalidad», es decir, el suministro de datos a un tercero para una nueva finalidad (no relacionada), que solo puede tener lugar por uno de los motivos mencionados en el artículo 18, apartado 2, de la LPIP, como se describe en el considerando 39. Sin embargo, incluso en esas condiciones, el suministro a terceros queda excluido si es probable que «vulnere deslealmente» los intereses del interesado o de un tercero, lo que requiere encontrar un equilibrio entre los diferentes intereses. Además, de conformidad con el artículo 18, apartado 5, de la LPIP, el responsable del tratamiento debe aplicar salvaguardias adicionales, las cuales pueden comprender solicitar al tercero que restrinja la finalidad y el método del tratamiento o que establezca medidas de seguridad específicas. Una vez más, dado que el tercer país al que se transfieren los datos personales puede no ofrecer protecciones similares a las previstas en la LPIP, la sección 2 de la Nota n.o 2021-5 reconoce que tal «vulneración desleal» de los intereses del particular o de un tercero puede ocurrir y solo puede evitarse si el responsable del tratamiento coreano y el destinatario extranjero, a través de un instrumento jurídicamente vinculante (como un contrato), garantizan un nivel de protección equivalente al previsto en la LPIP, incluso con respecto a los derechos de los interesados.

(91)

Por consiguiente, las normas de los considerandos 86 a 90 garantizan la continuidad de la protección cuando los datos personales se transfieren ulteriormente (a un «proveedor externo» o a un tercero) desde la República de Corea de una manera esencialmente equivalente a la prevista en el Reglamento (UE) 2016/679.

(92)

En virtud del principio de responsabilidad, las entidades que traten datos están obligadas a adoptar las medidas técnicas y organizativas apropiadas para cumplir efectivamente sus obligaciones en materia de protección de datos y deben poder demostrar el respeto de estas obligaciones, en particular ante la autoridad de control competente.

(93)

De conformidad con el artículo 3, apartados 6 y 8, de la LPIP, el responsable del tratamiento deberá tratar los datos personales «de manera que se reduzca al mínimo la posibilidad de vulnerar» la privacidad del interesado y procurará obtener la confianza del interesado mediante la observación y el desempeño de tales funciones y responsabilidades según lo previsto en la LPIP y otras leyes conexas. Esto abarca el establecimiento de un plan de gestión interna (artículo 29 de la LPIP), así como la formación y supervisión adecuadas del personal (artículo 28 de la LPIP).

(94)

Como medio para garantizar la responsabilidad, el artículo 31 de la LPIP, en relación con el artículo 32 del Decreto de Ejecución de la LPIP, establece una obligación para los responsables del tratamiento de designar a un responsable de la protección de la privacidad que «se haga cargo de manera global del tratamiento de la información personal». En particular, este responsable de la protección de la privacidad se encarga de desempeñar las siguientes funciones: 1) establecimiento y aplicación de un plan de protección de los datos personales y elaboración de la política de privacidad, 2) realización de encuestas periódicas sobre el estado y las prácticas del tratamiento de los datos personales, con vistas a mejorar cualquier deficiencia, 3) tramitación de reclamaciones y compensación correctora, 4) establecimiento de un sistema de control interno para evitar la divulgación, el abuso o el uso indebido de los datos personales, 5) preparación y aplicación de un programa educativo, 6) protección, control y gestión de los ficheros de datos personales y 7) destrucción de los datos personales una vez lograda la finalidad del tratamiento o expirado el período de conservación. En el desempeño de estas funciones, el responsable de la protección de la privacidad puede inspeccionar el estado del tratamiento de los datos personales y de los sistemas relacionados, y solicitar información al respecto (artículo 31, apartado 3, de la LPIP). Si el responsable de la protección de la privacidad tiene conocimiento de alguna infracción de la LPIP u otras leyes pertinentes en materia de protección de datos, adoptará de inmediato medidas correctoras e informará de ellas a la dirección («jefe») del responsable del tratamiento, en caso necesario (artículo 31, apartado 4, de la LPIP). De conformidad con el artículo 31, apartado 5, de la LPIP, el responsable de la protección de la privacidad no debe sufrir desventajas injustificadas como consecuencia del desempeño de estas funciones.

(95)

Además, los responsables del tratamiento deben esforzarse proactivamente por llevar a cabo una evaluación del impacto sobre la privacidad en caso de que la gestión de ficheros de datos personales implique un riesgo para la misma (artículo 33, apartado 8, de la LPIP). Sobre la base del artículo 33, apartados 1 y 2, de la LPIP, en relación con los artículos 35, 36 y 38 del Decreto de Ejecución de la LPIP, los factores como el tipo y la naturaleza de los datos tratados (en particular si constituyen información sensible), su volumen, el período de conservación y la probabilidad de violaciones de la seguridad de los datos serán pertinentes para evaluar el grado de riesgo para los derechos de los interesados. El objetivo de la evaluación del impacto sobre la privacidad es garantizar que se analicen los factores de riesgo para la privacidad, así como cualquier contramedida de seguridad o de otra índole, e indicar los aspectos que deben mejorarse (véase el artículo 33, apartado 1, de la LPIP, en relación con el artículo 38 del Decreto de Ejecución de la LPIP).

(96)

Las instituciones públicas tienen la obligación de llevar a cabo una evaluación de impacto cuando traten determinados ficheros de datos personales que presenten un mayor riesgo de posibles violaciones de la privacidad (artículo 33, apartado 1, de la LPIP). De conformidad con el artículo 35 del Decreto de Ejecución de la LPIP, este es el caso, entre otros, de los ficheros que contienen información sensible sobre al menos 50 000 interesados, los ficheros que irán acompañados de otros y, en consecuencia, contendrán información sobre al menos 500 000 interesados, o los ficheros que contienen información sobre un millón de interesados, como mínimo. El resultado de una evaluación de impacto realizada por una institución pública debe comunicarse a la CPIP (artículo 33, apartado 1, de la LPIP), que puede emitir un dictamen (artículo 33, apartado 3, de la LPIP).

(97)

Por último, el artículo 13 de la LPIP estipula que la CPIP establecerá las políticas necesarias para promover y apoyar las «actividades de autorregulación en materia de protección de datos» realizadas por los responsables del tratamiento, entre otras cosas, mediante la educación en materia de protección de datos, la promoción y el apoyo a las organizaciones dedicadas a la protección de datos, y ayudando a los responsables del tratamiento a establecer y aplicar normas de autorregulación. Además, introducirá y facilitará el sistema de marcado ePRIVACY. A este respecto, el artículo 32-2 de la LPIP, en relación con los artículos 34-2 a 34-8 del Decreto de Ejecución de la LPIP, prevé la posibilidad de certificar que el sistema o los sistemas de protección y tratamiento de datos personales del responsable del tratamiento cumplen los requisitos de la LPIP. Según estas normas, puede concederse una certificación (118) (por un período de tres años) si el responsable del tratamiento cumple los criterios de certificación determinados por la CPIP, incluido el establecimiento de salvaguardias técnicas, físicas y de gestión para proteger los datos personales (119). La CPIP debe examinar los sistemas del responsable del tratamiento pertinentes para la certificación al menos una vez al año para mantener su eficacia, lo cual puede dar lugar a la revocación de la certificación (artículo 32, apartado 4, de la LPIP, en relación con el artículo 34-5 del Decreto de Ejecución de la LPIP; la denominada «gestión de seguimiento»).

(98)

Por consiguiente, el marco coreano aplica el principio de responsabilidad de manera que se garantice un nivel de protección esencialmente equivalente al previsto en el Reglamento (UE) 2016/679, incluso previendo diferentes mecanismos para garantizar y demostrar el cumplimiento de la LPIP.

(99)

Tal como se describe en el considerando 13, la Ley sobre el uso y la protección de la información crediticia (LIC) establece normas específicas para el tratamiento de la información crediticia personal por parte de los operadores comerciales. Por consiguiente, a la hora de tratar información crediticia personal, los operadores comerciales deben cumplir los requisitos generales de la LPIP, salvo que la LIC contenga normas más específicas. Este será el caso, por ejemplo, cuando traten información relacionada con una tarjeta de crédito o cuenta bancaria en el contexto de una transacción comercial con un particular. Como legislación sectorial para el tratamiento de la información crediticia (tanto personal como no personal), la LIC no solo impone salvaguardias específicas de protección de datos (por ejemplo, en términos de transparencia y seguridad), sino que también regula de manera más general las circunstancias específicas en las que puede tratarse la información crediticia personal. Esto se ve reflejado, en particular, en los requisitos detallados para la utilización, el suministro de datos a un tercero y la conservación de dichos datos.

(100)

Al igual que la LPIP, la LIC refleja los principios de licitud y proporcionalidad. En primer lugar, como requisito general, el artículo 15, apartado 1, de la LIC solo permite la recogida de información crediticia personal por medios razonables y justos, y en la menor medida necesaria para responder a una finalidad específica, de conformidad con el artículo 3, apartados 1 y 2, de la LPIP En segundo lugar, la LIC regula específicamente la licitud del tratamiento de la información crediticia personal, al limitar su recogida, utilización y suministro a terceros y, en general, al vincular dichas actividades de tratamiento al requisito de consentimiento de la persona de que se trate.

(101)

La información crediticia personal puede recogerse sobre la base de uno de los motivos previstos por la LPIP o por motivos específicos establecidos en la LIC. Dado que el artículo 45 del Reglamento (UE) 2016/679 presupone una transferencia de datos personales por parte de un responsable o un encargado del tratamiento en la Unión, pero no abarca la recogida directa (por ejemplo, de un particular o de un sitio web) por un responsable del tratamiento en Corea, solo el consentimiento y los motivos disponibles en virtud de la LPIP son pertinentes para la presente Decisión. Estos motivos incluyen, en particular, los escenarios en que la transferencia es necesaria para ejecutar un contrato con la persona o para los intereses legítimos del responsable del tratamiento coreano (artículo 15, apartado 1, puntos 4 y 6, de la LPIP) (120).

(102)

Una vez recogida, la información crediticia personal puede utilizarse 1) para la finalidad original con la que fue facilitada (directamente) por la persona (121); 2) para un fin compatible con la finalidad original de la recogida (122); 3) para determinar si se establece o mantiene una relación comercial solicitada por la persona (123); 4) para fines estadísticos, de investigación y de archivo en interés público (124) si la información está seudonimizada (125); 5) si se obtiene un consentimiento adicional o 6) de conformidad con la ley.

(103)

Si un operador comercial tiene la intención de divulgar información crediticia personal a un tercero, debe obtener el consentimiento de la persona (126) tras informarla del destinatario de los datos, la finalidad del tratamiento por parte del destinatario, los detalles de los datos que se han de facilitar, el período de conservación por parte del destinatario y el derecho a negar el consentimiento (artículo 32, apartado 1, de la LIC y artículo 28, apartado 2, del Decreto de Ejecución de la LIC) (127). Este requisito de consentimiento no se aplica en situaciones específicas, a saber, cuando la información crediticia personal se divulgue (128): 1) a un proveedor externo con fines de externalización (129); 2) a un tercero en caso de traspaso, división o fusión de una empresa; 3) para fines estadísticos, de investigación y de archivo en interés público si la información está seudonimizada; 4) para un fin compatible con la finalidad original de la recogida; 5) a un tercero que utilice la información para recaudar una deuda de la persona (130); 6) para cumplir una resolución judicial; 7) a un fiscal o agente de la policía judicial en una situación de emergencia en la que la vida de la persona esté en peligro o se prevea que sufra lesiones corporales y no se disponga de tiempo para emitir una orden judicial (131); 8) a las autoridades tributarias competentes para cumplir la legislación fiscal; o 9) de conformidad con otras leyes. En caso de divulgación por alguno de estos motivos, deberá notificarse previamente al interesado (artículo 32, apartado 7, de la LIC).

(104)

La LIC también regula específicamente la duración del tratamiento de la información crediticia personal sobre la base de uno de esos motivos de uso o suministro a un tercero una vez finalizada la relación comercial con la persona (132). Solo puede conservarse la información que era necesaria para establecer o mantener dicha relación, con sujeción a salvaguardias adicionales (debe mantenerse separada de la información crediticia relativa a las personas con quienes existe una relación comercial en curso, estar protegida mediante medidas de seguridad específicas y ser accesible únicamente por personas autorizadas) (133). Todos los demás datos deben suprimirse (artículo 17-2, apartado 1, punto 2, del Decreto de Ejecución de la LIC). Para determinar qué datos eran necesarios para la relación comercial, deben tenerse en cuenta diferentes factores, por ejemplo, si habría sido posible establecer la relación sin los datos y si estos están directamente relacionados con los bienes o servicios suministrados al particular (artículo 17-2, apartado 2, del Decreto de Ejecución de la LIC).

(105)

Incluso en los casos en que, en principio, la información crediticia personal pueda conservarse más allá del fin de la relación comercial, debe suprimirse en un plazo de tres meses a partir de la consecución de la finalidad adicional del tratamiento (134) o, en cualquier caso, al cabo de cinco años (artículo 20-2 de la LIC). En un número limitado de circunstancias, la información crediticia personal puede conservarse durante más de cinco años, en particular cuando esto sea necesario para cumplir una obligación legal, cuando sea necesario para los intereses vitales en relación con la vida, la integridad física o la propiedad de un particular, para el archivo de información seudonimizada (utilizada con fines estadísticos, de investigación científica o de archivo en interés público) o con fines de aseguramiento (en particular, para los pagos de seguros o para prevenir los fraudes a seguros) (135). En estos casos excepcionales, se aplican salvaguardias específicas (como la notificación al particular de la utilización ulterior, la separación de la información conservada de la información relativa a los particulares con las que aún existe una relación comercial y la limitación de los derechos de acceso, véase el artículo 17-2, apartados 1 y 2, del Decreto de Ejecución de la LIC).

(106)

La LIC también especifica con más detalle los principios de exactitud y calidad de los datos, exigiendo que la información crediticia personal «se registre, modifique y gestione» para mantener su exactitud y actualizarla (artículo 18, apartado 1, de la LIC y artículo 15, apartado 3, del Decreto de Ejecución de la LIC) (136). Cuando faciliten información crediticia a otras entidades (como las agencias de calificación crediticia), los operadores comerciales también están obligados específicamente a verificar la exactitud de la información para garantizar que el destinatario solo registre y gestione información exacta (artículo 15, apartado 1, del Decreto de Ejecución de la LIC, en relación con el artículo 18, apartado 1, de la LIC). De manera más general, la LIC exige que se mantengan registros sobre la recogida, la utilización, la divulgación a terceros y la destrucción de información crediticia personal (artículo 20, apartado 2, de la LIC) (137).

(107)

Además, el tratamiento de la información crediticia personal está sujeto a requisitos específicos con respecto a la seguridad de los datos. En particular, la LIC exige la aplicación de medidas tecnológicas, físicas y organizativas para evitar el acceso ilícito a los sistemas informáticos, así como la alteración, la destrucción o cualquier otro riesgo para los datos tratados (por ejemplo, mediante controles de acceso, véase el artículo 19 de la LIC y el artículo 16 del Decreto de Ejecución de la LIC). Asimismo, cuando se intercambie información crediticia personal con un tercero, debe celebrarse un acuerdo que establezca las medidas de seguridad específicas (artículo 19, apartado 2, de la LIC). Si se produce una violación de la información crediticia personal, deben adoptarse medidas para minimizar los daños y debe notificarse sin demora a los particulares de que se trate (artículo 39-4, apartados 1 y 2, de la LIC). Además, debe informarse a la CPIP de la notificación enviada a los particulares y de las medidas que se han aplicado (artículo 39-4, apartado 4, de la LIC).

(108)

La LIC también impone obligaciones específicas de transparencia a la hora de obtener el consentimiento para el uso o suministro de información crediticia personal (artículo 32, apartado 4, y artículo 34-2 de la LIC y artículo 30-3 del Decreto de Ejecución de la LIC) y, de manera más general, antes de facilitar información a un tercero (artículo 32, apartado 7, de la LIC) (138). Además, las personas tienen derecho a obtener, previa solicitud, información sobre la utilización y el suministro de su información crediticia a terceros en los tres años anteriores a la solicitud (incluidas la finalidad y las fechas de dicha utilización o dicho suministro) (139).

(109)

En virtud de la LIC, las personas también tienen derecho a acceder a su información crediticia personal (artículo 38, apartado 1, de la LIC) y a obtener la rectificación de los datos inexactos (artículo 38, apartados 2 y 3, de la LIC) (140). Por otra parte, además del derecho general a la supresión en virtud de la LPIP (véase el considerando 77), la LIC prevé un derecho específico a la supresión de la información crediticia personal que se haya conservado más allá de los períodos de conservación mencionados en el considerando 104, es decir, cinco años (para la información crediticia personal que era necesaria para establecer o mantener una relación comercial) o tres meses (para otros tipos de información crediticia personal) (141). Excepcionalmente, puede denegarse una solicitud de supresión cuando sea necesaria una conservación ulterior en las circunstancias descritas en el considerando 105. Si un particular solicita la supresión, pero se aplica una de las excepciones, deben aplicarse salvaguardias específicas a la información crediticia en cuestión (artículo 38-3, apartado 3, de la LIC y artículo 33-3 del Decreto de Ejecución de la LIC). Por ejemplo, la información debe mantenerse separada de otra información, solo puede ser consultada por una persona autorizada y debe estar sujeta a medidas de seguridad específicas.

(110)

Además de los derechos mencionados en el considerando 109, la LIC garantiza a los particulares el derecho a solicitar a un responsable del tratamiento que deje de ponerse en contacto con ellos con fines de comercialización directa (artículo 37, apartado 2, de la Ley) y el derecho a la portabilidad de los datos. En relación con este último, la LIC permite a los particulares solicitar la transmisión de su información crediticia personal a sí mismos o a determinados terceros (tales como instituciones financieras y empresas de calificación crediticia). La información crediticia personal debe tratarse y transmitirse al tercero en un formato que pueda ser procesado por un dispositivo de tratamiento de información (por ejemplo, un ordenador).

(111)

Por consiguiente, en la medida en que la LIC contenga normas específicas en comparación con la LPIP, la Comisión considera que también estas normas garantizan un nivel de protección esencialmente equivalente al ofrecido en virtud del Reglamento (UE) 2016/679.

(112)

Con el fin de garantizar un nivel adecuado de protección de los datos en la práctica, debe existir una autoridad de control independiente encargada de supervisar las normas en materia de protección de datos y hacerlas cumplir. Esta autoridad debe actuar con total independencia e imparcialidad en el desempeño de sus funciones y en el ejercicio de sus competencias.

(113)

En la República de Corea, la autoridad independiente encargada de supervisar la LPIP y de hacerla cumplir es la CPIP. La CPIP está compuesta por un presidente, un vicepresidente y siete comisarios. El presidente y el vicepresidente son nombrados por el presidente de la República de Corea, previa recomendación del primer ministro. De los comisarios, dos son nombrados por el presidente de la República por recomendación del presidente de la CPIP y cinco por recomendación de la Asamblea Nacional [dos de los cuales por recomendación del partido político al que pertenece el presidente de la República y tres por recomendación de otros partidos políticos (artículo 7-2, apartado 2, de la LPIP), lo cual contribuye a contrarrestar el partidismo en el proceso de nombramiento] (142). Este procedimiento está en consonancia con los requisitos aplicables al nombramiento de los miembros de las autoridades de protección de datos en la Unión [artículo 53, apartado 1, del Reglamento (UE) 2016/679]. Además, todos los comisarios deben abstenerse de cualquier actividad empresarial con fines de lucro o actividad política y de ocupar cargos en la administración pública o en la Asamblea Nacional (artículos 7-6 y 7-7, apartado 1, punto 3, de la LPIP) (143). Todos los comisarios están sujetos a normas específicas que les impiden participar en las deliberaciones en caso de un posible conflicto de intereses (artículo 7-11 de la LPIP). La CPIP está asistida por una secretaría (artículo 7-13) y puede crear subcomisiones (compuestas por tres comisarios) para tratar infracciones menores y asuntos recurrentes (artículo 7-12 de la LPIP).

(114)

Cada miembro de la CPIP es nombrado por tres años y su mandato puede ser renovado una sola vez (artículo 7-4, apartado 1, de la LPIP). Los comisarios solo pueden ser destituidos en circunstancias específicas, a saber, si ya no están en condiciones de desempeñar sus funciones debido a una discapacidad física o mental a largo plazo, actúan en violación de la ley o cumplen uno de los motivos de anulación del mandato (144) (artículo 7-5 de la LPIP). Esto les proporciona protección institucional en el ejercicio de sus funciones.

(115)

De manera más general, el artículo 7, apartado 1, de la LPIP garantiza explícitamente la independencia de la CPIP, y el artículo 7-5, apartado 2, de la LPIP exige que los comisarios desempeñen sus funciones de manera independiente, según la ley y su conciencia (145). Las salvaguardias institucionales y procedimentales descritas, incluso en relación con el nombramiento y la destitución de sus miembros, garantizan que la CPIP actúe con total independencia, sin injerencias ni instrucciones externas. Además, como organismo administrativo central, la CPIP propone anualmente su propio presupuesto (que es revisado por el Ministerio de Finanzas como parte del presupuesto nacional global antes de su adopción por la Asamblea Nacional) y se encarga de la gestión de su propio personal. La CPIP cuenta con un presupuesto actual de aproximadamente 35 millones de euros y 154 miembros del personal (incluidos 40 empleados especializados en tecnologías de la información y la comunicación, 32 empleados dedicados a la investigación y 40 expertos jurídicos).

(116)

Las funciones y competencias de la CPIP se establecen principalmente en los artículos 7-8 y 7-9, así como en los artículos 61 a 66 de la LPIP (146). En particular, las tareas de la CPIP incluyen el asesoramiento sobre las leyes y los reglamentos relacionados con la protección de datos, el desarrollo de políticas y directrices en materia de protección de datos, la investigación de las vulneraciones de los derechos individuales, la tramitación de reclamaciones y la mediación de conflictos, la ejecución del cumplimiento de la LPIP, el aseguramiento de la educación y la promoción en el ámbito de la protección de datos, así como el intercambio y la cooperación con las autoridades de protección de datos de terceros países (147).

(117)

Sobre la base del artículo 68 de la LPIP, en relación con el artículo 62 del Decreto de Ejecución de la LPIP, se han delegado determinadas tareas de la CPIP en la Agencia de Internet y Seguridad de Corea, a saber: 1) la educación y las relaciones públicas, 2) la formación de especialistas y la elaboración de criterios para las evaluaciones de impacto sobre la privacidad, 3) la tramitación de las solicitudes de designación de una institución de evaluación del impacto sobre la privacidad, 4) la tramitación de las solicitudes de acceso indirecto a los datos personales en poder de las autoridades públicas (artículo 35, apartado 2, de la LPIP) y 5) la tarea de solicitar materiales y llevar a cabo inspecciones con respecto a las reclamaciones recibidas a través del denominado «Centro de atención telefónica sobre privacidad». En el contexto de la tramitación de las reclamaciones a través del Centro de atención telefónica sobre privacidad, la Agencia de Internet y Seguridad de Corea transmite el caso a la CPIP o al Ministerio Fiscal si constata que se ha producido una infracción de la ley. La posibilidad de presentar una reclamación ante el Centro de atención telefónica sobre privacidad no impide que las personas presenten una reclamación directamente ante la CPIP o que se dirijan a ella si consideran que su reclamación no ha sido tramitada satisfactoriamente por la Agencia de Internet y Seguridad de Corea.

(118)

Con el fin de garantizar el cumplimiento de la LPIP, el legislador ha otorgado a la CPIP facultades tanto de investigación como de ejecución, que abarcan desde las recomendaciones hasta las multas administrativas. Además, estas facultades se complementan con un régimen de sanciones penales.

(119)

Por lo que se refiere a las facultades de investigación, si se sospecha o se ha denunciado una infracción de la LPIP o si resulta necesario para la protección de los derechos de los interesados contra a las infracciones, la CPIP puede realizar inspecciones in situ y solicitar todos los materiales pertinentes (tales como objetos y documentos) a los responsables del tratamiento de los datos personales (artículo 63 de la LPIP, en relación con el artículo 60 del Decreto de Ejecución de la LPIP) (148).

(120)

Por lo que se refiere a la ejecución, en virtud del artículo 61, apartado 2, de la LPIP, la CPIP puede asesorar a los responsables del tratamiento sobre la manera de mejorar el nivel de protección de los datos personales de determinadas actividades de tratamiento. Los responsables del tratamiento deben esforzarse de buena fe para aplicar estos consejos y están obligados a informar a la CPIP del resultado. Asimismo, cuando existan motivos razonables para creer que se ha producido una infracción de la LPIP y sea probable que la inacción cause daños difíciles de reparar, la CPIP podrá imponer medidas correctoras (artículo 64, apartado 1, de la LPIP) (149). La sección 5 de la Notificación 2021-5 (anexo I) aclara, con efecto vinculante, que estas condiciones se cumplen con respecto a la infracción de cualquier disposición de la LPIP que proteja los derechos de privacidad de las personas en relación con la información personal (150). Entre las medidas que la CPIP está facultada para adoptar se incluye ordenar el cese de la conducta que causa la infracción, la suspensión temporal del tratamiento de datos o cualquier otra medida necesaria. El incumplimiento de una medida correctora puede dar lugar a una sanción mediante una multa de un importe máximo de 50 millones de won (artículo 75, apartado 2, punto 13, de la LPIP).

(121)

Con respecto a determinadas autoridades públicas (como la Asamblea Nacional, los organismos administrativos centrales, los organismos gubernamentales locales y los órganos jurisdiccionales), el artículo 64, apartado 4, de la LPIP establece que la CPIP puede «recomendar» cualquiera de las medidas correctoras mencionadas en el considerando 120 y que estas autoridades están obligadas a cumplir dicha recomendación, salvo que existan circunstancias extraordinarias. Según el punto 5 de la Nota n.o 2021-5, esto se refiere a circunstancias extraordinarias de hecho o de derecho de las que la CPIP no tenía conocimiento a la hora de formular su recomendación. La autoridad pública en cuestión solo puede invocar tales circunstancias extraordinarias si demuestra con claridad que no se ha producido ninguna infracción y la CPIP determina que efectivamente no es así. De lo contrario, la autoridad pública debe seguir la recomendación de la CPIP y «adoptar una medida correctora, por ejemplo, la suspensión inmediata de la acción, e indemnizar por daños y perjuicios en el caso excepcional de que se haya cometido un acto ilícito».

(122)

La CPIP también puede solicitar a otros organismos administrativos con competencia específica conforme a la legislación sectorial (por ejemplo, salud y educación) que lleven a cabo una investigación —solos o conjuntamente con la CPIP— sobre las (presuntas) violaciones de la privacidad por parte de los responsables del tratamiento que operan en estos sectores bajo su jurisdicción, y que impongan medidas correctoras (artículo 63, apartados 4 y 5, de la LPIP). En ese caso, la CPIP determina los motivos, el objeto y el alcance de la investigación (151). A su vez, el organismo administrativo competente debe presentar a la CPIP un plan de inspección y notificarle el resultado de la inspección. La CPIP puede recomendar la adopción de una medida correctora específica, que el organismo correspondiente debe esforzarse por aplicar. En cualquier caso, tal solicitud no limita la competencia de la CPIP para llevar a cabo su propia investigación o imponer sanciones.

(123)

Además de sus facultades correctivas, la CPIP puede imponer multas administrativas de entre 10 y 50 millones de won por las infracciones de diversos requisitos de la LPIP (artículo 75 de la LPIP) (152). Entre otras cosas, se incluyen el incumplimiento de los requisitos de licitud del tratamiento, la no adopción de las medidas de seguridad necesarias, la falta de notificación a los interesados en caso de violación de la seguridad de los datos, el incumplimiento de los requisitos para el subtratamiento, la falta de establecimiento y divulgación de una política de privacidad, la no designación de un responsable de la protección de la privacidad o la falta de respuesta a una solicitud de un interesado en el ejercicio de sus derechos individuales, así como determinadas infracciones de procedimiento (falta de cooperación durante una investigación). En caso de que el mismo responsable del tratamiento infrinja varias disposiciones de la LPIP, podrá imponerse una multa por cada infracción y se tendrá en cuenta el número de personas afectadas a la hora de fijar el importe de la multa.

(124)

Además, cuando existan motivos razonables para sospechar una infracción de la LPIP o de cualquier otra «ley relacionada con la protección de datos», la CPIP puede presentar una denuncia penal ante el órgano de investigación competente (por ejemplo, un fiscal, véase el artículo 65, apartado 1, de la LPIP). Además, la CPIP puede recomendar al responsable del tratamiento que adopte medidas disciplinarias contra la persona responsable (incluido el directivo encargado, véase el artículo 65, apartado 2, de la LPIP). Tras recibir dichas recomendaciones, el responsable del tratamiento debe cumplirlas (153) y notificar el resultado por escrito a la CPIP (artículo 65 de la LPIP, en relación con el artículo 58 del Decreto de Ejecución de la LPIP).

(125)

Por lo que se refiere al asesoramiento con arreglo al artículo 61, las medidas correctoras con arreglo al artículo 64, la acusación o el asesoramiento para la adopción de medidas disciplinarias con arreglo al artículo 65 y la imposición de multas administrativas con arreglo al artículo 75 de la LPIP, la CPIP puede dar a conocer los hechos, es decir, la infracción, la entidad que haya infringido la ley y la(s) medida(s) impuesta(s), publicándolos en su sitio web o en un periódico general de ámbito nacional (artículo 66 de la LPIP, en relación con el artículo 61, apartado 1, del Decreto de Ejecución de la LPIP) (154).

(126)

Por último, el cumplimiento de los requisitos de protección de datos establecidos en la LPIP (así como en otras «leyes relacionadas con la protección de datos») está respaldado por un régimen de sanciones penales. A este respecto, los artículos 70 a 73 de la LPIP contienen disposiciones sobre sanciones que pueden dar lugar a la imposición de una multa (de entre veinte y cien millones de won) o una pena de prisión (cuya duración máxima oscila entre dos y diez años). Entre las infracciones importantes figuran la utilización de datos personales o el suministro de tales datos a un tercero sin el consentimiento necesario, el tratamiento de información sensible en contra de la prohibición establecida en el artículo 23, apartado 1, de la LPIP, el incumplimiento de los requisitos de seguridad aplicables que dé lugar a la pérdida, el robo, la divulgación, la falsificación, la alteración o el daño de los datos personales, la no adopción de las medidas necesarias para corregir, suprimir o suspender los datos personales o la transferencia ilícita de datos personales a un tercer país (155). De conformidad con el artículo 74 de la LPIP, en cada uno de estos casos, será responsable el empleado, agente o representante del responsable del tratamiento, así como el propio responsable del tratamiento (156).

(127)

Además de las sanciones penales previstas en la LPIP, el uso indebido de los datos personales también puede constituir un delito con arreglo a la Ley penal. Este es el caso, en particular, de la violación del secreto de la correspondencia, los documentos o los registros electrónicos (artículo 316), la divulgación de información sujeta al secreto profesional (artículo 317), el fraude mediante el uso de ordenadores (artículo 347-2), así como la malversación y el abuso de confianza (artículo 355).

(128)

Por consiguiente, el sistema coreano combina diferentes tipos de sanciones, desde medidas correctoras y multas administrativas hasta sanciones penales, que pueden tener un efecto disuasorio especialmente importante sobre los responsables del tratamiento y los particulares que manejan los datos. Inmediatamente después de su creación en 2020, la CPIP empezó a hacer uso de sus facultades. El informe anual de 2021 de la CPIP muestra que la CPIP ya ha formulado una serie de recomendaciones, ha impuesto multas administrativas y ha emitido órdenes correctivas, tanto contra el sector público (alrededor de 34 autoridades públicas) como contra operadores privados (alrededor de 140 empresas) (157). Algunos casos significativos incluyen, por ejemplo, la imposición de una multa de 6 700 millones de won en diciembre de 2020 a una empresa por infringir distintas disposiciones de la LPIP (incluidos los requisitos de seguridad, los requisitos de consentimiento para el suministro a terceros y la transparencia) (158) y una multa de 103,3 millones de won en abril de 2021 a una empresa de tecnología de IA (por infringir, entre otras disposiciones, las normas sobre la licitud del tratamiento, en particular el consentimiento, y el tratamiento de información seudonimizada) (159). En agosto de 2021, la CPIP finalizó otra investigación sobre las actividades de tres empresas, la cual dio lugar a medidas correctoras y a la imposición de multas de hasta 6 470 millones de won (entre otras cosas, por no haber informado a los particulares sobre la divulgación de datos personales a terceros, incluidas las transferencias a terceros países) (160). Asimismo, ya antes de la reciente reforma, Corea del Sur tenía un sólido historial de ejecución y las autoridades responsables hacían uso de toda la gama de medidas de ejecución, incluidas las multas administrativas, las medidas correctoras y el «nombramiento e intercambio» con respecto a una variedad de responsables del tratamiento, incluidos los proveedores de servicios de comunicación (Comisión de Comunicaciones de Corea), así como los operadores comerciales, las instituciones financieras, las autoridades públicas, las universidades y los hospitales (Ministerio del Interior y de Seguridad) (161). Sobre esta base, la Comisión concluye que el sistema coreano garantiza el cumplimiento efectivo de las normas de protección de datos en la práctica, garantizando así un nivel de protección esencialmente equivalente al previsto en el Reglamento (UE) 2016/679.

(129)

A fin de garantizar una protección adecuada y, en particular, el respeto de los derechos individuales, el interesado debe disponer de la posibilidad de incoar recursos administrativos y acciones judiciales efectivos, incluida la indemnización por daños y perjuicios.

(130)

El sistema coreano ofrece a los particulares diversos mecanismos para hacer valer eficazmente sus derechos y obtener reparación (judicial).

(131)

Como primer paso, los particulares que consideren que se han vulnerado sus derechos o intereses de protección de datos pueden dirigirse al responsable del tratamiento correspondiente. De conformidad el artículo 30, apartado 1, punto 5, de la LPIP, la política de privacidad del responsable del tratamiento deberá incluir, entre otras cosas, información sobre los derechos de los interesados y la manera de ejercerlos. Además, deberá facilitar información de contacto —como el nombre y el número de teléfono del responsable de la protección de la privacidad o del departamento responsable de la protección de datos— para permitir la presentación de reclamaciones. Dentro de la organización del responsable del tratamiento, el responsable de la protección de la privacidad se encarga de la tramitación de las reclamaciones, la adopción de medidas correctoras en caso de violación de la privacidad y la compensación correctora (artículo 31, apartado 2, punto 3, y apartado 4, de la LPIP). Esta última es pertinente, por ejemplo, en caso de violación de la seguridad de los datos, ya que el responsable del tratamiento debe informar al interesado del punto o puntos de contacto para notificar cualquier daño, entre otros (artículo 34, apartado 1, punto 5, de la LPIP).

(132)

Además, la LPIP ofrece a los particulares varias vías de recurso contra los responsables del tratamiento. En primer lugar, cualquier persona que considere que sus derechos o intereses de protección de datos han sido vulnerados por el responsable del tratamiento puede denunciar dicha infracción directamente a la CPIP o a una de las instituciones especializadas designadas por la CPIP para recibir y tramitar las reclamaciones; esto incluye a la Agencia de Internet y Seguridad de Corea, que a tal fin gestiona un centro de llamadas para asuntos relacionados con la información personal (el denominado «Centro de atención telefónica sobre privacidad») (artículo 62, apartados 1 y 2, de la LPIP, en relación con el artículo 59 del Decreto de Ejecución de la LPIP). El Centro de atención telefónica sobre privacidad investiga y constata las infracciones, ofrece asesoramiento en relación con el tratamiento de datos personales (artículo 62, apartado 3, de la LPIP) y puede notificar infracciones a la CPIP (pero no puede adoptar medidas de ejecución por sí mismo). El Centro de atención telefónica sobre privacidad recibe un gran número de reclamaciones/solicitudes (por ejemplo, 177 457 en 2020, 159 255 en 2019 y 164 497 en 2018) (162). Según la información recibida de la CPIP, ella misma recibió alrededor de 1 000 reclamaciones entre agosto de 2020 y agosto de 2021. En respuesta a una reclamación, la CPIP puede formular recomendaciones de mejora, medidas correctoras, una «acusación» ante el órgano de investigación competente (incluidos los fiscales) o recomendaciones de medidas disciplinarias (véanse los artículos 61, 64 y 65 de la LPIP). Las decisiones de la CPIP (tales como la negativa a tramitar una reclamación o la desestimación de una reclamación en cuanto al fondo) pueden impugnarse con arreglo a la Ley de lo contencioso-administrativo (163).

(133)

En segundo lugar, de conformidad con los artículos 40 a 50 de la LPIP, en relación con los artículos 48-14 a 57 del Decreto de Ejecución de la LPIP, los interesados pueden presentar reclamaciones ante un denominado «Comité de mediación de conflictos», compuesto por representantes designados por el presidente de la CPIP de entre los miembros del servicio ejecutivo superior de la CPIP y por personas físicas nombradas sobre la base de su experiencia en el ámbito de la protección de datos de determinados grupos admisibles (véanse el artículo 40, apartados 2, 3 y 7, de la LPIP y el artículo 48-14 del Decreto de Ejecución de la LPIP) (164). La posibilidad de hacer uso de la mediación ante el Comité de mediación de conflictos ofrece una vía alternativa para obtener reparación, pero no limita el derecho de la persona a dirigirse a la CPIP o a los órganos jurisdiccionales. A fin de examinar el caso, el Comité puede solicitar a las partes en conflicto que faciliten los materiales necesarios o convocar a los testigos pertinentes para que comparezcan ante él (artículo 45 de la LPIP). Una vez aclarado el asunto, el Comité prepara un proyecto de laudo de mediación (165) con el que debe estar de acuerdo la mayoría de sus miembros. El proyecto de laudo de mediación puede abarcar la suspensión de la infracción, las soluciones necesarias (en particular la restitución o la indemnización), así como cualquier medida necesaria para evitar que vuelva a producirse una infracción idéntica o similar (artículo 47, apartado 1, de la LPIP). Cuando ambas partes estén de acuerdo con el laudo de mediación, este tendrá el mismo efecto que un acuerdo judicial (artículo 47, apartado 5, de la LPIP). Las partes pueden incoar una acción judicial mientras la mediación está en curso, en cuyo caso se suspenderá esta última (véase el artículo 48, apartado 2, de la LPIP) (166). Las cifras anuales publicadas por la CPIP muestran que los particulares utilizan regularmente el procedimiento ante el Comité de mediación de conflictos, que a menudo conduce a un resultado satisfactorio. Por ejemplo, en 2020, el Comité trató 126 asuntos, 89 de los cuales se resolvieron ante el Comité (en 77 asuntos, las partes ya habían llegado a un acuerdo antes de que finalizara el proceso de mediación y en 12 asuntos, las partes aceptaron la propuesta de mediación), lo que corresponde a un índice de mediación del 70,6 % (167). Del mismo modo, en 2019, el Comité trató 139 asuntos, de los cuales se resolvieron 92, lo que corresponde a una tasa de mediación del 62,2 %.

(134)

Además, cuando al menos 50 personas sufran daños o sus derechos de protección de datos hayan sido vulnerados de manera idéntica o similar como consecuencia del mismo (tipo de) incidente (168), un interesado o una organización de protección de datos puede solicitar la mediación colectiva en nombre de dicha colectividad; otros interesados pueden solicitar participar en dicha mediación, que el Comité de mediación de conflictos anunciará públicamente (artículo 49, apartados 1 a 3, de la LPIP, en relación con los artículos 52 a 54 del Decreto de Ejecución de la LPIP) (169). El Comité de mediación de conflictos puede seleccionar por lo menos a una persona que represente de la manera más adecuada el interés común como representante (artículo 49, apartado 4, de la LPIP). Si el responsable del tratamiento rechaza la mediación colectiva o no acepta el laudo de mediación, determinadas organizaciones (170) pueden presentar una demanda colectiva para abordar la violación (artículos 51 a 57 de la LPIP).

(135)

En tercer lugar, en caso de una violación de la privacidad que cause «daños» a la persona, el interesado tiene derecho a obtener una reparación adecuada en un «procedimiento rápido y justo» (artículo 4, punto 5, en relación con el artículo 39 de la LPIP) (171). El responsable del tratamiento puede exculparse demostrando la ausencia de culpa («dolo» o negligencia). Si el interesado sufre daños como consecuencia de la pérdida, el robo, la divulgación, la falsificación, la alteración o el daño de sus datos personales, el Tribunal puede determinar una indemnización de hasta tres veces el daño real, teniendo en cuenta una serie de factores (artículo 39, apartados 3 y 4, de la LPIP). Como alternativa, el interesado puede solicitar una indemnización de un «importe razonable» que no exceda de tres millones de won (artículo 39-2, apartados 1 y 2, de la LPIP). Además, de conformidad con la Ley civil, puede solicitarse una indemnización a cualquier persona «que cause pérdidas o lesiones a un tercero debido a un acto ilícito, de forma deliberada o por negligencia» (172) o a una persona «que haya lesionado a la persona, haya perjudicado la libertad o la fama de un tercero o haya causado daños morales a un tercero» (173). Esta responsabilidad civil derivada de la infracción de las normas de protección de datos ha sido confirmada por el Tribunal Supremo (174). Si el daño ha sido causado por una acción ilícita de una autoridad pública, también puede presentarse una reclamación de indemnización con arreglo a la Ley de indemnización estatal (175). Las reclamaciones en virtud de la Ley de indemnización estatal pueden presentarse ante un «Consejo de indemnización» especializado o directamente ante los órganos jurisdiccionales coreanos (176). La responsabilidad estatal también abarca los daños y perjuicios inmateriales (como el sufrimiento mental) (177). Si la víctima es extranjera, la Ley de indemnización estatal se aplica siempre que su país de origen garantice igualmente la indemnización estatal para los nacionales coreanos (178).

(136)

En cuarto lugar, el Tribunal Supremo ha reconocido que las personas tienen derecho a solicitar medidas cautelares por las vulneraciones de los derechos que les confiere la Constitución, incluido el derecho a la protección de los datos personales (179). En este contexto, un órgano jurisdiccional puede, por ejemplo, ordenar a los responsables del tratamiento que suspendan o pongan fin a cualquier actividad ilícita. Además, los derechos de protección de datos, también los protegidos por la LPIP, pueden ejercerse a través de acciones civiles. Esta aplicación horizontal de la protección constitucional de la privacidad a las relaciones entre particulares ha sido reconocida por el Tribunal Supremo (180).

(137)

Por último, las personas pueden presentar una denuncia penal de conformidad con la Ley de enjuiciamiento criminal (artículo 223) ante un fiscal o un agente de la policía judicial (181).

(138)

Por consiguiente, el sistema coreano ofrece diversas vías para obtener reparación, desde opciones de fácil acceso y de bajo coste [por ejemplo, ponerse en contacto con el Centro de atención telefónica sobre privacidad o a través de la mediación (colectiva)] hasta vías administrativas (ante la CPIP) y judiciales, incluso con la posibilidad de obtener una indemnización por daños y perjuicios.

(139)

La Comisión ha evaluado asimismo las limitaciones y salvaguardias previstas, incluidos los mecanismos de supervisión y de recurso disponibles en el Derecho coreano en lo que respecta a la recogida y la utilización ulterior por las autoridades públicas coreanas de los datos personales transferidos a responsables del tratamiento en Corea en aras del interés público, en particular a efectos coercitivos y de seguridad nacional (acceso de las autoridades públicas). A este respecto, el Gobierno coreano ha facilitado a la Comisión declaraciones, garantías y compromisos oficiales firmados al más alto nivel ministerial y de servicios, que figuran en el anexo II de la presente Decisión.

(140)

A la hora de evaluar si, con arreglo a la presente Decisión, las condiciones en las que el acceso de las autoridades públicas a los datos transferidos a Corea cumple la prueba de «equivalencia esencial» de conformidad con el artículo 45, apartado 1, del Reglamento (UE) 2016/679, según la interpretación del Tribunal de Justicia de la Unión Europea a la luz de la Carta de los Derechos Fundamentales, la Comisión tuvo en cuenta, en particular, los siguientes criterios.

(141)

En primer lugar, cualquier limitación al derecho a la protección de datos personales debe estar prevista por la ley y la base jurídica que permite la injerencia en este derecho debe definir por sí misma el alcance de la limitación al ejercicio del derecho en cuestión (182).

(142)

En segundo lugar, a fin de satisfacer el requisito de proporcionalidad, según el cual las excepciones y limitaciones a la protección de datos personales deben aplicarse únicamente en la medida en que sea estrictamente necesario en una sociedad democrática para lograr objetivos específicos de interés general equivalentes a los reconocidos por la Unión, la legislación del tercer país en cuestión que permite la interferencia debe establecer normas claras y precisas que regulen el alcance y la aplicación de dichas medidas e imponer salvaguardias mínimas para que las personas cuyos datos se hayan transferido dispongan de garantías suficientes para proteger de manera efectiva sus datos personales contra el riesgo de abuso (183). En particular, la legislación debe indicar en qué circunstancias y en qué condiciones puede adoptarse una medida que prevea el tratamiento de dichos datos (184), así como someter el cumplimiento de tales requisitos a una supervisión independiente (185).

(143)

En tercer lugar, esta legislación y sus exigencias deben ser jurídicamente vinculantes en virtud del Derecho interno. Esto afecta, en primer lugar, a las autoridades del tercer país en cuestión, pero estos requisitos jurídicos también deben ser exigibles ante los tribunales contra dichas autoridades (186). En concreto, los interesados deben tener la posibilidad de emprender acciones legales ante un tribunal independiente e imparcial para acceder a los datos personales que les conciernen o para obtener su rectificación o supresión (187).

(144)

Las limitaciones y salvaguardias que se aplican a la recogida y la utilización ulterior de los datos personales por parte de las autoridades públicas coreanas se derivan del marco constitucional general, de leyes específicas que regulan sus actividades en los ámbitos del cumplimiento del Derecho penal y la seguridad nacional, así como de las normas que se aplican específicamente al tratamiento de datos personales.

(145)

En primer lugar, el acceso a los datos personales por parte de las autoridades públicas coreanas se rige por los principios generales de legalidad, necesidad y proporcionalidad que se derivan de la Constitución coreana (188). En particular, los derechos y libertades fundamentales (incluido el derecho a la privacidad en general y el derecho a la privacidad de la correspondencia) (189) solo pueden ser restringidos por ley y cuando sea necesario por razones de seguridad nacional o para el mantenimiento del orden público en aras del bienestar público. Estas restricciones no pueden afectar al contenido esencial del derecho o libertad en cuestión. Por lo que se refiere específicamente a los registros e incautaciones, la Constitución establece que solo pueden tener lugar en las condiciones previstas por la ley, sobre la base de una orden emitida por un juez y respetando las garantías procesales (190). Por último, las personas pueden invocar sus derechos y libertades ante el Tribunal Constitucional si consideran que han sido vulnerados por las autoridades públicas en el ejercicio de sus competencias (191). Del mismo modo, las personas que hayan sufrido daños y perjuicios como consecuencia de un acto ilícito cometido por un funcionario público en el ejercicio de sus funciones oficiales tienen derecho a reclamar una indemnización justa (192).

(146)

En segundo lugar, como se describe con más detalle en las secciones 3.2.1 y 3.3.1, los principios generales mencionados en el considerando 145 también se reflejan en las leyes específicas que regulan las competencias de las autoridades encargadas de garantizar el cumplimiento de la ley y de las autoridades nacionales de seguridad. Por ejemplo, en lo que respecta a las investigaciones penales, la Ley de enjuiciamiento criminal (LEC) establece que solo pueden adoptarse medidas obligatorias cuando así lo disponga explícitamente la LEC y en la menor medida necesaria para alcanzar el objetivo de la investigación (193). Del mismo modo, el artículo 3 de la Ley sobre la protección de la privacidad de las comunicaciones (LPPC) prohíbe el acceso a las comunicaciones privadas, salvo con arreglo a la legislación y con sujeción a las limitaciones y salvaguardias en ella establecidas. En el ámbito de la seguridad nacional, la Ley del Servicio Nacional de Inteligencia (Ley SNI) establece que todo acceso a las comunicaciones o a la información sobre la ubicación debe cumplir la ley y somete a sanciones penales los abusos de poder y las infracciones de la ley (194).

(147)

En tercer lugar, el tratamiento de datos personales por parte de las autoridades públicas, incluso a efectos de control de la aplicación de la ley y de seguridad nacional, está sujeto a las normas de protección de datos en virtud de la LPIP (195). Como principio general, el artículo 5, apartado 1, de la LPIP exige a las autoridades públicas que formulen políticas para prevenir «el abuso y el uso indebido de la información personal, la vigilancia indiscreta y el seguimiento, etc. y mejorar la dignidad de los seres humanos y la privacidad individual». Además, todo responsable del tratamiento debe tratar los datos personales de manera que se reduzca al mínimo la posibilidad de vulnerar la privacidad de un interesado (artículo 3, apartado 6, de la LPIP).

(148)

Todos los requisitos de la LPIP, tal como se describen detalladamente en la sección 2, se aplican al tratamiento de datos personales a efectos de control de la aplicación de la ley. Esto incluye los principios fundamentales (como la licitud y la lealtad, la limitación de la finalidad, la exactitud, la minimización de los datos, la limitación del plazo de conservación, la seguridad y la transparencia), las obligaciones (por ejemplo, con respecto a los datos sensibles y la notificación de las violaciones de la seguridad de los datos) y los derechos (acceso, corrección, supresión y suspensión).

(149)

Si bien el tratamiento de datos personales por motivos de seguridad nacional está sujeto a un conjunto más limitado de disposiciones en virtud de la LPIP, se aplican los principios fundamentales, así como las normas sobre supervisión, ejecución y reparación (196). Más concretamente, los artículos 3 y 4 de la LPIP establecen los principios generales de protección de datos (licitud y lealtad, limitación de la finalidad, exactitud, minimización de los datos, seguridad y transparencia) y los derechos individuales (el derecho a ser informado, el derecho de acceso y los derechos de rectificación, supresión y suspensión) (197). Además, el artículo 4, apartado 5, de la LPIP otorga a los particulares el derecho a una reparación adecuada por cualquier daño o perjuicio derivado del tratamiento de sus datos personales en un procedimiento rápido y justo. Esto se complementa con las obligaciones más específicas de solo tratar los datos personales en la medida mínima necesaria para lograr la finalidad prevista y durante el período mínimo, establecer las medidas necesarias para garantizar una gestión segura de los datos y un tratamiento adecuado (tales como salvaguardias técnicas, físicas y de gestión), así como establecer medidas para la tramitación adecuada de las reclamaciones individuales (198). Por último, los principios generales de legalidad, necesidad y proporcionalidad establecidos en la Constitución coreana (véase el considerando 145) también se aplican al tratamiento de datos personales por motivos de seguridad nacional.

(150)

Estas limitaciones y salvaguardias generales pueden ser invocadas por particulares ante organismos de supervisión independientes (por ejemplo, la CPIP o la Comisión Nacional de Derechos Humanos, véanse los considerandos 177 y 178) y los órganos jurisdiccionales (véanse los considerandos 179 a 183) para obtener reparación.

(151)

El Derecho de la República de Corea impone una serie de limitaciones al acceso y la utilización de datos personales a efectos de control de la aplicación del Derecho penal, y proporciona mecanismos de supervisión y reparación que se ajustan a los requisitos mencionados en los considerandos 141 a 143 de la presente Decisión. Las condiciones en las que puede tener lugar dicho acceso y las salvaguardias aplicables a la utilización de estos poderes se precisan en detalle en las siguientes secciones.

(152)

Los datos personales tratados por responsables del tratamiento coreanos que se transferirían desde la Unión en virtud de la presente Decisión (199) podrán ser recogidos por las autoridades coreanas a efectos de control de la aplicación del Derecho penal en el contexto de un registro o una incautación (sobre la base de la LEC), accediendo a información sobre las comunicaciones (sobre la base de la LPPC) u obteniendo datos de los abonados a través de solicitudes de divulgación voluntaria (sobre la base de la Ley del sector de las telecomunicaciones, LST) (200).

(153)

La LEC establece que solo podrá llevarse a cabo un registro o una incautación si una persona es sospechosa de un delito, es necesario para la investigación y se establece una conexión entre la investigación y la persona objeto del registro o el artículo objeto de la inspección o incautación (201). Además, solo podrá autorizarse o llevarse a cabo un registro o una incautación (como medida obligatoria) en la menor medida necesaria (202). En principio, si un registro concierne a un disco de ordenador u otro soporte de almacenamiento de datos, solo se incautarán los datos necesarios (copiados o impresos) en lugar de todo el soporte (203). Este último solo podrá ser incautado cuando se considere sustancialmente imposible imprimir o copiar los datos necesarios por separado o cuando se considere que es sustancialmente impracticable lograr el objetivo del registro de otra manera (204). Por consiguiente, la LEC establece normas claras y precisas sobre el alcance y la aplicación de estas medidas, garantizando así que la injerencia en los derechos de los particulares en caso de registro o incautación se limite a lo necesario para una investigación penal específica y sea proporcionada al objetivo perseguido.

(154)

En cuanto a las salvaguardias procedimentales, la LEC exige que se obtenga una orden judicial para llevar a cabo un registro o una incautación (205). Un registro o una incautación sin una orden solo se permite excepcionalmente, a saber, en circunstancias urgentes (206), in loco en el momento del arresto o la detención de un sospechoso (207) o cuando un sospechoso o un tercero deseche o presente voluntariamente un artículo (en relación con los datos personales, por la propia persona afectada) (208). Los registros e incautaciones ilícitos están sujetos a sanciones penales (209) y cualquier prueba obtenida en violación de la LEC se considerará inadmisible (210). Por último, las personas afectadas siempre deben ser informadas sin demora de un registro o una incautación (incluida una incautación de sus datos) (211), lo cual, a su vez, facilitará el ejercicio de sus derechos sustantivos y del derecho a la reparación (véase, en particular, la posibilidad de impugnar la ejecución de una orden de incautación; véase el considerando 180).

(155)

Sobre la base de la LPPC, las autoridades coreanas encargadas de garantizar el cumplimiento del Derecho penal pueden adoptar dos tipos de medidas (212): por una parte, la recogida de «datos de confirmación de la comunicación» (213), que incluye la fecha de las telecomunicaciones, su hora de inicio y fin, el número de llamadas salientes y entrantes, así como el número de abonados de la otra parte, la frecuencia de uso, los archivos de registro sobre el uso de los servicios de telecomunicaciones y la información sobre la ubicación (por ejemplo, de torres de transmisión en las que se reciben las señales); y, por otra parte, las «medidas de restricción de la comunicación», que abarcan tanto la recogida del contenido del correo tradicional como la interceptación directa del contenido de las telecomunicaciones (214).

(156)

Solo se podrá acceder a los datos de confirmación de la comunicación cuando sea necesario para llevar a cabo una investigación penal o ejecutar una pena (215), sobre la base de una orden emitida por un tribunal (216). A este respecto, la LPPC exige que se facilite información detallada tanto en la solicitud de la orden (por ejemplo, sobre los motivos de la solicitud, la relación con el destinatario/abonado y los datos necesarios) como en la propia orden (por ejemplo, sobre el objetivo, el objeto y el alcance de la medida) (217). La recogida sin una orden solo podrá llevarse a cabo cuando existan motivos de urgencia que impidan obtener una autorización judicial, en cuyo caso la orden deberá obtenerse y comunicarse al proveedor de telecomunicaciones inmediatamente después de solicitar los datos (218). Si el órgano jurisdiccional se niega a conceder una autorización posterior, la información recogida deberá destruirse (219).

(157)

En cuanto a las salvaguardias adicionales con respecto a la recogida de datos de confirmación de la comunicación, la LPPC impone requisitos específicos de mantenimiento de registros y de transparencia (220). En particular, tanto las autoridades policiales (221) como los proveedores de telecomunicaciones (222) deben mantener registros de las solicitudes y divulgaciones efectuadas. Además, dichas autoridades deben, en principio, notificar a las personas que se han recogido sus datos de confirmación de la comunicación (223). Esta notificación solo puede aplazarse en circunstancias excepcionales, previa autorización del director de una fiscalía de distrito competente (224). Dicha autorización solo podrá concederse cuando la notificación pueda 1) poner en peligro la seguridad nacional, la seguridad y el orden públicos, 2) causar la muerte o lesiones corporales, 3) impedir un procedimiento judicial justo (por ejemplo, dar lugar a la destrucción de pruebas o a amenazas a los testigos) o 4) difamar al sospechoso, a las víctimas o a otras personas relacionadas con el asunto o invadir su privacidad. En tales casos, la notificación deberá presentarse en un plazo de treinta días una vez que dejen de existir los motivos para el aplazamiento (225). Tras la notificación, las personas tienen derecho a obtener información sobre los motivos de la recogida de sus datos (226).

(158)

Se aplican normas más estrictas con respecto a las medidas de restricción de la comunicación, que solo pueden utilizarse cuando existan razones fundadas para sospechar que se están planificando, se están cometiendo o se han cometido determinados delitos graves mencionados específicamente en la LPPC (227). Además, las medidas de restricción de la comunicación solo pueden adoptarse como medida de último recurso y cuando, de otro modo, sea difícil impedir la comisión de un delito, detener a un delincuente o recabar pruebas (228). Estas medidas deben interrumpirse de inmediato una vez que ya no sean necesarias, a fin de garantizar que la vulneración de la privacidad de las comunicaciones sea lo más limitada posible (229). La información obtenida de manera ilícita a través de medidas de restricción de la comunicación no se admite como prueba en procedimientos judiciales o disciplinarios (230).

(159)

En cuanto a las salvaguardias procedimentales, la LPPC exige que se obtenga una orden judicial para aplicar medidas de restricción de la comunicación (231). Una vez más, la LPPC exige que la solicitud de una orden y la propia orden contengan información detallada (232), incluida la justificación de la solicitud, así como las comunicaciones que deben recogerse (que deben ser las del sospechoso objeto de la investigación) (233). Tales medidas solo pueden adoptarse sin una orden en caso de una amenaza inminente de delincuencia organizada o cuando sea inminente otro delito grave que pueda causar directamente la muerte o lesiones graves y exista una emergencia que impida seguir el procedimiento ordinario (234). No obstante, en tal caso, la solicitud de una orden debe presentarse inmediatamente después de la adopción de la medida (235). Las medidas de restricción de la comunicación solo pueden aplicarse durante un período máximo de dos meses (236) y solo pueden prorrogarse previa autorización judicial si se siguen cumpliendo las condiciones para la aplicación de las medidas (237). El período prorrogado no puede superar un total de un año, o tres años para determinados delitos especialmente graves (como los relacionados con la insurrección, la agresión extranjera y la seguridad nacional) (238).

(160)

Al igual que en el caso de la recogida de datos de confirmación de la comunicación, la LPPC exige a los proveedores de telecomunicaciones (239) y a las autoridades encargadas de garantizar el cumplimiento de la ley (240) que lleven registros de la ejecución de las medidas de restricción de la comunicación, y prevé la notificación a la persona afectada, la cual puede aplazarse excepcionalmente cuando sea necesario por motivos importantes de interés público (241).

(161)

Por último, el incumplimiento de varias de las limitaciones y salvaguardias de la LPPC (incluidas, por ejemplo, las obligaciones de obtención de una orden, mantenimiento de registros y notificación a la persona), tanto en lo que se refiere a la recogida de datos de confirmación de la comunicación como al uso de medidas de restricción de la comunicación, está sujeto a sanciones penales (242).

(162)

Por lo tanto, las competencias de las autoridades encargadas de garantizar el cumplimiento del Derecho penal para recoger datos relativos a las comunicaciones sobre la base de la LPPC (tanto el contenido de las comunicaciones como los datos de confirmación de la comunicación) están limitadas por normas claras y precisas y están sujetas a una serie de salvaguardias. Estas salvaguardias, en particular, garantizan la supervisión de la ejecución de tales medidas, tanto ex ante (a través de la aprobación judicial previa) como ex post (a través de requisitos de mantenimiento de registros y requisitos de información), y facilitan el acceso de los particulares a vías de recurso eficaces (garantizando que estén informadas de la recogida de sus datos).

(163)

Además de basarse en las medidas obligatorias descritas en los considerandos 153 a 162, las autoridades coreanas encargadas de garantizar el cumplimiento de la ley pueden solicitar a los proveedores de telecomunicaciones «datos de comunicaciones» de forma voluntaria, para apoyar un proceso penal, una investigación o la ejecución de una sentencia (artículo 83, apartado 3, de la LST). Esta posibilidad solo existe con respecto a conjuntos de datos limitados, por ejemplo, el nombre, el número de registro de residente, la dirección y el número de teléfono de los usuarios, las fechas de suscripción o cancelación de la suscripción de los usuarios, así como los códigos de identificación de los usuarios (es decir, los códigos utilizados para identificar al usuario legítimo de sistemas informáticos o redes de comunicación) (243). Dado que solo las personas que contratan servicios directamente de un proveedor de telecomunicaciones coreano se consideran «usuarios» (244), los ciudadanos de la UE cuyos datos se hayan transferido a la República de Corea normalmente no entrarían en esta categoría (245).

(164)

Se aplican diferentes limitaciones a estas divulgaciones voluntarias, tanto para el ejercicio de las competencias por parte de la autoridad encargada de garantizar el cumplimiento de la ley como para la respuesta del operador de telecomunicaciones. Como requisito general, las autoridades encargadas de garantizar el cumplimiento de la ley deben actuar de conformidad con los principios constitucionales de necesidad y proporcionalidad (artículo 12, apartado 1, y artículo 37, apartado 2, de la Constitución), incluso cuando soliciten información de forma voluntaria. Además, deben cumplir la LPIP, especialmente recogiendo solo datos personales mínimos, en la medida necesaria para lograr una finalidad legítima, de manera que se minimice el impacto sobre la privacidad de los particulares (como el artículo 3, apartados 1 y 6 de la LPIP). Más concretamente, las solicitudes para obtener datos de comunicaciones sobre la base de la LST deben hacerse por escrito e indicar los motivos de la solicitud, el vínculo con el usuario pertinente y el alcance de los datos solicitados (246).

(165)

Los proveedores de telecomunicaciones no están obligados a acceder a estas solicitudes y solo pueden hacerlo de conformidad con la LPIP. En particular, esto significa que deben encontrar un equilibrio entre los diferentes intereses en juego y no pueden facilitar los datos si ello pudiera vulnerar deslealmente los intereses de la persona o de un tercero (247). Este sería el caso, por ejemplo, si fuera evidente que la autoridad requirente abusó de su autoridad (248). Los operadores de telecomunicaciones deben mantener registros de las divulgaciones con arreglo a la LST e informar dos veces al año al Ministerio de Ciencia y TIC (249).

(166)

Además, de conformidad con la sección 3 de la Nota n.o 2021-5 (anexo I), los proveedores de telecomunicaciones deben, en principio, notificar a la persona afectada cuando accedan voluntariamente a una solicitud (250). Esto, a su vez, permitirá al particular ejercer sus derechos y, en caso de que sus datos se divulguen de manera ilícita, obtener reparación, ya sea del responsable del tratamiento (por ejemplo, por divulgar los datos en violación de la LPIP o por responder a una solicitud claramente desproporcionada) o de la autoridad encargada de garantizar el cumplimiento de la ley (por ejemplo, por actuar más allá de los límites de lo que resulta necesario y proporcionado o por no respetar los requisitos procedimentales de la LST).

(167)

El tratamiento de los datos personales recogidos por las autoridades coreanas encargadas de garantizar el cumplimiento del Derecho penal está sujeto a todos los requisitos de la LPIP, incluso con respecto a la limitación de la finalidad (artículo 3, apartados 1 y 2, de la LPIP), la licitud del uso y el suministro a terceros (artículos 15, 17 y 18 de la LPIP), las transferencias internacionales (artículos 17 y 18 de la LPIP, en relación con la sección 2 de la Notificación 2021-5) (251), la proporcionalidad/minimización de los datos (artículo 3, apartados 1 y 6 de la LPIP) y la limitación del plazo de conservación (artículo 21 de la LPIP) (252).

(168)

Con respecto al contenido de las comunicaciones adquiridas mediante la aplicación de medidas de restricción de la comunicación, la LPPC limita su posible uso específicamente a la investigación, el enjuiciamiento o la prevención de delitos graves (253); los procedimientos disciplinarios por los mismos delitos; las reclamaciones por daños y perjuicios presentadas por una parte de las comunicaciones o cuando así lo permitan específicamente otras leyes (254). Además, el contenido recogido de las telecomunicaciones transmitidas a través de internet solo puede conservarse con la aprobación del órgano jurisdiccional que autorizó las medidas de restricción de la comunicación (255), con vistas a utilizarlo para la investigación, el enjuiciamiento o la prevención de delitos graves (256). De manera más general, la LPPC prohíbe la divulgación de información confidencial obtenida a través de medidas de restricción de la comunicación y el uso de dicha información para perjudicar la reputación de las personas sujetas a las medidas (257).

(169)

En Corea, las actividades de las autoridades encargadas de garantizar el cumplimiento del Derecho penal son supervisadas por distintos organismos (258).

(170)

En primer lugar, la policía está sujeta a la supervisión interna de una Inspección General (259), que lleva a cabo un control de la legalidad, incluso con respecto a posibles vulneraciones de los derechos humanos. La Inspección General se creó para aplicar la Ley de auditorías del sector público, que fomenta la creación de organismos de autocontrol y establece requisitos específicos para su composición y sus funciones. En particular, la Ley exige que el jefe de un organismo de auditoría interna sea ajeno a la autoridad en cuestión (como antiguos jueces y profesores), sea designado por un período de dos a cinco años (260), solo pueda ser destituido por razones justificadas (por ejemplo, cuando no pueda ejercer sus funciones por motivos de salud o cuando esté sujeto a medidas disciplinarias) (261) y que se garantice su independencia en la mayor medida posible (262). La obstrucción de una auditoría interna está sujeta a multas administrativas (263). Los informes de auditoría (que pueden incluir recomendaciones, solicitudes de medidas disciplinarias y solicitudes de compensación o corrección) se comunican al jefe de la autoridad pública de que se trate, a la Comisión de Control y de Inspección (CCI) (264) y, en general, se hacen públicos (265). Los resultados de la aplicación del informe también deben notificarse a la CCI (266) (véase el considerando 173 sobre la función de supervisión y las competencias de la CCI).

(171)

En segundo lugar, la CPIP supervisa la conformidad del tratamiento de datos por parte de las autoridades encargadas de garantizar el cumplimiento del Derecho penal con la LPIP y otras leyes que protegen la privacidad de las personas, incluidas las leyes que regulan la recogida de pruebas (electrónicas) a efectos de control de la aplicación del Derecho penal, tal como se describe en la sección 3.2.1 (267). En particular, dado que la supervisión de la CPIP abarca la licitud y la lealtad de la recogida y el tratamiento de datos (artículo 3, apartado 1, de la LPIP), que se infringirán si se accede a los datos personales y estos se utilizan en violación de dichas leyes (268), la CPIP también puede investigar y hacer cumplir las limitaciones y salvaguardias descritas en la sección 3.2.1 (269). En el ejercicio de esta función de supervisión, la CPIP puede hacer uso de todas sus facultades de investigación y correctivas, según se describe detalladamente en el punto 2.4.2. Ya antes de la reciente reforma de la LPIP (es decir, en su anterior función supervisora del sector público), la CPIP llevó a cabo varias actividades de supervisión del tratamiento de datos personales por parte de las autoridades encargadas de garantizar el cumplimiento del Derecho penal, por ejemplo, en el contexto del interrogatorio de sospechosos (asunto n.o 2013-16, de 26 de agosto de 2013), con respecto a la notificación a los particulares sobre la imposición de multas administrativas (asunto n.o 2015-02-04, de 26 de enero de 2015), el intercambio de datos con otras autoridades (asunto n.o 2018-15-146, de 9 de julio de 2018; asunto n.o 2018-25-308, de 10 de diciembre de 2018; asunto n.o 2019-02-015, de 29 de enero de 2019), la recogida de huellas dactilares o fotografías (asunto n.o 2019-17-273, de 9 de septiembre de 2019) y el uso de drones (asunto n.o 2020-01-004, de 13 de enero de 2020). En esos asuntos, la CPIP investigó el cumplimiento de varias disposiciones de la LPIP (por ejemplo, la licitud del tratamiento, los principios de limitación de la finalidad y minimización de los datos), pero también las disposiciones pertinentes de otras leyes, como la Ley de enjuiciamiento criminal, y, en caso necesario, formuló recomendaciones para ajustar el tratamiento a los requisitos de protección de datos.

(172)

En tercer lugar, la supervisión independiente corre a cargo de la Comisión Nacional de Derechos Humanos (CNDH) (270), que puede investigar las vulneraciones de los derechos a la privacidad en general y a la privacidad de la correspondencia como parte de su mandato general de proteger los derechos fundamentales establecidos en los artículos 10 a 22 de la Constitución. La CNDH está formada por once comisarios que deben reunir cualificaciones específicas (271) y son nombrados por el presidente de conformidad con los procedimientos establecidos por la ley. En particular, cuatro comisarios son designados a propuesta de la Asamblea Nacional, cuatro a propuesta del presidente y tres a propuesta del jefe judicial del Tribunal Supremo (272). El presidente de la CNDH es nombrado por el presidente de la República entre los comisarios y debe ser confirmado por la Asamblea Nacional (273). Los comisarios (incluido el presidente de la CNDH) son nombrados por un mandato renovable de tres años y solo pueden ser destituidos cuando sean condenados a prisión o ya no sean capaces de ejercer sus funciones debido a una debilidad física o mental prolongada (en cuyo caso, dos terceras partes de los comisarios deben estar de acuerdo con la destitución) (274). Como parte de una investigación, la CNDH puede solicitar la presentación de los materiales pertinentes, llevar a cabo inspecciones y convocar personas para que testifiquen (275). En cuanto a las facultades correctivas, la CNDH puede formular recomendaciones (públicas) para mejorar o corregir políticas y prácticas específicas, a las cuales las autoridades públicas deben responder con una propuesta de un plan de ejecución (276). Si la autoridad en cuestión no aplica las recomendaciones, debe informar de ello a la Comisión (277), que, a su vez, puede comunicar dicho incumplimiento a la Asamblea Nacional o hacerlo público. Según la declaración oficial del Gobierno coreano (sección 2.3.5 del anexo II), las autoridades coreanas generalmente cumplen las recomendaciones de la CNDH y tienen un fuerte incentivo para hacerlo, ya que su aplicación se ha examinado como parte de una evaluación general y continua bajo la autoridad de la Oficina del Primer Ministro. Las cifras anuales sobre sus actividades muestran que la CNDH supervisa activamente las actividades de las autoridades encargadas de garantizar el cumplimiento del Derecho penal, ya sea sobre la base de peticiones individuales o mediante investigaciones de oficio (278).

(173)

En cuarto lugar, la supervisión general de la legalidad de las actividades de las autoridades públicas es realizada por la CCI, que examina los ingresos y gastos del Estado, pero también, de manera más general, supervisa el cumplimiento de las obligaciones de las autoridades públicas con vistas a mejorar el funcionamiento de la administración pública (279). La CCI está establecida formalmente bajo la responsabilidad del presidente de la República de Corea, pero mantiene un estatuto independiente con respecto a sus funciones (280). Además, se le concede plena independencia en lo que respecta al nombramiento, la destitución y la organización de su personal, así como a la elaboración de su presupuesto (281). La CCI está formada por un presidente (nombrado por el presidente de la República, con el consentimiento de la Asamblea Nacional) (282) y seis comisarios (nombrados por el presidente de la República por recomendación del presidente de la CCI) (283), que deben reunir las cualificaciones específicas establecidas por la ley (284) y solo pueden ser despedidos en caso de proceso de destitución, condena a prisión o incapacidad para ejercer sus funciones debido a una debilidad física o mental a largo plazo (285). La CCI lleva a cabo una auditoría general con una periodicidad anual, pero también puede realizar auditorías específicas sobre cuestiones de especial interés. Al llevar a cabo una auditoría o una inspección, la CCI puede solicitar la presentación de documentos y la asistencia de personas (286). La CCI puede formular recomendaciones, solicitar medidas disciplinarias o presentar una denuncia penal (287).

(174)

Por último, la Asamblea Nacional lleva a cabo la supervisión parlamentaria de las autoridades públicas a través de investigaciones e inspecciones (288) de sus actividades (289). Puede solicitar la divulgación de documentos, exigir la comparecencia de testigos (290), recomendar medidas correctoras (si llega a la conclusión de que se han llevado a cabo actividades ilícitas o inadecuadas) (291) y hacer públicos los resultados de sus conclusiones (292). Cuando la Asamblea Nacional solicite la adopción de medidas correctoras —que pueden incluir, por ejemplo, la concesión de indemnizaciones, la adopción de medidas disciplinarias o la mejora de los procedimientos internos—, la autoridad pública de que se trate deberá actuar sin demora e informar del resultado a la Asamblea Nacional (293).

(175)

El sistema coreano ofrece distintas vías (judiciales) para obtener reparación, entre ellas una indemnización por daños y perjuicios.

(176)

En primer lugar, la LPIP otorga a las personas un derecho de acceso, rectificación, supresión y suspensión con respecto a los datos personales tratados a efectos de control de la aplicación del Derecho penal (294).

(177)

En segundo lugar, los particulares pueden hacer uso de los diferentes mecanismos de recurso ofrecidos por la LPIP si sus datos han sido tratados por una autoridad encargada de garantizar el cumplimiento del Derecho penal en violación de la LPIP o en violación de las limitaciones y salvaguardias que rigen la recogida de datos personales en otras leyes (por ejemplo, la LEC o la LPPC, véase el considerando 171). En particular, las personas físicas pueden presentar una reclamación ante la CPIP (incluso a través del Centro de atención telefónica sobre privacidad gestionado por la Agencia de Internet y Seguridad de Corea (295)) o el Comité de mediación de conflictos relacionados con la información personal (296). Estas posibilidades de recurso no están sujetas a otros requisitos de admisibilidad. Sobre la base de la Ley de lo contencioso-administrativo, las personas también pueden recurrir o impugnar las decisiones o la inacción de la CPIP (véase el considerando 132).

(178)

En tercer lugar, cualquier persona (297) puede presentar una denuncia ante la CNDH en relación con una vulneración del derecho a la privacidad y a la protección de datos por parte de una autoridad coreana encargada de garantizar el cumplimiento del Derecho penal. La CNDH puede recomendar la rectificación o la mejora de cualquier ley, institución, política o práctica pertinente (298), o la aplicación de soluciones como la mediación (299), el cese de la vulneración de los derechos humanos, la indemnización por daños y perjuicios y medidas para evitar que vuelvan a producirse infracciones idénticas o similares (300). Según la declaración oficial del Gobierno coreano (punto 2.4.2 del anexo II), esto también puede comprender la supresión de datos personales recogidos de manera ilícita. Aunque la CNDH no está facultada para adoptar decisiones vinculantes, ofrece una vía de recurso más informal, de bajo coste y de fácil acceso, especialmente porque, como se explica en el anexo II, sección 2.4.2, no exige demostrar la existencia de un perjuicio para que se investigue una denuncia (301). Esto garantiza que las denuncias de particulares relacionadas con la recogida de sus datos puedan investigarse, incluso si una persona no está en condiciones de demostrar que sus datos realmente se han recogido (por ejemplo, porque aún no se ha notificado a la persona). Los informes de actividad anuales de la CNDH muestran que las personas también utilizan esta vía en la práctica para impugnar las actividades de las autoridades encargadas de garantizar el cumplimiento del Derecho penal, incluso en lo que respecta al manejo de datos personales (302). Si una persona no está satisfecha con el resultado de un procedimiento ante la CNDH, puede impugnar las decisiones de esta última (por ejemplo, una decisión de no continuar la investigación de una denuncia (303)) y las recomendaciones formuladas ante los órganos jurisdiccionales coreanos en virtud de la Ley de lo contencioso-administrativo (véase el considerando 181) (304). Además, un procedimiento ante la CNDH puede facilitar aún más el acceso a los órganos jurisdiccionales, ya que un particular puede recurrir contra la autoridad pública que haya tratado sus datos ilícitamente sobre la base de las constataciones de la CNDH, de conformidad con los procedimientos descritos en los considerandos 181 a 183.

(179)

Por último, hay diferentes recursos judiciales disponibles, que permiten a las personas invocar las limitaciones y salvaguardias descritas en la sección 3.2.1 para obtener reparación (305).

(180)

Con respecto a las incautaciones (incluidos los datos), la LEC prevé la posibilidad de objetar o impugnar la ejecución de una orden a través de una «cuasi reclamación», solicitando al órgano jurisdiccional competente que cancele o modifique una disposición adoptada por un fiscal o un agente de policía (306).

(181)

De manera más general, las personas pueden impugnar las acciones (307) u omisiones (308) de las autoridades públicas (incluidas las autoridades encargadas de garantizar el cumplimiento del Derecho penal) en virtud de la Ley de lo contencioso-administrativo (309). Una medida administrativa se considera como «disposición impugnable» si afecta directamente los derechos y obligaciones civiles (310), que, como ha confirmado el Gobierno coreano (sección 2.4.3 del anexo II), es el caso de las medidas para recoger datos personales, ya sea de forma directa (por ejemplo, interceptando comunicaciones) o mediante solicitudes de divulgación vinculantes (por ejemplo, a un proveedor de servicios) o solicitudes de cooperación voluntaria. Para que una denuncia con arreglo a la Ley de lo contencioso-administrativo sea admisible, una persona debe tener un interés jurídico en presentar la denuncia (311). Según la jurisprudencia del Tribunal Supremo, «interés jurídico» se interpreta como un «interés jurídicamente protegido», es decir, un interés directo y específico protegido por las leyes y los reglamentos en los que se basan las disposiciones administrativas (es decir, no intereses generales, indirectos y abstractos del público) (312). Los particulares tienen tal interés jurídico en caso de cualquier vulneración de las limitaciones y salvaguardias aplicables a la recogida de sus datos personales a efectos de control de la aplicación del Derecho penal (en virtud de leyes específicas o de la LPIP). Sobre la base de la Ley de lo contencioso-administrativo, un órgano jurisdiccional puede decidir revocar o modificar una disposición ilícita, emitir un dictamen de nulidad (es decir, un dictamen de que la disposición no tiene efectos jurídicos o de su inexistencia en el ordenamiento jurídico) o emitir un dictamen de que una omisión es ilícita (313). Una sentencia firme con arreglo a la Ley de lo contencioso-administrativo es vinculante para las partes (314).

(182)

Además de impugnar la acción del Gobierno a través de litigios administrativos, las personas también pueden presentar un recurso de inconstitucionalidad ante el Tribunal Constitucional en relación con cualquier vulneración de sus derechos fundamentales debida al ejercicio o al no ejercicio del poder gubernamental (excluidas las sentencias de los órganos jurisdiccionales) (315). Si hay otras vías de recurso disponibles, estas deben agotarse primero. Según la jurisprudencia del Tribunal Constitucional, los extranjeros pueden interponer un recurso de inconstitucionalidad en la medida en que sus derechos fundamentales estén reconocidos por la Constitución coreana (véanse las explicaciones en la sección 1.1) (316). El Tribunal Constitucional puede invalidar el ejercicio del poder gubernamental que provocó la infracción o confirmar que una determinada omisión es inconstitucional (317). En tal caso, la autoridad competente está obligada a adoptar medidas para dar cumplimiento a la resolución del Tribunal.

(183)

Además, los particulares pueden obtener una indemnización por daños y perjuicios ante los órganos jurisdiccionales coreanos. Esto incluye, en primer lugar, la posibilidad de reclamar una indemnización por las infracciones de la LPIP cometidas por las autoridades encargadas de garantizar el cumplimiento del Derecho penal, de conformidad con el artículo 39 (véase también el considerando 135). De manera más general, las personas pueden solicitar una indemnización por daños y perjuicios causados por funcionarios públicos debido al ejercicio de sus funciones oficiales en violación de la ley, sobre la base de la Ley de indemnización estatal (véase también el considerando 135) (318).

(184)

Los mecanismos descritos en los considerandos 176 a 183 ofrecen a los interesados soluciones administrativas y judiciales efectivas que les permiten, en particular, hacer valer sus derechos, en especial el derecho a acceder a sus datos personales o a obtener la rectificación o supresión de dichos datos.

(185)

El Derecho de la República de Corea contiene una serie de limitaciones y salvaguardias con respecto al acceso y la utilización de datos personales con fines de seguridad nacional, y proporciona mecanismos de supervisión y reparación que se ajustan a los requisitos mencionados en los considerandos 141 a 143 de la presente Decisión. Las condiciones en las que puede tener lugar dicho acceso y las salvaguardias aplicables al uso de estos poderes se precisan en detalle en las siguientes secciones.

(186)

En la República de Corea, se puede acceder a los datos personales con fines de seguridad nacional sobre la base de la LPPC, la LST y la Ley antiterrorista para la protección de los ciudadanos y la seguridad pública (Ley antiterrorista) (319). La principal autoridad (320) con competencias en el ámbito de la seguridad nacional es el Servicio Nacional de Inteligencia (SNI) (321). La recogida y el uso de datos personales por parte del SNI deben cumplir los requisitos jurídicos pertinentes (incluidas la LPIP y la LPPC) (322) y las directrices generales elaboradas por el presidente de la República y revisadas por la Asamblea Nacional (323). Como principio general, el SNI debe mantener la neutralidad política y proteger la libertad y los derechos de las personas (324). Además, el personal del SNI no debe abusar de sus potestades públicas para obligar a una institución, organización o persona a hacer algo que no estén obligadas a hacer (con arreglo a la ley) ni obstruir el ejercicio de los derechos de ninguna persona (325).

(187)

Sobre la base de la LPPC, las autoridades públicas coreanas (326) pueden recoger datos de confirmación de la comunicación (es decir, la fecha de las telecomunicaciones, su hora de inicio y fin, el número de llamadas salientes y entrantes, así como el número de abonados de la otra parte, la frecuencia de uso, los archivos de registro sobre el uso de los servicios de telecomunicaciones y la información sobre la ubicación, véase el considerando 155) y el contenido de las comunicaciones (a través de medidas de restricción de la comunicación, véase el considerando 155) con fines de seguridad nacional (según lo determinado por el mandato del SNI, véase la nota al pie de página n.o 322). Estas competencias abarcan dos tipos de información: 1) comunicaciones en las que una o ambas partes son nacionales coreanos (327) y 2) comunicaciones de a) países hostiles a la República de Corea, b) agencias, grupos o nacionales extranjeros sospechosos de participar en actividades anticoreanas (328) o c) miembros de grupos que operan en la península de Corea, pero, en la práctica, más allá de la soberanía de la República de Corea y de sus grupos centrales con sede en países extranjeros (329). Por consiguiente, las comunicaciones de los ciudadanos de la UE transferidas desde la Unión a la República de Corea sobre la base de la presente Decisión solo pueden recogerse con arreglo a la LPPC con fines de seguridad nacional (con sujeción a las condiciones establecidas en los considerandos 188 a 192) si se trata de comunicaciones entre un ciudadano de la UE y de un nacional coreano o si atañen exclusivamente a comunicaciones entre nacionales no coreanos y entran en una de las tres categorías mencionadas 2a), b) y c).

(188)

En ambos escenarios, la recogida de datos de confirmación de la comunicación solo puede realizarse con el fin de prevenir amenazas para la seguridad nacional (330), mientras que las medidas de restricción de la comunicación solo pueden adoptarse cuando exista un riesgo grave para la seguridad nacional y la recogida sea necesaria para prevenirlo (331). Además, solo puede accederse al contenido de las comunicaciones como medida de último recurso y debe hacerse un esfuerzo para minimizar la violación de la privacidad de las comunicaciones (332), garantizando así que siga siendo proporcional al objetivo de seguridad nacional perseguido. La recogida tanto del contenido de las comunicaciones como de los datos de confirmación de la comunicación solo puede durar un período máximo de cuatro meses y debe interrumpirse de inmediato si se alcanza antes el objetivo perseguido (333). Si se siguen cumpliendo las condiciones pertinentes, el plazo puede prorrogarse hasta cuatro meses, previa autorización de un órgano jurisdiccional (para las medidas descritas en el considerando 189) o del presidente (para las medidas descritas en el considerando 190) (334).

(189)

Las mismas salvaguardias procedimentales se aplican a la recogida de datos de confirmación de la comunicación y al contenido de las comunicaciones (335). En particular, cuando al menos una de las personas que participan en la comunicación sea un nacional coreano, la agencia de inteligencia debe presentar una solicitud por escrito a la Fiscalía Superior, que, a su vez, debe solicitar una orden de un jefe judicial del Tribunal Superior (336). La LPPC indica la información que debe proporcionarse en la solicitud al fiscal, la solicitud de la orden y la propia orden, que incluye, en particular, la justificación de la solicitud y los principales motivos de sospecha, los materiales de apoyo, así como información sobre el objetivo, el objeto (es decir, la persona o personas específicas), el alcance y la duración de la medida propuesta (337). La recogida sin una orden solo puede tener lugar si hay un acto de conspiración que amenace la seguridad nacional y existe una emergencia que impida seguir los procedimientos antes mencionados (338). No obstante, también en tal caso, la solicitud de una orden debe presentarse inmediatamente después de la adopción de la medida (339). Por consiguiente, la LPPC define claramente el alcance y las condiciones de estos tipos de recogida y los somete a salvaguardias (procedimentales) específicas (incluida la previa aprobación judicial), lo cual garantiza que el uso de tales medidas se limite a lo necesario y proporcionado. Además, el requisito de facilitar información detallada tanto en la solicitud de una orden como en la propia orden excluye la posibilidad de acceso indiscriminado.

(190)

Para las comunicaciones entre nacionales no coreanos incluidos en una de las tres categorías específicas mencionadas en el considerando 187, debe presentarse una solicitud al director del SNI, quien, tras examinar la adecuación de las medidas propuestas, debe solicitar la aprobación previa por escrito del presidente de la República de Corea (340). La solicitud elaborada por la agencia de inteligencia debe incluir la misma información detallada que una solicitud de orden judicial (véase el considerando 189), en particular sobre la justificación de la solicitud y los principales motivos de sospecha, los materiales de apoyo y la información sobre los objetivos, la persona o personas específicas, el alcance y la duración de las medidas propuestas (341). En situaciones de emergencia (342), debe obtenerse la aprobación previa del ministro al que pertenezca la agencia de inteligencia competente, aunque la agencia de inteligencia debe solicitar la aprobación del presidente inmediatamente después de la adopción de las medidas de emergencia (343). Por consiguiente, también con respecto a la recogida de comunicaciones entre nacionales exclusivamente no coreanos, la LPPC limita el uso de tales medidas a lo necesario y proporcionado, al delimitar claramente las categorías limitadas de particulares que pueden ser objeto de tales medidas y al establecer criterios detallados que las agencias de inteligencia deben demostrar para justificar una solicitud de recogida de información. Además, esto descarta una vez más la posibilidad de un acceso indiscriminado. Si bien no existe una aprobación independiente previa de tales medidas, la supervisión independiente está garantizada ex post, especialmente por la CPIP y la CNDH (véanse, por ejemplo, los considerandos 199 y 200).

(191)

Además, la LPPC impone varias salvaguardias adicionales que contribuyen a la supervisión ex post y facilitan el acceso de los particulares a vías de recurso eficaces. En primer lugar, con respecto a cualquier tipo de recogida con fines de seguridad nacional, la LPPC establece diferentes requisitos de mantenimiento de registros y requisitos de información. En particular, a la hora de solicitar la cooperación de operadores privados, las agencias de inteligencia deben facilitar la orden judicial, la autorización presidencial o una copia de la portada de una declaración de censura de emergencia, que la entidad obligada debe conservar en sus archivos (344). Cuando los operadores privados se vean obligados a cooperar, tanto la autoridad pública requirente como el operador pertinente deben mantener registros sobre la finalidad y el objeto de las medidas, así como sobre la fecha de ejecución (345). Además, las agencias de inteligencia deben informar al director del SNI sobre la información que han recopilado y el resultado de la actividad de vigilancia (346).

(192)

En segundo lugar, las personas deben ser informadas de la recogida de sus datos (datos de confirmación de la comunicación o contenido de las comunicaciones) con fines de seguridad nacional si se trata de comunicaciones en las que al menos una de las partes es un nacional coreano (347). Esta notificación debe presentarse por escrito en un plazo de treinta días a partir de la fecha de finalización de la recogida (incluso cuando los datos se hayan obtenido con arreglo al procedimiento de emergencia) y solo puede aplazarse si pondría en peligro la seguridad nacional o perjudicaría la vida y la seguridad física de las personas (348). Con independencia de dicha notificación, los particulares pueden obtener reparación a través de distintas vías, como se explica con más detalle en el punto 3.3.4.

(193)

La Ley antiterrorista establece que el SNI puede recoger datos sobre los sospechosos de terrorismo (349) de conformidad con las limitaciones y salvaguardias establecidas en otras leyes (350). En particular, el SNI puede obtener datos de comunicaciones (sobre la base de la LPPC) y otra información personal (a través de una solicitud de divulgación voluntaria) (351). Con respecto a la recogida de información de comunicaciones (es decir, el contenido de las comunicaciones o los datos de confirmación de la comunicación), se aplican las limitaciones y salvaguardias descritas en el punto 3.3.1.1, incluido el requisito de obtener una orden judicial. Por lo que se refiere a las solicitudes de divulgación voluntaria de otros tipos de datos personales de los sospechosos de terrorismo, el SNI debe cumplir los requisitos establecidos en la Constitución y la LPIP relativos a la necesidad y la proporcionalidad (véase el considerando 164) (352). Los responsables del tratamiento que reciban tales solicitudes pueden acceder voluntariamente en las condiciones establecidas en la LPIP (por ejemplo, de conformidad con el principio de minimización de los datos y limitando el impacto sobre la privacidad de la persona) (353). En este caso, también deben cumplir el requisito de notificar al particular de que se trate según la Nota n.o 2021-5 (véase el considerando 166).

(194)

Sobre la base de la LST, los proveedores de telecomunicaciones pueden divulgar voluntariamente los datos de los abonados (véase el considerando 163) a petición de una agencia de inteligencia que tenga la intención de recoger dicha información para evitar una amenaza para la seguridad nacional (354). Por lo que se refiere a estas solicitudes del SNI, se aplican las mismas limitaciones (establecidas en la Constitución, la LPIP y la LST) que en el ámbito de la aplicación del Derecho penal, como se expone en el considerando 164) (355). Los proveedores de telecomunicaciones no están obligados a cumplir y solo pueden hacerlo en las condiciones establecidas en la LPIP (en particular, de conformidad con el principio de minimización de los datos y limitando el impacto sobre la privacidad del particular, véase también el considerando 193). Se aplican los mismos requisitos con respecto al mantenimiento de registros y la notificación de la persona afectada que en el ámbito de la aplicación del Derecho penal (véanse los considerandos 165 y 166).

(195)

El tratamiento de los datos personales recogidos por las autoridades coreanas con fines de seguridad nacional está sujeto a los principios de limitación de la finalidad (artículo 3, apartados 1 y 2, de la LPIP), licitud y lealtad del tratamiento (artículo 3, apartado 1, de la LPIP), proporcionalidad/minimización de los datos (artículo 3, apartados 1 y 6, y artículo 58 de la LPIP), exactitud (artículo 3, apartado 3, de la LPIP), transparencia (artículo 3, apartado 5, de la LPIP), seguridad (artículo 58, apartado 4, de la LPIP)y limitación del plazo de conservación (artículo 58, apartado 4, de la LPIP) (356). La posible divulgación de datos personales a terceros (incluidos terceros países) solo puede llevarse a cabo de conformidad con estos principios (en particular, la limitación de la finalidad y la minimización de los datos), tras haber evaluado el cumplimiento de los principios de necesidad y proporcionalidad (artículo 37, apartado 2, de la Constitución) y teniendo en cuenta el impacto sobre los derechos de las personas afectadas (artículo 3, apartado 6, de la LPIP).

(196)

Por lo que se refiere al contenido de las comunicaciones y los datos de confirmación de la comunicación, la LPPC limita aún más la utilización de dichos datos a los procedimientos judiciales en los que una parte relacionada con la comunicación se base en ellos para una reclamación por daños y perjuicios; o los usos permitidos en virtud de otras leyes (357).

(197)

Las actividades de las autoridades coreanas de seguridad son supervisadas por distintos organismos (358).

(198)

En primer lugar, la Ley antiterrorista prevé mecanismos específicos de supervisión de las actividades de lucha contra el terrorismo, incluida la recogida de datos sobre los sospechosos de terrorismo. En particular, en el nivel del poder ejecutivo, las actividades de lucha contra el terrorismo son supervisadas por la Comisión de Lucha contra el Terrorismo (359), a la que el director del SNI debe informar sobre las investigaciones y el rastreo de sospechosos de terrorismo para recabar la información o los materiales necesarios para las actividades de lucha contra el terrorismo (360). Además, el oficial de protección de los derechos humanos (OPDH) supervisa específicamente la conformidad de las actividades de lucha contra el terrorismo con los derechos fundamentales (361). El OPDH es nombrado por el presidente de la Comisión de Lucha contra el Terrorismo entre las personas que reúnen las cualificaciones específicas mencionadas en el Decreto de Ejecución de la Ley antiterrorista (362) por un período (renovable) de dos años y solo puede ser destituido de su cargo por motivos específicos y limitados y por causa justificada (363). En el ejercicio de su función de supervisión, el OPDH puede formular recomendaciones generales para mejorar la protección de los derechos humanos (364) y recomendaciones específicas de medidas correctoras en caso de que se haya constatado una vulneración de los derechos humanos (365). Las autoridades públicas están obligadas a informar al OPDH sobre el seguimiento dado a sus recomendaciones (366).

(199)

En segundo lugar, la CPIP supervisa el cumplimiento por parte de las autoridades nacionales de seguridad de las normas de protección de datos, que incluyen tanto las disposiciones aplicables de la LPIP (véase el considerando 149) como las limitaciones y salvaguardias que se aplican a la recogida de datos personales en virtud de otras leyes (la LPPC, la Ley antiterrorista y la LST, véase también el considerando 171) (367). En el ejercicio de esta función de supervisión, la CPIP puede hacer uso de todas sus facultades de investigación y correctivas, según se describe detalladamente en el punto 2.4.2.

(200)

En tercer lugar, las actividades de las autoridades nacionales de seguridad están sujetas a la supervisión independiente de la CNDH, de conformidad con los procedimientos descritos en el considerando 172 (368).

(201)

En cuarto lugar, la función de supervisión de la CCI también abarca a las autoridades nacionales de seguridad, aunque, en circunstancias excepcionales, el SNI puede negarse a facilitar determinada información o ciertos materiales, por ejemplo, cuando constituyen secretos de Estado y el conocimiento público tendría graves consecuencias para la seguridad nacional (369).

(202)

Por último, la supervisión parlamentaria de las actividades del SNI corre a cargo de la Asamblea Nacional (a través de un Comité de Inteligencia especializado) (370). La LPPC establece una función de supervisión específica de la Asamblea Nacional con respecto al uso de medidas de restricción de la comunicación con fines de seguridad nacional (371). En particular, la Asamblea Nacional puede llevar a cabo inspecciones in situ de los equipos de escuchas telefónicas y puede exigir tanto al SNI como a los operadores de telecomunicaciones que hayan divulgado el contenido de las comunicaciones que informen al respecto. La Asamblea Nacional también puede desempeñar sus funciones generales de supervisión (de conformidad con los procedimientos descritos en el considerando 174). La Ley SNI exige al director del SNI que responda sin demora cuando el Comité de Inteligencia solicite un informe sobre un asunto concreto (372), con normas específicas para determinada información especialmente sensible. En concreto, el director del SNI solo puede negarse a responder o testificar ante el Comité en circunstancias excepcionales, por ejemplo, si la solicitud se refiere a secretos de Estado relativos a cuestiones militares, diplomáticas o relacionadas con Corea del Norte, cuando el conocimiento público podría tener graves consecuencias para el «destino nacional» del país (373). En este caso, el Comité de Inteligencia puede solicitar una explicación al primer ministro y, si no se facilita ninguna explicación en el plazo de siete días, no podrá denegarse la respuesta o el testimonio.

(203)

También en el ámbito de la seguridad nacional, el sistema coreano ofrece distintas vías (judiciales) para obtener reparación, incluida una indemnización por daños y perjuicios. Estos mecanismos ofrecen a los interesados soluciones administrativas y judiciales efectivas que les permiten, en particular, hacer valer sus derechos, en especial el derecho a acceder a sus datos personales o a obtener la rectificación o supresión de dichos datos.

(204)

En primer lugar, de conformidad con el artículo 3, apartado 5, y el artículo 4, apartados 1, 3 y 4, de la LPIP, los particulares pueden ejercer sus derechos de acceso, rectificación, supresión y suspensión ante las autoridades nacionales de seguridad. La sección 6 de la Nota n.o 2021-5 (anexo I de la presente Decisión) aclara aún más cómo se aplican estos derechos en el contexto del tratamiento de datos con fines de seguridad nacional. En particular, una autoridad nacional de seguridad solo puede limitar o denegar el ejercicio del derecho en la medida y durante el tiempo necesarios y proporcionados para proteger un objetivo importante de interés público (por ejemplo, en la medida y durante el tiempo que la concesión del derecho ponga en peligro una investigación en curso o amenace la seguridad nacional) o cuando la concesión del derecho pueda atentar contra la vida o la integridad física de un tercero. Por consiguiente, la invocación de tal restricción requiere encontrar un equilibrio entre los derechos e intereses del particular y el interés público pertinente y, en cualquier caso, no puede afectar al contenido esencial del derecho (artículo 37, apartado 2, de la Constitución). En caso de denegación o restricción de la solicitud, el particular debe ser informada sin demora de los motivos.

(205)

En segundo lugar, las personas tienen derecho a obtener reparación en virtud de la LPIP si sus datos han sido tratados por una autoridad nacional de seguridad en violación de la LPIP o de las limitaciones y salvaguardias establecidas en otras leyes que regulan la recogida de datos personales (en particular, la LPPC, véase el considerando 171) (374). Este derecho puede ejercerse a través de una denuncia ante la CPIP (incluso a través del Centro de atención telefónica sobre privacidad gestionado por la Agencia de Internet y Seguridad de Corea) (375). Además, para facilitar el acceso a las vías de recurso contra las autoridades coreanas de seguridad, los ciudadanos de la UE pueden presentar una denuncia ante la CPIP a través de su autoridad nacional de protección de datos (376). En este caso, la CPIP lo notificará a la persona a través de la autoridad nacional de protección de datos una vez finalizada la investigación (incluida, en su caso, la información sobre las medidas correctoras impuestas). Sobre la base de la Ley de lo contencioso-administrativo, las personas también pueden recurrir o impugnar las decisiones o la inacción de la CPIP (véase el considerando 132).

(206)

En tercer lugar, las personas pueden presentar una denuncia ante el OPDH por la vulneración de su derecho a la privacidad y a la protección de datos en el contexto de las actividades de lucha contra el terrorismo (es decir, de conformidad con la Ley antiterrorista) (377), que puede recomendar medidas correctoras. Dado que no existen requisitos de admisibilidad ante el OPDH, una denuncia se tramitará incluso si la persona afectada no puede demostrar que efectivamente ha sufrido daños (por ejemplo, debido a la supuesta recogida ilícita de sus datos por parte de una autoridad nacional de seguridad) (378). La autoridad pertinente debe informar al OPDH de cualquier medida adoptada para aplicar sus recomendaciones.

(207)

En cuarto lugar, las personas pueden presentar una denuncia ante la CNDH en relación con la recogida de sus datos por parte de las autoridades nacionales de seguridad y obtener reparación de conformidad con el procedimiento descrito en el considerando (178) (379).

(208)

Por último, hay diferentes recursos judiciales disponibles (380), que permiten a las personas invocar las limitaciones y salvaguardias descritas en la sección 3.3.1 para obtener reparación. En particular, los particulares pueden impugnar la legalidad de las acciones de las autoridades nacionales de seguridad sobre la base de la Ley de lo contencioso-administrativo (de conformidad con el procedimiento descrito en el considerando 181 o la Ley del Tribunal Constitucional, véase el considerando 182). Además, pueden obtener una indemnización por daños y perjuicios sobre la base de la Ley de indemnización estatal (como se describe con más detalle en el considerando 183).

(209)

La Comisión considera que la República de Corea —a través de la LPIP, las normas especiales aplicables a determinados sectores (como se analiza en el punto 2) y las salvaguardias adicionales previstas en la Nota n.o 2021-5 (anexo I)— garantiza un nivel de protección de los datos personales transferidos desde la Unión Europea sustancialmente equivalente al que garantiza el Reglamento (UE) 2016/679.

(210)

Por otra parte, la Comisión estima que, en su conjunto, los mecanismos de supervisión y las vías de recurso previstos en el Derecho coreano permiten detectar y abordar en la práctica las infracciones de las normas de protección de datos cometidas por los responsables del tratamiento en Corea y ofrecen al interesado soluciones legales para obtener acceso a sus datos personales y, en su caso, su rectificación o supresión.

(211)

Por último, sobre la base de la información disponible acerca del ordenamiento jurídico de Corea, en particular las declaraciones, garantías y compromisos del Gobierno coreano que figuran en el anexo II, la Comisión considera que toda vulneración de interés público, en particular a efectos de control de la aplicación del Derecho penal y de seguridad nacional, por las autoridades públicas coreanas de los derechos fundamentales de los particulares cuyos datos personales sean transferidos desde la Unión Europea a la República de Corea se limitará a lo estrictamente necesario para alcanzar el objetivo legítimo perseguido, y que existe una tutela judicial efectiva contra tales vulneraciones.

(212)

Por consiguiente, a la luz de las conclusiones de la presente Decisión, debe decidirse que la República de Corea garantiza un nivel de protección adecuado en el sentido del artículo 45 del Reglamento (UE) 2016/679, interpretado a la luz de la Carta de los Derechos Fundamentales de la Unión Europea, para los datos personales transferidos desde la Unión Europea a la República de Corea a responsables del tratamiento de información personal en la República de Corea sujetos a la LPIP, con excepción de las organizaciones religiosas en la medida en que traten datos personales para sus actividades misioneras, los partidos políticos en la medida en que traten datos personales en el contexto de la designación de candidatos y los responsables del tratamiento que estén sujetos a la supervisión de la Comisión de Servicios Financieros para el tratamiento de información crediticia personal de conformidad con la Ley de información crediticia, en la medida en que traten dicha información.

(213)

Los Estados miembros y sus organismos están obligados a adoptar las medidas necesarias para dar cumplimiento a los actos de las instituciones de la Unión, ya que estos disfrutan de una presunción de legalidad y producen, por consiguiente, efectos jurídicos en tanto no hayan sido revocados, anulados en el marco de un recurso de anulación o declarados inválidos a raíz de una cuestión prejudicial o de una excepción de ilegalidad.

(214)

Por lo tanto, toda decisión de adecuación de la Comisión adoptada en virtud del artículo 45, apartado 3, del Reglamento (UE) 2016/679 vincula a todos los organismos de los Estados miembros destinatarios, incluidas sus autoridades de control independientes. En particular, pueden producirse transferencias de un responsable o encargado del tratamiento en la Unión Europea a responsables del tratamiento en la República de Corea sin necesidad de obtener ninguna autorización adicional.

(215)

Cabe recordar que, de conformidad con el artículo 58, apartado 5, del Reglamento (UE) 2016/679 y como explicó el Tribunal de Justicia en la sentencia Maximillian Schrems (381), cuando una autoridad nacional de protección de datos cuestiona, en especial a raíz de una reclamación, la compatibilidad de una decisión de adecuación de la Comisión con los derechos fundamentales de la persona a la privacidad y la protección de los datos, el Derecho nacional debe proporcionarle un recurso legal para presentar esas objeciones ante un tribunal nacional, al que podrá exigirse la presentación de una petición de decisión prejudicial al Tribunal de Justicia (382).

(216)

De conformidad con la jurisprudencia del Tribunal de Justicia (383), y tal como se reconoce en el artículo 45, apartado 4, del Reglamento (UE) 2016/679, la Comisión debe supervisar de manera continuada los acontecimientos en el tercer país después de la adopción de una decisión de adecuación, para evaluar si el tercer país todavía garantiza un nivel de protección esencialmente equivalente. Debe procederse obligatoriamente a tal control, en cualquier caso, cuando la Comisión sea informada de algún indicio que genere una duda razonable al respecto.

(217)

Por consiguiente, la Comisión debe supervisar de manera continuada la situación en la República de Corea en lo que respecta al marco jurídico y la práctica real del tratamiento de los datos personales tal y como se evalúan en la presente Decisión, en particular el cumplimiento por las autoridades coreanas de las declaraciones, las garantías y los compromisos recogidos en el anexo II. Para facilitar este proceso, se invita a las autoridades coreanas a que informen sin demora a la Comisión de toda novedad pertinente para la presente Decisión, en lo que respecta al tratamiento de datos personales por parte de los operadores económicos y las autoridades públicas, así como a las limitaciones y salvaguardias aplicables al acceso de las autoridades públicas a los datos personales.

(218)

Además, a fin de que la Comisión pueda desempeñar eficazmente su función de supervisión, los Estados miembros deben informarle de cualquier medida pertinente adoptada por las autoridades nacionales de protección de datos, en particular en lo que respecta a las consultas o las reclamaciones de los interesados de la UE en relación con la transferencia de datos personales desde la Unión Europea a los responsables del tratamiento de la República de Corea. La Comisión también debe ser informada de todo indicio de que las acciones de las autoridades públicas coreanas responsables de la prevención, la investigación, la detección o la persecución de infracciones penales, o de la seguridad nacional, incluidos los órganos de supervisión, no garantizan el nivel de protección necesario.

(219)

En aplicación del artículo 45, apartado 3, del Reglamento (UE) 2016/679 (384), y teniendo en cuenta el hecho de que el nivel de protección que ofrece el ordenamiento jurídico coreano puede ser objeto de modificación, la Comisión, tras la adopción de la presente Decisión, debe comprobar periódicamente si las constataciones relativas a la adecuación del nivel de protección garantizado por la República de Corea siguen estando justificadas desde el punto de vista factual y legal.

(220)

A tal fin, la presente Decisión debe someterse a una primera revisión en un plazo de tres años después de su entrada en vigor. Tras la primera revisión y en función de sus resultados, la Comisión decidirá, en estrecha consulta con el comité establecido en virtud del artículo 93, apartado 1, del Reglamento (UE) 2016/679, si debe mantenerse el ciclo de tres años. En cualquier caso, las revisiones posteriores deben realizarse al menos cada cuatro años (385). La revisión debe comprender todos los aspectos relativos al funcionamiento de la presente Decisión, y en particular la aplicación de las salvaguardias adicionales que figuran en el anexo I de la presente Decisión prestando especial atención a las protecciones ofrecidas en caso de transferencias ulteriores; los avances pertinentes en la jurisprudencia; las normas sobre el tratamiento de información seudonimizada con fines estadísticos, de investigación científica y de archivo en interés público, así como la aplicación de las excepciones previstas en el artículo 28, apartado 7, de la LPIP; la eficacia del ejercicio de los derechos individuales, también ante la recién reformada CPIP, y la aplicación de excepciones a tales derechos; la aplicación de las exenciones parciales en virtud de la LPIP; así como las limitaciones y salvaguardias con respecto al acceso de las autoridades públicas (según lo establecido en el anexo II de la presente Decisión), incluida la cooperación de la CPIP con las autoridades de protección de datos de la UE en relación con las reclamaciones de particulares. También debe abarcar la eficacia de la supervisión y la ejecución, en lo que respecta a la LPIP y en el ámbito de la aplicación del Derecho penal y la seguridad nacional (en particular, por la CPIP y la CNDH).

(221)

Al proceder a la revisión, la Comisión debe reunirse con la CPIP, acompañada, en su caso, de otras autoridades coreanas responsables del acceso de las autoridades públicas, incluidos los correspondientes órganos de supervisión. La participación en esta reunión debe estar abierta a los representantes de los miembros del Comité Europeo de Protección de Datos. En el marco de la revisión, la Comisión debe solicitar a la CPIP que facilite información completa sobre todos los aspectos pertinentes a efectos de la constatación de adecuación, en particular sobre las limitaciones y salvaguardias relativas al acceso de las autoridades públicas (386). La Comisión también debe pedir explicaciones sobre cualquier información pertinente para la presente Decisión que haya recibido, en particular los informes públicos elaborados por las autoridades coreanas u otras partes interesadas en Corea, el Comité Europeo de Protección de Datos, las distintas autoridades de protección de datos, los grupos de la sociedad civil, los informes de los medios de comunicación o cualquier otra fuente de información disponible.

(222)

Sobre la base de la revisión, la Comisión debe elaborar un informe público que presentará al Parlamento Europeo y al Consejo.

(223)

Cuando la información disponible, en particular la información resultante de la supervisión de la presente Decisión o proporcionada por las autoridades coreanas o de los Estados miembros, revele que el nivel de protección ofrecido por la República de Corea puede no ser el adecuado, la Comisión debe informar sin demora de ello a las autoridades coreanas competentes y solicitar que se tomen medidas adecuadas dentro de un plazo determinado y razonable.

(224)

Si, al expirar dicho plazo determinado, las autoridades coreanas competentes no han adoptado dichas medidas o no han demostrado satisfactoriamente de otro modo que la presente Decisión sigue basándose en un nivel de protección adecuado, la Comisión iniciará el procedimiento a que se refiere el artículo 93, apartado 2, del Reglamento (UE) 2016/679 con el fin de suspender o derogar, total o parcialmente, esta Decisión.

(225)

De manera alternativa, la Comisión iniciará ese procedimiento con miras a modificar la Decisión, en particular mediante la imposición de condiciones adicionales para las transferencias de datos o limitando el alcance de la conclusión de adecuación solo a las transferencias de datos para las que se sigue garantizando un nivel adecuado de protección.

(226)

En particular, la Comisión debe iniciar el procedimiento de suspensión o derogación en caso de que existan indicios de que las salvaguardias adicionales que figuran en el anexo I no son cumplidas por los operadores económicos que reciban datos personales en el marco de la presente Decisión y/o no son ejecutadas efectivamente, o de que las autoridades coreanas no cumplan las declaraciones, garantías y compromisos recogidos en el anexo II de la presente Decisión.

(227)

La Comisión ha de considerar asimismo la posibilidad de iniciar el procedimiento conducente a la modificación, suspensión o derogación de la presente Decisión si, en el contexto de la revisión o de otra forma, las autoridades coreanas competentes no facilitan la información o las aclaraciones necesarias para la evaluación del nivel de protección de los datos personales transferidos desde la Unión Europea a la República de Corea o en relación con el cumplimiento de la presente Decisión. A este respecto, la Comisión debe tener en cuenta en qué medida puede obtenerse la información pertinente de otras fuentes.

(228)

Por razones imperiosas de urgencia debidamente justificadas, la Comisión hará uso de la posibilidad de adoptar, de conformidad con el procedimiento a que se refiere el artículo 93, apartado 3, del Reglamento (UE) 2016/679, actos de ejecución inmediatamente aplicables que suspendan, deroguen o modifiquen la Decisión.

(229)

El Comité Europeo de Protección de Datos publicó su dictamen (387), que se ha tomado en consideración en la elaboración de la presente Decisión.

(230)

Las medidas previstas en la presente Decisión se ajustan al dictamen del comité creado en virtud del artículo 93, apartado 1, del Reglamento (UE) 2016/679.