3.5.2016   

ES

Diario Oficial de la Unión Europea

C 158/1

(1)

La protección de las personas físicas en relación con el tratamiento de los datos de carácter personal es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta») y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE) disponen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.

(2)

Los principios y normas relativos a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales deben, cualquiera que sea su nacionalidad o residencia, respetar sus libertades y derechos fundamentales, en particular el derecho a la protección de los datos personales. La presente Directiva pretende contribuir a la consecución de un espacio de libertad, seguridad y justicia.

(3)

La rápida evolución tecnológica y la globalización han planteado nuevos retos en el ámbito de la protección de los datos personales. Se ha incrementado de manera significativa la magnitud de la recogida y del intercambio de datos personales. La tecnología permite el tratamiento de los datos personales en una escala sin precedentes para la realización de actividades como la prevención, la investigación, la detección o el enjuiciamiento de infracciones penales o la ejecución de sanciones penales.

(4)

Debe ser facilitada la libre circulación de datos personales entre las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública en el seno de la Unión y la transferencia de estos datos personales a países terceros y organizaciones internacionales, al tiempo que se garantiza un alto nivel de protección de los datos personales. Estos avances exigen el establecimiento de un marco más sólido y coherente para la protección de datos personales en la Unión Europea, que cuente con el respaldo de una ejecución estricta.

(5)

La Directiva 95/46/CE del Parlamento Europeo y del Consejo (3) es de aplicación a todas las actividades relacionadas con el tratamiento de datos personales que tengan lugar en los Estados miembros, tanto en el sector público como en el privado. No se aplica, sin embargo, al tratamiento de datos personales que se efectúe «en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario», como es el caso de las actividades en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial.

(6)

La Decisión Marco 2008/977/JAI del Consejo (4) es de aplicación en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial. El ámbito de aplicación de dicha Decisión Marco se limita al tratamiento de los datos personales transmitidos o puestos a disposición entre los Estados miembros.

(7)

Para garantizar la eficacia de la cooperación judicial en materia penal y de la cooperación policial, es esencial asegurar un nivel uniforme y elevado de protección de los datos personales de las personas físicas y facilitar el intercambio de datos personales entre las autoridades competentes de los Estados miembros. A tal efecto, el nivel de protección de los derechos y libertades de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública, debe ser equivalente en todos los Estados miembros. La protección eficaz de los datos personales en toda la Unión requiere tanto el fortalecimiento de los derechos de los interesados y de las obligaciones de quienes tratan dichos datos personales, como el fortalecimiento de los poderes equivalentes para supervisar y garantizar el cumplimiento de las normas relativas a la protección de los datos personales en los Estados miembros.

(8)

El artículo 16, apartado 2, del TFUE exige que el Parlamento Europeo y el Consejo establezcan las normas sobre la protección de las personas físicas respecto del tratamiento de los datos de carácter personal y sobre la libre circulación de estos datos.

(9)

Sobre esa base, el Reglamento (UE) 2016/… del Parlamento Europeo y del Consejo (5)  (*) establece las normas generales para la protección de las personas físicas en relación con el tratamiento de los datos personales y para garantizar la libre circulación de datos personales dentro de la Unión.

(10)

En la Declaración n.o 21 relativa a la protección de datos de carácter personal en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial, aneja al acta final de la Conferencia Intergubernamental que adoptó el Tratado de Lisboa, la Conferencia reconoció que podrían requerirse normas específicas sobre protección de datos personales y libre circulación de los mismos en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial basada en el artículo 16 del TFUE, en razón de la naturaleza específica de dichos ámbitos.

(11)

Conviene por lo tanto que esos ámbitos estén regulados por una directiva que establezca las normas específicas relativas a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública. Entre dichas autoridades competentes no solo se deben incluir autoridades públicas tales como las autoridades judiciales, la policía u otras fuerzas y cuerpos de seguridad, sino también cualquier otro organismo o entidad en que el Derecho del Estado miembro haya confiado el ejercicio de la autoridad y las competencias públicas a los efectos de la presente Directiva. Cuando dicho organismo o entidad trate datos personales con fines distintos de los previstos en la presente Directiva, se aplica el Reglamento (UE) 2016/… (**). Así pues, el Reglamento (UE) 2016/… (**) se aplica en los casos en los que un organismo o entidad recopile datos personales con otros fines y proceda a su tratamiento para el cumplimiento de una obligación jurídica a la que esté sujeto. Por ejemplo, con fines de investigación, detección o enjuiciamiento de infracciones penales, las instituciones financieras conservan determinados datos personales que ellas mismas tratan y únicamente facilitan dichos datos personales a las autoridades nacionales competentes en casos concretos y de conformidad con el Derecho del Estado miembro. Todo organismo o entidad que trate datos personales en nombre de las citadas autoridades dentro del ámbito de aplicación de la presente Directiva debe quedar obligado por un contrato u otro acto jurídico y por las disposiciones aplicables a los encargados del tratamiento con arreglo a la presente Directiva, mientras que la aplicación del Reglamento (UE) 2016/… (**) permanece inalterada para el tratamiento de datos personales por encargados del tratamiento fuera del ámbito de aplicación de la presente Directiva.

(12)

Las actividades realizadas por la policía u otras fuerzas y cuerpos de seguridad se centran principalmente en la prevención, investigación, detección o enjuiciamiento de infracciones penales, incluidas las actuaciones policiales en las que no hay constancia de si un incidente es o no constitutivo de infracción penal. También pueden incluir el ejercicio de la autoridad mediante medidas coercitivas, como es el caso de las actuaciones policiales en manifestaciones, grandes acontecimientos deportivos y disturbios. Entre dichas actividades también figura el mantenimiento del orden público, como labor encomendada a la policía o, en su caso, a otras fuerzas y cuerpos de seguridad con fines de protección y prevención frente a las amenazas para la seguridad pública y para los intereses públicos fundamentales jurídicamente protegidos que puedan ser constitutivas de infracciones penales. Los Estados miembros pueden encomendar a las autoridades competentes otras funciones que no necesariamente se lleven a cabo con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública, en cuyo caso el tratamiento de datos personales con estos otros fines, en la medida en que esté comprendido en el ámbito de aplicación del Derecho de la Unión, entrará dentro del ámbito de aplicación del Reglamento (UE) 2016/… (**).

(13)

Una infracción penal en el sentido de lo dispuesto en la presente Directiva debe ser un concepto autónomo del Derecho de la Unión, tal y como lo interpreta el Tribunal de Justicia de la Unión Europea (en lo sucesivo, «Tribunal de Justicia»).

(14)

Puesto que la presente Directiva no debe aplicarse al tratamiento de datos personales en el marco de una actividad que no esté comprendida en el ámbito de aplicación del Derecho de la Unión, no deben considerarse comprendidas en el ámbito de aplicación de la presente Directiva las actividades relacionadas con la seguridad nacional, las actividades de los servicios o unidades que traten cuestiones de seguridad nacional y las actividades de tratamiento de datos personales que lleven a cabo los Estados miembros en el ejercicio de las actividades incluidas en el ámbito de aplicación del título V, capítulo 2, del Tratado de la Unión Europea (TUE).

(15)

A fin de garantizar el mismo nivel de protección de las personas físicas a través de derechos jurídicamente exigibles en toda la Unión y evitar divergencias que dificulten el intercambio de datos personales entre las autoridades competentes, la presente Directiva debe establecer normas armonizadas para la protección y la libre circulación de los datos personales tratados con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública. La aproximación de las legislaciones de los Estados miembros no debe debilitar la protección de datos personales que ya se ofrece, sino que, por el contrario, debe tratar de garantizar un alto nivel de protección dentro de la Unión. No se debe impedir a los Estados miembros que ofrezcan garantías mayores que las establecidas en la presente Directiva para la protección de los derechos y libertades del interesado con respecto al tratamiento de sus datos personales por parte de las autoridades competentes.

(16)

La presente Directiva se entiende sin perjuicio del principio de acceso del público a los documentos oficiales. Según el Reglamento (UE) 2016/… (**), los datos personales que figuran en documentos oficiales que se encuentren en posesión de una autoridad pública o de un organismo público o privado para la realización de una tarea de interés público pueden ser divulgados por dicha autoridad u organismo de conformidad con el Derecho de la Unión o del Estado miembro que resulte de aplicación a dicha autoridad u organismo público a fin de conciliar el derecho de acceso del público a los documentos oficiales con el derecho a la protección de los datos personales.

(17)

La protección otorgada por la presente Directiva debe aplicarse a las personas físicas, independientemente de su nacionalidad o lugar de residencia, en lo que se refiere al tratamiento de sus datos personales.

(18)

Para evitar que se produzcan graves riesgos de elusión, la protección de las personas físicas debe ser tecnológicamente neutra y no debe depender de las técnicas utilizadas. La protección de las personas físicas debe aplicarse al tratamiento automatizado de los datos personales, así como a su tratamiento manual si los datos personales están contenidos o destinados a ser incluidos en un fichero. Los ficheros o conjuntos de ficheros y sus portadas que no estén estructurados con arreglo a criterios específicos no deben incluirse en el ámbito de aplicación de la presente Directiva.

(19)

El Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo (6) se aplica al tratamiento de datos personales por parte de las instituciones, órganos y organismos de la Unión. El Reglamento (CE) n.o 45/2001 y los demás actos jurídicos de la Unión aplicables a ese tipo de tratamiento de datos personales deben adaptarse a los principios y normas establecidos en el Reglamento (UE) 2016/… (**).

(20)

La presente Directiva no impide que, en las normas nacionales relativas a los procedimientos penales, los Estados miembros especifiquen operaciones y procedimientos de tratamiento relativos al tratamiento de datos personales por parte de tribunales y otras autoridades judiciales, en particular en lo que respecta a los datos personales contenidos en resoluciones judiciales o en registros relacionados con procedimientos penales.

(21)

Los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable. Para determinar si una persona física es identificable deben tenerse en cuenta todos los medios con respecto a los cuales existe una probabilidad razonable de que puedan ser utilizados por el responsable del tratamiento o por cualquier otra persona para la identificación directa o indirecta de dicha persona física. Para determinar si existe una probabilidad razonable de que se utilicen unos medios determinados para la identificación de una persona física deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos. Por tanto, los principios de protección de datos personales no deben aplicarse a la información anónima, a saber, información que no guarda relación con una persona física identificada o identificable, ni a los datos personales convertidos en anónimos de forma que el interesado al que se refieren ya no resulte identificable.

(22)

Las autoridades públicas a las que se les faciliten datos personales en virtud de una obligación jurídica para el ejercicio de su misión oficial, como las autoridades fiscales y aduaneras, las unidades de investigación financiera, las autoridades administrativas independientes o los organismos de supervisión de los mercados financieros, responsables de la reglamentación y supervisión de los mercados de valores, no deben considerarse destinatarios de datos si reciben datos personales que son necesarios para llevar a cabo una investigación concreta de interés general, de conformidad con el Derecho de la Unión o de los Estados miembros. Las autoridades públicas siempre deben solicitar los datos por escrito, de forma justificada y con carácter ocasional, y los datos solicitados no podrán referirse a la totalidad de un fichero o suponer la interconexión de varios ficheros. El tratamiento de datos personales por las citadas autoridades públicas debe estar en consonancia con la normativa en materia de protección de datos que resulte de aplicación en función de la finalidad del tratamiento.

(23)

Debe entenderse por datos genéticos todos los datos personales relacionados con las características genéticas de una persona física que se hayan heredado o adquirido y que aporten información única sobre la fisiología o la salud de esa persona física, y que resultan de análisis de una muestra biológica de la persona física de que se trate, en particular cromosómicos, del ácido desoxirribonucleico (ADN) o del ácido ribonucleico (ARN), o de análisis de cualquier otro elemento que permita obtener información equivalente. Habida cuenta de la complejidad y la sensibilidad de la información genética, existe un alto riesgo de que el responsable del tratamiento haga un uso indebido de la misma o la reutilice con fines no autorizados. Toda discriminación por razón de características genéticas debe quedar prohibida con carácter general.

(24)

Entre los datos personales relacionados con la salud se deberían incluir todos los datos relativos al estado de salud del interesado que revelen información relativa al estado de la salud física o mental pasado, presente o futuro del interesado, incluidos los datos personales recopilados durante la inscripción de una persona física a efectos de la prestación de servicios de asistencia sanitaria a dicha persona o durante la prestación de tales servicios, de conformidad con lo dispuesto en la Directiva 2011/24/UE del Parlamento Europeo y del Consejo (7); todo número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos sanitarios; la información obtenida de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal, incluidos los datos genéticos y las muestras biológicas, y cualquier información relativa, por ejemplo, a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial médico, el tratamiento clínico o el estado fisiológico o biomédico del interesado, independientemente de su fuente, ya sea un médico u otro profesional sanitario, un hospital, un dispositivo médico, o una prueba diagnóstica in vitro, por ejemplo.

(25)

Todos los Estados miembros están afiliados a la Organización Internacional de Policía Criminal (Interpol). Para cumplir su misión, Interpol recibe, almacena y distribuye datos personales para ayudar a las autoridades competentes a prevenir y combatir la delincuencia internacional. Por ello, conviene reforzar la cooperación entre la Unión e Interpol facilitando un intercambio eficaz de datos personales, a la vez que se garantiza el respeto de los derechos y libertades fundamentales en relación con el tratamiento automatizado de los datos personales. Cuando se transmitan datos desde la Unión a Interpol y a los países que hayan destinado miembros a dicha organización, resultará de aplicación la presente Directiva, en particular lo dispuesto en materia de transmisiones internacionales de datos. La presente Directiva se entenderá sin perjuicio de las normas específicas establecidas en la Posición Común 2005/69/JAI del Consejo (8) y en la Decisión 2007/533/JAI del Consejo (9).

(26)

Todo tratamiento de datos personales debe ser lícito, leal y transparente en relación con las personas físicas afectadas, y únicamente podrá llevarse a cabo con los fines específicos previstos en la ley. Ello no impide, per se, que las autoridades policiales puedan llevar a cabo actividades tales como las investigaciones encubiertas o la videovigilancia. Tales actividades pueden realizarse con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas para la seguridad pública, siempre y cuando estén previstas en la legislación y constituyan una medida necesaria y proporcionada en una sociedad democrática, con el debido respeto a los intereses legítimos de la persona física afectada. El principio de tratamiento leal en materia de protección de datos es un concepto distinto del derecho a un «juicio imparcial», según se define en el artículo 47 de la Carta y en el artículo 6 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales (en lo sucesivo, «CEDH»). Debe informarse a las personas físicas de los riesgos, reglas, salvaguardias y derechos aplicables en relación con el tratamiento de sus datos personales, así como del modo de hacer valer sus derechos en relación con dicho tratamiento. En particular, los fines específicos a los que obedezca el tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de la recopilación de los datos personales. Los datos personales deben ser adecuados y pertinentes en relación con los fines para los que se tratan, lo cual requiere, en particular, que se garantice que los datos personales recogidos no son excesivos ni se conservan más tiempo del que sea necesario para los fines con los que se tratan. Los datos personales solo deberían ser objeto de tratamiento si la finalidad del tratamiento no puede lograrse razonablemente por otros medios. Para garantizar que los datos no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su eliminación o revisión periódica. Los Estados miembros deben establecer las salvaguardias adecuadas en relación con los datos personales almacenados por periodos más largos para su archivo por cuestiones de interés público o para su uso científico, estadístico o histórico.

(27)

Para la prevención, investigación y enjuiciamiento de las infracciones penales, es necesario que las autoridades competentes traten datos personales recopilados en el contexto de la prevención, la investigación, la detección o el enjuiciamiento de infracciones penales concretas más allá de ese contexto específico, con el fin de adquirir un mejor conocimiento de las actividades delictivas y establecer vínculos entre las distintas infracciones penales detectadas.

(28)

Con el fin de mantener la seguridad del tratamiento y evitar que con él se infrinja lo dispuesto en la presente Directiva, los datos personales deben ser tratados de modo que se garantice un nivel adecuado de seguridad y confidencialidad, en particular impidiendo el acceso sin autorización a dichos datos o el uso no autorizado de los mismos y del equipo utilizado en el tratamiento, teniendo en cuenta el desarrollo técnico existente y la tecnología, los costes de ejecución con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse.

(29)

Los datos personales deben recogerse con fines determinados, explícitos y legítimos dentro del ámbito de aplicación de la presente Directiva y no deben ser tratados para fines incompatibles con los fines de la prevención, la investigación, la detección o el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública. Si el mismo u otro responsable del tratamiento trata datos personales con alguno de los fines previstos en el ámbito de aplicación de la presente Directiva distinto del fin para el que los datos fueron recopilados, dicho tratamiento debe permitirse con la condición de que el mismo esté autorizado con arreglo a la legislación aplicable y sea necesario y proporcionado para dicho otro fin.

(30)

El principio de exactitud de los datos debe aplicarse teniendo presente el carácter y finalidad del tratamiento correspondiente. En particular en los procedimientos judiciales, las declaraciones que contienen datos personales se basan en la percepción subjetiva de las personas físicas y no siempre son verificables. En consecuencia, el requisito de exactitud no debe relacionarse con la exactitud de una afirmación, sino exclusivamente con el hecho de que se ha formulado una afirmación concreta.

(31)

Es inherente al tratamiento de datos personales en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial que se traten datos personales relativos a diferentes categorías de interesados. Por ello, si procede y siempre que sea posible, se deben diferenciar claramente los datos personales de distintas categorías de interesados, tales como los sospechosos, los condenados por una infracción penal, las víctimas o los terceros, entre los que se incluyen los testigos, las personas que posean información o contactos útiles y los cómplices de sospechosos y delincuentes condenados. Lo anterior no debe impedir la aplicación del derecho a la presunción de inocencia tal como lo garantiza la Carta y el CEDH, según los ha interpretado la jurisprudencia del Tribunal de Justicia y del Tribunal Europeo de Derechos Humanos, respectivamente.

(32)

Las autoridades competentes deben velar por que los datos personales que sean inexactos, incompletos o que no estén actualizados no se transmitan ni estén disponibles. Con el fin de garantizar tanto la protección de las personas físicas como la exactitud, integridad, actualidad y fiabilidad de los datos personales que se transmitan o se pongan a disposición de terceros, las autoridades competentes deben, en la medida de lo posible, añadir la información necesaria a todos los datos personales que transmitan.

(33)

Las referencias de la presente Directiva al Derecho de un Estado miembro, a una base jurídica o a una medida legislativa no requieren necesariamente la existencia de un acto legislativo adoptado por un Parlamento, sin perjuicio de los requisitos exigidos por el ordenamiento constitucional del Estado miembro de que se trate. No obstante, dicho Derecho de un Estado miembro, base jurídica o medida legislativa debe ser clara y precisa y su aplicación previsible para quienes estén sujetos a la misma, tal y como exige la jurisprudencia del Tribunal de Justicia y del Tribunal Europeo de Derechos Humanos. Cuando en el Derecho de un Estado miembro se regule el tratamiento de los datos personales dentro del ámbito de aplicación de la presente Directiva, se deben indicar al menos los objetivos del tratamiento, los datos personales que serán objeto del mismo, la finalidad del tratamiento, los procedimientos para el mantenimiento de la integridad y la confidencialidad de los datos personales y los procedimientos para su destrucción, proporcionando con ello garantías suficientes frente a los riesgos de abuso y arbitrariedad.

(34)

El tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a amenazas para la seguridad pública, debe abarcar toda operación o conjunto de operaciones con datos personales o conjuntos de datos personales que se lleve a cabo con tales fines, ya sea de modo automatizado o no, y entre las que se incluye la recopilación, registro, organización, estructuración, almacenamiento, adaptación o modificación, recuperación, consulta, utilización, cotejo o combinación, limitación del tratamiento, supresión o destrucción de datos. En particular, las normas de la presente Directiva deben aplicarse a la transmisión de datos personales a los efectos de la presente Directiva a un destinatario que no esté sometido a la misma. Por «destinatario» debe entenderse toda persona física o jurídica, autoridad pública, servicio u otro organismo al que la autoridad competente comunique los datos personales de forma lícita. Si los datos personales fueron recopilados inicialmente por una autoridad competente para alguno de los fines previstos en la presente Directiva, el tratamiento de dichos datos para fines distintos de los previstos en la presente Directiva se regirá por lo dispuesto en el Reglamento (UE) 2016/… (**), siempre que dicho tratamiento esté autorizado por el Derecho de la Unión o del Estado miembro. En particular, las normas del Reglamento (UE) 2016/… (**) deben aplicarse a la transmisión de datos personales con fines no previstos en el ámbito de aplicación de la presente Directiva. Para el tratamiento de datos personales por parte de un destinatario que no sea una autoridad competente o que esté actuando como tal en el sentido de la presente Directiva y a quien una autoridad competente haya comunicado datos personales lícitamente, se estará a lo dispuesto en el Reglamento (UE) 2016/… (**). Al aplicar la presente Directiva, los Estados miembros deben poder precisar también la aplicación de las normas del Reglamento (UE) 2016/… (**), con sujeción a las condiciones establecidas en el mismo.

(35)

Para que sea lícito, el tratamiento de datos personales en virtud de la presente Directiva debe ser necesario para el desempeño de una función de interés público llevada a cabo por una autoridad competente en virtud del Derecho de la Unión o de un Estado miembro con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública. Entre tales actividades debe incluirse la protección de los intereses vitales del interesado. El ejercicio de las funciones de prevención, investigación, detección o enjuiciamiento de infracciones penales que la legislación atribuye institucionalmente a las autoridades competentes permite a estas exigir u ordenar a las personas físicas que atiendan a las solicitudes que se les dirijan. En este caso, el consentimiento del interesado [según se define en el Reglamento (UE) 2016/… (**)] no constituye un fundamento jurídico para el tratamiento de los datos personales por las autoridades competentes. Cuando se exige al interesado que cumpla una obligación jurídica, este no goza de verdadera libertad de elección, por lo que no puede considerarse que su respuesta constituya una manifestación libre de su voluntad. Ello no debe ser óbice para que los Estados miembros establezcan en su legislación la posibilidad de que el interesado pueda aceptar el tratamiento de sus datos personales a los efectos de la presente Directiva, por ejemplo, para la realización de pruebas de ADN en las investigaciones penales o el control del paradero del interesado mediante dispositivos electrónicos para la ejecución de sanciones penales.

(36)

Los Estados miembros deben establecer que, cuando el Derecho de la Unión o de los Estados miembros que sean de aplicación a la autoridad transmisora competente dispongan la aplicación de condiciones específicas al tratamiento de datos personales en circunstancias específicas (como el uso de códigos de tratamiento), la autoridad transmisora competente debe informar de dichas condiciones y de la obligación de respetarlas al destinatario al que se transmiten los datos. Tales condiciones pueden incluir, por ejemplo, la prohibición de transmitir los datos personales a otros o utilizarlos para otros fines distintos de aquellos para los que fueron transmitidos al destinatario, o, en caso de limitación del derecho de información, la prohibición de que dicho destinatario informe al interesado sin la autorización previa de la autoridad transmisora competente. Dichas obligaciones también resultan de aplicación a las transmisiones de datos por parte de la autoridad transmisora competente a destinatarios de terceros países u organizaciones internacionales. Los Estados miembros deben establecer que la citada autoridad competente no aplique a los destinatarios de otros Estados miembros o a los órganos y organismos establecidos en virtud de la tercera parte, título V, capítulos 4 y 5, del TFUE condiciones distintas de las aplicables a las transmisiones de datos similares que tengan lugar dentro del Estado miembro de la autoridad transmisora competente.

(37)

Especial protección merecen los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento puede generar riesgos importantes para los derechos y las libertades fundamentales. Dichos datos personales deben incluir aquellos que pongan de manifiesto el origen racial o étnico, entendiéndose que el término «origen racial» empleado en la presente Directiva no implica la aceptación por parte de la Unión Europea de teorías que traten de determinar la existencia de razas humanas diferentes. Tales datos personales no deben ser objeto de tratamiento, salvo que el tratamiento esté supeditado a las garantías adecuadas de protección de los derechos y libertades del interesado que se establecen en la legislación y esté permitido en los casos autorizados por la ley; o, si no está ya autorizado por dicha legislación, que el tratamiento sea necesario para proteger los intereses vitales del interesado o de otra persona, o que el tratamiento se refiera a datos que el interesado ya ha hecho públicos de forma manifiesta. Entre las garantías adecuadas de protección de los derechos y libertades del interesado pueden figurar, por ejemplo, la posibilidad de recopilar tales datos únicamente en relación con otros datos de la persona física afectada, la posibilidad de proteger adecuadamente los datos recopilados, el establecimiento de normas más estrictas para el acceso a los datos por parte del personal de la autoridad competente, o la prohibición de transmisión de dichos datos. El tratamiento de este tipo de datos también debe estar jurídicamente permitido si el interesado ha acordado de forma explícita que el tratamiento de los datos resulte especialmente intrusivo para las personas. Sin embargo, el consentimiento del interesado no debe constituir en sí mismo un fundamento jurídico para que las autoridades competentes procedan al tratamiento de datos personales sensibles como los mencionados.

(38)

El interesado debe tener derecho a no ser objeto de una decisión que evalúe aspectos personales que le conciernen que se base únicamente en un tratamiento automatizado de los datos y que tenga efectos jurídicos adversos que le conciernan o le afecten significativamente. En todo caso, este tipo de tratamiento debe estar sujeto a las garantías apropiadas, lo que incluye informar de forma específica al interesado, así como el derecho a la intervención humana, en particular para que el interesado pueda expresar su punto de vista, obtener una explicación de la decisión adoptada tras dicha evaluación, o ejercer su derecho a impugnar la decisión. Queda prohibida la elaboración de perfiles que dé lugar a la discriminación de personas físicas por razones basadas en datos personales que, por su naturaleza, son especialmente sensibles en relación con los derechos y las libertades fundamentales, con arreglo a las condiciones previstas en los artículos 21 y 52 de la Carta.

(39)

Para poder ejercer sus derechos, toda la información dirigida al interesado debe ser fácilmente accesible, en particular, en el sitio web del responsable del tratamiento, y fácil de entender, para lo que debe emplearse un lenguaje claro y sencillo. Dicha información debe adaptarse a las necesidades de las personas vulnerables, entre las que se incluyen los niños.

(40)

Deben arbitrarse fórmulas para facilitar al interesado el ejercicio de sus derechos con arreglo a las disposiciones adoptadas de conformidad con la presente Directiva, incluidos mecanismos para solicitar y, en su caso, obtener, de forma gratuita, el acceso a sus datos personales, así como su rectificación o supresión y la limitación de su tratamiento. El responsable del tratamiento debe estar obligado a responder sin dilación indebida a las solicitudes del interesado, salvo que aplique restricciones a los derechos del interesado de conformidad con la presente Directiva. Asimismo, si las solicitudes son manifiestamente infundadas o excesivas, como cuando el interesado solicita información de forma poco razonable y repetitiva o abusa de su derecho a recibir información, por ejemplo proporcionando información falsa o engañosa al presentar la solicitud, el responsable del tratamiento debe ser capaz de exigir el pago de un canon razonable o negarse a dar curso a la solicitud.

(41)

Cuando el responsable del tratamiento solicite información complementaria que resulte necesaria para confirmar la identidad del interesado, dicha información debe tratarse únicamente a tal efecto y no debe almacenarse más tiempo del que sea necesario para dicho fin.

(42)

Debe informarse al interesado, como mínimo, de lo siguiente: la identidad del responsable del tratamiento, la existencia de la operación de tratamiento, los fines del tratamiento, el derecho a presentar una reclamación y el derecho a solicitar al responsable del tratamiento el acceso a los datos personales, su rectificación o supresión, o la limitación de su tratamiento. Esta información se podrá facilitar en el sitio web de la autoridad competente. Además, en determinados casos y con el fin de permitir que ejerza sus derechos, debe informarse al interesado de la base jurídica en la que se fundamenta el tratamiento y del período durante el que se conservarán los datos, siempre que dicha información adicional resulte necesaria y habida cuenta de las circunstancias concretas en que se produce el tratamiento de los datos, a fin de garantizar un tratamiento leal en lo que respecta al interesado.

(43)

Toda persona física debe tener derecho a acceder a los datos que se hayan recopilado en relación con ella y a poder ejercer este derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento. Todo interesado debe, por tanto, tener derecho a conocer y a que se le comuniquen, en particular, la finalidad del tratamiento, el plazo de conservación de los datos y los destinatarios que los reciben, incluso en terceros países. Cuando esta comunicación incluya información relativa al origen de los datos personales, dicha información no debe revelar la identidad de ninguna persona física, sobre todo cuando se trate de fuentes confidenciales. Para que se considere que se ha respetado ese derecho, basta con que el interesado esté en posesión de un resumen completo de tales datos presentados de forma inteligible, es decir, de forma que el interesado pueda tener conocimiento de los mismos y verificar que son exactos y que su tratamiento se ha realizado de conformidad con la presente Directiva, de modo que, si ha lugar, pueda ejercer los derechos que esta le confiere. Dicho resumen puede ser una copia de los datos personales que están siendo objeto de tratamiento.

(44)

Debe permitirse a los Estados miembros adoptar medidas legislativas que retrasen, limiten u omitan que se facilite información a los interesados o que limiten, total o parcialmente, el acceso de los interesados a sus datos personales, en la medida en que dichas medidas sean necesarias y proporcionadas en una sociedad democrática y mientras sigan siéndolo, con el debido respeto a los derechos fundamentales y los intereses legítimos de la persona física afectada, con el fin de no entorpecer las indagaciones, investigaciones o procedimientos oficiales o judiciales, de no perjudicar la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, de proteger la seguridad pública o la seguridad nacional o de salvaguardar los derechos y las libertades de terceros. El responsable del tratamiento debe evaluar, mediante un análisis individual y específico de cada caso, si procede o no restringir, total o parcialmente, el derecho de acceso.

(45)

Toda denegación o restricción de acceso debe, en principio, comunicarse por escrito al interesado precisando los fundamentos de hecho o de Derecho en los que se basa la decisión.

(46)

Toda restricción de los derechos del interesado debe cumplir con lo dispuesto en la Carta y el CEDH, según los ha interpretado la jurisprudencia del Tribunal de Justicia y del Tribunal Europeo de Derechos Humanos, respectivamente, y, en particular, respetar el contenido esencial de los citados derechos y libertades.

(47)

Toda persona física debe tener derecho a la rectificación de aquellos datos personales inexactos que le conciernan, en particular cuando estén relacionados con hechos, así como a la supresión de los datos cuyo tratamiento no se ajuste a lo dispuesto en la presente Directiva. Sin embargo, el derecho de rectificación no debe afectar, por ejemplo, al contenido de la declaración de un testigo. Asimismo, toda persona física debe tener derecho a la limitación del tratamiento cuando, tras impugnar la exactitud de un dato de carácter personal, no sea posible determinar su exactitud o inexactitud, o cuando los datos personales deban conservarse a efectos probatorios. En particular, en lugar de suprimir los datos personales, el tratamiento debe limitarse si en un caso concreto hay razones justificadas para suponer que la supresión podría perjudicar los intereses legítimos del interesado. En tal caso, los datos restringidos podrán tratarse únicamente para los fines que impidieron su supresión. Entre los métodos para limitar el tratamiento de datos personales podrían incluirse, entre otros, los consistentes en trasladar los datos seleccionados a otro sistema de tratamiento, por ejemplo a efectos de archivo, o en impedir el acceso a los datos seleccionados. En los ficheros automatizados, la limitación del tratamiento de datos personales debe hacerse, en principio, por medios técnicos; la limitación del tratamiento de los datos personales debe indicarse en el sistema de tal modo que quede claro que el tratamiento de los datos personales está limitado. Debe notificarse a los destinatarios a los que se hayan comunicado los datos inexactos y a las autoridades competentes de las que procedan dichos datos inexactos que se ha procedido a rectificar o suprimir los datos personales o a limitar su tratamiento. Los responsables del tratamiento deben abstenerse asimismo de toda divulgación ulterior de los citados datos.

(48)

Si el responsable del tratamiento deniega al interesado sus derechos de información, acceso a los datos personales, o rectificación o supresión de estos, o la limitación de su tratamiento, el interesado debe tener derecho a solicitar que la autoridad nacional de control verifique la licitud del tratamiento. El interesado debe ser informado de este derecho. Cuando actúe por cuenta del interesado, la autoridad de control debe informarle, como mínimo, de que ha llevado a cabo todas las verificaciones o revisiones necesarias. La autoridad de control también debe informar al interesado de su derecho a la tutela judicial.

(49)

Cuando los datos personales sean tratados en el transcurso de una investigación penal o un procedimiento judicial en materia penal, el ejercicio de los derechos de información, acceso a los datos personales, rectificación o supresión de estos y la limitación de su tratamiento podrá ejercerse de conformidad con el Derecho procesal nacional.

(50)

Se debe establecer la responsabilidad del responsable del tratamiento en relación con cualquier tratamiento de datos personales realizado por él mismo o en su nombre. En particular, el responsable del tratamiento debe estar obligado a poner en marcha medidas oportunas y eficaces y a poder demostrar la conformidad de las actividades de tratamiento con la presente Directiva. Estas medidas deben tener en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo que representan para los derechos y las libertades de las personas físicas. Las medidas adoptadas por el responsable del tratamiento deben incluir la formulación y puesta en marcha de salvaguardias específicas en relación con el tratamiento de los datos personales de personas físicas vulnerables, en particular los niños.

(51)

Los riesgos para los derechos y libertades de los interesados, de diversa probabilidad y gravedad, pueden producirse debido a un tratamiento de datos capaz de provocar daños físicos, materiales o inmateriales, en particular cuando el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas económicas, menoscabo de la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, inversión no autorizada de la seudonimización, o cualquier otro perjuicio económico o social significativo; cuando los interesados se vean privados de sus derechos y libertades o de la posibilidad de ejercer el control sobre sus datos personales; cuando los datos personales tratados pongan de manifiesto el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical, cuando se traten datos genéticos o datos biométricos que permiten la identificación unívoca de una persona o cuando se traten datos relativos a la salud o a la vida y orientación sexuales o a los antecedentes e infracciones penales u otras medidas de seguridad relacionadas; cuando se evalúen aspectos personales, en particular en el marco del análisis y la predicción de aspectos referidos al rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la ubicación o los movimientos, con el fin de crear o utilizar perfiles personales; cuando se traten datos personales de personas físicas vulnerables, en particular los niños; o cuando el tratamiento se refiera a una gran cantidad de datos personales y afecte a un elevado número de interesados.

(52)

La probabilidad y la gravedad del riesgo debe determinarse en función de la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe determinarse basándose en una evaluación objetiva, mediante la cual se determine si las operaciones de tratamiento de datos suponen un alto riesgo. Un alto riesgo es un especial riesgo de perjuicio para los derechos y libertades de los interesados.

(53)

La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de las oportunas medidas de carácter técnico y organizativo con el fin de garantizar el cumplimiento de lo dispuesto en la presente Directiva. La aplicación de tales medidas no puede depender únicamente de criterios económicos. A fin de poder demostrar que cumple lo dispuesto en la presente Directiva, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que respeten, en particular, los principios de la protección de datos desde la concepción y de la protección de datos por defecto. Cuando el responsable del tratamiento haya llevado a cabo una evaluación de impacto relativa a la protección de datos con arreglo a lo dispuesto en la presente Directiva, los resultados de dicha evaluación se deben tener en cuenta en la formulación de tales medidas y procedimientos. Dichas medidas pueden consistir, entre otras cosas, en la utilización, lo antes posible, de procesos de seudonimización. El uso de la seudonimización a los efectos de la presente Directiva puede contribuir, en particular, a la libre circulación de datos personales dentro del espacio de libertad, seguridad y justicia.

(54)

La protección de los derechos y libertades de los interesados, así como la responsabilidad de los responsables y encargados del tratamiento, también en lo que respecta a la supervisión por parte de las autoridades de control y a las medidas adoptadas por ellas, requieren una atribución clara de las responsabilidades en virtud de la presente Directiva, incluidos los casos en los que un responsable determine los fines y medios del tratamiento de forma conjunta con otros responsables del tratamiento o en los que el tratamiento se lleve a cabo por cuenta de otro responsable.

(55)

La realización del tratamiento por un encargado del tratamiento debe regirse por un acto jurídico, en particular, un contrato que obligue al encargado frente al responsable del tratamiento y que estipule, concretamente, que el encargado debe actuar únicamente con arreglo a las instrucciones del responsable. El encargado del tratamiento debe tener en cuenta los principios de la protección de datos desde la concepción y de la protección de datos por defecto.

(56)

Para demostrar que se cumple lo dispuesto en la presente Directiva, el responsable o el encargado del tratamiento debe mantener registros relativos a todas las categorías de actividades de tratamiento que se lleven a cabo bajo su responsabilidad. Todos los responsables y todos los encargados del tratamiento deben estar obligados a cooperar con la autoridad de control y a poner dichos registros a su disposición, cuando lo solicite, de modo que puedan servir para supervisar las operaciones de tratamiento. Los responsables o los encargados del tratamiento que traten datos personales mediante sistemas de tratamiento no automatizado deben contar con métodos eficaces, como los registros diarios o de otro tipo, para demostrar la licitud del tratamiento, permitir el autocontrol y garantizar la integridad y la seguridad de los datos.

(57)

Deben conservarse registros, como mínimo, de las operaciones llevadas a cabo mediante sistemas de tratamiento automatizado, entre las que se incluyen la recopilación, la modificación, la consulta, la comunicación (incluida la transmisión), la combinación o la supresión de datos. Los datos identificativos de la persona que consulta o comunica los datos personales deben quedar registrados y, a partir de dichos datos, debe ser posible establecer la justificación de las operaciones de tratamiento. Los registros se deben utilizar únicamente para comprobar la licitud del tratamiento de datos, a efectos de autocontrol y para garantizar la integridad y la seguridad de los datos y los procedimientos penales. El autocontrol abarca, asimismo, los procedimientos disciplinarios en el seno de las autoridades competentes.

(58)

El responsable del tratamiento debe realizar una evaluación del impacto sobre la protección de datos cuando exista la probabilidad de que, por su naturaleza, alcance o fines, las operaciones de tratamiento entrañen un alto riesgo para los derechos y las libertades de los interesados; dicha evaluación debe incluir, en particular, las medidas, garantías y mecanismos previstos para garantizar la protección de los datos personales y demostrar la conformidad con la presente Directiva. Las evaluaciones de impacto deben abarcar los sistemas y procesos correspondientes de las operaciones de tratamiento, pero no harán referencia a casos concretos.

(59)

Con el fin de garantizar la protección efectiva de los derechos y las libertades de los interesados, en determinados casos, el responsable o el encargado del tratamiento debe consultar a la autoridad de control antes del tratamiento previsto.

(60)

Al objeto de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en la presente Directiva, el responsable o el encargado del tratamiento deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica, el coste de su aplicación con respecto al riesgo y la naturaleza de los datos personales que deban protegerse. En la evaluación de los riesgos relacionados con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos, como la destrucción accidental o ilícita, la pérdida, la alteración, la comunicación no autorizada o el acceso no autorizado a datos personales transmitidos, almacenados o sometidos a cualquier otro tipo de tratamiento, que puedan ocasionar, en particular, perjuicios físicos, materiales o inmateriales. El responsable y el encargado del tratamiento deben asegurarse de que el tratamiento de datos personales no lo llevan a cabo personas no autorizadas.

(61)

Si no se toman medidas adecuadas de manera adecuada y oportuna, las violaciones de la seguridad de datos personales pueden dar lugar a daños y perjuicios físicos, materiales o inmateriales para las personas físicas, entre los que se incluyen la pérdida de control sobre sus datos personales o la restricción de sus derechos, la discriminación, la usurpación de la identidad, las pérdidas financieras, la inversión no autorizada de una seudonimización, el menoscabo de la reputación, la pérdida de confidencialidad de datos personales sujetos al secreto profesional o cualquier otro perjuicio económico o social significativo para la persona física en cuestión. Por ello, en cuanto el responsable del tratamiento tenga conocimiento de que se ha producido una violación de datos personales, debe notificarlo sin dilación indebida a la autoridad de control y, cuando sea factible, en el plazo de 72 horas después de haberlo sabido, a menos que el responsable del tratamiento pueda demostrar, de conformidad con el principio de rendición de cuentas, que es improbable que dicha violación entrañe un riesgo para los derechos y las libertades de las personas físicas. Cuando no sea posible efectuar la notificación en el plazo de 72 horas, esta debe acompañarse de una indicación de los motivos de la dilación, pudiendo facilitarse la información por fases sin más dilaciones indebidas.

(62)

Se debe informar a las personas físicas sin dilación indebida en el supuesto de que sea probable que la violación de la seguridad de datos personales entrañe un alto riesgo para sus derechos y libertades, a fin de que puedan adoptar las precauciones necesarias. La comunicación debe describir la naturaleza de la violación de la seguridad de datos personales e incluir recomendaciones para que la persona física afectada mitigue los posibles efectos adversos. Las comunicaciones a los interesados deben realizarse tan pronto como sea razonablemente posible, en estrecha cooperación con la autoridad de control y siguiendo sus directrices o las establecidas por otras autoridades competentes. Así, por ejemplo, la necesidad de mitigar un riesgo inmediato de perjuicio habría que comunicarla a los interesados de forma inmediata, mientras que la necesidad de aplicar medidas adecuadas para impedir que se sigan violando los datos o se produzcan violaciones de la seguridad de datos similares puede justificar más tiempo para la comunicación. Cuando el hecho de retrasar o restringir la comunicación de una violación de la seguridad de datos personales a la persona física afectada no sea suficiente para evitar que se obstaculicen indagaciones, investigaciones o procedimientos oficiales o judiciales, evitar que se cause perjuicio a la prevención, detección, investigación o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales, proteger la seguridad pública o la seguridad nacional o proteger los derechos y libertades de otras personas, dicha comunicación, en circunstancias excepcionales, podrá omitirse.

(63)

El responsable del tratamiento designará a una persona para que le asista en la supervisión del cumplimiento interno de las disposiciones adoptadas en virtud de la presente Directiva, salvo en los casos en los que un Estado miembro decida eximir a los órganos jurisdiccionales y demás autoridades judiciales independientes cuando actúen en el ejercicio de su función jurisdiccional. Dicha persona podrá ser un empleado que ya trabaje para el responsable del tratamiento y que haya recibido una formación especial sobre la legislación y las prácticas de protección de datos, con el fin de adquirir conocimientos especializados en este ámbito. El nivel de conocimientos especializados necesario se debe determinar, en particular, en función del tratamiento de datos que se lleve a cabo y de la protección exigida para los datos personales tratados por el responsable del tratamiento. Podrá desempeñar sus funciones a tiempo completo o a tiempo parcial. Varios responsables del tratamiento podrán nombrar conjuntamente a un mismo delegado de protección de datos teniendo en cuenta su estructura organizativa y tamaño, como, por ejemplo, en el caso de que compartan recursos en unidades centralizadas. Dicha persona también podrá ser designada para ocupar otros cargos dentro de la estructura organizativa de los responsables del tratamiento en cuestión. Debe prestar ayuda al responsable del tratamiento y a los empleados que lleven a cabo el tratamiento de datos personales facilitándoles información y asesoramiento sobre el cumplimiento de las obligaciones que les correspondan en materia de protección de datos. Tales delegados de protección de datos deben estar en condiciones de desempeñar sus deberes y funciones con independencia y de conformidad con el Derecho del Estado miembro.

(64)

Los Estados miembros deben velar por que las transferencias de datos a terceros países o a organizaciones internacionales solo se lleven a cabo si resultan necesarias para la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública, y si el responsable del tratamiento en el tercer país u organización internacional de que se trate es una autoridad competente en el sentido de lo dispuesto en la presente Directiva. Las transferencias de datos solo pueden llevarlas a cabo las autoridades competentes cuando actúen en calidad de responsables del tratamiento, salvo que los encargados del tratamiento hayan recibido instrucciones expresas de llevar a cabo la transferencia en nombre de los responsables del tratamiento. Dichas transferencias pueden tener lugar en los casos en que la Comisión haya decidido que el tercer país o la organización internacional en cuestión garantizan un nivel adecuado de protección, o cuando se hayan ofrecido unas garantías apropiadas o se apliquen excepciones para situaciones específicas. Cuando los datos personales sean transferidos desde la Unión a responsables y encargados del tratamiento u otros destinatarios de terceros países u organizaciones internacionales, no debe verse menoscabado el nivel de protección de las personas físicas que se garantiza en la Unión mediante la presente Directiva, ni tampoco en las transferencias ulteriores de datos personales desde el tercer país u organización internacional a responsables y encargados del tratamiento del mismo u otro tercer país u organización internacional.

(65)

Cuando los datos personales se transfieran de un Estado miembro a terceros países u organizaciones internacionales, dicha transferencia solo debe realizarse, en principio, después de que el Estado miembro del que se obtuvieron los datos haya autorizado la transferencia. A los efectos de una cooperación eficaz en materia policial, es necesario que, cuando la naturaleza de una amenaza para la seguridad pública de un Estado miembro o de un tercer país o para los intereses fundamentales de un Estado miembro sea tan inmediata como para que resulte imposible conseguir la autorización previa a tiempo, la autoridad competente debe poder transferir los datos personales de que se trate al tercer país u organización internacional correspondiente sin dicha autorización previa. Los Estados miembros deben disponer que se comuniquen al tercer país y/o a la organización internacional que corresponda todas las condiciones específicas aplicables a la transferencia. Toda transferencia ulterior de datos personales estará supeditada a la autorización previa de la autoridad competente que llevó a cabo la transferencia inicial. Al decidir si autorizar dicha transferencia ulterior de los datos, la autoridad competente que llevó a cabo la transferencia inicial debe tener debidamente en cuenta todos los factores pertinentes, entre los que se incluye la gravedad de la infracción penal, las condiciones específicas de la transferencia y la finalidad para la que se transfirieron los datos en primera instancia, la naturaleza y las condiciones de ejecución de la sanción penal y el nivel de protección de datos personales existente en el tercer país o la organización internacional a los que se van a transferir los datos. La autoridad competente que llevó a cabo la transferencia inicial también podrá supeditar la transferencia ulterior de los datos a condiciones específicas. Dichas condiciones específicas se pueden describir, por ejemplo, mediante el empleo de códigos de tratamiento.

(66)

La Comisión debe poder decidir, con efectos para toda la Unión, que determinados terceros países, o un territorio, o uno o más sectores específicos de un tercer país, o una organización internacional ofrecen un nivel adecuado de protección de datos, proporcionando así seguridad jurídica y uniformidad en toda la Unión en lo que se refiere a los terceros países u organizaciones internacionales que se considera ofrecen tal nivel de protección. En estos casos, se podrán efectuar transferencias de datos personales a tales países sin necesidad de obtener una autorización específica, salvo que otro Estado miembro, del que se hayan obtenido los datos, tenga que autorizar la transferencia.

(67)

En consonancia con los valores fundamentales en los que se basa la Unión, en particular la protección de los derechos humanos, la Comisión, en su evaluación de un tercer país, de un territorio, o de un sector específico de un tercer país, debe tener en cuenta la medida en que dicho tercer país respeta el Estado de Derecho, el acceso a la justicia y las normas y principios internacionales en materia de derechos humanos, y su Derecho tanto general como sectorial, incluida la legislación relativa a la seguridad pública, la defensa y la seguridad nacional, así como el Derecho penal y el orden público. En la adopción de una decisión de adecuación en relación con un territorio o un sector específico de un tercer país, se deben tener en cuenta criterios claros y objetivos, como las actividades de tratamiento concretas y el ámbito de aplicación de las normas jurídicas y la legislación vigentes en el tercer país. El tercer país en cuestión debe ofrecer garantías que aseguren un nivel de protección adecuado que sea esencialmente equivalente al garantizado en el interior de la Unión, en particular cuando los datos se sometan a tratamiento en uno o varios sectores específicos. En particular, el tercer país debe garantizar la supervisión eficaz e independiente de la protección de datos y establecer mecanismos de cooperación con las autoridades de protección de datos de los Estados miembros, y ofrecer a los interesados derechos efectivos y exigibles, así como un derecho a la tutela administrativa y judicial efectiva.

(68)

Aparte de los compromisos internacionales adquiridos por el tercer país u organización internacional, la Comisión también debe tener en cuenta las obligaciones resultantes de la participación del tercer país u organización internacional en sistemas multilaterales o regionales, en particular en relación con la protección de los datos personales, y el cumplimiento de las citadas obligaciones. En particular, debería tenerse en cuenta la adhesión del país al Convenio del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos personales y su Protocolo adicional. La Comisión debe consultar al Comité Europeo de Protección de Datos establecido por el Reglamento (UE) 2016/… (**) al evaluar el nivel de protección existente en terceros países u organizaciones internacionales. La Comisión también debe tener en cuenta las decisiones de adecuación que haya adoptado de conformidad con el artículo 45 del Reglamento (UE) 2016/… (**).

(69)

La Comisión debe supervisar el funcionamiento de las decisiones relativas al nivel de protección de un tercer país, territorio o sector específico de un tercer país, o de una organización internacional. En sus decisiones de adecuación, la Comisión debe establecer un mecanismo para la revisión periódica de su funcionamiento. Esta revisión periódica debe realizarse en colaboración con el tercer país u organización internacional de que se trate y debe tener en cuenta todas las novedades pertinentes que se produzcan en dicho tercer país u organización internacional.

(70)

La Comisión también debe poder determinar que un tercer país, un territorio, un sector específico de un tercer país o una organización internacional han dejado de garantizar un nivel adecuado de protección de datos. En tal caso, debe prohibirse la transferencia de datos personales a dicho tercer país u organización internacional, salvo que se cumplan los requisitos de la presente Directiva relativos a las transferencias sujetas a garantías y excepciones adecuadas para situaciones particulares. Deben establecerse los procedimientos para la celebración de consultas entre la Comisión y dichos terceros países u organizaciones internacionales. La Comisión debe informar oportunamente al tercer país u organización internacional de las razones de la situación y entablar consultas a fin de subsanarla.

(71)

Las transferencias no basadas en tales decisiones de adecuación solo deben permitirse cuando se hayan ofrecido las garantías adecuadas en un instrumento jurídicamente vinculante que aseguren la protección de los datos personales o cuando el responsable del tratamiento haya evaluado todas las circunstancias de la transferencia de datos y, sobre la base de tal evaluación, considere que se dan las garantías adecuadas con respecto a la protección de los datos personales. Tales instrumentos jurídicamente vinculantes podrían ser, por ejemplo, acuerdos bilaterales jurídicamente vinculantes celebrados por los Estados miembros y aplicados en su ordenamiento jurídico y cuyo cumplimiento pueda ser exigido por los interesados de dichos Estados, de forma que se garantice el cumplimento de los requisitos de protección de datos y el respeto de los derechos de los interesados, entre los que se incluye el derecho a la tutela administrativa o judicial efectiva. El responsable del tratamiento puede tener en cuenta los acuerdos de cooperación celebrados entre Europol o Eurojust y terceros países que permitan el intercambio de datos personales al llevar a cabo la evaluación de todas las circunstancias que concurran en la transferencia de datos. El responsable del tratamiento también puede tener en cuenta si la transferencia de datos va a estar sujeta a obligaciones de confidencialidad y al principio de especificidad, que garantiza que los datos no se tratarán para fines distintos de aquellos para los que se han transferido. Además, el responsable del tratamiento debe verificar que los datos personales no vayan a ser utilizados para solicitar, dictar o ejecutar la pena capital u otra forma de trato cruel o inhumano. Aunque estas condiciones puedan considerarse protecciones adecuadas que permitan la trasferencia de los datos, el responsable del tratamiento podrá exigir salvaguardias adicionales.

(72)

De no existir ni una decisión de adecuación ni unas garantías adecuadas, únicamente podrá realizarse una transferencia de datos o una categoría de transferencias de datos en situaciones específicas, y si fuera necesario, a fin de proteger los intereses vitales del interesado o de otra persona, o de proteger los intereses legítimos del interesado cuando así lo disponga la legislación del Estado miembro que transfiere los datos personales, para prevenir una amenaza inmediata y grave para la seguridad pública de un Estado miembro o de un tercer país, en un caso concreto a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a amenazas para la seguridad pública, o en un caso concreto para el reconocimiento, el ejercicio o la defensa de una pretensión jurídica. Dichas excepciones se deben interpretar de forma restrictiva y no permitir la transferencia frecuente, en masa y estructural de datos personales ni la transferencia de datos a gran escala, sino limitarse a los datos estrictamente necesarios. Tales transferencias deben documentarse y ponerse a disposición de la autoridad de supervisión cuando así lo solicite, a fin de supervisar la licitud de las transferencias.

(73)

Las autoridades competentes de los Estados miembros están aplicando acuerdos internacionales vigentes, de carácter bilateral o multilateral, celebrados con terceros países en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial para el intercambio de información de interés que les permita desempeñar las funciones que les encomienda la ley. En principio, estos intercambios se realizan a través de las autoridades correspondientes de los terceros países en cuestión a efectos de la presente Directiva, o al menos con su cooperación, en ocasiones incluso sin que exista un acuerdo internacional bilateral o multilateral. Sin embargo, en determinados casos particulares, los procedimientos habituales que exigen contactar con la autoridad del tercer país en cuestión pueden ser ineficaces o inadecuados, en particular por no permitir efectuar la transferencia de forma oportuna, o porque dicha autoridad del tercer país no respete el Estado de Derecho o las normas y principios internacionales en materia de derechos humanos, en cuyo caso las autoridades competentes de los Estados miembros pueden decidir transferir los datos personales directamente a destinatarios establecidos en terceros países. Este caso puede darse cuando haya una necesidad urgente de transferir datos personales para salvar la vida de una persona que esté en peligro de ser víctima de una infracción penal o para prevenir la comisión inminente de un delito, en particular, de terrorismo. Aunque dicho tipo de transferencias de datos entre autoridades competentes y destinatarios establecidos en terceros países solo debe producirse en casos concretos y específicos, la presente Directiva debe prever condiciones para la reglamentación de tales casos. Esas disposiciones no deben considerarse excepciones a ningún acuerdo internacional existente, ya sea bilateral o multilateral, en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial. Dichas normas deben aplicarse además de las demás normas de la presente Directiva, en particular las relativas a la licitud del tratamiento y las del capítulo V.

(74)

Cuando los datos personales circulan a través de las fronteras, se puede poner en mayor riesgo la capacidad de las personas físicas para ejercer sus derechos de protección de datos con el fin de protegerse contra la utilización o comunicación ilícitas de dichos datos. Al mismo tiempo, es posible que las autoridades de control se vean en la imposibilidad de tramitar reclamaciones o realizar investigaciones relativas a actividades realizadas fuera de sus fronteras. Sus esfuerzos por colaborar en el ámbito transfronterizo también pueden verse obstaculizados por la insuficiencia de las facultades preventivas o correctivas o la incoherencia de los ordenamientos jurídicos. Por tanto, es necesario fomentar una cooperación más estrecha entre las autoridades de control de la protección de datos a fin de contribuir al intercambio de información con sus homólogos extranjeros.

(75)

La creación en los Estados miembros de autoridades de control que ejerzan sus funciones con plena independencia constituye un elemento esencial de la protección de las personas físicas en lo que respecta al tratamiento de datos personales. Las autoridades de control deben supervisar la aplicación de las disposiciones adoptadas en aplicación de la presente Directiva y deben contribuir a su aplicación coherente en toda la Unión, con el fin de proteger a las personas físicas en relación con el tratamiento de sus datos personales. Para ello, las autoridades de control deben cooperar entre sí y con la Comisión.

(76)

Los Estados miembros pueden confiar a una autoridad de control que ya haya sido creada de conformidad con el Reglamento (UE) 2016/… (**) la responsabilidad correspondiente a las funciones que hayan de desempeñar las autoridades nacionales de control que se creen con arreglo a lo dispuesto en la presente Directiva.

(77)

Se debe autorizar a los Estados miembros a crear más de una autoridad de control con objeto de reflejar su estructura constitucional, organizativa y administrativa. Todas las autoridades de control deben estar dotadas de los recursos financieros y humanos, los locales y las infraestructuras que sean necesarios para la realización eficaz de sus funciones, en particular las relacionadas con la asistencia recíproca y la cooperación con otras autoridades de control de la Unión. Cada autoridad de control debe disponer de un presupuesto anual público independiente, que podrá formar parte del presupuesto general estatal o nacional.

(78)

Las autoridades de control deben estar sujetas a mecanismos de control o supervisión independientes en relación con sus gastos financieros, siempre que este control financiero no afecte a su independencia.

(79)

Las condiciones generales aplicables al miembro o miembros de la autoridad de control deben establecerse en el Derecho del Estado miembro, y disponer, entre otras cosas, que dichos miembros sean nombrados por el Parlamento, o el Gobierno o el jefe de Estado del Estado miembro, a partir de una propuesta del Gobierno o de un miembro del Gobierno, o del Parlamento o su Cámara, o por un organismo independiente al que el Derecho del Estado miembro encomiende el nombramiento mediante un procedimiento transparente. Con el fin de garantizar la independencia de la autoridad de control, sus miembros deben actuar con integridad, abstenerse de cualquier acción que sea incompatible con sus funciones y no deben participar, mientras dure su mandato, en ninguna actividad profesional incompatible, sea o no remunerada. Con el fin de garantizar la independencia de la autoridad de control, el personal ha de ser seleccionado por la autoridad de control, lo que podrá incluir la intervención de un organismo independiente encomendado por el Derecho del Estado miembro.

(80)

Aunque la presente Directiva también se aplica a las actividades de los órganos jurisdiccionales nacionales y otras autoridades judiciales, la competencia de las autoridades de control no debe abarcar el tratamiento de datos personales cuando los órganos jurisdiccionales actúen en ejercicio de su función jurisdiccional, con el fin de garantizar la independencia de los jueces en el desempeño de sus funciones. Esta excepción debe limitarse a actividades judiciales en juicios y no debe aplicarse a otras actividades en las que puedan estar implicados los jueces, de conformidad con el Derecho del Estado miembro. Los Estados miembros pueden disponer también que la competencia de la autoridad de control no abarque el tratamiento de datos personales realizado por otras autoridades judiciales independientes en el ejercicio de su función jurisdiccional, por ejemplo la fiscalía. En todo caso, el cumplimiento de las normas de la presente Directiva por los órganos jurisdiccionales y otras autoridades judiciales independientes debe estar sujeto siempre a una supervisión independiente de conformidad con el artículo 8, apartado 3, de la Carta.

(81)

Cada autoridad de control debe atender a las reclamaciones presentadas por cualquier interesado y debe investigar el asunto o transmitirlo a la autoridad de control competente. La investigación a raíz de una reclamación debe llevarse a cabo, bajo control jurisdiccional, en la medida en que sea adecuada en el caso específico. La autoridad de control debe informar al interesado de la evolución y el resultado de la reclamación en un plazo razonable. Si el caso requiere una mayor investigación o coordinación con otra autoridad de control, se debe facilitar información intermedia al interesado.

(82)

Para garantizar una supervisión del cumplimiento y una ejecución eficaces, fiables y coherentes de la presente Directiva en toda la Unión con arreglo al TFUE a tenor de la interpretación del Tribunal de Justicia, las autoridades de control deben tener en cada Estado miembro las mismas funciones y los mismos poderes efectivos, incluidos los poderes de investigación, los poderes de corrección y los poderes consultivos que constituyan los medios necesarios para el desempeño de sus funciones. Sin embargo, sus competencias no deben afectar a las normas específicas previstas para los procesos penales, incluidos la investigación y el enjuiciamiento de infracciones penales, ni a la independencia del poder judicial. Sin perjuicio de las atribuciones del ministerio fiscal con arreglo al Derecho del Estado miembro, las autoridades de control deben tener también competencia para poner en conocimiento de las autoridades judiciales las infracciones de la presente Directiva y/o capacidad para litigar. Los poderes de las autoridades de control deben ejercerse de conformidad con las garantías procesales adecuadas establecidas en el Derecho de la Unión y de los Estados miembros, de forma imparcial y justa y en un plazo razonable. En particular, toda medida debe ser adecuada, necesaria y proporcionada con vistas a garantizar el cumplimiento de la presente Directiva, teniendo en cuenta las circunstancias de cada caso concreto, respetar el derecho de todas las personas a ser oídas antes de que se adopte cualquier medida que les afecte negativamente y evitar costes superfluos y molestias excesivas para las personas afectadas. Los poderes de investigación en lo que se refiere al acceso a instalaciones deben ejercerse de conformidad con los requisitos específicos del Derecho del Estado miembro, como el de obtener una autorización judicial previa. Las decisiones jurídicamente vinculantes que se adopten deben estar sujetas a control jurisdiccional en el Estado miembro de la autoridad de control que haya adoptado la decisión.

(83)

Las autoridades de control deben ayudarse en el desempeño de sus funciones y facilitarse ayuda mutua, con el fin de garantizar la aplicación y ejecución coherentes de las disposiciones adoptadas con arreglo a la presente Directiva.

(84)

El Comité Europeo de Protección de Datos debe contribuir a la aplicación coherente de la presente Directiva en el conjunto de la Unión, entre otras cosas asesorando a la Comisión y fomentando la cooperación de las autoridades de control en toda la Unión.

(85)

Todo interesado debe tener derecho a presentar una reclamación ante una única autoridad de control y a presentar un recurso judicial efectivo de conformidad con el artículo 47 de la Carta si considera que se vulneran sus derechos según las disposiciones adoptadas en virtud de la presente Directiva o en caso de que la autoridad de control no reaccione ante una reclamación, rechace o desestime total o parcialmente una reclamación o no actúe cuando su actuación sea necesaria para proteger los derechos del interesado. La investigación a raíz de una reclamación debe llevarse a cabo, bajo control jurisdiccional, en la medida en que sea adecuada en el caso específico. La autoridad de control competente debe informar al interesado de la evolución y el resultado de la reclamación en un plazo razonable. Si el caso requiere una mayor investigación o coordinación con otra autoridad de control, se debe facilitar información intermedia al interesado. Para facilitar la presentación de reclamaciones, cada autoridad de control debe adoptar medidas como ofrecer un formulario de reclamaciones que pueda cumplimentarse también por vía electrónica, sin excluir otros medios de comunicación.

(86)

Toda persona física o jurídica debe tener derecho a presentar un recurso judicial efectivo ante el órgano jurisdiccional nacional competente contra las decisiones de una autoridad de control que produzcan efectos jurídicos que le conciernan. Tales decisiones se refieren en particular al ejercicio de los poderes de investigación, corrección y autorización por parte de la autoridad de control o a la desestimación o rechazo de las reclamaciones. No obstante, este derecho no incluye otras medidas de las autoridades de control que no sean jurídicamente vinculantes, como los dictámenes publicados o el asesoramiento facilitado por la autoridad de control. Las acciones legales contra una autoridad de control deben ejercerse ante los órganos jurisdiccionales del Estado miembro en el que esté establecida la autoridad de control y conducirse con arreglo al Derecho del Estado miembro. Esos órganos jurisdiccionales deben ejercer la plena jurisdicción, que debe incluir la jurisdicción para examinar todas las circunstancias de hecho y de Derecho relativas al litigio en el que entiendan.

(87)

Cuando el interesado considere que se conculcan sus derechos reconocidos en la presente Directiva, tendrá derecho a dar mandato a una entidad que tenga por objeto proteger los derechos e intereses de los interesados en relación con la protección de sus datos personales y esté constituida con arreglo al Derecho del Estado miembro, para que presente, en su nombre, una reclamación ante la autoridad de control y ejerza el derecho al recurso judicial. El derecho a representación de los interesados será sin perjuicio del Derecho procesal del Estado miembro que pueda requerir una representación obligatoria de los interesados por parte de un abogado, como se define en la Directiva 77/249/CEE del Consejo (10), ante los tribunales nacionales.

(88)

Cualquier perjuicio que pueda sufrir una persona como consecuencia de un tratamiento que infrinja disposiciones adoptadas en virtud de la presente Directiva debe ser compensado por el responsable o cualquier otra autoridad competente en virtud del Derecho del Estado miembro. El concepto de perjuicio debe interpretarse en sentido amplio a la luz de la jurisprudencia del Tribunal de Justicia y de tal modo que refleje plenamente los objetivos de la presente Directiva. Lo anterior se entiende sin perjuicio de cualquier reclamación por daños y perjuicios derivada de la vulneración de otras normas del Derecho de la Unión o de los Estados miembros. Las referencias a operaciones de tratamiento ilícitas o que incumplan las disposiciones adoptadas en virtud de la presente Directiva abarcan asimismo las operaciones de tratamiento que incumplan actos de ejecución adoptados en virtud de la presente Directiva. Los interesados deben recibir una compensación total y efectiva por el perjuicio sufrido.

(89)

Deben imponerse sanciones a toda persona física o jurídica, ya sean de Derecho público o privado, que no cumpla la presente Directiva. Los Estados miembros deben asegurarse de que las sanciones sean efectivas, proporcionadas y disuasorias y deben tomar todas las medidas para su aplicación.

(90)

Con el fin de garantizar unas condiciones uniformes para la aplicación de la presente Directiva, se deben conferir competencias de ejecución a la Comisión con objeto de especificar: el nivel adecuado de protección que ofrece un tercer país, un territorio o un sector especificado en dicho tercer país o una organización internacional; el formato y los procedimientos de asistencia mutua y a las disposiciones aplicables al intercambio electrónico de información entre las autoridades de control, y entre estas y el Comité Europeo de Protección de Datos. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo (11).

(91)

Debe emplearse el procedimiento de examen para la adopción de actos de ejecución sobre el nivel adecuado de protección que ofrece un tercer país, un territorio o un sector especificado en dicho tercer país o una organización internacional así como sobre el formato y los procedimientos de asistencia mutua y las disposiciones aplicables al intercambio electrónico de información entre las autoridades de control, y entre estas y el Comité Europeo de Protección de Datos, dado que dichos actos son de alcance general.

(92)

La Comisión debe adoptar actos de ejecución inmediatamente aplicables cuando así lo requieran razones perentorias, en casos debidamente justificados relacionados con un tercer país, un territorio o un sector específico en ese tercer país, o una organización internacional que ya no garanticen un nivel de protección adecuado.

(93)

Dado que los objetivos de la presente Directiva, a saber, proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales y garantizar el libre intercambio de datos personales por parte de las autoridades competentes en la Unión, no pueden ser alcanzados de manera suficiente por los Estados miembros, sino que, debido a la dimensión o los efectos de la acción, pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del TUE. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, la presente Directiva no excede de lo necesario para alcanzar dichos objetivos.

(94)

No deben verse afectadas las disposiciones específicas de actos de la Unión adoptados antes de la fecha de adopción de la presente Directiva en el ámbito de la cooperación judicial en materia penal o de la cooperación policial que regulen el tratamiento de los datos personales entre los Estados miembros o el acceso de las autoridades designadas de los Estados miembros a los sistemas de información establecidos con arreglo a lo dispuesto en los Tratados, como por ejemplo las disposiciones específicas relativas a la protección de los datos personales que se aplican en virtud de la Decisión 2008/615/JAI del Consejo (12), o el artículo 23 del Convenio relativo a la asistencia judicial en materia penal entre los Estados miembros de la Unión Europea (13). Dado que el artículo 8 de la Carta y el artículo 16 del TFUE conllevan que el derecho fundamental a la protección de los datos personales debe estar garantizado de manera coherente y homogénea en toda la Unión, la Comisión debe evaluar la situación con respecto a la relación entre la presente Directiva y los actos adoptados con anterioridad a su fecha de adopción que regulan el tratamiento de los datos personales entre los Estados miembros o el acceso de las autoridades designadas de los Estados miembros a los sistemas de información establecidos con arreglo a lo dispuesto en los Tratados, a fin de evaluar la necesidad de adaptar estas disposiciones específicas a la presente Directiva. Cuando corresponda, la Comisión debe presentar propuestas encaminadas a garantizar normas jurídicas coherentes en relación con el tratamiento de los datos personales.

(95)

Con el fin de garantizar una protección amplia y coherente de los datos personales en la Unión, los acuerdos internacionales celebrados por los Estados miembros con anterioridad a la fecha de entrada en vigor de la presente Directiva y que respeten el Derecho correspondiente de la Unión aplicable antes de dicha fecha deben seguir en vigor hasta que sean modificados, sustituidos o revocados.

(96)

Los Estados miembros deben poder contar con un plazo de no más de dos años desde la entrada en vigor de la presente Directiva para incorporarla a su Derecho nacional. Todo tratamiento ya iniciado en dicha fecha debe adaptarse a lo establecido en la presente Directiva en un plazo de dos años a partir de la entrada en vigor de la presente Directiva. No obstante, si dicho tratamiento cumple el Derecho de la Unión aplicable antes de la fecha de entrada en vigor de la presente Directiva, los requisitos de la presente Directiva relativos a la consulta previa a la autoridad de control no deben aplicarse a las operaciones de tratamiento ya iniciadas antes de la mencionada fecha, dado que estos requisitos, por su propia naturaleza, han cumplirse antes del tratamiento. Cuando los Estados miembros se acojan al plazo de aplicación más largo que caduca siete años después de la fecha de entrada en vigor de la presente Directiva para cumplir las obligaciones de registro aplicables a los sistemas de tratamiento automatizados establecidos con anterioridad a dicha fecha, el responsable o encargado del tratamiento deben contar con métodos eficaces de demostrar la legalidad del tratamiento de datos, de permitir el autocontrol y de asegurar la integridad y la seguridad de los datos, como las anotaciones en un registro diario.

(97)

La presente Directiva se entiende sin perjuicio de las normas relativas a la lucha contra los abusos sexuales, la explotación sexual de los menores, y la pornografía infantil, tal como se establecen en la Directiva 2011/93/UE del Parlamento Europeo y del Consejo (14).

(98)

Por consiguiente, la Decisión Marco 2008/977/JAI debe ser derogada en consecuencia.

(99)

De conformidad con el artículo 6 bis del Protocolo n.o 21 sobre la posición del Reino Unido y de Irlanda respecto del espacio de libertad, seguridad y justicia, anejo al TUE y al TFUE, no son vinculantes para el Reino Unido e Irlanda las normas establecidas en la presente Directiva relativas a tratamiento de datos personales por parte de los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del capítulo 4 o el capítulo 5 del título V de la tercera parte del TFUE en la medida en que no sean vinculantes para estos Estados las normas de la Unión que regulen formas de cooperación judicial en materia penal y de cooperación policial en cuyo marco deban respetarse las disposiciones establecidas sobre la base del artículo 16 del TFUE.

(100)

De conformidad con lo dispuesto en los artículos 2 y 2 bis del Protocolo n.o 22 sobre la posición de Dinamarca, anejo al TUE y al TFUE, Dinamarca no queda obligada por las normas establecidas en la presente Directiva que se relacionen con el tratamiento de datos personales por parte de los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del capítulo 4 o el capítulo 5 del título V de la tercera parte del TFUE, ni está sujeta a su aplicación. Dado que la presente Directiva desarrolla el acervo de Schengen en el marco de las disposiciones del título V de la tercera parte del TFUE, de conformidad con el artículo 4 del mencionado Protocolo, Dinamarca debe decidir, en un plazo de seis meses a partir de la adopción de la presente Directiva, si lo incorpora a su legislación nacional.

(101)

Por lo que se refiere a Islandia y Noruega, la presente Directiva constituye un desarrollo de las disposiciones del acervo de Schengen, como se establece en el Acuerdo celebrado por el Consejo de la Unión Europea con la República de Islandia y el Reino de Noruega sobre la asociación de estos dos Estados a la ejecución, aplicación y desarrollo del acervo de Schengen (15).

(102)

Por lo que respecta a Suiza, la presente Directiva constituye un desarrollo de las disposiciones del acervo de Schengen, como se establece en el Acuerdo entre la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, aplicación y desarrollo del acervo de Schengen (16).

(103)

Por lo que respecta a Liechtenstein, la presente Directiva constituye un desarrollo de las disposiciones del acervo de Schengen, como se establece en el Protocolo entre la Unión Europea, la Comunidad Europea, la Confederación Suiza y el Principado de Liechtenstein sobre la adhesión del Principado de Liechtenstein al Acuerdo entre la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, aplicación y desarrollo del acervo de Schengen (17).

(104)

La presente Directiva respeta los derechos fundamentales y observa los principios reconocidos en la Carta, consagrados en el TFUE, en particular el derecho al respeto de la vida privada y familiar, el derecho a la protección de los datos personales y el derecho a la tutela judicial efectiva y a un juez imparcial. Las limitaciones aplicadas a estos derechos son conformes al artículo 52, apartado 1, de la Carta ya que son necesarias para alcanzar objetivos de interés general reconocidos por la Unión o responden a la necesidad de proteger los derechos y libertades de terceros.

(105)

De conformidad con la Declaración política conjunta, de 28 de septiembre de 2011, de los Estados miembros y de la Comisión sobre los documentos explicativos, en casos justificados, los Estados miembros se comprometen a adjuntar a la notificación de las medidas de transposición uno o varios documentos que expliquen la relación entre los componentes de una directiva y las partes correspondientes de las medidas nacionales de transposición. Tratándose de la presente Directiva, el legislador considera justificada la transmisión de dichos documentos.

(106)

El Supervisor Europeo de Protección de Datos ha sido consultado de conformidad con el artículo 28, apartado 2, del Reglamento (CE) n.o 45/2001 y emitió un dictamen el 7 de marzo de 2012 (18).

(107)

La presente Directiva no debe impedir que los Estados miembros regulen el ejercicio de los derechos de los interesados en materia de información, acceso a los datos personales, rectificación o supresión de estos y limitación de su tratamiento en el marco de un procedimiento penal, y las posibles restricciones de tales derechos, mediante el Derecho procesal penal nacional.

a)

proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales, y

b)

garantizar que el intercambio de datos personales por parte de las autoridades competentes en el interior de la Unión, en caso de que el Derecho de la Unión o del Estado miembro exijan dicho intercambio, no quede restringido ni prohibido por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.

a)

en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;

b)

por parte de las instituciones, órganos u organismos de la Unión.

a)

toda autoridad pública competente para la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluidas la protección y prevención frente a amenazas para la seguridad pública, o

b)

cualquier otro órgano o entidad a quien el Derecho del Estado miembro haya confiado el ejercicio de la autoridad pública y las competencias públicas a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales o ejecución de sanciones penales, incluidas la protección y prevención frente a amenazas para la seguridad pública;

a)

tratados de manera lícita y leal;

b)

recogidos con fines determinados, explícitos y legítimos, y no ser tratados de forma incompatible con esos fines;

c)

adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados;

d)

exactos y, si fuera necesario, actualizados; se habrán de adoptar todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que son tratados;

e)

conservados de forma que permita identificar al interesado durante un periodo no superior al necesario para los fines para los que son tratados;

f)

tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidentales, mediante la aplicación de medidas técnicas u organizativas adecuadas.

a)

el responsable del tratamiento esté autorizado a tratar dichos datos personales para dicho fin de conformidad con el Derecho de la Unión o del Estado miembro, y

b)

el tratamiento sea necesario y proporcionado para ese otro fin de conformidad con el Derecho de la Unión o del Estado miembro.

a)

personas respecto de las cuales existan motivos fundados para presumir que han cometido o van a cometer una infracción penal;

b)

personas condenadas por una infracción penal;

c)

víctimas de una infracción penal o personas respecto de las cuales determinados hechos den lugar a pensar que puedan ser víctimas de una infracción penal, y

d)

terceras partes involucradas en una infracción penal como, por ejemplo, personas que puedan ser citadas a testificar en investigaciones relacionadas con infracciones penales o procedimientos penales ulteriores, o personas que puedan facilitar información sobre infracciones penales, o personas de contacto o asociados de una de las personas mencionadas en las letras a) y b).

a)

lo autorice el Derecho de la Unión o del Estado miembro;

b)

sea necesario para proteger los intereses vitales del interesado o de otra persona física, o

c)

dicho tratamiento se refiera a datos que el interesado haya hecho manifiestamente públicos.

a)

cobrar un canon razonable, teniendo en cuenta los costes administrativos afrontados para facilitar la información o la comunicación o realizar la acción solicitada, o

b)

negarse a actuar según lo solicitado.

a)

la identidad y los datos de contacto del responsable del tratamiento;

b)

en su caso, los datos de contacto del delegado de protección de datos;

c)

los fines del tratamiento a que se destinen los datos personales;

d)

el derecho a presentar una reclamación ante la autoridad de control y los datos de contacto de la misma;

e)

la existencia del derecho a solicitar del responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o su supresión, o la limitación de su tratamiento.

a)

la base jurídica del tratamiento;

b)

el plazo durante el cual se conservarán los datos personales o, cuando esto no sea posible, los criterios utilizados para determinar ese plazo;

c)

cuando corresponda, las categorías de destinatarios de los datos personales, en particular en terceros países u organizaciones internacionales;

d)

cuando sea necesario, más información, en particular cuando los datos personales se hayan recogido sin conocimiento del interesado.

a)

evitar que se obstaculicen indagaciones, investigaciones o procedimientos oficiales o judiciales;

b)

evitar que se cause perjuicio a la prevención, detección, investigación o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales;

c)

proteger la seguridad pública;

d)

proteger la seguridad nacional;

e)

proteger los derechos y libertades de otras personas.

a)

los fines y la base jurídica del tratamiento;

b)

las categorías de datos personales de que se trate;

c)

los destinatarios o las categorías de destinatarios a quienes hayan sido comunicados los datos personales, en particular los destinatarios establecidos en terceros países o las organizaciones internacionales;

d)

cuando sea posible, el plazo contemplado durante el cual se conservarán los datos personales o, de no ser posible, los criterios utilizados para determinar dicho plazo;

e)

la existencia del derecho a solicitar del responsable del tratamiento la rectificación o supresión de los datos personales relativos al interesado, o la limitación de su tratamiento;

f)

el derecho a presentar una reclamación ante la autoridad de control y los datos de contacto de la misma;

g)

la comunicación de los datos personales objeto de tratamiento, así como cualquier información disponible sobre su origen.

a)

evitar que se obstaculicen indagaciones, investigaciones o procedimientos oficiales o judiciales;

b)

evitar que se cause perjuicio a la prevención, detección, investigación o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales;

c)

proteger la seguridad pública;

d)

proteger la seguridad nacional;

e)

proteger los derechos y libertades de otras personas.

a)

el interesado ponga en duda la exactitud de los datos personales y no pueda determinarse la exactitud o inexactitud, o

b)

los datos personales hayan de conservarse a efectos probatorios.

a)

evitar que se obstaculicen indagaciones, investigaciones o procedimientos oficiales o judiciales;

b)

evitar que se cause perjuicio a la prevención, detección, investigación o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales;

c)

proteger la seguridad pública;

d)

proteger la seguridad nacional;

e)

proteger los derechos y libertades de otras personas.

a)

actúe únicamente siguiendo las instrucciones del responsable del tratamiento;

b)

garantice que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación profesional de confidencialidad;

c)

asista al responsable del tratamiento por cualquier medio adecuado para garantizar el cumplimiento de las disposiciones sobre los derechos del interesado;

d)

a elección del responsable del tratamiento, suprima o devuelva todos los datos personales al responsable del tratamiento una vez finalice la prestación de los servicios de tratamiento, y suprima las copias existentes a menos que el Derecho de la Unión o del Estado miembro requieran la conservación de los datos personales;

e)

ponga a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento del presente artículo;

f)

respete las condiciones indicadas en los apartados 2 y 3 para contratar a otro encargado del tratamiento.

a)

el nombre y los datos de contacto del responsable del tratamiento y, en su caso, del corresponsable y del delegado de protección de datos;

b)

los fines del tratamiento;

c)

las categorías de destinatarios a quienes se hayan comunicado o vayan a comunicarse los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

d)

una descripción de las categorías de interesados y de las categorías de datos personales;

e)

en su caso, el recurso a la elaboración de perfiles;

f)

en su caso, las categorías de transferencias de datos personales a un tercer país o a una organización internacional;

g)

una indicación de la base jurídica del tratamiento, incluidas las transferencias, de que van a ser objeto los datos personales;

h)

cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos personales;

i)

cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 29, apartado 1.

a)

el nombre y los datos de contacto del encargado o encargados del tratamiento, de cada responsable del tratamiento en cuyo nombre actúe el encargado y, si ha lugar, el delegado de protección de datos;

b)

las categorías de tratamientos efectuados en nombre de cada responsable;

c)

en su caso, las transferencias de datos personales a un tercer país o a una organización internacional, incluida, cuando el responsable del tratamiento así lo ordene explícitamente, la identificación de dicho tercer país o de dicha organización internacional;

d)

cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 27, apartado 1.

a)

la evaluación del impacto en la protección de los datos que prevé el artículo 27 indique que el tratamiento entrañaría un alto riesgo a falta de medidas adoptadas por el responsable a fin de mitigar el riesgo, o

b)

el tipo de tratamiento, en particular cuando se usen tecnologías, mecanismos o procedimientos nuevos, constituya un alto riesgo para los derechos y libertades de los interesados.

a)

denegar el acceso a personas no autorizadas a los equipamientos utilizados para el tratamiento (control de acceso a los equipamientos);

b)

impedir que los soportes de datos puedan ser leídos, copiados, modificados o cancelados por personas no autorizadas (control de los soportes de datos);

c)

impedir que se introduzcan sin autorización datos personales conservados, o que estos puedan inspeccionarse, modificarse o suprimirse sin autorización (control del almacenamiento);

d)

impedir que los sistemas de tratamiento automatizado puedan ser utilizados por personas no autorizadas por medio de instalaciones de transmisión de datos (control de los usuarios);

e)

garantizar que las personas autorizadas a utilizar un sistema de tratamiento automatizado solo puedan tener acceso a los datos personales para los que han sido autorizados (control del acceso a los datos);

f)

garantizar que sea posible verificar y establecer a qué organismos se han transmitido o pueden transmitirse o a cuya disposición pueden ponerse los datos personales mediante equipamientos de comunicación de datos (control de la transmisión);

g)

garantizar que pueda verificarse y constatarse a posteriori qué datos personales se han introducido en los sistemas de tratamiento automatizado y en qué momento y por qué persona han sido introducidos (control de la introducción);

h)

impedir que durante las transferencias de datos personales o durante el transporte de soportes de datos, los datos personales puedan ser leídos, copiados, modificados o suprimidos sin autorización (control del transporte);

i)

garantizar que los sistemas instalados puedan restablecerse en caso de interrupción (restablecimiento);

j)

garantizar que las funciones del sistema no presenten defectos, que los errores de funcionamiento sean señalados (fiabilidad) y que los datos personales almacenados no se degraden por fallos de funcionamiento del sistema (integridad).

a)

describir la naturaleza de la violación de la seguridad de los datos personales, incluyendo, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;

b)

comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;

c)

describir las posibles consecuencias de la violación de la seguridad de los datos personales;

d)

describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar sus posibles efectos negativos.

a)

el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativa apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;

b)

el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no sea probable que se materialice el alto riesgo para los derechos y libertades del interesado a que hace referencia el apartado 1;

c)

suponga un esfuerzo desproporcionado. En este supuesto, se optará a cambio por una comunicación pública o una medida semejante mediante la cual se informe a los interesados de manera igualmente efectiva.

a)

informar y asesorar al responsable del tratamiento y a los empleados que se ocupen del mismo de las obligaciones que les incumben en virtud de la presente Directiva y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;

b)

supervisar el cumplimiento de lo dispuesto en la presente Directiva, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable del tratamiento en materia de protección de datos personales, incluidas la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;

c)

ofrecer el asesoramiento que se le pida acerca de la evaluación de impacto relativa a la protección de datos y supervisar su realización de conformidad con el artículo 27;

d)

cooperar con la autoridad de control;

e)

actuar como punto de contacto de la autoridad de control para las cuestiones relacionadas con el tratamiento, incluida la consulta previa a que hace referencia el artículo 28, y realizar consultas, en su caso, sobre cualquier otro asunto.

a)

la transferencia sea necesaria a los fines establecidos en el artículo 1, apartado 1;

b)

los datos personales se transfieran a un responsable del tratamiento de un tercer país u organización internacional que sea una autoridad pública competente a los fines mencionados en el artículo 1, apartado 1;

c)

en caso de que los datos personales se transmitan o procedan de otro Estado miembro, dicho Estado miembro haya dado su autorización previa para la transferencia de conformidad con el Derecho nacional:

d)

la Comisión haya adoptado una decisión de adecuación con arreglo al artículo 36 o, a falta de dicha decisión, cuando las garantías apropiadas se obtengan o existan de conformidad con el artículo 37 o, a falta de una decisión de adecuación en virtud del artículo 36 y de las garantías apropiadas de conformidad con el artículo 37, se apliquen excepciones para situaciones específicas de conformidad con el artículo 38, y

e)

cuando se trate de una transferencia ulterior a otro tercer país u organización internacional, la autoridad competente que haya efectuado la transferencia inicial u otra autoridad competente del mismo Estado miembro autorice la transferencia ulterior, una vez considerados debidamente todos los factores pertinentes, entre éstos la gravedad de la infracción penal, la finalidad para la que se transfirieron inicialmente los datos personales y el nivel de protección de los datos personales existente en el tercer país u organización internacional a los que se transfieran ulteriormente los datos personales.

a)

el Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislación pertinente, tanto general como sectorial, incluidas la seguridad pública, la defensa, la seguridad nacional, el Derecho penal y el acceso de las autoridades públicas a los datos personales, así como la aplicación de dicha legislación, las normas de protección de los datos, las normas profesionales y las medidas de seguridad, incluidas las normas para las transferencias ulteriores de datos personales a otro tercer país u organización internacional que se apliquen en el tercer país o en la organización internacional en cuestión, la jurisprudencia, así como los derechos del interesado efectivos y exigibles y un derecho de recurso administrativo y judicial efectivo de los interesados cuyos datos personales son transferidos;

b)

la existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país o a las que esté sujeta una organización internacional, con la responsabilidad de garantizar y ejecutar el cumplimiento de las normas en materia de protección de datos, incluidos los poderes ejecutivos adecuados, de asistir y asesorar a los interesados en el ejercicio de sus derechos y de cooperar con las autoridades de control de los Estados miembros, y

c)

los compromisos internacionales asumidos por el tercer país o la organización internacional correspondiente, u otras obligaciones que deriven de convenios o instrumentos jurídicamente vinculantes o de su participación en sistemas multilaterales o regionales, en particular en relación con la protección de datos personales.

a)

se hayan aportado garantías apropiadas con respecto a la protección de datos personales en un instrumento jurídicamente vinculante, o

b)

el responsable del tratamiento haya evaluado todas las circunstancias que concurren en la transferencia de datos personales y hayan llegado a la conclusión de que existen garantías apropiadas con respecto a la protección de datos personales.

a)

para proteger los intereses vitales del interesado o de otra persona;

b)

para salvaguardar intereses legítimos del interesado cuando así lo disponga el Derecho del Estado miembro que transfiere los datos personales;

c)

para prevenir una amenaza grave e inmediata para la seguridad pública de un Estado miembro o de un tercer país;

d)

en casos individuales a efectos del artículo 1, apartado 1, o

e)

en un caso individual para el establecimiento, el ejercicio o la defensa de acciones legales en relación con los fines expuestos en el artículo 1, apartado 1.

a)

la transferencia sea estrictamente necesaria para la realización de una función de la autoridad competente de la transferencia según dispone el Derecho de la Unión o del Estado miembro a los fines expuestos en el artículo 1, apartado 1;

b)

la autoridad competente de la transferencia determine que ninguno de los derechos y libertades fundamentales del interesado en cuestión son superiores al interés público que precise de la transferencia de que se trate;

c)

la autoridad competente de la transferencia considere que la transferencia a una autoridad competente del tercer país a los fines que contempla el artículo 1, apartado 1, resulta ineficaz o inadecuada, sobre todo porque no pueda efectuarse dentro de plazo;

d)

se informe sin dilación indebida a la autoridad competente del tercer país a los fines que contempla el artículo 1, apartado 1, a menos que ello sea ineficaz o inadecuado;

e)

la autoridad competente de la transferencia informe al destinatario de la finalidad o finalidades específicas por las que los datos personales vayan a tratarse por esta última solamente cuando dicho tratamiento sea necesario.

a)

crear mecanismos de cooperación internacional que faciliten la aplicación efectiva de la legislación relativa a la protección de datos personales;

b)

prestarse mutuamente asistencia a escala internacional en la aplicación de la legislación relativa a la protección de datos personales, en particular mediante la notificación, la remisión de reclamaciones, la asistencia en las investigaciones y el intercambio de información, a reserva de las garantías apropiadas para la protección de los datos personales y otros derechos y libertades fundamentales;

c)

procurar la participación de las correspondientes partes interesadas en los debates y actividades destinados a reforzar la cooperación internacional en la aplicación de la legislación relativa a la protección de datos personales;

d)

promover el intercambio y la documentación de la legislación y prácticas en materia de protección de datos personales, inclusive en los conflictos jurisdiccionales con terceros países.

—

su Parlamento,

—

su Gobierno,

—

su Jefe de Estado, o

—

un organismo independiente encargado del nombramiento en virtud del Derecho del Estado miembro.

a)

el establecimiento de cada autoridad de control;

b)

las cualificaciones y condiciones de idoneidad requeridas para ser nombrado miembro de cada autoridad de control;

c)

las normas y los procedimientos para el nombramiento del miembro o miembros de cada autoridad de control;

d)

la duración del mandato del miembro o miembros de cada autoridad de control, que no será inferior a cuatro años, salvo los primeros nombramientos después del … [DO insértese la fecha de la entrada en vigor de la presente Directiva], algunos de los cuales podrán ser más breves cuando ello sea necesario para proteger la independencia de la autoridad de control por medio de un procedimiento de nombramientos espaciados;

e)

el carácter renovable o no del mandato del miembro o miembros de cada autoridad de control y, en su caso, el número de veces que podrá renovarse;

f)

las condiciones por las que se rigen las obligaciones del miembro o miembros y del personal de cada autoridad de control, las prohibiciones relativas a acciones, ocupaciones y prestaciones incompatibles con el cargo durante el mandato y después del mismo y las normas que rigen el cese en el empleo.

a)

supervisar y hacer cumplir la aplicación de las disposiciones adoptadas con arreglo a la presente Directiva y sus medidas de ejecución;

b)

promover la sensibilización y la comprensión del público acerca de los riesgos, normas, garantías y derechos relativos al tratamiento;

c)

asesorar, con arreglo al Derecho de los Estados miembros, al Parlamento nacional, al Gobierno y a otras instituciones y organismos, acerca de las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento;

d)

promover la sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en virtud de la presente Directiva;

e)

previa solicitud, facilitar información a cualquier interesado en relación con el ejercicio de sus derechos en virtud de la presente Directiva y, en su caso, cooperar a tal fin con las autoridades de control de otros Estados miembros;

f)

tratar las reclamaciones presentadas por un interesado o un organismo, organización o asociación de conformidad con el artículo 55, e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control;

g)

controlar la licitud del tratamiento con arreglo a lo dispuesto en el artículo 17 e informar al interesado, en un plazo razonable, sobre el resultado del control de conformidad con el artículo 17, apartado 3, o sobre los motivos por los que no se ha llevado a cabo;

h)

cooperar, en particular compartiendo información, con otras autoridades de control y prestar asistencia mutua con el fin de velar por la coherencia en la aplicación y ejecución de la presente Directiva;

i)

llevar a cabo investigaciones sobre la aplicación de la presente Directiva, en particular basándose en información recibida de otra autoridad de control u otra autoridad pública;

j)

hacer un seguimiento de acontecimientos que sean de interés, en la medida en que tengan incidencia en la protección de datos personales, en particular el desarrollo de las tecnologías de la información y la comunicación;

k)

prestar asesoramiento sobre las operaciones de tratamiento contempladas en el artículo 28, y

l)

contribuir a las actividades del Comité Europeo de Protección de Datos.

a)

formular a todo responsable o encargado del tratamiento una advertencia cuando las operaciones de tratamiento previstas puedan infringir las disposiciones adoptadas con arreglo a la presente Directiva;

b)

ordenar al responsable o encargado del tratamiento que haga conformes las operaciones de tratamiento a las disposiciones adoptadas con arreglo a la presente Directiva, si procede, de una determinada manera y dentro de un plazo especificado, en particular ordenando la rectificación o la supresión de datos personales, o la limitación de su tratamiento con arreglo al artículo 16;

c)

imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición.

a)

no es competente en relación con el objeto de la solicitud o con las medidas cuya ejecución se solicita, o

b)

el hecho de atender la solicitud infringiría la presente Directiva o el Derecho de la Unión o del Estado miembro al que esté sujeta la autoridad de control que haya recibido la solicitud.

a)

asesorará a la Comisión sobre toda cuestión relativa a la protección de datos personales en la Unión, en particular sobre cualquier propuesta de modificación de la presente Directiva;

b)

examinará, a iniciativa propia o a instancia de uno de sus miembros o de la Comisión, cualquier cuestión relativa a la aplicación de la presente Directiva, y emitirá directrices, recomendaciones y buenas prácticas, a fin de promover la aplicación coherente de la presente Directiva;

c)

formulará directrices para las autoridades de control, relativas a la aplicación de las medidas contempladas en el artículo 47, apartados 1 y 3;

d)

emitirá directrices, recomendaciones y buenas prácticas, con arreglo a la letra b) del presente párrafo a fin de establecer las violaciones de la seguridad de los datos personales y determinar la dilación indebida que contempla el artículo 30, apartados 1 y 2, así como las circunstancias particulares en las que el responsable o el encargado del tratamiento debe notificar la violación de la seguridad de los datos personales;

e)

emitirá directrices, recomendaciones y buenas prácticas, con arreglo a la letra b) del presente párrafo en cuanto a las circunstancias en las que sea probable que la violación de la seguridad de los datos personales vaya a tener como resultado un alto riesgo para los derechos y libertades de las personas físicas a tenor del artículo 31, apartado 1;

f)

examinará la aplicación práctica de las directrices, recomendaciones y buenas prácticas contempladas en las letras b) y c);

g)

facilitará a la Comisión un dictamen para evaluar la adecuación del nivel de protección en un tercer país, un territorio o uno o varios sectores específicos en un tercer país o una organización internacional, incluso para evaluar si dicho tercer país, territorio, sector específico u organización internacional han dejado de garantizar un nivel de protección adecuado;

h)

promoverá la cooperación y los intercambios bilaterales y multilaterales efectivos de información y de buenas prácticas entre las autoridades de control;

i)

promoverá programas de formación comunes y facilitará los intercambios de personal entre las autoridades de control y, cuando proceda, con las autoridades de control de terceros países o con organizaciones internacionales;

j)

promoverá el intercambio de conocimientos y documentación sobre legislación y prácticas en materia de protección de datos con las autoridades de control encargadas de la protección de datos a escala mundial.

3.5.2016   

ES

Diario Oficial de la Unión Europea

C 158/46

—

una propuesta de Reglamento general de protección de datos (en lo sucesivo, «el proyecto de Reglamento»), destinado a sustituir a la Directiva sobre protección de datos de 1995 (antiguo primer pilar).

—

una propuesta de Directiva relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y la libre circulación de dichos datos (1) (en lo sucesivo, «el proyecto de Directiva», destinada a sustituir a la Decisión Marco sobre protección de datos de 2008 (antiguo tercer pilar).

—

actuar únicamente siguiendo las instrucciones del responsable del tratamiento;

—

garantizar que las personas autorizadas para tratar los datos respeten la confidencialidad;

—

facilitar al responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de sus obligaciones.