(1)

El mercado interior es uno de los logros más tangibles de la Unión. Al permitir que las personas, las mercancías, los servicios y los capitales circulen libremente, ofrece nuevas oportunidades a los ciudadanos y a las empresas. El presente Reglamento constituye un elemento clave de la Estrategia del Mercado Único establecida por la comunicación de la Comisión de 28 de octubre de 2015, titulada «Mejorar el mercado único: más oportunidades para los ciudadanos y las empresas». Esa estrategia tiene por objetivo liberar todo el potencial del mercado interior facilitando a los ciudadanos y a las empresas que se desplacen por el interior de la Unión y que operen, se establezcan y extiendan sus actividades a través de las fronteras.

(2)

En la comunicación de la Comisión de 6 de mayo de 2015, titulada «Una Estrategia para el Mercado Único Digital de Europa», se reconoce el papel de internet y de las tecnologías digitales en la transformación de nuestras vidas, el cambio en la forma en que los ciudadanos y las empresas acceden a información, adquieren conocimientos, compran bienes y servicios, participan en el mercado y trabajan ofreciendo oportunidades para la innovación, el crecimiento y el empleo. Dicha comunicación, así como diversas resoluciones aprobadas por el Parlamento Europeo, reconocían que se pueden satisfacer mejor las necesidades de los ciudadanos y las empresas en sus propios países y en sus actividades transfronterizas mediante la expansión y la integración de los portales, los sitios web, las redes, los servicios y los sistemas existentes a nivel europeo y mediante su enlace con diferentes soluciones nacionales, creando así una pasarela digital única que sirva como un punto de entrada único europeo (en lo sucesivo, «pasarela»). La comunicación de la Comisión de 19 de abril de 2016, titulada «Plan de Acción sobre Administración Electrónica de la UE 2016-2020. Acelerar la transformación digital de la administración», incluía la pasarela en la lista de acciones para 2017. El Informe de la Comisión de 24 de enero de 2017, titulado «Fortaleciendo los derechos de los ciudadanos en una Unión de cambio democrático — Informe sobre la ciudadanía de la UE 2017», consideraba la pasarela una prioridad para los derechos de los ciudadanos de la Unión.

(3)

El Parlamento Europeo y el Consejo han exigido en repetidas ocasiones un paquete de información y asistencia más completo y fácil de utilizar para ayudar a los ciudadanos y a las empresas a navegar por el mercado interior, y para reforzar y racionalizar las herramientas del mercado interior con el fin de satisfacer mejor las necesidades de los ciudadanos y las empresas en sus actividades transfronterizas.

(4)

El presente Reglamento da respuesta a esas exigencias ofreciendo a los ciudadanos y a las empresas un acceso sencillo a la información, los procedimientos y los servicios de asistencia y resolución de problemas que necesitan para ejercer sus derechos en el mercado interior. La pasarela podría contribuir a una mayor transparencia de las normas y regulaciones relativas a diferentes acontecimientos empresariales y de la vida de las personas en ámbitos como los viajes, la jubilación, la educación, el empleo, la atención sanitaria, los derechos de los consumidores y los derechos relativos a la vida familiar. Además, podría contribuir a mejorar la confianza de los consumidores, hacer frente al desconocimiento de las normas en materia de protección del consumidor y de mercado interior y reducir los gastos de las empresas derivados del cumplimiento de la normativa. El presente Reglamento establece una pasarela fácil de utilizar e interactiva que, basándose en las necesidades de los usuarios, los debe guiar hacia los servicios más adecuados. En ese contexto, la Comisión y los Estados miembros han de desempeñar un importante papel para alcanzar esos objetivos.

(5)

La pasarela debe facilitar la interacción entre los ciudadanos y las empresas, por un lado, y las autoridades competentes, por otro, proporcionando acceso a soluciones en línea, facilitando las actividades cotidianas de los ciudadanos y las empresas y reduciendo al mínimo los obstáculos a los que se enfrentan en el mercado interior. La existencia de una pasarela digital única que proporcione acceso en línea a información exacta y actualizada, a procedimientos y a servicios de asistencia y de resolución de problemas podría contribuir a concienciar a los usuarios sobre los diferentes servicios en línea existentes y ahorrarles tiempo y dinero.

(6)

El presente Reglamento persigue tres objetivos, a saber, reducir la carga administrativa que soportan los ciudadanos y las empresas que ejercen o quieren ejercer sus derechos en el mercado interior, incluida la libre circulación de los ciudadanos, en plena conformidad con las normas y procedimientos nacionales, eliminar la discriminación y garantizar el funcionamiento del mercado interior proporcionando información, procedimientos y servicios de asistencia y resolución de problemas. Dado que ampara la libre circulación de los ciudadanos, que no puede considerarse meramente incidental, el presente Reglamento debe basarse en el artículo 21, apartado 2, y el artículo 114, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE).

(7)

A fin de que los ciudadanos y las empresas de la Unión disfruten de su derecho a la libre circulación en el mercado interior, esta debe adoptar medidas específicas y no discriminatorias que les permitan acceder fácilmente a una información suficientemente exhaustiva y fiable sobre sus derechos en virtud del Derecho de la Unión, así como a información sobre las normas y procedimientos nacionales aplicables que deban cumplir cuando se desplacen, vivan o estudien, o cuando se establezcan o realicen negocios en un Estado miembro distinto del suyo propio. Se debe considerar que la información es suficientemente exhaustiva cuando incluya toda la información necesaria para que los usuarios comprendan cuáles son sus derechos y obligaciones e identifique las normas que les son aplicables en relación con las actividades que quieren ejercer como usuarios transfronterizos. La información debe formularse de forma clara, concisa y comprensible, ser funcional y estar bien adaptada al grupo de destinatarios. La información sobre los procedimientos debe incluir todos los trámites procedimentales que sean pertinentes para el usuario. Es importante que los ciudadanos y las empresas que se enfrentan a entornos normativos complejos, como los ciudadanos y las empresas que participan activamente en el comercio electrónico y la economía colaborativa, puedan encontrar fácilmente las normas aplicables y cómo se aplican a sus actividades. Por acceso fácil y cómodo a la información debe entenderse aquel que permite al usuario encontrar fácilmente la información, determinar con facilidad qué partes de la información son pertinentes para su situación concreta y comprender fácilmente la correspondiente información. La información que debe facilitarse a nivel nacional no debe referirse únicamente a la normativa nacional por la que se transpone el Derecho de la Unión, sino también al resto de las normas nacionales que se aplican tanto a los usuarios no transfronterizos como a los usuarios transfronterizos.

(8)

Las normas del presente Reglamento sobre suministro de información no deben aplicarse a los sistemas judiciales nacionales, ya que la información en ese ámbito que es pertinente para los usuarios transfronterizos ya figura en el Portal Europeo de e-Justicia. En algunas situaciones previstas en el presente Reglamento, los órganos jurisdiccionales han de considerarse autoridades competentes, por ejemplo, cuando los órganos jurisdiccionales gestionen los registros mercantiles. Asimismo, el principio de no discriminación también debe aplicarse a los procedimientos en línea que dan acceso a los procesos judiciales.

(9)

Está claro que los ciudadanos y las empresas procedentes de otros Estados miembros pueden encontrarse en desventaja, por no estar familiarizados con las normas y sistemas administrativos nacionales, por diferencias en las lenguas utilizadas y por falta de proximidad geográfica con las autoridades competentes de un Estado miembro que no sea el suyo. La manera más eficaz de reducir los consiguientes obstáculos en el mercado interior es permitir que los usuarios transfronterizos y no transfronterizos accedan a información en línea en una lengua que puedan comprender, para que puedan así completar íntegramente en línea los procedimientos que les permitan cumplir la normativa nacional, y ofrecerles asistencia cuando las normas y procedimientos no estén suficientemente claros o cuando encuentren obstáculos al ejercicio de sus derechos.

(10)

Varios actos de la Unión tienen como finalidad proporcionar soluciones mediante la creación de ventanillas únicas sectoriales, incluidas las ventanillas únicas establecidas por la Directiva 2006/123/CE del Parlamento Europeo y del Consejo (3), que ofrecen información en línea, servicios de asistencia y acceso a los procedimientos pertinentes para la prestación de servicios; los puntos de contacto de productos, establecidos por el Reglamento (CE) n.o 764/2008 del Parlamento Europeo y del Consejo (4), y los puntos de contacto de productos de construcción, establecidos por el Reglamento (UE) n.o 305/2011 del Parlamento Europeo y del Consejo (5), que proporcionan acceso a las normas técnicas de productos específicos; y los centros de asistencia nacionales para cualificaciones profesionales establecidos por la Directiva 2005/36/CE del Parlamento Europeo y del Consejo (6), cuyo objetivo es ayudar a los profesionales que cruzan las fronteras. Además, se han creado redes, como los Centros Europeos del Consumidor, para promover la comprensión de los derechos de los consumidores de la Unión y ayudar a resolver las reclamaciones sobre adquisiciones realizadas en otros Estados miembros a través de la red al viajar o al comprar en línea. También está SOLVIT, a la que se refiere la Recomendación 2013/461/UE de la Comisión (7), que trata de aportar soluciones rápidas, eficaces e informales a los particulares y a las empresas cuando las autoridades públicas les deniegan el ejercicio de sus derechos en el mercado interior. Por último, se han creado varios portales informativos, como «Your Europe», en relación con el mercado interior, o el Portal Europeo de e-Justicia, en relación con el ámbito de la justicia, para informar a los usuarios sobre las normas de la Unión y nacionales.

(11)

Como consecuencia del carácter sectorial de esos actos de la Unión, la información y los servicios de asistencia y resolución de problemas que se facilitan actualmente en línea, junto con los procedimientos en línea para los ciudadanos y las empresas, siguen estando muy fragmentados. Hay diferencias en cuanto a disponibilidad de la información y los procedimientos en línea, los servicios no tienen calidad suficiente y hay desconocimiento tanto de esa información como de esos servicios de asistencia y resolución de problemas. Además, los usuarios transfronterizos tienen dificultades para localizar los servicios y acceder a ellos.

(12)

El presente Reglamento debe establecer una pasarela digital única que sirva de punto de entrada único a través del cual los ciudadanos y las empresas puedan acceder a información sobre las normas y los requisitos que han de cumplir en virtud del Derecho de la Unión y nacional. La pasarela debe simplificar el contacto de los ciudadanos y las empresas con los servicios de asistencia y resolución de problemas establecidos a nivel de la Unión o nacional y hacerlo más eficaz. La pasarela también debe facilitar el acceso a los procedimientos en línea y su cumplimiento. El presente Reglamento no debe afectar en modo alguno a los derechos y las obligaciones en virtud del Derecho de la Unión o nacional en el marco de las correspondientes políticas. Por lo que respecta a los procedimientos enumerados en el anexo II del presente Reglamento y los procedimientos previstos en las Directivas 2005/36/CE y 2006/123/CE, y en las Directivas 2014/24/UE (8) y 2014/25/UE (9) del Parlamento Europeo y del Consejo, el presente Reglamento debe respaldar el recurso al principio de «solo una vez» y respetar plenamente el derecho fundamental a la protección de los datos de carácter personal, a efectos del intercambio de pruebas entre autoridades competentes de Estados miembros diferentes.

(13)

La pasarela y su contenido deben estar centrados en el usuario y ser fáciles de utilizar. La pasarela debe tener por objetivo evitar solapamientos y proporcionar enlaces a los servicios existentes. Debe permitir que los ciudadanos y las empresas interactúen con los organismos públicos nacionales y de la Unión brindándoles la oportunidad de formular sus observaciones tanto sobre los servicios que se ofrecen a través de ella como sobre el funcionamiento del mercado interior según su propia experiencia. La herramienta de valoración debe permitir que el usuario señale, de un modo que le sea posible mantener el anonimato, los problemas, deficiencias y necesidades percibidos, con el fin de alentar la mejora continua de la calidad de los servicios.

(14)

El éxito de la pasarela va a depender del esfuerzo conjunto de la Comisión y los Estados miembros. La pasarela debe incluir una interfaz común para usuarios, integrada en el portal ya existente «Your Europe», que gestione la Comisión. La interfaz común para usuarios debe proporcionar enlaces a información, procedimientos y servicios de asistencia o resolución de problemas disponibles en los portales gestionados por las autoridades competentes de los Estados miembros y la Comisión. Para simplificar la utilización de la pasarela, la interfaz común para usuarios debe estar disponible en todas las lenguas oficiales de las instituciones de la Unión (en lo sucesivo, «lenguas oficiales de la Unión»). El portal «Your Europe» ya existente y su página web de acceso principal, adaptada a los requisitos de la pasarela, deben preservar este enfoque multilingüe con respecto a la información facilitada. El funcionamiento de la pasarela debe apoyarse en herramientas técnicas desarrolladas por la Comisión en estrecha colaboración con los Estados miembros.

(15)

En la Carta para la constitución de las ventanillas únicas electrónicas en el marco de la Directiva 2006/123/CE, que fue aprobada por el Consejo en 2013, los Estados miembros se comprometieron voluntariamente a adoptar un enfoque centrado en el usuario para facilitar la información a través de ventanillas únicas, de manera que quedaran cubiertos todos los ámbitos importantes para las empresas, incluido el IVA, impuestos sobre la renta, los requisitos en materia de seguridad social y Derecho laboral. Basándose en la Carta y a la luz de la experiencia con el portal «Your Europe», esa información también debe incluir una descripción de los servicios de asistencia y resolución de problemas. Los ciudadanos y las empresas han de poder recurrir a dichos servicios cuando tengan dificultades para comprender la información, aplicarla a su situación o completar un procedimiento.

(16)

El presente Reglamento debe enumerar los ámbitos de información que son pertinentes para los ciudadanos y las empresas que ejercen sus derechos y cumplen con sus obligaciones en el mercado interior. Para tales ámbitos, debe facilitarse información suficientemente exhaustiva a escala nacional, también a escala regional y local, y a escala de la Unión, que explique las normas y obligaciones aplicables así como los procedimientos que deben seguir los ciudadanos y las empresas para cumplir dichas normas y obligaciones. Con el fin de garantizar la calidad de los servicios ofrecidos, la información que se facilite a través de la pasarela ha de ser clara, exacta y actualizada, debe reducirse al mínimo el uso de terminología complicada y limitarse el uso de acrónimos a aquellos que reflejen conceptos simplificados y fácilmente comprensibles que no exijan un conocimiento previo de la cuestión o del ámbito del Derecho correspondiente. Dicha información ha de facilitarse de tal modo que permita a los usuarios comprender con facilidad las normas y los requisitos básicos aplicables a su situación en dichos ámbitos. Los usuarios también deben estar informados sobre la inexistencia, en determinados Estados miembros, de normas nacionales en los ámbitos de información que figuran en el anexo I, en particular cuando dichos ámbitos estén sujetos a normas nacionales en otros Estados miembros. Dicha información sobre la inexistencia de normas nacionales podría incluirse en el portal «Your Europe».

(17)

Cuando sea posible, la información que la Comisión ya haya recabado de los Estados miembros en virtud del Derecho vigente de la Unión o de acuerdos voluntarios, como la recabada para el portal EURES, establecido por el Reglamento (UE) 2016/589 del Parlamento Europeo y del Consejo (10), el Portal Europeo de e-Justicia, establecido por la Decisión 2001/470/CE del Consejo (11), o la base de datos de profesiones reguladas, establecida por la Directiva 2005/36/CE, debe usarse para cubrir parte de la información que ha de ponerse a disposición de los ciudadanos y las empresas a escala de la Unión y nacional de conformidad con el presente Reglamento. Los Estados miembros no están obligados a proporcionar en sus páginas web nacionales información que ya esté disponible en las bases de datos pertinentes gestionadas por la Comisión. Cuando los Estados miembros ya estén obligados a proporcionar información en línea en virtud de otros actos de la Unión, como la Directiva 2014/67/UE del Parlamento Europeo y del Consejo (12), debe ser suficiente con que faciliten enlaces a la información en línea ya existente. Cuando determinados ámbitos políticos ya se hayan armonizado plenamente mediante el Derecho de la Unión, por ejemplo en lo que respecta a los derechos de los consumidores, la información proporcionada a escala de la Unión debe bastar, por lo general, para que los usuarios entiendan sus correspondientes derechos u obligaciones. En tales casos, los Estados miembros solo han de estar obligados a proporcionar información adicional relativa a sus procedimientos administrativos y servicios de asistencia nacionales o cualesquiera otras normas administrativas nacionales que sean pertinentes para los usuarios. La información relativa a los derechos de los consumidores, por ejemplo, no debe afectar al Derecho contractual, sino informar a los usuarios de sus derechos en virtud del Derecho de la Unión y nacional en el contexto de las transacciones comerciales.

(18)

El presente Reglamento debe potenciar la dimensión relativa al mercado interior de los procedimientos en línea, contribuyendo de este modo a la digitalización del mercado interior, defendiendo el principio general de no discriminación también en relación con el acceso de los ciudadanos y las empresas a los procedimientos en línea ya establecidos a nivel nacional sobre la base del Derecho de la Unión o nacional y a los procedimientos que deben ser plenamente accesibles en línea de conformidad con el presente Reglamento. Cuando los usuarios que se encuentren en una situación exclusivamente limitada a un único Estado miembro puedan acceder a un procedimiento en línea y completarlo en dicho Estado miembro respecto de uno de los ámbitos cubiertos por el presente Reglamento, los usuarios transfronterizos deben también poder acceder al mismo procedimiento en línea y completarlo, ya sea mediante la misma solución técnica o una solución alternativa técnicamente diferente que conduzca al mismo resultado, sin obstáculos discriminatorios. Dichos obstáculos pueden derivarse de soluciones concebidas a escala nacional, como utilizar en los formularios casillas que requieren números de teléfono nacionales, prefijos nacionales de números de teléfono o códigos postales nacionales, el pago de tarifas que solo pueden efectuarse por medio de sistemas que no permiten las operaciones transfronterizas, la ausencia de explicaciones detalladas en una lengua que comprendan los usuarios transfronterizos, la imposibilidad de presentar pruebas en formato electrónico procedentes de autoridades situadas en otro Estado miembro y la falta de aceptación de medios electrónicos de identificación emitidos en otros Estados miembros. Los Estados miembros deben ofrecer soluciones para dichos obstáculos.

(19)

Cuando los usuarios completen procedimientos en línea a través de las fronteras han de poder recibir todas las explicaciones pertinentes en una lengua oficial de la Unión que sea ampliamente comprendida por el mayor número posible de usuarios transfronterizos. Ello no significa que los Estados miembros tengan que traducir sus formularios administrativos relacionados con el procedimiento, ni el resultado de ese procedimiento, a dicha lengua. No obstante, se anima a los Estados miembros a emplear soluciones técnicas que permitan a los usuarios completar los procedimientos, en la mayor medida posible, en dicha lengua, respetando al mismo tiempo las normas de los Estados miembros relativas al uso de lenguas.

(20)

Los procedimientos nacionales en línea que son pertinentes para que los usuarios transfronterizos puedan ejercer sus derechos en el mercado interior dependen de si tales usuarios son residentes o están establecidos en el Estado miembro en cuestión o desean acceder a los procedimientos de dicho Estado miembro mientras residen o están establecidos en otro Estado miembro. El presente Reglamento no debe impedir a los Estados miembros exigir que los usuarios transfronterizos que sean residentes o estén establecidos en su territorio obtengan un número de identificación nacional para acceder a los procedimientos nacionales en línea, siempre que ello no entrañe una carga o coste adicional injustificado a dichos usuarios. En el caso de usuarios transfronterizos que no residan o no estén establecidos en el Estado miembro de que se trate, no es necesario poner plenamente a su disposición en línea los procedimientos nacionales en línea que no sean pertinentes para el ejercicio de sus derechos en el mercado interior, por ejemplo, la inscripción para recibir servicios locales como la recogida de basura o permisos de aparcamiento.

(21)

El presente Reglamento debe basarse en el Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo (13), que establece las condiciones en las que los Estados miembros reconocen determinados métodos de identificación electrónica en el caso de las personas físicas y jurídicas pertenecientes a un sistema de identificación electrónica notificado de otro Estado miembro. El Reglamento (UE) n.o 910/2014 establece las condiciones en las que los usuarios pueden utilizar sus métodos de identificación y autenticación electrónicos para acceder a servicios públicos en línea en situaciones transfronterizas. Se alienta a las instituciones, órganos y organismos de la Unión a que acepten métodos de identificación y autenticación electrónicos para los procedimientos de los que son responsables.

(22)

Varios actos sectoriales de la Unión, como las Directivas 2005/36/CE, 2006/123/CE, 2014/24/UE y 2014/25/UE, exigen que los procedimientos estén íntegramente disponibles en línea. El presente Reglamento debe exigir que un cierto número de otros procedimientos de gran importancia para la mayoría de los ciudadanos y las empresas que ejercen sus derechos y cumplen con sus obligaciones a través de las fronteras estén íntegramente disponibles en línea.

(23)

A fin de permitir que los ciudadanos y las empresas disfruten directamente de las ventajas del mercado interior sin incurrir en cargas administrativas adicionales innecesarias, el presente Reglamento debe exigir una plena digitalización de la interfaz para usuarios de determinados procedimientos clave para los usuarios transfronterizos, que se enumeran en el anexo II del presente Reglamento. El presente Reglamento también debe establecer los criterios para determinar cuándo un procedimiento se considera íntegramente en línea. La obligación de hacer que tal procedimiento esté disponible íntegramente en línea solo debe aplicarse cuando el procedimiento se haya establecido en el Estado miembro de que se trate. El presente Reglamento no debe aplicarse al registro inicial de una actividad empresarial, a los procedimientos que conducen a la constitución de sociedades como entidades jurídicas o a la posterior presentación de documentos por parte de dichas sociedades, ya que tales procedimientos requieren un enfoque global destinado a facilitar soluciones digitales durante todo el ciclo de vida de una empresa. Cuando las empresas se establecen en otro Estado miembro, se les exige que se den de alta en el sistema de seguridad social y que contraten un sistema de seguro, con el fin de dar de alta a sus empleados y pagar sus cotizaciones en ambos sistemas. Pueden tener que notificar sus actividades empresariales, obtener permisos o registrar los cambios efectuados en su actividad empresarial. Dichos procedimientos son comunes para las empresas que operan en muchos sectores de la economía, por lo que conviene exigir que estén disponibles en línea.

(24)

El presente Reglamento debe clarificar qué conlleva la puesta a disposición de un procedimiento íntegramente en línea. Un procedimiento debe considerarse íntegramente en línea si el usuario puede realizar todos los trámites, desde el acceso hasta la conclusión, interactuando con la autoridad competente («front-office»), electrónicamente, a distancia y a través de un servicio en línea. Este servicio en línea debe orientar al usuario a través de una lista de todos los requisitos que han de satisfacerse y de todas las pruebas que han de aportarse, permitir que el usuario facilite la información y las pruebas del cumplimiento de todos esos requisitos y proporcionar un acuse de recibo automático al usuario, a menos que el resultado del procedimiento se dé a conocer de manera inmediata. Esto no debe impedir que las autoridades competentes se pongan directamente en contacto con los usuarios, en caso necesario para obtener más clarificaciones necesarias para los fines del procedimiento. Cuando sea posible, con arreglo al Derecho de la Unión y nacional aplicable, las autoridades competentes también deben entregar electrónicamente al usuario el resultado del procedimiento, tal como se establece en el presente Reglamento.

(25)

El presente Reglamento no debe afectar al fondo de los procedimientos enumerados en el anexo II, que se establecen a escala nacional, regional o local, y no prevé normas materiales o de procedimiento en los ámbitos cubiertos por el anexo II, incluido el ámbito fiscal. La finalidad del presente Reglamento es establecer los requisitos técnicos con objeto de asegurar que dichos procedimientos, cuando hayan sido establecidos en los Estados miembros en cuestión, se pongan íntegramente a disposición en línea.

(26)

El presente Reglamento no debe afectar a las competencias de las autoridades nacionales en cualquier procedimiento, incluida la comprobación de la exactitud y validez de la información o las pruebas aportadas, e incluida la comprobación de la autenticidad en caso de que las pruebas se presenten mediante medios distintos del sistema técnico basado en el principio de «solo una vez». El presente Reglamento tampoco debe afectar a los flujos procedimentales en el seno de una autoridad competente o entre autoridades competentes («back-office»), tanto si están digitalizados como si no. Cuando sea necesario, como parte de alguno de los procedimientos de registro de los cambios efectuados en las actividades empresariales, los Estados miembros deben seguir pudiendo requerir la intervención de notarios o abogados que podrían querer utilizar medios de verificación, incluidas videoconferencias u otros medios en línea, que permitan establecer una conexión audiovisual en tiempo real. No obstante, dicha participación no debe impedir que los procedimientos de registro de dichos cambios se realicen íntegramente en línea.

(27)

En algunos casos, los usuarios podrían tener que aportar pruebas para demostrar hechos que no pueden establecerse por vía electrónica. Dichas pruebas podrían incluir certificados médicos, certificados de fe de vida, o certificados de control técnico de automóviles o de confirmación de su número de chasis. Siempre que las pruebas puedan aportarse en formato electrónico, esto no debe constituir una excepción al principio de que un procedimiento debe estar disponible íntegramente en línea. En otros casos, todavía podría ser necesario que los usuarios de un procedimiento se personen ante una autoridad competente en el marco de un procedimiento en línea. Estas excepciones, distintas de las que se desprenden del Derecho de la Unión, deben limitarse a las situaciones que estén justificada por una razón imperiosa de interés general en los ámbitos de la seguridad pública, la salud pública o la lucha contra el fraude. A fin de garantizar la transparencia, los Estados miembros deben compartir con la Comisión y los demás Estados miembros información sobre dichas excepciones y los motivos por los que pueden aplicarse y las circunstancias en las que pueden aplicarse. No se debe exigir a los Estados miembros que informen sobre cada caso específico en que, excepcionalmente, se haya requerido personarse, pero deben informar de las disposiciones nacionales que contemplan dichos casos. Las buenas prácticas nacionales y los avances técnicos que permitan una mayor digitalización a este respecto deben ser tratados periódicamente en un grupo de coordinación de la pasarela.

(28)

En situaciones transfronterizas, el procedimiento de registro de un cambio de dirección puede consistir en dos procedimientos distintos, uno en el Estado miembro de origen para solicitar darse de baja de la antigua dirección y otro en el Estado miembro de destino para solicitar registrarse en la nueva dirección. Ambos procedimientos deben ser objeto del presente Reglamento.

(29)

Habida cuenta de que la Directiva 2005/36/CE ya regula la digitalización de los requisitos, los procedimientos y las formalidades relativas al reconocimiento de las cualificaciones profesionales, el presente Reglamento solo debe regular la digitalización del procedimiento por el que se solicita el reconocimiento académico de diplomas, certificados u otras pruebas de cursos completados respecto de una persona que desee comenzar o proseguir sus estudios o utilizar un título académico, al margen de las formalidades relacionadas con el reconocimiento de las cualificaciones profesionales.

(30)

El presente Reglamento no debe afectar a las normas de coordinación de la seguridad social establecidas en los Reglamentos (CE) n.o 883/2004 (14) y (CE) n.o 987/2009 (15) del Parlamento Europeo y del Consejo, que determinan los derechos y las obligaciones de las personas aseguradas y las instituciones de la seguridad social, así como los procedimientos aplicables en el ámbito de la coordinación de la seguridad social.

(31)

Se han establecido varias redes y servicios a nivel de la Unión y nacional para ayudar a los ciudadanos y las empresas en sus actividades transfronterizas. Es importante que esos servicios, entre ellos los servicios de asistencia o de resolución de problemas existentes establecidos a escala de la Unión, como los Centros Europeos del Consumidor, «Your Europe — Asesoramiento», SOLVIT, el servicio de asistencia sobre derechos de propiedad intelectual, Europe Direct y la Red Europea para las Empresas, formen parte de la pasarela, a fin de asegurarse de que todos los usuarios potenciales puedan encontrarlos. Los servicios que se enumeran en el anexo III se establecieron mediante actos vinculantes de la Unión, mientras que otros servicios operan con carácter voluntario. Los servicios establecidos mediante actos vinculantes de la Unión deben estar supeditados a los requisitos de calidad establecidos en el presente Reglamento. Los servicios que operan con carácter voluntario deben cumplir tales requisitos si la intención es que sean accesibles a través de la pasarela. El presente Reglamento no debe alterar el alcance ni la naturaleza de esos servicios, los mecanismos relativos a su gobernanza, los plazos existentes ni la condición voluntaria, contractual o de otra índole en la que operan. Por ejemplo, cuando la asistencia que prestan es de carácter informal, el presente Reglamento no debe tener por efecto la transformación de esta asistencia en un asesoramiento jurídico de naturaleza vinculante.

(32)

Por otro lado, los Estados miembros y la Comisión deben poder añadir a la pasarela otros servicios nacionales de asistencia o resolución de problemas, prestados por autoridades competentes o por entidades privadas o semiprivadas, u organismos públicos, como cámaras de comercio o servicios no gubernamentales de asistencia a los ciudadanos, en las condiciones establecidas en el presente Reglamento. En principio, las autoridades competentes deben ser las responsables de ayudar a los ciudadanos y las empresas con cualquier duda que planteen en relación con las normas y los procedimientos aplicables que no puedan resolver del todo los servicios en línea. Sin embargo, en ámbitos muy especializados, y cuando el servicio prestado por las entidades privadas o semiprivadas responda a las necesidades de los usuarios, los Estados miembros pueden proponer a la Comisión que incluya tales servicios en la pasarela, siempre y cuando cumplan todas las condiciones establecidas en el presente Reglamento y no supongan una duplicidad respecto de los servicios de asistencia o resolución de problemas ya existentes.

(33)

Al objeto de asistir a los usuarios en la identificación del servicio adecuado, el presente Reglamento debe establecer un buscador de servicios de asistencia que dirija automáticamente a los usuarios a dicho servicio.

(34)

El cumplimiento de una lista mínima de requisitos de calidad es un elemento esencial para el éxito de la pasarela, a fin de garantizar que el suministro de información o la prestación de servicios sea fiable, ya que, de lo contrario, minaría seriamente la credibilidad de la pasarela en su conjunto. El objetivo general de la conformidad es garantizar que la información o el servicio se presentan de forma clara y fácil de utilizar. Es responsabilidad de los Estados miembros determinar de qué modo se presenta la información a lo largo del recorrido del usuario a fin de cumplir este objetivo. Por ejemplo, si bien es conveniente que, antes de iniciar un procedimiento, los usuarios estén informados sobre los medios de recurso generalmente disponibles en caso de resultado negativo de un procedimiento, es mucho más fácil para el usuario ofrecer al final del procedimiento información específica sobre los posibles pasos que han de adoptarse en tal caso.

(35)

El acceso a la información para los usuarios transfronterizos puede mejorarse sustancialmente si la información se pone a disposición en una lengua oficial de la Unión ampliamente comprendida por el mayor número posible de usuarios transfronterizos. En la mayoría de los casos esta lengua debe ser la lengua extranjera más estudiada por los usuarios en toda la Unión, pero en algunos casos específicos, en particular en el caso de la información que han de facilitar a nivel local municipios pequeños situados cerca de la frontera de un Estado miembro, la lengua más adecuada puede ser la utilizada como primera lengua por los usuarios transfronterizos del Estado miembro vecino. La traducción de la lengua o lenguas oficiales del Estado miembro de que se trate a esa otra lengua oficial de la Unión debe reflejar de manera exacta el contenido de la información facilitada en la lengua o lenguas originales. La traducción podría limitarse a la información que necesiten los usuarios para comprender las normas y los requisitos básicos aplicables a su situación. Si bien se debe alentar a los Estados miembros a que traduzcan tanta información como sea posible a una lengua oficial de la Unión ampliamente comprendida por el mayor número posible de usuarios transfronterizos, el volumen de información que ha de traducirse, en virtud del presente Reglamento debe depender de los recursos financieros de que se disponga para este fin, en particular los procedentes del presupuesto de la Unión. La Comisión debe tomar las disposiciones adecuadas para velar por el suministro eficiente de traducciones a los Estados miembros que las soliciten. El grupo de coordinación de la pasarela debe tratar y ofrecer orientaciones sobre la lengua o lenguas oficiales de la Unión a la o a las que deba traducirse la información.

(36)

De conformidad con la Directiva (UE) 2016/2102 del Parlamento Europeo y del Consejo (16), los Estados miembros han de garantizar que los sitios web de sus organismos públicos sean accesibles con arreglo a los principios de perceptibilidad, operabilidad, comprensibilidad y solidez y que cumplan los requisitos establecidos en dicha Directiva. La Comisión y los Estados miembros deben garantizar el cumplimiento de la Convención de las Naciones Unidas sobre los derechos de las personas con discapacidad, en particular sus artículos 9 y 21, y, con el fin de fomentar el acceso a la información de las personas con discapacidad intelectual, deben proporcionarse alternativas en un lenguaje fácil de leer en la mayor medida posible de conformidad con el principio de proporcionalidad. Los Estados miembros, mediante la ratificación, y la Unión, mediante la celebración (17), de la citada Convención, se han comprometido a adoptar medidas adecuadas para asegurar el acceso de las personas con discapacidad, en igualdad de condiciones con los demás, a nuevas tecnologías y sistemas de la información y la comunicación, incluido internet, facilitando el acceso a información de las personas con discapacidad intelectual, ofreciendo alternativas en un lenguaje fácil de leer en la mayor medida posible y de manera proporcionada.

(37)

La Directiva (UE) 2016/2102 no se aplica a los sitios web ni a las aplicaciones para dispositivos móviles de las instituciones, órganos y organismos de la Unión, pero la Comisión debe velar por que la interfaz común para usuarios y las páginas web bajo su responsabilidad que hayan de incluirse en la pasarela sean accesibles para las personas con discapacidad, lo que significa que sean perceptibles, utilizables, comprensibles y sólidas. Perceptibilidad significa que la información y los componentes de la interfaz de usuario deben presentarse a este de manera que pueda percibirlos; operabilidad significa que los componentes y la navegación de la interfaz común para usuarios deben poder utilizarse; comprensibilidad significa que la información y el funcionamiento de la interfaz común para usuarios deben ser comprensibles; y solidez significa que los contenidos deben ser suficientemente sólidos para poder ser interpretados de forma fiable por una gran variedad de agentes de usuario, incluidas las tecnologías de apoyo. Respecto de los conceptos de perceptibilidad, operabilidad, comprensibilidad y solidez, se alienta a la Comisión a que cumpla las normas armonizadas pertinentes.

(38)

Con el fin de facilitar el pago de tarifas exigidas como parte de los procedimientos en línea o por la prestación de servicios de asistencia o de resolución de problemas, los usuarios transfronterizos deben poder recurrir a las transferencias y los adeudos domiciliados previstos en el Reglamento (UE) n.o 260/2012 del Parlamento Europeo y del Consejo (18) o a otros medios de pago transfronterizos de uso generalizado, como las tarjetas de débito o de crédito.

(39)

Es conveniente que los usuarios estén informados del tiempo estimado que puede durar un procedimiento. En consecuencia, se debe informar a los usuarios de los plazos o las disposiciones de aprobación tácita o silencio administrativo aplicables o, si estos no son de aplicación, al menos del tiempo medio, estimado o indicativo que suele llevar la tramitación del procedimiento de que se trate. Tales estimaciones o indicaciones deben tan solo ayudar a los usuarios a planificar sus actividades o cualquier trámite administrativo posterior y no deben tener ningún efecto jurídico.

(40)

El presente Reglamento también debe permitir la verificación de las pruebas aportadas por los usuarios en formato electrónico cuando tales pruebas se presenten sin sello ni certificación electrónicos de la autoridad competente que las haya proporcionado, o cuando la herramienta técnica establecida por el presente Reglamento o cualquier otro sistema que permita el intercambio directo o la verificación de pruebas entre autoridades competentes de Estados miembros diferentes no esté disponible. Para dichos casos, el presente Reglamento debe disponer un mecanismo eficaz de cooperación administrativa entre las autoridades competentes de los Estados miembros, basado en el Sistema de Información del Mercado Interior (IMI), establecido por el Reglamento (UE) n.o 1024/2012 del Parlamento Europeo y del Consejo (19). En tales casos, la decisión de una autoridad competente de usar el sistema IMI debe ser voluntaria, pero una vez que esa autoridad haya presentado una solicitud de información o cooperación a través del IMI, la autoridad competente que recibe la solicitud tiene la obligación de cooperar y dar una respuesta. La solicitud puede enviarse a través del IMI a una autoridad competente que proporciona las pruebas o a la autoridad central designada por los Estados miembros de conformidad con sus propias normas administrativas. Para evitar duplicidades innecesarias y puesto que el Reglamento (UE) 2016/1191 del Parlamento Europeo y del Consejo (20) se aplica a parte de las pruebas pertinentes para los procedimientos previstos en el presente Reglamento, las disposiciones relativas a la cooperación para el IMI establecidas en el Reglamento (UE) 2016/1191 también pueden aplicarse a los efectos de otras pruebas exigidas en procedimientos previstos por el presente Reglamento. A fin de permitir que los órganos y organismos de la Unión se conviertan en agentes del IMI, debe modificarse el Reglamento (UE) n.o 1024/2012.

(41)

Los servicios en línea prestados por autoridades competentes son fundamentales para mejorar la calidad y seguridad de los servicios prestados a los ciudadanos y las empresas. Cada vez es más frecuente que las administraciones públicas de los Estados miembros tiendan a reutilizar los datos, dispensando a ciudadanos y empresas del requisito de presentar la misma información varias veces. La reutilización de datos se debe facilitar para usuarios transfronterizos con el fin de reducir la carga adicional.

(42)

Con el fin de permitir el intercambio lícito transfronterizo de pruebas e información mediante la aplicación a escala europea del principio de «solo una vez», la aplicación del presente Reglamento y de dicho principio debe cumplir todas las normas de protección de datos aplicables, incluidos los principios de reducción al mínimo de los datos, exactitud, limitación del almacenamiento, integridad y confidencialidad, necesidad, proporcionalidad y limitación de la finalidad. Su aplicación también debe cumplir plenamente los principios de seguridad desde el diseño y de protección de la intimidad desde el diseño, y debe asimismo respetar los derechos fundamentales de las personas, incluidos los relacionados con la equidad y la transparencia.

(43)

Los Estados miembros deben velar por que se proporcione a los usuarios de procedimientos información clara sobre la forma en que los datos personales que les conciernen serán tratados, de conformidad con los artículos 13 y 14 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (21) y con los artículos 15 y 16 del Reglamento (UE) 2018/1725 (22).

(44)

Para facilitar en mayor medida el uso de los procedimientos en línea, el presente Reglamento, en consonancia con el principio de «solo una vez», debe proporcionar las bases para la creación y el uso de un sistema técnico plenamente operativo y seguro para el intercambio transfronterizo automatizado de pruebas entre los actores que intervienen en el procedimiento, cuando así lo soliciten expresamente los ciudadanos y las empresas. Cuando el intercambio de pruebas incluya datos personales, se debe considerar que esa solicitud es expresa si contiene una indicación formulada libremente, específica, informada e inequívoca del deseo del interesado de que se intercambien los datos personales pertinentes, ya sea mediante una declaración o mediante un acto afirmativo. Si el usuario no es la persona a la que conciernen los datos, el procedimiento en línea no debe afectar a sus derechos en virtud del Reglamento (UE) 2016/679. La aplicación transfronteriza del principio de «solo una vez» debe significar que los ciudadanos y las empresas no tengan que presentar los mismos datos a las autoridades públicas más de una vez y que también sea posible utilizar dichos datos, a petición del usuario, para completar procedimientos en línea transfronterizos en los que participen usuarios transfronterizos. Por lo que respecta a la autoridad competente que proporciona las pruebas, la obligación de utilizar el sistema técnico para el intercambio automatizado de pruebas entre diferentes Estados miembros solo debe aplicarse si las autoridades suministran lícitamente, en su propio Estado miembro, pruebas en un formato electrónico que permita dicho intercambio automatizado.

(45)

Todos los intercambios transfronterizos de pruebas deben contar con una base jurídica adecuada, como las Directivas 2005/36/CE, 2006/123/CE, 2014/24/UE o 2014/25/UE o, en el caso de los procedimientos enumerados en el anexo II, otra normativa de la Unión o nacional aplicable.

(46)

Es conveniente que el presente Reglamento establezca, como norma general, que el intercambio de pruebas automatizado transfronterizo se produzca a petición expresa del usuario. No obstante, este requisito no debe aplicarse cuando el Derecho de la Unión o nacional aplicable permita el intercambio de datos automatizado transfronterizo sin que exista una petición expresa del usuario.

(47)

La utilización del sistema técnico establecido por el presente Reglamento debe seguir siendo voluntaria y el usuario debe seguir pudiendo aportar pruebas por otros medios distintos del sistema técnico. El usuario debe tener la posibilidad de previsualizar las pruebas y el derecho a optar por no proceder al intercambio de pruebas en los casos en que, tras previsualizar las pruebas que se van a intercambiar, descubra que la información es inexacta, está desactualizada o excede de lo necesario para el procedimiento en cuestión. Los datos incluidos en la previsualización no deben almacenarse por más tiempo del necesario desde el punto de vista técnico.

(48)

El sistema técnico seguro que debe establecerse para permitir el intercambio de pruebas en el marco del presente Reglamento también debe ofrecer a las autoridades competentes solicitantes la certitud de que las pruebas han sido proporcionadas por la autoridad adecuada. Antes de aceptar la información proporcionada por un usuario en el contexto de un procedimiento, la autoridad competente debe poder comprobar la información cuando suscite dudas y concluir que es exacta.

(49)

Existen diversos componentes que ofrecen capacidades básicas que pueden utilizarse para crear el sistema técnico, como el Mecanismo «Conectar Europa», establecido por el Reglamento (UE) n.o 1316/2013 del Parlamento Europeo y del Consejo (23), así como los componentes de entrega electrónica (eDelivery) e identificación electrónica (eID) que forman parte de dicho mecanismo. Esos componentes consisten en especificaciones técnicas, soportes lógicos de muestra y servicios de apoyo, y tienen por objeto garantizar la interoperabilidad entre los sistemas de tecnología de la información y de la comunicación (TIC) existentes en diferentes Estados miembros, de modo que los ciudadanos, las empresas y las administraciones, con independencia del lugar de la Unión en el que se encuentren, puedan disfrutar de unos servicios públicos digitales sin fisuras.

(50)

El sistema técnico establecido por el presente Reglamento debe estar disponible además de otros sistemas que proporcionen mecanismos de cooperación entre autoridades, como el IMI, y no debe afectar a otros sistemas, incluidos el sistema previsto en el Reglamento (CE) n.o 987/2009, el documento europeo único de contratación de la Directiva 2014/24/UE, el intercambio electrónico de información sobre seguridad social del Reglamento (CE) n.o 987/2009, la tarjeta profesional europea de la Directiva 2005/36/CE, la interconexión de registros nacionales y la interconexión de registros centrales, mercantiles y de sociedades de la Directiva (UE) 2017/1132 del Parlamento Europeo y del Consejo (24) y la interconexión de los registros de insolvencia del Reglamento (UE) 2015/848 del Parlamento Europeo y del Consejo (25).

(51)

A fin de garantizar condiciones uniformes para la implantación de un sistema técnico que permita el intercambio automatizado de pruebas, deben conferirse a la Comisión competencias de ejecución para establecer, en particular, las especificaciones técnicas y operativas de un sistema para tramitar una solicitud de pruebas del usuario que se haya de intercambiar y para transmitir esas pruebas, así como para establecer las normas necesarias para garantizar la integridad y la confidencialidad de dicha transmisión. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo (26).

(52)

Con objeto de garantizar que el sistema técnico proporcione un nivel elevado de seguridad para la aplicación transfronteriza del principio de «solo una vez», al adoptar actos de ejecución que establezcan las especificaciones de dicho sistema técnico, la Comisión debe tener debidamente en cuenta las normas y especificaciones técnicas elaboradas por las organizaciones y los organismos de normalización europeos e internacionales, en particular el Comité Europeo de Normalización (CEN), el Instituto Europeo de Normas de Telecomunicación (ETSI), la Organización Internacional de Normalización (ISO) y la Unión Internacional de Telecomunicaciones (UIT), así como las normas de seguridad a que se refiere el artículo 32 del Reglamento (UE) 2016/679 y el artículo 22 del Reglamento (UE) 2018/1725.

(53)

La Comisión, cuando sea necesario a fin de garantizar el desarrollo, la disponibilidad, el mantenimiento, la supervisión, el seguimiento y la gestión de la seguridad de las partes del sistema técnico de las que es responsable, debe solicitar el asesoramiento del Supervisor Europeo de Protección de Datos.

(54)

Las autoridades competentes y la Comisión deben garantizar que la información, los procedimientos y los servicios de los que son responsables cumplan con los criterios de calidad. Los coordinadores nacionales nombrados en virtud del presente Reglamento y la Comisión deben supervisar a intervalos regulares el cumplimiento de los criterios de calidad y seguridad a nivel nacional y de la Unión, respectivamente, y gestionar cualquier problema que surja. Además, los coordinadores nacionales deben ayudar a la Comisión en el seguimiento del funcionamiento del sistema técnico que permite el intercambio transfronterizo de pruebas. El presente Reglamento debe proporcionar a la Comisión una serie de medios para abordar cualquier deterioro de la calidad de los servicios ofrecidos a través de la pasarela, dependiendo de la gravedad y la persistencia de dicho deterioro, lo que incluiría la intervención, cuando sea necesario, del grupo de coordinación de la pasarela. Esto ha de entenderse sin perjuicio de la responsabilidad general de la Comisión en lo que atañe al seguimiento del cumplimiento del presente Reglamento.

(55)

El presente Reglamento debe especificar las principales funcionalidades de las herramientas técnicas en las que se apoya el funcionamiento de la pasarela, en particular la interfaz común para usuarios, el repositorio de enlaces y el buscador común de servicios de asistencia. La interfaz común para usuarios debe garantizar que los usuarios puedan encontrar fácilmente la información, los procedimientos y los servicios de asistencia y resolución de problemas en sitios web a nivel nacional y de la Unión. Los Estados miembros y la Comisión deben tratar de facilitar enlaces a una única fuente de la información requerida para la pasarela a fin de evitar confusión entre los usuarios como consecuencia de la variedad o de una duplicidad total o parcial de las fuentes de una misma información. Esto no debe excluir la posibilidad de facilitar enlaces a una misma información proporcionada por las autoridades locales o regionales competentes respecto de zonas geográficas diferentes. Tampoco debe impedir cierta duplicidad en la información cuando esta sea inevitable o deseable, como, por ejemplo, cuando algunos de los derechos, las obligaciones y las normas de la Unión se repiten o describen en páginas web nacionales para mejorar la facilidad de uso. Con objeto de reducir al mínimo la intervención humana en la actualización de los enlaces que se vayan a utilizar en la interfaz común para usuarios, debe crearse, cuando sea técnicamente posible, una conexión directa entre los sistemas técnicos pertinentes de los Estados miembros y el repositorio de enlaces. Las herramientas TIC comunes de apoyo podrían utilizar el vocabulario de los servicios públicos fundamentales (CPSV, por sus siglas en inglés de «Core Public Services Vocabulary») para facilitar la interoperabilidad con los catálogos y la semántica de los servicios nacionales. Debe animarse a los Estados miembros a utilizar el CPSV, aunque estos pueden decidir utilizar soluciones nacionales. La información contenida en el repositorio de enlaces debe ponerse a disposición del público en un formato abierto, de uso común y de lectura mecánica para permitir su reutilización, como, por ejemplo, mediante interfaces de programación de aplicaciones (API, por sus siglas en inglés de «application programming interfaces»).

(56)

El buscador de la interfaz común para usuarios debe conducir a los usuarios a la información que necesiten, tanto si se encuentra en páginas web de la Unión como en páginas web nacionales. Además, como alternativa para guiar a los usuarios hacia información útil, debe seguir siendo de ayuda crear enlaces entre sitios o páginas web existentes y complementarios, simplificándolos y agrupándolos lo máximo posible, y crear enlaces entre sitios o páginas web de la Unión y nacionales que proporcionen acceso a servicios e información en línea.

(57)

El presente Reglamento debe asimismo especificar requisitos para la interfaz común para usuarios. La Comisión debe velar por que la interfaz común para usuarios cumpla esos requisitos, y en particular la interfaz tiene que estar disponible y accesible en línea a través de diversos canales y ser fácil de usar.

(58)

A fin de garantizar condiciones uniformes para la implantación de las soluciones técnicas en las que se apoya la pasarela, deben conferirse a la Comisión competencias de ejecución para establecer, cuando sea necesario, las normas aplicables y los requisitos de interoperabilidad a fin de facilitar la localización de la información sobre normas y obligaciones, sobre procedimientos y sobre servicios de asistencia o resolución de problemas de los que son responsables los Estados miembros y la Comisión. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.o 182/2011.

(59)

El presente Reglamento también debe repartir claramente entre la Comisión y los Estados miembros la responsabilidad en cuanto al desarrollo, la disponibilidad, el mantenimiento y la seguridad de las aplicaciones TIC en las que se apoya la pasarela. Como parte de sus tareas de mantenimiento, la Comisión y los Estados miembros deben comprobar periódicamente el buen funcionamiento de dichas aplicaciones TIC.

(60)

Para desarrollar el pleno potencial de los diferentes ámbitos de información, los procedimientos y los servicios de asistencia y resolución de problemas que han de incluirse en la pasarela, debe mejorar significativamente el conocimiento entre el público destinatario de su existencia y funcionamiento. Su inclusión en la pasarela debe facilitar mucho a los usuarios la localización de la información, los procedimientos y los servicios de asistencia y resolución de problemas que necesitan, incluso cuando no estén familiarizados con ninguno de ellos. Además, se necesitará un esfuerzo coordinado de promoción para garantizar que los usuarios y las empresas de toda la Unión estén al tanto de la existencia de la pasarela y de las ventajas que ofrece. Las actividades promocionales deben incluir la optimización para motores de búsqueda y otras acciones de sensibilización en línea, puesto que son más rentables y tienen potencial para llegar al mayor público destinatario posible. A fin de alcanzar la máxima eficacia, las acciones promocionales deben coordinarse en el marco del grupo de coordinación de la pasarela, y los Estados miembros deben adaptar sus esfuerzos promocionales, de manera que exista una marca de referencia común en todos los contextos pertinentes, con la posibilidad de crear una alianza de marcas de la pasarela mediante iniciativas nacionales.

(61)

Debe animarse a todas las instituciones, órganos y organismos de la Unión a que promuevan la pasarela incluyendo su logotipo y enlaces a este en todas las páginas web pertinentes de las que sean responsables.

(62)

El nombre con el que se debe dar a conocer y se debe promocionar la pasarela debe ser «Your Europe». La interfaz común para usuarios debe ocupar un lugar destacado y poder encontrarse fácilmente, en particular en las páginas web pertinentes de la Unión y nacionales. El logotipo de la pasarela debe ser visible en los sitios web pertinentes de la Unión y nacionales.

(63)

Al objeto de obtener la información adecuada para medir y mejorar los resultados de la pasarela, el presente Reglamento debe pedir a las autoridades competentes y a la Comisión que recaben y analicen los datos relacionados con el uso de los diferentes ámbitos de información, procedimientos y servicios ofrecidos a través de la pasarela. La recogida de estadísticas de los usuarios, como datos sobre el número de visitas a páginas web concretas, el número de usuarios en un Estado miembro en comparación con el número de usuarios de otros Estados miembros, los términos de búsqueda empleados, las páginas web más visitadas, los sitios web de referencia o el número, origen y tema de las solicitudes de asistencia, debe mejorar el funcionamiento de la pasarela ayudando a identificar al público, a desarrollar actividades promocionales y a mejorar la calidad de los servicios ofrecidos. La recogida de tales datos debe tener en cuenta el ejercicio de referencia sobre la administración electrónica llevado a cabo por la Comisión para evitar duplicidades.

(64)

A fin de garantizar condiciones uniformes de ejecución del presente Reglamento, deben conferirse a la Comisión competencias de ejecución para establecer normas uniformes sobre el método de recogida e intercambio de estadísticas de los usuarios. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.o 182/2011.

(65)

La calidad de la pasarela depende de la calidad de los servicios de la Unión y nacionales prestados a través de la pasarela. Por tanto, la calidad de la información, los procedimientos y los servicios de asistencia y resolución de problemas disponibles a través de la pasarela deben también ser objeto de seguimiento periódicamente mediante una herramienta de valoración de los usuarios que pida a estos que evalúen la cobertura y la calidad de la información, los procedimientos y los servicios de asistencia y resolución de problemas que hayan utilizado y formulen sus observaciones al respecto. Esas observaciones deben quedar recogidas en una herramienta común a la que tengan acceso la Comisión, las autoridades competentes y los coordinadores nacionales. Al objeto de garantizar condiciones uniformes de ejecución del presente Reglamento en relación con las funcionalidades comunes de las herramientas de valoración de los usuarios y las disposiciones concretas para la recogida y la puesta en común de esas observaciones, deben conferirse a la Comisión competencias de ejecución. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.o 182/2011. La Comisión debe publicar, de forma anónima, resúmenes en línea de los problemas que surjan de la información, las principales estadísticas de los usuarios y las principales observaciones de los usuarios recogidas de conformidad con el presente Reglamento.

(66)

Además, la pasarela debe incluir una herramienta de valoración que permita a los usuarios señalar, de manera voluntaria y anónima, cualquier problema o dificultad con los que se hayan encontrado al ejercer sus derechos en el mercado interior. Esta herramienta solo debe considerarse complementaria de los mecanismos de tramitación de reclamaciones, ya que no puede dar una respuesta personalizada a los usuarios. La información recibida debe combinarse con información agregada procedente de los servicios de asistencia y resolución de problemas acerca de casos que hayan tramitado, con el fin de elaborar un resumen de la percepción que tienen los usuarios del mercado interior e identificar los ámbitos problemáticos para posibles acciones futuras destinadas a mejorar el funcionamiento de dicho mercado. Dicho resumen debe estar relacionado con los instrumentos de información ya existentes, como el cuadro de indicadores del mercado único.

(67)

La facultad de los Estados miembros para decidir quién debe desempeñar el papel de coordinador nacional no debe verse afectado por el presente Reglamento. Los Estados miembros deben poder adaptar las funciones y responsabilidades de sus coordinadores nacionales relativas a la pasarela a sus propias estructuras administrativas internas. Los Estados miembros deben poder nombrar más coordinadores nacionales para desempeñar las tareas contempladas en el presente Reglamento solos o conjuntamente con otros con responsabilidad sobre un departamento de la administración o una región geográfica, o de conformidad con otros criterios. Los Estados miembros deben informar a la Comisión sobre la identidad del único coordinador nacional que hayan nombrado para que mantenga contactos con la Comisión.

(68)

El grupo de coordinación de la pasarela compuesto por los coordinadores nacionales y presidido por la Comisión debe establecerse a fin de facilitar la aplicación del presente Reglamento, en particular mediante el intercambio de las mejores prácticas y la colaboración para mejorar la coherencia de la presentación de la información, tal y como exige el propio Reglamento. El trabajo del grupo de coordinación de la pasarela debe tener en cuenta los objetivos establecidos en el programa de trabajo anual, que la Comisión debe presentarle para que lo examine. El programa de trabajo anual debe adoptar la forma de directrices o recomendaciones, que no son vinculantes para los Estados miembros. La Comisión, a petición del Parlamento Europeo, puede decidir invitar a este a que mande a sus expertos a las reuniones del grupo de coordinación de la pasarela.

(69)

El presente Reglamento debe aclarar qué partes de la pasarela deben ser financiadas con cargo al presupuesto de la Unión y cuáles deben ser de la responsabilidad de los Estados miembros. La Comisión debe ayudar a los Estados miembros a identificar los componentes TIC reutilizables y la financiación disponible a través de los distintos fondos y programas de la Unión que pueden contribuir a cubrir los costes de las adaptaciones y el desarrollo en materia de TIC necesarios a nivel nacional para cumplir lo dispuesto en el presente Reglamento. El presupuesto requerido para la aplicación del presente Reglamento debe ser compatible con el marco financiero plurianual aplicable.

(70)

Se anima a los Estados miembros a coordinar, intercambiar y colaborar más entre sí a fin de incrementar sus capacidades estratégicas, operativas y de investigación y desarrollo en el ámbito de la ciberseguridad, en particular mediante la aplicación de la seguridad de las redes y sistemas de información, como se contempla en la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo (27) para reforzar la seguridad y la resiliencia de su administración pública y sus servicios. Se anima a los Estados miembros a aumentar la seguridad de las transacciones y a velar por un grado suficiente de confianza en los medios electrónicos mediante el empleo del marco eIDAS establecido por el Reglamento (UE) n.o 910/2014 y, en particular, por niveles de seguridad adecuados. Los Estados miembros pueden adoptar medidas de conformidad con el Derecho de la Unión para proteger la ciberseguridad y evitar la usurpación de identidad u otras formas de fraude.

(71)

Cuando la aplicación del presente Reglamento implique el tratamiento de datos personales, debe efectuarse de conformidad con el Derecho de la Unión sobre la protección de datos personales, en particular el Reglamento (UE) 2016/679 y el Reglamento (UE) 2018/1725. La Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (28) también debe aplicarse en el contexto del presente Reglamento. Como dispone el Reglamento (UE) 2016/679, los Estados miembros pueden mantener o introducir condiciones adicionales, también límites, con respecto al tratamiento de datos relativos a la salud, y también pueden prever normas más concretas sobre el tratamiento de datos de carácter personal de empleados en el contexto laboral.

(72)

El presente Reglamento debe promover y facilitar la racionalización de los mecanismos de gobernanza de los servicios incluidos en la pasarela. A tal fin, la Comisión, en estrecha colaboración con los Estados miembros, debe revisar los mecanismos de gobernanza existentes y adaptarlos cuando sea necesario, a fin de evitar duplicidades e ineficiencias.

(73)

El objetivo del presente Reglamento es garantizar que los usuarios que operan en otros Estados miembros tengan acceso en línea a una información de la Unión y nacional exhaustiva, fiable, accesible y comprensible sobre derechos, normas y obligaciones, a unos procedimientos en línea que permitan realizar transacciones transfronterizas íntegramente en línea y a servicios de asistencia y resolución de problemas. Dado que este objetivo no puede ser alcanzado de manera suficiente por los Estados miembros, sino que, debido a las dimensiones y efectos del presente Reglamento, puede lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dicho objetivo.

(74)

A fin de que los Estados miembros y la Comisión desarrollen e implanten las herramientas necesarias para dar efecto al presente Reglamento, algunas de sus disposiciones deben ser de aplicación a partir de dos años después de su entrada en vigor. Las autoridades municipales deben disponer de hasta cuatro años después de la entrada en vigor del presente Reglamento para aplicar el requisito de proporcionar información relativa a normas, procedimientos y servicios de asistencia y resolución de problemas en el ámbito de su responsabilidad. Las disposiciones del presente Reglamento relativas a los procedimientos que deben ofrecerse íntegramente en línea, al acceso transfronterizo a los procedimientos en línea y al sistema técnico para el intercambio transfronterizo automatizado de pruebas de conformidad con el principio de «solo una vez» deben aplicarse a más tardar cinco años después de la entrada en vigor del presente Reglamento.

(75)

El presente Reglamento respeta los derechos fundamentales y observa los principios reconocidos, en particular, en la Carta de los Derechos Fundamentales de la Unión Europea, por lo que debe aplicarse de conformidad con tales derechos y principios.

(76)

Se ha consultado al Supervisor Europeo de Protección de Datos de conformidad con el artículo 28, apartado 2, del Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo (29), quien emitió un dictamen el 1 de agosto de 2017 (30).

(1)

La protección de las personas físicas en lo que respecta al tratamiento de los datos de carácter personal (datos personales) es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta») y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE) disponen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan. También el artículo 8 del Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales garantiza ese derecho.

(2)

El Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo (3) proporciona a las personas físicas unos derechos protegidos jurídicamente, especifica las obligaciones de los responsables del tratamiento dentro de las instituciones y los organismos de la Unión en materia de tratamiento de datos y crea una autoridad de control independiente, el Supervisor Europeo de Protección de Datos, responsable de la vigilancia de los tratamientos de datos personales efectuados por las instituciones y los organismos de la Unión. Sin embargo, no se aplica al tratamiento de datos personales en el ejercicio de una actividad de las instituciones y los organismos de la Unión no comprendida en el ámbito de aplicación del Derecho de la Unión.

(3)

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (4) y la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (5) fueron adoptados el 27 de abril de 2016. Mientras que el Reglamento establece normas generales para proteger a las personas físicas en lo que respecta al tratamiento de los datos personales y para facilitar la libre circulación de datos personales en la Unión, la Directiva establece normas específicas para proteger a las personas físicas en lo que respecta al tratamiento de los datos personales y para garantizar la libre circulación de datos personales en la Unión en el ámbito de la cooperación judicial en materia penal y en el de la cooperación policial.

(4)

El Reglamento (UE) 2016/679 dispone que se adapte el Reglamento (CE) n.o 45/2001 a fin de garantizar un marco sólido y coherente en materia de protección de datos en la Unión y permitir que pueda aplicarse al mismo tiempo que el Reglamento (UE) 2016/679.

(5)

Redunda en interés de un enfoque coherente de la protección de datos personales en la Unión y de la libre circulación de datos personales en la Unión, armonizar, en la medida de lo posible, las normas de protección de datos de las instituciones, órganos y organismos de la Unión con las adoptadas para el sector público en los Estados miembros. Cuando las disposiciones del presente Reglamento apliquen los mismos principios que las disposiciones del Reglamento (UE) 2016/679, según la jurisprudencia del Tribunal de Justicia de la Unión Europea (en lo sucesivo, «Tribunal de Justicia»), ambas deben interpretarse de manera homogénea, en particular porque debe entenderse que la estructura del presente Reglamento es equivalente a la del Reglamento (UE) 2016/679.

(6)

Se debe proteger a las personas cuyos datos personales son tratados por las instituciones y organismos de la Unión en cualquier contexto, por ejemplo, porque estas personas estén empleadas por dichas instituciones y organismos. El presente Reglamento no se aplica al tratamiento de datos personales de personas fallecidas. El presente Reglamento no regula el tratamiento de datos personales relativos a personas jurídicas y, en particular, a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto.

(7)

A fin de evitar que haya un grave riesgo de elusión, la protección de las personas físicas debe ser tecnológicamente neutra y no debe depender de las técnicas utilizadas.

(8)

El presente Reglamento se aplica al tratamiento de datos personales por parte de todas las instituciones, órganos y organismos de la Unión. Se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. Los ficheros o conjuntos de ficheros, así como sus portadas, que no estén estructurados con arreglo a criterios específicos, no deben entrar en el ámbito de aplicación del presente Reglamento.

(9)

En la Declaración n.o 21 relativa a la protección de datos de carácter personal en el ámbito de la cooperación judicial en materia penal y de la cooperación policial, anexa al acta final de la Conferencia Intergubernamental que adoptó el Tratado de Lisboa, la Conferencia reconoció que podrían requerirse normas específicas para la protección de datos de carácter personal y la libre circulación de dichos datos en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial que se basen en el artículo 16 del TFUE, en razón de la naturaleza específica de dichos ámbitos. Por ello, debe dedicarse un capítulo específico del presente Reglamento de normas generales al tratamiento de datos personales de carácter operativo (datos personales operativos), tales como los datos personales que, en el marco de investigaciones de infracciones, sean tratados por órganos u organismos de la Unión cuando lleven a cabo actividades en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial.

(10)

La Directiva (UE) 2016/680 establece normas armonizadas para la protección y libre circulación de los datos personales tratados con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención. A fin de garantizar el mismo nivel de protección de las personas físicas mediante derechos protegidos jurídicamente en toda la Unión y evitar divergencias que dificulten el intercambio de datos personales entre los órganos u organismos de la Unión cuando lleven a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE y las autoridades competentes, las normas para la protección y la libre circulación de los datos personales operativos tratados por dichos órganos u organismos de la Unión deben ser coherentes con la Directiva (UE) 2016/680.

(11)

Las normas generales del capítulo del presente Reglamento sobre el tratamiento de datos personales operativos deben aplicarse sin perjuicio de las normas especiales aplicables al tratamiento de datos personales operativos por parte de los órganos y organismos de la Unión cuando lleven a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE. Dichas normas especiales deben considerarse como lex specialis en relación con las disposiciones del capítulo del presente Reglamento relativo al tratamiento de datos personales operativos (lex specialis derogat legi generali). A fin de reducir la fragmentación jurídica, las normas especiales en materia de protección de datos aplicables al tratamiento de datos personales operativos por parte de los órganos y organismos de la Unión cuando lleven a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE deben ser coherentes con los principios en que se basa el capítulo del presente Reglamento sobre el tratamiento de datos personales operativos y con las disposiciones del presente Reglamento relativas a la supervisión independiente, los recursos, la responsabilidad y las sanciones.

(12)

El capítulo del presente Reglamento sobre el tratamiento de datos personales operativos debe aplicarse a los órganos y organismos de la Unión cuando lleven a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE, si ejercen tales actividades ya sea como tarea principal o accesoria, con fines de prevención, detección, investigación o enjuiciamiento de infracciones penales. No obstante, no debe aplicarse a Europol ni a la Fiscalía Europea hasta que se modifiquen los actos jurídicos que los establecen, a fin de que les sea aplicable, con sus adaptaciones, el capítulo del presente Reglamento sobre el tratamiento de datos personales operativos.

(13)

La Comisión debe llevar a cabo una revisión del presente Reglamento, en especial del capítulo sobre el tratamiento de datos personales operativos. Asimismo, la Comisión debe revisar otros actos jurídicos adoptados sobre la base de los Tratados que regulen el tratamiento de datos personales operativos por los órganos y organismos de la Unión cuando llevan a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE. Tras dicha revisión, a fin de garantizar la protección uniforme y coherente de las personas físicas en lo que respecta al tratamiento de los datos personales, la Comisión debe poder presentar las propuestas legislativas oportunas, en especial las adaptaciones que sean necesarias del capítulo del presente Reglamento sobre el tratamiento de datos personales operativos, a efectos de su aplicación a Europol y a la Fiscalía Europea,. Las adaptaciones deben tener en cuenta las disposiciones relativas a la supervisión independiente, los recursos, la responsabilidad y las sanciones.

(14)

El presente Reglamento debe incluir en su ámbito de aplicación el tratamiento de datos personales de carácter administrativo, por ejemplo los datos relativos al personal, por los órganos u organismos de la Unión que lleven a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE.

(15)

El presente Reglamento debe incluir en su ámbito de aplicación el tratamiento de datos personales por parte de las instituciones, órganos y organismos de la Unión que lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del Tratado de la Unión Europea (TUE). El presente Reglamento no debe incluir en su ámbito de aplicación el tratamiento de datos personales por parte de las misiones mencionadas en el artículo 42, apartado 1, y en los artículos 43 y 44 del TUE, que aplican la política común de seguridad y defensa. En su caso, se presentarán propuestas pertinentes para regular más el tratamiento de datos personales en el ámbito de la política común de seguridad y defensa.

(16)

Los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable. Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable. Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos. Por lo tanto, los principios de protección de datos no deben aplicarse a la información anónima, es decir, información que no guarda relación con una persona física identificada o identificable o datos convertidos en anónimos de forma que el interesado no sea identificable o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, ni siquiera con fines estadísticos o de investigación.

(17)

La aplicación de la seudonimización a los datos personales puede reducir los riesgos para los interesados afectados y ayudar a los responsables y a los encargados del tratamiento a cumplir sus obligaciones de protección de los datos. Así pues, la introducción explícita de la «seudonimización» en el presente Reglamento no pretende excluir ninguna otra medida relativa a la protección de los datos.

(18)

Las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» u otros identificadores, como etiquetas de identificación por radiofrecuencia. Esto puede dejar huellas que, en particular, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas.

(19)

El consentimiento debe prestarse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar el tratamiento de datos personales que le conciernen, como una declaración por escrito, también por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe prestarse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe prestarse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de prestar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta. Al mismo tiempo, el interesado debe tener derecho a revocar su consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su revocación. Para garantizar que el consentimiento se haya prestado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos personales en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento y sea por lo tanto improbable que el consentimiento se hubiese prestado libremente en todas las circunstancias de dicha situación particular. Con frecuencia no es posible determinar totalmente en el momento de su recogida la finalidad del tratamiento de los datos personales con fines de investigación científica. Por consiguiente, debe permitirse a los interesados prestar su consentimiento para determinados ámbitos de investigación científica que respeten las normas éticas reconocidas para la investigación científica. Los interesados deben tener la oportunidad de prestar su consentimiento solamente para determinados ámbitos de investigación o partes de proyectos de investigación, en la medida en que lo permita la finalidad perseguida.

(20)

Todo tratamiento de datos personales debe ser lícito y leal. Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y sobre los fines del tratamiento y a la información adicional para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Debe ponerse en conocimiento de las personas físicas los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales así como el modo de hacer valer sus derechos en relación con el tratamiento. En particular, los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida. Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación. Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica. Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos. Los datos personales deben tratarse de un modo que garantice una seguridad y confidencialidad adecuadas de los datos personales, también para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en su tratamiento, e impedir la revelación no autorizada de los datos durante su transmisión.

(21)

De conformidad con el principio de responsabilidad proactiva, cuando las instituciones y organismos de la Unión transmitan datos personales en el seno de la misma institución u organismo de la Unión y el destinatario no forme parte del responsable del tratamiento, o los transmitan a otras instituciones u organismos de la Unión, deben verificar si dichos datos personales son necesarios para el ejercicio legítimo de las funciones comprendidas en el ámbito de competencias del destinatario. En particular, tras la petición de transmisión de datos personales por parte de un destinatario, el responsable debe verificar la existencia de un motivo pertinente para el tratamiento lícito de los datos personales por su parte así como la competencia del destinatario. El responsable también debe efectuar una evaluación provisional de la necesidad de la transmisión de dichos datos. En caso de albergar dudas sobre tal necesidad, el responsable del tratamiento debe pedir al destinatario que aporte información complementaria. El destinatario debe garantizar la posibilidad de verificar posteriormente la necesidad de la transmisión de los datos.

(22)

Para que el tratamiento sea lícito, los datos personales deben ser tratados sobre la base de la necesidad del desempeño de una función realizada en interés público por parte de las instituciones y organismos de la Unión o en el ejercicio de sus potestades públicas, la necesidad de cumplir una obligación legal del responsable del tratamiento o sobre alguna otra base legítima con arreglo al presente Reglamento, incluido el consentimiento del interesado, la necesidad para el cumplimiento de un contrato en el que sea parte el interesado o con objeto de tomar medidas a instancia del interesado con anterioridad a la conclusión de un contrato. El tratamiento de datos personales efectuado a cargo de las instituciones y organismos de la Unión para el desempeño de funciones de interés público incluye el tratamiento de datos personales necesarios para la gestión y el funcionamiento de dichas instituciones y organismos. El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.

(23)

La normativa de la Unión a la que se refiere el presente Reglamento debe ser clara y precisa y su aplicación previsible para quienes estén sujetos a ella, de conformidad con los requisitos establecidos en la Carta y en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales.

(24)

Las normas internas a las que se refiere el presente Reglamento deben constituir actos de aplicación general claros y precisos destinados a producir efectos jurídicos frente a los interesados. Deben adoptarse al nivel de gestión más elevado de las instituciones y organismos de la Unión, dentro de sus competencias y respecto de materias relacionadas con su funcionamiento. Deben publicarse en el Diario Oficial de la Unión Europea. La aplicación de dichas normas debe ser previsible para quienes estén sujetos a ellas, de conformidad con lo dispuesto en la Carta y en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales. Las normas internas pueden adoptar la forma de decisiones, en particular cuando sean adoptadas por instituciones de la Unión.

(25)

El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. En tal caso, no se requiere una base jurídica aparte, distinta de la que permitió la obtención de los datos personales. Si el tratamiento es necesario para el cumplimiento de una función realizada en interés público o en el ejercicio de potestades públicas conferidas al responsable del tratamiento, los cometidos y los fines para los cuales se debe considerar compatible y lícito el tratamiento ulterior se pueden determinar y especificar de acuerdo con el Derecho de la Unión. Las operaciones de tratamiento ulterior con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos deben considerarse operaciones de tratamiento lícitas compatibles. La base jurídica establecida en el Derecho de la Unión para el tratamiento de datos personales también puede servir de base jurídica para el tratamiento ulterior. Con objeto de determinar si el fin del tratamiento ulterior es compatible con el fin de la recogida inicial de los datos personales, el responsable del tratamiento, tras haber cumplido todos los requisitos para la licitud del tratamiento original, debe tener en cuenta, entre otras cosas: cualquier relación entre estos fines y los fines del tratamiento ulterior previsto; el contexto en el que se recogieron los datos, en particular, las expectativas razonables del interesado basadas en su relación con el responsable en cuanto a su uso posterior; la naturaleza de los datos personales; las consecuencias para los interesados del tratamiento ulterior previsto; y la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento ulterior prevista.

(26)

Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha prestado su consentimiento a la operación de tratamiento. En particular en el contexto de una declaración por escrito efectuada sobre otro asunto, debe haber garantías de que el interesado es consciente del hecho de que presta su consentimiento y de la medida en que lo hace. De acuerdo con la Directiva 93/13/CEE del Consejo (6), debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas. Para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o revocar su consentimiento sin sufrir perjuicio alguno.

(27)

Los niños merecen una protección específica de sus datos personales, ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales. Dicha protección específica debe aplicarse, en particular, a la elaboración de perfiles de personalidad y a la obtención de datos personales relativos a niños cuando se ofrezcan servicios directamente a un niño en los sitios web de las instituciones y organismos de la Unión, tales como los servicios de comunicación interpersonal o la venta por internet de entradas, y el tratamiento de los datos personales se base en el consentimiento.

(28)

Cuando los destinatarios establecidos en la Unión distintos de las instituciones y organismos de la Unión quieran que las instituciones y organismos de la Unión les transmitan datos personales, dichos destinatarios deben demostrar que la transmisión es necesaria para el ejercicio de sus funciones llevadas a cabo en interés público o bien para el ejercicio de las potestades públicas que tienen conferidas. Alternativamente, dichos destinatarios deberán demostrar que la transmisión es necesaria para una finalidad específica de interés público y el responsable del tratamiento debe determinar si existe alguna razón que permita suponer que se perjudicarán los intereses legítimos del interesado. En tales casos, el responsable del tratamiento debe ponderar de manera demostrable los diferentes intereses a fin de calcular la proporcionalidad de la transmisión de datos personales solicitada. Esa finalidad específica de interés público puede guardar relación con la transparencia de las instituciones y organismos de la Unión. Además, las instituciones y organismos de la Unión deben demostrar esta necesidad en el momento en que ellos mismos inicien la transmisión, con arreglo al principio de transparencia y buena administración. Debe entenderse que los requisitos establecidos en el presente Reglamento para las transmisiones a destinatarios establecidos en la Unión distintos de las instituciones y organismos de la Unión son complementarios a las condiciones para un tratamiento lícito.

(29)

Especial protección merecen los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales. Tales datos personales no deben ser objeto de tratamiento, salvo que se cumplan las condiciones específicas definidas en el presente Reglamento. Debe incluirse entre tales datos personales los datos de carácter personal que revelen el origen racial o étnico, entendiéndose que el uso del término «origen racial» en el presente Reglamento no implica la aceptación por parte de la Unión de teorías que traten de determinar la existencia de razas humanas separadas. El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física. Además de los requisitos específicos para el tratamiento de datos sensibles, deben aplicarse los principios generales y otras normas del presente Reglamento, sobre todo en lo que se refiere a las condiciones de licitud del tratamiento. Se deben establecer de forma explícita excepciones a la prohibición general de tratamiento de esas categorías especiales de datos personales, entre otras cosas cuando el interesado preste su consentimiento explícito o tratándose de necesidades específicas, en particular cuando el tratamiento sea realizado en el marco de actividades legítimas por determinadas asociaciones o fundaciones cuyo objetivo sea permitir el ejercicio de las libertades fundamentales.

(30)

Las categorías especiales de datos personales que merecen mayor protección deben tratarse con fines relacionados con la salud únicamente cuando sea necesario para lograr dichos fines en beneficio de las personas físicas y de la sociedad en su conjunto, en particular en el contexto de la gestión de los servicios y sistemas de asistencia social y sanitaria. Por tanto, el presente Reglamento debe establecer condiciones armonizadas para el tratamiento de categorías especiales de datos personales relativos a la salud, en relación con necesidades específicas, en particular si el tratamiento de esos datos lo realizan, con fines relacionados con la salud, personas sujetas a la obligación legal de secreto profesional. El Derecho de la Unión debe establecer medidas específicas y adecuadas para proteger los derechos fundamentales y los datos personales de las personas físicas.

(31)

El tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de interés público en el ámbito de la salud pública. Ese tratamiento debe estar sujeto a medidas adecuadas y específicas a fin de proteger los derechos y libertades de las personas físicas. En ese contexto, «salud pública» debe interpretarse según se define en el Reglamento (CE) n.o 1338/2008 del Parlamento Europeo y del Consejo (7), es decir, todos los elementos relacionados con la salud, concretamente el estado de salud, con inclusión de la morbilidad y la discapacidad, los determinantes que influyen en dicho estado de salud, las necesidades de asistencia sanitaria, los recursos asignados a la asistencia sanitaria, la puesta a disposición de asistencia sanitaria y el acceso universal a ella, así como los gastos y la financiación de la asistencia sanitaria, y las causas de mortalidad. Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que se traten los datos personales con otros fines.

(32)

Si los datos personales tratados por un responsable no le permiten identificar a una persona física, el responsable no debe estar obligado a obtener información adicional para identificar al interesado con la única finalidad de cumplir cualquier disposición del presente Reglamento. No obstante, el responsable del tratamiento no debe negarse a recibir información adicional facilitada por el interesado a fin de respaldarle en el ejercicio de sus derechos. La identificación debe incluir la identificación digital de un interesado, por ejemplo mediante un mecanismo de autenticación, como las mismas credenciales, empleadas por el interesado para abrir una sesión en el servicio en línea ofrecido por el responsable.

(33)

El tratamiento de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos debe estar supeditado a unas garantías adecuadas para los derechos y las libertades del interesado de conformidad con el presente Reglamento. Esas garantías deben asegurar que se aplican medidas técnicas y organizativas para que se observe, en particular, el principio de minimización de los datos. El tratamiento ulterior de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos ha de efectuarse cuando el responsable del tratamiento haya evaluado la viabilidad de cumplir esos fines mediante un tratamiento de datos que no permita identificar a los interesados, o que ya no lo permita, siempre que existan las garantías adecuadas (como, por ejemplo, la seudonimización de datos). Las instituciones y organismos de la Unión deben establecer garantías adecuadas para el tratamiento de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos en el Derecho de la Unión, garantías que pueden incluir normas internas adoptadas por las instituciones y organismos de la Unión en cuestiones relacionadas con su funcionamiento.

(34)

Deben arbitrarse fórmulas para facilitar al interesado el ejercicio de sus derechos en virtud del presente Reglamento, incluidos los mecanismos para solicitar y, en su caso, obtener de forma gratuita, en particular, el acceso a los datos personales y su rectificación o supresión, así como el ejercicio del derecho de oposición. El responsable del tratamiento también debe proporcionar medios para que las solicitudes se presenten por medios electrónicos, en particular cuando los datos personales se tratan por medios electrónicos. El responsable del tratamiento debe estar obligado a responder a las solicitudes del interesado sin dilación indebida y a más tardar en el plazo de un mes, y a explicar sus motivos en caso de que no fuera a atenderlas.

(35)

Los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de la operación de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales. Se debe además informar al interesado de la existencia de la elaboración de perfiles y de las consecuencias de dicha elaboración. Si los datos personales se obtienen de los interesados, también se les debe informar de si están obligados a proporcionarlos y de las consecuencias en caso de que no lo hicieran. Dicha información puede proporcionarse en combinación con unos iconos normalizados que ofrezcan, de forma fácilmente visible, inteligible y claramente legible, una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presentan en formato electrónico deben ser legibles mecánicamente.

(36)

Se debe facilitar a los interesados la información sobre el tratamiento de sus datos personales en el momento en que se obtengan de ellos o, si se obtienen de otra fuente, en un plazo razonable, dependiendo de las circunstancias del caso. Si los datos personales pueden ser comunicados legítimamente a otro destinatario, se debe informar al interesado en el momento en que se comunican al destinatario por primera vez. El responsable del tratamiento que proyecte tratar los datos para un fin que no sea aquel para el que se recogieron debe proporcionar al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y otra información necesaria. Cuando el origen de los datos personales no pueda facilitarse al interesado por haberse utilizado varias fuentes, debe facilitarse información general.

(37)

Los interesados deben tener derecho a acceder a los datos personales recogidos que les conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento. Ello incluye el derecho de los interesados a acceder a datos relativos a la salud, por ejemplo los datos de sus historias clínicas que contengan información como diagnósticos, resultados de exámenes, evaluaciones de facultativos y cualesquiera tratamientos o intervenciones practicadas. Todo interesado debe, por tanto, tener el derecho a conocer y a que se le comuniquen, en particular, los fines para los que se tratan los datos personales, su plazo de tratamiento, sus destinatarios, la lógica implícita en todo tratamiento automático de datos personales y, por lo menos cuando se base en la elaboración de perfiles, las consecuencias de dicho tratamiento. Este derecho no debe afectar negativamente a los derechos y libertades de terceros, incluidos los secretos comerciales o la propiedad intelectual y, en particular, los derechos de propiedad intelectual que protegen programas informáticos. No obstante, estas consideraciones no deben tener como resultado la negativa a prestar toda la información al interesado. Si trata una gran cantidad de información relativa al interesado, el responsable del tratamiento debe estar facultado para solicitar que, antes de facilitarse la información, el interesado especifique la información o actividades de tratamiento a que se refiere la solicitud.

(38)

Los interesados deben tener derecho a que se rectifiquen los datos personales que le conciernen y un «derecho al olvido» si la retención de tales datos infringe el presente Reglamento o el Derecho de la Unión aplicable al responsable del tratamiento. Los interesados deben tener derecho a que sus datos personales se supriman y dejen de tratarse si ya no son necesarios para los fines para los que fueron recogidos o tratados de otro modo, si los interesados han revocado su consentimiento para el tratamiento o se oponen al tratamiento de datos personales que les conciernen, o si el tratamiento de sus datos personales incumple de otro modo el presente Reglamento. Este derecho es importante en particular si el interesado prestó su consentimiento siendo niño y no se es plenamente consciente de los riesgos que implica el tratamiento, y más tarde quiere suprimir tales datos personales, especialmente en internet. El interesado debe poder ejercer este derecho aunque ya no sea un niño. Sin embargo, la retención ulterior de los datos personales debe ser lícita cuando sea necesaria para el ejercicio de la libertad de expresión e información, para el cumplimiento de una obligación legal, para el cumplimiento de una función realizada en interés público o en el ejercicio de potestades públicas conferidas al responsable del tratamiento, por razones de interés público en el ámbito de la salud pública, con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, o para la formulación, el ejercicio o la defensa de reclamaciones.

(39)

A fin de reforzar el «derecho al olvido» en el entorno en línea, el derecho de supresión debe ampliarse de tal forma que el responsable del tratamiento que haya hecho públicos datos personales esté obligado a indicar a los responsables del tratamiento que estén tratando tales datos personales que supriman todo enlace a ellos, o las copias o réplicas de tales datos. Al proceder así, dicho responsable debe tomar medidas razonables, teniendo en cuenta la tecnología y los medios a su disposición, incluidas las medidas técnicas, para informar de la solicitud del interesado a los responsables que estén tratando los datos personales.

(40)

Entre los métodos para limitar el tratamiento de datos personales cabría incluir los consistentes en trasladar temporalmente los datos seleccionados a otro sistema de tratamiento, en impedir el acceso de usuarios a los datos personales seleccionados o en retirar temporalmente los datos publicados de un sitio internet. En los ficheros automatizados la limitación del tratamiento debe realizarse, en principio, por medios técnicos, de forma que los datos personales no sean objeto de operaciones de tratamiento ulterior ni puedan modificarse. El hecho de que el tratamiento de los datos personales esté limitado debe indicarse claramente en el sistema.

(41)

Para reforzar aún más el control sobre sus propios datos, cuando el tratamiento de los datos personales se efectúe por medios automatizados, debe permitirse asimismo que los interesados que hubieran facilitado datos personales que les conciernan a un responsable del tratamiento los reciban en un formato estructurado, de uso común, de lectura mecánica e interoperable, y los transmitan a otro responsable del tratamiento. Debe alentarse a los responsables a crear formatos interoperables que permitan la portabilidad de datos. Dicho derecho debe aplicarse cuando el interesado haya facilitado los datos personales prestando su consentimiento o cuando el tratamiento sea necesario para el cumplimiento de un contrato. Por lo tanto, no debe aplicarse, cuando el tratamiento de los datos personales sea necesario para cumplir una obligación legal aplicable al responsable o para el cumplimiento de una función realizada en interés público o en el ejercicio de potestades públicas conferidas al responsable. El derecho del interesado a transmitir o recibir datos personales que lo conciernan no debe obligar al responsable a adoptar o mantener sistemas de tratamiento que sean técnicamente compatibles. Cuando un conjunto de datos personales determinado concierna a más de un interesado, el derecho a recibir tales datos se debe entender sin menoscabo de los derechos y libertades de otros interesados de conformidad con el presente Reglamento. Por otra parte, ese derecho no debe menoscabar el derecho del interesado a obtener la supresión de los datos personales y las limitaciones de ese derecho recogidas en el presente Reglamento, y en particular no debe implicar la supresión de los datos personales concernientes al interesado que este haya facilitado para el cumplimiento de un contrato, en la medida y durante el tiempo en que los datos personales sean necesarios para el cumplimiento de dicho contrato. El interesado debe tener derecho a que los datos personales se transmitan directamente de un responsable del tratamiento a otro, cuando sea técnicamente posible.

(42)

En los casos en que los datos personales puedan ser tratados lícitamente porque el tratamiento es necesario para el cumplimiento de una función realizada en interés público o en el ejercicio de potestades públicas conferidas al responsable del tratamiento, el interesado debe, sin embargo, tener derecho a oponerse al tratamiento de cualquier dato personal relativo a su situación particular. Debe ser el responsable el que demuestre que sus intereses legítimos imperiosos prevalecen sobre los intereses o los derechos y las libertades fundamentales del interesado.

(43)

El interesado debe tener derecho a no ser objeto de una decisión, que puede incluir una medida, que evalúe aspectos personales relativos a él, y que se base únicamente en el tratamiento automatizado y produzca efectos jurídicos en él o le afecte significativamente de modo similar, como los servicios de contratación en red en los que no medie intervención humana alguna. Este tipo de tratamiento incluye la elaboración de perfiles consistente en cualquier forma de tratamiento automatizado de los datos personales que evalúe aspectos personales relativos a una persona física, en particular para analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado, en la medida en que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

Sin embargo, se deben permitir las decisiones basadas en tal tratamiento, incluida la elaboración de perfiles, si lo autoriza expresamente el Derecho de la Unión. En cualquier caso, dicho tratamiento debe estar sujeto a las garantías apropiadas, entre las que se deben incluir la información específica al interesado y el derecho a obtener intervención humana, a expresar su punto de vista, a recibir una explicación de la decisión tomada después de tal evaluación y a impugnar la decisión. Tal medida no debe afectar a un menor. A fin de garantizar un tratamiento leal y transparente respecto del interesado, teniendo en cuenta las circunstancias y el contexto específicos en los que se tratan los datos personales, el responsable del tratamiento debe utilizar procedimientos matemáticos o estadísticos adecuados para la elaboración de perfiles, aplicar medidas técnicas y organizativas apropiadas para garantizar, en particular, que se corrigen los factores que introducen inexactitudes en los datos personales y se reduce al máximo el riesgo de error, asegurar los datos personales de forma que se tengan en cuenta los posibles riesgos para los intereses y derechos del interesado e impedir, entre otras cosas, efectos discriminatorios en las personas físicas por motivos de raza u origen étnico, opiniones políticas, religión o creencias, afiliación sindical, condición genética o estado de salud u orientación sexual, o tratamiento que dé lugar a medidas que produzcan tal efecto. Las decisiones automatizadas y la elaboración de perfiles sobre la base de categorías particulares de datos personales únicamente deben permitirse en condiciones específicas.

(44)

Los actos jurídicos adoptados con arreglo a los Tratados o las normas internas adoptadas por las instituciones y organismos de la Unión en cuestiones relacionadas con su funcionamiento pueden imponer limitaciones a determinados principios y a los derechos de información, acceso, rectificación o supresión de datos personales, al derecho a la portabilidad de los datos, a la confidencialidad de las comunicaciones electrónicas así como a la comunicación de una violación de la seguridad de los datos personales a un interesado y a determinadas obligaciones conexas de los responsables del tratamiento, en la medida en que sea necesario y proporcionado en una sociedad democrática para salvaguardar la seguridad pública y para la prevención, investigación y enjuiciamiento de infracciones penales o la ejecución de sanciones penales. Se incluye en lo anterior la protección frente a las amenazas contra la seguridad pública, la protección de la vida humana, especialmente en respuesta a catástrofes naturales o de origen humano, la seguridad interna de las instituciones y organismos de la Unión, otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular los objetivos de la política exterior y de seguridad común de la Unión o un importante interés económico o financiero de la Unión o de un Estado miembro, y el mantenimiento de registros públicos por razones de interés público general o la protección del interesado o de los derechos y libertades de terceros, incluida la protección social, la salud pública y los fines humanitarios.

(45)

Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas físicas.

(46)

Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular: en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen el origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas; en los casos en los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales; en los casos en los que se traten datos personales de personas vulnerables, en particular niños; o en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados.

(47)

La probabilidad y la gravedad del riesgo para los derechos y las libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto.

(48)

La protección de los derechos y las libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del presente Reglamento. A fin de poder demostrar la conformidad con este, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan, en particular, los principios de protección de datos desde el diseño y por defecto. Dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad. Los principios de la protección de datos desde el diseño y por defecto también deben tenerse en cuenta en el contexto de los contratos públicos.

(49)

El Reglamento (UE) 2016/679 establece que los responsables del tratamiento de datos demuestren el cumplimiento mediante la adhesión a mecanismos de certificación aprobados. Del mismo modo, las instituciones y organismos de la Unión deben poder demostrar el cumplimiento de lo dispuesto en el presente Reglamento mediante la obtención de una certificación de conformidad con el artículo 42 del Reglamento (UE) 2016/679.

(50)

La protección de los derechos y las libertades de los interesados, así como la responsabilidad de los responsables y encargados del tratamiento, requieren una atribución clara de las responsabilidades en virtud del presente Reglamento, incluidos los casos en los que un responsable determine los fines y medios del tratamiento de forma conjunta con otros responsables, o en los que el tratamiento se lleve a cabo por cuenta de un responsable.

(51)

Para garantizar el cumplimiento de las disposiciones del presente Reglamento respecto del tratamiento que lleve a cabo el encargado por cuenta del responsable, este, al encomendar actividades de tratamiento a un encargado, debe recurrir únicamente a encargados que ofrezcan suficientes garantías, en particular en lo que respecta a conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del presente Reglamento, incluida la seguridad del tratamiento. La adhesión de encargados distintos de las instituciones y organismos de la Unión a un código de conducta aprobado o a un mecanismo de certificación aprobado puede servir de elemento para demostrar el cumplimiento de las obligaciones por parte del responsable. El tratamiento por un encargado distinto de las instituciones y organismos de la Unión debe regirse por un contrato o, en caso de que el encargado sea una institución u organismo de la Unión, otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros que vincule al encargado con el responsable, que fije el objeto y la duración del tratamiento, la naturaleza y fines del tratamiento, el tipo de datos personales y las categorías de interesados, habida cuenta de las funciones y responsabilidades específicas del encargado en el contexto del tratamiento que ha de llevarse a cabo y del riesgo para los derechos y las libertades del interesado. El responsable y el encargado deben tener la posibilidad de optar por basarse en un contrato individual o en cláusulas contractuales tipo que adopte directamente la Comisión o el Supervisor Europeo de Protección de Datos y posteriormente la Comisión. Una vez finalizado el tratamiento por cuenta del responsable, el encargado debe, a elección de aquel, devolver o suprimir los datos personales, salvo que el Derecho de la Unión o de los Estados miembros aplicable al encargado del tratamiento obligue a conservar dichos datos.

(52)

Para demostrar la conformidad con el presente Reglamento, los responsables del tratamiento deben mantener registros de las actividades de tratamiento bajo su responsabilidad y los encargados del tratamiento deben mantener registros de las categorías de actividades de tratamiento bajo su responsabilidad. Las instituciones y organismos de la Unión están obligados a cooperar con el Supervisor Europeo de Protección de Datos y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento. Salvo que no sea adecuado habida cuenta del tamaño de una institución u organismo de la Unión, las instituciones y organismos de la Unión deben tener la posibilidad de establecer un archivo central de información de sus actividades de tratamiento. Por razones de transparencia, deben tener la posibilidad de hacerlo público.

(53)

A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales.

(54)

Las instituciones y organismos de la Unión deben garantizar la confidencialidad de las comunicaciones electrónicas con arreglo al artículo 7 de la Carta. En particular, las instituciones y organismos de la Unión deben garantizar la seguridad de sus redes de comunicación electrónica. Deben proteger la información relativa a los equipos terminales de los usuarios que acceden a los contenidos públicos de sus sitios web y a sus aplicaciones para móviles disponibles al público, de conformidad con la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (8). También deben proteger los datos personales almacenados en las guías de usuarios.

(55)

Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales podrían entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas. Por consiguiente, tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, debe, sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, notificar dicha violación de la seguridad de los datos personales al Supervisor Europeo de Protección de Datos, a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas. Si dicha notificación no es posible en el plazo de 72 horas, debe acompañarse de una indicación de los motivos de la dilación, pudiendo facilitarse información por fases sin más dilación indebida. Si dicha dilación está justificada, se debe dar a conocer, tan pronto como sea posible, información menos sensible o menos específica acerca de la violación, en lugar de solucionar totalmente el incidente subyacente antes de notificarlo.

(56)

El responsable del tratamiento debe comunicar al interesado sin dilación indebida la violación de la seguridad de los datos personales en caso de que pueda entrañar un alto riesgo para sus derechos y libertades, y permitirle tomar las precauciones necesarias. La comunicación debe describir la naturaleza de la violación de la seguridad de los datos personales y las recomendaciones para que la persona física afectada mitigue los potenciales efectos adversos resultantes de la violación. Dichas comunicaciones a los interesados deben realizarse tan pronto como sea razonablemente posible y en estrecha cooperación con el Supervisor Europeo de Protección de Datos, siguiendo sus orientaciones o las de otras autoridades competentes, como las autoridades policiales.

(57)

El Reglamento (CE) n.o 45/2001 establece la obligación general del responsable del tratamiento de notificar el tratamiento de datos personales al delegado de protección de datos. Salvo que no sea adecuado habida cuenta del tamaño de la institución u organismo de la Unión, el delegado de protección de datos debe mantener un registro de las operaciones de tratamiento que se le notifiquen. Además de esta obligación general, deben establecerse procedimientos y mecanismos eficaces para efectuar un seguimiento de las operaciones de tratamiento que, por su naturaleza, alcance, contexto y fines, entrañen probablemente un alto riesgo para los derechos y libertades de las personas físicas. Estos procedimientos deben establecerse también, en particular, cuando los tipos de operaciones de tratamiento impliquen el uso de nuevas tecnologías o sean de una nueva clase en relación con la cual el responsable del tratamiento no haya realizado previamente una evaluación de impacto relativa a la protección de datos o si resultan necesarias habida cuenta del tiempo transcurrido desde el tratamiento inicial. En tales casos, el responsable debe llevar a cabo, antes del tratamiento, una evaluación de impacto relativa a la protección de datos con el fin de valorar la gravedad y probabilidad concretas del alto riesgo, teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo. Dicha evaluación de impacto debe incluir, en particular, las medidas, garantías y mecanismos previstos para mitigar el riesgo, garantizar la protección de los datos personales y demostrar la conformidad con el presente Reglamento.

(58)

Debe consultarse al Supervisor Europeo de Protección de Datos antes de iniciar las actividades de tratamiento si una evaluación de impacto relativa a la protección de datos muestra que, en ausencia de garantías, medidas y mecanismos de seguridad destinados a mitigar los riesgos, el tratamiento entrañaría un alto riesgo para los derechos y libertades de las personas físicas, y el responsable del tratamiento considera que el riesgo no puede mitigarse con medidas razonables en términos de tecnología disponible y costes de aplicación. Existe la probabilidad de que ese alto riesgo se deba a determinados tipos de tratamiento y al alcance y frecuencia de este, lo que también podría ocasionar daños y perjuicios o una injerencia en los derechos y libertades de la persona física. El Supervisor Europeo de Protección de Datos debe responder a la solicitud de consulta dentro de un plazo determinado. Sin embargo, la ausencia de respuesta del Supervisor Europeo de Protección de Datos dentro de dicho plazo no debe obstar a cualquier intervención de dicho Supervisor basada en las funciones y potestades que le atribuye el presente Reglamento, incluido el poder de prohibir operaciones de tratamiento. Como parte de dicho proceso de consulta, debería poder presentarse al Supervisor Europeo de Protección de Datos el resultado de una evaluación de impacto relativa a la protección de datos efectuada en relación con el tratamiento en cuestión, en particular las medidas previstas para mitigar los riesgos para los derechos y las libertades de las personas físicas.

(59)

El Supervisor Europeo de Protección de Datos debe ser informado acerca de las medidas administrativas y consultado sobre las normas internas adoptadas por las instituciones y organismos de la Unión en cuestiones relacionadas con el funcionamiento de estos cuando dispongan el tratamiento de datos personales, establezcan condiciones para limitar los derechos de los interesados u ofrezcan garantías para los derechos de este, a fin de garantizar que el tratamiento previsto sea conforme con el presente Reglamento, en particular, en lo relativo a mitigar los riesgos que implique para el interesado.

(60)

El Reglamento (UE) 2016/679 estableció el Comité Europeo de Protección de Datos como organismo independiente de la Unión dotado de personalidad jurídica. El Comité debe contribuir a la aplicación coherente del Reglamento (UE) 2016/679 y la Directiva (UE) 2016/680 en toda la Unión, entre otras cosas, asesorando a la Comisión. Al mismo tiempo, el Supervisor Europeo de Protección de Datos seguirá ejerciendo sus funciones supervisoras y consultivas respecto a todas las instituciones y organismos de la Unión, por iniciativa propia o a petición. A fin de garantizar la coherencia de las normas de protección de datos en toda la Unión, al elaborar propuestas o recomendaciones, la Comisión debe esforzarse por consultar con el Supervisor Europeo de Protección de Datos. La Comisión debe llevar a cabo consultas de manera obligatoria tras la adopción de actos legislativos o durante la preparación de actos delegados y actos de ejecución, tal como se define en los artículos 289, 290 y 291 del TFUE, y tras la adopción de recomendaciones y propuestas relativas a acuerdos con terceros países y organizaciones internacionales, con arreglo al artículo 218 del TFUE que repercutan en el derecho a la protección de los datos personales. En estos casos, la Comisión debe estar obligada a consultar al Supervisor Europeo de Protección de Datos, excepto cuando el Reglamento (UE) 2016/679 prevea una consulta obligatoria del Comité Europeo de Protección de Datos, por ejemplo, sobre decisiones de adecuación o actos delegados relativos a iconos normalizados y requisitos para los mecanismos de certificación. Cuando dicho acto sea de especial importancia para la protección de los derechos y libertades de las personas físicas en relación con el tratamiento de datos personales, la Comisión debe tener la posibilidad de consultar, además, al Comité Europeo de Protección de Datos. En estos casos, el Supervisor Europeo de Protección de Datos debe, como miembro del Comité Europeo de Protección de Datos, coordinar su trabajo con este último a fin de emitir un dictamen conjunto. El Supervisor Europeo de Protección de Datos y, si procede, el Comité Europeo de Protección de Datos deben ofrecer su asesoramiento escrito en un plazo de ocho semanas. El plazo debe ser más corto en casos de urgencia o cuando se considere conveniente por otro motivo, por ejemplo, cuando la Comisión esté preparando actos delegados y de ejecución.

(61)

De conformidad con el artículo 75 del Reglamento (UE) 2016/679, el Supervisor Europeo de Protección de Datos debe hacerse cargo de la secretaría del Comité Europeo de Protección de Datos.

(62)

En todas las instituciones y organismos de la Unión, el delegado de protección de datos debe velar por que se aplique lo dispuesto en el presente Reglamento y asesorar a los responsables y encargados del tratamiento en el ejercicio de sus obligaciones. El delegado debe ser una persona con conocimientos especializados de la normativa y práctica en materia de protección de datos, que se deben determinar, en particular, en función de las operaciones de tratamiento de datos que lleven a cabo el responsable o el encargado y de la protección exigida para los datos personales tratados. Los delegados de protección de datos deben estar en condiciones de desempeñar sus funciones y tareas con independencia.

(63)

Si los datos personales se transfieren de las instituciones y organismos de la Unión a responsables, encargados u otros destinatarios en terceros países o a organizaciones internacionales, debe respetarse el nivel de protección de las personas físicas garantizado en la Unión por el presente Reglamento. Se deben aplicar las mismas garantías en caso de transferencias ulteriores de datos personales desde el tercer país u organización internacional a responsables y encargados en el mismo u otro tercer país u organización internacional. En todo caso, las transferencias a terceros países y organizaciones internacionales solo pueden llevarse a cabo de plena conformidad con el presente Reglamento y respetando los derechos y las libertades fundamentales establecidos en la Carta. Una transferencia solo podría tener lugar si, a reserva de las demás disposiciones del presente Reglamento, el responsable o encargado cumple las disposiciones del presente Reglamento relativas a la transferencia de datos personales a terceros países u organizaciones internacionales.

(64)

La Comisión puede decidir, con arreglo al artículo 45 del Reglamento (UE) 2016/679 o al artículo 36 de la Directiva (UE) 2016/680, que un tercer país, un territorio o sector específico en un tercer país o una organización internacional ofrece un nivel de protección de datos adecuado. En estos casos, las instituciones y organismos de la Unión pueden realizar transferencias de datos personales a estos países u organizaciones internacionales sin que se requiera obtener otro tipo de autorización.

(65)

En ausencia de una decisión por la que se constate la adecuación de la protección de los datos, el responsable o el encargado del tratamiento deben tomar medidas para compensar la falta de protección de datos en un tercer país mediante garantías adecuadas para el interesado. Tales garantías adecuadas pueden consistir en el recurso a cláusulas tipo de protección de datos adoptadas por la Comisión o por el Supervisor Europeo de Protección de Datos, o a cláusulas contractuales autorizadas por este último. Cuando el encargado del tratamiento no es una institución u organismo de la Unión, dichas garantías adecuadas pueden consistir en normas corporativas vinculantes, códigos de conducta y mecanismos de certificación utilizados para realizar transferencias internacionales de conformidad con el Reglamento (UE) 2016/679. Esas garantías deben asegurar la observancia de requisitos de protección de datos y derechos de los interesados adecuados al tratamiento dentro de la Unión, incluida la disponibilidad por parte de los interesados de derechos exigibles y de acciones legales efectivas, lo que incluye el derecho a obtener una reparación administrativa o judicial efectiva y a reclamar una indemnización, en la Unión o en un tercer país. En particular, deben referirse al cumplimiento de los principios generales relativos al tratamiento de los datos personales y los principios de la protección de datos desde el diseño y por defecto. Las transferencias también pueden realizarlas instituciones y organismos de la Unión a entidades o autoridades públicas de terceros países o a organizaciones internacionales con competencias o funciones correspondientes, igualmente sobre la base de disposiciones incorporadas a acuerdos administrativos, como un memorando de entendimiento, que reconozcan derechos exigibles y efectivos a los interesados. Si las garantías figuran en acuerdos administrativos que no sean jurídicamente vinculantes se debe recabar la autorización del Supervisor Europeo de Protección de Datos.

(66)

La posibilidad de que el responsable o el encargado del tratamiento recurran a cláusulas tipo de protección de datos adoptadas por la Comisión o el Supervisor Europeo de Protección de Datos no debe obstar a que los responsables o encargados incluyan las cláusulas tipo de protección de datos en un contrato más amplio, como un contrato entre dos encargados, o a que añadan otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, las cláusulas contractuales tipo adoptadas por la Comisión o por el Supervisor Europeo de Protección de Datos, ni mermen los derechos o las libertades fundamentales de los interesados. Se debe alentar a los responsables y encargados del tratamiento a ofrecer garantías adicionales mediante compromisos contractuales que complementen las cláusulas tipo de protección de datos.

(67)

Algunos terceros países adoptan leyes, reglamentaciones y otros actos jurídicos con los que se pretende regular directamente las actividades de tratamiento de las instituciones y organismos de la Unión. Esto puede incluir sentencias de órganos jurisdiccionales o decisiones de autoridades administrativas de terceros países que obliguen a un responsable o un encargado del tratamiento a transferir o comunicar datos personales, y que no se basen en un acuerdo internacional en vigor entre el tercer país requirente y la Unión. La aplicación extraterritorial de dichas leyes, reglamentaciones y otros actos jurídicos puede ser contraria al Derecho internacional e impedir la protección de las personas físicas garantizada en la Unión en virtud del presente Reglamento. Las transferencias solo deben autorizarse cuando se cumplan las condiciones del presente Reglamento relativas a las transferencias a terceros países. Tal puede ser el caso, entre otros, cuando la comunicación sea necesaria por una razón importante de interés público reconocida por el Derecho de la Unión.

(68)

Se debe establecer la posibilidad en situaciones concretas de realizar transferencias en determinadas circunstancias, de mediar el consentimiento explícito del interesado, si la transferencia es ocasional y necesaria en relación con un contrato o una reclamación, independientemente de tratarse de un procedimiento judicial o un procedimiento administrativo o extrajudicial, incluidos los procedimientos ante organismos reguladores. También se debe establecer la posibilidad de realizar transferencias cuando así lo requieran razones importantes de interés público establecidas por el Derecho de la Unión, o cuando la transferencia se haga a partir de un registro establecido por ley y se destine a consulta por el público o por personas que tengan un interés legítimo. En este último caso la transferencia no debe afectar a la totalidad de los datos personales o de las categorías de datos incluidos en el registro, a menos que lo autorice el Derecho de la Unión, y, cuando el registro esté destinado a su consulta por personas que tengan un interés legítimo, la transferencia solo debe efectuarse a petición de dichas personas o, si estas van a ser las destinatarias, teniendo plenamente en cuenta los intereses y los derechos fundamentales del interesado.

(69)

Dichas excepciones deben aplicarse en particular a las transferencias de datos requeridas y necesarias por razones importantes de interés público, por ejemplo en caso de intercambios internacionales de datos entre las instituciones y organismos de la Unión y autoridades en el ámbito de la competencia, administraciones fiscales o aduaneras, autoridades de supervisión financiera y servicios competentes en materia de seguridad social o de sanidad pública, por ejemplo en caso de contactos destinados a localizar enfermedades contagiosas o para reducir y/o eliminar el dopaje en el deporte. La transferencia de datos personales también debe considerarse lícita en caso de que sea necesaria para proteger un interés esencial para los intereses vitales del interesado o de otra persona, incluida la integridad física o la vida, si el interesado no está en condiciones de prestar su consentimiento. En ausencia de una decisión de adecuación, el Derecho de la Unión puede limitar expresamente, por razones importantes de interés público, la transferencia de categorías específicas de datos a un tercer país o a una organización internacional. Puede considerarse necesaria, por una razón importante de interés público o por ser de interés vital para el interesado, toda transferencia a una organización internacional humanitaria de datos personales de un interesado que no tenga capacidad física o jurídica para prestar su consentimiento, con el fin de desempeñar un cometido basado en las Convenciones de Ginebra o de conformarse al Derecho internacional humanitario aplicable en caso de conflictos armados.

(70)

En cualquier caso, cuando la Comisión no haya tomado ninguna decisión sobre el nivel adecuado de la protección de datos en un tercer país, el responsable o el encargado del tratamiento deben arbitrar soluciones que garanticen a los interesados derechos exigibles y efectivos con respecto al tratamiento de sus datos en la Unión, una vez transferidos estos, de forma que sigan beneficiándose de derechos fundamentales y garantías.

(71)

Cuando los datos personales circulan a través de las fronteras hacia el exterior de la Unión se puede poner en mayor riesgo la capacidad de las personas físicas para ejercer los derechos de protección de datos, en particular con el fin de protegerse contra la utilización o comunicación ilícitas de dicha información. Al mismo tiempo, es posible que las autoridades de control nacionales y el Supervisor Europeo de Protección de Datos se vean en la imposibilidad de tramitar reclamaciones o realizar investigaciones relativas a actividades desarrolladas fuera de su jurisdicción. Sus esfuerzos por colaborar en el contexto transfronterizo también pueden verse obstaculizados por potestades preventivas o correctivas insuficientes, regímenes jurídicos incoherentes y obstáculos prácticos, como la escasez de recursos. Por consiguiente, es necesario fomentar una cooperación más estrecha entre el Supervisor Europeo de Protección de Datos y las autoridades de control nacionales para contribuir al intercambio de información con sus homólogos internacionales.

(72)

El establecimiento del Supervisor Europeo de Protección de Datos en el Reglamento (CE) n.o 45/2001, al que se ha facultado para desempeñar sus funciones y ejercer sus competencias con plena independencia, constituye un elemento esencial de la protección de las personas físicas con respecto al tratamiento de datos personales. El presente Reglamento debe reforzar y aclarar aún más su función e independencia. El Supervisor Europeo de Protección de Datos será una persona cuya independencia esté fuera de toda duda y que posea una experiencia y competencia notorias para el desempeño de las funciones de Supervisor Europeo de Protección de Datos, como pertenecer o haber pertenecido a una de las autoridades de control establecidas con arreglo al artículo 51 del Reglamento (UE) 2016/679.

(73)

Para garantizar la supervisión y ejecución coherentes de las normas de protección de datos en toda la Unión, el Supervisor Europeo de Protección de Datos debe tener las mismas funciones y potestades efectivas que las autoridades de control nacionales, incluidas potestades de investigación, potestades correctivas y de sanción y potestades de autorización y de consulta, especialmente en casos de reclamaciones de personas físicas, facultad para poner en conocimiento del Tribunal de Justicia las infracciones del presente Reglamento y capacidad para ejercitar acciones judiciales conforme a las disposiciones de Derecho primario. Dichas potestades deben incluir también la de imponer una limitación temporal o definitiva al tratamiento, incluida su prohibición. Para evitar costes superfluos y molestias excesivas para las personas afectadas, toda medida del Supervisor Europeo de Protección de Datos debe ser adecuada, necesaria y proporcionada con vistas a garantizar el cumplimiento del presente Reglamento, debe tener en cuenta las circunstancias de cada caso concreto y respetar el derecho de todas las personas a ser oídas antes de que se adopte cualquier medida. Toda medida jurídicamente vinculante del Supervisor Europeo de Protección de Datos debe constar por escrito, ser clara e inequívoca, indicar la fecha en que se dictó, llevar la firma del Supervisor Europeo de Protección de Datos, especificar los motivos de la misma y mencionar el derecho a la tutela judicial efectiva.

(74)

A fin de preservar la independencia del Tribunal de Justicia en el desempeño de sus funciones judiciales, incluida la toma de decisiones, la competencia en materia de supervisión del Supervisor Europeo de Protección de Datos no debe abarcar el tratamiento de datos personales por parte del Tribunal de Justicia cuando actúe en ejercicio de su función judicial. Para dichas operaciones de tratamiento, el Tribunal de Justicia debe establecer una supervisión independiente, de conformidad con el artículo 8, apartado 3, de la Carta, por ejemplo a través de un mecanismo interno.

(75)

Las decisiones del Supervisor Europeo de Protección de Datos relacionadas con excepciones, garantías, autorizaciones y condiciones relativas a los tratamientos de datos, según se definen en el presente Reglamento, serán publicadas en el informe de actividad. Con independencia de la publicación anual del informe de actividad, el Supervisor Europeo de Protección de Datos podrá publicar informes sobre temas específicos.

(76)

El Supervisor Europeo de Protección de Datos deberá cumplir lo dispuesto en el Reglamento (CE) n.o 1049/2001 del Parlamento Europeo y del Consejo (9).

(77)

A fin de proteger a las personas físicas con respecto al tratamiento de sus datos personales y de facilitar la libre circulación de los datos personales en el mercado interior, las autoridades de control nacionales supervisan la aplicación del Reglamento (UE) 2016/679 y contribuyen a que esta sea coherente en toda la Unión. Para aumentar la coherencia en la aplicación de las normas de protección de datos aplicables en los Estados miembros y de las aplicables a las instituciones y organismos de la Unión, el Supervisor Europeo de Protección de Datos debe cooperar de manera efectiva con las autoridades de control nacionales.

(78)

En algunos casos, el Derecho de la Unión prevé un modelo de supervisión coordinada, compartido por el Supervisor Europeo de Protección de Datos y las autoridades de control nacionales. El Supervisor Europeo de Protección de Datos es además la autoridad de control de Europol y, a esos fines, se ha establecido un modelo específico de cooperación con las autoridades de control nacionales mediante un consejo de cooperación con funciones consultivas. Para mejorar la supervisión efectiva y el cumplimiento de las normas sustantivas de protección de datos, debe introducirse en la Unión un modelo único y coherente de supervisión coordinada. Por ello, la Comisión debe presentar, en su caso, propuestas legislativas para modificar actos jurídicos de la Unión que establezcan un modelo de supervisión coordinada, a fin de armonizarlos con el modelo de supervisión coordinada del presente Reglamento. El Comité Europeo de Protección de Datos debe servir de foro único para garantizar una supervisión eficaz y coordinada en todos los ámbitos.

(79)

Todo interesado debe tener derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos, y derecho a la tutela judicial efectiva ante el Tribunal de Justicia de conformidad con los Tratados, si considera que se vulneran sus derechos con arreglo al presente Reglamento o en caso de que el Supervisor Europeo de Protección de Datos no responda a una reclamación, rechace o desestime total o parcialmente una reclamación o no actúe cuando sea necesario para proteger los derechos del interesado. La investigación abierta a raíz de una queja debe llevarse a cabo, bajo control judicial, en la medida en que sea adecuada en el caso específico. El Supervisor Europeo de Protección de Datos debe informar al interesado de la evolución y el resultado de la reclamación en un plazo razonable. Si el asunto requiere una mayor coordinación con una autoridad de control nacional, se debe facilitar información intermedia al interesado. Para facilitar la presentación de reclamaciones, el Supervisor Europeo de Protección de Datos debe adoptar medidas como el suministro de un formulario de reclamaciones, que pueda cumplimentarse también por medios electrónicos, sin excluir otros medios de comunicación.

(80)

Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento debe tener derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos, con arreglo a las condiciones previstas en los Tratados.

(81)

Para fortalecer la función supervisora del Supervisor Europeo de Protección de Datos y la aplicación eficaz del presente Reglamento, el primero debe estar facultado para imponer multas administrativas, como sanción de último recurso. Las multas deben aspirar a sancionar a las instituciones u organismos de la Unión, más que a los individuos, que incumplan el presente Reglamento, impedir futuras violaciones del mismo y fomentar una cultura de protección de los datos personales dentro de las instituciones y organismos de la Unión. El presente Reglamento debe indicar las infracciones objeto de multas administrativas, así como los límites máximos y los criterios para fijar las correspondientes multas. El Supervisor Europeo de Protección de Datos debe determinar la cuantía de la multa en cada caso individual, teniendo en cuenta todas las circunstancias concurrentes en él, atendiendo a la naturaleza, gravedad y duración de la infracción, sus consecuencias y las medidas tomadas para garantizar el cumplimiento de las obligaciones impuestas por el presente Reglamento e impedir o mitigar las consecuencias de la infracción. Al imponer una multa administrativa a una institución u organismo de la Unión, el Supervisor Europeo de Protección de Datos debe considerar la proporcionalidad de su cuantía. El procedimiento administrativo para la imposición de multas a instituciones y organismos de la Unión debe respetar los principios generales del Derecho de esta, según la interpretación del Tribunal de Justicia.

(82)

El interesado que considere vulnerados los derechos reconocidos por el presente Reglamento debe tener derecho a conferir mandato a una entidad, organización o asociación sin ánimo de lucro que esté constituida con arreglo al Derecho de la Unión o de un Estado miembro, tenga objetivos legales que sean de interés público y actúe en el ámbito de la protección de los datos personales, para que presente en su nombre una reclamación ante el Supervisor Europeo de Protección de Datos. Dicha entidad, organización o asociación debe tener la posibilidad de ejercer el derecho a la tutela judicial en nombre de los interesados o el derecho a recibir una indemnización en nombre de estos.

(83)

El incumplimiento por parte de un funcionario u otro agente de la Unión de las obligaciones del presente Reglamento dará lugar a la apertura de un expediente disciplinario u otro tipo de acción, de conformidad con las disposiciones fijadas en el Estatuto de los funcionarios de la Unión Europea o en el régimen aplicable a los otros agentes de la Unión, establecido en el Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo (10) (en lo sucesivo, «Estatuto de los funcionarios»).

(84)

A fin de garantizar condiciones uniformes de ejecución del presente Reglamento, deben conferirse a la Comisión competencias de ejecución. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo (11). El procedimiento de examen debe seguirse para la adopción de cláusulas contractuales tipo entre responsables del tratamiento y encargados del tratamiento y entre encargados del tratamiento, para la adopción de una lista de operaciones de tratamiento que exigen la consulta previa del Supervisor Europeo de Protección de Datos por parte de los responsables del tratamiento de los datos personales para el cumplimiento de una función realizada en interés público, y para la adopción de cláusulas contractuales tipo que ofrezcan unas garantías adecuadas para las transferencias internacionales.

(85)

Debe protegerse la información confidencial que las autoridades estadísticas de la Unión y nacionales recojan para la elaboración de las estadísticas oficiales europeas y nacionales. Las estadísticas europeas deben desarrollarse, elaborarse y difundirse con arreglo a los principios estadísticos enunciados en el artículo 338, apartado 2, del TFUE. El Reglamento (CE) n.o 223/2009 del Parlamento Europeo y del Consejo (12) facilita especificaciones adicionales sobre la confidencialidad estadística aplicada a las estadísticas europeas.

(86)

Procede derogar el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE del Parlamento Europeo, del Consejo y de la Comisión (13). Las referencias al Reglamento y a la Decisión derogados deben entenderse hechas al presente Reglamento.

(87)

Para garantizar la independencia plena de los miembros de la autoridad de control independiente, el mandato del actual Supervisor Europeo de Protección de Datos y del actual Supervisor Adjunto no debe verse afectado por el presente Reglamento. El actual Supervisor Adjunto debe permanecer en su puesto hasta el final de su mandato, a menos que se dé alguna de las condiciones para la finalización prematura del mandato del Supervisor Europeo de Protección de Datos establecidas en el presente Reglamento. Las disposiciones pertinentes del presente Reglamento deben aplicarse al Supervisor Adjunto hasta el final de su mandato.

(88)

De acuerdo con el principio de proporcionalidad, es necesario y conveniente para alcanzar el objetivo fundamental de garantizar un nivel equivalente de protección de las personas físicas por lo que respecta al tratamiento de datos personales y la libre circulación de datos personales en la Unión establecer normas sobre el tratamiento de datos personales en las instituciones y organismos de la Unión. El presente Reglamento no excede de lo necesario para alcanzar los objetivos perseguidos, de conformidad con lo dispuesto en el artículo 5, apartado 4, del TUE.

(89)

El Supervisor Europeo de Protección de Datos fue consultado de conformidad con el artículo 28, apartado 2, del Reglamento (CE) n.o 45/2001 y emitió su dictamen el 15 de marzo de 2017 (14).