ISSN 1977-0685 |
||
Diario Oficial de la Unión Europea |
L 295 |
|
Edición en lengua española |
Legislación |
61.° año |
|
|
|
(1) Texto pertinente a efectos del EEE. |
ES |
Los actos cuyos títulos van impresos en caracteres finos son actos de gestión corriente, adoptados en el marco de la política agraria, y que tienen generalmente un período de validez limitado. Los actos cuyos títulos van impresos en caracteres gruesos y precedidos de un asterisco son todos los demás actos. |
I Actos legislativos
REGLAMENTOS
21.11.2018 |
ES |
Diario Oficial de la Unión Europea |
L 295/1 |
REGLAMENTO (UE) 2018/1724 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 2 de octubre de 2018
relativo a la creación de una pasarela digital única de acceso a información, procedimientos y servicios de asistencia y resolución de problemas y por el que se modifica el Reglamento (UE) n.o 1024/2012
(Texto pertinente a efectos del EEE)
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 21, apartado 2, y su artículo 114, apartado 1,
Vista la propuesta de la Comisión Europea,
Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,
Visto el dictamen del Comité Económico y Social Europeo (1),
De conformidad con el procedimiento legislativo ordinario (2),
Considerando lo siguiente:
(1) |
El mercado interior es uno de los logros más tangibles de la Unión. Al permitir que las personas, las mercancías, los servicios y los capitales circulen libremente, ofrece nuevas oportunidades a los ciudadanos y a las empresas. El presente Reglamento constituye un elemento clave de la Estrategia del Mercado Único establecida por la comunicación de la Comisión de 28 de octubre de 2015, titulada «Mejorar el mercado único: más oportunidades para los ciudadanos y las empresas». Esa estrategia tiene por objetivo liberar todo el potencial del mercado interior facilitando a los ciudadanos y a las empresas que se desplacen por el interior de la Unión y que operen, se establezcan y extiendan sus actividades a través de las fronteras. |
(2) |
En la comunicación de la Comisión de 6 de mayo de 2015, titulada «Una Estrategia para el Mercado Único Digital de Europa», se reconoce el papel de internet y de las tecnologías digitales en la transformación de nuestras vidas, el cambio en la forma en que los ciudadanos y las empresas acceden a información, adquieren conocimientos, compran bienes y servicios, participan en el mercado y trabajan ofreciendo oportunidades para la innovación, el crecimiento y el empleo. Dicha comunicación, así como diversas resoluciones aprobadas por el Parlamento Europeo, reconocían que se pueden satisfacer mejor las necesidades de los ciudadanos y las empresas en sus propios países y en sus actividades transfronterizas mediante la expansión y la integración de los portales, los sitios web, las redes, los servicios y los sistemas existentes a nivel europeo y mediante su enlace con diferentes soluciones nacionales, creando así una pasarela digital única que sirva como un punto de entrada único europeo (en lo sucesivo, «pasarela»). La comunicación de la Comisión de 19 de abril de 2016, titulada «Plan de Acción sobre Administración Electrónica de la UE 2016-2020. Acelerar la transformación digital de la administración», incluía la pasarela en la lista de acciones para 2017. El Informe de la Comisión de 24 de enero de 2017, titulado «Fortaleciendo los derechos de los ciudadanos en una Unión de cambio democrático — Informe sobre la ciudadanía de la UE 2017», consideraba la pasarela una prioridad para los derechos de los ciudadanos de la Unión. |
(3) |
El Parlamento Europeo y el Consejo han exigido en repetidas ocasiones un paquete de información y asistencia más completo y fácil de utilizar para ayudar a los ciudadanos y a las empresas a navegar por el mercado interior, y para reforzar y racionalizar las herramientas del mercado interior con el fin de satisfacer mejor las necesidades de los ciudadanos y las empresas en sus actividades transfronterizas. |
(4) |
El presente Reglamento da respuesta a esas exigencias ofreciendo a los ciudadanos y a las empresas un acceso sencillo a la información, los procedimientos y los servicios de asistencia y resolución de problemas que necesitan para ejercer sus derechos en el mercado interior. La pasarela podría contribuir a una mayor transparencia de las normas y regulaciones relativas a diferentes acontecimientos empresariales y de la vida de las personas en ámbitos como los viajes, la jubilación, la educación, el empleo, la atención sanitaria, los derechos de los consumidores y los derechos relativos a la vida familiar. Además, podría contribuir a mejorar la confianza de los consumidores, hacer frente al desconocimiento de las normas en materia de protección del consumidor y de mercado interior y reducir los gastos de las empresas derivados del cumplimiento de la normativa. El presente Reglamento establece una pasarela fácil de utilizar e interactiva que, basándose en las necesidades de los usuarios, los debe guiar hacia los servicios más adecuados. En ese contexto, la Comisión y los Estados miembros han de desempeñar un importante papel para alcanzar esos objetivos. |
(5) |
La pasarela debe facilitar la interacción entre los ciudadanos y las empresas, por un lado, y las autoridades competentes, por otro, proporcionando acceso a soluciones en línea, facilitando las actividades cotidianas de los ciudadanos y las empresas y reduciendo al mínimo los obstáculos a los que se enfrentan en el mercado interior. La existencia de una pasarela digital única que proporcione acceso en línea a información exacta y actualizada, a procedimientos y a servicios de asistencia y de resolución de problemas podría contribuir a concienciar a los usuarios sobre los diferentes servicios en línea existentes y ahorrarles tiempo y dinero. |
(6) |
El presente Reglamento persigue tres objetivos, a saber, reducir la carga administrativa que soportan los ciudadanos y las empresas que ejercen o quieren ejercer sus derechos en el mercado interior, incluida la libre circulación de los ciudadanos, en plena conformidad con las normas y procedimientos nacionales, eliminar la discriminación y garantizar el funcionamiento del mercado interior proporcionando información, procedimientos y servicios de asistencia y resolución de problemas. Dado que ampara la libre circulación de los ciudadanos, que no puede considerarse meramente incidental, el presente Reglamento debe basarse en el artículo 21, apartado 2, y el artículo 114, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE). |
(7) |
A fin de que los ciudadanos y las empresas de la Unión disfruten de su derecho a la libre circulación en el mercado interior, esta debe adoptar medidas específicas y no discriminatorias que les permitan acceder fácilmente a una información suficientemente exhaustiva y fiable sobre sus derechos en virtud del Derecho de la Unión, así como a información sobre las normas y procedimientos nacionales aplicables que deban cumplir cuando se desplacen, vivan o estudien, o cuando se establezcan o realicen negocios en un Estado miembro distinto del suyo propio. Se debe considerar que la información es suficientemente exhaustiva cuando incluya toda la información necesaria para que los usuarios comprendan cuáles son sus derechos y obligaciones e identifique las normas que les son aplicables en relación con las actividades que quieren ejercer como usuarios transfronterizos. La información debe formularse de forma clara, concisa y comprensible, ser funcional y estar bien adaptada al grupo de destinatarios. La información sobre los procedimientos debe incluir todos los trámites procedimentales que sean pertinentes para el usuario. Es importante que los ciudadanos y las empresas que se enfrentan a entornos normativos complejos, como los ciudadanos y las empresas que participan activamente en el comercio electrónico y la economía colaborativa, puedan encontrar fácilmente las normas aplicables y cómo se aplican a sus actividades. Por acceso fácil y cómodo a la información debe entenderse aquel que permite al usuario encontrar fácilmente la información, determinar con facilidad qué partes de la información son pertinentes para su situación concreta y comprender fácilmente la correspondiente información. La información que debe facilitarse a nivel nacional no debe referirse únicamente a la normativa nacional por la que se transpone el Derecho de la Unión, sino también al resto de las normas nacionales que se aplican tanto a los usuarios no transfronterizos como a los usuarios transfronterizos. |
(8) |
Las normas del presente Reglamento sobre suministro de información no deben aplicarse a los sistemas judiciales nacionales, ya que la información en ese ámbito que es pertinente para los usuarios transfronterizos ya figura en el Portal Europeo de e-Justicia. En algunas situaciones previstas en el presente Reglamento, los órganos jurisdiccionales han de considerarse autoridades competentes, por ejemplo, cuando los órganos jurisdiccionales gestionen los registros mercantiles. Asimismo, el principio de no discriminación también debe aplicarse a los procedimientos en línea que dan acceso a los procesos judiciales. |
(9) |
Está claro que los ciudadanos y las empresas procedentes de otros Estados miembros pueden encontrarse en desventaja, por no estar familiarizados con las normas y sistemas administrativos nacionales, por diferencias en las lenguas utilizadas y por falta de proximidad geográfica con las autoridades competentes de un Estado miembro que no sea el suyo. La manera más eficaz de reducir los consiguientes obstáculos en el mercado interior es permitir que los usuarios transfronterizos y no transfronterizos accedan a información en línea en una lengua que puedan comprender, para que puedan así completar íntegramente en línea los procedimientos que les permitan cumplir la normativa nacional, y ofrecerles asistencia cuando las normas y procedimientos no estén suficientemente claros o cuando encuentren obstáculos al ejercicio de sus derechos. |
(10) |
Varios actos de la Unión tienen como finalidad proporcionar soluciones mediante la creación de ventanillas únicas sectoriales, incluidas las ventanillas únicas establecidas por la Directiva 2006/123/CE del Parlamento Europeo y del Consejo (3), que ofrecen información en línea, servicios de asistencia y acceso a los procedimientos pertinentes para la prestación de servicios; los puntos de contacto de productos, establecidos por el Reglamento (CE) n.o 764/2008 del Parlamento Europeo y del Consejo (4), y los puntos de contacto de productos de construcción, establecidos por el Reglamento (UE) n.o 305/2011 del Parlamento Europeo y del Consejo (5), que proporcionan acceso a las normas técnicas de productos específicos; y los centros de asistencia nacionales para cualificaciones profesionales establecidos por la Directiva 2005/36/CE del Parlamento Europeo y del Consejo (6), cuyo objetivo es ayudar a los profesionales que cruzan las fronteras. Además, se han creado redes, como los Centros Europeos del Consumidor, para promover la comprensión de los derechos de los consumidores de la Unión y ayudar a resolver las reclamaciones sobre adquisiciones realizadas en otros Estados miembros a través de la red al viajar o al comprar en línea. También está SOLVIT, a la que se refiere la Recomendación 2013/461/UE de la Comisión (7), que trata de aportar soluciones rápidas, eficaces e informales a los particulares y a las empresas cuando las autoridades públicas les deniegan el ejercicio de sus derechos en el mercado interior. Por último, se han creado varios portales informativos, como «Your Europe», en relación con el mercado interior, o el Portal Europeo de e-Justicia, en relación con el ámbito de la justicia, para informar a los usuarios sobre las normas de la Unión y nacionales. |
(11) |
Como consecuencia del carácter sectorial de esos actos de la Unión, la información y los servicios de asistencia y resolución de problemas que se facilitan actualmente en línea, junto con los procedimientos en línea para los ciudadanos y las empresas, siguen estando muy fragmentados. Hay diferencias en cuanto a disponibilidad de la información y los procedimientos en línea, los servicios no tienen calidad suficiente y hay desconocimiento tanto de esa información como de esos servicios de asistencia y resolución de problemas. Además, los usuarios transfronterizos tienen dificultades para localizar los servicios y acceder a ellos. |
(12) |
El presente Reglamento debe establecer una pasarela digital única que sirva de punto de entrada único a través del cual los ciudadanos y las empresas puedan acceder a información sobre las normas y los requisitos que han de cumplir en virtud del Derecho de la Unión y nacional. La pasarela debe simplificar el contacto de los ciudadanos y las empresas con los servicios de asistencia y resolución de problemas establecidos a nivel de la Unión o nacional y hacerlo más eficaz. La pasarela también debe facilitar el acceso a los procedimientos en línea y su cumplimiento. El presente Reglamento no debe afectar en modo alguno a los derechos y las obligaciones en virtud del Derecho de la Unión o nacional en el marco de las correspondientes políticas. Por lo que respecta a los procedimientos enumerados en el anexo II del presente Reglamento y los procedimientos previstos en las Directivas 2005/36/CE y 2006/123/CE, y en las Directivas 2014/24/UE (8) y 2014/25/UE (9) del Parlamento Europeo y del Consejo, el presente Reglamento debe respaldar el recurso al principio de «solo una vez» y respetar plenamente el derecho fundamental a la protección de los datos de carácter personal, a efectos del intercambio de pruebas entre autoridades competentes de Estados miembros diferentes. |
(13) |
La pasarela y su contenido deben estar centrados en el usuario y ser fáciles de utilizar. La pasarela debe tener por objetivo evitar solapamientos y proporcionar enlaces a los servicios existentes. Debe permitir que los ciudadanos y las empresas interactúen con los organismos públicos nacionales y de la Unión brindándoles la oportunidad de formular sus observaciones tanto sobre los servicios que se ofrecen a través de ella como sobre el funcionamiento del mercado interior según su propia experiencia. La herramienta de valoración debe permitir que el usuario señale, de un modo que le sea posible mantener el anonimato, los problemas, deficiencias y necesidades percibidos, con el fin de alentar la mejora continua de la calidad de los servicios. |
(14) |
El éxito de la pasarela va a depender del esfuerzo conjunto de la Comisión y los Estados miembros. La pasarela debe incluir una interfaz común para usuarios, integrada en el portal ya existente «Your Europe», que gestione la Comisión. La interfaz común para usuarios debe proporcionar enlaces a información, procedimientos y servicios de asistencia o resolución de problemas disponibles en los portales gestionados por las autoridades competentes de los Estados miembros y la Comisión. Para simplificar la utilización de la pasarela, la interfaz común para usuarios debe estar disponible en todas las lenguas oficiales de las instituciones de la Unión (en lo sucesivo, «lenguas oficiales de la Unión»). El portal «Your Europe» ya existente y su página web de acceso principal, adaptada a los requisitos de la pasarela, deben preservar este enfoque multilingüe con respecto a la información facilitada. El funcionamiento de la pasarela debe apoyarse en herramientas técnicas desarrolladas por la Comisión en estrecha colaboración con los Estados miembros. |
(15) |
En la Carta para la constitución de las ventanillas únicas electrónicas en el marco de la Directiva 2006/123/CE, que fue aprobada por el Consejo en 2013, los Estados miembros se comprometieron voluntariamente a adoptar un enfoque centrado en el usuario para facilitar la información a través de ventanillas únicas, de manera que quedaran cubiertos todos los ámbitos importantes para las empresas, incluido el IVA, impuestos sobre la renta, los requisitos en materia de seguridad social y Derecho laboral. Basándose en la Carta y a la luz de la experiencia con el portal «Your Europe», esa información también debe incluir una descripción de los servicios de asistencia y resolución de problemas. Los ciudadanos y las empresas han de poder recurrir a dichos servicios cuando tengan dificultades para comprender la información, aplicarla a su situación o completar un procedimiento. |
(16) |
El presente Reglamento debe enumerar los ámbitos de información que son pertinentes para los ciudadanos y las empresas que ejercen sus derechos y cumplen con sus obligaciones en el mercado interior. Para tales ámbitos, debe facilitarse información suficientemente exhaustiva a escala nacional, también a escala regional y local, y a escala de la Unión, que explique las normas y obligaciones aplicables así como los procedimientos que deben seguir los ciudadanos y las empresas para cumplir dichas normas y obligaciones. Con el fin de garantizar la calidad de los servicios ofrecidos, la información que se facilite a través de la pasarela ha de ser clara, exacta y actualizada, debe reducirse al mínimo el uso de terminología complicada y limitarse el uso de acrónimos a aquellos que reflejen conceptos simplificados y fácilmente comprensibles que no exijan un conocimiento previo de la cuestión o del ámbito del Derecho correspondiente. Dicha información ha de facilitarse de tal modo que permita a los usuarios comprender con facilidad las normas y los requisitos básicos aplicables a su situación en dichos ámbitos. Los usuarios también deben estar informados sobre la inexistencia, en determinados Estados miembros, de normas nacionales en los ámbitos de información que figuran en el anexo I, en particular cuando dichos ámbitos estén sujetos a normas nacionales en otros Estados miembros. Dicha información sobre la inexistencia de normas nacionales podría incluirse en el portal «Your Europe». |
(17) |
Cuando sea posible, la información que la Comisión ya haya recabado de los Estados miembros en virtud del Derecho vigente de la Unión o de acuerdos voluntarios, como la recabada para el portal EURES, establecido por el Reglamento (UE) 2016/589 del Parlamento Europeo y del Consejo (10), el Portal Europeo de e-Justicia, establecido por la Decisión 2001/470/CE del Consejo (11), o la base de datos de profesiones reguladas, establecida por la Directiva 2005/36/CE, debe usarse para cubrir parte de la información que ha de ponerse a disposición de los ciudadanos y las empresas a escala de la Unión y nacional de conformidad con el presente Reglamento. Los Estados miembros no están obligados a proporcionar en sus páginas web nacionales información que ya esté disponible en las bases de datos pertinentes gestionadas por la Comisión. Cuando los Estados miembros ya estén obligados a proporcionar información en línea en virtud de otros actos de la Unión, como la Directiva 2014/67/UE del Parlamento Europeo y del Consejo (12), debe ser suficiente con que faciliten enlaces a la información en línea ya existente. Cuando determinados ámbitos políticos ya se hayan armonizado plenamente mediante el Derecho de la Unión, por ejemplo en lo que respecta a los derechos de los consumidores, la información proporcionada a escala de la Unión debe bastar, por lo general, para que los usuarios entiendan sus correspondientes derechos u obligaciones. En tales casos, los Estados miembros solo han de estar obligados a proporcionar información adicional relativa a sus procedimientos administrativos y servicios de asistencia nacionales o cualesquiera otras normas administrativas nacionales que sean pertinentes para los usuarios. La información relativa a los derechos de los consumidores, por ejemplo, no debe afectar al Derecho contractual, sino informar a los usuarios de sus derechos en virtud del Derecho de la Unión y nacional en el contexto de las transacciones comerciales. |
(18) |
El presente Reglamento debe potenciar la dimensión relativa al mercado interior de los procedimientos en línea, contribuyendo de este modo a la digitalización del mercado interior, defendiendo el principio general de no discriminación también en relación con el acceso de los ciudadanos y las empresas a los procedimientos en línea ya establecidos a nivel nacional sobre la base del Derecho de la Unión o nacional y a los procedimientos que deben ser plenamente accesibles en línea de conformidad con el presente Reglamento. Cuando los usuarios que se encuentren en una situación exclusivamente limitada a un único Estado miembro puedan acceder a un procedimiento en línea y completarlo en dicho Estado miembro respecto de uno de los ámbitos cubiertos por el presente Reglamento, los usuarios transfronterizos deben también poder acceder al mismo procedimiento en línea y completarlo, ya sea mediante la misma solución técnica o una solución alternativa técnicamente diferente que conduzca al mismo resultado, sin obstáculos discriminatorios. Dichos obstáculos pueden derivarse de soluciones concebidas a escala nacional, como utilizar en los formularios casillas que requieren números de teléfono nacionales, prefijos nacionales de números de teléfono o códigos postales nacionales, el pago de tarifas que solo pueden efectuarse por medio de sistemas que no permiten las operaciones transfronterizas, la ausencia de explicaciones detalladas en una lengua que comprendan los usuarios transfronterizos, la imposibilidad de presentar pruebas en formato electrónico procedentes de autoridades situadas en otro Estado miembro y la falta de aceptación de medios electrónicos de identificación emitidos en otros Estados miembros. Los Estados miembros deben ofrecer soluciones para dichos obstáculos. |
(19) |
Cuando los usuarios completen procedimientos en línea a través de las fronteras han de poder recibir todas las explicaciones pertinentes en una lengua oficial de la Unión que sea ampliamente comprendida por el mayor número posible de usuarios transfronterizos. Ello no significa que los Estados miembros tengan que traducir sus formularios administrativos relacionados con el procedimiento, ni el resultado de ese procedimiento, a dicha lengua. No obstante, se anima a los Estados miembros a emplear soluciones técnicas que permitan a los usuarios completar los procedimientos, en la mayor medida posible, en dicha lengua, respetando al mismo tiempo las normas de los Estados miembros relativas al uso de lenguas. |
(20) |
Los procedimientos nacionales en línea que son pertinentes para que los usuarios transfronterizos puedan ejercer sus derechos en el mercado interior dependen de si tales usuarios son residentes o están establecidos en el Estado miembro en cuestión o desean acceder a los procedimientos de dicho Estado miembro mientras residen o están establecidos en otro Estado miembro. El presente Reglamento no debe impedir a los Estados miembros exigir que los usuarios transfronterizos que sean residentes o estén establecidos en su territorio obtengan un número de identificación nacional para acceder a los procedimientos nacionales en línea, siempre que ello no entrañe una carga o coste adicional injustificado a dichos usuarios. En el caso de usuarios transfronterizos que no residan o no estén establecidos en el Estado miembro de que se trate, no es necesario poner plenamente a su disposición en línea los procedimientos nacionales en línea que no sean pertinentes para el ejercicio de sus derechos en el mercado interior, por ejemplo, la inscripción para recibir servicios locales como la recogida de basura o permisos de aparcamiento. |
(21) |
El presente Reglamento debe basarse en el Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo (13), que establece las condiciones en las que los Estados miembros reconocen determinados métodos de identificación electrónica en el caso de las personas físicas y jurídicas pertenecientes a un sistema de identificación electrónica notificado de otro Estado miembro. El Reglamento (UE) n.o 910/2014 establece las condiciones en las que los usuarios pueden utilizar sus métodos de identificación y autenticación electrónicos para acceder a servicios públicos en línea en situaciones transfronterizas. Se alienta a las instituciones, órganos y organismos de la Unión a que acepten métodos de identificación y autenticación electrónicos para los procedimientos de los que son responsables. |
(22) |
Varios actos sectoriales de la Unión, como las Directivas 2005/36/CE, 2006/123/CE, 2014/24/UE y 2014/25/UE, exigen que los procedimientos estén íntegramente disponibles en línea. El presente Reglamento debe exigir que un cierto número de otros procedimientos de gran importancia para la mayoría de los ciudadanos y las empresas que ejercen sus derechos y cumplen con sus obligaciones a través de las fronteras estén íntegramente disponibles en línea. |
(23) |
A fin de permitir que los ciudadanos y las empresas disfruten directamente de las ventajas del mercado interior sin incurrir en cargas administrativas adicionales innecesarias, el presente Reglamento debe exigir una plena digitalización de la interfaz para usuarios de determinados procedimientos clave para los usuarios transfronterizos, que se enumeran en el anexo II del presente Reglamento. El presente Reglamento también debe establecer los criterios para determinar cuándo un procedimiento se considera íntegramente en línea. La obligación de hacer que tal procedimiento esté disponible íntegramente en línea solo debe aplicarse cuando el procedimiento se haya establecido en el Estado miembro de que se trate. El presente Reglamento no debe aplicarse al registro inicial de una actividad empresarial, a los procedimientos que conducen a la constitución de sociedades como entidades jurídicas o a la posterior presentación de documentos por parte de dichas sociedades, ya que tales procedimientos requieren un enfoque global destinado a facilitar soluciones digitales durante todo el ciclo de vida de una empresa. Cuando las empresas se establecen en otro Estado miembro, se les exige que se den de alta en el sistema de seguridad social y que contraten un sistema de seguro, con el fin de dar de alta a sus empleados y pagar sus cotizaciones en ambos sistemas. Pueden tener que notificar sus actividades empresariales, obtener permisos o registrar los cambios efectuados en su actividad empresarial. Dichos procedimientos son comunes para las empresas que operan en muchos sectores de la economía, por lo que conviene exigir que estén disponibles en línea. |
(24) |
El presente Reglamento debe clarificar qué conlleva la puesta a disposición de un procedimiento íntegramente en línea. Un procedimiento debe considerarse íntegramente en línea si el usuario puede realizar todos los trámites, desde el acceso hasta la conclusión, interactuando con la autoridad competente («front-office»), electrónicamente, a distancia y a través de un servicio en línea. Este servicio en línea debe orientar al usuario a través de una lista de todos los requisitos que han de satisfacerse y de todas las pruebas que han de aportarse, permitir que el usuario facilite la información y las pruebas del cumplimiento de todos esos requisitos y proporcionar un acuse de recibo automático al usuario, a menos que el resultado del procedimiento se dé a conocer de manera inmediata. Esto no debe impedir que las autoridades competentes se pongan directamente en contacto con los usuarios, en caso necesario para obtener más clarificaciones necesarias para los fines del procedimiento. Cuando sea posible, con arreglo al Derecho de la Unión y nacional aplicable, las autoridades competentes también deben entregar electrónicamente al usuario el resultado del procedimiento, tal como se establece en el presente Reglamento. |
(25) |
El presente Reglamento no debe afectar al fondo de los procedimientos enumerados en el anexo II, que se establecen a escala nacional, regional o local, y no prevé normas materiales o de procedimiento en los ámbitos cubiertos por el anexo II, incluido el ámbito fiscal. La finalidad del presente Reglamento es establecer los requisitos técnicos con objeto de asegurar que dichos procedimientos, cuando hayan sido establecidos en los Estados miembros en cuestión, se pongan íntegramente a disposición en línea. |
(26) |
El presente Reglamento no debe afectar a las competencias de las autoridades nacionales en cualquier procedimiento, incluida la comprobación de la exactitud y validez de la información o las pruebas aportadas, e incluida la comprobación de la autenticidad en caso de que las pruebas se presenten mediante medios distintos del sistema técnico basado en el principio de «solo una vez». El presente Reglamento tampoco debe afectar a los flujos procedimentales en el seno de una autoridad competente o entre autoridades competentes («back-office»), tanto si están digitalizados como si no. Cuando sea necesario, como parte de alguno de los procedimientos de registro de los cambios efectuados en las actividades empresariales, los Estados miembros deben seguir pudiendo requerir la intervención de notarios o abogados que podrían querer utilizar medios de verificación, incluidas videoconferencias u otros medios en línea, que permitan establecer una conexión audiovisual en tiempo real. No obstante, dicha participación no debe impedir que los procedimientos de registro de dichos cambios se realicen íntegramente en línea. |
(27) |
En algunos casos, los usuarios podrían tener que aportar pruebas para demostrar hechos que no pueden establecerse por vía electrónica. Dichas pruebas podrían incluir certificados médicos, certificados de fe de vida, o certificados de control técnico de automóviles o de confirmación de su número de chasis. Siempre que las pruebas puedan aportarse en formato electrónico, esto no debe constituir una excepción al principio de que un procedimiento debe estar disponible íntegramente en línea. En otros casos, todavía podría ser necesario que los usuarios de un procedimiento se personen ante una autoridad competente en el marco de un procedimiento en línea. Estas excepciones, distintas de las que se desprenden del Derecho de la Unión, deben limitarse a las situaciones que estén justificada por una razón imperiosa de interés general en los ámbitos de la seguridad pública, la salud pública o la lucha contra el fraude. A fin de garantizar la transparencia, los Estados miembros deben compartir con la Comisión y los demás Estados miembros información sobre dichas excepciones y los motivos por los que pueden aplicarse y las circunstancias en las que pueden aplicarse. No se debe exigir a los Estados miembros que informen sobre cada caso específico en que, excepcionalmente, se haya requerido personarse, pero deben informar de las disposiciones nacionales que contemplan dichos casos. Las buenas prácticas nacionales y los avances técnicos que permitan una mayor digitalización a este respecto deben ser tratados periódicamente en un grupo de coordinación de la pasarela. |
(28) |
En situaciones transfronterizas, el procedimiento de registro de un cambio de dirección puede consistir en dos procedimientos distintos, uno en el Estado miembro de origen para solicitar darse de baja de la antigua dirección y otro en el Estado miembro de destino para solicitar registrarse en la nueva dirección. Ambos procedimientos deben ser objeto del presente Reglamento. |
(29) |
Habida cuenta de que la Directiva 2005/36/CE ya regula la digitalización de los requisitos, los procedimientos y las formalidades relativas al reconocimiento de las cualificaciones profesionales, el presente Reglamento solo debe regular la digitalización del procedimiento por el que se solicita el reconocimiento académico de diplomas, certificados u otras pruebas de cursos completados respecto de una persona que desee comenzar o proseguir sus estudios o utilizar un título académico, al margen de las formalidades relacionadas con el reconocimiento de las cualificaciones profesionales. |
(30) |
El presente Reglamento no debe afectar a las normas de coordinación de la seguridad social establecidas en los Reglamentos (CE) n.o 883/2004 (14) y (CE) n.o 987/2009 (15) del Parlamento Europeo y del Consejo, que determinan los derechos y las obligaciones de las personas aseguradas y las instituciones de la seguridad social, así como los procedimientos aplicables en el ámbito de la coordinación de la seguridad social. |
(31) |
Se han establecido varias redes y servicios a nivel de la Unión y nacional para ayudar a los ciudadanos y las empresas en sus actividades transfronterizas. Es importante que esos servicios, entre ellos los servicios de asistencia o de resolución de problemas existentes establecidos a escala de la Unión, como los Centros Europeos del Consumidor, «Your Europe — Asesoramiento», SOLVIT, el servicio de asistencia sobre derechos de propiedad intelectual, Europe Direct y la Red Europea para las Empresas, formen parte de la pasarela, a fin de asegurarse de que todos los usuarios potenciales puedan encontrarlos. Los servicios que se enumeran en el anexo III se establecieron mediante actos vinculantes de la Unión, mientras que otros servicios operan con carácter voluntario. Los servicios establecidos mediante actos vinculantes de la Unión deben estar supeditados a los requisitos de calidad establecidos en el presente Reglamento. Los servicios que operan con carácter voluntario deben cumplir tales requisitos si la intención es que sean accesibles a través de la pasarela. El presente Reglamento no debe alterar el alcance ni la naturaleza de esos servicios, los mecanismos relativos a su gobernanza, los plazos existentes ni la condición voluntaria, contractual o de otra índole en la que operan. Por ejemplo, cuando la asistencia que prestan es de carácter informal, el presente Reglamento no debe tener por efecto la transformación de esta asistencia en un asesoramiento jurídico de naturaleza vinculante. |
(32) |
Por otro lado, los Estados miembros y la Comisión deben poder añadir a la pasarela otros servicios nacionales de asistencia o resolución de problemas, prestados por autoridades competentes o por entidades privadas o semiprivadas, u organismos públicos, como cámaras de comercio o servicios no gubernamentales de asistencia a los ciudadanos, en las condiciones establecidas en el presente Reglamento. En principio, las autoridades competentes deben ser las responsables de ayudar a los ciudadanos y las empresas con cualquier duda que planteen en relación con las normas y los procedimientos aplicables que no puedan resolver del todo los servicios en línea. Sin embargo, en ámbitos muy especializados, y cuando el servicio prestado por las entidades privadas o semiprivadas responda a las necesidades de los usuarios, los Estados miembros pueden proponer a la Comisión que incluya tales servicios en la pasarela, siempre y cuando cumplan todas las condiciones establecidas en el presente Reglamento y no supongan una duplicidad respecto de los servicios de asistencia o resolución de problemas ya existentes. |
(33) |
Al objeto de asistir a los usuarios en la identificación del servicio adecuado, el presente Reglamento debe establecer un buscador de servicios de asistencia que dirija automáticamente a los usuarios a dicho servicio. |
(34) |
El cumplimiento de una lista mínima de requisitos de calidad es un elemento esencial para el éxito de la pasarela, a fin de garantizar que el suministro de información o la prestación de servicios sea fiable, ya que, de lo contrario, minaría seriamente la credibilidad de la pasarela en su conjunto. El objetivo general de la conformidad es garantizar que la información o el servicio se presentan de forma clara y fácil de utilizar. Es responsabilidad de los Estados miembros determinar de qué modo se presenta la información a lo largo del recorrido del usuario a fin de cumplir este objetivo. Por ejemplo, si bien es conveniente que, antes de iniciar un procedimiento, los usuarios estén informados sobre los medios de recurso generalmente disponibles en caso de resultado negativo de un procedimiento, es mucho más fácil para el usuario ofrecer al final del procedimiento información específica sobre los posibles pasos que han de adoptarse en tal caso. |
(35) |
El acceso a la información para los usuarios transfronterizos puede mejorarse sustancialmente si la información se pone a disposición en una lengua oficial de la Unión ampliamente comprendida por el mayor número posible de usuarios transfronterizos. En la mayoría de los casos esta lengua debe ser la lengua extranjera más estudiada por los usuarios en toda la Unión, pero en algunos casos específicos, en particular en el caso de la información que han de facilitar a nivel local municipios pequeños situados cerca de la frontera de un Estado miembro, la lengua más adecuada puede ser la utilizada como primera lengua por los usuarios transfronterizos del Estado miembro vecino. La traducción de la lengua o lenguas oficiales del Estado miembro de que se trate a esa otra lengua oficial de la Unión debe reflejar de manera exacta el contenido de la información facilitada en la lengua o lenguas originales. La traducción podría limitarse a la información que necesiten los usuarios para comprender las normas y los requisitos básicos aplicables a su situación. Si bien se debe alentar a los Estados miembros a que traduzcan tanta información como sea posible a una lengua oficial de la Unión ampliamente comprendida por el mayor número posible de usuarios transfronterizos, el volumen de información que ha de traducirse, en virtud del presente Reglamento debe depender de los recursos financieros de que se disponga para este fin, en particular los procedentes del presupuesto de la Unión. La Comisión debe tomar las disposiciones adecuadas para velar por el suministro eficiente de traducciones a los Estados miembros que las soliciten. El grupo de coordinación de la pasarela debe tratar y ofrecer orientaciones sobre la lengua o lenguas oficiales de la Unión a la o a las que deba traducirse la información. |
(36) |
De conformidad con la Directiva (UE) 2016/2102 del Parlamento Europeo y del Consejo (16), los Estados miembros han de garantizar que los sitios web de sus organismos públicos sean accesibles con arreglo a los principios de perceptibilidad, operabilidad, comprensibilidad y solidez y que cumplan los requisitos establecidos en dicha Directiva. La Comisión y los Estados miembros deben garantizar el cumplimiento de la Convención de las Naciones Unidas sobre los derechos de las personas con discapacidad, en particular sus artículos 9 y 21, y, con el fin de fomentar el acceso a la información de las personas con discapacidad intelectual, deben proporcionarse alternativas en un lenguaje fácil de leer en la mayor medida posible de conformidad con el principio de proporcionalidad. Los Estados miembros, mediante la ratificación, y la Unión, mediante la celebración (17), de la citada Convención, se han comprometido a adoptar medidas adecuadas para asegurar el acceso de las personas con discapacidad, en igualdad de condiciones con los demás, a nuevas tecnologías y sistemas de la información y la comunicación, incluido internet, facilitando el acceso a información de las personas con discapacidad intelectual, ofreciendo alternativas en un lenguaje fácil de leer en la mayor medida posible y de manera proporcionada. |
(37) |
La Directiva (UE) 2016/2102 no se aplica a los sitios web ni a las aplicaciones para dispositivos móviles de las instituciones, órganos y organismos de la Unión, pero la Comisión debe velar por que la interfaz común para usuarios y las páginas web bajo su responsabilidad que hayan de incluirse en la pasarela sean accesibles para las personas con discapacidad, lo que significa que sean perceptibles, utilizables, comprensibles y sólidas. Perceptibilidad significa que la información y los componentes de la interfaz de usuario deben presentarse a este de manera que pueda percibirlos; operabilidad significa que los componentes y la navegación de la interfaz común para usuarios deben poder utilizarse; comprensibilidad significa que la información y el funcionamiento de la interfaz común para usuarios deben ser comprensibles; y solidez significa que los contenidos deben ser suficientemente sólidos para poder ser interpretados de forma fiable por una gran variedad de agentes de usuario, incluidas las tecnologías de apoyo. Respecto de los conceptos de perceptibilidad, operabilidad, comprensibilidad y solidez, se alienta a la Comisión a que cumpla las normas armonizadas pertinentes. |
(38) |
Con el fin de facilitar el pago de tarifas exigidas como parte de los procedimientos en línea o por la prestación de servicios de asistencia o de resolución de problemas, los usuarios transfronterizos deben poder recurrir a las transferencias y los adeudos domiciliados previstos en el Reglamento (UE) n.o 260/2012 del Parlamento Europeo y del Consejo (18) o a otros medios de pago transfronterizos de uso generalizado, como las tarjetas de débito o de crédito. |
(39) |
Es conveniente que los usuarios estén informados del tiempo estimado que puede durar un procedimiento. En consecuencia, se debe informar a los usuarios de los plazos o las disposiciones de aprobación tácita o silencio administrativo aplicables o, si estos no son de aplicación, al menos del tiempo medio, estimado o indicativo que suele llevar la tramitación del procedimiento de que se trate. Tales estimaciones o indicaciones deben tan solo ayudar a los usuarios a planificar sus actividades o cualquier trámite administrativo posterior y no deben tener ningún efecto jurídico. |
(40) |
El presente Reglamento también debe permitir la verificación de las pruebas aportadas por los usuarios en formato electrónico cuando tales pruebas se presenten sin sello ni certificación electrónicos de la autoridad competente que las haya proporcionado, o cuando la herramienta técnica establecida por el presente Reglamento o cualquier otro sistema que permita el intercambio directo o la verificación de pruebas entre autoridades competentes de Estados miembros diferentes no esté disponible. Para dichos casos, el presente Reglamento debe disponer un mecanismo eficaz de cooperación administrativa entre las autoridades competentes de los Estados miembros, basado en el Sistema de Información del Mercado Interior (IMI), establecido por el Reglamento (UE) n.o 1024/2012 del Parlamento Europeo y del Consejo (19). En tales casos, la decisión de una autoridad competente de usar el sistema IMI debe ser voluntaria, pero una vez que esa autoridad haya presentado una solicitud de información o cooperación a través del IMI, la autoridad competente que recibe la solicitud tiene la obligación de cooperar y dar una respuesta. La solicitud puede enviarse a través del IMI a una autoridad competente que proporciona las pruebas o a la autoridad central designada por los Estados miembros de conformidad con sus propias normas administrativas. Para evitar duplicidades innecesarias y puesto que el Reglamento (UE) 2016/1191 del Parlamento Europeo y del Consejo (20) se aplica a parte de las pruebas pertinentes para los procedimientos previstos en el presente Reglamento, las disposiciones relativas a la cooperación para el IMI establecidas en el Reglamento (UE) 2016/1191 también pueden aplicarse a los efectos de otras pruebas exigidas en procedimientos previstos por el presente Reglamento. A fin de permitir que los órganos y organismos de la Unión se conviertan en agentes del IMI, debe modificarse el Reglamento (UE) n.o 1024/2012. |
(41) |
Los servicios en línea prestados por autoridades competentes son fundamentales para mejorar la calidad y seguridad de los servicios prestados a los ciudadanos y las empresas. Cada vez es más frecuente que las administraciones públicas de los Estados miembros tiendan a reutilizar los datos, dispensando a ciudadanos y empresas del requisito de presentar la misma información varias veces. La reutilización de datos se debe facilitar para usuarios transfronterizos con el fin de reducir la carga adicional. |
(42) |
Con el fin de permitir el intercambio lícito transfronterizo de pruebas e información mediante la aplicación a escala europea del principio de «solo una vez», la aplicación del presente Reglamento y de dicho principio debe cumplir todas las normas de protección de datos aplicables, incluidos los principios de reducción al mínimo de los datos, exactitud, limitación del almacenamiento, integridad y confidencialidad, necesidad, proporcionalidad y limitación de la finalidad. Su aplicación también debe cumplir plenamente los principios de seguridad desde el diseño y de protección de la intimidad desde el diseño, y debe asimismo respetar los derechos fundamentales de las personas, incluidos los relacionados con la equidad y la transparencia. |
(43) |
Los Estados miembros deben velar por que se proporcione a los usuarios de procedimientos información clara sobre la forma en que los datos personales que les conciernen serán tratados, de conformidad con los artículos 13 y 14 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (21) y con los artículos 15 y 16 del Reglamento (UE) 2018/1725 (22). |
(44) |
Para facilitar en mayor medida el uso de los procedimientos en línea, el presente Reglamento, en consonancia con el principio de «solo una vez», debe proporcionar las bases para la creación y el uso de un sistema técnico plenamente operativo y seguro para el intercambio transfronterizo automatizado de pruebas entre los actores que intervienen en el procedimiento, cuando así lo soliciten expresamente los ciudadanos y las empresas. Cuando el intercambio de pruebas incluya datos personales, se debe considerar que esa solicitud es expresa si contiene una indicación formulada libremente, específica, informada e inequívoca del deseo del interesado de que se intercambien los datos personales pertinentes, ya sea mediante una declaración o mediante un acto afirmativo. Si el usuario no es la persona a la que conciernen los datos, el procedimiento en línea no debe afectar a sus derechos en virtud del Reglamento (UE) 2016/679. La aplicación transfronteriza del principio de «solo una vez» debe significar que los ciudadanos y las empresas no tengan que presentar los mismos datos a las autoridades públicas más de una vez y que también sea posible utilizar dichos datos, a petición del usuario, para completar procedimientos en línea transfronterizos en los que participen usuarios transfronterizos. Por lo que respecta a la autoridad competente que proporciona las pruebas, la obligación de utilizar el sistema técnico para el intercambio automatizado de pruebas entre diferentes Estados miembros solo debe aplicarse si las autoridades suministran lícitamente, en su propio Estado miembro, pruebas en un formato electrónico que permita dicho intercambio automatizado. |
(45) |
Todos los intercambios transfronterizos de pruebas deben contar con una base jurídica adecuada, como las Directivas 2005/36/CE, 2006/123/CE, 2014/24/UE o 2014/25/UE o, en el caso de los procedimientos enumerados en el anexo II, otra normativa de la Unión o nacional aplicable. |
(46) |
Es conveniente que el presente Reglamento establezca, como norma general, que el intercambio de pruebas automatizado transfronterizo se produzca a petición expresa del usuario. No obstante, este requisito no debe aplicarse cuando el Derecho de la Unión o nacional aplicable permita el intercambio de datos automatizado transfronterizo sin que exista una petición expresa del usuario. |
(47) |
La utilización del sistema técnico establecido por el presente Reglamento debe seguir siendo voluntaria y el usuario debe seguir pudiendo aportar pruebas por otros medios distintos del sistema técnico. El usuario debe tener la posibilidad de previsualizar las pruebas y el derecho a optar por no proceder al intercambio de pruebas en los casos en que, tras previsualizar las pruebas que se van a intercambiar, descubra que la información es inexacta, está desactualizada o excede de lo necesario para el procedimiento en cuestión. Los datos incluidos en la previsualización no deben almacenarse por más tiempo del necesario desde el punto de vista técnico. |
(48) |
El sistema técnico seguro que debe establecerse para permitir el intercambio de pruebas en el marco del presente Reglamento también debe ofrecer a las autoridades competentes solicitantes la certitud de que las pruebas han sido proporcionadas por la autoridad adecuada. Antes de aceptar la información proporcionada por un usuario en el contexto de un procedimiento, la autoridad competente debe poder comprobar la información cuando suscite dudas y concluir que es exacta. |
(49) |
Existen diversos componentes que ofrecen capacidades básicas que pueden utilizarse para crear el sistema técnico, como el Mecanismo «Conectar Europa», establecido por el Reglamento (UE) n.o 1316/2013 del Parlamento Europeo y del Consejo (23), así como los componentes de entrega electrónica (eDelivery) e identificación electrónica (eID) que forman parte de dicho mecanismo. Esos componentes consisten en especificaciones técnicas, soportes lógicos de muestra y servicios de apoyo, y tienen por objeto garantizar la interoperabilidad entre los sistemas de tecnología de la información y de la comunicación (TIC) existentes en diferentes Estados miembros, de modo que los ciudadanos, las empresas y las administraciones, con independencia del lugar de la Unión en el que se encuentren, puedan disfrutar de unos servicios públicos digitales sin fisuras. |
(50) |
El sistema técnico establecido por el presente Reglamento debe estar disponible además de otros sistemas que proporcionen mecanismos de cooperación entre autoridades, como el IMI, y no debe afectar a otros sistemas, incluidos el sistema previsto en el Reglamento (CE) n.o 987/2009, el documento europeo único de contratación de la Directiva 2014/24/UE, el intercambio electrónico de información sobre seguridad social del Reglamento (CE) n.o 987/2009, la tarjeta profesional europea de la Directiva 2005/36/CE, la interconexión de registros nacionales y la interconexión de registros centrales, mercantiles y de sociedades de la Directiva (UE) 2017/1132 del Parlamento Europeo y del Consejo (24) y la interconexión de los registros de insolvencia del Reglamento (UE) 2015/848 del Parlamento Europeo y del Consejo (25). |
(51) |
A fin de garantizar condiciones uniformes para la implantación de un sistema técnico que permita el intercambio automatizado de pruebas, deben conferirse a la Comisión competencias de ejecución para establecer, en particular, las especificaciones técnicas y operativas de un sistema para tramitar una solicitud de pruebas del usuario que se haya de intercambiar y para transmitir esas pruebas, así como para establecer las normas necesarias para garantizar la integridad y la confidencialidad de dicha transmisión. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo (26). |
(52) |
Con objeto de garantizar que el sistema técnico proporcione un nivel elevado de seguridad para la aplicación transfronteriza del principio de «solo una vez», al adoptar actos de ejecución que establezcan las especificaciones de dicho sistema técnico, la Comisión debe tener debidamente en cuenta las normas y especificaciones técnicas elaboradas por las organizaciones y los organismos de normalización europeos e internacionales, en particular el Comité Europeo de Normalización (CEN), el Instituto Europeo de Normas de Telecomunicación (ETSI), la Organización Internacional de Normalización (ISO) y la Unión Internacional de Telecomunicaciones (UIT), así como las normas de seguridad a que se refiere el artículo 32 del Reglamento (UE) 2016/679 y el artículo 22 del Reglamento (UE) 2018/1725. |
(53) |
La Comisión, cuando sea necesario a fin de garantizar el desarrollo, la disponibilidad, el mantenimiento, la supervisión, el seguimiento y la gestión de la seguridad de las partes del sistema técnico de las que es responsable, debe solicitar el asesoramiento del Supervisor Europeo de Protección de Datos. |
(54) |
Las autoridades competentes y la Comisión deben garantizar que la información, los procedimientos y los servicios de los que son responsables cumplan con los criterios de calidad. Los coordinadores nacionales nombrados en virtud del presente Reglamento y la Comisión deben supervisar a intervalos regulares el cumplimiento de los criterios de calidad y seguridad a nivel nacional y de la Unión, respectivamente, y gestionar cualquier problema que surja. Además, los coordinadores nacionales deben ayudar a la Comisión en el seguimiento del funcionamiento del sistema técnico que permite el intercambio transfronterizo de pruebas. El presente Reglamento debe proporcionar a la Comisión una serie de medios para abordar cualquier deterioro de la calidad de los servicios ofrecidos a través de la pasarela, dependiendo de la gravedad y la persistencia de dicho deterioro, lo que incluiría la intervención, cuando sea necesario, del grupo de coordinación de la pasarela. Esto ha de entenderse sin perjuicio de la responsabilidad general de la Comisión en lo que atañe al seguimiento del cumplimiento del presente Reglamento. |
(55) |
El presente Reglamento debe especificar las principales funcionalidades de las herramientas técnicas en las que se apoya el funcionamiento de la pasarela, en particular la interfaz común para usuarios, el repositorio de enlaces y el buscador común de servicios de asistencia. La interfaz común para usuarios debe garantizar que los usuarios puedan encontrar fácilmente la información, los procedimientos y los servicios de asistencia y resolución de problemas en sitios web a nivel nacional y de la Unión. Los Estados miembros y la Comisión deben tratar de facilitar enlaces a una única fuente de la información requerida para la pasarela a fin de evitar confusión entre los usuarios como consecuencia de la variedad o de una duplicidad total o parcial de las fuentes de una misma información. Esto no debe excluir la posibilidad de facilitar enlaces a una misma información proporcionada por las autoridades locales o regionales competentes respecto de zonas geográficas diferentes. Tampoco debe impedir cierta duplicidad en la información cuando esta sea inevitable o deseable, como, por ejemplo, cuando algunos de los derechos, las obligaciones y las normas de la Unión se repiten o describen en páginas web nacionales para mejorar la facilidad de uso. Con objeto de reducir al mínimo la intervención humana en la actualización de los enlaces que se vayan a utilizar en la interfaz común para usuarios, debe crearse, cuando sea técnicamente posible, una conexión directa entre los sistemas técnicos pertinentes de los Estados miembros y el repositorio de enlaces. Las herramientas TIC comunes de apoyo podrían utilizar el vocabulario de los servicios públicos fundamentales (CPSV, por sus siglas en inglés de «Core Public Services Vocabulary») para facilitar la interoperabilidad con los catálogos y la semántica de los servicios nacionales. Debe animarse a los Estados miembros a utilizar el CPSV, aunque estos pueden decidir utilizar soluciones nacionales. La información contenida en el repositorio de enlaces debe ponerse a disposición del público en un formato abierto, de uso común y de lectura mecánica para permitir su reutilización, como, por ejemplo, mediante interfaces de programación de aplicaciones (API, por sus siglas en inglés de «application programming interfaces»). |
(56) |
El buscador de la interfaz común para usuarios debe conducir a los usuarios a la información que necesiten, tanto si se encuentra en páginas web de la Unión como en páginas web nacionales. Además, como alternativa para guiar a los usuarios hacia información útil, debe seguir siendo de ayuda crear enlaces entre sitios o páginas web existentes y complementarios, simplificándolos y agrupándolos lo máximo posible, y crear enlaces entre sitios o páginas web de la Unión y nacionales que proporcionen acceso a servicios e información en línea. |
(57) |
El presente Reglamento debe asimismo especificar requisitos para la interfaz común para usuarios. La Comisión debe velar por que la interfaz común para usuarios cumpla esos requisitos, y en particular la interfaz tiene que estar disponible y accesible en línea a través de diversos canales y ser fácil de usar. |
(58) |
A fin de garantizar condiciones uniformes para la implantación de las soluciones técnicas en las que se apoya la pasarela, deben conferirse a la Comisión competencias de ejecución para establecer, cuando sea necesario, las normas aplicables y los requisitos de interoperabilidad a fin de facilitar la localización de la información sobre normas y obligaciones, sobre procedimientos y sobre servicios de asistencia o resolución de problemas de los que son responsables los Estados miembros y la Comisión. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.o 182/2011. |
(59) |
El presente Reglamento también debe repartir claramente entre la Comisión y los Estados miembros la responsabilidad en cuanto al desarrollo, la disponibilidad, el mantenimiento y la seguridad de las aplicaciones TIC en las que se apoya la pasarela. Como parte de sus tareas de mantenimiento, la Comisión y los Estados miembros deben comprobar periódicamente el buen funcionamiento de dichas aplicaciones TIC. |
(60) |
Para desarrollar el pleno potencial de los diferentes ámbitos de información, los procedimientos y los servicios de asistencia y resolución de problemas que han de incluirse en la pasarela, debe mejorar significativamente el conocimiento entre el público destinatario de su existencia y funcionamiento. Su inclusión en la pasarela debe facilitar mucho a los usuarios la localización de la información, los procedimientos y los servicios de asistencia y resolución de problemas que necesitan, incluso cuando no estén familiarizados con ninguno de ellos. Además, se necesitará un esfuerzo coordinado de promoción para garantizar que los usuarios y las empresas de toda la Unión estén al tanto de la existencia de la pasarela y de las ventajas que ofrece. Las actividades promocionales deben incluir la optimización para motores de búsqueda y otras acciones de sensibilización en línea, puesto que son más rentables y tienen potencial para llegar al mayor público destinatario posible. A fin de alcanzar la máxima eficacia, las acciones promocionales deben coordinarse en el marco del grupo de coordinación de la pasarela, y los Estados miembros deben adaptar sus esfuerzos promocionales, de manera que exista una marca de referencia común en todos los contextos pertinentes, con la posibilidad de crear una alianza de marcas de la pasarela mediante iniciativas nacionales. |
(61) |
Debe animarse a todas las instituciones, órganos y organismos de la Unión a que promuevan la pasarela incluyendo su logotipo y enlaces a este en todas las páginas web pertinentes de las que sean responsables. |
(62) |
El nombre con el que se debe dar a conocer y se debe promocionar la pasarela debe ser «Your Europe». La interfaz común para usuarios debe ocupar un lugar destacado y poder encontrarse fácilmente, en particular en las páginas web pertinentes de la Unión y nacionales. El logotipo de la pasarela debe ser visible en los sitios web pertinentes de la Unión y nacionales. |
(63) |
Al objeto de obtener la información adecuada para medir y mejorar los resultados de la pasarela, el presente Reglamento debe pedir a las autoridades competentes y a la Comisión que recaben y analicen los datos relacionados con el uso de los diferentes ámbitos de información, procedimientos y servicios ofrecidos a través de la pasarela. La recogida de estadísticas de los usuarios, como datos sobre el número de visitas a páginas web concretas, el número de usuarios en un Estado miembro en comparación con el número de usuarios de otros Estados miembros, los términos de búsqueda empleados, las páginas web más visitadas, los sitios web de referencia o el número, origen y tema de las solicitudes de asistencia, debe mejorar el funcionamiento de la pasarela ayudando a identificar al público, a desarrollar actividades promocionales y a mejorar la calidad de los servicios ofrecidos. La recogida de tales datos debe tener en cuenta el ejercicio de referencia sobre la administración electrónica llevado a cabo por la Comisión para evitar duplicidades. |
(64) |
A fin de garantizar condiciones uniformes de ejecución del presente Reglamento, deben conferirse a la Comisión competencias de ejecución para establecer normas uniformes sobre el método de recogida e intercambio de estadísticas de los usuarios. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.o 182/2011. |
(65) |
La calidad de la pasarela depende de la calidad de los servicios de la Unión y nacionales prestados a través de la pasarela. Por tanto, la calidad de la información, los procedimientos y los servicios de asistencia y resolución de problemas disponibles a través de la pasarela deben también ser objeto de seguimiento periódicamente mediante una herramienta de valoración de los usuarios que pida a estos que evalúen la cobertura y la calidad de la información, los procedimientos y los servicios de asistencia y resolución de problemas que hayan utilizado y formulen sus observaciones al respecto. Esas observaciones deben quedar recogidas en una herramienta común a la que tengan acceso la Comisión, las autoridades competentes y los coordinadores nacionales. Al objeto de garantizar condiciones uniformes de ejecución del presente Reglamento en relación con las funcionalidades comunes de las herramientas de valoración de los usuarios y las disposiciones concretas para la recogida y la puesta en común de esas observaciones, deben conferirse a la Comisión competencias de ejecución. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.o 182/2011. La Comisión debe publicar, de forma anónima, resúmenes en línea de los problemas que surjan de la información, las principales estadísticas de los usuarios y las principales observaciones de los usuarios recogidas de conformidad con el presente Reglamento. |
(66) |
Además, la pasarela debe incluir una herramienta de valoración que permita a los usuarios señalar, de manera voluntaria y anónima, cualquier problema o dificultad con los que se hayan encontrado al ejercer sus derechos en el mercado interior. Esta herramienta solo debe considerarse complementaria de los mecanismos de tramitación de reclamaciones, ya que no puede dar una respuesta personalizada a los usuarios. La información recibida debe combinarse con información agregada procedente de los servicios de asistencia y resolución de problemas acerca de casos que hayan tramitado, con el fin de elaborar un resumen de la percepción que tienen los usuarios del mercado interior e identificar los ámbitos problemáticos para posibles acciones futuras destinadas a mejorar el funcionamiento de dicho mercado. Dicho resumen debe estar relacionado con los instrumentos de información ya existentes, como el cuadro de indicadores del mercado único. |
(67) |
La facultad de los Estados miembros para decidir quién debe desempeñar el papel de coordinador nacional no debe verse afectado por el presente Reglamento. Los Estados miembros deben poder adaptar las funciones y responsabilidades de sus coordinadores nacionales relativas a la pasarela a sus propias estructuras administrativas internas. Los Estados miembros deben poder nombrar más coordinadores nacionales para desempeñar las tareas contempladas en el presente Reglamento solos o conjuntamente con otros con responsabilidad sobre un departamento de la administración o una región geográfica, o de conformidad con otros criterios. Los Estados miembros deben informar a la Comisión sobre la identidad del único coordinador nacional que hayan nombrado para que mantenga contactos con la Comisión. |
(68) |
El grupo de coordinación de la pasarela compuesto por los coordinadores nacionales y presidido por la Comisión debe establecerse a fin de facilitar la aplicación del presente Reglamento, en particular mediante el intercambio de las mejores prácticas y la colaboración para mejorar la coherencia de la presentación de la información, tal y como exige el propio Reglamento. El trabajo del grupo de coordinación de la pasarela debe tener en cuenta los objetivos establecidos en el programa de trabajo anual, que la Comisión debe presentarle para que lo examine. El programa de trabajo anual debe adoptar la forma de directrices o recomendaciones, que no son vinculantes para los Estados miembros. La Comisión, a petición del Parlamento Europeo, puede decidir invitar a este a que mande a sus expertos a las reuniones del grupo de coordinación de la pasarela. |
(69) |
El presente Reglamento debe aclarar qué partes de la pasarela deben ser financiadas con cargo al presupuesto de la Unión y cuáles deben ser de la responsabilidad de los Estados miembros. La Comisión debe ayudar a los Estados miembros a identificar los componentes TIC reutilizables y la financiación disponible a través de los distintos fondos y programas de la Unión que pueden contribuir a cubrir los costes de las adaptaciones y el desarrollo en materia de TIC necesarios a nivel nacional para cumplir lo dispuesto en el presente Reglamento. El presupuesto requerido para la aplicación del presente Reglamento debe ser compatible con el marco financiero plurianual aplicable. |
(70) |
Se anima a los Estados miembros a coordinar, intercambiar y colaborar más entre sí a fin de incrementar sus capacidades estratégicas, operativas y de investigación y desarrollo en el ámbito de la ciberseguridad, en particular mediante la aplicación de la seguridad de las redes y sistemas de información, como se contempla en la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo (27) para reforzar la seguridad y la resiliencia de su administración pública y sus servicios. Se anima a los Estados miembros a aumentar la seguridad de las transacciones y a velar por un grado suficiente de confianza en los medios electrónicos mediante el empleo del marco eIDAS establecido por el Reglamento (UE) n.o 910/2014 y, en particular, por niveles de seguridad adecuados. Los Estados miembros pueden adoptar medidas de conformidad con el Derecho de la Unión para proteger la ciberseguridad y evitar la usurpación de identidad u otras formas de fraude. |
(71) |
Cuando la aplicación del presente Reglamento implique el tratamiento de datos personales, debe efectuarse de conformidad con el Derecho de la Unión sobre la protección de datos personales, en particular el Reglamento (UE) 2016/679 y el Reglamento (UE) 2018/1725. La Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (28) también debe aplicarse en el contexto del presente Reglamento. Como dispone el Reglamento (UE) 2016/679, los Estados miembros pueden mantener o introducir condiciones adicionales, también límites, con respecto al tratamiento de datos relativos a la salud, y también pueden prever normas más concretas sobre el tratamiento de datos de carácter personal de empleados en el contexto laboral. |
(72) |
El presente Reglamento debe promover y facilitar la racionalización de los mecanismos de gobernanza de los servicios incluidos en la pasarela. A tal fin, la Comisión, en estrecha colaboración con los Estados miembros, debe revisar los mecanismos de gobernanza existentes y adaptarlos cuando sea necesario, a fin de evitar duplicidades e ineficiencias. |
(73) |
El objetivo del presente Reglamento es garantizar que los usuarios que operan en otros Estados miembros tengan acceso en línea a una información de la Unión y nacional exhaustiva, fiable, accesible y comprensible sobre derechos, normas y obligaciones, a unos procedimientos en línea que permitan realizar transacciones transfronterizas íntegramente en línea y a servicios de asistencia y resolución de problemas. Dado que este objetivo no puede ser alcanzado de manera suficiente por los Estados miembros, sino que, debido a las dimensiones y efectos del presente Reglamento, puede lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dicho objetivo. |
(74) |
A fin de que los Estados miembros y la Comisión desarrollen e implanten las herramientas necesarias para dar efecto al presente Reglamento, algunas de sus disposiciones deben ser de aplicación a partir de dos años después de su entrada en vigor. Las autoridades municipales deben disponer de hasta cuatro años después de la entrada en vigor del presente Reglamento para aplicar el requisito de proporcionar información relativa a normas, procedimientos y servicios de asistencia y resolución de problemas en el ámbito de su responsabilidad. Las disposiciones del presente Reglamento relativas a los procedimientos que deben ofrecerse íntegramente en línea, al acceso transfronterizo a los procedimientos en línea y al sistema técnico para el intercambio transfronterizo automatizado de pruebas de conformidad con el principio de «solo una vez» deben aplicarse a más tardar cinco años después de la entrada en vigor del presente Reglamento. |
(75) |
El presente Reglamento respeta los derechos fundamentales y observa los principios reconocidos, en particular, en la Carta de los Derechos Fundamentales de la Unión Europea, por lo que debe aplicarse de conformidad con tales derechos y principios. |
(76) |
Se ha consultado al Supervisor Europeo de Protección de Datos de conformidad con el artículo 28, apartado 2, del Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo (29), quien emitió un dictamen el 1 de agosto de 2017 (30). |
HAN ADOPTADO EL PRESENTE REGLAMENTO:
CAPÍTULO I
DISPOSICIONES GENERALES
Artículo 1
Objeto
1. El presente Reglamento establece normas para:
a) |
la creación y el funcionamiento de una pasarela digital única que permita a los ciudadanos y las empresas acceder fácilmente a una información de gran calidad, a unos procedimientos eficientes y a unos servicios eficaces de asistencia y resolución de problemas por lo que respecta a normas de la Unión y nacionales aplicables a los ciudadanos y las empresas que ejercen o tratan de ejercer sus derechos derivados del Derecho de la Unión en el ámbito del mercado interior, en el sentido del artículo 26, apartado 2, del TFUE; |
b) |
el uso de los procedimientos por usuarios transfronterizos y la aplicación del principio de «solo una vez» en relación con los procedimientos enumerados en el anexo II del presente Reglamento y los procedimientos establecidos en las Directivas 2005/36/CE, 2006/123/CE, 2014/24/UE y 2014/25/UE; |
c) |
la comunicación de los obstáculos en el mercado interior a partir de la recogida de observaciones de los usuarios y estadísticas procedentes de los servicios incluidos en la pasarela. |
2. Cuando el presente Reglamento entre en conflicto con una disposición de otro acto de la Unión que regule aspectos específicos del objeto del presente Reglamento, prevalecerá la disposición de ese otro acto de la Unión.
3. El presente Reglamento no afectará al fondo de ningún procedimiento establecido a nivel de la Unión o nacional en ninguno de los ámbitos regulados por él ni a los derechos concedidos mediante el procedimiento de que se trate. El presente Reglamento tampoco afectará a las medidas adoptadas de conformidad con el Derecho de la Unión para garantizar la ciberseguridad e impedir el fraude.
Artículo 2
Establecimiento de la pasarela digital única
1. La Comisión y los Estados miembros establecerán una pasarela digital única (en lo sucesivo, «pasarela»), de conformidad con el presente Reglamento. La pasarela consistirá en una interfaz común para usuarios, gestionada por la Comisión (en lo sucesivo, «interfaz común para usuarios») que estará integrada en el portal «Your Europe» y dará acceso a las páginas web de la Unión y nacionales pertinentes.
2. La pasarela dará acceso a:
a) |
información sobre los derechos, las obligaciones y las normas del Derecho de la Unión y nacional aplicables a los usuarios que ejercen o tienen intención de ejercer sus derechos derivados del Derecho de la Unión en el ámbito del mercado interior en los ámbitos enumerados en el anexo I; |
b) |
información sobre los procedimientos en línea y fuera de línea y enlaces a los procedimientos en línea, incluidos los procedimientos previstos en el anexo II, establecidos a nivel de la Unión o nacional para permitir que los usuarios ejerzan los derechos y cumplan las obligaciones y normas en el ámbito del mercado interior en los ámbitos enumerados en el anexo I; |
c) |
información sobre los servicios de asistencia y resolución de problemas enumerados en el anexo III o a que se refiere el artículo 7, así como enlaces a dichos servicios, a los que pueden acudir los ciudadanos y las empresas que tengan preguntas o problemas relacionados con los derechos, las obligaciones, las normas o los procedimientos a los que se refieren las letras a) y b) del presente apartado. |
3. La interfaz común para usuarios estará disponible en todas las lenguas oficiales de la Unión.
Artículo 3
Definiciones
A efectos del presente Reglamento, se entenderá por:
1) |
«usuario»: un ciudadano de la Unión, una persona física que resida en un Estado miembro o una persona jurídica que tenga su domicilio social en un Estado miembro y que acceda, a través de la pasarela, a la información, a los procedimientos o a los servicios de asistencia o resolución de problemas contemplados en el artículo 2, apartado 2; |
2) |
«usuario transfronterizo»: un usuario que se encuentre en una situación que no se limite en todos sus aspectos a un único Estado miembro; |
3) |
«procedimiento»: una secuencia de acciones que deben llevar a cabo los usuarios para satisfacer los requisitos, o para obtener una decisión de una autoridad competente, que les permitan ejercer sus derechos contemplados en el artículo 2, apartado 2, letra a); |
4) |
«autoridad competente»: toda autoridad u organismo de un Estado miembro, establecido a nivel nacional, regional o local, que tenga responsabilidades específicas en relación con la información, los procedimientos o los servicios de asistencia y resolución de problemas que entran en el ámbito de aplicación del presente Reglamento; |
5) |
«prueba»: todo documento o dato, tanto si se trata de un texto escrito como de una grabación de audio, de vídeo o audiovisual, independientemente del método utilizado, exigido por una autoridad competente para probar unos hechos o el cumplimiento de los requisitos procedimentales contemplados en el artículo 2, apartado 2, letra b). |
CAPÍTULO II
SERVICIOS DE LA PASARELA
Artículo 4
Acceso a información
1. Los Estados miembros velarán por que los usuarios puedan acceder, fácilmente y en línea, a través de sus páginas web nacionales, a la información siguiente:
a) |
información sobre los derechos, las obligaciones y las normas a que se refiere el artículo 2, apartado 2, letra a), que se deriven del Derecho nacional; |
b) |
información sobre los procedimientos a que se refiere el artículo 2, apartado 2, letra b), que se establezcan a nivel nacional; |
c) |
información sobre los servicios de asistencia y resolución de problemas a que se refiere el artículo 2, apartado 2, letra c), que se presten a nivel nacional. |
2. La Comisión velará por que el portal «Your Europe» proporcione a los usuarios un acceso fácil y en línea a la información siguiente:
a) |
información sobre los derechos, las obligaciones y las normas a que se refiere el artículo 2, apartado 2, letra a), que se deriven del Derecho de la Unión; |
b) |
información sobre los procedimientos a que se refiere el artículo 2, apartado 2, letra b), que se establezcan a nivel de la Unión; |
c) |
información sobre los servicios de asistencia y resolución de problemas a que se refiere el artículo 2, apartado 2, letra c), que se presten a nivel de la Unión. |
Artículo 5
Acceso a información no incluida en el anexo I
1. Los Estados miembros y la Comisión podrán proporcionar enlaces a información facilitada por las autoridades competentes, la Comisión u órganos y organismos de la Unión en ámbitos no enumerados en el anexo I, siempre que esta información entre dentro del alcance de la pasarela, tal como se define en el artículo 1, apartado 1, letra a), y cumpla con los requisitos de calidad establecidos en el artículo 9.
2. Los enlaces a la información a que se refiere el apartado 1 del presente artículo se proporcionarán de conformidad con el artículo 19, apartados 2 y 3.
3. Antes de activar un enlace, la Comisión comprobará que cumple las condiciones establecidas en el apartado 1 y consultará al grupo de coordinación de la pasarela.
Artículo 6
Procedimientos que deben ofrecerse íntegramente en línea
1. Cada Estado miembro velará por que los usuarios puedan acceder a cualesquiera de los procedimientos enumerados en el anexo II y completarlos íntegramente en línea, siempre que el correspondiente procedimiento haya sido establecido en el Estado miembro de que se trate.
2. Se considerará que los procedimientos a que se refiere el apartado 1 están íntegramente en línea cuando:
a) |
la identificación de los usuarios, el suministro de información y las pruebas, la firma y la transmisión final se puedan realizar electrónicamente a distancia, a través de un canal de servicios que permita a los usuarios cumplir los requisitos relacionados con el procedimiento de manera sencilla y estructurada; |
b) |
se entregue a los usuarios un acuse de recibo automático, a menos que el resultado del procedimiento se obtenga inmediatamente; |
c) |
el resultado del procedimiento se obtenga electrónicamente o, cuando sea necesario para cumplir el Derecho de la Unión o nacional aplicable, se entregue físicamente, y |
d) |
los usuarios reciban una notificación electrónica de la conclusión del procedimiento. |
3. Cuando, en casos excepcionales justificados por razones imperiosas de interés general en los ámbitos de la seguridad pública, la salud pública o la lucha contra el fraude, el objetivo perseguido no pueda alcanzarse íntegramente en línea, los Estados miembros podrán exigir que el usuario se persone ante la autoridad competente como un trámite procedimental. En tales casos excepcionales, los Estados miembros limitarán esa personación a lo estrictamente necesario y objetivamente justificado, y velarán por que los demás trámites procedimentales se puedan completar íntegramente en línea. Los Estados miembros también garantizarán que los requisitos de personación no den lugar a una discriminación de los usuarios transfronterizos.
4. Los Estados miembros notificarán y explicarán, mediante un repositorio común accesible a la Comisión y a los demás Estados miembros, las razones y circunstancias en que podría requerirse la personación del usuario para los trámites procedimentales mencionados en el apartado 3 y las razones y circunstancias en las que sea necesaria una entrega física, como se contempla en el apartado 2, letra c).
5. El presente artículo no impedirá a los Estados miembros ofrecer a los usuarios la posibilidad adicional de acceder a los procedimientos a que se refiere el artículo 2, apartado 2, letra b), y de completarlos por medios distintos de un canal en línea, ni ponerse en contacto con los usuarios directamente.
Artículo 7
Acceso a los servicios de asistencia y resolución de problemas
1. Los Estados miembros y la Comisión velarán por que los usuarios, incluidos los usuarios transfronterizos, puedan acceder fácilmente y en línea por canales diferentes a los servicios de asistencia y resolución de problemas a que se refiere el artículo 2, apartado 2, letra c).
2. Los coordinadores nacionales a que se refiere el artículo 28 y la Comisión podrán proporcionar enlaces a los servicios de asistencia y resolución de problemas que ofrecen las autoridades competentes, la Comisión o los órganos y organismos de la Unión, distintos de los enumerados en el anexo III, de conformidad con el artículo 19, apartados 2 y 3, siempre que tales servicios cumplan los requisitos de calidad establecidos en los artículos 11 y 16.
3. Cuando resulte necesario para satisfacer las necesidades de los usuarios, el coordinador nacional podrá proponer a la Comisión que los enlaces a los servicios de asistencia o resolución de problemas prestados por entidades privadas o semiprivadas se incluyan en la pasarela, siempre que dichos servicios cumplan las condiciones siguientes:
a) |
proporcionen información o asistencia en los ámbitos y con los fines a los que se aplica el presente Reglamento, y sean complementarios de los servicios que ya se incluyen en la pasarela; |
b) |
se ofrezcan con carácter gratuito o a un precio asequible para las microempresas, las organizaciones sin ánimo de lucro o los ciudadanos; |
c) |
cumplan los requisitos establecidos en los artículos 8, 11 y 16. |
4. Cuando el coordinador nacional proponga la inclusión de un enlace de conformidad con el apartado 3 del presente artículo y proporcione dicho enlace de conformidad con el artículo 19, apartado 3, la Comisión determinará si el servicio que vaya a incluir a través del enlace cumple las condiciones establecidas en el apartado 3 del presente artículo, en cuyo caso activará el enlace.
Cuando la Comisión considere que el servicio que se vaya a incluir no cumple las condiciones establecidas en el apartado 3, informará al coordinador nacional de los motivos por los que no ha activado el enlace.
Artículo 8
Requisitos de calidad relativos a la accesibilidad de los sitios web
La Comisión aumentará la accesibilidad de los sitios y páginas web a través de los cuales da acceso a la información a que se refiere el artículo 4, apartado 2, y a los servicios de asistencia y resolución de problemas a que se refiere el artículo 7 haciéndolos perceptibles, utilizables, comprensibles y sólidos.
CAPÍTULO III
REQUISITOS DE CALIDAD
SECCIÓN 1
Requisitos de calidad relacionados con la información sobre derechos, obligaciones y normas, procedimientos y servicios de asistencia y resolución de problemas
Artículo 9
Calidad de la información sobre derechos, obligaciones y normas
1. Cuando los Estados miembros y la Comisión sean responsables, de conformidad con el artículo 4, de velar por el acceso a la información contemplada en el artículo 2, apartado 2, letra a), garantizarán que dicha información cumpla los requisitos siguientes:
a) |
sea de fácil acceso, esto es, el usuario es capaz de encontrar y comprender la información fácilmente y de determinar con facilidad qué partes de la información son pertinentes para su situación concreta; |
b) |
sea exacta y lo suficientemente exhaustiva para contener la información que necesitan saber los usuarios para ejercer sus derechos en pleno cumplimiento de las normas y obligaciones aplicables; |
c) |
incluya referencias, enlaces a actos jurídicos, especificaciones técnicas y orientaciones, cuando sea pertinente; |
d) |
incluya el nombre de la autoridad competente o entidad responsable del contenido informativo; |
e) |
incluya los datos de contacto de todos los servicios de asistencia y resolución de problemas pertinentes, como un número de teléfono, una dirección de correo electrónico, un formulario de consulta en línea o cualquier otro medio de comunicación electrónica comúnmente utilizado que sea el más adecuado para el tipo de servicio prestado y para el público destinatario de dicho servicio; |
f) |
incluya, en su caso, la fecha de la última actualización de la información o, en caso de que la información no haya sido actualizada, la fecha de publicación de la información; |
g) |
esté bien estructurada y presentada, de manera que los usuarios pueden encontrar rápidamente lo que necesitan; |
h) |
se mantenga actualizada; |
i) |
esté redactada en un lenguaje claro y sencillo, adaptado a las necesidades de los destinatarios. |
2. Los Estados miembros harán accesible la información a que se refiere el apartado 1 del presente artículo en una lengua oficial de la Unión que sea ampliamente comprendida por el mayor número posible de usuarios transfronterizos, conforme a lo dispuesto en el artículo 12.
Artículo 10
Calidad de la información sobre los procedimientos
1. A efectos del cumplimiento de lo dispuesto en el artículo 4, los Estados miembros y la Comisión velarán por que, antes de que los usuarios tengan que identificarse para iniciar el procedimiento, estos tengan acceso a una explicación clara, sencilla y lo suficientemente exhaustiva de los siguientes elementos, cuando sean aplicables, correspondientes a los procedimientos contemplados en el artículo 2, apartado 2, letra b):
a) |
los trámites pertinentes del procedimiento que debe completar el usuario, incluida cualquier excepción, contemplada en el artículo 6, apartado 3, a la obligación de los Estados miembros de ofrecer el procedimiento íntegramente en línea; |
b) |
el nombre de la autoridad competente responsable del procedimiento, incluidos sus datos de contacto; |
c) |
los métodos de autenticación, identificación y firma aceptados para el procedimiento; |
d) |
el tipo y el formato de las pruebas que deben presentarse; |
e) |
las vías de reparación o recurso que están generalmente disponibles en caso de litigio con las autoridades competentes; |
f) |
las tarifas aplicables y los métodos de pago en línea; |
g) |
cualquier plazo que el usuario o la autoridad competente deban respetar y, cuando no existan plazos, el tiempo medio, estimado o indicativo que la autoridad competente necesita para completar el procedimiento; |
h) |
cualquier norma relativa a la falta de respuesta de la autoridad competente y sus consecuencias jurídicas para los usuarios, incluidas las disposiciones de aprobación tácita o de silencio administrativo; |
i) |
toda lengua adicional en la que se pueda completar el procedimiento. |
2. A falta de disposiciones de aprobación tácita, silencio administrativo o similares, las autoridades competentes informarán a los usuarios, cuando proceda, de cualquier retraso y de cualquier ampliación de plazos o de cualquier consecuencia.
3. Cuando la explicación a la que se refiere el apartado 1 ya sea accesible para los usuarios no transfronterizos, dicha explicación podrá utilizarse o reutilizarse a efectos del presente Reglamento, siempre y cuando contenga información sobre la situación de los usuarios transfronterizos, cuando proceda.
4. Los Estados miembros harán la explicación a que se refiere el apartado 1 del presente artículo accesible en una lengua oficial de la Unión que sea ampliamente comprendida por el mayor número posible de usuarios transfronterizos, conforme a lo dispuesto en el artículo 12.
Artículo 11
Calidad de la información sobre los servicios de asistencia y resolución de problemas
1. A efectos del cumplimiento de lo dispuesto en el artículo 4, los Estados miembros y la Comisión velarán por que, antes de presentar la solicitud de los servicios contemplados en el artículo 2, apartado 2, letra c), los usuarios tengan acceso a una explicación clara y sencilla de lo siguiente:
a) |
el tipo de servicio que se ofrece, su propósito y los resultados esperados; |
b) |
los datos de contacto de las entidades responsables del servicio, como un número de teléfono, una dirección de correo electrónico, un formulario de consulta en línea o cualquier otro medio de comunicación electrónica comúnmente utilizado que sea el más adecuado para el tipo de servicio prestado y para el público destinatario de dicho servicio; |
c) |
en su caso, las tarifas aplicables y el método de pago en línea; |
d) |
cualquier plazo aplicable que se deba respetar y, cuando no existan plazos, el tiempo medio o estimado necesario para la prestación del servicio; |
e) |
toda lengua adicional en la que puede presentarse la solicitud y que puede utilizarse en los contactos posteriores. |
2. Los Estados miembros harán accesible la explicación a que se refiere el apartado 1 del presente artículo en una lengua oficial de la Unión que sea ampliamente comprendida por el mayor número posible de usuarios transfronterizos, conforme a lo dispuesto en el artículo 12.
Artículo 12
Traducción de la información
1. Cuando los Estados miembros no faciliten la información, las explicaciones y las instrucciones mencionadas en los artículos 9, 10 y 11 y en el artículo 13, apartado 2, letra a), en una lengua oficial de la Unión ampliamente comprendida por el mayor número posible de usuarios transfronterizos, dicho Estado miembro solicitará a la Comisión que proporcione traducciones a dicha lengua, dentro de los límites del presupuesto de la Unión disponible a que se refiere el artículo 32, apartado 1, letra c).
2. Los Estados miembros garantizarán que los textos que se transmitan para traducción en virtud del apartado 1 del presente artículo incluyan al menos la información básica en todos los ámbitos enumerados en el anexo I y que, cuando se disponga de suficiente presupuesto de la Unión, incluyan cualesquiera otras informaciones, explicaciones e instrucciones de las mencionadas en los artículos 9, 10 y 11 y en el artículo 13, apartado 2, letra a), teniendo en cuenta las necesidades más importantes de los usuarios transfronterizos. Los Estados miembros suministrarán al repositorio de enlaces contemplado en el artículo 19 los enlaces a dicha información traducida.
3. La lengua a que se refiere el apartado 1 será la lengua oficial de la Unión más ampliamente estudiada como lengua extranjera por los usuarios de toda la Unión. A título de excepción, cuando se espere que dichas informaciones, explicaciones o instrucciones que se deben traducir sean de interés preponderante para los usuarios transfronterizos procedentes de un solo otro Estado miembro, la lengua a que se refiere el apartado 1 podrá ser la lengua oficial de la Unión utilizada como primera lengua por dichos usuarios transfronterizos.
4. Cuando un Estado miembro solicite una traducción a una lengua oficial de la Unión que no sea la lengua extranjera más ampliamente estudiada como lengua extranjera por los usuarios de toda la Unión, motivará su solicitud. Si la Comisión considera que no se cumplen las condiciones a que se refiere el apartado 3 para la elección de esa otra lengua, podrá denegar la solicitud e informará al Estado miembro de los motivos de la denegación.
SECCIÓN 2
Requisitos relacionados con los procedimientos en línea
Artículo 13
Acceso transfronterizo a los procedimientos en línea
1. Cuando los usuarios no transfronterizos puedan acceder a los procedimientos a que se refiere el artículo 2, apartado 2, letra b), establecidos a nivel nacional y completarlos en línea, los Estados miembros velarán por que los usuarios transfronterizos también puedan acceder a ellos y completarlos en línea de manera no discriminatoria a través de la misma solución técnica o de una solución alternativa.
2. Para los procedimientos contemplados en el apartado 1 del presente artículo, los Estados miembros velarán por que se cumplan al menos los requisitos siguientes:
a) |
que los usuarios puedan acceder a instrucciones para completar el procedimiento en una lengua oficial de la Unión ampliamente comprendida por el mayor número posible de usuarios transfronterizos, conforme a lo dispuesto en el artículo 12; |
b) |
que los usuarios transfronterizos puedan presentar la información exigida, incluso cuando la estructura de dicha información difiera de la información semejante del Estado miembro en cuestión; |
c) |
que los usuarios transfronterizos puedan identificarse y autenticarse, firmar o sellar documentos electrónicamente, con arreglo a lo dispuesto en el Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, en todos aquellos casos en que ello sea también posible para los usuarios no transfronterizos; |
d) |
que los usuarios transfronterizos puedan proporcionar las pruebas del cumplimiento de los requisitos aplicables y recibir el resultado de los procedimientos en formato electrónico, en todos aquellos casos en que ello sea también posible para los usuarios no transfronterizos; |
e) |
cuando para completar un procedimiento haya que efectuar un pago, que los usuarios puedan abonar en línea cualquier tarifa a través de servicios de pago transfronterizos de amplia disponibilidad, sin discriminación por razón del lugar de establecimiento del prestador del servicio de pago, el lugar de emisión del instrumento de pago o la ubicación de la cuenta de pago dentro de la Unión. |
3. Cuando el procedimiento no requiera identificación o autenticación electrónicas, según contempla el apartado 2, letra c), y cuando las autoridades competentes puedan, en virtud del Derecho nacional o de las prácticas administrativas nacionales aplicables, aceptar copias digitalizadas de pruebas no electrónicas de identidad de los usuarios no transfronterizos, como carnés de identidad o pasaportes, dichas autoridades deberán aceptar también dichas copias digitalizadas de los usuarios transfronterizos.
Artículo 14
Sistema técnico para el intercambio automatizado transfronterizo de pruebas y aplicación del principio de «solo una vez»
1. A los fines del intercambio de pruebas para los procedimientos en línea enumerados en el anexo II del presente Reglamento y los procedimientos establecidos en las Directivas 2005/36/CE, 2006/123/CE, 2014/24/UE y 2014/25/UE, la Comisión, en colaboración con los Estados miembros, creará un sistema técnico para el intercambio automatizado de pruebas entre autoridades competentes de Estados miembros diferentes (en lo sucesivo, «sistema técnico»).
2. Cuando las autoridades competentes suministren lícitamente, en su propio Estado miembro y en un formato electrónico que permita el intercambio automatizado, pruebas que sean pertinentes para los procedimientos en línea a que se refiere el apartado 1, proporcionarán también dichas pruebas a las autoridades competentes de otros Estados miembros que las soliciten en un formato electrónico que permita el intercambio automatizado.
3. El sistema técnico, en particular:
a) |
permitirá el tratamiento de las solicitudes de pruebas a petición expresa del usuario; |
b) |
permitirá el tratamiento de las solicitudes de pruebas a las que se dé acceso o sean objeto de intercambio; |
c) |
permitirá la transmisión de pruebas entre autoridades competentes; |
d) |
permitirá el tratamiento de las pruebas por parte de las autoridades competentes solicitantes; |
e) |
permitirá la confidencialidad y la integridad de las pruebas; |
f) |
permitirá que el usuario tenga la posibilidad de previsualizar las pruebas que utilizará la autoridad solicitante y decidir si procede o no al intercambio de pruebas; |
g) |
garantizará un nivel suficiente de interoperabilidad con otros sistemas pertinentes; |
h) |
garantizará un elevado nivel de seguridad para la transmisión y el tratamiento de las pruebas; |
i) |
no tratará las pruebas más allá de lo estrictamente necesario desde el punto de vista técnico para el intercambio de pruebas, y solo lo hará durante el plazo necesario para tal fin. |
4. La utilización del sistema técnico no será obligatoria para los usuarios y solo se permitirá a petición expresa por su parte, salvo que se disponga de otro modo en virtud del Derecho de la Unión o nacional. Se permitirá a los usuarios aportar pruebas por otros medios distintos del sistema técnico y directamente a la autoridad competente solicitante.
5. No se requerirá la posibilidad de previsualización de las pruebas, a que se refiere el apartado 3, letra f), del presente artículo en los procedimientos en los que el Derecho de la Unión o nacional aplicable permita el intercambio transfronterizo automatizado de datos sin tal previsualización. Dicha posibilidad de previsualizar la prueba se entenderá sin perjuicio de la obligación de proporcionar la información en virtud de los artículos 13 y 14 del Reglamento (UE) 2016/679.
6. Los Estados miembros integrarán el sistema técnico plenamente operativo como parte de los procedimientos a los que se refiere el apartado 1.
7. Previa petición expresa, formulada libremente, específica, informada e inequívoca por parte del usuario interesado, las autoridades competentes responsables de los procedimientos en línea a que se refiere el apartado 1 solicitarán las pruebas directamente, a través del sistema técnico, a las autoridades competentes que las hayan suministrado en otros Estados miembros. Las autoridades competentes suministradoras a que se refiere el apartado 2, darán acceso a dichas pruebas a través del mismo sistema, de conformidad con el apartado 3, letra e).
8. Las pruebas aportadas a la autoridad competente solicitante se limitarán a lo solicitado, y esa autoridad solo las utilizará para los fines del procedimiento para el que han sido intercambiadas. Las pruebas intercambiadas a través del sistema técnico se considerarán auténticas a los efectos de la autoridad competente solicitante.
9. A más tardar el 12 de junio de 2021, la Comisión adoptará actos de ejecución para establecer las especificaciones técnicas y operativas del sistema técnico necesario para la aplicación del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 37, apartado 2.
10. Los apartados 1 a 8 no se aplicarán a los procedimientos establecidos a nivel de la Unión para los que estén previstos mecanismos de intercambio de pruebas diferentes, a menos que el sistema técnico necesario para la aplicación del presente artículo esté integrado en ellos de conformidad con lo dispuesto en los actos de la Unión por los que se establecen.
11. La Comisión y cada uno de los Estados miembros serán responsables del desarrollo, la disponibilidad, el mantenimiento, la supervisión, el seguimiento y la gestión de la seguridad de sus respectivas partes del sistema técnico.
Artículo 15
Verificación de pruebas entre los Estados miembros
Cuando el sistema técnico u otros sistemas que permitan el intercambio o la verificación de pruebas entre los Estados miembros no estén disponibles o no sean aplicables, o cuando el usuario no requiera la utilización del sistema técnico, las autoridades competentes cooperarán a través del Sistema de Información del Mercado Interior (IMI) cuando ello sea necesario para verificar la autenticidad de las pruebas que el usuario haya aportado en formato electrónico a una de ellas a efectos de un procedimiento en línea.
SECCIÓN 3
Requisitos de calidad relacionados con los servicios de asistencia y resolución de problemas
Artículo 16
Requisitos de calidad relacionados con los servicios de asistencia y resolución de problemas
Las autoridades competentes y la Comisión velarán, dentro del ámbito de sus respectivas competencias, por que los servicios de asistencia y resolución de problemas enumerados en el anexo III y aquellos que se han incluido en la pasarela de conformidad con el artículo 7, apartados 2, 3 y 4, cumplan los requisitos de calidad siguientes:
a) |
que se presten en un plazo razonable, teniendo en cuenta la complejidad de la solicitud; |
b) |
cuando se amplíen los plazos, que se informe a los usuarios con antelación de los motivos y del nuevo plazo fijado; |
c) |
cuando para la prestación de un servicio haya que efectuar un pago, que los usuarios puedan abonar en línea cualquier tarifa a través de servicios de pago transfronterizos de amplia disponibilidad, sin discriminación por razón del lugar de establecimiento del prestador del servicio de pago, el lugar de emisión del instrumento de pago o la ubicación de la cuenta de pago dentro de la Unión. |
SECCIÓN 4
Seguimiento de la calidad
Artículo 17
Seguimiento de la calidad
1. Los coordinadores nacionales a que se refiere el artículo 28 y la Comisión, dentro del ámbito de sus respectivas competencias, realizarán periódicamente el seguimiento de la conformidad de la información, los procedimientos y los servicios de asistencia y resolución de problemas disponibles a través de la pasarela con los requisitos de calidad establecidos en los artículos 8 a 13 y 16. El seguimiento se llevará a cabo sobre la base de los datos recogidos de conformidad con los artículos 24 y 25.
2. En caso de deterioro de la calidad de la información, los procedimientos y los servicios de asistencia o resolución de problemas a que se refiere el apartado 1, prestados por las autoridades competentes, la Comisión, teniendo en cuenta la gravedad y la persistencia del deterioro, adoptará una o varias de las medidas siguientes:
a) |
informar al coordinador nacional pertinente y pedir la adopción de medidas correctoras; |
b) |
someter a discusión en el grupo de coordinación de la pasarela las acciones recomendadas para mejorar el cumplimiento de los requisitos de calidad; |
c) |
enviar una carta con recomendaciones al Estado miembro; |
d) |
desconectar temporalmente la información, el procedimiento o el servicio de asistencia o resolución de problemas de la pasarela. |
3. Cuando un sistema de asistencia o resolución de problemas cuyos enlaces se hayan proporcionado de conformidad con el artículo 7, apartado 3, incumpla sistemáticamente los requisitos establecidos en los artículos 11 y 16 o, según los datos recogidos de conformidad con los artículos 24 y 25, haya dejado de satisfacer las necesidades de los usuarios, la Comisión podrá, previa consulta al correspondiente coordinador nacional y, en caso necesario, al grupo de coordinación de la pasarela, desconectarlo de la pasarela.
CAPÍTULO IV
SOLUCIONES TÉCNICAS
Artículo 18
Interfaz común para usuarios
1. La Comisión, en estrecha cooperación con los Estados miembros, proporcionará una interfaz común para usuarios, integrada en el portal «Your Europe», con el fin de garantizar el funcionamiento adecuado de la pasarela.
2. La interfaz común para usuarios dará acceso a la información, los procedimientos y los servicios de asistencia o resolución de problemas por medio de enlaces a los sitios o páginas web pertinentes de la Unión y nacionales incluidos en el repositorio en enlaces contemplado en el artículo 19.
3. Los Estados miembros y la Comisión, de conformidad con sus respectivas funciones y responsabilidades, como se dispone en el artículo 4, velarán por que la información sobre normas y obligaciones, sobre procedimientos y sobre servicios de asistencia y resolución de problemas esté organizada y marcada de forma que sea más fácil encontrarla a través de la interfaz común para usuarios.
4. La Comisión garantizará que la interfaz común para usuarios cumpla los siguientes requisitos de calidad:
a) |
ser fácil de utilizar; |
b) |
ser accesible en línea a través de diversos dispositivos electrónicos; |
c) |
estar sujeta al desarrollo y la optimización para distintos navegadores; |
d) |
cumplir los siguientes requisitos de accesibilidad a la red: perceptibilidad, operabilidad, comprensibilidad y solidez. |
5. La Comisión podrá adoptar actos de ejecución que establezcan los requisitos de interoperabilidad para que sea más fácil encontrar la información sobre normas y obligaciones, sobre procedimientos y sobre servicios de asistencia y resolución de problemas a través de la interfaz común para usuarios. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 37, apartado 2.
Artículo 19
Repositorio de enlaces
1. La Comisión, en estrecha colaboración con los Estados miembros, creará y mantendrá un repositorio electrónico de enlaces a la información, los procedimientos y los servicios de asistencia y resolución de problemas contemplados en el artículo 2, apartado 2, que permita la conexión entre tales servicios y la interfaz común para usuarios.
2. La Comisión facilitará, en el repositorio de enlaces, los enlaces a la información, los procedimientos y los servicios de asistencia y resolución de problemas disponibles en las páginas web gestionadas a nivel de la Unión, y velará por que dichos enlaces sean precisos y estén actualizados.
3. Los coordinadores nacionales facilitarán, en el repositorio de enlaces, los enlaces a la información, los procedimientos y los servicios de asistencia y resolución de problemas disponibles en las páginas web gestionadas por las autoridades competentes, o por las entidades privadas o semiprivadas a que se refiere el artículo 7, apartado 3, y velarán por que dichos enlaces sean siempre precisos y estén actualizados.
4. Cuando sea técnicamente posible, el suministro de los enlaces a que se refiere el apartado 3 se efectuará automáticamente entre los correspondientes sistemas de los Estados miembros y el repositorio de enlaces.
5. La Comisión hará pública la información incluida en el repositorio empleando un formato abierto y de lectura mecánica.
6. La Comisión y los coordinadores nacionales velarán por que los enlaces a la información, los procedimientos y los servicios de asistencia o resolución de problemas que se ofrecen a través de la pasarela no contengan ninguna duplicidad ni ningún solapamiento innecesario, total o parcial, que pueda confundir a los usuarios.
7. Cuando el acceso a la información contemplado en el artículo 4 se regule en otras disposiciones del Derecho de la Unión, la Comisión y los coordinadores nacionales podrán facilitar enlaces a esa información a fin de cumplir los requisitos de dicho artículo.
Artículo 20
Buscador común de servicios de asistencia
1. A fin de facilitar el acceso a los servicios de asistencia y resolución de problemas enumerados en el anexo III o contemplados en el artículo 7, apartados 2 y 3, las autoridades competentes y la Comisión velarán por que los usuarios puedan acceder a ellos a través de un buscador común de servicios de asistencia y resolución de problemas (en lo sucesivo, «buscador común de servicios de asistencia») disponible a través de la pasarela.
2. La Comisión desarrollará y gestionará el buscador común de servicios de asistencia y decidirá la estructura y el formato en los que deben facilitarse las descripciones y los datos de contacto de los servicios de asistencia y resolución de problemas, a fin de permitir el funcionamiento adecuado del buscador común de servicios de asistencia.
3. Los coordinadores nacionales proporcionarán a la Comisión las descripciones y los datos de contacto a que se refiere el apartado 2.
Artículo 21
Responsabilidades con respecto a las aplicaciones TIC en las que se apoya la pasarela
1. La Comisión será responsable del desarrollo, la disponibilidad, el seguimiento, la actualización, el mantenimiento, la seguridad y el alojamiento de las siguientes aplicaciones TIC y páginas web:
a) |
el portal «Your Europe» a que se refiere el artículo 2, apartado 1; |
b) |
la interfaz común para usuarios a que se refiere el artículo 18, apartado 1, en particular el motor de búsqueda o cualquier otra herramienta TIC que permita la búsqueda de información y servicios en la web; |
c) |
el repositorio de enlaces a que se refiere el artículo 19, apartado 1; |
d) |
el buscador común de servicios de asistencia a que se refiere el artículo 20, apartado 1; |
e) |
la herramienta de valoración de los usuarios a que se refiere el artículo 25, apartado 1, y el artículo 26, apartado 1, letra a). |
La Comisión trabajará en estrecha colaboración con los Estados miembros para el desarrollo de las aplicaciones TIC.
2. Los Estados miembros serán responsables del desarrollo, la disponibilidad, el seguimiento, la actualización, el mantenimiento y la seguridad de las aplicaciones TIC relacionadas con los sitios y páginas web nacionales que gestionan y que están enlazados a la interfaz común para usuarios.
CAPÍTULO V
PROMOCIÓN
Artículo 22
Nombre, logotipo y sello de calidad
1. El nombre con el que se dé a conocer y se promocione la pasarela será «Your Europe».
La Comisión, en estrecha colaboración con el grupo de coordinación de la pasarela, decidirá el logotipo con el que se dé a conocer y se promocione la pasarela, a más tardar el 12 de junio de 2019.
El logotipo de la pasarela y un enlace a esta estarán visibles y disponibles en los sitios web de la Unión y nacionales pertinentes conectados a la pasarela.
2. Como prueba de conformidad con los requisitos de calidad contemplados en los artículos 9, 10 y 11, el nombre y el logotipo de la pasarela también servirán de sello de calidad. No obstante, el logotipo de la pasarela únicamente se podrá usar como sello de calidad por las páginas y los sitios web incluidos en el repositorio de enlaces a que se refiere el artículo 19.
Artículo 23
Promoción
1. Los Estados miembros y la Comisión darán a conocer la pasarela y fomentarán su utilización entre los ciudadanos y las empresas, y garantizarán que la pasarela y su información, procedimientos y servicios de asistencia y de resolución de problemas sean visibles para el público y puedan encontrarse fácilmente a través de motores de búsqueda accesibles públicamente.
2. Los Estados miembros y la Comisión coordinarán sus actividades de promoción a que se refiere el apartado 1 y remitirán a la pasarela y usarán su logotipo en tales actividades, junto con cualquier otra marca, según corresponda.
3. Los Estados miembros y la Comisión velarán por que la pasarela se pueda localizar fácilmente a través de los sitios web relacionados de los que sean responsables y por que se pongan a disposición enlaces claros a la interfaz común para usuarios en todos los sitios web pertinentes a escala de la Unión y nacional.
4. Los coordinadores nacionales fomentarán la pasarela entre las autoridades nacionales competentes.
CAPÍTULO VI
RECOGIDA DE OBSERVACIONES Y ESTADÍSTICAS DE LOS USUARIOS
Artículo 24
Estadísticas de los usuarios
1. Las autoridades competentes y la Comisión velarán por que se recojan estadísticas relativas a las visitas de los usuarios a la pasarela y a las páginas web cuyos enlaces se incluyen en la pasarela, en un modo que garantice el anonimato de los usuarios, a fin de mejorar el funcionamiento de la pasarela.
2. Las autoridades competentes, los prestadores de servicios de asistencia o de resolución de problemas a que se refiere el artículo 7, apartado 3, y la Comisión recopilarán e intercambiarán, de forma agregada, el número, el origen y el objeto de las peticiones enviadas a los servicios de asistencia y resolución de problemas, así como el tiempo de respuesta de estos.
3. Las estadísticas recogidas con arreglo a los apartados 1 y 2 en relación con la información, los procedimientos y los servicios de asistencia y resolución de problemas, cuyos enlaces figuran en la pasarela, incluirán las siguientes categorías de datos:
a) |
datos relativos al número, al origen y al tipo de usuarios de la pasarela; |
b) |
datos relativos a las preferencias de los usuarios y al recorrido que hacen al visitar la pasarela; |
c) |
datos relativos a la utilidad, la facilidad de localización y la calidad de la información, de los procedimientos y de los servicios de asistencia y resolución de problemas. |
Esos datos se pondrán a disposición del público en un formato abierto, de uso habitual y de lectura mecánica.
4. La Comisión adoptará actos de ejecución para establecer el método de recogida e intercambio de las estadísticas de los usuarios a que se refieren los apartados 1, 2 y 3 del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 37, apartado 2.
Artículo 25
Observaciones de los usuarios sobre los servicios de la pasarela
1. A fin de recabar información directa de los usuarios acerca de su grado de satisfacción con los servicios prestados a través de la pasarela y la información disponible en ella, la Comisión les proporcionará, a través de la pasarela, una herramienta de valoración fácil de utilizar que les permita, inmediatamente después de utilizar cualquiera de los servicios a que se refiere el artículo 2, apartado 2, formular observaciones de manera anónima sobre la calidad y la disponibilidad de los servicios prestados a través de la pasarela, de la información disponible en ella y de la interfaz común para usuarios.
2. Las autoridades competentes y la Comisión garantizarán que los usuarios puedan acceder a la herramienta contemplada en el apartado 1 en todas las páginas web que formen parte de la pasarela.
3. La Comisión, las autoridades competentes y los coordinadores nacionales tendrán acceso directo a las observaciones de los usuarios recogidas a través de la herramienta contemplada en el apartado 1, a fin de poder abordar los problemas que se planteen.
4. Las autoridades competentes no estarán obligadas, en sus páginas web que sean parte de la pasarela, a dar acceso a los usuarios a la herramienta de valoración de los usuarios contemplada en el apartado 1 cuando en sus páginas web ya exista otra herramienta de recogida de observaciones de los usuarios con funcionalidades parecidas con el fin de realizar un seguimiento de la calidad del servicio. Las autoridades competentes recogerán las observaciones de los usuarios recibidas a través de su propia herramienta de valoración y las compartirán con la Comisión y con los coordinadores nacionales de los demás Estados miembros.
5. La Comisión adoptará actos de ejecución para establecer las normas de recogida y puesta en común de las observaciones de los usuarios. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 37, apartado 2.
Artículo 26
Información sobre el funcionamiento del mercado interior
1. La Comisión:
a) |
proporcionará a los usuarios de la pasarela una herramienta fácil de utilizar para que señalen y formulen observaciones de manera anónima sobre todo obstáculo con el que se encuentren en el ejercicio de sus derechos en el mercado interior; |
b) |
recogerá la información agregada procedente de los servicios de asistencia y resolución de problemas que forman parte de la pasarela sobre el objeto de las peticiones y las respuestas. |
2. La Comisión, las autoridades competentes y los coordinadores nacionales tendrán acceso directo a las observaciones recogidas con arreglo al apartado 1, letra a).
3. Los Estados miembros y la Comisión analizarán e investigarán los problemas planteados por los usuarios con arreglo al presente artículo y, cuando sea posible, los resolverán con los medios adecuados.
Artículo 27
Resúmenes en línea
La Comisión publicará, de forma anonimizada, resúmenes en línea de los problemas que surjan de la información recogida de conformidad con el artículo 26, apartado 1, las principales estadísticas de los usuarios a que se refiere el artículo 24 y las principales observaciones de los usuarios a que se refiere el artículo 25.
CAPÍTULO VII
GOBERNANZA DE LA PASARELA
Artículo 28
Coordinadores nacionales
1. Cada Estado miembro nombrará un coordinador nacional. Además de cumplir sus obligaciones de conformidad con los artículos 7, 17, 19, 20, 23 y 25, los coordinadores nacionales:
a) |
harán de punto de contacto en su administración para todos los asuntos relacionados con la pasarela; |
b) |
promoverán la aplicación uniforme de los artículos 9 a 16 por parte de sus respectivas autoridades competentes; |
c) |
velarán por que las recomendaciones a que se refiere el artículo 17, apartado 2, letra c), se sigan adecuadamente. |
2. Cada Estado miembro podrá, de conformidad con su estructura administrativa interna, nombrar a uno o varios coordinadores con objeto de que desempeñen cualquiera de las tareas enumeradas en el apartado 1. Un coordinador nacional por cada Estado miembro será responsable de los contactos con la Comisión para todos los asuntos relacionados con la pasarela.
3. Cada Estado miembro informará a los demás Estados miembros y a la Comisión del nombre y los datos de contacto de sus coordinadores nacionales.
Artículo 29
Grupo de coordinación
Se crea un grupo de coordinación (en lo sucesivo, «grupo de coordinación de la pasarela»). Estará compuesto por un coordinador nacional de cada Estado miembro y presidido por un representante de la Comisión. Adoptará su reglamento interno. La Comisión se hará cargo de la secretaría.
Artículo 30
Funciones del grupo de coordinación de la pasarela
1. El grupo de coordinación de la pasarela apoyará la aplicación del presente Reglamento. En particular, tendrá como funciones:
a) |
facilitar el intercambio de las mejores prácticas y su actualización periódica; |
b) |
fomentar la inclusión de procedimientos íntegramente en línea, aparte de los incluidos en el anexo II del presente Reglamento, y de medios en línea de autenticación, identificación y firma electrónica, en particular los establecidos en el Reglamento (UE) n.o 910/2014; |
c) |
discutir las mejoras para una presentación sencilla de la información en los ámbitos enumerados en el anexo I, en particular sobre la base de los datos recogidos de acuerdo con los artículos 24 y 25; |
d) |
ayudar a la Comisión en el desarrollo de las soluciones TIC comunes en las que se apoya la pasarela; |
e) |
discutir el proyecto de programa de trabajo anual; |
f) |
ayudar a la Comisión en el seguimiento de la ejecución del programa de trabajo anual; |
g) |
discutir acerca de la información adicional proporcionada de conformidad con el artículo 5, con vistas a animar a otros Estados miembros a facilitar información similar, cuando sea pertinente para los usuarios; |
h) |
ayudar a la Comisión en el seguimiento del cumplimiento de los requisitos establecidos en los artículos 8 a 16, de conformidad con el artículo 17; |
i) |
informar acerca de la aplicación del artículo 6, apartado 1; |
j) |
discutir y recomendar acciones a las autoridades competentes y a la Comisión para evitar o eliminar la duplicidad innecesaria de los servicios disponibles a través de la pasarela; |
k) |
formular dictámenes sobre los procedimientos o las medidas para abordar con eficiencia cualquier problema relacionado con la calidad de los servicios que planteen los usuarios o sugerencias para su mejora; |
l) |
discutir acerca de la aplicación de los principios de seguridad desde el diseño y de protección de la intimidad desde el diseño en el marco del presente Reglamento; |
m) |
discutir las cuestiones relacionadas con la recogida de observaciones de los usuarios y las estadísticas a que se refieren los artículos 24 y 25, a fin de mejorar continuamente los servicios ofrecidos a escala nacional y de la Unión; |
n) |
discutir cuestiones relacionadas con los requisitos de calidad de los servicios que se ofrecen a través de la pasarela; |
o) |
intercambiar las mejores prácticas y ayudará a la Comisión en la organización, la estructuración y la presentación de los servicios contemplados en el artículo 2, apartado 2, a fin de permitir el funcionamiento adecuado de la interfaz común para usuarios; |
p) |
facilitar el desarrollo y la puesta en práctica de la promoción coordinada; |
q) |
cooperar con los organismos de gobernanza o las redes de los servicios de información, y de los servicios de asistencia o resolución de problemas; |
r) |
facilitar orientaciones sobre la lengua o lenguas oficiales adicionales de la Unión que han de utilizar las autoridades competentes de conformidad con el artículo 9, apartado 2, el artículo 10, apartado 4, el artículo 11, apartado 2, y el artículo 13, apartado 2, letra a). |
2. La Comisión podrá consultar al grupo de coordinación de la pasarela sobre cualquier asunto relacionado con la aplicación del presente Reglamento.
Artículo 31
Programa de trabajo anual
1. La Comisión adoptará el programa de trabajo anual, en el que se especificarán, en particular:
a) |
las acciones para mejorar la presentación específica de la información en los ámbitos enumerados en el anexo I y las acciones para facilitar la aplicación en tiempo oportuno por parte de las autoridades competentes a todos los niveles, incluido el municipal, de los requisitos para proporcionar información; |
b) |
las acciones para facilitar el cumplimiento de los artículos 6 y 13; |
c) |
las acciones necesarias para garantizar el cumplimiento sistemático de los requisitos establecidos en los artículos 9 a 12; |
d) |
las actividades relacionadas con la promoción de la pasarela de conformidad con el artículo 23. |
2. A la hora de elaborar el proyecto de programa de trabajo anual, la Comisión tendrá en cuenta las estadísticas y las observaciones de los usuarios recogidas de conformidad con los artículos 24 y 25, así como las sugerencias de los Estados miembros. Antes de su adopción, la Comisión presentará al grupo de coordinación de la pasarela, para discusión, el proyecto de programa de trabajo anual.
CAPÍTULO VIII
DISPOSICIONES FINALES
Artículo 32
Costes
1. El presupuesto general de la Unión Europea cubrirá los costes de:
a) |
desarrollo y mantenimiento de las herramientas TIC en las que se apoya la aplicación del presente Reglamento a nivel de la Unión; |
b) |
promoción de la pasarela a nivel de la Unión; |
c) |
traducción de la información, las explicaciones y las instrucciones de conformidad con el artículo 12 hasta un volumen máximo anual por Estado miembro, sin perjuicio de posibles reasignaciones en caso necesario para permitir el pleno uso del presupuesto disponible. |
2. Los costes relacionados con los portales web nacionales, las plataformas de información, los servicios de asistencia y los procedimientos establecidos a nivel de los Estados miembros correrán a cargo de los respectivos presupuestos, salvo que se disponga de otro modo en la legislación de la Unión.
Artículo 33
Protección de los datos personales
El tratamiento de los datos personales por parte de las autoridades competentes en el marco del presente Reglamento por parte de las autoridades competentes cumplirá lo dispuesto en el Reglamento (UE) 2016/679. El tratamiento de los datos personales por parte de la Comisión en el marco del presente Reglamento será conforme con el Reglamento (UE) 2018/1725.
Artículo 34
Cooperación con otras redes de información y asistencia
1. Previa consulta a los Estados miembros, la Comisión decidirá qué mecanismos de gobernanza informal vigentes para cualquiera de los servicios de asistencia o resolución de problemas enumerados en el anexo III o para cualquiera de los ámbitos de información que figuran en el anexo I serán de la responsabilidad del grupo de coordinación de la pasarela.
2. Cuando los servicios o redes de información y asistencia hayan sido creados en virtud de un acto de la Unión jurídicamente vinculante para cualquiera de los ámbitos de información que figuran en el anexo I, la Comisión coordinará el trabajo del grupo de coordinación de la pasarela y los organismos de gobernanza de dichos servicios o redes para conseguir sinergias y evitar duplicidades.
Artículo 35
Sistema de Información del Mercado Interior
1. El Sistema de Información del Mercado Interior (IMI), creado en virtud del Reglamento (UE) n.o 1024/2012, se utilizará para los fines del artículo 6, apartado 4, y del artículo 15, y de conformidad con estos.
2. La Comisión podrá decidir utilizar el IMI como el repositorio electrónico de enlaces contemplado en el artículo 19, apartado 1.
Artículo 36
Informes y revisión
A más tardar el 12 de diciembre de 2022 y, en lo sucesivo, cada dos años, la Comisión revisará la aplicación del presente Reglamento y presentará al Parlamento Europeo y al Consejo un informe de evaluación sobre el funcionamiento de la pasarela y sobre el funcionamiento del mercado interior, basándose en las estadísticas y las observaciones recogidas de conformidad con los artículos 24, 25 y 26. La revisión evaluará, en particular, el alcance del artículo 14 del presente Reglamento, teniendo en cuenta los avances tecnológicos, comerciales y jurídicos relativos al intercambio de pruebas entre autoridades competentes.
Artículo 37
Procedimiento de comité
1. La Comisión estará asistida por un comité. Dicho comité será un comité en el sentido del Reglamento (UE) n.o 182/2011.
2. En los casos en que se haga referencia al presente apartado, se aplicará el artículo 5 del Reglamento (UE) n.o 182/2011.
Artículo 38
Modificación del Reglamento (UE) n.o 1024/2012
El Reglamento (UE) n.o 1024/2012 se modifica como sigue:
1) |
El artículo 1 se sustituye por el texto siguiente: «Artículo 1 Objeto El presente Reglamento establece las normas de uso de un Sistema de Información del Mercado Interior (IMI), para la cooperación administrativa entre los agentes del IMI, incluido el tratamiento de los datos de carácter personal.». |
2) |
En el artículo 3, el apartado 1 se sustituye por el texto siguiente: «1. El IMI se utilizará para los intercambios de información, incluidos los datos de carácter personal, entre los agentes del IMI y para el tratamiento de esa información a efectos de:
|
3) |
En el artículo 5, el párrafo segundo se modifica como sigue:
|
4) |
En el artículo 8, apartado 1, se añade la letra siguiente:
|
5) |
En el artículo 9, el apartado 4 se sustituye por el texto siguiente: «4. Los Estados miembros, la Comisión y los órganos y organismos de la Unión facilitarán los medios adecuados para garantizar que se permita a los usuarios del IMI acceder a los datos de carácter personal tratados en el IMI solo cuando deban conocerlos y dentro de los ámbitos del mercado interior para los que cuenten con acceso conforme al apartado 3.». |
6) |
El artículo 21 se modifica como sigue:
|
7) |
En el artículo 29, se suprime el apartado 1. |
8) |
En el anexo, se añaden los puntos siguientes:
|
Artículo 39
Entrada en vigor
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El artículo 2, el artículo 4, los artículos 7 a 12, el artículo 16, el artículo 17, el artículo 18, apartados 1 a 4, el artículo 19, el artículo 20, el artículo 24, apartados 1, 2 y 3, el artículo 25, apartados 1 a 4, el artículo 26 y el artículo 27 serán de aplicación a partir del 12 de diciembre de 2020.
El artículo 6, el artículo 13, el artículo 14, apartados 1 a 8 y 10, y el artículo 15 serán de aplicación a partir del 12 de diciembre de 2023.
No obstante la fecha de aplicación de los artículos 2, 9, 10 y 11, las autoridades municipales pondrán a disposición la información, las explicaciones y las instrucciones a que se refieren dichos artículos a más tardar el 12 de diciembre de 2022.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Estrasburgo, el 2 de octubre de 2018.
Por el Parlamento Europeo
El Presidente
A. TAJANI
Por el Consejo
La presidenta
J. BOGNER-STRAUSS
(1) DO C 81 de 2.3.2018, p. 88.
(2) Posición del Parlamento Europeo de 13 de septiembre de 2018 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 27 de septiembre de 2018.
(3) Directiva 2006/123/CE del Parlamento Europeo y del Consejo, de 12 de diciembre de 2006, relativa a los servicios en el mercado interior (DO L 376 de 27.12.2006, p. 36).
(4) Reglamento (CE) n.o 764/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008, por el que se establecen procedimientos relativos a la aplicación de determinadas normas técnicas nacionales a los productos comercializados legalmente en otro Estado miembro y se deroga la Decisión n.o 3052/95/CE (DO L 218 de 13.8.2008, p. 21).
(5) Reglamento (UE) n.o 305/2011 del Parlamento Europeo y del Consejo, de 9 de marzo de 2011, por el que se establecen condiciones armonizadas para la comercialización de productos de construcción y se deroga la Directiva 89/106/CEE del Consejo (DO L 88 de 4.4.2011, p. 5).
(6) Directiva 2005/36/CE del Parlamento Europeo y del Consejo, de 7 de septiembre de 2005, relativa al reconocimiento de cualificaciones profesionales (DO L 255 de 30.9.2005, p. 22).
(7) Recomendación 2013/461/UE de la Comisión, de 17 de septiembre de 2013, sobre los principios por los que se rige SOLVIT (DO L 249 de 19.9.2013, p. 10).
(8) Directiva 2014/24/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, sobre contratación pública y por la que se deroga la Directiva 2004/18/CE (DO L 94 de 28.3.2014, p. 65).
(9) Directiva 2014/25/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, relativa a la contratación por entidades que operan en los sectores del agua, la energía, los transportes y los servicios postales y por la que se deroga la Directiva 2004/17/CE (DO L 94 de 28.3.2014, p. 243).
(10) Reglamento (UE) 2016/589 del Parlamento Europeo y del Consejo, de 13 de abril de 2016, relativo a una red europea de servicios de empleo (EURES), al acceso de los trabajadores a los servicios de movilidad y a la mayor integración de los mercados de trabajo y por el que se modifican los Reglamentos (UE) n.o 492/2011 y (UE) n.o 1296/2013 (DO L 107 de 22.4.2016, p. 1).
(11) Decisión 2001/470/CE del Consejo, de 28 de mayo de 2001, por la que se crea una Red Judicial Europea en materia civil y mercantil (DO L 174 de 27.6.2001, p. 25).
(12) Directiva 2014/67/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativa a la garantía de cumplimiento de la Directiva 96/71/CE, sobre el desplazamiento de trabajadores efectuado en el marco de una prestación de servicios, y por la que se modifica el Reglamento (UE) n.o 1024/2012 relativo a la cooperación administrativa a través del Sistema de Información del Mercado Interior («Reglamento IMI») (DO L 159 de 28.5.2014, p. 11).
(13) Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (DO L 257 de 28.8.2014, p. 73).
(14) Reglamento (CE) n.o 883/2004 del Parlamento Europeo y del Consejo, de 29 de abril de 2004, sobre la coordinación de los sistemas de seguridad social (DO L 166 de 30.4.2004, p. 1).
(15) Reglamento (CE) n.o 987/2009 del Parlamento Europeo y del Consejo, de 16 de septiembre de 2009, por el que se adoptan las normas de aplicación del Reglamento (CE) n.o 883/2004, sobre la coordinación de los sistemas de seguridad social (DO L 284 de 30.10.2009, p. 1).
(16) Directiva (UE) 2016/2102 del Parlamento Europeo y del Consejo, de 26 de octubre de 2016, sobre la accesibilidad de los sitios web y aplicaciones para dispositivos móviles de los organismos del sector público (DO L 327 de 2.12.2016, p. 1).
(17) Decisión 2010/48/CE del Consejo, de 26 de noviembre de 2009, relativa a la celebración, por parte de la Comunidad Europea, de la Convención de las Naciones Unidas sobre los derechos de las personas con discapacidad (DO L 23 de 27.1.2010, p. 35).
(18) Reglamento (UE) n.o 260/2012 del Parlamento Europeo y del Consejo, de 14 de marzo de 2012, por el que se establecen requisitos técnicos y empresariales para las transferencias y los adeudos domiciliados en euros, y se modifica el Reglamento (CE) n.o 924/2009 (DO L 94 de 30.3.2012, p. 22).
(19) Reglamento (UE) n.o 1024/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, relativo a la cooperación administrativa a través del Sistema de Información del Mercado Interior y por el que se deroga la Decisión 2008/49/CE de la Comisión («Reglamento IMI») (DO L 316 de 14.11.2012, p. 1).
(20) Reglamento (UE) 2016/1191 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, por el que se facilita la libre circulación de los ciudadanos simplificando los requisitos de presentación de determinados documentos públicos en la Unión Europea y por el que se modifica el Reglamento (UE) n.o 1024/2012 (DO L 200 de 26.7.2016, p. 1).
(21) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
(22) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se deroga el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (véase la página 39 del presente Diario Oficial).
(23) Reglamento (UE) n.o 1316/2013 del Parlamento Europeo y del Consejo, de 11 de diciembre de 2013, por el que se crea el Mecanismo «Conectar Europa», por el que se modifica el Reglamento (UE) n.o 913/2010 y por el que se derogan los Reglamentos (CE) n.o 680/2007 y (CE) n.o 67/2010 (DO L 348 de 20.12.2013, p. 129).
(24) Directiva (UE) 2017/1132 del Parlamento Europeo y del Consejo, de 14 de junio de 2017, sobre determinados aspectos del Derecho de sociedades (DO L 169 de 30.6.2017, p. 46).
(25) Reglamento (UE) 2015/848 del Parlamento Europeo y del Consejo, de 20 de mayo de 2015, sobre procedimientos de insolvencia (DO L 141 de 5.6.2015, p. 19).
(26) Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).
(27) Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y de información en la Unión (DO L 194 de 19.7.2016, p. 1).
(28) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).
(29) Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1).
ANEXO I
Lista de los ámbitos de información pertinentes para los ciudadanos y las empresas en el ejercicio de sus derechos en el mercado interior contemplados en el artículo 2, apartado 2, letra a)
Ámbitos de información relacionados con los ciudadanos:
Ámbito |
INFORMACIÓN RELATIVA A LOS DERECHOS, LAS OBLIGACIONES Y LAS NORMAS DERIVADOS DEL DERECHO DE LA UNIÓN Y NACIONAL |
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|
Ámbitos de información relacionados con las empresas:
Ámbito |
INFORMACIÓN RELATIVA A LOS DERECHOS, LAS OBLIGACIONES Y LAS NORMAS |
||||||||||||||||||||||||
|
|
||||||||||||||||||||||||
|
|
||||||||||||||||||||||||
|
|
||||||||||||||||||||||||
|
|
||||||||||||||||||||||||
|
|
||||||||||||||||||||||||
|
|
||||||||||||||||||||||||
|
|
||||||||||||||||||||||||
|
|
ANEXO II
Procedimientos contemplados en el artículo 6, apartado 1
Sucesos vitales |
Procedimientos |
Resultado esperado sujeto a un examen de la solicitud por la autoridad competente de conformidad con su Derecho nacional, cuando corresponda |
Nacimiento |
Solicitud de prueba de inscripción de nacimiento |
Prueba de inscripción de nacimiento o certificado de nacimiento |
Residencia |
Solicitud de prueba de residencia |
Confirmación de registro en el presente domicilio |
Estudios |
Solicitud de ayudas económicas para cursar estudios de educación superior, como becas o préstamos, presentada a un centro o institución públicos |
Decisión relativa a la solicitud de ayuda económica o acuse de recibo |
Presentación de una primera solicitud de admisión en una institución pública de educación superior |
Acuse de recibo de la solicitud |
|
Solicitud de reconocimiento académico de diplomas, certificados u otras pruebas de cursos completados |
Decisión relativa a la solicitud de reconocimiento |
|
Trabajo |
Solicitud de determinación de la legislación aplicable de conformidad con el título II del Reglamento (CE) n.o 883/2004 (1) |
Decisión sobre la legislación aplicable |
Notificación de cambios en las circunstancias personales o profesionales de la persona que recibe prestaciones de la seguridad social, cuando dichos cambios sean pertinentes a efectos de las citadas prestaciones |
Acuse de recibo de la notificación de dichos cambios |
|
Solicitud de tarjeta sanitaria europea (TSE) |
Tarjeta sanitaria europea (TSE) |
|
Presentación de una declaración de impuestos sobre la renta |
Acuse de recibo de la declaración |
|
Mudanza |
Registro de cambio de domicilio |
Confirmación de la baja del registro de la dirección anterior y de registro del nuevo domicilio |
Matriculación de vehículos de motor procedentes de un Estado miembro o ya matriculados en un Estado miembro, mediante procedimientos normalizados (2) |
Prueba de la matriculación de un vehículo de motor |
|
Obtención de distintivos para el uso de la infraestructura vial nacional: tasas de base temporal (viñetas), tasas basadas en la distancia (peajes) y distintivos de emisiones expedidos por un organismo público o una institución pública |
Recibo de distintivos para peajes o viñetas u otra prueba de pago |
|
Obtención de distintivos de emisiones expedidos por un organismo público o una institución pública |
Recibo de distintivos de emisiones u otra prueba de pago |
|
Jubilación |
Reclamación de pensiones y prestaciones de prejubilación a un régimen obligatorio |
Acuse de recibo de la reclamación o decisión relativa a la reclamación de pensiones o prestaciones de prejubilación |
Solicitud de información sobre los datos relativos a pensiones de regímenes obligatorios |
Declaración de datos personales de pensión |
|
Puesta en marcha, gestión y cierre de una empresa |
Notificación de actividades empresariales, permisos para ejercer una actividad empresarial, cambios de actividad empresarial y cese de una actividad empresarial sin procedimientos de insolvencia o liquidación, excluidos el registro inicial de una actividad empresarial en el registro mercantil y los procedimientos relativos a la constitución o cualquier presentación posterior de sociedades en el sentido del artículo 54, párrafo segundo, del TFUE |
Acuse de recibo de la notificación o el cambio, o bien de la solicitud de permiso de actividad empresarial |
Alta de un empleador (persona física) en sistemas obligatorios de pensiones y seguros |
Confirmación del alta o número de registro de la seguridad social |
|
Alta de empleados en sistemas obligatorios de pensiones y seguros |
Confirmación del alta o número de registro de la seguridad social |
|
Presentación de una declaración de impuesto sobre sociedades |
Acuse de recibo de la declaración |
|
Notificación a los regímenes de la seguridad social de la finalización del contrato de un empleado, con exclusión de los procedimientos de despido colectivo |
Acuse de recibo de la notificación |
|
Pago de las cotizaciones sociales de los empleados |
Recibo u otra forma de confirmación del pago de las cotizaciones sociales de los empleados |
(1) Reglamento (CE) n.o 883/2004 del Parlamento Europeo y del Consejo, de 29 de abril de 2004, sobre la coordinación de los sistemas de seguridad social (DO L 166 de 30.4.2004, p. 1).
(2) Incluye los siguientes vehículos: a) cualquier vehículo de motor o remolque, según el artículo 3 de la Directiva 2007/46/CE del Parlamento Europeo y del Consejo (DO L 263 de 9.10.2007, p. 1); y b) cualquier vehículo de motor de dos o tres ruedas, gemelas o no, destinado a circular por carretera, según el artículo 1 del Reglamento (UE) n.o 168/2013 del Parlamento Europeo y del Consejo (DO L 60 de 2.3.2013, p. 52).
ANEXO III
Lista de los servicios de asistencia y de resolución de problemas contemplados en el artículo 2, apartado 2, letra c)
1) |
Ventanillas únicas (1) |
2) |
Puntos de contacto de productos (2) |
3) |
Puntos de contacto de productos de construcción (3) |
4) |
Centros de asistencia nacionales para cualificaciones profesionales (4) |
5) |
Puntos de contacto nacionales de asistencia sanitaria transfronteriza (5) |
6) |
Red europea de servicios de empleo (EURES) (6) |
7) |
Resolución de litigios en línea (7) |
(1) Directiva 2006/123/CE del Parlamento Europeo y del Consejo, de 12 de diciembre de 2006, relativa a los servicios en el mercado interior (DO L 376 de 27.12.2006, p. 36).
(2) Reglamento (CE) n.o 764/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008, por el que se establecen procedimientos relativos a la aplicación de determinadas normas técnicas nacionales a los productos comercializados legalmente en otro Estado miembro y se deroga la Decisión n.o 3052/95/CE (DO L 218 de 13.8.2008, p. 21).
(3) Reglamento (UE) n.o 305/2011 del Parlamento Europeo y del Consejo, de 9 de marzo de 2011, por el que se establecen condiciones armonizadas para la comercialización de productos de construcción y se deroga la Directiva 89/106/CEE del Consejo (DO L 88 de 4.4.2011, p. 5).
(4) Directiva 2005/36/CE del Parlamento Europeo y del Consejo, de 7 de septiembre de 2005, relativa al reconocimiento de cualificaciones profesionales (DO L 255 de 30.9.2005, p. 22).
(5) Directiva 2011/24/UE del Parlamento Europeo y del Consejo, de 9 de marzo de 2011, relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza (DO L 88 de 4.4.2011, p. 45).
(6) Reglamento (UE) 2016/589 del Parlamento Europeo y del Consejo, de 13 de abril de 2016, relativo a una red europea de servicios de empleo (EURES), al acceso de los trabajadores a los servicios de movilidad y a la mayor integración de los mercados de trabajo y por el que se modifican los Reglamentos (UE) n.o 492/2011 y (UE) n.o 1296/2013 (DO L 107 de 22.4.2016, p. 1).
(7) Reglamento (UE) n.o 524/2013 del Parlamento Europeo y del Consejo, de 21 de mayo de 2013, sobre resolución de litigios en línea en materia de consumo y por el que se modifica el Reglamento (CE) n.o 2006/2004 y la Directiva 2009/22/CE (Reglamento sobre resolución de litigios en línea en materia de consumo) (DO L 165 de 18.6.2013, p. 1).
21.11.2018 |
ES |
Diario Oficial de la Unión Europea |
L 295/39 |
REGLAMENTO (UE) 2018/1725 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 23 de octubre de 2018
relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE
(Texto pertinente a efectos del EEE)
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 16, apartado 2,
Vista la propuesta de la Comisión Europea,
Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,
Visto el dictamen del Comité Económico y Social Europeo (1),
De conformidad con el procedimiento legislativo ordinario (2),
Considerando lo siguiente:
(1) |
La protección de las personas físicas en lo que respecta al tratamiento de los datos de carácter personal (datos personales) es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta») y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE) disponen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan. También el artículo 8 del Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales garantiza ese derecho. |
(2) |
El Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo (3) proporciona a las personas físicas unos derechos protegidos jurídicamente, especifica las obligaciones de los responsables del tratamiento dentro de las instituciones y los organismos de la Unión en materia de tratamiento de datos y crea una autoridad de control independiente, el Supervisor Europeo de Protección de Datos, responsable de la vigilancia de los tratamientos de datos personales efectuados por las instituciones y los organismos de la Unión. Sin embargo, no se aplica al tratamiento de datos personales en el ejercicio de una actividad de las instituciones y los organismos de la Unión no comprendida en el ámbito de aplicación del Derecho de la Unión. |
(3) |
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (4) y la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (5) fueron adoptados el 27 de abril de 2016. Mientras que el Reglamento establece normas generales para proteger a las personas físicas en lo que respecta al tratamiento de los datos personales y para facilitar la libre circulación de datos personales en la Unión, la Directiva establece normas específicas para proteger a las personas físicas en lo que respecta al tratamiento de los datos personales y para garantizar la libre circulación de datos personales en la Unión en el ámbito de la cooperación judicial en materia penal y en el de la cooperación policial. |
(4) |
El Reglamento (UE) 2016/679 dispone que se adapte el Reglamento (CE) n.o 45/2001 a fin de garantizar un marco sólido y coherente en materia de protección de datos en la Unión y permitir que pueda aplicarse al mismo tiempo que el Reglamento (UE) 2016/679. |
(5) |
Redunda en interés de un enfoque coherente de la protección de datos personales en la Unión y de la libre circulación de datos personales en la Unión, armonizar, en la medida de lo posible, las normas de protección de datos de las instituciones, órganos y organismos de la Unión con las adoptadas para el sector público en los Estados miembros. Cuando las disposiciones del presente Reglamento apliquen los mismos principios que las disposiciones del Reglamento (UE) 2016/679, según la jurisprudencia del Tribunal de Justicia de la Unión Europea (en lo sucesivo, «Tribunal de Justicia»), ambas deben interpretarse de manera homogénea, en particular porque debe entenderse que la estructura del presente Reglamento es equivalente a la del Reglamento (UE) 2016/679. |
(6) |
Se debe proteger a las personas cuyos datos personales son tratados por las instituciones y organismos de la Unión en cualquier contexto, por ejemplo, porque estas personas estén empleadas por dichas instituciones y organismos. El presente Reglamento no se aplica al tratamiento de datos personales de personas fallecidas. El presente Reglamento no regula el tratamiento de datos personales relativos a personas jurídicas y, en particular, a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto. |
(7) |
A fin de evitar que haya un grave riesgo de elusión, la protección de las personas físicas debe ser tecnológicamente neutra y no debe depender de las técnicas utilizadas. |
(8) |
El presente Reglamento se aplica al tratamiento de datos personales por parte de todas las instituciones, órganos y organismos de la Unión. Se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. Los ficheros o conjuntos de ficheros, así como sus portadas, que no estén estructurados con arreglo a criterios específicos, no deben entrar en el ámbito de aplicación del presente Reglamento. |
(9) |
En la Declaración n.o 21 relativa a la protección de datos de carácter personal en el ámbito de la cooperación judicial en materia penal y de la cooperación policial, anexa al acta final de la Conferencia Intergubernamental que adoptó el Tratado de Lisboa, la Conferencia reconoció que podrían requerirse normas específicas para la protección de datos de carácter personal y la libre circulación de dichos datos en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial que se basen en el artículo 16 del TFUE, en razón de la naturaleza específica de dichos ámbitos. Por ello, debe dedicarse un capítulo específico del presente Reglamento de normas generales al tratamiento de datos personales de carácter operativo (datos personales operativos), tales como los datos personales que, en el marco de investigaciones de infracciones, sean tratados por órganos u organismos de la Unión cuando lleven a cabo actividades en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial. |
(10) |
La Directiva (UE) 2016/680 establece normas armonizadas para la protección y libre circulación de los datos personales tratados con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención. A fin de garantizar el mismo nivel de protección de las personas físicas mediante derechos protegidos jurídicamente en toda la Unión y evitar divergencias que dificulten el intercambio de datos personales entre los órganos u organismos de la Unión cuando lleven a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE y las autoridades competentes, las normas para la protección y la libre circulación de los datos personales operativos tratados por dichos órganos u organismos de la Unión deben ser coherentes con la Directiva (UE) 2016/680. |
(11) |
Las normas generales del capítulo del presente Reglamento sobre el tratamiento de datos personales operativos deben aplicarse sin perjuicio de las normas especiales aplicables al tratamiento de datos personales operativos por parte de los órganos y organismos de la Unión cuando lleven a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE. Dichas normas especiales deben considerarse como lex specialis en relación con las disposiciones del capítulo del presente Reglamento relativo al tratamiento de datos personales operativos (lex specialis derogat legi generali). A fin de reducir la fragmentación jurídica, las normas especiales en materia de protección de datos aplicables al tratamiento de datos personales operativos por parte de los órganos y organismos de la Unión cuando lleven a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE deben ser coherentes con los principios en que se basa el capítulo del presente Reglamento sobre el tratamiento de datos personales operativos y con las disposiciones del presente Reglamento relativas a la supervisión independiente, los recursos, la responsabilidad y las sanciones. |
(12) |
El capítulo del presente Reglamento sobre el tratamiento de datos personales operativos debe aplicarse a los órganos y organismos de la Unión cuando lleven a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE, si ejercen tales actividades ya sea como tarea principal o accesoria, con fines de prevención, detección, investigación o enjuiciamiento de infracciones penales. No obstante, no debe aplicarse a Europol ni a la Fiscalía Europea hasta que se modifiquen los actos jurídicos que los establecen, a fin de que les sea aplicable, con sus adaptaciones, el capítulo del presente Reglamento sobre el tratamiento de datos personales operativos. |
(13) |
La Comisión debe llevar a cabo una revisión del presente Reglamento, en especial del capítulo sobre el tratamiento de datos personales operativos. Asimismo, la Comisión debe revisar otros actos jurídicos adoptados sobre la base de los Tratados que regulen el tratamiento de datos personales operativos por los órganos y organismos de la Unión cuando llevan a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE. Tras dicha revisión, a fin de garantizar la protección uniforme y coherente de las personas físicas en lo que respecta al tratamiento de los datos personales, la Comisión debe poder presentar las propuestas legislativas oportunas, en especial las adaptaciones que sean necesarias del capítulo del presente Reglamento sobre el tratamiento de datos personales operativos, a efectos de su aplicación a Europol y a la Fiscalía Europea,. Las adaptaciones deben tener en cuenta las disposiciones relativas a la supervisión independiente, los recursos, la responsabilidad y las sanciones. |
(14) |
El presente Reglamento debe incluir en su ámbito de aplicación el tratamiento de datos personales de carácter administrativo, por ejemplo los datos relativos al personal, por los órganos u organismos de la Unión que lleven a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE. |
(15) |
El presente Reglamento debe incluir en su ámbito de aplicación el tratamiento de datos personales por parte de las instituciones, órganos y organismos de la Unión que lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del Tratado de la Unión Europea (TUE). El presente Reglamento no debe incluir en su ámbito de aplicación el tratamiento de datos personales por parte de las misiones mencionadas en el artículo 42, apartado 1, y en los artículos 43 y 44 del TUE, que aplican la política común de seguridad y defensa. En su caso, se presentarán propuestas pertinentes para regular más el tratamiento de datos personales en el ámbito de la política común de seguridad y defensa. |
(16) |
Los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable. Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable. Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos. Por lo tanto, los principios de protección de datos no deben aplicarse a la información anónima, es decir, información que no guarda relación con una persona física identificada o identificable o datos convertidos en anónimos de forma que el interesado no sea identificable o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, ni siquiera con fines estadísticos o de investigación. |
(17) |
La aplicación de la seudonimización a los datos personales puede reducir los riesgos para los interesados afectados y ayudar a los responsables y a los encargados del tratamiento a cumplir sus obligaciones de protección de los datos. Así pues, la introducción explícita de la «seudonimización» en el presente Reglamento no pretende excluir ninguna otra medida relativa a la protección de los datos. |
(18) |
Las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» u otros identificadores, como etiquetas de identificación por radiofrecuencia. Esto puede dejar huellas que, en particular, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas. |
(19) |
El consentimiento debe prestarse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar el tratamiento de datos personales que le conciernen, como una declaración por escrito, también por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe prestarse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe prestarse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de prestar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta. Al mismo tiempo, el interesado debe tener derecho a revocar su consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su revocación. Para garantizar que el consentimiento se haya prestado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos personales en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento y sea por lo tanto improbable que el consentimiento se hubiese prestado libremente en todas las circunstancias de dicha situación particular. Con frecuencia no es posible determinar totalmente en el momento de su recogida la finalidad del tratamiento de los datos personales con fines de investigación científica. Por consiguiente, debe permitirse a los interesados prestar su consentimiento para determinados ámbitos de investigación científica que respeten las normas éticas reconocidas para la investigación científica. Los interesados deben tener la oportunidad de prestar su consentimiento solamente para determinados ámbitos de investigación o partes de proyectos de investigación, en la medida en que lo permita la finalidad perseguida. |
(20) |
Todo tratamiento de datos personales debe ser lícito y leal. Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y sobre los fines del tratamiento y a la información adicional para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Debe ponerse en conocimiento de las personas físicas los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales así como el modo de hacer valer sus derechos en relación con el tratamiento. En particular, los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida. Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación. Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica. Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos. Los datos personales deben tratarse de un modo que garantice una seguridad y confidencialidad adecuadas de los datos personales, también para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en su tratamiento, e impedir la revelación no autorizada de los datos durante su transmisión. |
(21) |
De conformidad con el principio de responsabilidad proactiva, cuando las instituciones y organismos de la Unión transmitan datos personales en el seno de la misma institución u organismo de la Unión y el destinatario no forme parte del responsable del tratamiento, o los transmitan a otras instituciones u organismos de la Unión, deben verificar si dichos datos personales son necesarios para el ejercicio legítimo de las funciones comprendidas en el ámbito de competencias del destinatario. En particular, tras la petición de transmisión de datos personales por parte de un destinatario, el responsable debe verificar la existencia de un motivo pertinente para el tratamiento lícito de los datos personales por su parte así como la competencia del destinatario. El responsable también debe efectuar una evaluación provisional de la necesidad de la transmisión de dichos datos. En caso de albergar dudas sobre tal necesidad, el responsable del tratamiento debe pedir al destinatario que aporte información complementaria. El destinatario debe garantizar la posibilidad de verificar posteriormente la necesidad de la transmisión de los datos. |
(22) |
Para que el tratamiento sea lícito, los datos personales deben ser tratados sobre la base de la necesidad del desempeño de una función realizada en interés público por parte de las instituciones y organismos de la Unión o en el ejercicio de sus potestades públicas, la necesidad de cumplir una obligación legal del responsable del tratamiento o sobre alguna otra base legítima con arreglo al presente Reglamento, incluido el consentimiento del interesado, la necesidad para el cumplimiento de un contrato en el que sea parte el interesado o con objeto de tomar medidas a instancia del interesado con anterioridad a la conclusión de un contrato. El tratamiento de datos personales efectuado a cargo de las instituciones y organismos de la Unión para el desempeño de funciones de interés público incluye el tratamiento de datos personales necesarios para la gestión y el funcionamiento de dichas instituciones y organismos. El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano. |
(23) |
La normativa de la Unión a la que se refiere el presente Reglamento debe ser clara y precisa y su aplicación previsible para quienes estén sujetos a ella, de conformidad con los requisitos establecidos en la Carta y en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales. |
(24) |
Las normas internas a las que se refiere el presente Reglamento deben constituir actos de aplicación general claros y precisos destinados a producir efectos jurídicos frente a los interesados. Deben adoptarse al nivel de gestión más elevado de las instituciones y organismos de la Unión, dentro de sus competencias y respecto de materias relacionadas con su funcionamiento. Deben publicarse en el Diario Oficial de la Unión Europea. La aplicación de dichas normas debe ser previsible para quienes estén sujetos a ellas, de conformidad con lo dispuesto en la Carta y en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales. Las normas internas pueden adoptar la forma de decisiones, en particular cuando sean adoptadas por instituciones de la Unión. |
(25) |
El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. En tal caso, no se requiere una base jurídica aparte, distinta de la que permitió la obtención de los datos personales. Si el tratamiento es necesario para el cumplimiento de una función realizada en interés público o en el ejercicio de potestades públicas conferidas al responsable del tratamiento, los cometidos y los fines para los cuales se debe considerar compatible y lícito el tratamiento ulterior se pueden determinar y especificar de acuerdo con el Derecho de la Unión. Las operaciones de tratamiento ulterior con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos deben considerarse operaciones de tratamiento lícitas compatibles. La base jurídica establecida en el Derecho de la Unión para el tratamiento de datos personales también puede servir de base jurídica para el tratamiento ulterior. Con objeto de determinar si el fin del tratamiento ulterior es compatible con el fin de la recogida inicial de los datos personales, el responsable del tratamiento, tras haber cumplido todos los requisitos para la licitud del tratamiento original, debe tener en cuenta, entre otras cosas: cualquier relación entre estos fines y los fines del tratamiento ulterior previsto; el contexto en el que se recogieron los datos, en particular, las expectativas razonables del interesado basadas en su relación con el responsable en cuanto a su uso posterior; la naturaleza de los datos personales; las consecuencias para los interesados del tratamiento ulterior previsto; y la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento ulterior prevista. |
(26) |
Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha prestado su consentimiento a la operación de tratamiento. En particular en el contexto de una declaración por escrito efectuada sobre otro asunto, debe haber garantías de que el interesado es consciente del hecho de que presta su consentimiento y de la medida en que lo hace. De acuerdo con la Directiva 93/13/CEE del Consejo (6), debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas. Para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o revocar su consentimiento sin sufrir perjuicio alguno. |
(27) |
Los niños merecen una protección específica de sus datos personales, ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales. Dicha protección específica debe aplicarse, en particular, a la elaboración de perfiles de personalidad y a la obtención de datos personales relativos a niños cuando se ofrezcan servicios directamente a un niño en los sitios web de las instituciones y organismos de la Unión, tales como los servicios de comunicación interpersonal o la venta por internet de entradas, y el tratamiento de los datos personales se base en el consentimiento. |
(28) |
Cuando los destinatarios establecidos en la Unión distintos de las instituciones y organismos de la Unión quieran que las instituciones y organismos de la Unión les transmitan datos personales, dichos destinatarios deben demostrar que la transmisión es necesaria para el ejercicio de sus funciones llevadas a cabo en interés público o bien para el ejercicio de las potestades públicas que tienen conferidas. Alternativamente, dichos destinatarios deberán demostrar que la transmisión es necesaria para una finalidad específica de interés público y el responsable del tratamiento debe determinar si existe alguna razón que permita suponer que se perjudicarán los intereses legítimos del interesado. En tales casos, el responsable del tratamiento debe ponderar de manera demostrable los diferentes intereses a fin de calcular la proporcionalidad de la transmisión de datos personales solicitada. Esa finalidad específica de interés público puede guardar relación con la transparencia de las instituciones y organismos de la Unión. Además, las instituciones y organismos de la Unión deben demostrar esta necesidad en el momento en que ellos mismos inicien la transmisión, con arreglo al principio de transparencia y buena administración. Debe entenderse que los requisitos establecidos en el presente Reglamento para las transmisiones a destinatarios establecidos en la Unión distintos de las instituciones y organismos de la Unión son complementarios a las condiciones para un tratamiento lícito. |
(29) |
Especial protección merecen los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales. Tales datos personales no deben ser objeto de tratamiento, salvo que se cumplan las condiciones específicas definidas en el presente Reglamento. Debe incluirse entre tales datos personales los datos de carácter personal que revelen el origen racial o étnico, entendiéndose que el uso del término «origen racial» en el presente Reglamento no implica la aceptación por parte de la Unión de teorías que traten de determinar la existencia de razas humanas separadas. El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física. Además de los requisitos específicos para el tratamiento de datos sensibles, deben aplicarse los principios generales y otras normas del presente Reglamento, sobre todo en lo que se refiere a las condiciones de licitud del tratamiento. Se deben establecer de forma explícita excepciones a la prohibición general de tratamiento de esas categorías especiales de datos personales, entre otras cosas cuando el interesado preste su consentimiento explícito o tratándose de necesidades específicas, en particular cuando el tratamiento sea realizado en el marco de actividades legítimas por determinadas asociaciones o fundaciones cuyo objetivo sea permitir el ejercicio de las libertades fundamentales. |
(30) |
Las categorías especiales de datos personales que merecen mayor protección deben tratarse con fines relacionados con la salud únicamente cuando sea necesario para lograr dichos fines en beneficio de las personas físicas y de la sociedad en su conjunto, en particular en el contexto de la gestión de los servicios y sistemas de asistencia social y sanitaria. Por tanto, el presente Reglamento debe establecer condiciones armonizadas para el tratamiento de categorías especiales de datos personales relativos a la salud, en relación con necesidades específicas, en particular si el tratamiento de esos datos lo realizan, con fines relacionados con la salud, personas sujetas a la obligación legal de secreto profesional. El Derecho de la Unión debe establecer medidas específicas y adecuadas para proteger los derechos fundamentales y los datos personales de las personas físicas. |
(31) |
El tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de interés público en el ámbito de la salud pública. Ese tratamiento debe estar sujeto a medidas adecuadas y específicas a fin de proteger los derechos y libertades de las personas físicas. En ese contexto, «salud pública» debe interpretarse según se define en el Reglamento (CE) n.o 1338/2008 del Parlamento Europeo y del Consejo (7), es decir, todos los elementos relacionados con la salud, concretamente el estado de salud, con inclusión de la morbilidad y la discapacidad, los determinantes que influyen en dicho estado de salud, las necesidades de asistencia sanitaria, los recursos asignados a la asistencia sanitaria, la puesta a disposición de asistencia sanitaria y el acceso universal a ella, así como los gastos y la financiación de la asistencia sanitaria, y las causas de mortalidad. Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que se traten los datos personales con otros fines. |
(32) |
Si los datos personales tratados por un responsable no le permiten identificar a una persona física, el responsable no debe estar obligado a obtener información adicional para identificar al interesado con la única finalidad de cumplir cualquier disposición del presente Reglamento. No obstante, el responsable del tratamiento no debe negarse a recibir información adicional facilitada por el interesado a fin de respaldarle en el ejercicio de sus derechos. La identificación debe incluir la identificación digital de un interesado, por ejemplo mediante un mecanismo de autenticación, como las mismas credenciales, empleadas por el interesado para abrir una sesión en el servicio en línea ofrecido por el responsable. |
(33) |
El tratamiento de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos debe estar supeditado a unas garantías adecuadas para los derechos y las libertades del interesado de conformidad con el presente Reglamento. Esas garantías deben asegurar que se aplican medidas técnicas y organizativas para que se observe, en particular, el principio de minimización de los datos. El tratamiento ulterior de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos ha de efectuarse cuando el responsable del tratamiento haya evaluado la viabilidad de cumplir esos fines mediante un tratamiento de datos que no permita identificar a los interesados, o que ya no lo permita, siempre que existan las garantías adecuadas (como, por ejemplo, la seudonimización de datos). Las instituciones y organismos de la Unión deben establecer garantías adecuadas para el tratamiento de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos en el Derecho de la Unión, garantías que pueden incluir normas internas adoptadas por las instituciones y organismos de la Unión en cuestiones relacionadas con su funcionamiento. |
(34) |
Deben arbitrarse fórmulas para facilitar al interesado el ejercicio de sus derechos en virtud del presente Reglamento, incluidos los mecanismos para solicitar y, en su caso, obtener de forma gratuita, en particular, el acceso a los datos personales y su rectificación o supresión, así como el ejercicio del derecho de oposición. El responsable del tratamiento también debe proporcionar medios para que las solicitudes se presenten por medios electrónicos, en particular cuando los datos personales se tratan por medios electrónicos. El responsable del tratamiento debe estar obligado a responder a las solicitudes del interesado sin dilación indebida y a más tardar en el plazo de un mes, y a explicar sus motivos en caso de que no fuera a atenderlas. |
(35) |
Los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de la operación de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales. Se debe además informar al interesado de la existencia de la elaboración de perfiles y de las consecuencias de dicha elaboración. Si los datos personales se obtienen de los interesados, también se les debe informar de si están obligados a proporcionarlos y de las consecuencias en caso de que no lo hicieran. Dicha información puede proporcionarse en combinación con unos iconos normalizados que ofrezcan, de forma fácilmente visible, inteligible y claramente legible, una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presentan en formato electrónico deben ser legibles mecánicamente. |
(36) |
Se debe facilitar a los interesados la información sobre el tratamiento de sus datos personales en el momento en que se obtengan de ellos o, si se obtienen de otra fuente, en un plazo razonable, dependiendo de las circunstancias del caso. Si los datos personales pueden ser comunicados legítimamente a otro destinatario, se debe informar al interesado en el momento en que se comunican al destinatario por primera vez. El responsable del tratamiento que proyecte tratar los datos para un fin que no sea aquel para el que se recogieron debe proporcionar al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y otra información necesaria. Cuando el origen de los datos personales no pueda facilitarse al interesado por haberse utilizado varias fuentes, debe facilitarse información general. |
(37) |
Los interesados deben tener derecho a acceder a los datos personales recogidos que les conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento. Ello incluye el derecho de los interesados a acceder a datos relativos a la salud, por ejemplo los datos de sus historias clínicas que contengan información como diagnósticos, resultados de exámenes, evaluaciones de facultativos y cualesquiera tratamientos o intervenciones practicadas. Todo interesado debe, por tanto, tener el derecho a conocer y a que se le comuniquen, en particular, los fines para los que se tratan los datos personales, su plazo de tratamiento, sus destinatarios, la lógica implícita en todo tratamiento automático de datos personales y, por lo menos cuando se base en la elaboración de perfiles, las consecuencias de dicho tratamiento. Este derecho no debe afectar negativamente a los derechos y libertades de terceros, incluidos los secretos comerciales o la propiedad intelectual y, en particular, los derechos de propiedad intelectual que protegen programas informáticos. No obstante, estas consideraciones no deben tener como resultado la negativa a prestar toda la información al interesado. Si trata una gran cantidad de información relativa al interesado, el responsable del tratamiento debe estar facultado para solicitar que, antes de facilitarse la información, el interesado especifique la información o actividades de tratamiento a que se refiere la solicitud. |
(38) |
Los interesados deben tener derecho a que se rectifiquen los datos personales que le conciernen y un «derecho al olvido» si la retención de tales datos infringe el presente Reglamento o el Derecho de la Unión aplicable al responsable del tratamiento. Los interesados deben tener derecho a que sus datos personales se supriman y dejen de tratarse si ya no son necesarios para los fines para los que fueron recogidos o tratados de otro modo, si los interesados han revocado su consentimiento para el tratamiento o se oponen al tratamiento de datos personales que les conciernen, o si el tratamiento de sus datos personales incumple de otro modo el presente Reglamento. Este derecho es importante en particular si el interesado prestó su consentimiento siendo niño y no se es plenamente consciente de los riesgos que implica el tratamiento, y más tarde quiere suprimir tales datos personales, especialmente en internet. El interesado debe poder ejercer este derecho aunque ya no sea un niño. Sin embargo, la retención ulterior de los datos personales debe ser lícita cuando sea necesaria para el ejercicio de la libertad de expresión e información, para el cumplimiento de una obligación legal, para el cumplimiento de una función realizada en interés público o en el ejercicio de potestades públicas conferidas al responsable del tratamiento, por razones de interés público en el ámbito de la salud pública, con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, o para la formulación, el ejercicio o la defensa de reclamaciones. |
(39) |
A fin de reforzar el «derecho al olvido» en el entorno en línea, el derecho de supresión debe ampliarse de tal forma que el responsable del tratamiento que haya hecho públicos datos personales esté obligado a indicar a los responsables del tratamiento que estén tratando tales datos personales que supriman todo enlace a ellos, o las copias o réplicas de tales datos. Al proceder así, dicho responsable debe tomar medidas razonables, teniendo en cuenta la tecnología y los medios a su disposición, incluidas las medidas técnicas, para informar de la solicitud del interesado a los responsables que estén tratando los datos personales. |
(40) |
Entre los métodos para limitar el tratamiento de datos personales cabría incluir los consistentes en trasladar temporalmente los datos seleccionados a otro sistema de tratamiento, en impedir el acceso de usuarios a los datos personales seleccionados o en retirar temporalmente los datos publicados de un sitio internet. En los ficheros automatizados la limitación del tratamiento debe realizarse, en principio, por medios técnicos, de forma que los datos personales no sean objeto de operaciones de tratamiento ulterior ni puedan modificarse. El hecho de que el tratamiento de los datos personales esté limitado debe indicarse claramente en el sistema. |
(41) |
Para reforzar aún más el control sobre sus propios datos, cuando el tratamiento de los datos personales se efectúe por medios automatizados, debe permitirse asimismo que los interesados que hubieran facilitado datos personales que les conciernan a un responsable del tratamiento los reciban en un formato estructurado, de uso común, de lectura mecánica e interoperable, y los transmitan a otro responsable del tratamiento. Debe alentarse a los responsables a crear formatos interoperables que permitan la portabilidad de datos. Dicho derecho debe aplicarse cuando el interesado haya facilitado los datos personales prestando su consentimiento o cuando el tratamiento sea necesario para el cumplimiento de un contrato. Por lo tanto, no debe aplicarse, cuando el tratamiento de los datos personales sea necesario para cumplir una obligación legal aplicable al responsable o para el cumplimiento de una función realizada en interés público o en el ejercicio de potestades públicas conferidas al responsable. El derecho del interesado a transmitir o recibir datos personales que lo conciernan no debe obligar al responsable a adoptar o mantener sistemas de tratamiento que sean técnicamente compatibles. Cuando un conjunto de datos personales determinado concierna a más de un interesado, el derecho a recibir tales datos se debe entender sin menoscabo de los derechos y libertades de otros interesados de conformidad con el presente Reglamento. Por otra parte, ese derecho no debe menoscabar el derecho del interesado a obtener la supresión de los datos personales y las limitaciones de ese derecho recogidas en el presente Reglamento, y en particular no debe implicar la supresión de los datos personales concernientes al interesado que este haya facilitado para el cumplimiento de un contrato, en la medida y durante el tiempo en que los datos personales sean necesarios para el cumplimiento de dicho contrato. El interesado debe tener derecho a que los datos personales se transmitan directamente de un responsable del tratamiento a otro, cuando sea técnicamente posible. |
(42) |
En los casos en que los datos personales puedan ser tratados lícitamente porque el tratamiento es necesario para el cumplimiento de una función realizada en interés público o en el ejercicio de potestades públicas conferidas al responsable del tratamiento, el interesado debe, sin embargo, tener derecho a oponerse al tratamiento de cualquier dato personal relativo a su situación particular. Debe ser el responsable el que demuestre que sus intereses legítimos imperiosos prevalecen sobre los intereses o los derechos y las libertades fundamentales del interesado. |
(43) |
El interesado debe tener derecho a no ser objeto de una decisión, que puede incluir una medida, que evalúe aspectos personales relativos a él, y que se base únicamente en el tratamiento automatizado y produzca efectos jurídicos en él o le afecte significativamente de modo similar, como los servicios de contratación en red en los que no medie intervención humana alguna. Este tipo de tratamiento incluye la elaboración de perfiles consistente en cualquier forma de tratamiento automatizado de los datos personales que evalúe aspectos personales relativos a una persona física, en particular para analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado, en la medida en que produzca efectos jurídicos en él o le afecte significativamente de modo similar. Sin embargo, se deben permitir las decisiones basadas en tal tratamiento, incluida la elaboración de perfiles, si lo autoriza expresamente el Derecho de la Unión. En cualquier caso, dicho tratamiento debe estar sujeto a las garantías apropiadas, entre las que se deben incluir la información específica al interesado y el derecho a obtener intervención humana, a expresar su punto de vista, a recibir una explicación de la decisión tomada después de tal evaluación y a impugnar la decisión. Tal medida no debe afectar a un menor. A fin de garantizar un tratamiento leal y transparente respecto del interesado, teniendo en cuenta las circunstancias y el contexto específicos en los que se tratan los datos personales, el responsable del tratamiento debe utilizar procedimientos matemáticos o estadísticos adecuados para la elaboración de perfiles, aplicar medidas técnicas y organizativas apropiadas para garantizar, en particular, que se corrigen los factores que introducen inexactitudes en los datos personales y se reduce al máximo el riesgo de error, asegurar los datos personales de forma que se tengan en cuenta los posibles riesgos para los intereses y derechos del interesado e impedir, entre otras cosas, efectos discriminatorios en las personas físicas por motivos de raza u origen étnico, opiniones políticas, religión o creencias, afiliación sindical, condición genética o estado de salud u orientación sexual, o tratamiento que dé lugar a medidas que produzcan tal efecto. Las decisiones automatizadas y la elaboración de perfiles sobre la base de categorías particulares de datos personales únicamente deben permitirse en condiciones específicas. |
(44) |
Los actos jurídicos adoptados con arreglo a los Tratados o las normas internas adoptadas por las instituciones y organismos de la Unión en cuestiones relacionadas con su funcionamiento pueden imponer limitaciones a determinados principios y a los derechos de información, acceso, rectificación o supresión de datos personales, al derecho a la portabilidad de los datos, a la confidencialidad de las comunicaciones electrónicas así como a la comunicación de una violación de la seguridad de los datos personales a un interesado y a determinadas obligaciones conexas de los responsables del tratamiento, en la medida en que sea necesario y proporcionado en una sociedad democrática para salvaguardar la seguridad pública y para la prevención, investigación y enjuiciamiento de infracciones penales o la ejecución de sanciones penales. Se incluye en lo anterior la protección frente a las amenazas contra la seguridad pública, la protección de la vida humana, especialmente en respuesta a catástrofes naturales o de origen humano, la seguridad interna de las instituciones y organismos de la Unión, otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular los objetivos de la política exterior y de seguridad común de la Unión o un importante interés económico o financiero de la Unión o de un Estado miembro, y el mantenimiento de registros públicos por razones de interés público general o la protección del interesado o de los derechos y libertades de terceros, incluida la protección social, la salud pública y los fines humanitarios. |
(45) |
Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas físicas. |
(46) |
Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular: en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen el origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas; en los casos en los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales; en los casos en los que se traten datos personales de personas vulnerables, en particular niños; o en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados. |
(47) |
La probabilidad y la gravedad del riesgo para los derechos y las libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto. |
(48) |
La protección de los derechos y las libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del presente Reglamento. A fin de poder demostrar la conformidad con este, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan, en particular, los principios de protección de datos desde el diseño y por defecto. Dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad. Los principios de la protección de datos desde el diseño y por defecto también deben tenerse en cuenta en el contexto de los contratos públicos. |
(49) |
El Reglamento (UE) 2016/679 establece que los responsables del tratamiento de datos demuestren el cumplimiento mediante la adhesión a mecanismos de certificación aprobados. Del mismo modo, las instituciones y organismos de la Unión deben poder demostrar el cumplimiento de lo dispuesto en el presente Reglamento mediante la obtención de una certificación de conformidad con el artículo 42 del Reglamento (UE) 2016/679. |
(50) |
La protección de los derechos y las libertades de los interesados, así como la responsabilidad de los responsables y encargados del tratamiento, requieren una atribución clara de las responsabilidades en virtud del presente Reglamento, incluidos los casos en los que un responsable determine los fines y medios del tratamiento de forma conjunta con otros responsables, o en los que el tratamiento se lleve a cabo por cuenta de un responsable. |
(51) |
Para garantizar el cumplimiento de las disposiciones del presente Reglamento respecto del tratamiento que lleve a cabo el encargado por cuenta del responsable, este, al encomendar actividades de tratamiento a un encargado, debe recurrir únicamente a encargados que ofrezcan suficientes garantías, en particular en lo que respecta a conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del presente Reglamento, incluida la seguridad del tratamiento. La adhesión de encargados distintos de las instituciones y organismos de la Unión a un código de conducta aprobado o a un mecanismo de certificación aprobado puede servir de elemento para demostrar el cumplimiento de las obligaciones por parte del responsable. El tratamiento por un encargado distinto de las instituciones y organismos de la Unión debe regirse por un contrato o, en caso de que el encargado sea una institución u organismo de la Unión, otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros que vincule al encargado con el responsable, que fije el objeto y la duración del tratamiento, la naturaleza y fines del tratamiento, el tipo de datos personales y las categorías de interesados, habida cuenta de las funciones y responsabilidades específicas del encargado en el contexto del tratamiento que ha de llevarse a cabo y del riesgo para los derechos y las libertades del interesado. El responsable y el encargado deben tener la posibilidad de optar por basarse en un contrato individual o en cláusulas contractuales tipo que adopte directamente la Comisión o el Supervisor Europeo de Protección de Datos y posteriormente la Comisión. Una vez finalizado el tratamiento por cuenta del responsable, el encargado debe, a elección de aquel, devolver o suprimir los datos personales, salvo que el Derecho de la Unión o de los Estados miembros aplicable al encargado del tratamiento obligue a conservar dichos datos. |
(52) |
Para demostrar la conformidad con el presente Reglamento, los responsables del tratamiento deben mantener registros de las actividades de tratamiento bajo su responsabilidad y los encargados del tratamiento deben mantener registros de las categorías de actividades de tratamiento bajo su responsabilidad. Las instituciones y organismos de la Unión están obligados a cooperar con el Supervisor Europeo de Protección de Datos y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento. Salvo que no sea adecuado habida cuenta del tamaño de una institución u organismo de la Unión, las instituciones y organismos de la Unión deben tener la posibilidad de establecer un archivo central de información de sus actividades de tratamiento. Por razones de transparencia, deben tener la posibilidad de hacerlo público. |
(53) |
A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales. |
(54) |
Las instituciones y organismos de la Unión deben garantizar la confidencialidad de las comunicaciones electrónicas con arreglo al artículo 7 de la Carta. En particular, las instituciones y organismos de la Unión deben garantizar la seguridad de sus redes de comunicación electrónica. Deben proteger la información relativa a los equipos terminales de los usuarios que acceden a los contenidos públicos de sus sitios web y a sus aplicaciones para móviles disponibles al público, de conformidad con la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (8). También deben proteger los datos personales almacenados en las guías de usuarios. |
(55) |
Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales podrían entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas. Por consiguiente, tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, debe, sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, notificar dicha violación de la seguridad de los datos personales al Supervisor Europeo de Protección de Datos, a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas. Si dicha notificación no es posible en el plazo de 72 horas, debe acompañarse de una indicación de los motivos de la dilación, pudiendo facilitarse información por fases sin más dilación indebida. Si dicha dilación está justificada, se debe dar a conocer, tan pronto como sea posible, información menos sensible o menos específica acerca de la violación, en lugar de solucionar totalmente el incidente subyacente antes de notificarlo. |
(56) |
El responsable del tratamiento debe comunicar al interesado sin dilación indebida la violación de la seguridad de los datos personales en caso de que pueda entrañar un alto riesgo para sus derechos y libertades, y permitirle tomar las precauciones necesarias. La comunicación debe describir la naturaleza de la violación de la seguridad de los datos personales y las recomendaciones para que la persona física afectada mitigue los potenciales efectos adversos resultantes de la violación. Dichas comunicaciones a los interesados deben realizarse tan pronto como sea razonablemente posible y en estrecha cooperación con el Supervisor Europeo de Protección de Datos, siguiendo sus orientaciones o las de otras autoridades competentes, como las autoridades policiales. |
(57) |
El Reglamento (CE) n.o 45/2001 establece la obligación general del responsable del tratamiento de notificar el tratamiento de datos personales al delegado de protección de datos. Salvo que no sea adecuado habida cuenta del tamaño de la institución u organismo de la Unión, el delegado de protección de datos debe mantener un registro de las operaciones de tratamiento que se le notifiquen. Además de esta obligación general, deben establecerse procedimientos y mecanismos eficaces para efectuar un seguimiento de las operaciones de tratamiento que, por su naturaleza, alcance, contexto y fines, entrañen probablemente un alto riesgo para los derechos y libertades de las personas físicas. Estos procedimientos deben establecerse también, en particular, cuando los tipos de operaciones de tratamiento impliquen el uso de nuevas tecnologías o sean de una nueva clase en relación con la cual el responsable del tratamiento no haya realizado previamente una evaluación de impacto relativa a la protección de datos o si resultan necesarias habida cuenta del tiempo transcurrido desde el tratamiento inicial. En tales casos, el responsable debe llevar a cabo, antes del tratamiento, una evaluación de impacto relativa a la protección de datos con el fin de valorar la gravedad y probabilidad concretas del alto riesgo, teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo. Dicha evaluación de impacto debe incluir, en particular, las medidas, garantías y mecanismos previstos para mitigar el riesgo, garantizar la protección de los datos personales y demostrar la conformidad con el presente Reglamento. |
(58) |
Debe consultarse al Supervisor Europeo de Protección de Datos antes de iniciar las actividades de tratamiento si una evaluación de impacto relativa a la protección de datos muestra que, en ausencia de garantías, medidas y mecanismos de seguridad destinados a mitigar los riesgos, el tratamiento entrañaría un alto riesgo para los derechos y libertades de las personas físicas, y el responsable del tratamiento considera que el riesgo no puede mitigarse con medidas razonables en términos de tecnología disponible y costes de aplicación. Existe la probabilidad de que ese alto riesgo se deba a determinados tipos de tratamiento y al alcance y frecuencia de este, lo que también podría ocasionar daños y perjuicios o una injerencia en los derechos y libertades de la persona física. El Supervisor Europeo de Protección de Datos debe responder a la solicitud de consulta dentro de un plazo determinado. Sin embargo, la ausencia de respuesta del Supervisor Europeo de Protección de Datos dentro de dicho plazo no debe obstar a cualquier intervención de dicho Supervisor basada en las funciones y potestades que le atribuye el presente Reglamento, incluido el poder de prohibir operaciones de tratamiento. Como parte de dicho proceso de consulta, debería poder presentarse al Supervisor Europeo de Protección de Datos el resultado de una evaluación de impacto relativa a la protección de datos efectuada en relación con el tratamiento en cuestión, en particular las medidas previstas para mitigar los riesgos para los derechos y las libertades de las personas físicas. |
(59) |
El Supervisor Europeo de Protección de Datos debe ser informado acerca de las medidas administrativas y consultado sobre las normas internas adoptadas por las instituciones y organismos de la Unión en cuestiones relacionadas con el funcionamiento de estos cuando dispongan el tratamiento de datos personales, establezcan condiciones para limitar los derechos de los interesados u ofrezcan garantías para los derechos de este, a fin de garantizar que el tratamiento previsto sea conforme con el presente Reglamento, en particular, en lo relativo a mitigar los riesgos que implique para el interesado. |
(60) |
El Reglamento (UE) 2016/679 estableció el Comité Europeo de Protección de Datos como organismo independiente de la Unión dotado de personalidad jurídica. El Comité debe contribuir a la aplicación coherente del Reglamento (UE) 2016/679 y la Directiva (UE) 2016/680 en toda la Unión, entre otras cosas, asesorando a la Comisión. Al mismo tiempo, el Supervisor Europeo de Protección de Datos seguirá ejerciendo sus funciones supervisoras y consultivas respecto a todas las instituciones y organismos de la Unión, por iniciativa propia o a petición. A fin de garantizar la coherencia de las normas de protección de datos en toda la Unión, al elaborar propuestas o recomendaciones, la Comisión debe esforzarse por consultar con el Supervisor Europeo de Protección de Datos. La Comisión debe llevar a cabo consultas de manera obligatoria tras la adopción de actos legislativos o durante la preparación de actos delegados y actos de ejecución, tal como se define en los artículos 289, 290 y 291 del TFUE, y tras la adopción de recomendaciones y propuestas relativas a acuerdos con terceros países y organizaciones internacionales, con arreglo al artículo 218 del TFUE que repercutan en el derecho a la protección de los datos personales. En estos casos, la Comisión debe estar obligada a consultar al Supervisor Europeo de Protección de Datos, excepto cuando el Reglamento (UE) 2016/679 prevea una consulta obligatoria del Comité Europeo de Protección de Datos, por ejemplo, sobre decisiones de adecuación o actos delegados relativos a iconos normalizados y requisitos para los mecanismos de certificación. Cuando dicho acto sea de especial importancia para la protección de los derechos y libertades de las personas físicas en relación con el tratamiento de datos personales, la Comisión debe tener la posibilidad de consultar, además, al Comité Europeo de Protección de Datos. En estos casos, el Supervisor Europeo de Protección de Datos debe, como miembro del Comité Europeo de Protección de Datos, coordinar su trabajo con este último a fin de emitir un dictamen conjunto. El Supervisor Europeo de Protección de Datos y, si procede, el Comité Europeo de Protección de Datos deben ofrecer su asesoramiento escrito en un plazo de ocho semanas. El plazo debe ser más corto en casos de urgencia o cuando se considere conveniente por otro motivo, por ejemplo, cuando la Comisión esté preparando actos delegados y de ejecución. |
(61) |
De conformidad con el artículo 75 del Reglamento (UE) 2016/679, el Supervisor Europeo de Protección de Datos debe hacerse cargo de la secretaría del Comité Europeo de Protección de Datos. |
(62) |
En todas las instituciones y organismos de la Unión, el delegado de protección de datos debe velar por que se aplique lo dispuesto en el presente Reglamento y asesorar a los responsables y encargados del tratamiento en el ejercicio de sus obligaciones. El delegado debe ser una persona con conocimientos especializados de la normativa y práctica en materia de protección de datos, que se deben determinar, en particular, en función de las operaciones de tratamiento de datos que lleven a cabo el responsable o el encargado y de la protección exigida para los datos personales tratados. Los delegados de protección de datos deben estar en condiciones de desempeñar sus funciones y tareas con independencia. |
(63) |
Si los datos personales se transfieren de las instituciones y organismos de la Unión a responsables, encargados u otros destinatarios en terceros países o a organizaciones internacionales, debe respetarse el nivel de protección de las personas físicas garantizado en la Unión por el presente Reglamento. Se deben aplicar las mismas garantías en caso de transferencias ulteriores de datos personales desde el tercer país u organización internacional a responsables y encargados en el mismo u otro tercer país u organización internacional. En todo caso, las transferencias a terceros países y organizaciones internacionales solo pueden llevarse a cabo de plena conformidad con el presente Reglamento y respetando los derechos y las libertades fundamentales establecidos en la Carta. Una transferencia solo podría tener lugar si, a reserva de las demás disposiciones del presente Reglamento, el responsable o encargado cumple las disposiciones del presente Reglamento relativas a la transferencia de datos personales a terceros países u organizaciones internacionales. |
(64) |
La Comisión puede decidir, con arreglo al artículo 45 del Reglamento (UE) 2016/679 o al artículo 36 de la Directiva (UE) 2016/680, que un tercer país, un territorio o sector específico en un tercer país o una organización internacional ofrece un nivel de protección de datos adecuado. En estos casos, las instituciones y organismos de la Unión pueden realizar transferencias de datos personales a estos países u organizaciones internacionales sin que se requiera obtener otro tipo de autorización. |
(65) |
En ausencia de una decisión por la que se constate la adecuación de la protección de los datos, el responsable o el encargado del tratamiento deben tomar medidas para compensar la falta de protección de datos en un tercer país mediante garantías adecuadas para el interesado. Tales garantías adecuadas pueden consistir en el recurso a cláusulas tipo de protección de datos adoptadas por la Comisión o por el Supervisor Europeo de Protección de Datos, o a cláusulas contractuales autorizadas por este último. Cuando el encargado del tratamiento no es una institución u organismo de la Unión, dichas garantías adecuadas pueden consistir en normas corporativas vinculantes, códigos de conducta y mecanismos de certificación utilizados para realizar transferencias internacionales de conformidad con el Reglamento (UE) 2016/679. Esas garantías deben asegurar la observancia de requisitos de protección de datos y derechos de los interesados adecuados al tratamiento dentro de la Unión, incluida la disponibilidad por parte de los interesados de derechos exigibles y de acciones legales efectivas, lo que incluye el derecho a obtener una reparación administrativa o judicial efectiva y a reclamar una indemnización, en la Unión o en un tercer país. En particular, deben referirse al cumplimiento de los principios generales relativos al tratamiento de los datos personales y los principios de la protección de datos desde el diseño y por defecto. Las transferencias también pueden realizarlas instituciones y organismos de la Unión a entidades o autoridades públicas de terceros países o a organizaciones internacionales con competencias o funciones correspondientes, igualmente sobre la base de disposiciones incorporadas a acuerdos administrativos, como un memorando de entendimiento, que reconozcan derechos exigibles y efectivos a los interesados. Si las garantías figuran en acuerdos administrativos que no sean jurídicamente vinculantes se debe recabar la autorización del Supervisor Europeo de Protección de Datos. |
(66) |
La posibilidad de que el responsable o el encargado del tratamiento recurran a cláusulas tipo de protección de datos adoptadas por la Comisión o el Supervisor Europeo de Protección de Datos no debe obstar a que los responsables o encargados incluyan las cláusulas tipo de protección de datos en un contrato más amplio, como un contrato entre dos encargados, o a que añadan otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, las cláusulas contractuales tipo adoptadas por la Comisión o por el Supervisor Europeo de Protección de Datos, ni mermen los derechos o las libertades fundamentales de los interesados. Se debe alentar a los responsables y encargados del tratamiento a ofrecer garantías adicionales mediante compromisos contractuales que complementen las cláusulas tipo de protección de datos. |
(67) |
Algunos terceros países adoptan leyes, reglamentaciones y otros actos jurídicos con los que se pretende regular directamente las actividades de tratamiento de las instituciones y organismos de la Unión. Esto puede incluir sentencias de órganos jurisdiccionales o decisiones de autoridades administrativas de terceros países que obliguen a un responsable o un encargado del tratamiento a transferir o comunicar datos personales, y que no se basen en un acuerdo internacional en vigor entre el tercer país requirente y la Unión. La aplicación extraterritorial de dichas leyes, reglamentaciones y otros actos jurídicos puede ser contraria al Derecho internacional e impedir la protección de las personas físicas garantizada en la Unión en virtud del presente Reglamento. Las transferencias solo deben autorizarse cuando se cumplan las condiciones del presente Reglamento relativas a las transferencias a terceros países. Tal puede ser el caso, entre otros, cuando la comunicación sea necesaria por una razón importante de interés público reconocida por el Derecho de la Unión. |
(68) |
Se debe establecer la posibilidad en situaciones concretas de realizar transferencias en determinadas circunstancias, de mediar el consentimiento explícito del interesado, si la transferencia es ocasional y necesaria en relación con un contrato o una reclamación, independientemente de tratarse de un procedimiento judicial o un procedimiento administrativo o extrajudicial, incluidos los procedimientos ante organismos reguladores. También se debe establecer la posibilidad de realizar transferencias cuando así lo requieran razones importantes de interés público establecidas por el Derecho de la Unión, o cuando la transferencia se haga a partir de un registro establecido por ley y se destine a consulta por el público o por personas que tengan un interés legítimo. En este último caso la transferencia no debe afectar a la totalidad de los datos personales o de las categorías de datos incluidos en el registro, a menos que lo autorice el Derecho de la Unión, y, cuando el registro esté destinado a su consulta por personas que tengan un interés legítimo, la transferencia solo debe efectuarse a petición de dichas personas o, si estas van a ser las destinatarias, teniendo plenamente en cuenta los intereses y los derechos fundamentales del interesado. |
(69) |
Dichas excepciones deben aplicarse en particular a las transferencias de datos requeridas y necesarias por razones importantes de interés público, por ejemplo en caso de intercambios internacionales de datos entre las instituciones y organismos de la Unión y autoridades en el ámbito de la competencia, administraciones fiscales o aduaneras, autoridades de supervisión financiera y servicios competentes en materia de seguridad social o de sanidad pública, por ejemplo en caso de contactos destinados a localizar enfermedades contagiosas o para reducir y/o eliminar el dopaje en el deporte. La transferencia de datos personales también debe considerarse lícita en caso de que sea necesaria para proteger un interés esencial para los intereses vitales del interesado o de otra persona, incluida la integridad física o la vida, si el interesado no está en condiciones de prestar su consentimiento. En ausencia de una decisión de adecuación, el Derecho de la Unión puede limitar expresamente, por razones importantes de interés público, la transferencia de categorías específicas de datos a un tercer país o a una organización internacional. Puede considerarse necesaria, por una razón importante de interés público o por ser de interés vital para el interesado, toda transferencia a una organización internacional humanitaria de datos personales de un interesado que no tenga capacidad física o jurídica para prestar su consentimiento, con el fin de desempeñar un cometido basado en las Convenciones de Ginebra o de conformarse al Derecho internacional humanitario aplicable en caso de conflictos armados. |
(70) |
En cualquier caso, cuando la Comisión no haya tomado ninguna decisión sobre el nivel adecuado de la protección de datos en un tercer país, el responsable o el encargado del tratamiento deben arbitrar soluciones que garanticen a los interesados derechos exigibles y efectivos con respecto al tratamiento de sus datos en la Unión, una vez transferidos estos, de forma que sigan beneficiándose de derechos fundamentales y garantías. |
(71) |
Cuando los datos personales circulan a través de las fronteras hacia el exterior de la Unión se puede poner en mayor riesgo la capacidad de las personas físicas para ejercer los derechos de protección de datos, en particular con el fin de protegerse contra la utilización o comunicación ilícitas de dicha información. Al mismo tiempo, es posible que las autoridades de control nacionales y el Supervisor Europeo de Protección de Datos se vean en la imposibilidad de tramitar reclamaciones o realizar investigaciones relativas a actividades desarrolladas fuera de su jurisdicción. Sus esfuerzos por colaborar en el contexto transfronterizo también pueden verse obstaculizados por potestades preventivas o correctivas insuficientes, regímenes jurídicos incoherentes y obstáculos prácticos, como la escasez de recursos. Por consiguiente, es necesario fomentar una cooperación más estrecha entre el Supervisor Europeo de Protección de Datos y las autoridades de control nacionales para contribuir al intercambio de información con sus homólogos internacionales. |
(72) |
El establecimiento del Supervisor Europeo de Protección de Datos en el Reglamento (CE) n.o 45/2001, al que se ha facultado para desempeñar sus funciones y ejercer sus competencias con plena independencia, constituye un elemento esencial de la protección de las personas físicas con respecto al tratamiento de datos personales. El presente Reglamento debe reforzar y aclarar aún más su función e independencia. El Supervisor Europeo de Protección de Datos será una persona cuya independencia esté fuera de toda duda y que posea una experiencia y competencia notorias para el desempeño de las funciones de Supervisor Europeo de Protección de Datos, como pertenecer o haber pertenecido a una de las autoridades de control establecidas con arreglo al artículo 51 del Reglamento (UE) 2016/679. |
(73) |
Para garantizar la supervisión y ejecución coherentes de las normas de protección de datos en toda la Unión, el Supervisor Europeo de Protección de Datos debe tener las mismas funciones y potestades efectivas que las autoridades de control nacionales, incluidas potestades de investigación, potestades correctivas y de sanción y potestades de autorización y de consulta, especialmente en casos de reclamaciones de personas físicas, facultad para poner en conocimiento del Tribunal de Justicia las infracciones del presente Reglamento y capacidad para ejercitar acciones judiciales conforme a las disposiciones de Derecho primario. Dichas potestades deben incluir también la de imponer una limitación temporal o definitiva al tratamiento, incluida su prohibición. Para evitar costes superfluos y molestias excesivas para las personas afectadas, toda medida del Supervisor Europeo de Protección de Datos debe ser adecuada, necesaria y proporcionada con vistas a garantizar el cumplimiento del presente Reglamento, debe tener en cuenta las circunstancias de cada caso concreto y respetar el derecho de todas las personas a ser oídas antes de que se adopte cualquier medida. Toda medida jurídicamente vinculante del Supervisor Europeo de Protección de Datos debe constar por escrito, ser clara e inequívoca, indicar la fecha en que se dictó, llevar la firma del Supervisor Europeo de Protección de Datos, especificar los motivos de la misma y mencionar el derecho a la tutela judicial efectiva. |
(74) |
A fin de preservar la independencia del Tribunal de Justicia en el desempeño de sus funciones judiciales, incluida la toma de decisiones, la competencia en materia de supervisión del Supervisor Europeo de Protección de Datos no debe abarcar el tratamiento de datos personales por parte del Tribunal de Justicia cuando actúe en ejercicio de su función judicial. Para dichas operaciones de tratamiento, el Tribunal de Justicia debe establecer una supervisión independiente, de conformidad con el artículo 8, apartado 3, de la Carta, por ejemplo a través de un mecanismo interno. |
(75) |
Las decisiones del Supervisor Europeo de Protección de Datos relacionadas con excepciones, garantías, autorizaciones y condiciones relativas a los tratamientos de datos, según se definen en el presente Reglamento, serán publicadas en el informe de actividad. Con independencia de la publicación anual del informe de actividad, el Supervisor Europeo de Protección de Datos podrá publicar informes sobre temas específicos. |
(76) |
El Supervisor Europeo de Protección de Datos deberá cumplir lo dispuesto en el Reglamento (CE) n.o 1049/2001 del Parlamento Europeo y del Consejo (9). |
(77) |
A fin de proteger a las personas físicas con respecto al tratamiento de sus datos personales y de facilitar la libre circulación de los datos personales en el mercado interior, las autoridades de control nacionales supervisan la aplicación del Reglamento (UE) 2016/679 y contribuyen a que esta sea coherente en toda la Unión. Para aumentar la coherencia en la aplicación de las normas de protección de datos aplicables en los Estados miembros y de las aplicables a las instituciones y organismos de la Unión, el Supervisor Europeo de Protección de Datos debe cooperar de manera efectiva con las autoridades de control nacionales. |
(78) |
En algunos casos, el Derecho de la Unión prevé un modelo de supervisión coordinada, compartido por el Supervisor Europeo de Protección de Datos y las autoridades de control nacionales. El Supervisor Europeo de Protección de Datos es además la autoridad de control de Europol y, a esos fines, se ha establecido un modelo específico de cooperación con las autoridades de control nacionales mediante un consejo de cooperación con funciones consultivas. Para mejorar la supervisión efectiva y el cumplimiento de las normas sustantivas de protección de datos, debe introducirse en la Unión un modelo único y coherente de supervisión coordinada. Por ello, la Comisión debe presentar, en su caso, propuestas legislativas para modificar actos jurídicos de la Unión que establezcan un modelo de supervisión coordinada, a fin de armonizarlos con el modelo de supervisión coordinada del presente Reglamento. El Comité Europeo de Protección de Datos debe servir de foro único para garantizar una supervisión eficaz y coordinada en todos los ámbitos. |
(79) |
Todo interesado debe tener derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos, y derecho a la tutela judicial efectiva ante el Tribunal de Justicia de conformidad con los Tratados, si considera que se vulneran sus derechos con arreglo al presente Reglamento o en caso de que el Supervisor Europeo de Protección de Datos no responda a una reclamación, rechace o desestime total o parcialmente una reclamación o no actúe cuando sea necesario para proteger los derechos del interesado. La investigación abierta a raíz de una queja debe llevarse a cabo, bajo control judicial, en la medida en que sea adecuada en el caso específico. El Supervisor Europeo de Protección de Datos debe informar al interesado de la evolución y el resultado de la reclamación en un plazo razonable. Si el asunto requiere una mayor coordinación con una autoridad de control nacional, se debe facilitar información intermedia al interesado. Para facilitar la presentación de reclamaciones, el Supervisor Europeo de Protección de Datos debe adoptar medidas como el suministro de un formulario de reclamaciones, que pueda cumplimentarse también por medios electrónicos, sin excluir otros medios de comunicación. |
(80) |
Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento debe tener derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos, con arreglo a las condiciones previstas en los Tratados. |
(81) |
Para fortalecer la función supervisora del Supervisor Europeo de Protección de Datos y la aplicación eficaz del presente Reglamento, el primero debe estar facultado para imponer multas administrativas, como sanción de último recurso. Las multas deben aspirar a sancionar a las instituciones u organismos de la Unión, más que a los individuos, que incumplan el presente Reglamento, impedir futuras violaciones del mismo y fomentar una cultura de protección de los datos personales dentro de las instituciones y organismos de la Unión. El presente Reglamento debe indicar las infracciones objeto de multas administrativas, así como los límites máximos y los criterios para fijar las correspondientes multas. El Supervisor Europeo de Protección de Datos debe determinar la cuantía de la multa en cada caso individual, teniendo en cuenta todas las circunstancias concurrentes en él, atendiendo a la naturaleza, gravedad y duración de la infracción, sus consecuencias y las medidas tomadas para garantizar el cumplimiento de las obligaciones impuestas por el presente Reglamento e impedir o mitigar las consecuencias de la infracción. Al imponer una multa administrativa a una institución u organismo de la Unión, el Supervisor Europeo de Protección de Datos debe considerar la proporcionalidad de su cuantía. El procedimiento administrativo para la imposición de multas a instituciones y organismos de la Unión debe respetar los principios generales del Derecho de esta, según la interpretación del Tribunal de Justicia. |
(82) |
El interesado que considere vulnerados los derechos reconocidos por el presente Reglamento debe tener derecho a conferir mandato a una entidad, organización o asociación sin ánimo de lucro que esté constituida con arreglo al Derecho de la Unión o de un Estado miembro, tenga objetivos legales que sean de interés público y actúe en el ámbito de la protección de los datos personales, para que presente en su nombre una reclamación ante el Supervisor Europeo de Protección de Datos. Dicha entidad, organización o asociación debe tener la posibilidad de ejercer el derecho a la tutela judicial en nombre de los interesados o el derecho a recibir una indemnización en nombre de estos. |
(83) |
El incumplimiento por parte de un funcionario u otro agente de la Unión de las obligaciones del presente Reglamento dará lugar a la apertura de un expediente disciplinario u otro tipo de acción, de conformidad con las disposiciones fijadas en el Estatuto de los funcionarios de la Unión Europea o en el régimen aplicable a los otros agentes de la Unión, establecido en el Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo (10) (en lo sucesivo, «Estatuto de los funcionarios»). |
(84) |
A fin de garantizar condiciones uniformes de ejecución del presente Reglamento, deben conferirse a la Comisión competencias de ejecución. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo (11). El procedimiento de examen debe seguirse para la adopción de cláusulas contractuales tipo entre responsables del tratamiento y encargados del tratamiento y entre encargados del tratamiento, para la adopción de una lista de operaciones de tratamiento que exigen la consulta previa del Supervisor Europeo de Protección de Datos por parte de los responsables del tratamiento de los datos personales para el cumplimiento de una función realizada en interés público, y para la adopción de cláusulas contractuales tipo que ofrezcan unas garantías adecuadas para las transferencias internacionales. |
(85) |
Debe protegerse la información confidencial que las autoridades estadísticas de la Unión y nacionales recojan para la elaboración de las estadísticas oficiales europeas y nacionales. Las estadísticas europeas deben desarrollarse, elaborarse y difundirse con arreglo a los principios estadísticos enunciados en el artículo 338, apartado 2, del TFUE. El Reglamento (CE) n.o 223/2009 del Parlamento Europeo y del Consejo (12) facilita especificaciones adicionales sobre la confidencialidad estadística aplicada a las estadísticas europeas. |
(86) |
Procede derogar el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE del Parlamento Europeo, del Consejo y de la Comisión (13). Las referencias al Reglamento y a la Decisión derogados deben entenderse hechas al presente Reglamento. |
(87) |
Para garantizar la independencia plena de los miembros de la autoridad de control independiente, el mandato del actual Supervisor Europeo de Protección de Datos y del actual Supervisor Adjunto no debe verse afectado por el presente Reglamento. El actual Supervisor Adjunto debe permanecer en su puesto hasta el final de su mandato, a menos que se dé alguna de las condiciones para la finalización prematura del mandato del Supervisor Europeo de Protección de Datos establecidas en el presente Reglamento. Las disposiciones pertinentes del presente Reglamento deben aplicarse al Supervisor Adjunto hasta el final de su mandato. |
(88) |
De acuerdo con el principio de proporcionalidad, es necesario y conveniente para alcanzar el objetivo fundamental de garantizar un nivel equivalente de protección de las personas físicas por lo que respecta al tratamiento de datos personales y la libre circulación de datos personales en la Unión establecer normas sobre el tratamiento de datos personales en las instituciones y organismos de la Unión. El presente Reglamento no excede de lo necesario para alcanzar los objetivos perseguidos, de conformidad con lo dispuesto en el artículo 5, apartado 4, del TUE. |
(89) |
El Supervisor Europeo de Protección de Datos fue consultado de conformidad con el artículo 28, apartado 2, del Reglamento (CE) n.o 45/2001 y emitió su dictamen el 15 de marzo de 2017 (14). |
HAN ADOPTADO EL PRESENTE REGLAMENTO:
CAPÍTULO I
DISPOSICIONES GENERALES
Artículo 1
Objeto y objetivos
1. El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales por las instituciones y organismos de la Unión y las normas relativas a la libre circulación de dichos datos entre ellos o entre ellos y destinatarios establecidos en la Unión.
2. El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.
3. El Supervisor Europeo de Protección de Datos supervisará la aplicación de las disposiciones del presente Reglamento a todas las operaciones de tratamiento realizadas por las instituciones y organismos de la Unión.
Artículo 2
Ámbito de aplicación
1. El presente Reglamento se aplica al tratamiento de datos personales por parte de todas las instituciones y organismos de la Unión.
2. Solo el artículo 3 y el capítulo IX del presente Reglamento serán aplicables al tratamiento de datos personales operativos por los órganos y organismos de la Unión cuando lleven a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE.
3. El presente Reglamento no se aplicará al tratamiento de datos personales operativos por parte de Europol y de la Fiscalía Europea hasta que el Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo (15), y el Reglamento (UE) 2017/1939 del Consejo (16) se adapten con arreglo al artículo 98 del presente Reglamento.
4. El presente Reglamento no se aplicará al tratamiento de datos personales por parte de las misiones mencionadas en el artículo 42, apartado 1, y en los artículos 43 y 44 del TUE.
5. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
Artículo 3
Definiciones
A efectos del presente Reglamento, se entenderá por:
1) |
«datos personales»: toda información sobre una persona física identificada o identificable (en lo sucesivo, «interesado»); se considerará persona física identificable a toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, unos datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona; |
2) |
«datos personales operativos»: todos los datos personales tratados por los órganos u organismos de la Unión cuando lleven a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE a fin de realizar los objetivos y funciones establecidos en los actos jurídicos por los que se crean dichos órganos u organismos; |
3) |
«tratamiento»: cualquier operación o conjunto de operaciones realizadas en datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción; |
4) |
«limitación del tratamiento»: el marcado de los datos personales conservados con el fin de limitar su tratamiento en el futuro; |
5) |
«elaboración de perfiles»: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física; |
6) |
«seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado concreto sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable; |
7) |
«fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica; |
8) |
«responsable del tratamiento» o «responsable»: la institución o el organismo o la dirección general u otra entidad organizativa de la Unión que, por sí sola o conjuntamente con otros, determine los fines y medios del tratamiento de datos personales; cuando los fines y medios de ese tratamiento se determinen en un acto específico de la Unión, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser establecidos por el Derecho de la Unión; |
9) |
«responsables del tratamiento distintos de las instituciones y organismos de la Unión»: los responsables del tratamiento en el sentido del artículo 4, punto 7, del Reglamento (UE) 2016/679 y los responsables del tratamiento en el sentido del artículo 3, punto 8, de la Directiva (UE) 2016/680; |
10) |
«instituciones y organismos de la Unión»: las instituciones, los órganos y los organismos de la Unión establecidos por el TUE, el TFUE o el Tratado Euratom o sobre la base de cualquiera de ellos; |
11) |
«autoridad competente»: cualquier autoridad pública de un Estado miembro competente para la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluidas la protección y prevención frente a amenazas para la seguridad pública; |
12) |
«encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento; |
13) |
«destinatario»: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por las citadas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento; |
14) |
«tercero»: la persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar datos personales bajo la autoridad directa del responsable o del encargado; |
15) |
«consentimiento»: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen; |
16) |
«violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidentales o ilícitas de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o el acceso no autorizados a dichos datos; |
17) |
«datos genéticos»: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona; |
18) |
«datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos; |
19) |
«datos relativos a la salud»: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud; |
20) |
«servicio de la sociedad de la información»: todo servicio conforme a la definición del artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (17); |
21) |
«organización internacional»: una organización y sus entes subordinados de Derecho internacional público, o cualquier otro organismo creado mediante un acuerdo entre dos o más países o en virtud de tal acuerdo; |
22) |
«autoridad de control nacional»: una autoridad pública independiente establecida por un Estado miembro con arreglo al artículo 51 del Reglamento (UE) 2016/679 o al artículo 41 de la Directiva (UE) 2016/680; |
23) |
«usuario»: cualquier persona física que use una red o un equipo terminal que funcionen bajo el control de las instituciones y organismos de la Unión; |
24) |
«guía»: guía de usuarios disponible para el público o guía interna de usuarios disponible dentro de las instituciones y organismos de la Unión o compartida entre estos, ya sea en formato impreso o electrónico; |
25) |
«red de comunicaciones electrónicas»: un sistema de transmisión, basado o no en una infraestructura permanente o en una capacidad de administración centralizada, y, cuando proceda, los equipos de conmutación o enrutamiento y otros recursos, incluidos los elementos de red que no son activos, que permitan la transmisión de señales mediante cables, ondas hertzianas, medios ópticos u otros medios electromagnéticos con inclusión de las redes de satélites, las redes terrestres fijas (de conmutación de circuitos y de paquetes, incluida internet) y móviles, sistemas de tendido eléctrico, en la medida en que se utilicen para la transmisión de señales, redes utilizadas para la radiodifusión sonora y televisiva y redes de televisión por cable, con independencia del tipo de información transmitida; |
26) |
«equipo terminal»: un equipo terminal tal como se define en el artículo 1, punto 1, de la Directiva 2008/63/CE de la Comisión (18). |
CAPÍTULO II
PRINCIPIOS GENERALES
Artículo 4
Principios relativos al tratamiento de datos personales
1. Los datos personales serán:
a) |
tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»); |
b) |
recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 13, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»); |
c) |
adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»); |
d) |
exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»); |
e) |
mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 13, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»); |
f) |
tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»). |
2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).
Artículo 5
Licitud del tratamiento
1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) |
el tratamiento es necesario para el cumplimiento de una función realizada en interés público o en el ejercicio de potestades públicas conferidas a las instituciones y organismos de la Unión; |
b) |
el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; |
c) |
el tratamiento es necesario para el cumplimiento de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; |
d) |
el interesado ha prestado su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; |
e) |
el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física. |
2. La base del tratamiento indicado en el apartado 1, letras a) y b), se establecerá en el Derecho de la Unión.
Artículo 6
Tratamiento para otro fin compatible
Cuando el tratamiento para un fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en una norma de la Unión que constituya una medida necesaria y proporcionada en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 25, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:
a) |
cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto; |
b) |
el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento; |
c) |
la naturaleza de los datos personales, en concreto si se tratan categorías especiales de datos personales, de conformidad con el artículo 10, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 11; |
d) |
las posibles consecuencias para los interesados del tratamiento ulterior previsto; |
e) |
la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización. |
Artículo 7
Condiciones para el consentimiento
1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.
2. Si el consentimiento del interesado se presta en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.
3. El interesado tendrá derecho a revocar su consentimiento en cualquier momento. La revocación del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su revocación. Antes de prestar su consentimiento, el interesado será informado de ello. Será tan fácil revocar el consentimiento como prestarlo.
4. Al evaluar si el consentimiento se ha prestado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, el cumplimiento de un contrato, incluida la prestación de un servicio, se supedita a consentir el tratamiento de datos personales que son innecesarios para el cumplimiento de dicho contrato.
Artículo 8
Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información
1. Cuando se aplique el artículo 5, apartado 1, letra d), en relación con la oferta directa a niños de servicios de la sociedad de la información, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 13 años. Si el niño es menor de 13 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo prestó o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se prestó o autorizó.
2. El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue prestado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible.
3. El apartado 1 no afectará a las disposiciones generales del Derecho contractual de los Estados miembros, como las normas relativas a la validez, formación o efectos de un contrato en relación con un niño.
Artículo 9
Transmisiones de datos personales a destinatarios establecidos en la Unión distintos de las instituciones y organismos de la Unión
1. Sin perjuicio de lo dispuesto en los artículos 4 a 6 y 10, los datos personales solo se transmitirán a destinatarios establecidos en la Unión distintos de las instituciones y organismos de la Unión, cuando:
a) |
el destinatario demuestre que los datos son necesarios para el cumplimiento de una función de interés público o en el ejercicio de las potestades públicas conferidas al destinatario, o |
b) |
el destinatario demuestre que es necesario que le transmitan los datos para una finalidad específica de interés público y el responsable del tratamiento, si existe alguna razón para suponer que se podrían perjudicar los intereses legítimos del interesado, demuestre que es proporcionado transmitir los datos personales para dicha finalidad específica, una vez sopesados, de modo verificable, los diversos intereses concurrentes. |
2. Cuando la transmisión según el presente artículo se produzca por iniciativa del responsable del tratamiento, este deberá demostrar que la transmisión de datos personales es necesaria y proporcionada respecto de los fines de la transmisión, mediante la aplicación de los criterios establecidos en el apartado 1, letras a) o b).
3. Las instituciones y organismos de la Unión conciliarán el derecho a la protección de los datos personales con el derecho de acceso a los documentos, de conformidad con el Derecho de la Unión.
Artículo 10
Tratamiento de categorías especiales de datos personales
1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.
2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:
a) |
el interesado ha prestado su consentimiento expreso para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado, |
b) |
el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice una normativa de la Unión que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado, |
c) |
el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para prestar su consentimiento, |
d) |
el tratamiento lo lleva a cabo, en el ejercicio de sus actividades legítimas y con las garantías apropiadas, un organismo sin ánimo de lucro que constituya una entidad integrada en una institución u organismo de la Unión y cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a sus miembros, a antiguos miembros del organismo o a personas que mantengan contactos regulares con este en relación con sus fines y siempre que los datos no se comuniquen fuera del organismo sin el consentimiento de los interesados; |
e) |
el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos; |
f) |
el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando el Tribunal de Justicia actúe en ejercicio de su función judicial, |
g) |
el tratamiento es necesario por razones de un interés público esencial, sobre la base de una normativa de la Unión que debe ser proporcionada respecto del objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado; |
h) |
el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías mencionadas en el apartado 3; |
i) |
el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base de una normativa de la Unión que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional; o |
j) |
el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos sobre la base de una normativa de la Unión que debe ser proporcionada respecto del objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado. |
3. Los datos personales a que se refiere el apartado 1 podrán tratarse para los fines expresados en el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto al deber de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también al deber de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes.
Artículo 11
Tratamiento de datos personales relativos a condenas e infracciones penales
El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas basadas en el artículo 5, apartado 1, solo podrá llevarse a cabo bajo la supervisión de las autoridades públicas o cuando lo autorice una normativa de la Unión que establezca garantías adecuadas para los derechos y libertades de los interesados.
Artículo 12
Tratamiento que no requiere identificación
1. Si los fines para los cuales un responsable trata datos personales no requieren o ya no requieren la identificación de un interesado por el responsable, este no estará obligado a mantener, obtener o tratar información adicional para identificar al interesado con la única finalidad de cumplir el presente Reglamento.
2. Cuando, en los casos a que se refiere el apartado 1 del presente artículo, el responsable sea capaz de demostrar que no está en condiciones de identificar al interesado, le informará en consecuencia, de ser posible. En tales casos no se aplicarán los artículos 17 a 22, excepto cuando el interesado, a efectos del ejercicio de sus derechos en virtud de dichos artículos, facilite información adicional que permita su identificación.
Artículo 13
Garantías aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos
El tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos estará sujeto a las garantías adecuadas, con arreglo al presente Reglamento, para los derechos y las libertades de los interesados. Dichas garantías harán que se disponga de medidas técnicas y organizativas, en particular para garantizar el respeto del principio de minimización de los datos personales. Tales medidas podrán incluir la seudonimización, siempre que de esa forma puedan alcanzarse dichos fines. Siempre que esos fines pueden alcanzarse mediante un tratamiento ulterior que no permita o ya no permita la identificación de los interesados, esos fines se alcanzarán de ese modo.
CAPÍTULO III
DERECHOS DEL INTERESADO
SECCIÓN 1
transparencia y modalidades
Artículo 14
Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado
1. El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 15 y 16, así como cualquier comunicación con arreglo a los artículos 17 a 24 y 35 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.
2. El responsable del tratamiento facilitará al interesado el ejercicio de sus derechos en virtud de los artículos 17 a 24. En los casos a que se refiere el artículo 12, apartado 2, el responsable no se negará a actuar a petición del interesado con el fin de ejercer sus derechos en virtud de los artículos 17 a 24, salvo que pueda demostrar que no está en condiciones de identificar al interesado.
3. El responsable del tratamiento facilitará al interesado, sin dilaciones indebidas y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud, información relativa a sus actuaciones sobre la base de una solicitud con arreglo a los artículos 17 a 24. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo.
4. Si el responsable del tratamiento no atiende a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes a partir de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos y de interponer un recurso judicial.
5. La información facilitada en virtud de los artículos 15 y 16 así como toda comunicación y cualquier actuación realizada en virtud de los artículos 17 a 24 y 35 serán proporcionadas gratuitamente. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá negarse a actuar respecto de la solicitud. El responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.
6. Sin perjuicio de lo dispuesto en el artículo 12, cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona física que efectúa la solicitud a que se refieren los artículos 17 a 23, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado.
7. La información que debe facilitarse a los interesados en virtud de los artículos 15 y 16 podrá transmitirse en combinación con iconos normalizados, para proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico serán legibles mecánicamente.
8. Si la Comisión adopta actos delegados en virtud del artículo 12, apartado 8, del Reglamento (UE) 2016/679 por los que se especifique la información que se ha de presentar a través de los iconos y los procedimientos para proporcionar iconos normalizados, las instituciones y organismos de la Unión facilitarán, en su caso, la información en virtud de los artículos 15 y 16 del presente Reglamento junto con dichos iconos normalizados.
SECCIÓN 2
información y acceso a los datos personales
Artículo 15
Información que debe facilitarse cuando los datos personales se obtengan del interesado
1. Cuando se obtengan de un interesado sus datos personales, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:
a) |
la identidad y los datos de contacto del responsable del tratamiento; |
b) |
los datos de contacto del delegado de protección de datos; |
c) |
los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento; |
d) |
los destinatarios o las categorías de destinatarios de los datos personales, en su caso; |
e) |
en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en el artículo 48, referencia a las garantías adecuadas o idóneas y a los medios para obtener una copia de estas o al lugar en el que estén disponibles. |
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:
a) |
el plazo durante el cual se almacenarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo; |
b) |
la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o, en su caso, el derecho a oponerse al tratamiento o el derecho a la portabilidad de los datos; |
c) |
cuando el tratamiento esté basado en el artículo 5, apartado 1, letra d), o el artículo 10, apartado 2, letra a), la existencia del derecho a revocar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su revocación; |
d) |
el derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos; |
e) |
si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de no facilitar tales datos; |
f) |
la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 24, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado. |
3. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier otra información pertinente indicada en el apartado 2.
4. Los apartados 1, 2 y 3 no serán aplicables cuando y en la medida en que el interesado ya disponga de la información.
Artículo 16
Información que debe facilitarse cuando los datos personales no se hayan obtenido del interesado
1. Cuando los datos personales no se hayan obtenido del interesado, el responsable del tratamiento le facilitará la siguiente información:
a) |
la identidad y los datos de contacto del responsable del tratamiento; |
b) |
los datos de contacto del delegado de protección de datos; |
c) |
los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento; |
d) |
las categorías de datos personales de que se trate; |
e) |
los destinatarios o las categorías de destinatarios de los datos personales, en su caso; |
f) |
en su caso, la intención del responsable de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en el artículo 48, referencia a las garantías adecuadas o idóneas y a los medios para obtener una copia de ellas o al lugar en el que estén disponibles. |
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente respecto del interesado:
a) |
el plazo durante el cual se almacenarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo; |
b) |
la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o, en su caso, el derecho a oponerse al tratamiento o el derecho a la portabilidad de los datos; |
c) |
cuando el tratamiento esté basado en el artículo 5, apartado 1, letra d), o el artículo 10, apartado 2, letra a), la existencia del derecho a revocar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su revocación; |
d) |
el derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos; |
e) |
la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público; |
f) |
la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 24, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado. |
3. El responsable del tratamiento facilitará la información indicada en los apartados 1 y 2:
a) |
dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos; |
b) |
si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado, o |
c) |
si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez. |
4. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de los datos personales para un fin que no sea aquel para el que se obtuvieron, proporcionará al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y cualquier otra información pertinente indicada en el apartado 2.
5. Los apartados 1 a 4 no serán aplicables cuando y en la medida en que:
a) |
el interesado ya disponga de la información; |
b) |
la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, o en la medida en que la obligación mencionada en el apartado 1 del presente artículo pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento; |
c) |
la obtención o la comunicación esté expresamente establecida por una normativa de la Unión que establezca medidas adecuadas para proteger los intereses legítimos del interesado; o |
d) |
cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de un deber de secreto profesional regulado por el Derecho de la Unión, incluida una obligación legal de secreto. |
6. En los casos mencionados en el apartado 5, letra b), el responsable del tratamiento adoptará medidas adecuadas para proteger los derechos, las libertades y los intereses legítimos del interesado, también haciendo pública la información.
Artículo 17
Derecho de acceso del interesado
1. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:
a) |
los fines del tratamiento; |
b) |
las categorías de datos personales de que se trate; |
c) |
los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros países u organizaciones internacionales; |
d) |
de ser posible, el plazo previsto de almacenamiento de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo; |
e) |
la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento; |
f) |
el derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos; |
g) |
cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen; |
h) |
la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 24, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado. |
2. Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 48 relativas a la transferencia.
3. El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.
4. El derecho a obtener copia mencionado en el apartado 3 no afectará negativamente a los derechos y libertades de otros.
SECCIÓN 3
rectificación y supresión
Artículo 18
Derecho de rectificación
El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.
Artículo 19
Derecho de supresión («derecho al olvido»)
1. El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan y el responsable estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:
a) |
los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo; |
b) |
el interesado revoque el consentimiento en que se basa el tratamiento de conformidad con el artículo 5, apartado 1, letra d), o el artículo 10, apartado 2, letra a), y este no tenga ninguna otra base jurídica; |
c) |
el interesado se oponga al tratamiento con arreglo al artículo 23, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento; |
d) |
los datos personales hayan sido tratados ilícitamente; |
e) |
los datos personales deban suprimirse para el cumplimiento de una obligación legal que se aplique al responsable del tratamiento; |
f) |
los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1. |
2. Cuando haya hecho públicos los datos personales y esté obligado, en virtud de lo dispuesto en el apartado 1, a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, para informar a los responsables del tratamiento, o responsables del tratamiento distintos de las instituciones y organismos de la Unión, que estén tratando los datos personales, de que el interesado ha solicitado de dichos responsables la supresión de cualquier enlace a esos datos personales o de cualquier copia o réplica de estos.
3. Los apartados 1 y 2 no serán aplicables el tratamiento sea necesario:
a) |
para ejercer el derecho a la libertad de expresión e información; |
b) |
para el cumplimiento de una obligación legal que se aplique al responsable del tratamiento, o para el cumplimiento de una función realizada en interés público o en el ejercicio de potestades públicas conferidas al responsable; |
c) |
por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 10, apartado 2, letras h) e i), y apartado 3; |
d) |
con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento; o |
e) |
para la formulación, el ejercicio o la defensa de reclamaciones. |
Artículo 20
Derecho a la limitación del tratamiento
1. El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes:
a) |
el interesado impugne la exactitud de los datos personales, en un plazo que permita al responsable verificar que son exactos y que están completos; |
b) |
el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso; |
c) |
el responsable del tratamiento ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones; |
d) |
el interesado se haya opuesto al tratamiento en virtud del artículo 23, apartado 1, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado. |
2. Cuando el tratamiento se haya limitado en virtud del apartado 1, dichos datos personales solo podrán ser objeto de tratamiento, con excepción de su almacenamiento, con el consentimiento del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, o para la protección de los derechos de otra persona física o jurídica o por razones de importante interés público de la Unión o de un Estado miembro.
3. Todo interesado que haya obtenido la limitación del tratamiento con arreglo al apartado 1 será informado por el responsable antes de poner fin a dicha limitación.
4. En los ficheros automatizados, la limitación del tratamiento deberá realizarse, en principio, por medios técnicos. El hecho de que los datos personales están limitados se indicará en el sistema de tal modo que quede claro que no se pueden utilizar.
Artículo 21
Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento
El responsable del tratamiento comunicará cualquier rectificación o supresión de datos personales o limitación del tratamiento efectuada con arreglo al artículo 18, al artículo 19, apartado 1, y al artículo 20 a cada uno de los destinatarios a los que se hayan comunicado los datos personales, salvo que sea imposible o exija un esfuerzo desproporcionado. El responsable informará al interesado acerca de dichos destinatarios, si el interesado así lo solicita.
Artículo 22
Derecho a la portabilidad de los datos
1. El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:
a) |
el tratamiento esté basado en el consentimiento con arreglo al artículo 5, apartado 1, letra d), o el artículo 10, apartado 2, letra a), o en un contrato con arreglo al artículo 5, apartado 1, letra c); y |
b) |
el tratamiento se efectúe por medios automatizados. |
2. Al ejercer su derecho a la portabilidad de los datos de acuerdo con el apartado 1, el interesado tendrá derecho a que los datos personales se transmitan directamente de un responsable del tratamiento a otro, o a responsables del tratamiento distintos de las instituciones y organismos de la Unión, cuando sea técnicamente posible.
3. El ejercicio del derecho mencionado en el apartado 1 del presente artículo se entenderá sin perjuicio del artículo 19. Tal derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una función realizada en interés público o en el ejercicio de potestades públicas conferidas al responsable del tratamiento.
4. El derecho mencionado en el apartado 1 no afectará negativamente a los derechos y libertades de otros.
SECCIÓN 4
derecho de oposición y decisiones individuales automatizadas
Artículo 23
Derecho de oposición
1. El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 5, apartado 1, letra a), incluida la elaboración de perfiles sobre la base de dicha disposición. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.
2. A más tardar en el momento de la primera comunicación con el interesado, el derecho indicado en el apartado 1 será mencionado explícitamente al interesado y será presentado claramente y al margen de cualquier otra información.
3. Sin perjuicio de lo dispuesto en los artículos 36 y 37, en el contexto de la utilización de servicios de la sociedad de la información, el interesado podrá ejercer su derecho a oponerse por medios automatizados que apliquen especificaciones técnicas.
4. Cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos, el interesado tendrá derecho, por motivos relacionados con su situación particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario para el cumplimiento de una función realizada por razones de interés público.
Artículo 24
Decisiones individuales automatizadas, incluida la elaboración de perfiles
1. Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.
2. El apartado 1 no se aplicará si la decisión:
a) |
es necesaria para la celebración o el cumplimiento de un contrato entre el interesado y el responsable del tratamiento; |
b) |
está autorizada por una normativa de la Unión que establezca asimismo medidas adecuadas para salvaguardar los derechos y las libertades y los intereses legítimos del interesado; o |
c) |
se basa en el consentimiento expreso del interesado. |
3. En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.
4. Las decisiones a que se refiere el apartado 2 del presente artículo no se basarán en las categorías especiales de datos personales mencionadas en el artículo 10, apartado 1, salvo que se aplique el artículo 10, apartado 2, letras a) o g), y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.
SECCIÓN 5
limitaciones
Artículo 25
Limitaciones
1. Los actos jurídicos adoptados con arreglo a los Tratados o, en cuestiones relacionadas con el funcionamiento de las instituciones y organismos de la Unión, las normas internas establecidas por estos últimos podrán limitar la aplicación de los artículos 14 a 22, 35 y 36, y también del artículo 4 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones que disponen los artículos 14 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:
a) |
la seguridad nacional, el orden público o la defensa de los Estados miembros; |
b) |
la prevención, investigación, detección y enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención; |
c) |
otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular los objetivos de la política exterior y de seguridad común de la Unión o un interés económico o financiero importante de la Unión o de un Estado miembro, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social; |
d) |
la seguridad interna de las instituciones y organismos de la Unión, incluida la de sus redes de comunicación electrónica; |
e) |
la protección de la independencia judicial y de los procedimientos judiciales; |
f) |
la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas; |
g) |
una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos enunciados en las letras a) a c); |
h) |
la protección del interesado o de los derechos y libertades de otros; |
i) |
la ejecución de demandas civiles. |
2. En particular, cualquier acto jurídico o norma interna indicados en el apartado 1 contendrá, en su caso, disposiciones específicas relativas a:
a) |
las finalidades del tratamiento o de las categorías de tratamiento; |
b) |
las categorías de datos personales; |
c) |
el alcance de las limitaciones establecidas; |
d) |
las garantías para evitar accesos o transferencias ilícitos o abusivos; |
e) |
la determinación del responsable o de categorías de responsables; |
f) |
los plazos de conservación y las garantías aplicables habida cuenta de la naturaleza, alcance y objetivos del tratamiento o las categorías de tratamiento; y |
g) |
los riesgos para los derechos y las libertades de los interesados. |
3. Cuando se traten datos personales con fines de investigación científica o histórica o estadísticos, el Derecho de la Unión, que puede incluir normas internas adoptadas por las instituciones y organismos de la Unión en cuestiones relacionadas con su funcionamiento, podrá establecer excepciones a los derechos reconocidos en los artículos 17, 18, 20 y 23, sujetas a las condiciones y garantías indicadas en el artículo 13, siempre que sea probable que esos derechos imposibiliten u obstaculicen gravemente el logro de los fines específicos, y que esas excepciones sean necesarias para alcanzar esos fines.
4. Cuando se traten datos personales con fines de archivo en interés público, el Derecho de la Unión, que puede incluir normas internas adoptadas por las instituciones y organismos de la Unión en cuestiones relacionadas con su funcionamiento, podrá establecer excepciones a los derechos reconocidos en los artículos 17, 18, 20, 21, 22 y 23, sujetas a las condiciones y garantías indicadas en el artículo 13, siempre que sea probable que esos derechos imposibiliten u obstaculicen gravemente el logro de los fines específicos, y que esas excepciones sean necesarias para alcanzar esos fines.
5. Las normas internas mencionadas en los apartados 1, 3 y 4 serán actos de aplicación general claros y precisos, destinados a producir efectos jurídicos respecto de los interesados, adoptados al nivel de gestión más elevado de las instituciones y organismos de la Unión y deben ser objeto de su publicación en el Diario Oficial de la Unión Europea.
6. En caso de que se imponga una limitación en virtud del apartado 1, se informará al interesado, de conformidad con el Derecho de la Unión, de las razones principales que justifican la limitación, así como de su derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos.
7. En caso de que se invoque una limitación aplicada en virtud del apartado 1 para denegar al interesado el acceso a los datos, el Supervisor Europeo de Protección de Datos, durante la investigación de la reclamación, solo le comunicará si los datos se trataron correctamente y, de no ser así, si se han efectuado las correcciones necesarias.
8. Podrá aplazarse, omitirse o denegarse la comunicación de la información a la que se refieren los apartados 6 y 7 del presente artículo y el artículo 45, apartado 2, si dicha comunicación dejase sin efecto la limitación impuesta sobre la base del apartado 1 del presente artículo.
CAPÍTULO IV
RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO
SECCIÓN 1
obligaciones generales
Artículo 26
Responsabilidad del responsable del tratamiento
1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.
2. Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.
3. Podrá utilizarse la adhesión a mecanismos de certificación aprobados como menciona el artículo 42 del Reglamento (UE) 2016/679 como elemento para acreditar el cumplimiento de las obligaciones que incumben al responsable del tratamiento.
Artículo 27
Protección de datos desde el diseño y por defecto
1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.
2. El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de almacenamiento y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.
3. Podrá utilizarse un mecanismo de certificación aprobado como menciona el artículo 42 del Reglamento (UE) 2016/679 como elemento para acreditar el cumplimiento de las obligaciones establecidas en los apartados 1 y 2 del presente artículo.
Artículo 28
Corresponsables del tratamiento
1. Cuando dos o más responsables del tratamiento o uno o más responsables junto con otro u otros responsables del tratamiento distintos de las instituciones y organismos de la Unión, determinen conjuntamente los objetivos y medios del tratamiento, serán considerados corresponsables del tratamiento. Los corresponsables del tratamiento determinarán de modo transparente sus responsabilidades respectivas en el cumplimiento de sus obligaciones en materia de protección de datos, en particular en cuanto al ejercicio de los derechos del interesado y a sus respectivas obligaciones de facilitar la información a que se refieren los artículos 15 y 16, mediante un acuerdo entre ellos, salvo que, y en la medida en que, sus responsabilidades respectivas se rijan por el Derecho de la Unión o de los Estados miembros que les sea aplicable. Dicho acuerdo podrá designar un punto de contacto para los interesados.
2. El acuerdo mencionado en el apartado 1 reflejará debidamente las funciones y relaciones respectivas que los corresponsables del tratamiento tengan respecto de los interesados. Se pondrán a disposición del interesado los aspectos esenciales del acuerdo.
3. Independientemente de los términos del acuerdo mencionado en el apartado 1, los interesados podrán ejercer los derechos que les reconoce el presente Reglamento frente a cada uno de los responsables del tratamiento.
Artículo 29
Encargado del tratamiento
1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.
2. El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable del tratamiento. En el caso de autorización escrita general, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios.
3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
a) |
trate los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud de normas de la Unión o de los Estados miembros aplicables al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal antes del tratamiento, salvo que esas normas lo prohíban por razones importantes de interés público; |
b) |
garantice que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad; |
c) |
tome todas las medidas necesarias de conformidad con el artículo 33; |
d) |
respete las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento; |
e) |
asista al responsable, teniendo en cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III; |
f) |
ayude al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 33 a 41, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado; |
g) |
a elección del responsable, suprima o devuelva todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de un Estados miembro; |
h) |
ponga a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable. |
En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe el presente Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.
4. Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al Derecho de la Unión o de los Estados miembros, las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado a que se refiere el apartado 3, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con las disposiciones del presente Reglamento. Si ese otro encargado incumple sus obligaciones de protección de datos, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado.
5. Cuando el encargado del tratamiento no sea una institución u organismo de la Unión, su adhesión a un código de conducta aprobado a que se refiere el artículo 40, apartado 5, del Reglamento (UE) 2016/679 o a un mecanismo de certificación aprobado a que se refiere el artículo 42 de dicho Reglamento podrá utilizarse como elemento para demostrar la existencia de garantías suficientes como disponen los apartados 1 y 4 del presente artículo.
6. Sin perjuicio de que el responsable del tratamiento y el encargado del tratamiento celebren un contrato individual, el contrato u otro acto jurídico a que se refieren los apartados 3 y 4 del presente artículo podrá basarse, total o parcialmente, en las cláusulas contractuales tipo a que se refieren los apartados 7 y 8 del presente artículo, inclusive cuando formen parte de una certificación concedida al encargado que no sea una institución u organismo de la Unión de conformidad con el artículo 42 del Reglamento (UE) 2016/679.
7. La Comisión podrá fijar cláusulas contractuales tipo para las cuestiones a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el procedimiento de examen a que se refiere el artículo 96, apartado 2.
8. El Supervisor Europeo de Protección de Datos podrá adoptar cláusulas contractuales tipo para las cuestiones a que se refieren los apartados 3 y 4.
9. El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por escrito, valiendo también el formato electrónico.
10. Sin perjuicio de lo dispuesto en los artículos 65 y 66, si un encargado del tratamiento infringe el presente Reglamento por determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento.
Artículo 30
Tratamiento bajo la autoridad del responsable del tratamiento o del encargado del tratamiento
El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable, a no ser que estén obligados a ello en virtud del Derecho de la Unión o de los Estados miembros.
Artículo 31
Registro de las actividades de tratamiento
1. Cada responsable llevará un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:
a) |
el nombre y los datos de contacto del responsable del tratamiento, del delegado de protección de datos y, en su caso, del encargado del tratamiento y del corresponsable del tratamiento; |
b) |
los fines del tratamiento; |
c) |
una descripción de las categorías de interesados y de las categorías de datos personales; |
d) |
las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en Estados miembros, terceros países u organizaciones internacionales; |
e) |
en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y la documentación de garantías adecuadas; |
f) |
cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos; |
g) |
cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 33. |
2. Cada encargado llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga:
a) |
el nombre y los datos de contacto del encargado o encargados del tratamiento y de cada responsable del tratamiento en cuyo nombre actúe el encargado, y del delegado de protección de datos; |
b) |
las categorías de tratamientos efectuados por cuenta de cada responsable; |
c) |
en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y la documentación de garantías adecuadas; |
d) |
cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 33. |
3. Los registros a que se refieren los apartados 1 y 2 constarán por escrito, valiendo también el formato electrónico.
4. Las instituciones y organismos de la Unión pondrán el registro a disposición del Supervisor Europeo de Protección de Datos cuando este lo solicite.
5. Salvo que no sea adecuado habida cuenta del tamaño de la institución u organismo de la Unión, las instituciones y organismos de la Unión mantendrán sus registros de actividades de tratamiento en un registro central. Harán que el registro sea de acceso público.
Artículo 32
Cooperación con el Supervisor Europeo de Protección de Datos
Las instituciones y organismos de la Unión cooperarán con el Supervisor Europeo de Protección de Datos en el desempeño de sus funciones cuando este lo solicite.
SECCIÓN 2
seguridad de los datos personales
Artículo 33
Seguridad del tratamiento
1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) |
la seudonimización y el cifrado de datos personales; |
b) |
la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; |
c) |
la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; |
d) |
un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. |
2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
3. El responsable del tratamiento y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión.
4. Podrá utilizarse la adhesión a un mecanismo de certificación aprobado como menciona el artículo 42 del Reglamento (UE) 2016/679 como elemento para acreditar el cumplimiento de las obligaciones establecidas en el apartado 1 del presente artículo.
Artículo 34
Notificación de una violación de la seguridad de los datos personales al Supervisor Europeo de Protección de Datos
1. En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará al Supervisor Europeo de Protección de Datos sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación al Supervisor Europeo de Protección de Datos no tiene lugar en el plazo de 72 horas, deberá ir acompañada de los motivos de la dilación.
2. El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.
3. La notificación mencionada en el apartado 1 deberá, como mínimo:
a) |
describir la naturaleza de la violación de la seguridad de los datos personales, incluidos, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados; |
b) |
comunicar el nombre y los datos de contacto del delegado de protección de datos; |
c) |
describir las posibles consecuencias de la violación de la seguridad de los datos personales; |
d) |
describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. |
4. Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
5. El responsable del tratamiento informará al delegado de protección de datos acerca de la violación de la seguridad de los datos.
6. El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá al Supervisor Europeo de Protección de Datos verificar el cumplimiento de lo dispuesto en el presente artículo.
Artículo 35
Comunicación de una violación de la seguridad de los datos personales al interesado
1. Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.
2. La comunicación al interesado a que se refiere el apartado 1 del presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las medidas a que se refiere el artículo 34, apartado 3, letras b), c) y d).
3. La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes:
a) |
el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado; |
b) |
el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1; |
c) |
suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados. |
4. Cuando el responsable todavía no haya comunicado al interesado la violación de la seguridad de los datos personales, el Supervisor Europeo de Protección de Datos, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones mencionadas en el apartado 3.
SECCIÓN 3
confidencialidad de las comunicaciones electrónicas
Artículo 36
Confidencialidad de las comunicaciones electrónicas
Las instituciones y organismos de la Unión garantizarán la confidencialidad de las comunicaciones electrónicas, en particular protegiendo sus redes de comunicación electrónica.
Artículo 37
Protección de la información transmitida a los equipos terminales de los usuarios, almacenada en dichos equipos, relativa a ellos, tratada por ellos y recopilada de ellos
Respecto de los usuarios que accedan a los sitios web de acceso público y aplicaciones para móviles de las instituciones y organismos de la Unión, estas instituciones y organismos protegerán la información transmitida a los equipos terminales de dichos usuarios, la información almacenada en esos equipos, relacionada con ellos, tratada por ellos y recogida de ellos, de conformidad con el artículo 5, apartado 3, de la Directiva 2002/58/CE.
Artículo 38
Guías de usuarios
1. Los datos personales contenidos en las guías de usuarios y el acceso a dichas guías quedarán limitados a lo necesario para los fines específicos de la guía.
2. Las instituciones y organismos de la Unión adoptarán las medidas necesarias para evitar que los datos personales contenidos en estas guías, independientemente de si resultan accesibles al público o no, sean utilizados para fines de venta directa.
SECCIÓN 4
evaluación de impacto relativa a la protección de datos y consulta previa
Artículo 39
Evaluación de impacto relativa a la protección de datos
1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.
2. El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos al realizar la evaluación de impacto relativa a la protección de datos.
3. La evaluación de impacto relativa a la protección de los datos a que se refiere el apartado 1 se requerirá en particular en caso de:
a) |
evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar; |
b) |
tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 10 o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 11; o |
c) |
observación sistemática a gran escala de una zona de acceso público. |
4. El Supervisor Europeo de Protección de Datos establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos de conformidad con el apartado 1.
5. El Supervisor Europeo de Protección de Datos podrá asimismo establecer y publicar una lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos.
6. Antes de adoptar las listas a que se refieren los apartados 4 y 5 del presente artículo, el Supervisor Europeo de Protección de Datos solicitará que el Comité Europeo de Protección de Datos establecido por el artículo 68 del Reglamento (UE) 2016/679 examine dichas listas de conformidad con el artículo 70, apartado 1, letra e), de dicho Reglamento cuando se refieran a las operaciones de tratamiento por parte de un responsable del tratamiento que actúe conjuntamente con uno o más responsables del tratamiento distintos de las instituciones y organismos de la Unión.
7. La evaluación deberá incluir como mínimo:
a) |
una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento; |
b) |
una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad; |
c) |
una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1; y |
d) |
las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas. |
8. El cumplimiento de los códigos de conducta aprobados a que se refiere el artículo 40 del Reglamento (UE) 2016/679 por los encargados correspondientes que no sean instituciones u organismos de la Unión se tendrá debidamente en cuenta al evaluar las repercusiones de las operaciones de tratamiento realizadas por dichos encargados, en particular a efectos de la evaluación de impacto relativa a la protección de datos.
9. Cuando proceda, el responsable recabará la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, sin perjuicio de la protección de intereses públicos o de la seguridad de las operaciones de tratamiento.
10. Cuando el tratamiento de conformidad con el artículo 5, apartado 1, letras a) o b), tenga su base jurídica en un acto jurídico adoptado sobre la base de los Tratados, que regule la operación específica de tratamiento o conjunto de operaciones en cuestión, y cuando ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general anterior a la adopción de dicho acto jurídico, los apartados 1 a 6 del presente artículo no serán de aplicación salvo que se establezca de otro modo en dicho acto jurídico.
11. En caso necesario, el responsable examinará si el tratamiento es conforme con la evaluación de impacto relativa a la protección de datos, al menos cuando exista un cambio del riesgo que representen las operaciones de tratamiento.
Artículo 40
Consulta previa
1. El responsable consultará al Supervisor Europeo de Protección de Datos antes de proceder al tratamiento si una evaluación de impacto relativa a la protección de datos en virtud del artículo 39 muestra que, en ausencia de garantías, medidas de seguridad y mecanismos destinados a mitigar los riesgos, el tratamiento entrañaría un alto riesgo para los derechos y libertades de las personas físicas y el responsable del tratamiento considera que el riesgo no puede mitigarse por medios razonables teniendo en cuenta la tecnología disponible y los costes de aplicación. El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos acerca de la necesidad de una consulta previa.
2. Cuando el Supervisor Europeo de Protección de Datos considere que el tratamiento previsto a que se refiere el apartado 1 podría infringir el presente Reglamento, en particular cuando el responsable no haya identificado o mitigado suficientemente el riesgo, el Supervisor Europeo de Protección de Datos deberá, en un plazo de ocho semanas desde la solicitud de la consulta, asesorar por escrito al responsable, y en su caso al encargado, y podrá utilizar cualquiera de las potestades que le confiere el artículo 58. Dicho plazo podrá prorrogarse seis semanas, en función de la complejidad del tratamiento previsto. El Supervisor Europeo de Protección de Datos informará de tal prórroga al responsable y, en su caso, al encargado en el plazo de un mes a partir de la recepción de la solicitud de consulta, indicando los motivos de la dilación. Estos plazos podrán suspenderse hasta que el Supervisor Europeo de Protección de Datos haya obtenido la información solicitada a los fines de la consulta.
3. Cuando consulte al Supervisor Europeo de Protección de Datos con arreglo al apartado 1, el responsable del tratamiento le facilitará la información siguiente:
a) |
en su caso, las responsabilidades respectivas del responsable, los corresponsables y los encargados implicados en el tratamiento; |
b) |
los fines y medios del tratamiento previsto; |
c) |
las medidas y garantías establecidas para proteger los derechos y libertades de los interesados de conformidad con el presente Reglamento; |
d) |
los datos de contacto del delegado de protección de datos; |
e) |
la evaluación de impacto relativa a la protección de datos establecida en el artículo 39; y |
f) |
cualquier otra información que solicite el Supervisor Europeo de Protección de Datos. |
4. La Comisión podrá determinar, mediante un acto de ejecución, una lista de los casos en los que los responsables del tratamiento consultarán al Supervisor Europeo de Protección de Datos y recabarán su autorización previa en relación con el tratamiento de datos personales por un responsable en el ejercicio de una función realizada en interés público, en particular el tratamiento de dichos datos en relación con la protección social y la salud pública.
SECCIÓN 5
información y consulta legislativa
Artículo 41
Información y consulta
1. Las instituciones y organismos de la Unión informarán al Supervisor Europeo de Protección de Datos cuando elaboren medidas administrativas y normas internas relacionadas con el tratamiento de datos personales por parte de una institución u organismo de la Unión, ya sea aisladamente o junto con otros.
2. Las instituciones y organismos de la Unión consultarán al Supervisor Europeo de Protección de Datos cuando elaboren las normas internas a que se refiere el artículo 25.
Artículo 42
Consulta legislativa
1. Tras la adopción de propuestas de actos legislativos, de recomendaciones o de propuestas al Consejo en virtud del artículo 218 del TFUE, o cuando prepare actos delegados o actos de ejecución, la Comisión consultará al Supervisor Europeo de Protección de Datos cuando tengan repercusiones sobre la protección de los derechos y libertades de las personas en relación con el tratamiento de datos personales.
2. Cuando uno de los actos mencionados en el apartado 1 sea de especial importancia para la protección de los derechos y libertades de las personas en relación con el tratamiento de datos personales, la Comisión podrá consultar al Comité Europeo de Protección de Datos. En estos casos, el Supervisor Europeo de Protección de Datos y el Comité Europeo de Protección de Datos coordinarán su trabajo a fin de emitir un dictamen conjunto.
3. El asesoramiento mencionado en los apartados 1 y 2 será facilitado por escrito en un plazo de hasta ocho semanas desde la solicitud de la consulta mencionada en los apartados 1 y 2. En casos urgentes, o cuando se considere conveniente, la Comisión podrá acortar este plazo.
4. El presente artículo no será aplicable cuando la Comisión, de conformidad con el Reglamento (UE) 2016/679, deba consultar al Comité Europeo de Protección de Datos.
SECCIÓN 6
delegado de protección de datos
Artículo 43
Designación del delegado de protección de datos
1. Cada institución u organismo de la Unión designará un delegado de protección de datos.
2. Las instituciones y organismos de la Unión pueden designar a un único delegado de protección de datos para varias de ellas, teniendo en cuenta su estructura organizativa y tamaño.
3. El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 45.
4. El delegado de protección de datos formará parte de la plantilla de la institución u organismo de la Unión. Teniendo en cuenta su tamaño y si no se ejerce la facultad que dispone el apartado 2, las instituciones y organismos de la Unión podrán designar un delegado de protección de datos que desempeñe sus funciones en el marco de un contrato de servicios.
5. Las instituciones y organismos de la Unión publicarán los datos de contacto del delegado de protección de datos y los comunicarán al Supervisor Europeo de Protección de Datos.
Artículo 44
Posición del delegado de protección de datos
1. Las instituciones y organismos de la Unión garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
2. Las instituciones y organismos de la Unión respaldarán al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 45, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.
3. Las instituciones y organismos de la Unión garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.
4. Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento.
5. El delegado de protección de datos y su personal estarán obligados a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión.
6. El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.
7. El delegado de protección de datos podrá ser consultado por el responsable del tratamiento y el encargado del tratamiento, por el comité de personal afectado y por cualquier persona, sobre cualquier cuestión que se refiera a la interpretación o aplicación del presente Reglamento, sin necesidad de seguir los conductos oficiales. Nadie deberá sufrir perjuicio alguno por informar al delegado competente de protección de datos de que se ha cometido una infracción de lo dispuesto en el presente Reglamento.
8. El delegado de protección de datos será designado por un mandato de entre tres y cinco años y este podrá ser renovado. En caso de que deje de cumplir las condiciones requeridas para el ejercicio de sus funciones, el delegado de protección de datos podrá ser destituido de su cargo por la institución u organismo de la Unión que le haya designado solo previo consentimiento del Supervisor Europeo de Protección de Datos.
9. Tras haber designado al delegado de protección de datos, la institución u organismo de la Unión que le haya designado comunicará su nombre al Supervisor Europeo de Protección de Datos.
Artículo 45
Funciones del delegado de protección de datos
1. El delegado de protección de datos tendrá las siguientes funciones:
a) |
informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión; |
b) |
garantizar de forma independiente la aplicación interna del presente Reglamento y supervisar el cumplimiento del presente Reglamento, de otras normas aplicables de la Unión que contengan disposiciones de protección de datos y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes; |
c) |
velar por que los interesados sean informados de sus derechos y obligaciones con arreglo al presente Reglamento; |
d) |
ofrecer el asesoramiento que se le solicite acerca de la necesidad de notificar o comunicar una violación de la seguridad de los datos personales con arreglo a los artículos 34 y 35; |
e) |
ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 39 y consultar al Supervisor Europeo de Protección de Datos en caso de duda sobre la necesidad de una evaluación de impacto relativa a la protección de datos; |
f) |
ofrecer el asesoramiento que se le solicite acerca de la necesidad de una consulta previa del Supervisor Europeo de Protección de Datos de conformidad con el artículo 40; consultar a este en caso de duda sobre la necesidad de una consulta previa; |
g) |
responder a las solicitudes del Supervisor Europeo de Protección de Datos; en el marco de sus competencias, cooperar y consultar con el Supervisor Europeo de Protección de Datos a petición de este o por iniciativa propia; |
h) |
velar por que las operaciones de tratamiento no tengan efectos adversos sobre los derechos y las libertades de los interesados. |
2. El delegado de protección de datos podrá formular recomendaciones al responsable del tratamiento y al encargado del tratamiento, para la mejora práctica de la protección de datos y aconsejarles sobre cuestiones relativas a la puesta en práctica de las disposiciones sobre protección de datos. Por otra parte, por iniciativa propia o a petición del responsable o del encargado del tratamiento, del comité de personal afectado o de cualquier persona física, podrá investigar las cuestiones y los incidentes directamente relacionados con sus funciones que lleguen a su conocimiento e informar de ello a la persona que solicitó la investigación o al responsable o al encargado del tratamiento.
3. Cada institución u organismo de la Unión adoptará normas complementarias respecto al delegado de protección de datos. Las normas de aplicación se referirán en especial a las tareas, funciones y competencias del delegado de protección de datos.
CAPÍTULO V
TRANSFERENCIAS DE DATOS PERSONALES A TERCEROS PAÍSES U ORGANIZACIONES INTERNACIONALES
Artículo 46
Principio general de las transferencias
Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado.
Artículo 47
Transferencias basadas en una decisión de adecuación
1. Podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido, en virtud del artículo 45, apartado 3, del Reglamento (UE) 2016/679, o del artículo 36, apartado 3, de la Directiva (UE) 2016/680, que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado y cuando los datos se transfieran exclusivamente para permitir el ejercicio de funciones que sean competencia del responsable del tratamiento.
2. Las instituciones y organismos de la Unión informarán a la Comisión y al Supervisor Europeo de Protección de Datos de los casos en los que consideren que un tercer país, territorio o uno o varios sectores específicos de un tercer país, o una organización internacional de que se trate no garantizan un nivel de protección adecuado de acuerdo con el apartado 1.
3. Las instituciones y organismos de la Unión tomarán las medidas necesarias para cumplir las decisiones adoptadas por la Comisión cuando esta determine, en aplicación del artículo 45, apartados 3 o 5, del Reglamento (UE) 2016/679 o del artículo 36, apartados 3 o 5, de la Directiva (UE) 2016/680, que un tercer país, territorio o uno o varios sectores específicos de un tercer país, o una organización internacional garantizan o ya no garantizan un nivel de protección adecuado.
Artículo 48
Transferencias mediante garantías adecuadas
1. A falta de una decisión con arreglo al artículo 45, apartado 3, del Reglamento (UE) 2016/679, o al artículo 36, apartado 3, de la Directiva (UE) 2016/680, el responsable del tratamiento o el encargado del tratamiento solo podrá transferir datos personales a un tercer país o a una organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.
2. Las garantías adecuadas con arreglo al apartado 1 podrán ser aportadas, sin que se requiera ninguna autorización expresa del Supervisor Europeo de Protección de Datos, por los medios siguientes:
a) |
un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos; |
b) |
cláusulas tipo de protección de datos adoptadas por la Comisión de conformidad con el procedimiento de examen a que se refiere el artículo 96, apartado 2; |
c) |
cláusulas tipo de protección de datos adoptadas por el Supervisor Europeo de Protección de Datos y aprobadas por la Comisión con arreglo al procedimiento de examen a que se refiere en el artículo 96, apartado 2; |
d) |
cuando el encargado del tratamiento no sea una institución u organismo de la Unión, normas corporativas vinculantes, códigos de conducta o mecanismos de certificación con arreglo al artículo 46, apartado 2, letras b), e) y f), del Reglamento (UE) 2016/679. |
3. Siempre que exista autorización del Supervisor Europeo de Protección de Datos, las garantías adecuadas referidas en el apartado 1 también podrán ser aportadas, en particular, mediante:
a) |
cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional, o |
b) |
disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados. |
4. Las autorizaciones concedidas por el Supervisor Europeo de Protección de Datos de conformidad con el artículo 9, apartado 7, del Reglamento (CE) n.o 45/2001 seguirán siendo válidas hasta que hayan sido modificadas, sustituidas o derogadas, en caso necesario, por este.
5. Las instituciones y organismos de la Unión informarán al Supervisor Europeo de Protección de Datos de las categorías de casos en que el presente artículo haya sido aplicado.
Artículo 49
Transferencias o comunicaciones no autorizadas por el Derecho de la Unión
Cualquier sentencia de un órgano jurisdiccional o decisión de una autoridad administrativa de un tercer país que exijan que un responsable o encargado del tratamiento transfiera o comunique datos personales únicamente será reconocida o ejecutable en cualquier modo si se basa en un acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente entre el tercer país requirente y la Unión, sin perjuicio de otros motivos para la transferencia al amparo del presente capítulo.
Artículo 50
Excepciones para situaciones específicas
1. A falta de una decisión de adecuación de conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679, o el artículo 36, apartado 3, de la Directiva (UE) 2016/680, o de garantías adecuadas de conformidad con el artículo 48 del presente Reglamento, solo podrá realizarse una transferencia o una serie de transferencias de datos personales a un tercer país o una organización internacional si se cumple alguna de las condiciones siguientes:
a) |
el interesado haya prestado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas; |
b) |
la transferencia sea necesaria para el cumplimiento de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado; |
c) |
la transferencia sea necesaria para la celebración o el cumplimiento de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica; |
d) |
la transferencia sea necesaria por razones importantes de interés público; |
e) |
la transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones; o |
f) |
la transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para prestar su consentimiento; o |
g) |
la transferencia se realice desde un registro que, con arreglo al Derecho de la Unión, tenga por objeto proporcionar información al público y que esté disponible para consulta del público en general o de cualquier persona que pueda demostrar un interés legítimo, pero solo en la medida en que en ese caso particular se cumplan las condiciones que establece el Derecho de la Unión para la consulta. |
2. Las letras a), b) y c) del apartado 1 no serán aplicables a las actividades llevadas a cabo por las instituciones y organismos de la Unión en el ejercicio de sus potestades públicas.
3. El interés público indicado en el apartado 1, letra d), será reconocido por el Derecho de la Unión.
4. Una transferencia efectuada de conformidad con el apartado 1, letra g), no abarcará la totalidad de los datos personales ni categorías enteras de datos personales contenidos en el registro, a menos que así lo autorice el Derecho de la Unión. Si la finalidad del registro es la consulta por parte de personas que tengan un interés legítimo, la transferencia solo se efectuará a solicitud de dichas personas o si estas han de ser las destinatarias.
5. En ausencia de una decisión por la que se constate la adecuación de la protección de los datos, el Derecho de la Unión podrá, por razones importantes de interés público, establecer expresamente límites a la transferencia de categorías específicas de datos personales a un tercer país u organización internacional.
6. Las instituciones y organismos de la Unión informarán al Supervisor Europeo de Protección de Datos de las categorías de casos en que el presente artículo haya sido aplicado.
Artículo 51
Cooperación internacional en el ámbito de la protección de datos personales
En relación con los terceros países y las organizaciones internacionales, el Supervisor Europeo de Protección de Datos, en cooperación con la Comisión y el Comité Europeo de Protección de Datos, tomará medidas apropiadas para:
a) |
crear mecanismos de cooperación internacional que faciliten la aplicación eficaz de la legislación relativa a la protección de datos personales; |
b) |
prestarse mutuamente asistencia a escala internacional en la aplicación de la legislación relativa a la protección de datos personales, en particular mediante la notificación, la remisión de reclamaciones, la asistencia en las investigaciones y el intercambio de información, a reserva de las garantías adecuadas para la protección de los datos personales y otros derechos y libertades fundamentales; |
c) |
asociar a partes interesadas en la materia a los debates y actividades destinados a reforzar la cooperación internacional en la aplicación de la legislación relativa a la protección de datos personales; |
d) |
promover el intercambio y la documentación de la legislación y las prácticas en materia de protección de datos personales, inclusive en materia de conflictos de jurisdicción con terceros países. |
CAPÍTULO VI
SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS
Artículo 52
Supervisor Europeo de Protección de Datos
1. Se crea el Supervisor Europeo de Protección de Datos.
2. Por lo que respecta al tratamiento de los datos personales, el Supervisor Europeo de Protección de Datos velará por que los derechos y libertades fundamentales de las personas físicas, en particular el derecho de las mismas a la protección de datos, sean respetados por las instituciones y organismos de la Unión.
3. El Supervisor Europeo de Protección de Datos garantizará y supervisará la aplicación de las disposiciones del presente Reglamento y de cualquier otro acto de la Unión relacionado con la protección de los derechos y libertades fundamentales de las personas físicas en lo que respecta al tratamiento de datos personales por parte de una institución u organismo de la Unión, y asesorará a las instituciones y organismos de la Unión, así como a los interesados, en todas las cuestiones relacionadas con el tratamiento de datos personales. Con este fin, el Supervisor Europeo de Protección de Datos ejercerá las funciones establecidas en el artículo 57 y las competencias que le confiere el artículo 58.
4. El Reglamento (CE) n.o 1049/2001 se aplicará a los documentos que estén en poder del Supervisor Europeo de Protección de Datos. El Supervisor Europeo de Protección de Datos adoptará las normas de aplicación del Reglamento (CE) n.o 1049/2001 con respecto a dichos documentos.
Artículo 53
Nombramiento del Supervisor Europeo de Protección de Datos
1. El Parlamento Europeo y el Consejo nombrarán de común acuerdo al Supervisor Europeo de Protección de Datos por un mandato de cinco años, sobre la base de una lista elaborada por la Comisión como resultado de una convocatoria pública de candidaturas. La convocatoria de candidaturas permitirá a las partes interesadas de toda la Unión presentar sus candidaturas. La lista de candidatos será pública y constará como mínimo de tres candidatos. Sobre la base de la lista elaborada por la Comisión, la comisión competente del Parlamento Europeo podrá decidir la celebración de una audiencia con objeto de definir una preferencia.
2. La lista de candidatos a que se refiere el apartado 1 estará compuesta por personas cuya independencia esté fuera de toda duda y que posean un conocimiento especializado en protección de datos, así como de la experiencia y competencia necesarias para el cumplimiento de las funciones de Supervisor Europeo de Protección de Datos.
3. El mandato del Supervisor Europeo de Protección de Datos será renovable una sola vez.
4. El mandato del Supervisor Europeo de Protección de Datos llegará a su fin en las siguientes circunstancias:
a) |
si el Supervisor Europeo de Protección de Datos es sustituido; |
b) |
si el Supervisor Europeo de Protección de Datos dimite; |
c) |
si el Supervisor Europeo de Protección de Datos es despedido u obligado a jubilarse. |
5. El Supervisor Europeo de Protección de Datos podrá ser destituido o desposeído de su derecho de pensión u otros privilegios equivalentes por el Tribunal de Justicia a petición del Parlamento Europeo, el Consejo o la Comisión si dejare de cumplir las condiciones necesarias para el ejercicio de sus funciones o hubiere cometido una falta grave.
6. En los casos de renovación periódica y dimisión voluntaria, el Supervisor Europeo de Protección de Datos permanecerá en funciones hasta su sustitución.
7. Los artículos 11 a 14 y 17 del Protocolo sobre los privilegios y las inmunidades de la Unión Europea serán aplicables al Supervisor Europeo de Protección de Datos.
Artículo 54
Estatuto y condiciones generales de ejercicio de las funciones de Supervisor Europeo de Protección de Datos, personal y recursos financieros
1. El Supervisor Europeo de Protección de Datos recibirá la misma consideración que un juez del Tribunal de Justicia en cuanto a la determinación de su salario, asignaciones, pensión de jubilación y demás ventajas de carácter retributivo.
2. La autoridad presupuestaria garantizará que el Supervisor Europeo de Protección de Datos disponga de los recursos humanos y financieros necesarios para el ejercicio de sus funciones.
3. El presupuesto del Supervisor Europeo de Protección de Datos figurará en una línea propia de la sección del presupuesto general de la Unión dedicada a los gastos administrativos.
4. El Supervisor Europeo de Protección de Datos estará asistido por una secretaría. Los funcionarios y otros miembros del personal de la secretaría serán nombrados por el Supervisor Europeo de Protección de Datos, que será su superior jerárquico. Estarán sometidos exclusivamente a su dirección. El número de puestos se decidirá anualmente en el marco del procedimiento presupuestario. Al personal del Supervisor Europeo de Protección de Datos que participe en la realización de las funciones atribuidas al Comité Europeo de Protección de Datos por el Derecho de la Unión se le aplicará el artículo 75, apartado 2, del Reglamento (UE) 2016/679.
5. Los funcionarios y otros miembros del personal de la secretaría del Supervisor Europeo de Protección de Datos estarán sujetos a los reglamentos y normas aplicables a los funcionarios y otros agentes de la Unión.
6. El Supervisor Europeo de Protección de Datos tendrá su sede en Bruselas.
Artículo 55
Independencia
1. El Supervisor Europeo de Protección de Datos actuará con total independencia en el desempeño de sus funciones y en el ejercicio de sus competencias de conformidad con el presente Reglamento.
2. El Supervisor Europeo de Protección de Datos será ajeno, en el desempeño de sus funciones y en el ejercicio de sus potestades de conformidad con el presente Reglamento, a toda influencia externa, ya sea directa o indirecta, y no solicitará ni admitirá ninguna instrucción.
3. El Supervisor Europeo de Protección de Datos se abstendrá de cualquier acción incompatible con sus funciones y de desempeñar, durante su mandato, ninguna otra actividad profesional, sea o no retribuida.
4. Tras la finalización de su mandato, el Supervisor Europeo de Protección de Datos actuará con integridad y discreción en lo que respecta a la aceptación de nombramientos y privilegios.
Artículo 56
Secreto profesional
El Supervisor Europeo de Protección de Datos y su personal estarán sujetos, incluso después de haber cesado en sus funciones, al deber de secreto profesional sobre las informaciones confidenciales a las que hayan tenido acceso durante el ejercicio de sus funciones.
Artículo 57
Funciones
1. Sin perjuicio de otras funciones en virtud del presente Reglamento, incumbirá al Supervisor Europeo de Protección de Datos:
a) |
supervisar y garantizar la aplicación del presente Reglamento por parte de las instituciones y organismos de la Unión, con excepción del tratamiento de datos personales por el Tribunal de Justicia cuando actúe en el ejercicio de sus funciones jurisdiccionales; |
b) |
promover la sensibilización del público y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento. Las actividades dirigidas específicamente a los niños deberán ser objeto de especial atención; |
c) |
promover la sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en virtud del presente Reglamento; |
d) |
previa solicitud, facilitar información a cualquier interesado en relación con el ejercicio de sus derechos en virtud del presente Reglamento y, en su caso, cooperar a tal fin con las autoridades de control nacionales; |
e) |
tratar las reclamaciones presentadas por un interesado o por un organismo, organización o asociación de conformidad con el artículo 67, e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control; |
f) |
llevar a cabo investigaciones sobre la aplicación del presente Reglamento, en particular basándose en información recibida de otra autoridad de control u otra autoridad pública; |
g) |
asesorar, por iniciativa propia o previa solicitud, a todas las instituciones y organismos de la Unión sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas en lo que respecta al tratamiento de datos personales; |
h) |
hacer un seguimiento de cambios que sean de interés, en la medida en que tengan incidencia en la protección de datos personales, en particular el desarrollo de las tecnologías de la información y la comunicación; |
i) |
adoptar las cláusulas contractuales tipo a que se refieren el artículo 29, apartado 8, y el artículo 48, apartado 2, letra c); |
j) |
elaborar y mantener una lista relativa al requisito de la evaluación de impacto relativa a la protección de datos, en virtud del artículo 39, apartado 4; |
k) |
participar en las actividades del Comité Europeo de Protección de Datos; |
l) |
facilitar una secretaría al Comité Europeo de Protección de Datos, de conformidad con el artículo 75 del Reglamento (UE) 2016/679; |
m) |
ofrecer asesoramiento sobre el tratamiento contemplado en el artículo 40, apartado 2; |
n) |
autorizar las cláusulas contractuales y disposiciones a que se refiere el artículo 48, apartado 3; |
o) |
llevar registros internos de las infracciones del presente Reglamento y de las medidas adoptadas de conformidad con el artículo 58, apartado 2, |
p) |
desempeñar cualquier otra función relacionada con la protección de los datos personales; y |
q) |
adoptar su reglamento interno. |
2. El Supervisor Europeo de Protección de Datos facilitará la presentación de las reclamaciones contempladas en el apartado 1, letra e), mediante un formulario de presentación de reclamaciones que pueda cumplimentarse también por medios electrónicos, sin excluir otros medios de comunicación.
3. El desempeño de las funciones del Supervisor Europeo de Protección de Datos será gratuito para el interesado.
4. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el Supervisor Europeo de Protección de Datos podrá negarse a actuar respecto de la solicitud. La carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud recaerá en el Supervisor Europeo de Protección de Datos.
Artículo 58
Potestades
1. El Supervisor Europeo de Protección de Datos dispondrá de las potestades de investigación indicados a continuación:
a) |
ordenar al responsable y al encargado del tratamiento que faciliten cualquier información que requiera para el desempeño de sus funciones; |
b) |
llevar a cabo investigaciones en forma de auditorías de protección de datos; |
c) |
notificar al responsable o al encargado del tratamiento las presuntas infracciones del presente Reglamento; |
d) |
obtener del responsable y del encargado del tratamiento el acceso a todos los datos personales y a toda la información necesaria para el ejercicio de sus funciones; |
e) |
obtener el acceso a todos los locales del responsable y del encargado del tratamiento, incluidos cualesquiera equipos y medios de tratamiento de datos, de conformidad con el Derecho de la Unión. |
2. El Supervisor Europeo de Protección de Datos dispondrá de las potestades correctivas indicadas a continuación:
a) |
dirigir a todo responsable o encargado del tratamiento una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el presente Reglamento; |
b) |
dirigir a todo responsable o encargado del tratamiento un apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento; |
c) |
someter asuntos al responsable o encargado del tratamiento de que se trate y, en su caso, al Parlamento Europeo, al Consejo y a la Comisión; |
d) |
ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento; |
e) |
ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado; |
f) |
ordenar al responsable del tratamiento que comunique al interesado las violaciones de la seguridad de los datos personales; |
g) |
imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición; |
h) |
ordenar la rectificación o supresión de datos personales o la limitación de tratamiento con arreglo a los artículos 18, 19 y 20 y la notificación de dichas medidas a los destinatarios a quienes se hayan comunicado datos personales con arreglo al artículo 19, apartado 2, y al artículo 21; |
i) |
imponer una multa administrativa con arreglo al artículo 66, en caso de incumplimiento por parte de una institución u organismo de la Unión de alguna de las medidas mencionadas en las letras (d) a (h) y (j) del presente apartado, en función de las circunstancias de cada caso particular; |
j) |
ordenar la suspensión de los flujos de datos hacia un destinatario situado en un Estado miembro o un tercer país o hacia una organización internacional. |
3. El Supervisor Europeo de Protección de Datos dispondrá de las potestades de autorización y consultivos indicados a continuación:
a) |
asesorar a los interesados en el ejercicio de sus derechos; |
b) |
asesorar al responsable del tratamiento conforme al procedimiento de consulta previa que menciona el artículo 40, y de acuerdo con el artículo 41, apartado 2; |
c) |
emitir, por iniciativa propia o previa solicitud, dictámenes destinados a las instituciones y organismos de la Unión y al público, sobre cualquier asunto relacionado con la protección de los datos personales; |
d) |
adoptar las cláusulas tipo de protección de datos contempladas en el artículo 29, apartado 8, y el artículo 48, apartado 2, letra c); |
e) |
autorizar las cláusulas contractuales indicadas en el artículo 48, apartado 3, letra a); |
f) |
autorizar los acuerdos administrativos contemplados en el artículo 48, apartado 3, letra b); |
g) |
autorizar las operaciones de tratamiento con arreglo a actos de ejecución adoptados de conformidad con el artículo 40, apartado 4. |
4. El Supervisor Europeo de Protección de Datos estará facultado para someter un asunto al Tribunal de Justicia en las condiciones previstas en los Tratados e intervenir en los asuntos presentados ante dicho Tribunal.
5. El ejercicio de las potestades conferidas al Supervisor Europeo de Protección de Datos en virtud del presente artículo estará sujeto a las garantías adecuadas, incluida la tutela judicial efectiva y el respeto de las garantías procesales, establecidas en el Derecho de la Unión.
Artículo 59
Obligación de los responsables y encargados del tratamiento de responder a las alegaciones
Cuando el Supervisor Europeo de Protección de Datos ejerza las facultades establecidas en el artículo 58, apartado 2, letras a), b) y c), el responsable del tratamiento o encargado del tratamiento en cuestión le comunicará su opinión en un plazo razonable fijado por el Supervisor Europeo de Protección de Datos, teniendo en cuenta las circunstancias de cada caso. La respuesta comprenderá asimismo una descripción de las medidas adoptadas, en su caso, a raíz de las observaciones del Supervisor Europeo de Protección de Datos.
Artículo 60
Informe de actividad
1. El Supervisor Europeo de Protección de Datos presentará anualmente al Parlamento Europeo, al Consejo y a la Comisión un informe sobre sus actividades, que paralelamente hará público.
2. El Supervisor Europeo de Protección de Datos transmitirá el informe al que se refiere el apartado 1 a las demás instituciones y organismos de la Unión, los cuales podrán presentar comentarios con vistas a un posible examen del informe por parte del Parlamento Europeo.
CAPÍTULO VII
COOPERACIÓN Y COHERENCIA
Artículo 61
Cooperación entre el Supervisor Europeo de Protección de Datos y las autoridades de control nacionales
El Supervisor Europeo de Protección de Datos cooperará con las autoridades de control nacionales y con la Autoridad de Supervisión Común creada por el artículo 25 de la Decisión 2009/917/JAI del Consejo (19) en la medida necesaria para el ejercicio de sus respectivas funciones, en particular intercambiando entre sí información pertinente, se instarán mutuamente a ejercer sus potestades y responderán a las solicitudes del otro.
Artículo 62
Supervisión coordinada del Supervisor Europeo de Protección de Datos y las autoridades de control nacionales
1. Cuando un acto de la Unión haga referencia al presente artículo, el Supervisor Europeo de Protección de Datos y las autoridades de control nacionales, cada uno en el ámbito de sus competencias respectivas, cooperarán de forma activa en el marco de sus responsabilidades a fin de garantizar una supervisión efectiva de los sistemas informáticos a gran escala y de los órganos y organismos de la Unión.
2. En sus respectivos ámbitos de competencia y, en la medida necesaria, actuando cada uno en el marco de sus responsabilidades, intercambiarán la información oportuna, se prestarán mutuamente ayuda en el desarrollo de las auditorías e inspecciones, examinarán las dificultades de interpretación o aplicación del presente Reglamento y de otros actos de la Unión aplicables, estudiarán los problemas que plantee el ejercicio de una supervisión independiente o que surjan en el ejercicio de los derechos de los interesados, elaborarán propuestas armonizadas para aportar soluciones a cualquier problema existente y fomentarán el conocimiento de los derechos relacionados con la protección de dato.
3. A los fines establecidos en el apartado 2, el Supervisor Europeo de Protección de Datos y las autoridades de control nacionales se reunirán al menos dos veces al año en el marco del Comité Europeo de Protección de Datos. A tal fin, el Comité Europeo de Protección de Datos podrá desarrollar nuevos métodos de trabajo en función de las necesidades.
4. Cada dos años el Comité Europeo de Protección de Datos remitirá al Parlamento Europeo, al Consejo y a la Comisión un informe conjunto sobre las actividades relativas a la supervisión coordinada.
CAPÍTULO VIII
RECURSOS, RESPONSABILIDAD Y SANCIONES
Artículo 63
Derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos
1. Sin perjuicio de los recursos judiciales, administrativos o extrajudiciales, todo interesado tendrá derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos si considera que el tratamiento de sus datos personales infringe el presente Reglamento.
2. El Supervisor Europeo de Protección de Datos informará al reclamante del curso y el resultado de la reclamación, inclusive sobre la posibilidad de acceder a la tutela judicial en virtud del artículo 64.
3. Si el Supervisor Europeo de Protección de Datos no da curso a la reclamación o no informa al interesado en el plazo de tres meses sobre el curso o el resultado de la reclamación, se entenderá que el Supervisor Europeo de Protección de Datos ha adoptado una decisión negativa.
Artículo 64
Derecho a la tutela judicial efectiva
1. El Tribunal de Justicia será competente en todos los litigios relativos a las disposiciones del presente Reglamento, incluidas las acciones de indemnización por daños y perjuicios.
2. Las decisiones del Supervisor Europeo de Protección de Datos, incluidas las decisiones a que se refiere el artículo 63, apartado 3, podrán recurrirse ante el Tribunal de Justicia.
3. El Tribunal de Justicia gozará de competencia jurisdiccional plena para revisar las multas administrativas a que se hace referencia en el artículo 66. Podrá anular, reducir o incrementar el importe de dichas multas, dentro de los límites del artículo 66.
Artículo 65
Derecho a indemnización
Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir de la institución u organismo de la Unión responsable una indemnización por los daños y perjuicios sufridos, con arreglo a las condiciones previstas en los Tratados.
Artículo 66
Multas administrativas
1. El Supervisor Europeo de Protección de Datos podrá imponer multas administrativas a las instituciones y organismos de la Unión, según las circunstancias de cada caso particular, cuando estas incumplan una de sus resoluciones con arreglo a lo dispuesto en el artículo 58, apartado 2, letras d) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) |
la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido; |
b) |
cualquier medida tomada por la institución u organismo de la Unión para paliar los daños y perjuicios sufridos por los interesados; |
c) |
el grado de responsabilidad de la institución u organismo de la Unión, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 27 y 33; |
d) |
toda infracción anterior similar cometida por la institución u organismo de la Unión; |
e) |
el grado de cooperación con el Supervisor Europeo de Protección de Datos con el fin de poner remedio a la infracción y mitigar sus posibles efectos adversos; |
f) |
las categorías de los datos de carácter personal afectados por la infracción; |
g) |
la forma en que el Supervisor Europeo de Protección de Datos tuvo conocimiento de la infracción, en particular si la institución u organismo de la Unión la notificó y, en tal caso, en qué medida; |
h) |
el cumplimiento de cualquiera de las medidas indicadas en el artículo 58 que hayan sido ordenadas previamente contra la institución u organismo de la Unión de que se trate en relación con el mismo asunto. Los procedimientos que llevan a la imposición de dichas multas se llevarán a cabo en un plazo razonable según las circunstancias de cada caso y teniendo en cuenta las acciones pertinentes y los procedimientos mencionados en el artículo 69. |
2. Las infracciones de las obligaciones de la institución u organismo de la Unión en virtud de los artículos 8, 12, 27 a 35, 39, 40, 43, 44 y 45 se sancionarán, de acuerdo con el apartado 1, con multas administrativas de hasta 25 000 EUR como máximo por cada infracción, hasta un total de 250 000 EUR al año.
3. Las infracciones de las disposiciones siguientes por parte de la institución u organismo de la Unión se sancionarán, de acuerdo con el apartado 1, con multas administrativas de hasta 50 000 EUR como máximo por cada infracción, hasta un total de 500 000 EUR al año:
a) |
los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 4, 5, 7 y 10; |
b) |
los derechos de los interesados a tenor de los artículos 14 a 24; |
c) |
las transferencias de datos personales a un destinatario en un tercer país o una organización internacional a tenor de los artículos 46 a 50. |
4. Si una institución u organismo de la Unión incumpliera, para las mismas operaciones de tratamiento, operaciones vinculadas u operaciones continuas, diversas disposiciones del presente Reglamento o la misma disposición en varias ocasiones, la cuantía total de la multa administrativa no será superior a la cuantía prevista para las infracciones más graves.
5. Antes de tomar ninguna decisión en virtud de este artículo, el Supervisor Europeo de Protección de Datos ofrecerá a la institución u organismo de la Unión sometida al procedimiento instruido por el Supervisor Europeo de Protección de Datos la oportunidad de manifestar su opinión con respecto a los cargos que le sean imputados por este. El Supervisor Europeo de Protección de Datos basará sus decisiones únicamente en las objeciones sobre las que las partes afectadas hayan podido manifestarse. Los denunciantes participarán estrechamente en el procedimiento.
6. Los derechos de defensa de las partes estarán garantizados plenamente en el curso del procedimiento. Tendrán derecho a acceder al expediente del Supervisor Europeo de Protección de Datos, sin perjuicio del interés legítimo de las personas físicas y las empresas en la protección de sus datos personales o secretos comerciales.
7. La recaudación proveniente de la imposición de multas con arreglo al presente artículo pasará a engrosar los ingresos del presupuesto general de la Unión.
Artículo 67
Representación de los interesados
El interesado tendrá derecho a dar mandato a una entidad, organización o asociación sin ánimo de lucro que haya sido correctamente constituida con arreglo al Derecho de la Unión o de un Estado miembro, cuyos objetivos legales sean de interés público y que actúe en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales, para que presente en su nombre la reclamación ante el Supervisor Europeo de Protección de Datos, y ejerza en su nombre los derechos recogidos en los artículos 63 y 64, y el derecho a ser indemnizado mencionado en el artículo 65.
Artículo 68
Reclamaciones del personal de la Unión
Toda persona empleada por una institución u organismo de la Unión podrá presentar una reclamación ante el Supervisor Europeo de Protección de Datos en caso de presunta infracción de las disposiciones del presente Reglamento, incluso sin necesidad de seguir los conductos oficiales. Nadie habrá de sufrir perjuicio alguno por haber presentado una reclamación ante el Supervisor Europeo de Protección de Datos en la que se denuncie tal infracción.
Artículo 69
Sanciones
En el supuesto de que un funcionario u otro agente de la Unión incumpla, ya sea intencionadamente o por negligencia, las obligaciones establecidas en el presente Reglamento, dicho funcionario u otro agente quedará sujeto a medidas disciplinarias o de otro tipo, de conformidad con las normas y procedimientos establecidos en el Estatuto de los funcionarios.
CAPÍTULO IX
TRATAMIENTO DE DATOS PERSONALES OPERATIVOS POR LOS ÓRGANOS Y ORGANISMOS DE LA UNIÓN CUANDO LLEVAN A CABO ACTIVIDADES COMPRENDIDAS EN EL ÁMBITO DE APLICACIÓN DE LOS CAPÍTULOS 4 O 5 DEL TÍTULO V DE LA TERCERA PARTE DEL TFUE
Artículo 70
Ámbito de aplicación del capítulo
El presente capítulo se aplicará exclusivamente al tratamiento de datos personales operativos por los órganos y organismos de la Unión cuando llevan a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE, sin perjuicio de las normas específicas en materia de protección de datos aplicables a dichos órganos u organismos de la Unión.
Artículo 71
Principios relativos al tratamiento de datos personales operativos
1. Los datos personales operativos serán:
a) |
tratados de manera lícita y leal («licitud y lealtad»); |
b) |
recogidos con fines determinados, explícitos y legítimos, y no serán tratados de forma incompatible con esos fines («limitación de la finalidad»); |
c) |
adecuados, pertinentes y no excesivos en relación con los fines para los que se traten («minimización de los datos»); |
d) |
exactos y, si fuera necesario, actualizados; se tomarán todas las medidas razonables para la supresión o rectificación sin dilación de los datos personales que sean inexactos en relación con los fines para los que son tratados («exactitud»); |
e) |
conservados de una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que son tratados («limitación de la conservación»); |
f) |
tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»). |
2. Se permitirá el tratamiento de los datos personales operativos por el mismo responsable del tratamiento o por otro para cualquier fin establecido en el acto jurídico que establezca el órgano u organismo de la Unión, distinto del fin para el que se recojan dichos datos en la medida en que:
a) |
el responsable del tratamiento esté autorizado a tratar dichos datos personales operativos para ese fin de conformidad con el Derecho de la Unión; y |
b) |
el tratamiento sea necesario y proporcionado para ese otro fin de conformidad con el Derecho de la Unión. |
3. El tratamiento por el mismo responsable del tratamiento o por otro podrá incluir el archivo en el interés público, el uso científico, estadístico o histórico para los fines establecidos en el acto jurídico por el que se establezca el órgano u organismo de la Unión, con sujeción a las salvaguardias adecuadas para los derechos y libertades de los interesados.
4. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en los apartados 1, 2 y 3, y capaz de demostrarlo.
Artículo 72
Licitud del tratamiento de datos personales operativos
1. El tratamiento de datos personales operativos será lícito únicamente cuando, y en la medida en que, dicho tratamiento sea necesario para el ejercicio de una función efectuada por órganos y organismos de la Unión cuando llevan a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE y esté basado en el Derecho de la Unión.
2. Los actos jurídicos específicos de la Unión que regulen el tratamiento dentro del ámbito de aplicación del presente capítulo especificarán, como mínimo, los fines del tratamiento y los plazos de conservación de los datos personales operativos o para la revisión periódica de la necesidad de un nuevo almacenamiento de los datos personales operativos.
Artículo 73
Distinción entre diferentes categorías de interesados
Cuando corresponda, y en la medida de lo posible, el responsable del tratamiento hará una distinción clara entre los datos personales operativos de las distintas categorías de interesados, como por ejemplo las categorías mencionadas en los actos jurídicos por los que se establecen los órganos y organismos de la Unión.
Artículo 74
Distinción entre datos personales operativos y verificación de la calidad de los datos personales operativos
1. El responsable del tratamiento distinguirá, en la medida de lo posible, los datos personales operativos basados en hechos de los datos personales operativos basados en evaluaciones personales.
2. El responsable del tratamiento tomará todas las medidas razonables para garantizar que los datos personales operativos que sean inexactos, incompletos o que no estén actualizados no se transmitan ni se pongan a disposición. Para ello, el responsable del tratamiento verificará, en la medida en que sea factible y cuando sea pertinente, la calidad de los datos personales operativos antes de transmitirlos o ponerlos a disposición de terceros, por ejemplo consultando a la autoridad competente de la que proceden los datos. En la medida de lo posible, en todas las transmisiones de datos personales operativos, el responsable del tratamiento añadirá la información necesaria para que el destinatario pueda valorar en qué medida los datos personales operativos son exactos, completos y fiables, y en qué medida están actualizados.
3. Si se observara que se han transmitido datos personales operativos incorrectos o se han transmitido datos personales operativos ilícitamente, el hecho deberá ponerse en conocimiento del destinatario sin dilación. En tal caso, los datos personales operativos de que se trate deberán rectificarse o suprimirse, o su tratamiento deberá limitarse de conformidad con el artículo 82.
Artículo 75
Condiciones específicas de tratamiento
1. Cuando el Derecho de la Unión aplicable al responsable del tratamiento encargado de la transmisión establezca condiciones específicas para el tratamiento, el responsable del tratamiento informará de dichas condiciones y de la exigencia de cumplirlas al destinatario de dichos datos personales operativos.
2. El responsable del tratamiento cumplirá las condiciones específicas de tratamiento establecidas por la autoridad competente para la transmisión de conformidad con el artículo 9, apartados 3 y 4, de la Directiva (UE) 2016/680.
Artículo 76
Tratamiento de categorías especiales de datos personales operativos
1. El tratamiento de datos personales operativos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, así como el tratamiento de datos genéticos, datos biométricos destinados a identificar de manera unívoca a una persona física, datos personales operativos relativos a la salud o a la vida sexual o las orientaciones sexuales de una persona física solo se permitirá cuando sea estrictamente necesario por razones operativas, dentro del mandato del órgano u organismo de la Unión de que se trate y con sujeción a las salvaguardias adecuadas para los derechos y libertades del interesado. Estará prohibida la discriminación de personas físicas sobre la base de dichos datos.
2. Cuando se invoque el presente artículo se informará sin demora al delegado de protección de datos.
Artículo 77
Mecanismo de decisión individual automatizado, incluida la elaboración de perfiles
1. Estarán prohibidas las decisiones basadas únicamente en un tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos negativos para el interesado o le afecten significativamente, salvo que estén autorizadas por el Derecho de la Unión a la que esté sujeto el responsable del tratamiento y que establezca medidas adecuadas para salvaguardar los derechos y libertades del interesado, al menos el derecho a obtener la intervención humana por parte del responsable del tratamiento.
2. Las decisiones a que se refiere el apartado 1 del presente artículo no se basarán en las categorías especiales de datos personales contempladas en el artículo 76, salvo que se hayan tomado las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.
3. La elaboración de perfiles que dé lugar a una discriminación de las personas físicas basándose en las categorías especiales de datos personales establecidas en el artículo 76 quedará prohibida, de conformidad con el Derecho de la Unión.
Artículo 78
Comunicación y modalidades de ejercicio de los derechos de los interesados
1. El responsable del tratamiento adoptará medidas razonables para facilitar al interesado toda la información a que se refiere el artículo 79, así como cualquier comunicación a que se refieren los artículos 80 a 84 y 92 relativa al tratamiento, de forma concisa, inteligible y de fácil acceso, con un lenguaje claro y sencillo. La información será facilitada por cualquier medio adecuado, inclusive por medios electrónicos. Como norma general, el responsable del tratamiento facilitará la información por un medio idéntico al utilizado para la solicitud.
2. El responsable del tratamiento deberá facilitar el ejercicio de los derechos de los interesados con arreglo a lo dispuesto en los artículos 79 a 84.
3. El responsable del tratamiento informará por escrito al interesado, sin dilación indebida, sobre el curso dado a su solicitud y en cualquier caso en un plazo de tres meses a partir de la recepción de la solicitud por el interesado.
4. El responsable del tratamiento dispondrá que la información facilitada con arreglo al artículo 79 y cualquier comunicación efectuada y acción realizada en virtud de los artículos 80 a 84 y 92 a título gratuito. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá negarse a actuar respecto de la solicitud. El responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.
5. Cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona física que curse la solicitud a que se refieren los artículos 80 u 82 podrá solicitar que se facilite la información complementaria necesaria para confirmar la identidad del interesado.
Artículo 79
Información que debe ponerse a disposición del interesado o que se le debe proporcionar
1. El responsable del tratamiento pondrá a disposición del interesado al menos la siguiente información:
a) |
la identidad y los datos de contacto del órgano u organismo de la Unión; |
b) |
los datos de contacto del delegado de protección de datos; |
c) |
los fines del tratamiento a que se destinen los datos personales operativos; |
d) |
el derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos y los datos de contacto de este; |
e) |
la existencia del derecho a solicitar del responsable el acceso a los datos personales operativos relativos al interesado, y su rectificación o su supresión, o la limitación de su tratamiento. |
2. Además de la información indicada en el apartado 1, el responsable del tratamiento proporcionará al interesado, en los casos específicos previstos en el Derecho de la Unión, la siguiente información adicional, a fin de permitir el ejercicio de sus derechos:
a) |
la base jurídica del tratamiento; |
b) |
el plazo durante el cual se conservarán los datos personales operativos o, cuando esto no sea posible, los criterios utilizados para determinar ese plazo; |
c) |
cuando corresponda, las categorías de destinatarios de los datos personales operativos, en particular en terceros países u organizaciones internacionales; |
d) |
cuando sea necesario, más información, en particular cuando los datos personales operativos se hayan recogido sin conocimiento del interesado. |
3. El responsable del tratamiento podrá retrasar, limitar u omitir la puesta a disposición del interesado de la información en virtud del apartado 2 siempre y cuando una medida de esa naturaleza constituya una medida necesaria y proporcionada en una sociedad democrática, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos de la persona física afectada, para:
a) |
evitar que se obstaculicen indagaciones, investigaciones o procedimientos de índole oficial o legal; |
b) |
evitar que se cause perjuicio a la prevención, detección, investigación o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales; |
c) |
proteger la seguridad pública de los Estados miembros; |
d) |
proteger la seguridad nacional de los Estados miembros; |
e) |
proteger los derechos y libertades de otras personas, como las víctimas o los testigos. |
Artículo 80
Derecho de acceso del interesado
El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, tendrá derecho a acceder a los datos personales operativos y a la información siguiente:
a) |
los fines y la base jurídica del tratamiento; |
b) |
las categorías de datos personales operativos de que se trate; |
c) |
los destinatarios o las categorías de destinatarios a quienes hayan sido comunicados los datos personales operativos, en particular los destinatarios de terceros países u organizaciones internacionales; |
d) |
de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo; |
e) |
la existencia del derecho a solicitar del responsable del tratamiento la rectificación o supresión de los datos personales operativos relativos al interesado, o la limitación de su tratamiento; |
f) |
el derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos y sus datos de contacto; |
g) |
la comunicación de los datos personales operativos objeto de tratamiento, así como cualquier información disponible sobre su origen. |
Artículo 81
Limitaciones al derecho de acceso
1. El responsable del tratamiento podrá restringir, total o parcialmente, el derecho de acceso del interesado siempre y cuando dicha restricción parcial o completa constituya una medida necesaria y proporcionada en una sociedad democrática, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos de la persona física afectada, para:
a) |
evitar que se obstaculicen indagaciones, investigaciones o procedimientos de índole oficial o legal; |
b) |
evitar que se cause perjuicio a la prevención, detección, investigación o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales; |
c) |
proteger la seguridad pública de los Estados miembros; |
d) |
proteger la seguridad nacional de los Estados miembros; |
e) |
proteger los derechos y libertades de otras personas, como por ejemplo víctimas y testigos. |
2. En los casos contemplados en el apartado 1, el responsable del tratamiento informará por escrito al interesado, sin demora injustificada, de cualquier denegación o limitación de acceso, y de las razones de la denegación o de la limitación. Esta información podrá omitirse cuando el suministro de dicha información pueda comprometer uno de los fines contemplados en el apartado 1. El responsable del tratamiento informará al interesado de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer recurso judicial ante el Tribunal de Justicia. El responsable del tratamiento documentará los fundamentos de hecho o de Derecho en los que se basa la decisión. Esta información se pondrá a disposición del Supervisor Europeo de Protección de Datos previa solicitud.
Artículo 82
Derecho de rectificación o supresión de datos personales operativos y limitación de su tratamiento
1. El interesado tendrá derecho a obtener del responsable del tratamiento, sin dilación indebida, la rectificación de los datos personales operativos inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.
2. El responsable del tratamiento suprimirá los datos personales operativos sin dilación indebida, y el interesado tendrá derecho a obtener de él, sin dilación indebida, la supresión de los datos personales operativos que le conciernan cuando el tratamiento infrinja el artículo 71, el artículo 72, apartado 1, o el artículo 76, o cuando los datos personales operativos se supriman para dar cumplimiento a una obligación legal a la que esté sujeta al responsable del tratamiento.
3. En lugar de proceder a la supresión, el responsable del tratamiento limitará el tratamiento de los datos personales cuando:
a) |
el interesado ponga en duda la exactitud de los datos personales y no pueda determinarse su exactitud o inexactitud; o |
b) |
los datos personales hayan de conservarse a efectos probatorios. |
Cuando el tratamiento esté limitado en virtud del párrafo primero, letra a), el responsable del tratamiento informará al interesado antes de levantar la limitación del tratamiento.
Los datos objeto de una limitación solo se tratarán para los fines que impidieron su supresión.
4. El responsable del tratamiento informará al interesado por escrito de cualquier denegación de rectificación o supresión de los datos personales operativos o de la limitación de su tratamiento, y de los motivos de la denegación. El responsable del tratamiento podrá limitar, total o parcialmente, la comunicación de tal información, siempre y cuando dicha limitación constituya una medida necesaria y proporcionada en una sociedad democrática, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos de la persona física afectada, para:
a) |
evitar que se obstaculicen indagaciones, investigaciones o procedimientos de índole oficial o legal; |
b) |
evitar que se cause perjuicio a la prevención, investigación, detección o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales; |
c) |
proteger la seguridad pública de los Estados miembros; |
d) |
proteger la seguridad nacional de los Estados miembros; |
e) |
proteger los derechos y libertades de otras personas, como las víctimas o los testigos. |
El responsable del tratamiento informará al interesado de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer recurso judicial ante el Tribunal de Justicia.
5. El responsable del tratamiento comunicará la rectificación de los datos personales operativos inexactos a la autoridad competente de la que procedan los datos personales operativos inexactos.
6. Cuando los datos personales operativos hayan sido rectificados o suprimidos o el tratamiento haya sido limitado en virtud de los apartados 1, 2 o 3, el responsable del tratamiento lo notificará a los destinatarios y les informará de su obligación de rectificar o suprimir los datos personales operativos que estén bajo su responsabilidad o de limitar su tratamiento.
Artículo 83
Derecho de acceso en las investigaciones y los procesos penales
Cuando los datos personales operativos procedan de una autoridad competente, los órganos y organismos de la Unión, antes de decidir sobre el derecho de acceso del interesado verificarán, junto con la autoridad competente interesada, si dichos datos personales figuran en una resolución judicial o en un registro o expediente tramitado en el curso de investigaciones y procesos penales en el Estado miembro de dicha autoridad competente. De ser el caso, se tomará una decisión sobre el derecho de acceso en consulta y estrecha cooperación con la autoridad competente de que se trate.
Artículo 84
Ejercicio de los derechos del interesado y comprobación por el Supervisor Europeo de Protección de Datos
1. En los casos a que se refieren el artículo 79, apartado 3, el artículo 81 y el artículo 82, apartado 4, los derechos del interesado también podrán ejercerse a través del Supervisor Europeo de Protección de Datos.
2. El responsable del tratamiento informará al interesado de la posibilidad de ejercer sus derechos a través del Supervisor Europeo de Protección de Datos con arreglo al apartado 1.
3. Cuando se ejerza el derecho a que se refiere el apartado 1, el Supervisor Europeo de Protección de Datos informará al interesado, al menos, de que ha efectuado todas las verificaciones necesarias o la revisión correspondiente. El Supervisor Europeo de Protección de Datos también informará al interesado de su derecho a interponer recurso ante el Tribunal de Justicia.
Artículo 85
Protección de datos desde el diseño y por defecto
1. El responsable del tratamiento, teniendo en cuenta los últimos adelantos de la técnica, el coste de la aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas planteados por el tratamiento, aplicará tanto en el momento de determinar los medios para el tratamiento como en el momento del propio tratamiento, las medidas técnicas y organizativas apropiadas, como por ejemplo la seudonimización, concebidas para aplicar los principios de protección de datos, como por ejemplo la minimización de datos, de forma efectiva y para integrar las garantías necesarias en el tratamiento, de tal manera que este cumpla los requisitos del presente Reglamento y del acto jurídico que lo establece, y se protejan los derechos de los interesados.
2. El responsable del tratamiento aplicará las medidas técnicas y organizativas adecuadas para garantizar que, por defecto, solo sean objeto de tratamiento los datos personales operativos que sean adecuados, pertinentes y no excesivos en relación con los fines de su tratamiento. Esta obligación se aplicará a la cantidad de datos personales operativos recogidos, a la extensión de su tratamiento, a su período de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.
Artículo 86
Corresponsables del tratamiento
1. Cuando dos o más responsables del tratamiento o uno o más responsables junto con otro u otros responsables distintos de las instituciones y organismos de la Unión determinen conjuntamente los objetivos y medios del tratamiento, serán considerados corresponsables del tratamiento. Los corresponsables del tratamiento determinarán de modo transparente sus responsabilidades respectivas en el cumplimiento de sus obligaciones en materia de protección de datos, en particular en cuanto al ejercicio de los derechos del interesado y a sus respectivas obligaciones de facilitar la información a que se refiere el artículo 79, mediante un acuerdo entre ellos, salvo que, y en la medida en que, sus responsabilidades respectivas se rijan por el Derecho de la Unión o de los Estados miembros que les sea aplicable. Dicho acuerdo podrá designar un punto de contacto para los interesados.
2. El acuerdo mencionado en el apartado 1 reflejará debidamente las funciones y relaciones respectivas que los corresponsables del tratamiento tengan respecto del interesado. Se pondrán a disposición del interesado los aspectos esenciales del acuerdo.
3. Independientemente de los términos del acuerdo mencionado en el apartado 1, los interesados podrán ejercer los derechos que les reconoce el presente Reglamento con respecto a cada uno de los responsables del tratamiento y frente a ellos.
Artículo 87
Encargado del tratamiento
1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y el acto jurídico por el que se establece el responsable del tratamiento y garantice la protección de los derechos del interesado.
2. El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable del tratamiento. En el caso de autorización escrita general, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios.
3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o con arreglo al Derecho de un Estado miembro que vincule al encargado respecto del responsable y fije el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales operativos y las categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
a) |
actúe únicamente siguiendo las instrucciones del responsable; |
b) |
garantice que las personas autorizadas para tratar datos personales operativos se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad; |
c) |
asista al responsable por cualquier medio adecuado para garantizar el cumplimiento de las disposiciones sobre los derechos del interesado; |
d) |
a elección del responsable, suprima o devuelva a este todos los datos personales operativos una vez finalice la prestación de los servicios de tratamiento, y suprima las copias existentes a menos que se requiera la conservación de los datos personales operativos en virtud del Derecho de la Unión o de un Estado miembro; |
e) |
ponga a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo; |
f) |
respete los requisitos exigidos en el apartado 2 y en el presente apartado para contratar a otro encargado del tratamiento; |
4. El contrato u otro acto jurídico a que se refiere el apartado 3 se establecerá por escrito, inclusive en formato electrónico.
5. Si, al determinar los fines y medios del tratamiento, un encargado del tratamiento infringe el presente Reglamento o el acto jurídico por el que se establece el responsable del tratamiento, el encargado será considerado responsable del tratamiento con respecto a ese tratamiento.
Artículo 88
Registro de operaciones
1. El responsable del tratamiento conservará registros de cada una de las operaciones de tratamiento siguientes en sistemas de tratamiento automatizados: recogida, alteración, acceso, consulta, comunicación, incluidas las transferencias, combinación y supresión de datos personales operativos. Los registros de operaciones de consulta y comunicación harán posible determinar la justificación, así como la fecha y la hora, de tales operaciones y el nombre de la persona que consultó o comunicó datos personales operativos, así como, en la medida de lo posible, la identidad de los destinatarios de dichos datos personales operativos.
2. Dichos registros se utilizarán únicamente a efectos de verificar la licitud del tratamiento, de autocontrol, de garantizar la integridad y la seguridad de los datos personales operativos y en el ámbito de los procesos penales. Los registros se eliminarán transcurridos tres años, a menos que sean necesarios para efectuar un control continuo.
3. El responsable del tratamiento pondrá los registros a disposición del correspondiente delegado de protección de datos y del Supervisor Europeo de Protección de Datos previa petición.
Artículo 89
Evaluación de impacto relativa a la protección de datos
1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, suponga un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento llevará a cabo, de forma previa, una evaluación de impacto de las operaciones de tratamiento previstas en la protección de datos personales operativos.
2. La evaluación mencionada en el apartado 1 incluirá, como mínimo, una descripción general de las operaciones de tratamiento previstas, una evaluación de los riesgos para los derechos y libertades de los interesados, las medidas contempladas para hacer frente a estos riesgos, y las garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de los datos personales operativos y a demostrar la conformidad con las normas en materia de protección de datos, teniendo en cuenta los derechos e intereses legítimos de los interesados y las demás personas afectadas.
Artículo 90
Consulta previa al Supervisor Europeo de Protección de Datos
1. El responsable del tratamiento consultará al Supervisor Europeo de Protección de Datos antes de un tratamiento que vaya a formar parte de un nuevo sistema de archivo que haya de crearse, cuando:
a) |
la evaluación del impacto en la protección de los datos que dispone el artículo 89 indique que el tratamiento entrañaría un alto riesgo a falta de medidas adoptadas por el responsable del tratamiento para mitigar el riesgo; o |
b) |
el tipo de tratamiento, en particular cuando se usen tecnologías, mecanismos o procedimientos nuevos, constituya un alto riesgo para los derechos y las libertades de los interesados. |
2. El Supervisor Europeo de Protección de Datos podrá establecer una lista de las operaciones de tratamiento que están sujetas a consulta previa con arreglo a lo dispuesto en el apartado 1.
3. El responsable del tratamiento facilitará al Supervisor Europeo de Protección de Datos la evaluación de impacto relativa a la protección de datos a que se refiere el artículo 89 y, previa solicitud, cualquier información adicional que permita al Supervisor Europeo de Protección de Datos evaluar la conformidad del tratamiento y, en particular, los riesgos para la protección de los datos personales operativos del interesado y las garantías correspondientes.
4. En los casos en que el Supervisor Europeo de Protección de Datos considere que el tratamiento previsto a que se refiere el apartado 1 contraviene lo dispuesto en el presente Reglamento o el acto jurídico por el que se establece el órgano u organismo de la Unión, especialmente en caso de que la este último tenga insuficientemente identificados o atenuados los riesgos, el Supervisor Europeo de Protección de Datos deberá proporcionar asesoramiento escrito al responsable del tratamiento, en un plazo máximo de seis semanas a partir de la recepción de la solicitud de consulta. Este plazo podrá prorrogarse un mes, en función de la complejidad del tratamiento previsto. El Supervisor Europeo de Protección de Datos informará al responsable del tratamiento de tal prórroga en el plazo de un mes a partir de la recepción de la solicitud de consulta, junto con los motivos de la dilación.
Artículo 91
Seguridad del tratamiento de datos personales operativos
1. El responsable del tratamiento y el encargado del tratamiento, teniendo en cuenta los últimos adelantos de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como la probabilidad y gravedad de los distintos riesgos que plantee el tratamiento para los derechos y libertades de las personas físicas, aplicarán las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad que corresponda según los riesgos, en particular en lo que se refiere al tratamiento de categorías especiales de datos personales operativos.
2. En relación con el tratamiento automatizado, el responsable del tratamiento y el encargado del tratamiento, tras una evaluación de los riesgos, aplicarán medidas destinadas a:
a) |
denegar a personas no autorizadas el acceso a los equipamientos utilizados para el tratamiento de los datos («control de acceso a los equipamientos»); |
b) |
impedir que los soportes de datos puedan ser leídos, copiados, modificados o cancelados sin autorización («control de los soportes de datos»); |
c) |
impedir la introducción no autorizada de datos personales operativos y la inspección, modificación o supresión no autorizadas de datos personales operativos conservados («control de la conservación»); |
d) |
impedir que los sistemas de tratamiento automatizado puedan ser utilizados por personas no autorizadas por medio de instalaciones de comunicación de datos («control de los usuarios»); |
e) |
garantizar que las personas autorizadas a utilizar un sistema de tratamiento automatizado solo puedan tener acceso a los datos personales operativos para los que han sido autorizadas («control del acceso a los datos»); |
f) |
garantizar que sea posible verificar y establecer a qué organismos se han transmitido o pueden transmitirse o a disposición de qué organismos pueden ponerse los datos personales operativos mediante la comunicación de datos («control de la transmisión»); |
g) |
garantizar que pueda verificarse y comprobarse a posteriori qué datos personales operativos se han introducido en los sistemas de tratamiento automatizado de datos y en qué momento y por qué persona han sido introducidos («control de la introducción»); |
h) |
impedir que, en el momento de la transmisión de datos personales operativos o durante el transporte de soportes de datos, los datos personales operativos puedan ser leídos, copiados, modificados o suprimidos sin autorización («control del transporte»); |
i) |
garantizar que los sistemas instalados puedan restablecerse en caso de interrupción («restablecimiento»); |
j) |
garantizar que las funciones del sistema no presenten defectos, que los errores de funcionamiento sean señalados («fiabilidad») y que los datos personales operativos almacenados no se degraden por fallos de funcionamiento del sistema («integridad»). |
Artículo 92
Notificación al Supervisor Europeo de Protección de Datos de una violación de la seguridad de datos personales
1. En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará al Supervisor Europeo de Protección de Datos sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación al Supervisor Europeo de Protección de Datos no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.
2. La notificación del apartado 1 deberá, como mínimo:
a) |
describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales operativos afectados; |
b) |
comunicar el nombre y los datos de contacto del delegado de protección de datos; |
c) |
describir las posibles consecuencias de la violación de la seguridad de los datos personales; |
d) |
describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. |
3. Si no fuera posible, o en la medida en que no sea posible, facilitar simultáneamente la información mencionada en el apartado 2, se podrá facilitar la información por etapas sin otra dilación indebida.
4. El responsable del tratamiento documentará cualquier violación de la seguridad de datos personales a que se hace referencia en el apartado 1, incluidos los hechos relativos a dicha violación, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá al Supervisor Europeo de Protección de Datos verificar el cumplimiento de lo dispuesto en el presente artículo.
5. Cuando la violación de los datos personales operativos tenga que ver con datos que hayan sido transmitidos por o a las autoridades competentes, el responsable del tratamiento comunicará la información a que se refiere el apartado 2 a las autoridades competentes de que se trate sin dilación indebida.
Artículo 93
Comunicación de una violación de la seguridad de los datos personales al interesado
1. Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.
2. La comunicación al interesado indicada en el apartado 1 del presente artículo describirá con un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá, al menos, la información y las recomendaciones a que se hace referencia en el artículo 92, apartado 2, letras b), c) y d).
3. La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes:
a) |
el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales operativos afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales operativos para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado; |
b) |
el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1; |
c) |
suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados. |
4. Cuando el responsable del tratamiento todavía no haya comunicado al interesado la violación de la seguridad de los datos personales, el Supervisor Europeo de Protección de Datos, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones mencionadas en el apartado 3.
5. La comunicación al interesado a que se hace referencia en el apartado 1 del presente artículo podrá aplazarse, limitarse u omitirse con sujeción a las condiciones y por los motivos que se indican en el artículo 79, apartado 3.
Artículo 94
Transferencia de datos personales operativos a terceros países y organizaciones internacionales
1. Conforme a las limitaciones y condiciones establecidas en los actos jurídicos por los que se establecen los órganos u organismos de la Unión, el responsable del tratamiento podrá transferir datos personales operativos a una autoridad de un tercer país o a una organización internacional en la medida en que esa transferencia sea necesaria para el desempeño de las tareas del responsable del tratamiento, y únicamente cuando se cumplan las condiciones establecidas en el presente artículo, en particular:
a) |
la Comisión haya adoptado una decisión de adecuación con arreglo al artículo 36, apartado 3, de la Directiva (UE) 2016/680, que acredite que el tercer país o un territorio o un sector de tratamiento de datos de ese tercer país, o la organización internacional de que se trate, garantizan un nivel de protección adecuado; |
b) |
a falta de una decisión de la Comisión sobre la adecuación con arreglo a la letra a), la Comisión haya celebrado un acuerdo internacional entre la Unión y ese tercer país u organización internacional con arreglo al artículo 218 del TFUE que ofrezca garantías adecuadas con respecto a la protección de la intimidad y los derechos y libertades fundamentales de las personas físicas; |
c) |
a falta de una decisión de la Comisión sobre la adecuación con arreglo a la letra a), o de un acuerdo internacional con arreglo a la letra b), se haya celebrado un acuerdo de cooperación que permita el intercambio de datos personales operativos antes de la fecha de aplicación del respectivo acto jurídico por el que se establece el órgano u organismo de la Unión de que se trate, entre ese órgano u organismo de la Unión y el tercer país en cuestión. |
2. Los actos jurídicos por los que se establecen los órganos y organismos de la Unión podrán mantener o introducir disposiciones más específicas sobre las condiciones para las transferencias internacionales de datos personales operativos, en particular sobre las transferencias mediante salvaguardias y excepciones adecuadas para situaciones específicas.
3. El responsable del tratamiento publicará en su sitio web y mantendrá al día la lista de decisiones de adecuación a que se refiere el apartado 1, letra a), y de acuerdos, convenios administrativos y otros instrumentos relacionados con la transferencia de datos personales operativos de conformidad con el apartado 1.
4. El responsable del tratamiento llevará un registro pormenorizado de todas las transferencias realizadas de conformidad con el presente artículo.
Artículo 95
Confidencialidad de las medidas de investigación judicial y del proceso penal
Los actos jurídicos por los que se establecen los órganos u organismos de la Unión que lleven a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE podrán obligar al Supervisor Europeo de Protección de Datos, en el ejercicio de sus competencias de control, a tener lo más en cuenta posible la confidencialidad de las medidas de investigación judicial y del proceso penal, de conformidad con el Derecho de la Unión o de los Estados miembros.
CAPÍTULO X
ACTOS DE EJECUCIÓN
Artículo 96
Procedimiento de comité
1. La Comisión estará asistida por el comité establecido por el artículo 93 del Reglamento (UE) 2016/679. Dicho comité será un comité en el sentido del Reglamento (UE) n.o 182/2011.
2. En los casos en que se haga referencia al presente apartado, se aplicará el artículo 5 del Reglamento (UE) n.o 182/2011.
CAPÍTULO XI
REVISIÓN
Artículo 97
Cláusula de revisión
A más tardar el 30 de abril de 2022, y posteriormente cada cinco años, la Comisión presentará al Parlamento Europeo y al Consejo un informe sobre la aplicación del presente Reglamento, acompañado, en su caso, de las propuestas legislativas oportunas.
Artículo 98
Revisión de actos jurídicos de la Unión
1. A más tardar el 30 de abril de 2022, la Comisión revisará los actos jurídicos adoptados sobre la base de los Tratados que regulan el tratamiento de datos personales operativos por parte de órganos u organismos de la Unión cuando llevan a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE, con el fin de:
a) |
evaluar su coherencia con la Directiva (UE) 2016/680 y el capítulo IX del presente Reglamento; |
b) |
detectar las divergencias que puedan dificultar el intercambio de datos personales operativos entre los órganos u organismos de la Unión cuando llevan a cabo actividades en esos ámbitos y las autoridades competentes; y |
c) |
detectar las divergencias que puedan dar lugar a una fragmentación jurídica de la legislación en materia de protección de datos en la Unión. |
2. Sobre la base de la revisión, y a fin de garantizar la protección uniforme y coherente de las personas físicas en relación con el tratamiento, la Comisión podrá presentar propuestas legislativas oportunas, en particular a efectos la aplicación del capítulo IX del presente Reglamento a Europol y a la Fiscalía Europea, incluyendo adaptaciones del capítulo IX del presente Reglamento, de ser necesario.
CAPÍTULO XII
DISPOSICIONES FINALES
Artículo 99
Derogación del Reglamento (CE) n.o 45/2001 y de la Decisión n.o 1247/2002/CE
Quedan derogados, con efectos a partir del 11 de diciembre de 2018, el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE. Las referencias al Reglamento y a la Decisión derogados se entenderán hechas al presente Reglamento.
Artículo 100
Medidas transitorias
1. La Decisión 2014/886/UE del Parlamento Europeo y del Consejo (20) y los actuales mandatos del Supervisor Europeo de Protección de Datos y el Supervisor Adjunto no se verán afectados por el presente Reglamento.
2. El Supervisor Adjunto recibirá la misma consideración que el secretario del Tribunal de Justicia en cuanto a la determinación de su salario, asignaciones, pensión de jubilación y demás ventajas de carácter retributivo.
3. El artículo 53, apartados 4, 5 y 7, y los artículos 55 y 56 del presente Reglamento se aplicarán al actual Supervisor Adjunto hasta el final de su mandato.
4. El Supervisor Adjunto asistirá al Supervisor Europeo de Protección de Datos en el cumplimiento de las funciones de este último y le sustituirá en caso de ausencia o impedimento hasta el final del mandato del actual Supervisor Adjunto.
Artículo 101
Entrada en vigor y aplicación
1. El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
2. No obstante, el presente Reglamento se aplicará al tratamiento de datos personales por parte de Eurojust a partir del 12 de diciembre de 2019.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Estrasburgo, el 23 de octubre de 2018.
Por el Parlamento Europeo
El Presidente
A. TAJANI
Por el Consejo
La Presidenta
K. EDTSTADLER
(1) DO C 288 de 31.8.2017, p. 107.
(2) Posición del Parlamento Europeo de 13 de septiembre de 2018 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 11 de octubre de 2018.
(3) Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1).
(4) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
(5) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión 2008/977/JAI (DO L 119 de 4.5.2016, p. 89).
(6) Directiva 93/13/CEE del Consejo, de 5 de abril de 1993, sobre las cláusulas abusivas en los contratos celebrados con consumidores (DO L 95 de 21.4.1993, p. 29).
(7) Reglamento (CE) n.o 1338/2008 del Parlamento Europeo y del Consejo, de 16 de diciembre de 2008, sobre estadísticas comunitarias de salud pública y de salud y seguridad en el trabajo (DO L 354 de 31.12.2008, p. 70).
(8) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).
(9) Reglamento (CE) n.o 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión (DO L 145 de 31.5.2001, p. 43).
(10) DO L 56 de 4.3.1968, p. 1.
(11) Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).
(12) Reglamento (CE) n.o 223/2009 del Parlamento Europeo y del Consejo, de 11 de marzo de 2009, relativo a la estadística europea y por el que se deroga el Reglamento (CE, Euratom) n.o 1101/2008 relativo a la transmisión a la Oficina Estadística de las Comunidades Europeas de las informaciones amparadas por el secreto estadístico, el Reglamento (CE) n.o 322/97 del Consejo sobre la estadística comunitaria y la Decisión 89/382/CEE, Euratom del Consejo por la que se crea un Comité del programa estadístico de las Comunidades Europeas (DO L 87 de 31.3.2009, p. 164).
(13) Decisión n.o 1247/2002/CE del Parlamento Europeo, del Consejo y de la Comisión, de 1 de julio de 2002, relativa al estatuto y a las condiciones generales de ejercicio de las funciones de Supervisor Europeo de Protección de Datos (DO L 183 de 12.7.2002, p. 1).
(14) DO C 164 de 24.5.2017, p. 2.
(15) Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, relativo a la Agencia de la Unión Europea para la Cooperación Policial (Europol) y por el que se sustituyen y derogan las Decisiones 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI y 2009/968/JAI del Consejo (DO L 135 de 24.5.2016, p. 53).
(16) Reglamento (UE) 2017/1939 del Consejo, de 12 de octubre de 2017, por el que se establece una cooperación reforzada para la creación de la Fiscalía Europea (DO L 283 de 31.10.2017, p. 1).
(17) Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo, de 9 de septiembre de 2015, por la que se establece un procedimiento de información en materia de reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la información (DO L 241 de 17.9.2015, p. 1).
(18) Directiva 2008/63/CE de la Comisión, de 20 de junio de 2008, relativa a la competencia de los mercados de equipos terminales de telecomunicaciones (DO L 162 de 21.6.2008, p. 20).
(19) Decisión 2009/917/JAI del Consejo, de 30 de noviembre de 2009, sobre la utilización de la tecnología de la información a efectos aduaneros (DO L 323 de 10.12.2009, p. 20).
(20) Decisión 2014/886/UE del Parlamento Europeo y del Consejo, de 4 de diciembre de 2014, por la que se nombra al Supervisor Europeo de Protección de Datos y al Supervisor Adjunto (DO L 351 de 9.12.2014, p. 9).
21.11.2018 |
ES |
Diario Oficial de la Unión Europea |
L 295/99 |
REGLAMENTO (UE) 2018/1726 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 14 de noviembre de 2018
relativo a la Agencia de la Unión Europea para la Gestión Operativa de Sistemas Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia (eu-LISA), y por el que se modifican el Reglamento (CE) n.o 1987/2006 y la Decisión 2007/533/JAI del Consejo y se deroga el Reglamento (UE) n.o 1077/2011
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea y, en particular su artículo 74, su artículo 77, apartado 2, letras a) y b), su artículo 78, apartado 2, letra e), su artículo 79, apartado 2, letra c), su artículo 82, apartado 1, letra d), su artículo 85, apartado 1, su artículo 87, apartado 2, letra a), y su artículo 88, apartado 2,
Vista la propuesta de la Comisión Europea,
Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,
De conformidad con el procedimiento legislativo ordinario (1),
Considerando lo siguiente:
(1) |
El Sistema de Información de Schengen (SIS II) fue establecido por el Reglamento (CE) n.o 1987/2006 del Parlamento Europeo y del Consejo (2) y por la Decisión 2007/533/JAI del Consejo (3). El Reglamento (CE) n.o 1987/2006 y la Decisión 2007/533/JAI disponen que la Comisión será responsable, durante un período transitorio, de la gestión operativa del sistema central del SIS II (en lo sucesivo, «SIS II Central»). Transcurrido dicho período, la gestión operativa del SIS II Central se encomendará a una Autoridad de Gestión, que también será responsable de determinados aspectos de las infraestructuras de comunicación. |
(2) |
El Sistema de Información de Visados (VIS) fue establecido por la Decisión 2004/512/CE del Consejo (4). El Reglamento (CE) n.o 767/2008 del Parlamento Europeo y del Consejo (5) dispone que la Comisión será responsable durante un período transitorio de la gestión operativa del VIS. Transcurrido dicho período transitorio, la gestión operativa del sistema central del VIS y de las interfaces nacionales se encomendará a una Autoridad de Gestión que también será responsable de determinados aspectos de las infraestructuras de comunicación. |
(3) |
Eurodac fue establecido por el Reglamento (CE) n.o 2725/2000 del Consejo (6). El Reglamento (CE) n.o 407/2002 del Consejo (7) establece las normas de desarrollo necesarias. Estos actos jurídicos se han derogado y sustituido por el Reglamento (UE) n.o 603/2013 del Parlamento Europeo y del Consejo (8), con efecto a partir del 20 de julio de 2015. |
(4) |
La Agencia Europea para la gestión operativa de sistemas informáticos de gran magnitud en el espacio de libertad, seguridad y justicia, más comúnmente denominada eu-LISA, se creó mediante el Reglamento (UE) n.o 1077/2011 del Parlamento Europeo y del Consejo (9) con objeto de garantizar la gestión operativa del SIS, el VIS y Eurodac y de determinados aspectos de sus infraestructuras de comunicación y, eventualmente, de otros grandes sistemas de tecnología de la información (TI) en el espacio de libertad, seguridad y justicia, a reserva de la adopción de actos jurídicos de la Unión específicos. El Reglamento (UE) n.o 1077/2011 fue modificado por el Reglamento (UE) n.o 603/2013 con el fin de reflejar los cambios introducidos en Eurodac. |
(5) |
Dado que la Autoridad de Gestión debía poseer autonomía jurídica, administrativa y financiera, se configuró como una agencia reguladora (en lo sucesivo, «Agencia») con personalidad jurídica. Tal como se había acordado, la sede de la Agencia se implantó en Tallin (Estonia). No obstante, habida cuenta de que las funciones relacionadas con el desarrollo técnico y la preparación de la gestión operativa del SIS II y el VIS ya se venían realizando en Estrasburgo (Francia) y que se había establecido un emplazamiento de reserva de continuidad para estos sistemas en Sankt Johann im Pongau (Austria), en consonancia también con las ubicaciones de los sistemas SIS II y VIS establecidas en virtud de los correspondientes actos jurídicos de la Unión, convendría que la situación se mantuviera sin cambios. Estos dos emplazamientos también deben seguir siendo, respectivamente, los lugares en que se realicen las funciones relacionadas con la gestión operativa de Eurodac y en que se establezca una instalación de reserva de continuidad para Eurodac. Estos dos emplazamientos también deben seguir siendo, respectivamente, los emplazamientos para el desarrollo técnico y la gestión operativa de otros sistemas informáticos de gran magnitud en el espacio de libertad, seguridad y justicia y para una instalación de reserva de continuidad capaz de asegurar el funcionamiento de un sistema informático de gran magnitud en caso de fallo de dicho sistema. Con el fin de maximizar el posible uso de la instalación de reserva de continuidad, ese emplazamiento podría también utilizarse para gestionar sistemas simultáneamente siempre que siga siendo capaz de garantizar su funcionamiento en caso de fallo de uno o más sistemas. Debido a los elevados niveles de seguridad y de disponibilidad, así como a la naturaleza esencial para su objetivo de los sistemas, en caso de que la capacidad de acogida se haga insuficiente en los emplazamientos técnicos existentes, debe ser posible que el Consejo de Administración de la Agencia (en lo sucesivo, «Consejo de Administración»), cuando así lo justifiquen una evaluación de impacto independiente y un análisis de los costes-beneficio, proponga la creación de un segundo emplazamiento técnico en Estrasburgo o en Sankt Johann im Pongau o en ambas ciudades, si fuera necesario, con el fin de acoger los sistemas. El Consejo de Administración debe consultar a la Comisión y tener en cuenta sus puntos de vista antes de notificar al Parlamento Europeo y al Consejo (en lo sucesivo, «autoridad presupuestaria») su intención de ejecutar cualquier proyecto de carácter inmobiliario. |
(6) |
Desde que asumió sus responsabilidades, el 1 de diciembre de 2012, la Agencia asumió las funciones atribuidas a la Autoridad de Gestión en relación con el VIS por el Reglamento (CE) n.o 767/2008 y la Decisión 2008/633/JAI del Consejo (10). En abril de 2013, la Agencia también asumió las funciones relacionadas con el SIS II atribuidas a la Autoridad de Gestión por el Reglamento (CE) n.o 1987/2006 y la Decisión 2007/533/JAI, a raíz de la entrada en funcionamiento del SIS II, y en junio de 2013 asumió las funciones atribuidas a la Comisión en relación con Eurodac de conformidad con los Reglamentos (CE) n.o 2725/2000 y (CE) n.o 407/2002. |
(7) |
La primera evaluación del trabajo de la Agencia, basada en una evaluación externa independiente y realizada en el período de 2015-2016, llegó a la conclusión de que la Agencia garantiza realmente la gestión operativa de los sistemas informáticos de gran magnitud y desempeña las demás funciones que se le han atribuido, pero también indica que será necesaria una serie de cambios en el Reglamento (UE) n.o 1077/2011, como la transferencia de la Comisión a la Agencia de las funciones relacionadas con las infraestructuras de comunicación. Basándose en la evaluación externa, la Comisión tuvo en cuenta la evolución registrada en los ámbitos político, jurídico y fáctico, proponiendo concretamente en su informe de 29 de junio de 2017 sobre el funcionamiento de la Agencia Europea para la gestión operativa de sistemas informáticos de gran magnitud en el espacio de libertad, seguridad y justicia (eu-LISA) (en lo sucesivo, «informe de evaluación») que el mandato de la Agencia se ampliara de forma que pudiera llevar a cabo las funciones derivadas de la adopción por parte de los colegisladores de propuestas legislativas por las que se le encomiendan a la Agencia nuevos sistemas y las funciones a que se hace referencia en la comunicación de la Comisión de 6 de abril de 2016 denominada «Sistemas de información más sólidos e inteligentes para la gestión de las fronteras y la seguridad», en el Informe final del Grupo de expertos de alto nivel sobre Sistemas de Información e Interoperabilidad, de 11 de mayo de 2017, y en la comunicación de la Comisión de 16 de mayo de 2017 denominada «Séptimo informe de la Comisión hacia una Unión de la Seguridad efectiva y genuina», a reserva de la adopción de los actos jurídicos de la Unión pertinentes, cuando proceda. En particular, debe encomendarse a la Agencia la elaboración de soluciones de interoperabilidad, definida en la comunicación de 6 de abril de 2016 como la capacidad de los sistemas de información de intercambiar datos y permitir la puesta en común de la información. Cuando proceda, las acciones emprendidas en el ámbito de la interoperabilidad deben guiarse por la comunicación de la Comisión de 23 de marzo de 2017 titulada «Marco Europeo de Interoperabilidad — Estrategia de aplicación». El anexo 2 de dicha comunicación proporciona las directrices generales, recomendaciones y mejores prácticas para conseguir la interoperabilidad o, al menos, crear el entorno para conseguir una mejor interoperabilidad a la hora de diseñar, poner en marcha y gestionar los servicios públicos europeos. |
(8) |
El informe de evaluación concluía igualmente que era preciso ampliar el mandato de la Agencia para que pudiese asesorar a los Estados miembros con respecto a la conexión de los sistemas nacionales a los sistemas centrales de los sistemas informáticos de gran magnitud que ella gestiona (en lo sucesivo, «sistemas») y prestarles asistencia y apoyo ad hoc, siempre que se solicite, y prestar a los servicios de la Comisión asistencia y apoyo en cuestiones técnicas relacionadas con los nuevos sistemas. |
(9) |
Debe encomendarse a la Agencia la preparación, el desarrollo y la gestión operativa del Sistema de Entradas y Salidas (SES), establecido por el Reglamento (UE) 2017/2226 del Parlamento Europeo y del Consejo (11). |
(10) |
Debe encomendarse también a la Agencia la gestión operativa de un canal seguro de transmisión electrónica separado denominado DubliNet, creado en virtud del artículo 18 del Reglamento (CE) n.o 1560/2003 de la Comisión (12), que las autoridades competentes de los Estados miembros en materia de asilo deben usar para el intercambio de información sobre los solicitantes de protección internacional. |
(11) |
Además, debe encomendarse a la Agencia la preparación, el desarrollo y la gestión operativa del Sistema Europeo de Información y Autorización de Viajes (SEIAV) creado por el Reglamento (UE) 2018/1240 del Parlamento Europeo y del Consejo (13). |
(12) |
La función principal de la Agencia debe seguir siendo el desempeño de las funciones de gestión operativa con respecto al SIS II, al VIS, a Eurodac, al SES, a DubliNet, al SEIAV y, si así se decide, de otros sistemas informáticos de gran magnitud en el espacio de libertad, seguridad y justicia. La Agencia debe ser responsable también de las medidas técnicas necesarias para el desempeño de las funciones de carácter no normativo que se le confieren. Dichas responsabilidades se entienden sin perjuicio de las funciones normativas reservadas a la Comisión, sola o asistida por un comité, en los respectivos actos jurídicos de la Unión que regulan los sistemas. |
(13) |
La Agencia debe ser capaz de poner en práctica soluciones técnicas a fin de cumplir los requisitos de disponibilidad contemplados en los actos jurídicos de la Unión por los que se rigen los sistemas bajo la responsabilidad de la Agencia, respetando plenamente al mismo tiempo las disposiciones específicas de estos actos en lo que respecta a la arquitectura técnica de los respectivos sistemas. En caso de que estas soluciones técnicas requieran una duplicación de un sistema o una duplicación de los componentes de un sistema, debe llevarse a cabo una evaluación del impacto y un análisis de los costes y los beneficios independientes y el Consejo de Administración debe tomar una decisión tras consultar a la Comisión. Esa evaluación de impacto debe incluir también un examen de las necesidades en términos de capacidad de acogida de los emplazamientos técnicos existentes en relación con el desarrollo de estas soluciones técnicas y de los posibles riesgos relacionados con la actual configuración operativa. |
(14) |
Ya no se justifica que la Comisión siga encargándose de determinadas funciones relacionadas con las infraestructuras de comunicación de los sistemas y dichas funciones deben transferirse, por lo tanto, a la Agencia con el fin de mejorar la coherencia de la gestión de la infraestructura de comunicación. No obstante, en el caso de los sistemas que utilicen EuroDomain, una infraestructura de comunicación segura suministrada por TESTA-ng (Servicios transeuropeos de telemática entre administraciones-nueva generación), y creada como parte del Programa ISA establecido por la Decisión n.o 922/2009/CE del Parlamento Europeo y del Consejo (14) y que continuó como parte del Programa ISA2 que fue establecido por la Decisión (UE) 2015/2240 del Parlamento Europeo y del Consejo (15), la Comisión debe seguir encargándose de las funciones de ejecución del presupuesto, de adquisición y renovación y de los asuntos contractuales. |
(15) |
La Agencia debe poder confiar funciones relacionadas con el suministro, la instalación, el mantenimiento y el control de infraestructuras de comunicación a entidades u organismos externos del sector privado de conformidad con el Reglamento (UE, Euratom) 2018/1046 del Parlamento Europeo y del Consejo (16). La Agencia debe disponer de suficientes recursos presupuestarios y de personal con el fin de limitar en la medida de lo posible la necesidad de subcontratar sus funciones y obligaciones a entidades u organismos externos de derecho privado. |
(16) |
La Agencia debe seguir desempeñando las funciones relacionadas con la formación sobre el uso técnico del SIS II, el VIS y Eurodac, y de otros sistemas que se le confíen en el futuro. |
(17) |
Con el fin de contribuir a las políticas de la Unión en materia de migración y seguridad, que se elaboran sobre una base empírica, y a la supervisión del correcto funcionamiento de los sistemas, la Agencia debe recopilar y publicar estadísticas y elaborar informes estadísticos y ponerlos a disposición de las partes pertinentes de conformidad con los actos jurídicos de la Unión por los que se rigen los sistemas, por ejemplo, para supervisar la aplicación del Reglamento (UE) n.o 1053/2013 del Consejo (17) y a los efectos de llevar a cabo el análisis de riesgos y la evaluación de vulnerabilidad previstos en el Reglamento (UE) 2016/1624 del Parlamento Europeo y del Consejo (18). |
(18) |
Además, también puede encargarse a la Agencia la preparación, el desarrollo y la gestión operativa de sistemas informáticos de gran magnitud adicionales en aplicación de los artículos 67 a 89 del Tratado de Funcionamiento de la Unión Europea (TFUE). Posibles ejemplos de estos sistemas podrían ser el sistema centralizado que permite identificar a los Estados miembros que poseen información relativa a las condenas sobre nacionales de terceros países y apátridas, que pretende completar y apoyar el sistema europeo de información sobre los antecedentes penales (sistema ECRIS-TCN) o el sistema informatizado para la comunicación transfronteriza en los procedimientos civiles y penales (e-CODEX). Sin embargo, dichos sistemas solo deben confiarse a la Agencia en virtud de actos jurídicos de la Unión posteriores y separados, y precedidos de una evaluación de impacto. |
(19) |
Debe ampliarse el mandato de la Agencia en materia de investigación a fin de dotarla de mayor proactividad a la hora de proponer la introducción de las modificaciones técnicas necesarias y pertinentes en los sistemas. La Agencia debe no solo poder efectuar un seguimiento de las actividades de investigación que sea pertinente para la gestión operativa de los sistemas, sino también contribuir a la ejecución de partes pertinentes del Programa Marco de Investigación e Innovación de la Unión Europea, siempre que la Comisión haya delegado las correspondientes competencias a la Agencia. Al menos una vez al año, la Agencia debe proporcionar información sobre dicho seguimiento al Parlamento Europeo, al Consejo y, cuando se trate del tratamiento de datos personales, al Supervisor Europeo de Protección de Datos. |
(20) |
La Comisión debe poder confiar a la Agencia la tarea de llevar a cabo proyectos piloto de naturaleza experimental, concebidos para evaluar la viabilidad y la utilidad de una acción, que podrán ejecutarse sin un acto de base, de conformidad con el Reglamento (UE, Euratom) 2018/1046. Además, la Comisión debe poder confiar a la Agencia funciones de ejecución presupuestaria para pruebas de concepto financiadas con cargo al instrumento de apoyo financiero a las fronteras exteriores y los visados establecido en el Reglamento (UE) n.o 515/2014 del Parlamento Europeo y del Consejo (19), conforme al Reglamento (UE, Euratom) 2018/1046, después de informar al Parlamento Europeo. La Agencia podrá asimismo programar y llevar a cabo actividades de prueba en los ámbitos estrictamente cubiertos por el presente Reglamento y por los actos jurídicos de la Unión aplicables al desarrollo, establecimiento, funcionamiento y uso de los sistemas i, como la realización de pruebas en relación con los conceptos de virtualización. Cuando se le encargue la realización de un proyecto piloto, la Agencia debe prestar una atención especial a la Estrategia de gestión de la información de la Unión Europea. |
(21) |
En relación con la conexión de los sistemas nacionales a los sistemas centrales prevista en los actos jurídicos de la Unión por los que se rigen dichos sistemas, la Agencia debe prestar asesoramiento a los Estados miembros cuando estos lo soliciten. |
(22) |
La Agencia también debe prestar apoyo ad hoc a los Estados miembros a petición de estos, con arreglo al procedimiento establecido en el presente Reglamento, cuando así lo exijan desafíos o necesidades extraordinarios en materia de seguridad o de migración. En particular, un Estado miembro debe poder solicitar y contar con refuerzos operativos y técnicos cuando este Estado miembro se enfrente a problemas de migración específicos y de gran magnitud en zonas concretas de sus fronteras exteriores, caracterizados por afluencias significativas de flujos migratorios. Dichos refuerzos deben prestarse en los puntos críticos por equipos de apoyo a la gestión de la migración formados por expertos de las correspondientes agencias de la Unión. Cuando en este contexto se precise un apoyo de la Agencia respecto de cuestiones relacionadas con los sistemas, el Estado miembro afectado debe transmitir una solicitud de asistencia a la Comisión que, tras evaluar si la asistencia está efectivamente justificada, debe transmitir sin demora la solicitud de asistencia a la Agencia La Agencia debe informar al Consejo de Administración de estas solicitudes. La Comisión debe igualmente controlar si la Agencia da una respuesta puntual a la solicitud de asistencia ad hoc. El informe anual de actividades de la Agencia debe informar detalladamente de las acciones que la Agencia ha llevado a cabo para prestar apoyo ad hoc a los Estados miembros y de los costes en que ha incurrido a este respecto. |
(23) |
La Agencia debe prestar asimismo apoyo a los servicios de la Comisión en cuestiones técnicas relacionadas con los sistemas nuevos o ya existentes, siempre que se solicite, en particular para la preparación de nuevas propuestas sobre los grandes sistemas informáticos que vayan a encomendarse a la Agencia. |
(24) |
Debe ser posible que un grupo de Estados miembros encomiende a la Agencia las funciones de desarrollo, gestión o alojamiento de un componente informático común para ayudarles a poner en marcha los aspectos técnicos de las obligaciones derivadas de la los actos jurídicos de la Unión sobre los sistemas informáticos descentralizados en el espacio de libertad, seguridad y justicia, y ello sin perjuicio de las obligaciones de esos Estados miembros con arreglo a los actos jurídicos de la Unión aplicables, en particular por lo que respecta a la arquitectura de esos sistemas. Esta atribución debe exigir una autorización previa de la Comisión, ser objeto de una decisión favorable del Consejo de Administración, plasmarse en un convenio de delegación entre los Estados miembros interesados y la Agencia y estar plenamente financiada por los Estados miembros de que se trate. La Agencia debe informar al Parlamento Europeo y al Consejo del convenio de delegación aprobado y de cualquier modificación del mismo. Otros Estados miembros podrán participar en dichas soluciones informáticas comunes, siempre y cuando el convenio de delegación prevea tal posibilidad y que se efectúen las modificaciones necesarias. Este cometido no debe afectar negativamente a la gestión operativa de los sistemas por parte de la Agencia. |
(25) |
La atribución a la Agencia de la gestión operativa de sistemas informáticos de gran magnitud en el espacio de libertad, seguridad y justicia no debe afectar a las normas específicas aplicables a dichos sistemas. Son plenamente aplicables, en particular, las normas específicas que regulan los fines, derechos de acceso, medidas de seguridad y otros requisitos de protección de datos de cada uno de dichos sistemas. |
(26) |
Para controlar el funcionamiento de la Agencia de forma efectiva, los Estados miembros y la Comisión deben estar representados en el Consejo de Administración. Deben confiarse al Consejo de Administración las funciones necesarias, en particular la adopción del programa de trabajo anual, el desempeño de las funciones relacionadas con el presupuesto de la Agencia, la adopción de las normas financieras aplicables a la Agencia y el establecimiento de los procedimientos de toma por el director ejecutivo de decisiones que estén relacionadas con las funciones operativas de la Agencia. El Consejo de Administración debe desempeñar estas funciones de manera eficiente y transparente. Tras un procedimiento de selección adecuado organizado por la Comisión y tras una audiencia de los candidatos propuestos en la comisión o comisiones competentes del Parlamento Europeo, el Consejo de Administración debe también nombrar a un director ejecutivo. |
(27) |
Teniendo en cuenta que, para 2020, el número de sistemas informáticos de gran magnitud encomendados a la Agencia habrá aumentado significativamente y que las funciones de la Agencia se están ampliando de forma considerable, el personal de la Agencia aumentará en consecuencia de aquí a 2020. Por consiguiente, debe crearse un cargo de director ejecutivo adjunto de la Agencia, teniendo en cuenta también el hecho de que las funciones relacionadas con el desarrollo y la gestión operativa de los sistemas exigirán una supervisión mayor y específica y que la sede y las instalaciones técnicas de la Agencia están repartidas en tres Estados miembros. El Consejo de Administración debe designar al director ejecutivo adjunto. |
(28) |
La dirección y el funcionamiento de la Agencia deben tener en cuenta los principios del enfoque común aplicado en las agencias descentralizadas de la Unión adoptado el 19 de julio de 2012 por el Parlamento Europeo, el Consejo y la Comisión. |
(29) |
Por lo que respecta al SIS II, la Agencia de la Unión Europea para la Cooperación Policial (Europol) y la Unidad de Cooperación Judicial Europea (Eurojust), ambas con derecho de acceso y búsqueda directos de los datos introducidos en el SIS II en virtud de la Decisión 2007/533/JAI, deben tener el estatuto de observador en las reuniones del Consejo de Administración cuando figure en el orden del día algún asunto relativo a la aplicación de dicha Decisión. La Agencia Europea de la Guardia de Fronteras y Costas, que tiene derecho de acceso y de búsqueda en el SIS II conforme al Reglamento (UE) 2016/1624 debe participar en calidad de observador en las reuniones del Consejo de Administración siempre que figure en el orden del día una cuestión relativa a la aplicación de dicho Reglamento. Europol, Eurojust y la Agencia Europea de la Guardia de Fronteras y Costas deben poder designar a representantes en el grupo consultivo del SIS II establecido en virtud del presente Reglamento. |
(30) |
Por lo que respecta al VIS, Europol también debe poder participar en calidad de observador en las reuniones del Consejo de Administración siempre que en el orden del día figure una cuestión relativa al VIS relacionada con la aplicación de la Decisión 2008/633/JAI. Europol debe poder designar a un representante en el grupo consultivo VIS establecido en virtud del presente Reglamento. |
(31) |
Por lo que respecta a Eurodac, Europol debe poder participar en calidad de observador en las reuniones del Consejo de Administración siempre que figure en el orden del día una cuestión relativa a la aplicación del Reglamento (UE) n.o 603/2013. Europol debe poder designar a un representante en el grupo consultivo Eurodac establecido en virtud del presente Reglamento. |
(32) |
Por lo que respecta al SES, Europol debe poder participar en calidad de observador en las reuniones del Consejo de Administración siempre que figure en el orden del día una cuestión relativa al Reglamento (UE) 2017/2226. |
(33) |
Por lo que respecta al SEIAV, Europol debe poder participar en calidad de observador en las reuniones del Consejo de Administración siempre que figure en el orden del día una cuestión relativa al Reglamento (UE) 2018/1240. La Agencia Europea de la Guardia de Fronteras y Costas también debe poder participar en calidad de observadora en las reuniones del Consejo de Administración cuando figure en el orden del día una cuestión relativa al SEIAV relacionada con la aplicación de dicho Reglamento. Europol y la Agencia Europea de la Guardia de Fronteras y Costas deben poder designar a un representante en el grupo consultivo SES-SEIAV establecido en virtud del presente Reglamento. |
(34) |
Los Estados miembros deben tener derechos de voto en el Consejo de Administración con respecto a un sistema informático de gran magnitud, cuando estén obligados con arreglo al Derecho de la Unión por algún acto jurídico de la Unión aplicable al desarrollo, establecimiento, funcionamiento y uso de dicho sistema específico. Dinamarca también debe tener derechos de voto en relación con un sistema informático de gran magnitud si decide, con arreglo al artículo 4 del Protocolo n.o 22 sobre la posición de Dinamarca, anejo al Tratado de la Unión Europea (TUE) y al TFUE, incorporar en su Derecho nacional el acto jurídico de la Unión aplicable al desarrollo, establecimiento, funcionamiento y uso de dicho sistema específico. |
(35) |
Los Estados miembros deben designar a un miembro en el grupo consultivo correspondiente a un sistema informático de gran magnitud si están vinculados con arreglo al Derecho de la Unión por cualquier acto jurídico de la Unión aplicable al desarrollo, establecimiento, funcionamiento y uso de dicho sistema específico. Dinamarca debe designar además a un miembro en el grupo consultivo correspondiente a un sistema informático de gran magnitud si decide, con arreglo al artículo 4 del Protocolo n.o 22, incorporar en su Derecho nacional el acto jurídico de la Unión aplicable al desarrollo, establecimiento, funcionamiento y uso de dicho sistema específico. Los grupos consultivos deben cooperar entre sí cuando sea necesario. |
(36) |
A fin de garantizar la plena autonomía y la total independencia de la Agencia y permitirle cumplir adecuadamente los objetivos y desempeñar las funciones que le competen en virtud del presente Reglamento, se la debe dotar de un presupuesto autónomo y adecuado, con ingresos procedentes esencialmente del presupuesto general de la Unión. La financiación de la Agencia debe estar sujeta a un acuerdo entre el Parlamento Europeo y el Consejo, según se establece en el punto 31 del Acuerdo Interinstitucional de 2 de diciembre de 2013 entre el Parlamento Europeo, el Consejo y la Comisión sobre disciplina presupuestaria, cooperación en materia presupuestaria y buena gestión financiera (20). Deben aplicarse los procedimientos presupuestarios y de aprobación de gestión de la Unión. El Tribunal de Cuentas debe efectuar la auditoría de las cuentas y la legalidad y regularidad de las transacciones subyacentes. |
(37) |
Con el fin de cumplir su misión, y en la medida necesaria para el desempeño de sus funciones, la Agencia debe poder cooperar con las instituciones, órganos, organismos y agencias de la UE, en particular, con los establecidos en el espacio de libertad, seguridad y justicia, en los ámbitos cubiertos por el presente Reglamento y por los actos jurídicos de la Unión aplicables al desarrollo, establecimiento, funcionamiento y uso de los sistemas en el marco de acuerdos de trabajo celebrados de conformidad con el Derecho y las políticas de la Unión y en el marco de sus competencias respectivas. Cuando así lo disponga un acto jurídico de la Unión, debe permitirse igualmente a la Agencia cooperar con organizaciones internacionales y otras entidades pertinentes y debe tener la capacidad de concluir acuerdos de trabajo con este fin. Dichos acuerdos deben haber recibido la aprobación previa de la Comisión y estar autorizados por el Consejo de Administración. La Agencia debe también consultar y efectuar un seguimiento, si procede, de las recomendaciones de la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA), creada por el Reglamento (UE) n.o 526/2013 del Parlamento Europeo y del Consejo (21) sobre la seguridad de la red y de la información. |
(38) |
Al garantizar el desarrollo y la gestión operativa de los sistemas, la Agencia debe atenerse a las normas europeas e internacionales, teniendo en cuenta los requisitos profesionales más exigentes, en particular la Estrategia de gestión de la información de la Unión Europea. |
(39) |
El Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (22) debe aplicarse al tratamiento de datos personales por parte de la Agencia, sin perjuicio de las disposiciones sobre la protección de los datos establecidas en los actos jurídicos de la Unión aplicables al desarrollo, establecimiento, funcionamiento y uso de los sistemas que deben ser coherentes con el Reglamento (UE) 2018/1725. Con el fin de mantener la seguridad y de evitar el tratamiento en violación del Reglamento (UE) 2018/1725 y de los actos jurídicos de la Unión que rigen los sistemas, la Agencia debe evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado actual de la técnica y el coste de su implementación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que entraña el tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados en la forma que sea, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales. El Supervisor Europeo de Protección de Datos debe poder obtener de la Agencia acceso a toda la información necesaria para sus investigaciones. De conformidad con el Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo (23), la Comisión consultó al Supervisor Europeo de Protección de Datos, que emitió un dictamen el 10 de octubre de 2017. |
(40) |
Con el fin de garantizar un funcionamiento transparente de la Agencia, debe aplicarse a esta última el Reglamento (CE) n.o 1049/2001 del Parlamento Europeo y del Consejo (24). La Agencia debe ser lo más transparente posible con respecto a sus actividades, sin poner en peligro la consecución del objetivo de sus operaciones. Debe divulgar información sobre todas sus actividades. Debe igualmente asegurarse de que el público y cualquier parte interesada reciban rápidamente información sobre su trabajo. |
(41) |
Las actividades de la Agencia deben estar sometidas al control del Defensor del Pueblo Europeo de conformidad con el artículo 228 del TFUE. |
(42) |
El Reglamento (UE, Euratom) n.o 883/2013 del Parlamento Europeo y del Consejo (25) debe aplicarse a la Agencia, que debe adherirse al Acuerdo Interinstitucional de 25 de mayo de 1999 entre el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión de las Comunidades Europeas relativo a las investigaciones internas efectuadas por la Oficina Europea de Lucha contra el Fraude (OLAF) (26). |
(43) |
El Reglamento (UE) 2017/1939 del Consejo (27), relativo a la creación de la Fiscalía Europea, debe aplicarse a la Agencia. |
(44) |
Con el fin de garantizar unas condiciones de empleo abiertas y transparentes, así como la igualdad de trato al personal, el Estatuto de los funcionarios de la Unión Europea (en lo sucesivo, «Estatuto de los funcionarios») y el Régimen aplicable a otros agentes de la Unión Europea (en lo sucesivo, «Régimen aplicable a otros agentes») establecidos en el Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo (28) (en lo sucesivo, denominados conjuntamente «Estatuto del personal») deben aplicarse al personal (incluidos el director ejecutivo y el director ejecutivo adjunto) de la Agencia, incluidas las normas sobre secreto profesional u otras obligaciones de confidencialidad equivalentes. |
(45) |
Dado que la Agencia es un organismo creado por la Unión en el sentido del Reglamento (UE, Euratom) 2018/1046, la Agencia debe adoptar sus normas financieras en consecuencia. |
(46) |
Debe aplicarse a la Agencia el Reglamento Delegado (UE) n.o 1271/2013 de la Comisión (29). |
(47) |
La Agencia, creada por el presente Reglamento, sustituye y sucede a la Agencia Europea para la gestión operativa de sistemas informáticos de gran magnitud en el espacio de libertad, seguridad y justicia, creada por el Reglamento (UE) n.o 1077/2011. Debe, por lo tanto, ser su sucesora legal en relación con todos los contratos que haya celebrado, pasivos que haya contraído y propiedades que haya adquirido la Agencia Europea para la gestión operativa de sistemas informáticos de gran magnitud en el espacio de libertad, seguridad y justicia creada por el Reglamento (UE) n.o 1077/2011. El presente Reglamento no debe afectar al valor jurídico de los acuerdos, acuerdos de trabajo y memorandos de entendimiento celebrados por la Agencia creada por el Reglamento (UE) n.o 1077/2011, sin perjuicio de cualesquiera modificaciones de los mismos que exija el presente Reglamento. |
(48) |
Para permitir que la Agencia siga cumpliendo las funciones de la Agencia Europea para la gestión operativa de sistemas informáticos de gran magnitud en el espacio de libertad, seguridad y justicia creada por el Reglamento (UE) n.o 1077/2011 lo mejor posible, deben establecerse medidas transitorias, en particular por lo que respecta al Consejo de Administración, a los grupos consultivos, al director ejecutivo y a las normas internas adoptadas por el Consejo de Administración. |
(49) |
El presente Reglamento tiene por objeto modificar y ampliar las disposiciones del Reglamento (UE) n.o 1077/2011. Dado que las modificaciones que han de realizarse mediante el presente Reglamento son importantes por su número y su naturaleza, el Reglamento (UE) n.o 1077/2011 debe, en aras de la claridad, sustituirse en su totalidad por lo que respecta a los Estados miembros obligados por el presente Reglamento. La Agencia, creada por el presente Reglamento, debe sustituir y asumir las funciones de la Agencia creada por el Reglamento (UE) n.o 1077/2011 y, en consecuencia, dicho Reglamento debe ser derogado. |
(50) |
Dado que los objetivos del presente Reglamento, a saber, la creación a escala de la Unión de una Agencia responsable de la gestión operativa y, en su caso, del desarrollo de sistemas informáticos de gran magnitud en el espacio de libertad, seguridad y justicia, no pueden ser alcanzados de manera suficiente por los Estados miembros, sino que, debido a las dimensiones y los efectos de la acción, pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del TUE. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dichos objetivos. |
(51) |
De conformidad con los artículos 1 y 2 del Protocolo n.o 22, Dinamarca no participa en la adopción del presente Reglamento y no queda vinculada por el mismo ni sujeta a su aplicación. Dado que, en la medida en que refiere al SIS II y al VIS, al SES y al SEIAV, el presente Reglamento desarrolla el acervo de Schengen, Dinamarca decidirá, de conformidad con el artículo 4 de dicho Protocolo, dentro de un período de seis meses a partir de la decisión del Consejo sobre el presente Reglamento, si lo incorpora en su Derecho nacional. Conforme al artículo 3 del Acuerdo entre la Comunidad Europea y el Reino de Dinamarca relativo a los criterios y mecanismos de determinación del Estado miembro responsable del examen de una solicitud de asilo presentada en Dinamarca o cualquier otro Estado miembro de la Unión Europea y a Eurodac para la comparación de las impresiones dactilares para la aplicación efectiva del Convenio de Dublín (30), Dinamarca debe notificar a la Comisión si va a aplicar el contenido del presente Reglamento, en la medida en que este se refiera a Eurodac y DubliNet. |
(52) |
En la medida en que sus disposiciones se refieren al SIS II tal como se regula en la Decisión 2007/533/JAI, el Reino Unido participa en el presente Reglamento de conformidad con el artículo 5, apartado 1, del Protocolo n.o 19 sobre el acervo de Schengen integrado en el marco de la Unión Europea, anejo al TUE y al TFUE y con el artículo 8, apartado 2, de la Decisión 2000/365/CE del Consejo (31). En la medida en que sus disposiciones se refieren al SIS II tal como se regula en el Reglamento (CE) n.o 1987/2006 y al VIS, al SES y al SEIAV, el presente Reglamento constituye un desarrollo de disposiciones del acervo de Schengen en las que el Reino Unido no participa, de conformidad con la Decisión 2000/365/CE. El Reino Unido solicitó, mediante su carta de 19 de julio de 2018, al Presidente del Consejo autorización para participar en el presente Reglamento, de conformidad con el artículo 4 del Protocolo n.o 19. En virtud del artículo 1 de la Decisión (UE) 2018/1600 del Consejo (32), el Reino Unido ha sido autorizado a participar en el presente Reglamento. Además, en la medida en que sus disposiciones se refieren a Eurodac y DubliNet, el Reino Unido notificó su deseo de participar en la adopción y la aplicación del presente Reglamento mediante carta de 23 de octubre de 2017 al Presidente del Consejo, de conformidad con el artículo 3 del Protocolo n.o 21 sobre la posición del Reino Unido y de Irlanda respecto del espacio de libertad, seguridad y justicia, anejo al TUE y al TFUE. Por consiguiente, el Reino Unido participa en la adopción del presente Reglamento, está obligado y sujeto a su aplicación. |
(53) |
En la medida en que sus disposiciones se refieren al SIS II tal como se regula en la Decisión 2007/533/JAI, Irlanda puede participar, en principio, en el presente Reglamento de conformidad con el artículo 5, apartado 1, del Protocolo n.o 19 y con el artículo 6, apartado 2, de la Decisión 2002/192/CE del Consejo (33). En la medida en que sus disposiciones se refieren al SIS II tal como se regula en el Reglamento (CE) n.o 1987/2006 y al VIS, al SES y al SEIAV, el presente Reglamento constituye un desarrollo de disposiciones del acervo de Schengen en las que Irlanda no participa de conformidad con la Decisión 2002/192/CE. Irlanda no ha solicitado participar en la adopción del presente Reglamento, de conformidad con el artículo 4 del Protocolo n. |