Procedimiento : 2017/0002(COD)
Ciclo de vida en sesión
Ciclo relativo al documento : A8-0313/2017

Textos presentados :

A8-0313/2017

Debates :

PV 12/09/2018 - 13
CRE 12/09/2018 - 13

Votaciones :

PV 13/09/2018 - 10.5
Explicaciones de voto

Textos aprobados :

P8_TA(2018)0348

INFORME     ***I
PDF 976kWORD 142k
19.10.2017
PE 605.954v02-00 A8-0313/2017

sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos u organismos de la Unión y a la libre circulación de estos datos, y por el que se deroga el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE

(COM(2017)0008 – C8-0008/2017 – 2017/0002(COD))

Comisión de Libertades Civiles, Justicia y Asuntos de Interior

Ponente: Cornelia Ernst

ERRATA/ADDENDA
PROYECTO DE RESOLUCIÓN LEGISLATIVA DEL PARLAMENTO EUROPEO
 EXPOSICIÓN DE MOTIVOS
 OPINIÓN de la Comisión de Asuntos Jurídicos
 PROCEDIMIENTO DE LA COMISIÓN COMPETENTE PARA EL FONDO
 VOTACIÓN FINAL NOMINAL EN LA COMISIÓN COMPETENTE PARA EL FONDO

PROYECTO DE RESOLUCIÓN LEGISLATIVA DEL PARLAMENTO EUROPEO

sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos u organismos de la Unión y a la libre circulación de estos datos, y por el que se deroga el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE

(COM(2017)0008 – C8-0008/2017 – 2017/0002(COD))

(Procedimiento legislativo ordinario: primera lectura)

El Parlamento Europeo,

–  Vista la propuesta de la Comisión al Parlamento Europeo y al Consejo (COM(2017)0008),

–  Vistos el artículo 294, apartado 2, y el artículo 16, apartado 2, del Tratado de Funcionamiento de la Unión Europea, conforme a los cuales la Comisión le ha presentado su propuesta (C8-0008/2017),

–  Visto el artículo 294, apartado 3, del Tratado de Funcionamiento de la Unión Europea,

–  Vistas las contribuciones presentadas por la Cámara de Diputados checa, las Cortes Generales españolas y el Parlamento portugués sobre el proyecto de acto legislativo,

–  Visto el artículo 59 de su Reglamento interno,

–  Vistos el informe de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior y la opinión de la Comisión de Asuntos Jurídicos (A8-0313/2017),

1.  Aprueba la Posición en primera lectura que figura a continuación;

2.  Pide a la Comisión que le consulte de nuevo si se propone modificar sustancialmente su propuesta o sustituirla por otro texto;

3.  Encarga a su presidente que transmita la Posición del Parlamento al Consejo y a la Comisión, así como a los Parlamentos nacionales.

Enmienda    1

Propuesta de Reglamento

Considerando 1

Texto de la Comisión

Enmienda

(1)  La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea («la Carta») y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE) establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.

(1)  La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea («la Carta») y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE) establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan. Este derecho también está garantizado por el artículo 8 del Convenio Europeo de Derechos Humanos.

Enmienda    2

Propuesta de Reglamento

Considerando 5

Texto de la Comisión

Enmienda

(5)  Redunda en interés de un enfoque coherente de la protección de datos personales en la Unión y de la libre circulación de dichos datos personales en la Unión, armonizar, en la medida de lo posible, las normas de protección de datos de las instituciones y organismos de la Unión con las adoptadas para el sector público en los Estados miembros. Cuando las disposiciones del presente Reglamento se basen en el mismo concepto que las disposiciones del Reglamento (UE) 2016/679, ambas deben interpretarse de manera homogénea, en particular porque debe entenderse que la estructura del presente Reglamento es equivalente a la del Reglamento (UE) 2016/679.

(5)  Redunda en interés de un enfoque coherente de la protección de datos personales en la Unión y de la libre circulación de dichos datos personales en la Unión, armonizar las normas de protección de datos de las instituciones, órganos y organismos de la Unión con las adoptadas para el sector público en los Estados miembros. Cuando las disposiciones del presente Reglamento se basen en el mismo concepto que las disposiciones del Reglamento (UE) 2016/679, de conformidad con la jurisprudencia del Tribunal de Justicia de la Unión Europea1 bis, ambas deben interpretarse de manera homogénea, en particular porque debe entenderse que la estructura del presente Reglamento es equivalente a la del Reglamento (UE) 2016/679.

 

_________________

 

1 bis Sentencia del Tribunal de Justicia de 9 de marzo de 2010, Comisión/Alemania, C-518/07, ECLI:EU:C:2010:125, apartados 26 y 28.

Enmienda    3

Propuesta de Reglamento

Considerando 7 bis (nuevo)

Texto de la Comisión

Enmienda

 

(7 bis)  El marco jurídico de protección de datos para el tratamiento de datos en el marco de las actividades de las instituciones y organismos de la Unión en los ámbitos de la libertad, la seguridad y la justicia, así como de la política exterior y de seguridad común, sigue fragmentado y genera inseguridad jurídica. El presente Reglamento debe establecer, por lo tanto, normas armonizadas para la protección y la libre circulación de los datos personales tratados por las instituciones y organismos de la Unión que lleven a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 y 5 del título V de la tercera parte del TFUE y del capítulo 2 del título V del TUE.

Enmienda    4

Propuesta de Reglamento

Considerando 8

Texto de la Comisión

Enmienda

(8)  En la Declaración n.º 21 relativa a la protección de datos de carácter personal en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial, anexa al acta final de la Conferencia Intergubernamental que adoptó el Tratado de Lisboa, la Conferencia reconoció que podrían requerirse normas específicas sobre protección de datos personales y libre circulación de los mismos en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial basada en el artículo 16 del TFUE, en razón de la naturaleza específica de dichos ámbitos. Por lo tanto, el presente Reglamento debe aplicarse a las agencias de la Unión que lleven a cabo actividades en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial solo en la medida en que el Derecho de la Unión aplicable a dichas agencias no incluya normas específicas sobre el tratamiento de datos personales.

(8)  En la Declaración n.º 21 relativa a la protección de datos de carácter personal en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial, anexa al acta final de la Conferencia Intergubernamental que adoptó el Tratado de Lisboa, la Conferencia reconoció que podrían requerirse normas específicas sobre protección de datos personales y libre circulación de los mismos en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial basada en el artículo 16 del TFUE, en razón de la naturaleza específica de dichos ámbitos. Además, la política exterior y de seguridad común tiene una naturaleza específica y unas normas específicas en relación con la protección de los datos personales y podría resultar necesario garantizar la libre circulación de datos personales en ese ámbito también. Conviene, por lo tanto, regular el tratamiento de los datos personales operativos por agencias de la Unión establecidas conforme a los capítulos 4 y 5 del título V de la tercera parte del TFUE y por las misiones mencionadas en el artículo 42, apartado 1, y en los artículos 43 y 44, del TUE, mediante normas específicas que establezcan excepciones a una serie de normas generales establecidas en el presente Reglamento.

Enmienda    5

Propuesta de Reglamento

Considerando 14

Texto de la Comisión

Enmienda

(14)  El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.

(14)  El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta. Al mismo tiempo, el interesado debe tener derecho a retirar su consentimiento en cualquier momento, sin que ello afecte a la legalidad del tratamiento basado en el consentimiento previo a su retirada.

Enmienda    6

Propuesta de Reglamento

Considerando 15

Texto de la Comisión

Enmienda

(15)  Todo tratamiento de datos personales debe ser lícito y leal. Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales así como del modo de hacer valer sus derechos en relación con el tratamiento. En particular, los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida. Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación. Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica. Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos. Los datos personales deben tratarse de un modo que garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento.

(15)  Todo tratamiento de datos personales debe ser lícito y leal y hacerse con unos fines bien determinados y explícitos. Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales así como del modo de hacer valer sus derechos en relación con el tratamiento. En particular, los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida. Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación. Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica. Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos. Los datos personales deben tratarse de un modo que garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento y la divulgación de los datos durante la transmisión.

Enmienda    7

Propuesta de Reglamento

Considerando 18

Texto de la Comisión

Enmienda

(18)  El Derecho de la Unión que incluye las normas internas referidas en el presente Reglamento debe ser claro y preciso y su aplicación previsible para sus destinatarios, de conformidad con la jurisprudencia del Tribunal de Justicia de la Unión Europea y del Tribunal Europeo de Derechos Humanos.

(18)  El Derecho de la Unión referido en el presente Reglamento debe ser claro y preciso y su aplicación previsible para sus destinatarios, de conformidad con los requisitos establecidos en la Carta y el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales.

Enmienda    8

Propuesta de Reglamento

Considerando 20

Texto de la Comisión

Enmienda

(20)  Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento. En particular en el contexto de una declaración por escrito efectuada sobre otro asunto, debe haber garantías de que el interesado es consciente del hecho de que da su consentimiento y de la medida en que lo hace. De acuerdo con la Directiva 93/13/CEE del Consejo14 , debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas. Para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.

(20)  Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento. En particular en el contexto de una declaración por escrito efectuada sobre otro asunto, debe haber garantías de que el interesado es consciente del hecho de que da su consentimiento y de la medida en que lo hace. De acuerdo con la Directiva 93/13/CEE del Consejo14 , debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas. Para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento, los fines del tratamiento a los cuales están destinados los datos personales y las categorías de destinatarios de los datos, así como estar informado sobre el derecho de acceso y de intervención sobre los datos. El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.

_________________

_________________

14 Directiva 93/13/CEE del Consejo, de 5 de abril de 1993, sobre las cláusulas abusivas en los contratos celebrados con consumidores (DO J 95 de 21.4.1993, p. 29).

14 Directiva 93/13/CEE del Consejo, de 5 de abril de 1993, sobre las cláusulas abusivas en los contratos celebrados con consumidores (DO L 95 de 21.4.1993, p. 29).

Enmienda    9

Propuesta de Reglamento

Considerando 22

Texto de la Comisión

Enmienda

(22)  Cuando los destinatarios establecidos en la Unión y sujetos al Reglamento (UE) 2016/679 o la Directiva (UE) 2016/680 quieran que las instituciones y organismos de la Unión les transmitan datos personales, dichos destinatarios deben demostrar que la transmisión es necesaria para alcanzar su objetivo, es proporcionada y no excede de lo necesario para alcanzar dicho objetivo. Las instituciones y organismos de la Unión deben demostrar esta necesidad en el momento en que ellos mismo inicien la transmisión, con arreglo al principio de transparencia.

(22)  Cuando los destinatarios establecidos en la Unión y sujetos al Reglamento (UE) 2016/679 o la Directiva (UE) 2016/680 quieran que las instituciones y organismos de la Unión les transmitan datos personales, dichos destinatarios deben proporcionar al responsable del tratamiento de datos una solicitud razonada para la transmisión que debe servir de base para que el responsable del tratamiento de datos evalúe si la transmisión es necesaria para alcanzar su objetivo, es proporcionada y no excede de lo necesario para alcanzar dicho objetivo. Las instituciones y organismos de la Unión deben demostrar esta necesidad en el momento en que ellos mismo inicien la transmisión, con arreglo al principio de transparencia.

Enmienda    10

Propuesta de Reglamento

Considerando 23

Texto de la Comisión

Enmienda

(23)  Especial protección merecen los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales. Debe incluirse entre tales datos personales los datos de carácter personal que revelen el origen racial o étnico, entendiéndose que el uso del término «origen racial» en el presente Reglamento no implica la aceptación por parte de la Unión de teorías que traten de determinar la existencia de razas humanas separadas. El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física. Además de los requisitos específicos para el tratamiento de datos sensibles, deben aplicarse los principios generales y otras normas del presente Reglamento, sobre todo en lo que se refiere a las condiciones de licitud del tratamiento. Se deben establecer de forma explícita excepciones a la prohibición general de tratamiento de esas categorías especiales de datos personales, entre otras cosas cuando el interesado dé su consentimiento explícito o tratándose de necesidades específicas, en particular cuando el tratamiento sea realizado en el marco de actividades legítimas por determinadas asociaciones o fundaciones cuyo objetivo sea permitir el ejercicio de las libertades fundamentales.

(23)  Especial protección merecen los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales. Tales datos personales no deben ser objeto de tratamiento, salvo que el tratamiento esté permitido en casos específicos establecidos en el presente Reglamento. Debe incluirse entre tales datos personales los datos de carácter personal que revelen el origen racial o étnico, entendiéndose que el uso del término «origen racial» en el presente Reglamento no implica la aceptación por parte de la Unión de teorías que traten de determinar la existencia de razas humanas separadas. El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física. Además de los requisitos específicos para el tratamiento de datos sensibles, deben aplicarse los principios generales y otras normas del presente Reglamento, sobre todo en lo que se refiere a las condiciones de licitud del tratamiento. Se deben establecer de forma explícita excepciones a la prohibición general de tratamiento de esas categorías especiales de datos personales, entre otras cosas cuando el interesado dé su consentimiento explícito o tratándose de necesidades específicas, en particular cuando el tratamiento sea realizado en el marco de actividades legítimas por determinadas asociaciones o fundaciones cuyo objetivo sea permitir el ejercicio de las libertades fundamentales.

Enmienda    11

Propuesta de Reglamento

Considerando 23 bis (nuevo)

Texto de la Comisión

Enmienda

 

(23 bis)  Las categorías especiales de datos personales que merecen mayor protección deben tratarse con fines relacionados con la salud únicamente cuando sea necesario para lograr dichos fines en beneficio de las personas físicas y de la sociedad en su conjunto, en particular en el contexto de la gestión de los servicios y sistemas de asistencia social y sanitaria. Por tanto, el presente Reglamento debe establecer condiciones armonizadas para el tratamiento de categorías especiales de datos personales relativos a la salud, en relación con necesidades específicas, en particular si el tratamiento de esos datos lo realizan, con fines relacionados con la salud, personas sujetas a la obligación legal de secreto profesional. El Derecho de la Unión debe establecer medidas específicas y adecuadas para proteger los derechos fundamentales y los datos personales de las personas físicas.

Enmienda    12

Propuesta de Reglamento

Considerando 24

Texto de la Comisión

Enmienda

(24)  El tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de interés público en el ámbito de la salud pública. Ese tratamiento debe estar sujeto a medidas adecuadas y específicas a fin de proteger los derechos y libertades de las personas físicas. En ese contexto, «salud pública» debe interpretarse según se define en el Reglamento (CE) n.º 1338/2008 del Parlamento Europeo y del Consejo15, es decir, todos los elementos relacionados con la salud, concretamente el estado de salud, con inclusión de la morbilidad y la discapacidad, los determinantes que influyen en dicho estado de salud, las necesidades de asistencia sanitaria, los recursos asignados a la asistencia sanitaria, la puesta a disposición de asistencia sanitaria y el acceso universal a ella, así como los gastos y la financiación de la asistencia sanitaria, y las causas de mortalidad. Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros traten los datos personales con otros fines.

(24)  El tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de interés público en el ámbito de la salud pública. Ese tratamiento debe estar sujeto a medidas adecuadas y específicas a fin de proteger los derechos y libertades de las personas físicas. En ese contexto, «salud pública» debe interpretarse según se define en el Reglamento (CE) n.º 1338/2008 del Parlamento Europeo y del Consejo15, es decir, todos los elementos relacionados con la salud, concretamente el estado de salud, con inclusión de la morbilidad y la discapacidad, los determinantes que influyen en dicho estado de salud, las necesidades de asistencia sanitaria, los recursos asignados a la asistencia sanitaria, la puesta a disposición de asistencia sanitaria y el acceso universal a ella, así como los gastos y la financiación de la asistencia sanitaria, y las causas de mortalidad. Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que se traten los datos personales con otros fines.

__________________

__________________

15 Reglamento (CE) n.º 1338/2008 del Parlamento Europeo y del Consejo, de 16 de diciembre de 2008, sobre estadísticas comunitarias de salud pública y de salud y seguridad en el trabajo (DO L 354 de 31.12.2008, p. 70).

15 Reglamento (CE) n.º 1338/2008 del Parlamento Europeo y del Consejo, de 16 de diciembre de 2008, sobre estadísticas comunitarias de salud pública y de salud y seguridad en el trabajo (DO L 354 de 31.12.2008, p. 70).

Enmienda    13

Propuesta de Reglamento

Considerando 37, párrafo 1

Texto de la Comisión

Enmienda

Los actos jurídicos adoptados con arreglo a los Tratados o las normas internas de las instituciones y organismos de la Unión pueden imponer limitaciones a determinados principios y a los derechos de información, acceso, rectificación o supresión de datos personales, al derecho a la portabilidad de los datos, a la confidencialidad de las comunicaciones electrónicas así como a la comunicación de una violación de la seguridad de los datos personales a un interesado y a determinadas obligaciones conexas de los responsables del tratamiento, en la medida en que sea necesario y proporcionado en una sociedad democrática para salvaguardar la seguridad pública, la prevención, investigación y el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad pública, incluida la protección de la vida humana, especialmente en respuesta a catástrofes naturales o de origen humano, la seguridad interna de las instituciones y organismos de la Unión, otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un importante interés económico o financiero de la Unión o de un Estado miembro, el mantenimiento de registros públicos por razones de interés público general o la protección del interesado o de los derechos y libertades de otros, incluida la protección social, la salud pública y los fines humanitarios.

Los actos jurídicos adoptados con arreglo a los Tratados pueden imponer limitaciones a determinados principios y a los derechos de información, acceso, rectificación o supresión de datos personales, al derecho a la portabilidad de los datos, a la confidencialidad de las comunicaciones electrónicas así como a la comunicación de una violación de la seguridad de los datos personales a un interesado y a determinadas obligaciones conexas de los responsables del tratamiento, en la medida en que sea necesario y proporcionado en una sociedad democrática para salvaguardar la seguridad pública, la prevención, investigación y el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad pública, incluida la protección de la vida humana, especialmente en respuesta a catástrofes naturales o de origen humano, la seguridad interna de las instituciones y organismos de la Unión, otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un importante interés económico o financiero de la Unión o de un Estado miembro, el mantenimiento de registros públicos por razones de interés público general o la protección del interesado o de los derechos y libertades de otros, incluida la protección social, la salud pública y los fines humanitarios.

Enmienda    14

Propuesta de Reglamento

Considerando 37 – párrafo 2

Texto de la Comisión

Enmienda

Cuando una limitación no se establezca en los actos jurídicos adoptados sobre la base de los Tratados o de sus normas internas, las instituciones y organismos de la Unión podrán imponer en un caso concreto una limitación ad hoc relativa a principios específicos y a los derechos del interesado si esta respeta en lo esencial los derechos y libertades fundamentales y, en relación con una operación de tratamiento específica, es necesaria y proporcional en una sociedad democrática para salvaguardar uno o más de los objetivos mencionados en el apartado 1. Dicha limitación debe notificarse al delegado de protección de datos. Todas las limitaciones deben ajustarse a lo dispuesto en la Carta y en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales.

suprimido

Enmienda    15

Propuesta de Reglamento

Considerando 39 bis (nuevo)

Texto de la Comisión

Enmienda

 

(39 bis)  El Reglamento (UE) 2016/679 establece que los responsables del tratamiento de datos demuestren el cumplimiento mediante la adhesión a mecanismos de certificación aprobados. Del mismo modo, las instituciones y organismos de la Unión deben poder demostrar el cumplimiento de lo dispuesto en el presente Reglamento mediante la obtención de una certificación de conformidad con el artículo 42 del Reglamento (UE) 2016/679.

Enmienda    16

Propuesta de Reglamento

Considerando 42

Texto de la Comisión

Enmienda

(42)  Para demostrar la conformidad con el presente Reglamento, los responsables del tratamiento deben mantener registros de las actividades de tratamiento bajo su responsabilidad y los encargados del tratamiento deben mantener registros de las categorías de actividades de tratamiento bajo su responsabilidad. Las instituciones y organismos de la Unión están obligados a cooperar con el Supervisor Europeo de Protección de Datos y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento. Las instituciones y organismos de la Unión deben tener la posibilidad de establecer un archivo central de información de sus actividades de tratamiento. Por razones de transparencia, deben tener la posibilidad de hacerlo público.

(42)  Para demostrar la conformidad con el presente Reglamento, los responsables del tratamiento deben mantener registros de las actividades de tratamiento bajo su responsabilidad y los encargados del tratamiento deben mantener registros de las categorías de actividades de tratamiento bajo su responsabilidad. Las instituciones y organismos de la Unión están obligados a cooperar con el Supervisor Europeo de Protección de Datos y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento. Las instituciones y organismos de la Unión deben establecer un archivo central de información de sus actividades de tratamiento. Por razones de transparencia, deben hacerlo público.

Enmienda    17

Propuesta de Reglamento

Considerando 47

Texto de la Comisión

Enmienda

(47)  El Reglamento (CE) n.º 45/2001 establece la obligación general del responsable del tratamiento de notificar el tratamiento de datos personales al delegado de protección de datos que, a su vez, mantendrá un registro de las operaciones de tratamiento que se le notifiquen. Pese a implicar cargas administrativas y financieras, dicha obligación, sin embargo, no contribuyó en todos los casos a mejorar la protección de los datos personales. Por tanto, estas obligaciones generales de notificación indiscriminada deben eliminarse y sustituirse por procedimientos y mecanismos eficaces que se centren, en su lugar, en los tipos de operaciones de tratamiento que, por su naturaleza, alcance, contexto y fines, entrañen probablemente un alto riesgo para los derechos y libertades de las personas físicas. Estos tipos de operaciones de tratamiento podrían ser, en particular, las que implican el uso de nuevas tecnologías, o son de una nueva clase y el responsable del tratamiento no ha realizado previamente una evaluación de impacto relativa a la protección de datos, o si resultan necesarias visto el tiempo transcurrido desde el tratamiento inicial. En tales casos, el responsable debe llevar a cabo, antes del tratamiento, una evaluación de impacto relativa a la protección de datos con el fin de valorar la particular gravedad y probabilidad del alto riesgo, teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo. Dicha evaluación de impacto debe incluir, en particular, las medidas, garantías y mecanismos previstos para mitigar el riesgo, garantizar la protección de los datos personales y demostrar la conformidad con el presente Reglamento.

(47)  El Reglamento (CE) n.º 45/2001 establece la obligación general del responsable del tratamiento de notificar el tratamiento de datos personales al delegado de protección de datos que, a su vez, mantiene un registro de las operaciones de tratamiento que se le notifiquen. Además de esta obligación general, deben establecerse procedimientos y mecanismos eficaces para hacer un seguimiento de los tipos de operaciones de tratamiento que, por su naturaleza, alcance, contexto y fines, entrañen probablemente un alto riesgo para los derechos y libertades de las personas físicas. Estos procedimientos deben existir también, en particular, cuando los tipos de operaciones de tratamiento implican el uso de nuevas tecnologías, o son de una nueva clase y el responsable del tratamiento no ha realizado previamente una evaluación de impacto relativa a la protección de datos, o si resultan necesarias visto el tiempo transcurrido desde el tratamiento inicial. En tales casos, el responsable debe llevar a cabo, antes del tratamiento, una evaluación de impacto relativa a la protección de datos con el fin de valorar la particular gravedad y probabilidad del alto riesgo, teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo. Dicha evaluación de impacto debe incluir, en particular, las medidas, garantías y mecanismos previstos para mitigar el riesgo, garantizar la protección de los datos personales y demostrar la conformidad con el presente Reglamento.

Enmienda    18

Propuesta de Reglamento

Considerando 50

Texto de la Comisión

Enmienda

(50)  El Reglamento (UE) 2016/679 estableció el Comité Europeo de Protección de Datos como organismo independiente de la Unión dotado de personalidad jurídica. El Comité debe contribuir a la aplicación coherente del Reglamento (UE) 2016/679 y la Directiva 2016/680 en toda la Unión, entre otras cosas, asesorando a la Comisión. Al mismo tiempo, el Supervisor Europeo de Protección de Datos seguirá ejerciendo sus funciones supervisoras y consultivas respecto a todas las instituciones y organismos de la Unión, incluso por iniciativa propia o a petición. A fin de garantizar la coherencia de las normas de protección de datos en toda la Unión, la Comisión debe llevar a cabo consultas de manera obligatoria tras la adopción de actos legislativos o durante la preparación de actos delegados y actos de ejecución, tal como se define en los artículos 289, 290 y 291 del TFUE, y tras la adopción de recomendaciones y propuestas relativas a acuerdos con terceros países y organizaciones internacionales, con arreglo al artículo 218 del TFUE, que repercutan en el derecho a la protección de los datos personales. En estos casos, la Comisión debe estar obligada a consultar al Supervisor Europeo de Protección de Datos, excepto cuando el Reglamento (UE) 2016/679 prevea una consulta obligatoria del Comité Europeo de Protección de Datos, por ejemplo, sobre decisiones de adecuación o actos delegados relativos a iconos normalizados y requisitos para los mecanismos de certificación. Cuando dicho acto sea de especial importancia para la protección de los derechos y libertades de las personas en relación con el tratamiento de datos personales, la Comisión debe tener la posibilidad de consultar, además, al Comité Europeo de Protección de Datos. En estos casos, el Supervisor Europeo de Protección de Datos debe, como miembro del Comité Europeo de Protección de Datos, coordinar su trabajo con este último a fin de emitir un dictamen conjunto. El Supervisor Europeo de Protección de Datos y, si procede, el Comité Europeo de Protección de Datos deben ofrecer su asesoramiento escrito en un plazo de ocho semanas. El plazo debe ser más corto en caso de urgencia o cuando se considere conveniente, por ejemplo, cuando la Comisión esté preparando actos delegados y de ejecución.

(50)  El Reglamento (UE) 2016/679 estableció el Comité Europeo de Protección de Datos como organismo independiente de la Unión dotado de personalidad jurídica. El Comité debe contribuir a la aplicación coherente del Reglamento (UE) 2016/679 y la Directiva 2016/680 en toda la Unión, entre otras cosas, asesorando a la Comisión. Al mismo tiempo, el Supervisor Europeo de Protección de Datos seguirá ejerciendo sus funciones supervisoras y consultivas respecto a todas las instituciones y organismos de la Unión, incluso por iniciativa propia o a petición. A fin de garantizar la coherencia de las normas de protección de datos en toda la Unión, la Comisión debe llevar a cabo consultas de manera obligatoria cuando se adopten propuestas de actos legislativos o durante la preparación de actos delegados y actos de ejecución, tal como se define en los artículos 289, 290 y 291 del TFUE, y cuando se adopten recomendaciones y propuestas relativas a acuerdos con terceros países y organizaciones internacionales, con arreglo al artículo 218 del TFUE, que repercutan en el derecho a la protección de los datos personales. En estos casos, la Comisión debe estar obligada a consultar al Supervisor Europeo de Protección de Datos, excepto cuando el Reglamento (UE) 2016/679 prevea una consulta obligatoria del Comité Europeo de Protección de Datos, por ejemplo, sobre decisiones de adecuación o actos delegados relativos a iconos normalizados y requisitos para los mecanismos de certificación. Cuando dicho acto sea de especial importancia para la protección de los derechos y libertades de las personas en relación con el tratamiento de datos personales, la Comisión debe tener la posibilidad de consultar, además, al Comité Europeo de Protección de Datos. En estos casos, el Supervisor Europeo de Protección de Datos debe, como miembro del Comité Europeo de Protección de Datos, coordinar su trabajo con este último a fin de emitir un dictamen conjunto. El Supervisor Europeo de Protección de Datos y, si procede, el Comité Europeo de Protección de Datos deben ofrecer su asesoramiento escrito en un plazo de ocho semanas. El plazo debe ser más corto en caso de urgencia o cuando se considere conveniente, por ejemplo, cuando la Comisión esté preparando actos delegados y de ejecución.

Enmienda    19

Propuesta de Reglamento

Considerando 50 bis (nuevo)

Texto de la Comisión

Enmienda

 

(50 bis)  De conformidad con el artículo 75 del Reglamento (UE) 2016/679, el Supervisor Europeo de Protección de Datos se hará cargo de la secretaría del Comité Europeo de Protección de Datos.

Enmienda    20

Propuesta de Reglamento

Considerando 52

Texto de la Comisión

Enmienda

(52)  Si los datos personales se transfieren de las instituciones y organismos de la Unión a responsables, encargados u otros destinatarios en terceros países o a organizaciones internacionales, esto no debe menoscabar el nivel de protección de las personas físicas garantizado en la Unión por el presente Reglamento, ni siquiera en las transferencias ulteriores de datos personales desde el tercer país u organización internacional a responsables y encargados en el mismo u otro tercer país u organización internacional. En todo caso, las transferencias a terceros países y organizaciones internacionales solo pueden llevarse a cabo de plena conformidad con el presente Reglamento. Una transferencia solo podría tener lugar si, a reserva de las demás disposiciones del presente Reglamento, el responsable o encargado cumple las disposiciones del presente Reglamento relativas a la transferencia de datos personales a terceros países u organizaciones internacionales.

(52)  Si los datos personales se transfieren de las instituciones y organismos de la Unión a responsables, encargados u otros destinatarios en terceros países o a organizaciones internacionales, esto debe respetar el nivel de protección de las personas físicas garantizado en la Unión por el presente Reglamento, ni siquiera en las transferencias ulteriores de datos personales desde el tercer país u organización internacional a responsables y encargados en el mismo u otro tercer país u organización internacional. En todo caso, las transferencias a terceros países y organizaciones internacionales solo pueden llevarse a cabo de plena conformidad con el presente Reglamento, con el Reglamento (UE) 2016/679 y con los derechos y las libertades fundamentales consagrados en la Carta. Una transferencia solo podría tener lugar si, a reserva de las demás disposiciones del presente Reglamento, el responsable o encargado cumple las disposiciones del presente Reglamento relativas a la transferencia de datos personales a terceros países u organizaciones internacionales.

Enmienda    21

Propuesta de Reglamento

Considerando 53

Texto de la Comisión

Enmienda

(53)  La Comisión puede decidir, con arreglo al artículo 45 del Reglamento (UE) 2016/679, que un tercer país, un territorio o sector específico en un tercer país, o una organización internacional, ofrece un nivel de protección de datos adecuado. En estos casos, las instituciones y organismos de la Unión pueden realizar transferencias de datos personales a estos países u organizaciones internacionales sin que se requiera obtener otro tipo de autorización.

(53)  La Comisión puede decidir, con arreglo al artículo 45 del Reglamento (UE) 2016/679 o al artículo 36 de la Directiva (UE) 2016/680, que un tercer país, un territorio o sector específico en un tercer país, o una organización internacional, ofrece un nivel de protección de datos adecuado. En estos casos, las instituciones y organismos de la Unión pueden realizar transferencias de datos personales a estos países u organizaciones internacionales sin que se requiera obtener otro tipo de autorización.

Enmienda    22

Propuesta de Reglamento

Considerando 64 bis (nuevo)

Texto de la Comisión

Enmienda

 

(64 bis)  La Comisión ha propuesto modificar el Reglamento (UE) n.º 1024/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, relativo a la cooperación administrativa a través del Sistema de Información del Mercado Interior y por el que se deroga la Decisión 2008/49/CE de la Comisión («Reglamento IMI»), a fin de permitir que hagan uso del sistema IMI no solo las autoridades competentes de los Estados miembros y la Comisión, sino también los órganos y organismos de la Unión1 bis. A la espera de esta revisión, el Supervisor Europeo de Protección de Datos y el Comité Europeo de Protección de Datos deben poder usar el Sistema de Información del Mercado Interior con los fines de cooperación administrativa y de intercambio de información establecidos en el Reglamento general de protección de datos en vista de su entrada en vigor el 25 de mayo de 2018.

 

_________________

 

1 bis Véase el artículo 36 de la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la creación de un portal digital único para el suministro de información, procedimientos y servicios de asistencia y resolución de problemas, y por el que se modifica el Reglamento (UE) n.º 1024/2012 (COM(2017)0256 - 2017/0086 (COD)).

Enmienda    23

Propuesta de Reglamento

Considerando 65

Texto de la Comisión

Enmienda

(65)  En algunos casos, el Derecho de la Unión prevé un modelo de supervisión coordinada, compartido por el Supervisor Europeo de Protección de Datos y las autoridades de control nacionales. Además, el Supervisor Europeo de Protección de Datos es la autoridad de control de Europol y se establece un modelo de cooperación con las autoridades de control nacionales mediante un consejo de cooperación con funciones consultivas. Para mejorar la supervisión efectiva y el cumplimiento de las normas sustantivas de protección de datos debe introducirse en la Unión un modelo único y coherente de supervisión coordinada. La Comisión debe presentar, si procede, propuestas legislativas para modificar actos jurídicos de la Unión que establezcan un modelo de supervisión coordinada, a fin de armonizarlos con el modelo de supervisión coordinada del presente Reglamento. El Comité Europeo de Protección de Datos debe servir de foro único para garantizar la supervisión coordinada eficaz de forma generalizada.

(65)  En algunos casos, el Derecho de la Unión prevé un modelo de supervisión coordinada, compartido por el Supervisor Europeo de Protección de Datos y las autoridades de control nacionales. Además, el Supervisor Europeo de Protección de Datos es la autoridad de control de Europol y se establece un modelo de cooperación con las autoridades de control nacionales mediante un consejo de cooperación con funciones consultivas. Para mejorar la supervisión efectiva y el cumplimiento de las normas sustantivas de protección de datos, el presente Reglamento debe introducir un modelo único y coherente de supervisión coordinada. El Comité Europeo de Protección de Datos debe servir de foro único para garantizar la supervisión coordinada eficaz de forma generalizada.

Enmienda    24

Propuesta de Reglamento

Artículo 1 – apartado 2

Texto de la Comisión

Enmienda

2.  El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.

2.  El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas consagrados en la Carta y, en particular, su derecho a la protección de los datos personales.

Enmienda    25

Propuesta de Reglamento

Artículo 2 – apartado 1

Texto de la Comisión

Enmienda

1.  El presente Reglamento se aplica al tratamiento de datos personales por parte de todas las instituciones y organismos de la Unión, en la medida en que dicho tratamiento se lleve a cabo para el ejercicio de actividades comprendidas total o parcialmente en el ámbito de aplicación del Derecho de la Unión.

1.  El presente Reglamento se aplica al tratamiento de datos personales por parte de todas las instituciones y organismos de la Unión.

Enmienda    26

Propuesta de Reglamento

Artículo 2 – apartado 2 bis (nuevo)

Texto de la Comisión

Enmienda

 

2 bis.  El presente Reglamento se aplicará asimismo a las agencias de la Unión que lleven a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 y 5 del título V de la tercera parte del TFUE, incluso cuando los actos fundacionales de dichas agencias de la Unión establezcan un régimen de protección de datos independiente para el tratamiento de datos personales operativos. Las disposiciones relativas al tratamiento específico de datos personales operativos en los actos fundacionales de estas agencias pueden pormenorizar y completar la aplicación del presente Reglamento.

Enmienda    27

Propuesta de Reglamento

Artículo 3 – apartado 1 – letra a

Texto de la Comisión

Enmienda

a)  las definiciones del Reglamento (UE) 2016/679, con la excepción de la definición de «responsable del tratamiento» del artículo 4, apartado 7, de dicho Reglamento;

a)  las definiciones del Reglamento (UE) 2016/679, con la excepción de la definición de «responsable del tratamiento» del artículo 4, punto 7, «establecimiento principal» del punto 16, «empresa» del punto 18 y «grupo empresarial» del punto 19, de dicho Reglamento; la definición de «comunicación electrónica» del artículo 4, apartado 2, letra a), del Reglamento (UE) XXXX/XX [Reglamento sobre la privacidad y las comunicaciones electrónicas];

Enmienda    28

Propuesta de Reglamento

Artículo 3 – apartado 2 – letra d bis (nueva)

Texto de la Comisión

Enmienda

 

d bis)  «datos personales operativos»: los datos personales tratados por las agencias de la Unión establecidas en virtud de los capítulos 4 y 5 del título V de la tercera parte del TFUE y por las misiones mencionadas en el artículo 42, apartado 1, y los artículos 43 y 44 del TUE, con el fin de lograr los objetivos fijados en los actos por los que se establecen dichas agencias y misiones.

Enmienda    29

Propuesta de Reglamento

Artículo 4 – apartado 1 – parte introductoria

Texto de la Comisión

Enmienda

1.  Los datos personales serán:

(No afecta a la versión española.)

Enmienda    30

Propuesta de Reglamento

Artículo 4 – apartado 1 – letra d

Texto de la Comisión

Enmienda

d)  exactos y, si fuera necesario, actualizados; se tomarán todas las medidas razonables para la supresión o rectificación sin dilación de los datos inexactos o incompletos en relación con los fines para los que fueron recogidos o para los que son tratados posteriormente («exactitud»);

d)  exactos y, si fuera necesario, actualizados; se tomarán todas las medidas razonables para la supresión o rectificación sin dilación de los datos personales que sean inexactos en relación con los fines para los que son tratados («exactitud»);

Enmienda    31

Propuesta de Reglamento

Artículo 5 – apartado 2

Texto de la Comisión

Enmienda

2.  Las funciones indicadas en la letra a) del apartado 1 serán establecidas en el Derecho de la Unión.

2.  Las funciones indicadas en la letra a) del apartado 1 serán establecidas en el Derecho de la Unión. La base para el tratamiento contemplado en la letra b) del apartado 1 se establecerá en el Derecho de la Unión o del Estado miembro a que esté sujeto el responsable del tratamiento.

Enmienda    32

Propuesta de Reglamento

Artículo 8 – título

Texto de la Comisión

Enmienda

Condiciones aplicables al consentimiento de los niños en relación con los servicios de la sociedad de la información

Condiciones aplicables al consentimiento de un niño en relación con los servicios de la sociedad de la información

Enmienda    33

Propuesta de Reglamento

Artículo 8 bis (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 8 bis

 

Transferencia de datos personales entre las instituciones y organismos de la Unión

 

Sin perjuicio de lo dispuesto en los artículos 4, 5, 6 y 10:

 

1. Los datos personales solo se transferirán a otras instituciones y organismos de la Unión o en el seno de dichas instituciones y organismos si son necesarios para el ejercicio legítimo de las tareas que pertenecen al ámbito de competencia del destinatario.

 

2. Cuando los datos se transfieran a petición del destinatario, la responsabilidad relativa a la legitimidad de la transferencia incumbirá tanto al responsable del tratamiento como al destinatario.

 

El responsable del tratamiento estará obligado a verificar la competencia del destinatario y a efectuar una evaluación provisional de la necesidad de la transferencia de dichos datos. En caso de abrigar dudas sobre tal necesidad, el responsable del tratamiento pedirá al destinatario que aporte información complementaria.

 

El destinatario garantizará la posibilidad de verificar subsiguientemente la necesidad de la transferencia de los datos.

 

3. El destinatario tratará los datos personales únicamente para los fines que hayan motivado su transferencia.

.

Enmienda    34

Propuesta de Reglamento

Artículo 9 – apartado 1 – parte introductoria

Texto de la Comisión

Enmienda

1.  Sin perjuicio de lo dispuesto en los artículos 4, 5, 6 y 10, los datos personales solo se transmitirán a destinatarios establecidos en la Unión y sujetos al Reglamento (UE) 2016/679 o al Derecho nacional adoptado en aplicación de la Directiva (UE) 2016/680, cuando el destinatario demuestre:

1.  Sin perjuicio de lo dispuesto en los artículos 4, 5, 6, 10, 14, 15, apartado 3, y 16, apartado 4, los datos personales solo se transmitirán a destinatarios establecidos en la Unión y sujetos al Reglamento (UE) 2016/679 o al Derecho nacional adoptado en aplicación de la Directiva (UE) 2016/680, cuando el responsable del tratamiento demuestre, sobre la base de una solicitud razonada del destinatario:

Enmienda    35

Propuesta de Reglamento

Artículo 9 – apartado 1 – letra b

Texto de la Comisión

Enmienda

b)  la necesidad de transmitir los datos, la proporcionalidad con los fines de la transmisión y que no existen motivos para suponer que ello pudiera perjudicar los derechos y libertades así como los intereses legítimos del interesado.

b)  la proporcionalidad y la necesidad con el fin de servir a un interés público como la transparencia o la buena administración y que no existen motivos para suponer que ello pudiera perjudicar los intereses legítimos del interesado, tras haber sopesado manifiestamente los diferentes intereses en competencia.

Enmienda    36

Propuesta de Reglamento

Artículo 10 – apartado 2 – letra a

Texto de la Comisión

Enmienda

a)  el interesado ha dado su consentimiento explícito para el tratamiento de dichos datos con uno o más de los fines especificados, excepto cuando el Derecho de la Unión establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado, o

a)  el interesado ha dado su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado, o

Enmienda    37

Propuesta de Reglamento

Artículo 10 – apartado 3

Texto de la Comisión

Enmienda

3.  Los datos personales a que se refiere el apartado 1 podrán tratarse para los fines citados en el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión.

3.  Los datos personales a que se refiere el apartado 1 podrán tratarse a los fines citados en el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes.

Enmienda    38

Propuesta de Reglamento

Artículo 11 – párrafo 1

Texto de la Comisión

Enmienda

El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas en virtud del artículo 5, apartado 1, solo podrá llevarse a cabo si así lo autoriza el Derecho de la Unión, el cual puede incluir normas internas, ofreciendo las garantías específicas adecuadas para los derechos y libertades de los interesados.

El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas en virtud del artículo 5, apartado 1, solo se llevará a cabo si así lo autoriza el Derecho de la Unión ofreciendo las garantías específicas adecuadas para los derechos y libertades de los interesados.

Enmienda    39

Propuesta de Reglamento

Artículo 14 – apartado 5 – párrafo 1

Texto de la Comisión

Enmienda

La información facilitada en virtud de los artículos 15 y 16 así como toda comunicación y cualquier actuación realizada en virtud de los artículos 17 a 24 y 38 serán a título gratuito. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá negarse a actuar respecto de la solicitud.

La información facilitada en virtud de los artículos 15 y 16 así como toda comunicación y cualquier actuación realizada en virtud de los artículos 17 a 24 y 38 serán a título gratuito.

Enmienda    40

Propuesta de Reglamento

Artículo 14 – apartado 8

Texto de la Comisión

Enmienda

8.  Si la Comisión adopta actos delegados en virtud del artículo 12, apartado 8, del Reglamento (UE) 2016/679 a fin de especificar la información que se ha de presentar a través de los iconos y los procedimientos para proporcionar iconos normalizados, las instituciones y organismos de la Unión facilitarán, en su caso, la información en virtud de los artículo 15 y 16 en combinación con dichos iconos normalizados.

8.  La Comisión estará facultada para adoptar actos delegados en virtud del artículo 12, apartado 8, del Reglamento (UE) 2016/679 a fin de especificar la información que se ha de presentar a través de los iconos y los procedimientos para proporcionar iconos normalizados; las instituciones y organismos de la Unión facilitarán, en su caso, la información en virtud de los artículos 15 y 16 en combinación con dichos iconos normalizados.

Enmienda    41

Propuesta de Reglamento

Artículo 16 – apartado 5 – letra b

Texto de la Comisión

Enmienda

b)  la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, o en la medida en que la obligación mencionada en el apartado 1 del presente artículo pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento;

b)  la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, o en la medida en que la obligación mencionada en el apartado 1 del presente artículo pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento;

Enmienda    42

Propuesta de Reglamento

Artículo 16 – apartado 5 – letra c

Texto de la Comisión

Enmienda

c)  la obtención o la comunicación esté expresamente establecida por el Derecho de la Unión; o

c)  la obtención o la comunicación esté expresamente establecida por el Derecho de la Unión que se aplique al responsable del tratamiento y que establezca medidas adecuadas para proteger los intereses legítimos del interesado; o

Enmienda    43

Propuesta de Reglamento

Artículo 16 – apartado 5 – letra d

Texto de la Comisión

Enmienda

d)  cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión.

d)  cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión, incluida una obligación legal de secreto.

Enmienda    44

Propuesta de Reglamento

Artículo 16 – apartado 5 bis (nuevo)

Texto de la Comisión

Enmienda

 

5 bis.   En los casos mencionados en el apartado 5, letra b), el responsable del tratamiento adoptará medidas adecuadas para proteger los derechos, las libertades y los intereses legítimos del interesado, inclusive haciendo pública la información;

Enmienda    45

Propuesta de Reglamento

Artículo 20 – apartado 1 – letra b

Texto de la Comisión

Enmienda

b)  el tratamiento sea ilícito y el interesado se oponga a su supresión y solicite en su lugar la limitación de su uso;

b)  el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;

Enmienda    46

Propuesta de Reglamento

Artículo 25 – apartado 1 – parte introductoria

Texto de la Comisión

Enmienda

1.  Los actos jurídicos adoptados con arreglo a los Tratados o, en cuestiones relacionadas con el funcionamiento de las instituciones y organismos de la Unión, las normas internas establecidas por estos últimos podrán limitar la aplicación de los artículos 14 a 22, 34 y 38, así como el artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 14 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:

1.  Los actos jurídicos adoptados con arreglo a los Tratados podrán limitar la aplicación de los artículos 14 a 22 y 38, así como el artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 14 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:

Enmienda    47

Propuesta de Reglamento

Artículo 25 – apartado 1 bis (nuevo)

Texto de la Comisión

Enmienda

 

1 bis.   Los actos adoptados con arreglo al apartado 1 serán claros y precisos. Su aplicación será previsible para las personas sujetas a él.

Enmienda    48

Propuesta de Reglamento

Artículo 25 – apartado 1 ter (nuevo)

Texto de la Comisión

Enmienda

 

1 ter.  En particular, cualquier acto jurídico adoptado con arreglo al apartado 1 contendrá como mínimo, cuando proceda, disposiciones específicas relativas a:

 

a) la finalidad del tratamiento o de las categorías de tratamiento;

 

b) las categorías de datos personales de que se trate;

 

c) el alcance de las limitaciones establecidas;

 

d) las garantías para evitar accesos o transferencias ilícitos o abusivos;

 

e) la determinación del responsable del tratamiento o de las categorías de responsables;

 

f) los plazos de conservación y las garantías aplicables habida cuenta de la naturaleza, el alcance y los objetivos del tratamiento o de las categorías de tratamiento;

 

g) los riesgos para los derechos y las libertades de los interesados; y

 

h) el derecho de los interesados a ser informados sobre la limitación, salvo si puede ser perjudicial para los fines de esta.

Enmienda    49

Propuesta de Reglamento

Artículo 25 – apartado 2

Texto de la Comisión

Enmienda

2.  Cuando una limitación no se establezca en un acto jurídico adoptado sobre la base de los Tratados o en una norma interna en virtud del apartado 1, las instituciones y organismos de la Unión podrán limitar la aplicación de los artículos 14 a 22, 34 y 38, así como el artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 14 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales, en relación con una operación de tratamiento específica, y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar uno o más de los objetivos mencionados en el apartado 1. Dicha limitación deberá notificarse al delegado de protección de datos pertinente.

suprimido

Enmienda    50

Propuesta de Reglamento

Artículo 25 – apartado 3

Texto de la Comisión

Enmienda

3.  Cuando se traten datos personales con fines de investigación científica o histórica o estadísticos, el Derecho de la Unión, el cual puede incluir normas internas, podrá establecer excepciones a los derechos contemplados en los artículos 17, 18, 20 y 23, sujetas a las condiciones y garantías indicadas en el artículo 13, siempre que sea probable que esos derechos imposibiliten u obstaculicen gravemente el logro de los fines específicos, y cuanto esas excepciones sean necesarias para alcanzar esos fines.

3.  Cuando se traten datos personales con fines de investigación científica o histórica o estadísticos, el Derecho de la Unión podrá establecer excepciones a los derechos contemplados en los artículos 17, 18, 20 y 23, sujetas a las condiciones y garantías indicadas en el artículo 13, siempre que sea probable que esos derechos imposibiliten u obstaculicen gravemente el logro de los fines específicos, y cuanto esas excepciones sean necesarias para alcanzar esos fines.

Enmienda    51

Propuesta de Reglamento

Artículo 25 – apartado 4

Texto de la Comisión

Enmienda

4.  Cuando se traten datos personales con fines de archivo en interés público, el Derecho de le Unión, el cual puede incluir normas internas, podrá establecer excepciones a los derechos contemplados en los artículos 17, 18, 20, 21, 22 y 23, sujetas a las condiciones y garantías citadas en el apartado 13 del presente artículo, siempre que sea probable que esos derechos imposibiliten u obstaculicen gravemente el logro de los fines específicos, y cuanto esas excepciones sean necesarias para alcanzar esos fines.

4.  Cuando se traten datos personales con fines de archivo en interés público, el Derecho de la Unión podrá establecer excepciones a los derechos contemplados en los artículos 17, 18, 20, 21, 22 y 23, sujetas a las condiciones y garantías citadas en el apartado 13 del presente artículo, siempre que sea probable que esos derechos imposibiliten u obstaculicen gravemente el logro de los fines específicos, y cuanto esas excepciones sean necesarias para alcanzar esos fines.

Enmienda    52

Propuesta de Reglamento

Artículo 25 – apartado 5

Texto de la Comisión

Enmienda

5.  Las normas internas mencionadas en los apartados 1, 3 y 4 serán suficientemente claras y precisas y deben ser objeto de una publicación apropiada.

suprimido

Enmienda    53

Propuesta de Reglamento

Artículo 25 – apartado 6

Texto de la Comisión

Enmienda

6.  En caso de que se imponga una limitación en virtud de los apartados 1 y 2, se informará al interesado, de conformidad con el Derecho de la Unión, de las razones principales que justifican la limitación, así como de su derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos.

6.  En caso de que se imponga una limitación en virtud del apartado 1, se informará al interesado, de conformidad con el Derecho de la Unión, de las razones principales que justifican la limitación, así como de su derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos.

Enmienda    54

Propuesta de Reglamento

Artículo 25 – apartado 7

Texto de la Comisión

Enmienda

7.  En caso de que se imponga una limitación en virtud de los apartados 1 y 2 para denegar al interesado el acceso a los datos, el Supervisor Europeo de Protección de Datos, durante la investigación subsiguiente a la reclamación, solo le comunicará si los datos se trataron correctamente y, de no ser así, si se han efectuado las correcciones necesarias.

7.  En caso de que se imponga una limitación en virtud del apartado 1 para denegar al interesado el acceso a los datos, el Supervisor Europeo de Protección de Datos, durante la investigación subsiguiente a la reclamación, solo le comunicará si los datos se trataron correctamente y, de no ser así, si se han efectuado las correcciones necesarias.

Enmienda    55

Propuesta de Reglamento

Artículo 25 – apartado 8

Texto de la Comisión

Enmienda

8.  Podrá aplazarse, omitirse o denegarse la comunicación de la información a la que se refieren los apartados 6 y 7 y el artículo 46, apartado 2, si esta deja sin efecto la limitación impuesta sobre la base de los apartados 1 y 2.

8.  Podrá aplazarse, omitirse o denegarse la comunicación de la información a la que se refieren los apartados 6 y 7 y el artículo 46, apartado 2, si esta deja sin efecto la limitación impuesta sobre la base del apartado 1.

Enmienda    56

Propuesta de Reglamento

Artículo 26 – apartado 2 bis (nuevo)

Texto de la Comisión

Enmienda

 

2 bis.  Podrá utilizarse la adhesión a mecanismos de certificación aprobados de conformidad con el artículo 42 del Reglamento (UE) 2016/679 como elemento para acreditar el cumplimiento de las obligaciones por parte del responsable del tratamiento.

Enmienda    57

Propuesta de Reglamento

Artículo 27 – apartado 2 bis (nuevo)

Texto de la Comisión

Enmienda

 

2 bis.  Podrá utilizarse un mecanismo de certificación aprobado de conformidad con el artículo 42 del Reglamento (UE) 2016/679 como elemento para acreditar el cumplimiento de las obligaciones establecidas en los apartados 1 y 2 del presente artículo.

Enmienda    58

Propuesta de Reglamento

Artículo 28 – apartado 3

Texto de la Comisión

Enmienda

3.  Los interesados podrán ejercer los derechos que les reconoce el presente Reglamento frente a uno o más corresponsables del tratamiento y en contra de estos, teniendo en cuenta sus funciones tal y como están determinadas en los términos del acuerdo a que se refiere el apartado 1.

3.  Independientemente de los términos del acuerdo a que se refiere el apartado 1, los interesados podrán ejercer los derechos que les reconoce el presente Reglamento frente a cada uno de los responsables del tratamiento y en contra de estos.

Enmienda    59

Propuesta de Reglamento

Artículo 31 – apartado 5

Texto de la Comisión

Enmienda

5.  Las instituciones y organismos de la Unión pueden decidir mantener sus registros de actividades de tratamiento en un registro central. En ese caso, también pueden decidir que el registro sea de acceso público.

5.  Las instituciones y organismos de la Unión mantendrán sus registros de actividades de tratamiento en un registro central y harán que el registro sea de acceso público.

Enmienda    60

Propuesta de Reglamento

Capítulo 4 – sección 2 – título

Texto de la Comisión

Enmienda

SEGURIDAD DE LOS DATOS PERSONALES Y CONFIDENCIALIDAD DE LAS COMUNICACIONES ELECTRÓNICAS

SEGURIDAD DE LOS DATOS PERSONALES

Enmienda    61

Propuesta de Reglamento

Artículo 33 – apartado 3 bis (nuevo)

Texto de la Comisión

Enmienda

 

3 bis.  Podrá utilizarse la adhesión a un mecanismo de certificación aprobado de conformidad con el artículo 42 del Reglamento (UE) 2016/679 como elemento para acreditar el cumplimiento de las obligaciones establecidas en el apartado 1 del presente artículo.

Enmienda    62

Propuesta de Reglamento

Artículo 33 bis (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 33 bis

 

Podrá utilizarse la adhesión a un código de conducta aprobado de conformidad con el artículo 42 del Reglamento (UE) 2016/679 como elemento para acreditar el cumplimiento de las obligaciones establecidas en los apartados 1 y 2.

Enmienda    63

Propuesta de Reglamento

Artículo 34

Texto de la Comisión

Enmienda

Artículo 34

suprimido

Confidencialidad de las comunicaciones electrónicas

 

Las instituciones y organismos de la Unión deberán garantizar la confidencialidad de las comunicaciones electrónicas, en particular protegiendo sus redes de comunicación electrónica.

 

Enmienda    64

Propuesta de Reglamento

Artículo 36

Texto de la Comisión

Enmienda

Artículo 36

suprimido

Guías de usuarios

 

1.  Los datos personales contenidos en las guías de usuarios, así como el acceso a dichas guías, quedarán limitados a lo necesario para los fines específicos de la guía.

 

2.  Las instituciones y organismos de la Unión adoptarán las medidas necesarias para evitar que los datos personales contenidos en estas guías, independientemente de si resultan accesibles al público o no, sean utilizados para fines de venta directa.

 

Enmienda    65

Propuesta de Reglamento

Capítulo 4 – sección 2 bis (nueva) - título

Texto de la Comisión

Enmienda

 

CONFIDENCIALIDAD DE LAS COMUNICACIONES ELECTRÓNICAS

Enmienda    66

Propuesta de Reglamento

Artículo 38 bis (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 38 bis

 

Confidencialidad de las comunicaciones electrónicas

 

Las instituciones y organismos de la Unión deberán garantizar la confidencialidad de las comunicaciones electrónicas, en particular protegiendo sus redes de comunicación electrónica.

Enmienda    67

Propuesta de Reglamento

Artículo 38 ter (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 38 ter

 

Guías de usuarios

 

1. Los datos personales contenidos en las guías de usuarios, así como el acceso a dichas guías, quedarán limitados a lo necesario para los fines específicos de la guía.

 

2. Las instituciones y organismos de la Unión adoptarán las medidas necesarias para evitar que los datos personales contenidos en estas guías, independientemente de si resultan accesibles al público o no, sean utilizados para fines de venta directa.

Enmienda    68

Propuesta de Reglamento

Artículo 41 – párrafo 1

Texto de la Comisión

Enmienda

Las instituciones y los organismos de la Unión informarán al Supervisor Europeo de Protección de Datos cuando elaboren medidas administrativas y normas internas relacionadas con el tratamiento de datos personales que impliquen a una institución o un organismo de la Unión aisladamente o junto con otros.

Las instituciones y los organismos de la Unión informarán al Supervisor Europeo de Protección de Datos cuando elaboren medidas administrativas relacionadas con el tratamiento de datos personales que impliquen a una institución o un organismo de la Unión aisladamente o junto con otros.

Enmienda    69

Propuesta de Reglamento

Artículo 42 – apartado 1

Texto de la Comisión

Enmienda

1.  Tras la adopción de propuestas de actos legislativos y de recomendaciones o propuestas al Consejo, en virtud del artículo del artículo 218 del TFUE, y al preparar actos delegados o actos de ejecución que tengan un impacto sobre la protección de los derechos y libertades de las personas en relación con el tratamiento de datos personales, la Comisión consultará al Supervisor Europeo de Protección de Datos.

1.  Cuando se adopten propuestas de actos legislativos y recomendaciones o propuestas al Consejo, en virtud del artículo del artículo 218 del TFUE, y al preparar actos delegados o actos de ejecución relativos a la protección de los derechos y libertades de las personas físicas en relación con el tratamiento de datos personales, la Comisión consultará al Supervisor Europeo de Protección de Datos.

Enmienda    70

Propuesta de Reglamento

Artículo 44 – apartado 4

Texto de la Comisión

Enmienda

4.  El delegado de protección de datos podrá formar parte de la plantilla de la institución u organismo de la Unión, o desempeñar sus funciones en el marco de un contrato de servicios.

4.  El delegado de protección de datos formará parte de la plantilla de la institución u organismo de la Unión. En circunstancias excepcionales, teniendo en cuenta su tamaño y si no se cumplen las condiciones establecidas en el apartado 2, las instituciones y organismos de la Unión podrán designar un delegado de protección de datos que desempeñe sus funciones en el marco de un contrato de servicios.

Enmienda    71

Propuesta de Reglamento

Artículo 45 – apartado 5

Texto de la Comisión

Enmienda

5.  El delegado de protección de datos y su personal estarán obligados a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión.

5.  El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión.

Enmienda    72

Propuesta de Reglamento

Artículo 46 – apartado 1 – letra g bis (nueva)

Texto de la Comisión

Enmienda

 

g bis)  velar por que las operaciones de tratamiento no tengan efectos adversos sobre los derechos y las libertades de los interesados.

Enmienda    73

Propuesta de Reglamento

Artículo 48 – apartado 1

Texto de la Comisión

Enmienda

1.  Podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido, en virtud del artículo 45, apartado 3, del Reglamento (UE) 2016/679, que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado y los datos se transmitan exclusivamente para permitir el ejercicio de las tareas que son competencia del responsable del tratamiento.

1.  Podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido, en virtud del artículo 45, apartado 3, del Reglamento (UE) 2016/679, o del artículo 36 de la Directiva (UE) 2016/680, que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado y los datos se transmitan exclusivamente para permitir el ejercicio de las tareas que son competencia del responsable del tratamiento. Dicha transferencia no requerirá ninguna autorización específica.

Enmienda    74

Propuesta de Reglamento

Artículo 49 – apartado 1

Texto de la Comisión

Enmienda

1.  A falta de decisión con arreglo al artículo 45, apartado 3, del Reglamento (UE) 2016/679, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.

1.  A falta de decisión con arreglo al artículo 45, apartado 3, del Reglamento (UE) 2016/679, o del artículo 36, apartado 3, de la Directiva (UE) 2016/680, dentro de los ámbitos de aplicación respectivos de esos actos legislativos, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.

Enmienda    75

Propuesta de Reglamento

Artículo 51 – apartado 1 – parte introductoria

Texto de la Comisión

Enmienda

1.  En ausencia de una decisión de conformidad con lo dispuesto en el artículo 45, apartado 3, del Reglamento (UE) 2016/679, o de garantías adecuadas de conformidad con lo dispuesto en el artículo 49, solo podrá procederse a una transferencia o una serie de transferencias de datos personales a un tercer país o una organización internacional únicamente si se cumple alguna de las condiciones siguientes:

1.  En ausencia de una decisión de conformidad con lo dispuesto en el artículo 45, apartado 3, del Reglamento (UE) 2016/679, o del artículo 36, apartado 3, de la Directiva (UE) 2016/680, dentro de los ámbitos de aplicación respectivos de esos actos legislativos, o de garantías adecuadas de conformidad con lo dispuesto en el artículo 49, solo podrá procederse a una transferencia o una serie de transferencias de datos personales a un tercer país o una organización internacional únicamente si se cumple alguna de las condiciones siguientes:

Enmienda    76

Propuesta de Reglamento

Artículo 54 – apartado 1

Texto de la Comisión

Enmienda

1.  El Parlamento Europeo y el Consejo nombrarán de común acuerdo al Supervisor Europeo de Protección de Datos por un mandato de cinco años, sobre la base de una lista elaborada por la Comisión como resultado de una convocatoria pública de candidaturas. La convocatoria de candidaturas permitirá a las partes interesadas de toda la Unión presentar sus solicitudes. La lista de candidatos elaborada por la Comisión será pública. Sobre la base de la lista elaborada por la Comisión, la comisión competente del Parlamento Europeo podrá decidir la celebración de una audiencia con objeto de definir una preferencia.

1.  El Parlamento Europeo y el Consejo nombrarán de común acuerdo al Supervisor Europeo de Protección de Datos por un mandato de cinco años, sobre la base de una lista elaborada conjuntamente por el Parlamento Europeo, el Consejo y la Comisión como resultado de una convocatoria pública de candidaturas. La convocatoria de candidaturas permitirá a las partes interesadas de toda la Unión presentar sus solicitudes. La lista de candidatos será pública y constará como mínimo de cinco candidatos. La comisión competente del Parlamento Europeo podrá decidir la celebración de una audiencia de los candidatos que figuren en la lista con objeto de definir una preferencia.

Enmienda    77

Propuesta de Reglamento

Artículo 54 – apartado 2

Texto de la Comisión

Enmienda

2.  La lista elaborada por la Comisión a partir de la cual será elegido el Supervisor Europeo de Protección de Datos estará formada por personas cuya independencia esté fuera de toda duda y que posean una experiencia y competencia notorias para el cumplimiento de las funciones de Supervisor Europeo de Protección de Datos, como pertenecer o haber pertenecido a las autoridades de control establecidas en el artículo 41 del Reglamento (UE) 2016/679.

2.  La lista elaborada conjuntamente por el Parlamento Europeo, el Consejo y la Comisión a partir de la cual será elegido el Supervisor Europeo de Protección de Datos estará formada por personas cuya independencia esté fuera de toda duda y que posean un conocimiento especializado en protección de datos así como una experiencia y competencia notorias para el cumplimiento de las funciones de Supervisor Europeo de Protección de Datos, como pertenecer o haber pertenecido a las autoridades de control establecidas en el artículo 41 del Reglamento (UE) 2016/679.

Enmienda    78

Propuesta de Reglamento

Artículo 55 – apartado 4

Texto de la Comisión

Enmienda

4.  El Supervisor Europeo de Protección de Datos estará asistido por una secretaría. Los funcionarios y otros miembros del personal de la Secretaría serán nombrados por el Supervisor Europeo de Protección de Datos que será su superior jerárquico. Estarán sometidos exclusivamente a su dirección. El número de puestos se decidirá anualmente en el marco del procedimiento presupuestario.

4.  El Supervisor Europeo de Protección de Datos estará asistido por una secretaría. Los funcionarios y otros miembros del personal de la Secretaría serán nombrados por el Supervisor Europeo de Protección de Datos que será su superior jerárquico. Estarán sometidos exclusivamente a su dirección. El número de puestos se decidirá anualmente en el marco del procedimiento presupuestario. Al personal del Supervisor Europeo de Protección de Datos que participe en la realización de las funciones atribuidas al Comité Europeo de Protección de Datos por el Derecho de la Unión se le aplicará el artículo 75, apartado 2, del Reglamento (UE) 2016/679 .

Enmienda    79

Propuesta de Reglamento

Artículo 59 – apartado 1 – letra e

Texto de la Comisión

Enmienda

e)  obtener el acceso a todos los locales del responsable y del encargado del tratamiento, incluidos cualesquiera equipos y medios de tratamiento de datos, de conformidad con el Derecho procesal de la Unión o de los Estados miembros.

e)  obtener el acceso a todos los locales del responsable y del encargado del tratamiento, incluidos cualesquiera equipos y medios de tratamiento de datos, de conformidad con el Derecho de la Unión.

Enmienda    80

Propuesta de Reglamento

Artículo 59 – apartado 3 – letra b bis (nueva)

Texto de la Comisión

Enmienda

 

b bis)  autorizar o no las operaciones de tratamiento contempladas en el artículo 40, apartado 4;

Enmienda    81

Propuesta de Reglamento

Artículo 61 – título

Texto de la Comisión

Enmienda

Cooperación con las autoridades de control nacionales

Cooperación entre el Supervisor Europeo de Protección de Datos y las autoridades de control nacionales

Enmienda    82

Propuesta de Reglamento

Artículo 61 – párrafo 1

Texto de la Comisión

Enmienda

El Supervisor Europeo de Protección de Datos cooperará con las autoridades de control previstas en el artículo 41 del Reglamento (UE) 2016/679 y el artículo 51 de la Directiva (UE) 2016/680 (en adelante, «autoridades de control nacionales») y con las autoridades de control comunes previstas en el artículo 25 de la Decisión 2009/917/JAI del Consejo21 en la medida necesaria para el ejercicio de sus deberes respectivos, en particular intercambiando información pertinente, instando a las autoridades de control nacionales a ejercer sus poderes o respondiendo a una solicitud de dichas autoridades.

El Supervisor Europeo de Protección de Datos cooperará con las autoridades de control previstas en el artículo 51 del Reglamento (UE) 2016/679 y el artículo 41 de la Directiva (UE) 2016/680 (en adelante, «autoridades de control nacionales») en la medida necesaria para el ejercicio de sus deberes respectivos, en particular intercambiando información pertinente, instándose unos a otros a ejercer sus poderes o respondiendo a las solicitudes de la otra parte.

_________________

 

21 Decisión 2009/917/JAI del Consejo, de 30 de noviembre de 2009, sobre la utilización de la tecnología de la información a efectos aduaneros (DO L 323 de 10.12.2009, pp. 20–30).

 

 

Enmienda 83

Propuesta de Reglamento

Artículo 61 – párrafo 1 bis (nuevo)

Texto de la Comisión

Enmienda

 

El Supervisor Europeo de Protección de Datos y el Comité Europeo de Protección de Datos podrán usar el Sistema de Información del Mercado Interior establecido en el Reglamento (UE) n.º 1024/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, relativo a la cooperación administrativa a través del Sistema de Información del Mercado Interior y por el que se deroga la Decisión 2008/49/CE de la Comisión («Reglamento IMI») con fines de cooperación administrativa e intercambio de información en virtud de los artículos 60 a 62, 64, 65 y 70 del Reglamento (UE) 2016/679.

Enmienda    84

Propuesta de Reglamento

Artículo 62 – apartado 1

Texto de la Comisión

Enmienda

1.  Cuando un acto de la Unión haga referencia a este artículo, el Supervisor Europeo de Protección de Datos cooperará de forma activa con las autoridades de control nacionales, a fin de garantizar una supervisión efectiva de grandes sistemas informáticos o agencias de la Unión.

1.  Cuando un acto de la Unión prevea que el Supervisor Europeo de Protección de Datos supervise el tratamiento de datos personales a nivel de la Unión y las autoridades de control nacionales supervisen el tratamiento de datos personales a nivel nacional, el Supervisor Europeo de Protección de Datos y las autoridades de control nacionales, cada uno dentro de su ámbito de competencias, cooperarán de forma activa en el marco de sus responsabilidades, a fin de garantizar una supervisión coordinada efectiva de grandes sistemas informáticos o de organismos y órganos de la Unión.

Enmienda    85

Propuesta de Reglamento

Artículo 62 – apartado 2

Texto de la Comisión

Enmienda

2.  En sus respectivos ámbitos de competencia y en el marco de sus responsabilidades, el Supervisor Europeo de Protección de Datos intercambiará la información oportuna, ayudará en el desarrollo de las auditorías e inspecciones, examinará las dificultades de interpretación o aplicación del presente Reglamento y de otros actos de la Unión aplicables, estudiará los problemas que plantee el ejercicio de una supervisión independiente o que surjan en el ejercicio de los derechos de los interesados, elaborará propuestas armonizadas para aportar soluciones a cualquier problema existente y fomentará el conocimiento de los derechos relacionados con la protección de datos, cuando resulte oportuno, junto a las autoridades de control nacionales.

2.  En sus respectivos ámbitos de competencia y en el marco de sus responsabilidades, intercambiarán la información oportuna, se ayudarán en el desarrollo de las auditorías e inspecciones, examinarán las dificultades de interpretación o aplicación del presente Reglamento y de otros actos de la Unión aplicables, estudiarán los problemas que plantee el ejercicio de una supervisión independiente o que surjan en el ejercicio de los derechos de los interesados, elaborarán propuestas armonizadas para aportar soluciones a cualquier problema existente y fomentarán el conocimiento de los derechos relacionados con la protección de datos, cuando resulte oportuno.

Enmienda    86

Propuesta de Reglamento

Artículo 62 – apartado 3

Texto de la Comisión

Enmienda

3.  A los fines establecidos en el apartado 2, el Supervisor Europeo de Protección de Datos se reunirá con las autoridades de control nacionales al menos dos veces al año en el marco del Comité Europeo de Protección de Datos. Los costes y la organización de esas reuniones correrán a cargo del Comité Europeo de Protección de Datos. El reglamento interno se adoptará en la primera reunión. Se irán desarrollando conjuntamente nuevos métodos de trabajo en función de las necesidades.

3.  A los fines establecidos en el apartado 2, el Supervisor Europeo de Protección de Datos y las autoridades de control nacionales se reunirán al menos dos veces al año en el marco del Comité Europeo de Protección de Datos. Los costes y la organización de esas reuniones correrán a cargo del Comité Europeo de Protección de Datos. A tal fin, el Comité Europeo de Protección de Datos podrá desarrollar nuevos métodos de trabajo en función de las necesidades.

Enmienda    87

Propuesta de Reglamento

Capítulo VIII bis (nuevo) – título

 

Texto de la Comisión

Enmienda

 

CAPÍTULO VIII BIS

 

TRATAMIENTO DE DATOS PERSONALES OPERATIVOS

Enmienda    88

Propuesta de Reglamento

Artículo 69 bis (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 69 bis

 

Ámbito de aplicación

 

No obstante lo dispuesto en los artículos 4, 5, 6, 7, 8, 10, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 41, 43, 49, 50 y 51, las disposiciones del presente capítulo se aplicarán al tratamiento de datos operativos por parte de las agencias de la Unión establecidas en virtud de los capítulos 4 y 5 del título V de la tercera parte del TFUE y por parte de las misiones mencionadas en el artículo 42, apartado 1, y en los artículos 43 y 44 del TUE.

 

Las disposiciones relativas al tratamiento específico de datos personales operativos en los actos fundacionales de estas agencias pueden pormenorizar y completar la aplicación del presente Reglamento.

Enmienda    89

Propuesta de Reglamento

Artículo 69 ter (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 69 ter

 

Principios relativos al tratamiento de datos personales operativos

 

1.  Los datos personales operativos serán:

 

a)  tratados de manera lícita y leal («licitud y lealtad»);

 

b)  recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de forma incompatible con esos fines; el tratamiento ulterior con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales, siempre y cuando las agencias y las misiones de la Unión ofrezcan salvaguardias adecuadas, en particular para garantizar que los datos no sean tratados para otros fines («limitación de la finalidad»);

 

c)  adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);

 

d)  exactos y, si fuera necesario, actualizados, adoptándose todas las medidas razonables para garantizar que la supresión o rectificación sin dilación de los datos personales operativos inexactos en relación con los fines para los que son tratados, suprimidos o rectificados («exactitud»);

 

e)  mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales operativos;

 

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales operativos, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

 

2.  Las agencias y misiones publicarán un documento en el que se establecerán de manera inteligible las disposiciones relativas al tratamiento de los datos personales operativos y los medios disponibles para el ejercicio de los derechos de los interesados.

Enmienda    90

Propuesta de Reglamento

Artículo 69 quater (nuevo)

 

Texto de la Comisión

Enmienda

 

Artículo 69 quater

 

Licitud del tratamiento

 

El tratamiento solo será lícito si dicho tratamiento es necesario para el cumplimiento de una tarea llevada a cabo por las agencias y misiones de la Unión conforme al Derecho de la Unión. El Derecho de la Unión que concreta y complementa el presente Reglamento en lo relativo al tratamiento dentro del ámbito de aplicación del presente capítulo determinará los objetivos del tratamiento, los datos personales operativos que se tratarán y los fines de dicho tratamiento.

Enmienda    91

Propuesta de Reglamento

Artículo 69 quinquies (nuevo)

 

Texto de la Comisión

Enmienda

 

Artículo 69 quinquies

 

Distinción entre diferentes categorías de interesados

 

Las agencias y misiones de la Unión distinguirán de forma clara entre los datos personales operativos de distintas categorías de interesados, como las siguientes:

 

a)  personas que sean sospechosas de haber cometido o de haber participado en una infracción penal que sea competencia de las misiones o agencias de la Unión o que hayan sido condenadas por tal infracción;

 

b)  personas respecto de las cuales existan indicios concretos o motivos razonables para pensar que cometerán infracciones penales que son competencia de las agencias o misiones de la Unión;

 

c)  personas que hayan sido víctimas de una de los infracciones en cuestión o respecto de las cuales existan motivos para pensar que podrían ser víctimas de una infracción penal;

 

d)  personas que puedan ser citadas para testificar en investigaciones relacionadas con infracciones penales o procedimientos penales ulteriores;

 

e)  personas que puedan facilitar información sobre infracciones penales; y

 

f)  contactos o asociados de una de las personas a que se refieren las letras a) y b).

Enmienda    92

Propuesta de Reglamento

Artículo 69 sexies (nuevo)

 

Texto de la Comisión

Enmienda

 

Artículo 69 sexies

 

Distinción entre datos personales operativos y verificación de la calidad de los datos personales operativos

 

Las agencias y misiones de la Unión distinguirán los datos personales operativos basados en hechos de los datos personales operativos basados en evaluaciones personales. Las agencias y misiones tratarán los datos personales operativos, cuando proceda, de forma que pueda determinarse qué autoridad los ha proporcionado o de dónde se han obtenido. Las agencias y misiones de la Unión velarán por que los datos personales operativos que sean inexactos, incompletos o que no estén actualizados no se transmitan ni estén disponibles. Para ello, las agencias y misiones de la Unión controlarán la calidad de los datos personales operativos antes de transmitirlos o de ponerlos a disposición. En la medida de lo posible, en todas las transmisiones de datos personales operativos, las agencias y misiones de la Unión añadirán la información necesaria para que el destinatario pueda valorar en qué medida los datos personales operativos son exactos, completos y fiables y en qué medida están actualizados. Si se observara que se han transmitido datos personales operativos incorrectos o se han transmitido datos personales operativos ilegalmente, el hecho deberá ponerse en conocimiento del destinatario sin dilación. En dicho caso, los datos personales operativos se rectificarán o suprimirán, o bien se limitará su tratamiento.

Enmienda    93

Propuesta de Reglamento

Artículo 69 septies (nuevo)

 

Texto de la Comisión

Enmienda

 

Artículo 69 septies

 

Condiciones de tratamiento específicas

 

Cuando las agencias y misiones de la Unión establezcan condiciones específicas para el tratamiento, informarán de dichas condiciones y de la exigencia de cumplirlas al destinatario de dichos datos personales operativos. Las agencias y misiones de la Unión cumplirán las condiciones específicas de tratamiento que establezca una autoridad nacional de conformidad con el artículo 9, apartados 3 y 4, de la Directiva (UE) 2016/680.

Enmienda    94

Propuesta de Reglamento

Artículo 69 octies (nuevo)

 

Texto de la Comisión

Enmienda

 

Artículo 69 octies (nuevo)

 

Transmisión de datos personales operativos a otras instituciones y organismos de la Unión

 

Las agencias y misiones de la Unión solo transmitirán datos personales operativos a otras instituciones y organismos de la Unión si dichos datos son necesarios para el desempeño de sus tareas o las de las agencias y misiones de la Unión destinatarias. Cuando los datos personales operativos se transmitan a petición de la otra institución u organismo de la Unión, la responsabilidad relativa a la legitimidad de la transmisión incumbirá tanto al responsable del tratamiento como al destinatario. Las agencias y misiones de la Unión estarán obligadas a verificar la competencia de la otra institución u organismo de la Unión y a efectuar una evaluación provisional de la necesidad de la transmisión. En caso de albergar dudas sobre tal necesidad, las agencias y misiones de la Unión pedirán al destinatario que aporte información complementaria. Las otras instituciones y organismos de la Unión garantizarán que se pueda verificar ulteriormente la necesidad de la transmisión. Las otras instituciones y organismos de la Unión tratarán los datos personales únicamente para los fines que hayan motivado su transmisión.

Enmienda    95

Propuesta de Reglamento

Artículo 69 nonies (nuevo)

 

Texto de la Comisión

Enmienda

 

Artículo 69 nonies

 

Tratamiento de categorías especiales de datos personales operativos

 

El tratamiento de datos personales operativos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, así como el tratamiento de datos genéticos, datos biométricos destinados a identificar de manera única a una persona física, datos personales operativos relativos a la salud, o datos personales operativos relativos a la vida sexual o la orientación sexual de una persona física estarán prohibidos salvo cuando sea estrictamente necesario y proporcionado para prevenir o combatir delitos que tengan cabida dentro de los objetivos de las agencias y misiones de la Unión y cuando esos datos complementen otros datos personales tratados por las agencias y misiones de la Unión. Estará prohibido seleccionar un grupo particular de personas únicamente sobre la base de los datos personales citados. Cuando se recurra a este artículo se informará inmediatamente al delegado de protección de datos. Los datos personales operativos antes mencionados no se transmitirán a los Estados miembros, organismos de la Unión, terceros países u organizaciones internacionales a menos que esa transmisión sea estrictamente necesaria y proporcionada en casos concretos de delitos que tengan cabida dentro de los objetivos de las agencias y misiones de la Unión y de conformidad con el capítulo V.

Enmienda    96

Propuesta de Reglamento

Artículo 69 decies (nuevo)

 

Texto de la Comisión

Enmienda

 

Artículo 69 decies

 

Mecanismo de decisión individual automatizado, incluida la elaboración de perfiles

 

El interesado tendrá derecho a no estar sujeto a una decisión de las agencias y misiones de la Unión que se base exclusivamente en un tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos adversos que le atañan o que de modo similar le afecten significativamente.

Enmienda    97

Propuesta de Reglamento

Artículo 69 undecies (nuevo)

 

Texto de la Comisión

Enmienda

 

Artículo 69 undecies

 

Información que debe ponerse a disposición del interesado o que se le debe proporcionar

 

1.  Las agencias y misiones de la Unión habrán de poner a disposición del interesado la siguiente información como mínimo:

 

a)  la identidad y los datos de contacto de la agencia o misión de la Unión;

 

b)  los datos de contacto del delegado de protección de datos;

 

c)  los fines del tratamiento a que se destinen los datos personales operativos;

 

d)  el derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos y los datos de contacto del mismo;

 

e)  la existencia del derecho a solicitar a las agencias y misiones de la Unión el acceso a los datos personales operativos relativos al interesado, y su rectificación o su supresión, o la limitación de su tratamiento.

 

2.  Además de la información indicada en el apartado 1, las agencias y misiones de la Unión proporcionarán al interesado, en casos concretos, la siguiente información adicional, a fin de permitirle el ejercicio de sus derechos:

 

a)  la base jurídica del tratamiento;

 

b)  el plazo durante el cual se conservarán los datos personales operativos o, cuando esto no sea posible, los criterios utilizados para determinar ese plazo;

 

c)  las categorías de destinatarios de los datos personales operativos, incluidos los de terceros países u organizaciones internacionales;

 

d)  cuando sea necesario, más información, en particular cuando los datos personales operativos se hayan recogido sin conocimiento del interesado.

 

3.  Las agencias y misiones de la Unión pueden retrasar, limitar u omitir la comunicación de la información al interesado en virtud del apartado 2 en la medida en que, y siempre que, dicha medida se establezca en un acto jurídico adoptado sobre la base de los Tratados y que constituya una medida necesaria y proporcionada en una sociedad democrática, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos de la persona física afectada, para:

 

a)  evitar que se obstaculicen indagaciones, investigaciones o procedimientos oficiales o judiciales;

 

b)  evitar que se prejuzgue la prevención, detección, investigación y enjuiciamiento de infracciones penales o la ejecución de sanciones penales;

 

c)  proteger la seguridad pública de los Estados miembros;

 

d)  proteger la seguridad nacional de los Estados miembros;

 

e)  proteger los derechos y libertades de otras personas.

Enmienda    98

Propuesta de Reglamento

Artículo 69 duodecies (nuevo)

 

Texto de la Comisión

Enmienda

 

Artículo 69 duodecies

 

Derecho de acceso del interesado

 

El interesado tendrá derecho a obtener de las agencias y misiones de la Unión confirmación de si se están tratando o no datos personales operativos que le conciernen, y tendrá acceso a la siguiente información:

 

a)  los fines y la base jurídica de la operación de tratamiento;

 

b)  las categorías de datos personales operativos de que se trate;

 

c)  los destinatarios o las categorías de destinatarios a quienes hayan sido comunicados los datos personales operativos, en particular los destinatarios de terceros países o las organizaciones internacionales;

 

d)  el plazo previsto durante el cual se conservarán los datos personales operativos;

 

e)  la existencia del derecho a solicitar a las agencias y misiones de la Unión la rectificación o supresión de los datos personales operativos relativos al interesado, o la limitación de su tratamiento;

 

f)  el derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos y los datos de contacto del mismo;

 

g)  la comunicación de los datos personales operativos objeto de tratamiento, así como cualquier información disponible sobre su origen.

Enmienda    99

Propuesta de Reglamento

Artículo 69 terdecies (nuevo)

 

Texto de la Comisión

Enmienda

 

Artículo 69 terdecies (nuevo)

 

Limitaciones del derecho de acceso

 

1.  Las agencias y misiones de la Unión podrán limitar, total o parcialmente, el acceso del interesado en la medida que, y siempre que, dicha limitación parcial o total se establezca en un acto jurídico adoptado sobre la base de los Tratados y que constituya una medida necesaria y proporcionada en una sociedad democrática, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos de la persona física afectada, para:

 

a)  evitar que se obstaculicen indagaciones, investigaciones o procedimientos oficiales o judiciales;

 

b)  evitar que se prejuzgue la prevención, detección, investigación y enjuiciamiento de infracciones penales o la ejecución de sanciones penales;

 

c)  proteger la seguridad pública de los Estados miembros;

 

d)  proteger la seguridad nacional de los Estados miembros;

 

f)  proteger los derechos y libertades de otras personas.

 

2.  En los casos contemplados en el apartado 1, las agencias y misiones de la Unión informarán por escrito al interesado, sin demora injustificada, de cualquier denegación o limitación de acceso, y de las razones de la denegación o de la limitación. Esta información podrá omitirse cuando el suministro de dicha información pueda comprometer uno de los fines contemplados en el apartado 1. Las agencias y misiones de la Unión informarán al interesado de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer recurso judicial ante el Tribunal de Justicia de la Unión Europea. Las agencias y misiones de la Unión documentarán los motivos legales o prácticos sobre los que se asienta su decisión. Esta información se pondrá a disposición del Supervisor Europeo de Protección de Datos previa solicitud.

Enmienda    100

Propuesta de Reglamento

Artículo 69 quaterdecies (nuevo)

 

Texto de la Comisión

Enmienda

 

Artículo 69 quaterdecies (nuevo)

 

Derecho de rectificación o supresión de datos personales operativos y limitación de su tratamiento

 

1.  El interesado tendrá derecho a obtener de las agencias y misiones de la Unión, sin dilación injustificada, la rectificación de los datos personales operativos inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales operativos que sean incompletos, también mediante una declaración adicional. Las agencias y misiones de la Unión suprimirán los datos personales operativos sin demora indebida y el interesado tendrá derecho a que las agencias y misiones de la Unión supriman los datos personales operativos que le conciernan sin demora indebida cuando el tratamiento sea contrario a los artículos 69 ter, 69 quater o 69 nonies, o bien cuando los datos personales tengan que suprimirse para satisfacer una obligación legal a la que estén sujetas las agencias y misiones de la Unión. En lugar de suprimirlos, las agencias y misiones de la Unión limitarán el tratamiento cuando:

 

 

a)  el interesado ponga en duda la exactitud de los datos personales y no pueda determinarse su exactitud o inexactitud; o

 

b)  los datos personales hayan de conservarse a efectos probatorios.

 

2.  Cuando el tratamiento esté limitado en virtud del apartado 1, letra a), las agencias y misiones de la Unión informarán al interesado antes de levantar la limitación del tratamiento. Los datos objetos de una limitación solo se tratarán para los fines que impidieron su supresión.

 

3.  Las agencias y misiones de la Unión informarán al interesado por escrito de cualquier denegación de rectificación o supresión de los datos personales operativos o de limitación de su tratamiento, y de las razones de la denegación. Las agencias y misiones de la Unión podrán restringir, total o parcialmente, la obligación de proporcionar tal información, siempre y cuando dicha restricción constituya una medida necesaria y proporcionada en una sociedad democrática, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos de la persona física afectada, para:

 

a)  evitar que se obstaculicen indagaciones, investigaciones o procedimientos oficiales o judiciales;

 

b)  evitar que se prejuzgue la prevención, detección, investigación y enjuiciamiento de infracciones penales o la ejecución de sanciones penales;

 

c)  proteger la seguridad pública de los Estados miembros;

 

d)  proteger la seguridad nacional de los Estados miembros;

 

f)  proteger los derechos y libertades de otras personas.

 

4.  Las agencias y misiones de la Unión informarán al interesado de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer recurso judicial ante el Tribunal de Justicia de la Unión Europea.

 

5.  Las agencias y misiones comunicarán la rectificación de los datos personales inexactos a la autoridad competente de la que procedan los datos personales operativos inexactos.

 

6.  Cuando los datos personales operativos hayan sido rectificados o suprimidos o el tratamiento haya sido limitado en virtud de los apartados 1, 2 y 3, las agencias y misiones de la Unión lo notificarán a los destinatarios y les informarán de su obligación de rectificar o suprimir los datos personales operativos que estén bajo su responsabilidad o de limitar su tratamiento.

Enmienda    101

Propuesta de Reglamento

Artículo 69 quindecies (nuevo)

 

Texto de la Comisión

Enmienda

 

Artículo 69 quindecies

 

Ejercicio de los derechos del interesado y verificación por el Supervisor Europeo de Protección de Datos

 

En los casos a que se refieren el artículo 69 undecies, apartado 3, el artículo 69 duodecies y el artículo 69 quaterdecies, apartado 4, los derechos del interesado también podrán ejercerse a través del Supervisor Europeo de Protección de Datos.

 

Las agencias y misiones de la Unión informarán al interesado de la posibilidad de ejercer sus derechos a través del Supervisor Europeo de Protección de Datos con arreglo al párrafo 1.

 

Cuando se ejerza el derecho a que se refiere el párrafo 1, el Supervisor Europeo de Protección de Datos informará al interesado, al menos, de que ha efectuado todas las verificaciones necesarias o la revisión correspondiente. El Supervisor Europeo de Protección de Datos también informará al interesado de su derecho a interponer recurso judicial ante el Tribunal de Justicia de la Unión Europea.

Enmienda    102

Propuesta de Reglamento

Artículo 69 sexdecies (nuevo)

 

Texto de la Comisión

Enmienda

 

Artículo 69 sexdecies

 

Registro de operaciones

 

Las agencias y misiones de la Unión mantendrán registros para cualquiera de las siguientes operaciones de tratamiento en sistemas de tratamiento automatizados: recogida, alteración, acceso, consulta, comunicación incluidas las transferencias, combinación y supresión de datos personales operativos.

 

Los registros de operaciones de consulta y comunicación harán posible determinar la justificación, así como la fecha y la hora, de tales operaciones y el nombre de la persona que consultó o comunicó datos personales operativos, así como, en la medida de lo posible, la identidad de los destinatarios de dichos datos personales operativos. Esos registros solamente se utilizarán para el control de la protección de datos y para garantizar su tratamiento adecuado, así como su integridad y seguridad. No será posible modificar esos registros. Los registros se eliminarán transcurridos tres años, a menos que sean necesarios para efectuar un control continuo. Las agencias y misiones de la Unión pondrán los registros a disposición del Supervisor Europeo de Protección de Datos y de sus respectivos delegados de protección de datos previa petición.

Enmienda    103

Propuesta de Reglamento

Artículo 69 septdecies (nuevo)

 

Texto de la Comisión

Enmienda

 

Artículo 69 septdecies

 

Transferencia de datos personales operativos a terceros países y organizaciones internacionales

 

1  A reserva de las posibles limitaciones de conformidad con el artículo 69 terdecies, las agencias y misiones de la Unión podrán transferir datos personales operativos a una autoridad de un tercer país o a una organización internacional en la medida en que esa transferencia sea necesaria para el desempeño de las tareas de las agencias y misiones de la Unión, sobre la base de uno de los siguientes elementos:

 

a)  una decisión de la Comisión adoptada de conformidad con el artículo 36 de la Directiva (UE) 2016/680, que acredite que el tercer país o un territorio o un sector de tratamiento de datos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado («decisión de adecuación»), o

 

b)  un acuerdo internacional concluido entre la Unión y ese tercer país u organización internacional con arreglo al artículo 218 del TFUE que ofrezca garantías adecuadas con respecto a la protección de la privacidad y los derechos y libertades fundamentales de las personas físicas;

 

c)  un acuerdo de cooperación que permita el intercambio de datos personales operativos celebrado, antes de la fecha de aplicación del acto jurídico fundacional respectivo de las agencias de la Unión, entre las agencias o misiones de la Unión y ese tercer país u organización internacional de conformidad con el artículo 23 de la Decisión 2009/371/JAI. Las agencias y misiones de la Unión podrán celebrar convenios administrativos para aplicar esos acuerdos o decisiones de adecuación.

 

2.  Cuando proceda, el director ejecutivo informará al Consejo de Administración acerca del intercambio de datos personales operativos basándose en decisiones de adecuación, conforme al apartado 1, letra a).

 

3.  Las agencias y misiones de la Unión publicarán en su página web y mantendrán al día la lista de decisiones de adecuación, acuerdos, convenios administrativos y otros instrumentos relacionados con la transferencia de datos personales operativos de conformidad con el apartado 1.

 

4.  A más tardar el 14 de junio de 2021, la Comisión evaluará las disposiciones contenidas en los acuerdos de cooperación mencionados en el apartado 1, letra c), en particular sobre la protección de datos. La Comisión informará al Parlamento Europeo y al Consejo sobre el resultado de esta evaluación y, si procede, podrá someter al Consejo una recomendación de decisión por la que se autorice el inicio de negociaciones para la celebración de un acuerdo internacional según se menciona en el apartado 1, letra b).

 

5.  No obstante lo dispuesto en el apartado 1, cuando proceda, el director ejecutivo podrá autorizar, caso por caso, la transferencia de datos personales operativos a terceros países u organizaciones internacionales si la transferencia es:

 

a)  necesaria para proteger los intereses vitales del interesado o de otra persona, o

 

b)  necesaria para salvaguardar los intereses legítimos del interesado cuando así lo disponga el Derecho del Estado miembro que transfiere los datos personales, o

 

c)  esencial para prevenir una amenaza inminente y grave para la seguridad pública de un Estado miembro o de un tercer país, o

 

d)  necesaria en casos concretos a efectos de prevención, investigación, detección o enjuiciamiento de delitos penales o de ejecución de infracciones penales; o

 

e)  necesaria en casos concretos para el reconocimiento, el ejercicio o la defensa de un derecho en un procedimiento judicial relativo a la prevención, investigación, detección o enjuiciamiento de una infracción penal o la ejecución de una sanción penal específica.

 

Los datos personales operativos no se transferirán si el director ejecutivo determina que los derechos y libertades fundamentales del interesado en cuestión priman sobre el interés público en la transferencia a que se refieren las letras d) y e).

 

No se aplicarán excepciones a las transferencias sistemáticas, masivas o estructurales.

 

6.  No obstante lo dispuesto en el apartado 1, cuando proceda, el Consejo de Administración podrá, de acuerdo con el Supervisor Europeo de Protección de Datos, autorizar una serie de transferencias de conformidad con el apartado 5, letras a) a e), teniendo en cuenta la existencia de garantías adecuadas con respecto a la protección de la privacidad y los derechos y libertades fundamentales de las personas físicas, por un período no superior a un año, prorrogable. Dicha autorización estará debidamente justificada y documentada.

 

7.  El director ejecutivo informará al Consejo de Administración y al Supervisor Europeo de Protección de Datos lo antes posible de los casos a los que se haya aplicado lo dispuesto en el apartado 5.

 

8.  Las agencias y misiones de la Unión mantendrán registros detallados de todas las transferencias realizadas de conformidad con el presente artículo.

Enmienda    104

Propuesta de Reglamento

Capítulo IX bis (nuevo) – título

Texto de la Comisión

Enmienda

 

Capítulo IX bis

 

REVISIÓN

Enmienda    105

Propuesta de Reglamento

Artículo 70 bis (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 70 bis

 

Cláusula de revisión

 

1.  A más tardar el 1 de junio de 2021, y posteriormente cada cinco años, la Comisión presentará al Parlamento Europeo un informe sobre la aplicación del presente Reglamento, acompañado, en su caso, de las oportunas propuestas legislativas.

 

2.  La evaluación ex post mencionada en el apartado 1 prestará especial atención a la idoneidad del ámbito de aplicación del presente Reglamento, su coherencia con otros actos legislativos del ámbito de la protección de datos y valorará, en particular, la ejecución del capítulo V del presente Reglamento.

 

3.  A más tardar el 1 de junio de 2021, y posteriormente cada cinco años, la Comisión informará al Parlamento Europeo sobre la aplicación del capítulo VIII del presente Reglamento y las sanciones aplicadas.

Justificación

Desde la perspectiva de la mejora de la legislación y, en particular, del uso eficaz de las evaluaciones ex post para comprender todo el ciclo legislativo, resulta especialmente interesante efectuar un seguimiento de la transposición, la aplicación y el respeto del Derecho de la Unión y, de manera más general, de la repercusión, el funcionamiento y la eficacia de su legislación. Responde a este fin una cláusula de revisión exhaustiva, que solicite una evaluación adecuada de la aplicación del Reglamento, de su ámbito de aplicación y de las excepciones previstas a los poderes y que constituya obligaciones de información proporcionadas.

Enmienda    106

Propuesta de Reglamento

Artículo 70 ter (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 70 ter

 

Revisión de actos jurídicos de la Unión

 

A más tardar el 25 de mayo de 2021, la Comisión revisará los demás actos jurídicos adoptados sobre la base de los Tratados que regulen el tratamiento de los datos personales, en particular por las agencias establecidas en virtud de los capítulos 4 y 5 del título V de la tercera parte del TFUE, a fin de evaluar la necesidad de aproximarlos a las disposiciones del presente Reglamento y presentar, en su caso, la propuesta necesaria para modificar dichos actos con el fin de garantizar un enfoque coherente de la protección de datos personales en el ámbito de aplicación del presente Reglamento.

Enmienda    107

Propuesta de Reglamento

Artículo 71 bis (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 71 bis

 

Modificación del Reglamento (CE) n.º 1987/2006

 

El Reglamento (UE) n.° 1987/2006 del Parlamento Europeo y del Consejo1 bis queda modificado como sigue:

 

El artículo 46 se sustituye por el texto siguiente:

 

«Las autoridades de control nacionales y el Supervisor Europeo de Protección de Datos, cada uno dentro de sus competencias, cooperarán entre sí de acuerdo con el artículo 62 del [nuevo Reglamento (CE) n.º 45/2001]».

 

_________________

 

1 bis Reglamento (CE) n.º 1987/2006 del Parlamento Europeo y del Consejo, de 20 de diciembre de 2006, relativo al establecimiento, funcionamiento y utilización del Sistema de Información de Schengen de segunda generación (SIS II) (DO L 381 de 28.12.2006, p. 4).

Enmienda    108

Propuesta de Reglamento

Artículo 71 ter (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 71 ter

 

Modificación de la Decisión 2007/533/JAI del Consejo

 

La Decisión 2007/533/PESC del Consejo1 bis queda modificado como sigue:

 

El artículo 62 se sustituye por el texto siguiente:

 

«Las autoridades de control nacionales y el Supervisor Europeo de Protección de Datos, cada uno dentro de sus competencias, cooperarán entre sí de acuerdo con el artículo 62 del [nuevo Reglamento (CE) n.º 45/2001]».

 

_________________

 

1 bis Decisión 2007/533/JAI del Consejo, de 12 de junio de 2007, relativa al establecimiento, funcionamiento y utilización del Sistema de Información de Schengen de segunda generación (SIS II) (DO L 205 de 7.8.2007, p. 63).

Enmienda    109

Propuesta de Reglamento

Artículo 71 quater (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 71 quater

 

Modificación del Reglamento (CE) n.º 767/2008

 

El Reglamento (UE) n.° 767/2008 del Parlamento Europeo y del Consejo1 bis queda modificado como sigue:

 

El artículo 43 se sustituye por el texto siguiente:

 

«Las autoridades de control nacionales y el Supervisor Europeo de Protección de Datos, cada uno dentro de sus competencias, cooperarán entre sí de acuerdo con el artículo 62 del [nuevo Reglamento (CE) n.º 45/2001]».

 

_________________

 

1 bisReglamento (CE) nº 767/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008, sobre el Sistema de Información de Visados (VIS) y el intercambio de datos sobre visados de corta duración entre los Estados miembros (Reglamento VIS), DO L 218 de 13.8.2008, p. 60.

Enmienda    110

Propuesta de Reglamento

Artículo 71 quinquies (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 71 quinquies

 

Modificación del Reglamento (CE) nº 515/97 del Consejo

 

El Reglamento (CE) n.º 515/971 bis del Consejo queda modificado como sigue:

 

En el artículo 37, el apartado 4 se sustituye por el texto siguiente:

 

«Las autoridades de control nacionales y el Supervisor Europeo de Protección de Datos, cada uno dentro de sus competencias, cooperarán entre sí de acuerdo con el artículo 62 del [nuevo Reglamento (CE) n.º 45/2001]».

 

_________________

 

1bis Reglamento (CE) n.º 515/97 del Consejo, de 13 de marzo de 1997, relativo a la asistencia mutua entre las autoridades administrativas de los Estados miembros y a la colaboración entre estas y la Comisión con objeto de asegurar la correcta aplicación de las reglamentaciones aduanera y agraria (DO L 82 de 22.3.1997, p. 1).

Enmienda    111

Propuesta de Reglamento

Artículo 71 sexies (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 71 sexies

 

Modificación de la Decisión 2009/917/JAI del Consejo

 

La Decisión 2009/917/PESC del Consejo1 bis queda modificado como sigue:

 

1)  Se suprime el artículo 25.

 

2)  En el artículo 26, los apartados 2 y 3 se sustituyen por el texto siguiente:

 

«Las autoridades de control nacionales y el Supervisor Europeo de Protección de Datos, cada uno dentro de sus competencias, cooperarán entre sí de acuerdo con el artículo 62 del [nuevo Reglamento (CE) n.º 45/2001]».

 

_________________

 

1 bis Decisión 2009/917/JAI del Consejo, de 30 de noviembre de 2009, sobre la utilización de la tecnología de la información a efectos aduaneros (DO L 323 de 10.12.2009, p. 20).

Enmienda    112

Propuesta de Reglamento

Artículo 71 septies (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 71 septies

 

Modificación del Reglamento (UE) n.º 1024/2012

 

El Reglamento (UE) n.° 1024/2012 del Parlamento Europeo y del Consejo1 bis queda modificado como sigue:

 

En el artículo 21, se suprimen los apartados 3 y 4.

 

_________________

 

1 bis Reglamento (UE) n.º 1024/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, relativo a la cooperación administrativa a través del Sistema de Información del Mercado Interior y por el que se deroga la Decisión 2008/49/CE de la Comisión («Reglamento IMI») (DO L 316 de 14.11.2012, p. 1).

Enmienda    113

Propuesta de Reglamento

Artículo 71 octies (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 71 octies (nuevo)

 

Modificación del Reglamento de Ejecución (UE) n.º 2015/2447

 

El Reglamento de Ejecución (UE) 2015/24471 bis queda modificado como sigue:

 

En el artículo 83, se suprime el apartado 8.

 

_________________

 

1 bis Reglamento de Ejecución (UE) 2015/2447 de la Comisión, de 24 de noviembre de 2015, por el que se establecen normas de desarrollo de determinadas disposiciones del Reglamento (UE) n.º 952/2013 del Parlamento Europeo y del Consejo por el que se establece el código aduanero de la Unión (DO L 343 de 29.12.2015, p. 558).

Enmienda    114

Propuesta de Reglamento

Artículo 71 nonies (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 71 nonies

 

Modificación del Reglamento (UE) nº 2016/794

 

El Reglamento (UE) n.° 2016/794 del Parlamento Europeo y del Consejo1 bis queda modificado como sigue:

 

1)  Se suprimen los artículos 25, 28, 30, 36, 37, 40, 41 y 46.

 

2)  El artículo 44 se sustituye por el texto siguiente:

 

«Las autoridades de control nacionales y el Supervisor Europeo de Protección de Datos, cada uno dentro de sus competencias, cooperarán entre sí de acuerdo con el artículo 62 del [nuevo Reglamento (CE) n.º 45/2001]».

 

_________________

 

1 bis Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, relativo a la Agencia de la Unión Europea para la Cooperación Policial (Europol) y por el que se sustituyen y derogan las Decisiones 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI y 2009/968/JAI del Consejo (DO L 135 de 24.5.2016, p. 53).

Enmienda    115

Propuesta de Reglamento

Artículo 71 decies (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 71 decies

 

Modificación del Reglamento (UE) 2017/XX del Consejo

 

El Reglamento (UE) 2017/XX del Consejo1 bis queda modificado como sigue:

 

1)  Se suprimen los artículos 36 sexies, 36 septies, 37, 37 ter, 37 quater, 37 quater quater, 37 quater quater quater, 37 quinquies, 37 sexies, 37 septies, 37 octies, 37 nonies, 37 decies, 37 undecies, 37 duodecies, 37 quindecies, 37 sexdecies, 41, 41 bis, 41 ter, 43 bis, 43 ter, 43 quater, 43 quinquies, 43 sexies y 46.

 

2)  El artículo 45 se sustituye por el texto siguiente:

 

«Las autoridades de control nacionales y el Supervisor Europeo de Protección de Datos, cada uno dentro de sus competencias, cooperarán entre sí de acuerdo con el artículo 62 del [nuevo Reglamento (CE) n.º 45/2001]».

 

_________________

 

1 bis Reglamento (UE) 2017/..., de ..., por el que se establece una cooperación reforzada para la creación de la Fiscalía Europea (DO L ...).

Enmienda    116

Propuesta de Reglamento

Artículo 71 undecies (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 71 undecies

 

Modificación del Reglamento (CE) nº 2017/XX del Consejo

 

El Reglamento (UE) 2017/7XX del Parlamento Europeo y del Consejo1 bis queda modificado como sigue:

 

1)  Se suprimen los artículos 27, 29, 30, 31, 33, 36 y 37.

 

2)  El artículo 35 se sustituye por el texto siguiente:

 

«Las autoridades de control nacionales y el Supervisor Europeo de Protección de Datos, cada uno dentro de sus competencias, cooperarán entre sí de acuerdo con el artículo 62 del [nuevo Reglamento (CE) n.º 45/2001]».

 

_________________

 

1 bis Reglamento (UE) 2017/... del Parlamento Europeo y del Consejo sobre la Agencia de la Unión Europea para la Cooperación Judicial Penal (Eurojust) (DO L ...).

Enmienda    117

Propuesta de Reglamento

Artículo 71 duodecies (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 71 duodecies

 

Modificación del Reglamento (UE) 2017/XX del Consejo

 

El Reglamento (UE) 2017/7XX del Parlamento Europeo y del Consejo1 bis queda modificado como sigue:

 

1)  Se suprimen los artículos 29, 30, 31 y 39.

 

2)  El artículo 34 se sustituye por el texto siguiente:

 

«Las autoridades de control nacionales y el Supervisor Europeo de Protección de Datos, cada uno dentro de sus competencias, cooperarán entre sí de acuerdo con el artículo 62 del [nuevo Reglamento (CE) n.º 45/2001]».

 

_________________

 

1 bis Reglamento del Parlamento Europeo y del Consejo relativo a la creación del sistema «Eurodac» para la comparación de las impresiones dactilares para la aplicación efectiva del [Reglamento (UE) n.º 604/2013, por el que se establecen los criterios y mecanismos de determinación del Estado miembro responsable del examen de una solicitud de protección internacional presentada en uno de los Estados miembros por un nacional de un tercer país o un apátrida] y para la identificación de un nacional de un tercer país o un apátrida en situación ilegal, y a las solicitudes de comparación con los datos de Eurodac presentadas por los servicios de seguridad de los Estados miembros y Europol a efectos de aplicación de la ley (DO L ...).


EXPOSICIÓN DE MOTIVOS

I.  Contexto de la propuesta

El artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE), introducido por el Tratado de Lisboa, establece el principio según el cual toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan. Además, con el artículo 16, apartado 2, del TFUE, el Tratado de Lisboa introdujo una base jurídica específica para la adopción de normas relativas a la protección de datos de carácter personal. El artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea consagra la protección de datos de carácter personal como un derecho fundamental, y el artículo 7 consagra el derecho de toda persona al respeto de su vida privada y familiar, de su domicilio y de sus comunicaciones.

El derecho a la protección de los datos personales también se aplica al tratamiento de estos datos por parte de las instituciones, órganos y organismos de la Unión. La piedra angular de la legislación vigente de la Unión en materia de protección de datos personales en las instituciones de la Unión, el Reglamento (CE) n.º 45/2001, fue adoptado en 2001 con un doble objetivo: defender el derecho fundamental a la protección de datos y garantizar la libre circulación de datos personales en la Unión. Fue completado por la Decisión n.º 1247/2002/CE.

El 27 de abril de 2016 el Parlamento Europeo y el Consejo adoptaron el Reglamento (UE) 2016/679 (Reglamento general de protección de datos), que entrará en vigor el 25 de mayo de 2018. Este Reglamento, en su artículo 98, pide la adaptación del Reglamento (CE) n.º 45/2001 a los principios y las normas establecidos en el Reglamento general de protección de datos a fin de ofrecer un marco de protección de datos sólido y coherente en la Unión y permitir que ambos instrumentos sean aplicables al mismo tiempo. También el 27 de abril de 2016 el Parlamento Europeo y el Consejo adoptaron la Directiva (UE) 2016/680 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos. Esta Directiva establece un marco general para la protección de datos personales en el ámbito policial. En su artículo 62 se pide que la legislación de la Unión que regula el tratamiento de los datos personales por parte de las autoridades competentes se adapte a lo dispuesto en la Directiva. Sin embargo, algunas agencias de la Unión que operan en el ámbito policial siguen teniendo regímenes de protección de datos personales independientes.

Está en consonancia con el planteamiento coherente de la protección de datos personales en la Unión armonizar, en la medida de lo posible, las normas de protección de datos de las instituciones, órganos u organismos de la Unión con las adoptadas por los Estados miembros. Cuando las disposiciones de la propuesta se basen en el mismo concepto que las disposiciones del Reglamento general de protección de datos, ambas deben interpretarse de manera homogénea, en particular porque debe entenderse que la estructura de la propuesta es equivalente a la de dicho Reglamento.

Asimismo, la revisión del Reglamento (CE) n.º 45/2001 tiene en cuenta los resultados de investigaciones y de consultas con las partes interesadas, así como el estudio de evaluación sobre su aplicación durante los últimos quince años.

II.  Cambios introducidos por la ponente

En general, la ponente cree que la revisión propuesta es un gran paso hacia la armonización de las normas de protección de datos y proporciona una base sólida para trabajar en ello.

No obstante, la ponente lamenta que la Comisión no haya optado por un verdadero instrumento único que abarque todas las operaciones de tratamiento de datos en la Unión de todos los órganos, organismos e instituciones de la Unión, perdiéndose así una oportunidad histórica para crear una norma fuerte y uniforme para la protección del derecho fundamental a la protección de datos. La ponente considera que los ciudadanos de la Unión merecen una norma uniforme y clara, de ahí que haya propuesto que se aclare el ámbito de aplicación del Reglamento objeto de la propuesta.

A fin de garantizar un marco sólido y coherente para la protección de datos en toda la Unión, el Reglamento debe aplicarse a todas las operaciones de tratamiento de datos personales realizadas por cualquier institución, órgano u organismo de la Unión. Al mismo tiempo, la ponente reconoce que el legislador optó, el 27 de abril de 2016, por un doble enfoque por lo que se refiere al tratamiento con fines policiales. En la medida en que el tratamiento de los datos personales a efectos policiales por las agencias de la Unión sea coherente con las normas establecidas en la Directiva (UE) 2016/680, los regímenes independientes para determinadas agencias deben continuar aplicándose hasta que se adapten al Reglamento objeto de examen.

La ponente ha llevado a cabo también una adaptación rigurosa de esta revisión del Reglamento al Reglamento general de protección de datos con el fin de aproximar lo más posible los dos textos, y así expresar la idea de que la Unión está sujeta a las mismas condiciones en lo que respecta a la protección de datos que los Estados miembros. Por ello, la ponente ha presentado una serie de enmiendas destinadas a aproximar los dos instrumentos. Las divergencias entre este Reglamento y el Reglamento general de protección de datos deben estar debidamente justificadas y reducirse al mínimo.

En los últimos años, en relación con la cuestión de la relación entre el Reglamento (CE) n.º 45/2001 y el Reglamento (CE) n.º 1049/2001, el Tribunal de Justicia Europeo ha sostenido en varias ocasiones que hay que encontrar un equilibrio entre los dos derechos fundamentales y ha apelado implícitamente al legislador a que aclare mejor la relación entre el artículo 4 del Reglamento (CE) n.º 1049/2001 y el artículo 8 (ahora 9) del Reglamento (CE) n.º 45/2001. La ponente ha adoptado el enfoque de introducir en el texto algunos elementos de asuntos judiciales recientes —Bavarian Lager, Dennekamp, ClientEarth— que, en esencia, establecen los actuales elementos de jurisprudencia del Tribunal y tienen por objeto precisar algunos aspectos que fueron puestos de relieve por el Tribunal y el Abogado General en varias sentencias.

En lo que respecta al ejercicio de los derechos del interesado, el Reglamento general de protección de datos exige que las restricciones al ejercicio de estos derechos deban basarse en actos jurídicos. Por lo tanto, la ponente propone suprimir aquí la posibilidad de que las instituciones, órganos y organismos de la Unión restrinjan el ejercicio de los derechos del interesado mediante normas internas.

El Reglamento (CE) n.º 45/2001 requería que el responsable de la protección de datos de las instituciones de la Unión mantuviera un registro de las actividades de tratamiento. La ponente considera que existe un valor añadido en obligar a las instituciones, órganos y organismos de la Unión a mantener un registro central de las operaciones de tratamiento. Los interesados deben poder consultar dicho registro a través del responsable de la protección de datos.

El Reglamento general de protección de datos prevé la posibilidad de que los responsables del tratamiento demuestren el cumplimiento del Reglamento mediante la adhesión a mecanismos de certificación y códigos de conducta. Dado que la ponente opina que los códigos de conducta no son adecuados para la administración pública, propone añadir las disposiciones necesarias para que los responsables del tratamiento a que se refiere el Reglamento objeto de examen demuestren el cumplimiento mediante la adhesión a mecanismos de certificación aprobados.

La ponente cree en la enorme contribución del Supervisor Europeo de Protección de Datos a la defensa de las disposiciones del Reglamento, y, por ello, ha mantenido la formulación del Reglamento (CE) n.º 45/2001 que permite a la Comisión la consulta del Supervisor en las fases preparatorias de la adopción de una propuesta, dejando a la Comisión suficiente margen de maniobra, respetando así su derecho de iniciativa. La ponente observa que la supervisión independiente de las normas de protección de datos es un requisito de los Tratados. Por lo tanto, todas las instituciones y órganos, incluido el Tribunal de Justicia, deben estar sujetos a la supervisión independiente del Supervisor Europeo de Protección de Datos. Con el fin de garantizar la independencia del Supervisor, la ponente propone modificar ligeramente el procedimiento de nombramiento.

La propuesta de la Comisión incluye disposiciones relativas a la confidencialidad de las comunicaciones. La ponente considera que, en general, la legislación de la Unión Europea sobre este asunto debe ser aplicable también a las instituciones, órganos y organismos. Solo deben incluirse en el texto normas adicionales que especifiquen y completen el marco general. Estas normas deben formar parte de una sección separada del texto.

Por último, la ponente acoge con satisfacción la inclusión de la posibilidad de que el Supervisor Europeo de Protección de Datos pueda multar a las instituciones, órganos y organismos de la Unión que no respeten las estrictas disposiciones del Reglamento, enviando así una clara señal a los interesados y sometiendo a la Unión a una obligación moral y jurídica tan alta como la de las administraciones de los Estados miembros.


OPINIÓN de la Comisión de Asuntos Jurídicos (5.10.2017)

para la Comisión de Libertades Civiles, Justicia y Asuntos de Interior

sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión y a la libre circulación de estos datos, y por el que se deroga el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE

(COM(2017)0008 – C8-0008/2017 – 2017/0002(COD))

Ponente de opinión: Angel Dzhambazki

BREVE JUSTIFICACIÓN

El principio de que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan está consagrado en el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE). En el artículo 16, apartado2, del TFUE se introduce una base jurídica específica para la adopción de normas en materia de protección de datos personales. Además, el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea consagra como derecho fundamental la protección de los datos personales.

El derecho a la protección de los datos personales también se aplica al tratamiento de estos datos por parte de las instituciones, órganos y organismos de la Unión. La piedra angular de la legislación vigente de la UE en materia de protección de datos personales en las instituciones de la Unión, el Reglamento (CE) n.º 45/2001, fue adoptado en 2001 con un doble objetivo: defender el derecho fundamental a la protección de datos y garantizar la libre circulación de datos personales en la Unión.

El 27 de abril de 2016, el Parlamento Europeo y el Consejo adoptaron el Reglamento (UE) n.º 2016/697 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). El Reglamento general de protección de datos será aplicable a partir del 25 de mayo de 2018. Este Reglamento pide la adaptación del Reglamento (CE) n.º 45/2001 a los principios y las normas establecidos en el Reglamento (UE) 2016/679 a fin de ofrecer un marco de protección de datos sólido y coherente en la Unión y permitir que ambos instrumentos sean aplicables al mismo tiempo.

La Comisión ha establecido en la propuesta las modificaciones necesarias para que el Reglamento de 2001 se adapte al Reglamento general de protección de datos de manera justa y equilibrada. No obstante, la propuesta se desvía sin motivo alguno, en un punto, del Reglamento general de protección de datos, y ello en relación con la edad de consentimiento para los menores.

ENMIENDAS

La Comisión de Asuntos Jurídicos pide a la Comisión de Libertades Civiles, Justicia y Asuntos de Interior, competente para el fondo, que tome en consideración las siguientes enmiendas:

Enmienda    1

Propuesta de Reglamento

Considerando 1

Texto de la Comisión

Enmienda

(1)  La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea («la Carta») y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE) establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.

(1)  La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea («la Carta») y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE) establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan. Asimismo, este derecho también está garantizado por el artículo 8 del Convenio Europeo de Derechos Humanos.

Enmienda    2

Propuesta de Reglamento

Considerando 2

Texto de la Comisión

Enmienda

(2)  El Reglamento (CE) n.º 45/2001 del Parlamento Europeo y del Consejo11 proporciona a las personas físicas unos derechos protegidos jurídicamente, especifica las obligaciones de los responsables del tratamiento dentro de las instituciones y los organismos de la Unión en materia de tratamiento de datos y crea una autoridad de control independiente, el Supervisor Europeo de Protección de Datos, responsable de la vigilancia de los tratamientos de datos personales efectuados por las instituciones y los organismos de la Unión. Sin embargo, no se aplica al tratamiento de datos personales en el ejercicio de una actividad de las instituciones y los organismos de la Unión no comprendida en el ámbito de aplicación del Derecho de la Unión.

(2)  El Reglamento (CE) n.º 45/2001 del Parlamento Europeo y del Consejo11 proporciona a las personas físicas unos derechos protegidos jurídicamente, especifica las obligaciones de los responsables del tratamiento dentro de las instituciones y los organismos de la Unión en materia de tratamiento de datos y crea una autoridad de control independiente, el Supervisor Europeo de Protección de Datos, responsable de la vigilancia de los tratamientos de datos personales efectuados por las instituciones y los organismos de la Unión. Al mismo tiempo, el Reglamento (CE) n.º 45/2001 persigue dos objetivos: defender el derecho fundamental a la protección de datos y garantizar la libre circulación de datos personales en la Unión. Sin embargo, no se aplica al tratamiento de datos personales en el ejercicio de una actividad de las instituciones y los organismos de la Unión no comprendida en el ámbito de aplicación del Derecho de la Unión.

_________________

_______________

11 Reglamento (CE) n.º 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1).

11 Reglamento (CE) n.º 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1).

Enmienda    3

Propuesta de Reglamento

Considerando 5

Texto de la Comisión

Enmienda

(5)  Redunda en interés de un enfoque coherente de la protección de datos personales en la Unión y de la libre circulación de dichos datos personales en la Unión, armonizar, en la medida de lo posible, las normas de protección de datos de las instituciones y organismos de la Unión con las adoptadas para el sector público en los Estados miembros. Cuando las disposiciones del presente Reglamento se basen en el mismo concepto que las disposiciones del Reglamento (UE) 2016/679, ambas deben interpretarse de manera homogénea, en particular porque debe entenderse que la estructura del presente Reglamento es equivalente a la del Reglamento (UE) 2016/679.

(5)  Redunda en interés de un enfoque coherente de la protección de datos personales en la Unión y de la libre circulación de dichos datos personales en la Unión, armonizar, en la medida de lo posible, las normas de protección de datos de las instituciones, órganos y organismos de la Unión con las adoptadas para el sector público en los Estados miembros. Cuando las disposiciones del presente Reglamento se basen en el mismo concepto que las disposiciones del Reglamento (UE) 2016/679, de conformidad con la jurisprudencia del TJUE1bis ambas deben interpretarse de manera homogénea, en particular porque debe entenderse que la estructura del presente Reglamento es equivalente a la del Reglamento (UE) 2016/679.

 

_________________

 

Sentencia del Tribunal de Justicia de 9 de marzo de 2010, Comisión/Alemania, C-518/07, ECLI:EU:C:2010:125, apartados 26 y 28.

Enmienda    4

Propuesta de Reglamento

Considerando 10

Texto de la Comisión

Enmienda

(10)  Cuando el acta fundacional de una agencia de la Unión que lleve a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 y 5 del título V del Tratado establezca un régimen de protección de datos independiente para el tratamiento de datos personales operativos, dicho régimen no se verá afectado por el presente Reglamento. Sin embargo, antes del 6 de mayo de 2019, la Comisión debe, de acuerdo con el artículo 62 de la Directiva (UE) 2016/680, revisar los actos de la Unión que regulen el tratamiento por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención y, en su caso, hacer las propuestas necesarias para modificar dichos actos con el fin de garantizar un enfoque coherente de la protección de datos personales en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial.

(10)  Cuando el acta fundacional de una agencia de la Unión que lleve a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 y 5 del título V del Tratado establezca un régimen de protección de datos independiente para el tratamiento de datos personales operativos, dicho régimen no se verá afectado por el presente Reglamento, en la medida en que sean coherentes con las disposiciones del Reglamento (UE) 2016/679. Sin embargo, antes del 6 de mayo de 2019, la Comisión debe, de acuerdo con el artículo 62 de la Directiva (UE) 2016/680, revisar los actos de la Unión que regulen el tratamiento por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención y, en su caso, hacer las propuestas necesarias para modificar dichos actos con el fin de garantizar un enfoque coherente de la protección de datos personales en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial.

Justificación

Todos los regímenes de protección de datos han de ser coherentes con el Reglamento general de protección de datos.

Enmienda    5

Propuesta de Reglamento

Considerando 14

Texto de la Comisión

Enmienda

(14)  El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.

(14)  El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta. Al mismo tiempo, el interesado debe tener derecho a retirar su consentimiento en cualquier momento, sin que ello afecte a la legalidad del tratamiento basado en el consentimiento previo a su retirada.

Enmienda    6

Propuesta de Reglamento

Considerando 18

Texto de la Comisión

Enmienda

(18)  El Derecho de la Unión que incluye las normas internas referidas en el presente Reglamento debe ser claro y preciso y su aplicación previsible para sus destinatarios, de conformidad con la jurisprudencia del Tribunal de Justicia de la Unión Europea y del Tribunal Europeo de Derechos Humanos.

(18)  El Derecho de la Unión debe ser claro y preciso y su aplicación previsible para sus destinatarios, de conformidad con la jurisprudencia del Tribunal de Justicia de la Unión Europea y del Tribunal Europeo de Derechos Humanos.

Enmienda    7

Propuesta de Reglamento

Considerando 23

Texto de la Comisión

Enmienda

(23)  Especial protección merecen los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales. Debe incluirse entre tales datos personales los datos de carácter personal que revelen el origen racial o étnico, entendiéndose que el uso del término «origen racial» en el presente Reglamento no implica la aceptación por parte de la Unión de teorías que traten de determinar la existencia de razas humanas separadas. El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física. Además de los requisitos específicos para el tratamiento de datos sensibles, deben aplicarse los principios generales y otras normas del presente Reglamento, sobre todo en lo que se refiere a las condiciones de licitud del tratamiento. Se deben establecer de forma explícita excepciones a la prohibición general de tratamiento de esas categorías especiales de datos personales, entre otras cosas cuando el interesado dé su consentimiento explícito o tratándose de necesidades específicas, en particular cuando el tratamiento sea realizado en el marco de actividades legítimas por determinadas asociaciones o fundaciones cuyo objetivo sea permitir el ejercicio de las libertades fundamentales.

(23)  Especial protección merecen los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales. Tales datos personales no deben ser objeto de tratamiento, salvo que el tratamiento esté permitido en casos específicos establecidos en el presente Reglamento. Debe incluirse entre tales datos personales los datos de carácter personal que revelen el origen racial o étnico, entendiéndose que el uso del término «origen racial» en el presente Reglamento no implica la aceptación por parte de la Unión de teorías que traten de determinar la existencia de razas humanas separadas. El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física. Además de los requisitos específicos para el tratamiento de datos sensibles, deben aplicarse los principios generales y otras normas del presente Reglamento, sobre todo en lo que se refiere a las condiciones de licitud del tratamiento. Se deben establecer de forma explícita excepciones a la prohibición general de tratamiento de esas categorías especiales de datos personales, entre otras cosas cuando el interesado dé su consentimiento explícito o tratándose de necesidades específicas, en particular cuando el tratamiento sea realizado en el marco de actividades legítimas por determinadas asociaciones o fundaciones cuyo objetivo sea permitir el ejercicio de las libertades fundamentales.

Enmienda    8

Propuesta de Reglamento

Considerando 23 bis (nuevo)

Texto de la Comisión

Enmienda

 

(23 bis)  Las categorías especiales de datos personales que merecen mayor protección deben tratarse con fines relacionados con la salud únicamente cuando sea necesario para lograr dichos fines en beneficio de las personas físicas y de la sociedad en su conjunto, en particular en el contexto de la gestión de los servicios y sistemas de asistencia social y sanitaria. Por tanto, el presente Reglamento debe establecer condiciones armonizadas para el tratamiento de categorías especiales de datos personales relativos a la salud, en relación con necesidades específicas, en particular si el tratamiento de dichos datos lo realizan, con fines relacionados con la salud, personas sujetas a la obligación legal de secreto profesional. El Derecho de la Unión debe establecer medidas específicas y adecuadas para proteger los derechos fundamentales y los datos personales de las personas físicas.

Enmienda    9

Propuesta de Reglamento

Considerando 24

Texto de la Comisión

Enmienda

(24)  El tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de interés público en el ámbito de la salud pública. Ese tratamiento debe estar sujeto a medidas adecuadas y específicas a fin de proteger los derechos y libertades de las personas físicas. En ese contexto, «salud pública» debe interpretarse según se define en el Reglamento (CE) n.º 1338/2008 del Parlamento Europeo y del Consejo15, es decir, todos los elementos relacionados con la salud, concretamente el estado de salud, con inclusión de la morbilidad y la discapacidad, los determinantes que influyen en dicho estado de salud, las necesidades de asistencia sanitaria, los recursos asignados a la asistencia sanitaria, la puesta a disposición de asistencia sanitaria y el acceso universal a ella, así como los gastos y la financiación de la asistencia sanitaria, y las causas de mortalidad. Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros traten los datos personales con otros fines.

(24)  El tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de interés público en el ámbito de la salud pública. Ese tratamiento debe estar sujeto a medidas proporcionadas, adecuadas y específicas a fin de proteger los derechos y libertades de las personas físicas. En ese contexto, «salud pública» debe interpretarse según se define en el Reglamento (CE) n.º 1338/2008 del Parlamento Europeo y del Consejo15, es decir, todos los elementos relacionados con la salud, concretamente el estado de salud, con inclusión de la morbilidad y la discapacidad, los determinantes que influyen en dicho estado de salud, las necesidades de asistencia sanitaria, los recursos asignados a la asistencia sanitaria, la puesta a disposición de asistencia sanitaria y el acceso universal a ella, así como los gastos y la financiación de la asistencia sanitaria, y las causas de mortalidad. Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a ningún tratamiento posterior con otros fines.

_________________

_________________

15 Reglamento (CE) n.º 1338/2008 del Parlamento Europeo y del Consejo, de 16 de diciembre de 2008, sobre estadísticas comunitarias de salud pública y de salud y seguridad en el trabajo (DO L 354 de 31.12.2008, p. 70).

15 Reglamento (CE) n.º 1338/2008 del Parlamento Europeo y del Consejo, de 16 de diciembre de 2008, sobre estadísticas comunitarias de salud pública y de salud y seguridad en el trabajo (DO L 354 de 31.12.2008, p. 70).

Justificación

Los datos relativos a la salud son particularmente sensibles y el tratamiento de dichos datos requiere restricciones específicas en lo que sea estrictamente necesario. Tales datos pueden no terminar, en particular, en posesión de terceros que los traten posteriormente.

Enmienda    10

Propuesta de Reglamento

Considerando 37 – párrafo 1

Texto de la Comisión

Enmienda

Los actos jurídicos adoptados con arreglo a los Tratados o las normas internas de las instituciones y organismos de la Unión pueden imponer limitaciones a determinados principios y a los derechos de información, acceso, rectificación o supresión de datos personales, al derecho a la portabilidad de los datos, a la confidencialidad de las comunicaciones electrónicas así como a la comunicación de una violación de la seguridad de los datos personales a un interesado y a determinadas obligaciones conexas de los responsables del tratamiento, en la medida en que sea necesario y proporcionado en una sociedad democrática para salvaguardar la seguridad pública, la prevención, investigación y el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad pública, incluida la protección de la vida humana, especialmente en respuesta a catástrofes naturales o de origen humano, la seguridad interna de las instituciones y organismos de la Unión, otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un importante interés económico o financiero de la Unión o de un Estado miembro, el mantenimiento de registros públicos por razones de interés público general o la protección del interesado o de los derechos y libertades de otros, incluida la protección social, la salud pública y los fines humanitarios.

Los actos jurídicos adoptados con arreglo a los Tratados pueden imponer limitaciones a determinados principios y a los derechos de información, acceso, rectificación o supresión de datos personales, al derecho a la portabilidad de los datos, a la confidencialidad de las comunicaciones electrónicas así como a la comunicación de una violación de la seguridad de los datos personales a un interesado y a determinadas obligaciones conexas de los responsables del tratamiento, en la medida en que sea necesario y proporcionado en una sociedad democrática para salvaguardar la seguridad pública, la prevención, investigación y el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad pública, incluida la protección de la vida humana, especialmente en respuesta a catástrofes naturales o de origen humano, la seguridad interna de las instituciones y organismos de la Unión, otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un importante interés económico o financiero de la Unión o de un Estado miembro, el mantenimiento de registros públicos por razones de interés público general o la protección del interesado o de los derechos y libertades de otros, incluida la protección social, la salud pública y los fines humanitarios.

Enmienda    11

Propuesta de Reglamento

Considerando 37 – párrafo 2

Texto de la Comisión

Enmienda

Cuando una limitación no se establezca en los actos jurídicos adoptados sobre la base de los Tratados o de sus normas internas, las instituciones y organismos de la Unión podrán imponer en un caso concreto una limitación ad hoc relativa a principios específicos y a los derechos del interesado si esta respeta en lo esencial los derechos y libertades fundamentales y, en relación con una operación de tratamiento específica, es necesaria y proporcional en una sociedad democrática para salvaguardar uno o más de los objetivos mencionados en el apartado 1. Dicha limitación debe notificarse al delegado de protección de datos. Todas las limitaciones deben ajustarse a lo dispuesto en la Carta y en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales.

suprimido

Enmienda    12

Propuesta de Reglamento

Considerando 42

Texto de la Comisión

Enmienda

(42)  Para demostrar la conformidad con el presente Reglamento, los responsables del tratamiento deben mantener registros de las actividades de tratamiento bajo su responsabilidad y los encargados del tratamiento deben mantener registros de las categorías de actividades de tratamiento bajo su responsabilidad. Las instituciones y organismos de la Unión están obligados a cooperar con el Supervisor Europeo de Protección de Datos y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento. Las instituciones y organismos de la Unión deben tener la posibilidad de establecer un archivo central de información de sus actividades de tratamiento. Por razones de transparencia, deben tener asimismo la posibilidad de hacerlo público.

(42)  Para demostrar la conformidad con el presente Reglamento, los responsables del tratamiento deben mantener registros de las actividades de tratamiento bajo su responsabilidad y los encargados del tratamiento deben mantener registros de las categorías de actividades de tratamiento bajo su responsabilidad. Las instituciones y organismos de la Unión están obligados a cooperar con el Supervisor Europeo de Protección de Datos y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento. Las instituciones y organismos de la Unión deben tener la posibilidad de establecer un archivo central de información de sus actividades de tratamiento. Por razones de transparencia, deben hacerlo público. Los interesados deben tener la posibilidad de consultar dicho registro a través del delegado de protección de datos del responsable del tratamiento.

Enmienda    13

Propuesta de Reglamento

Considerando 46

Texto de la Comisión

Enmienda

(46)  El responsable del tratamiento debe comunicar al interesado sin dilación indebida la violación de la seguridad de los datos personales en caso de que puede entrañar un alto riesgo para sus derechos y libertades, y permitirle tomar las precauciones necesarias. La comunicación debe describir la naturaleza de la violación de la seguridad de los datos personales y las recomendaciones para que la persona física afectada mitigue los potenciales efectos adversos resultantes de la violación. Dichas comunicaciones a los interesados deben realizarse tan pronto como sea razonablemente posible y en estrecha cooperación con el Supervisor Europeo de Protección de Datos, siguiendo sus orientaciones o las de otras autoridades competentes, como las autoridades policiales.

(46)  El responsable del tratamiento debe comunicar al interesado sin dilación indebida la violación de la seguridad de los datos personales en caso de que puede entrañar un alto riesgo para sus derechos y libertades, y permitirle tomar las precauciones necesarias. La comunicación debe ser confidencial y debe describir la naturaleza de la violación de la seguridad de los datos personales y las recomendaciones para que la persona física afectada mitigue los potenciales efectos adversos resultantes de la violación. Dichas comunicaciones a los interesados deben realizarse tan pronto como sea razonablemente posible y en estrecha cooperación con el Supervisor Europeo de Protección de Datos, siguiendo sus orientaciones o las de otras autoridades competentes, como las autoridades policiales.

Enmienda    14

Propuesta de Reglamento

Considerando 52

Texto de la Comisión

Enmienda

(52)  Si los datos personales se transfieren de las instituciones y organismos de la Unión a responsables, encargados u otros destinatarios en terceros países o a organizaciones internacionales, esto no debe menoscabar el nivel de protección de las personas físicas garantizado en la Unión por el presente Reglamento, ni siquiera en las transferencias ulteriores de datos personales desde el tercer país u organización internacional a responsables y encargados en el mismo u otro tercer país u organización internacional. En todo caso, las transferencias a terceros países y organizaciones internacionales solo pueden llevarse a cabo de plena conformidad con el presente Reglamento. Una transferencia solo podría tener lugar si, a reserva de las demás disposiciones del presente Reglamento, el responsable o encargado cumple las disposiciones del presente Reglamento relativas a la transferencia de datos personales a terceros países u organizaciones internacionales.

(52)  Si los datos personales se transfieren de las instituciones y organismos de la Unión a responsables, encargados u otros destinatarios en terceros países o a organizaciones internacionales, esto debe garantizar el nivel de protección de las personas físicas garantizado en la Unión por el presente Reglamento, ni siquiera en las transferencias ulteriores de datos personales desde el tercer país u organización internacional a responsables y encargados en el mismo u otro tercer país u organización internacional. En todo caso, las transferencias a terceros países y organizaciones internacionales solo pueden llevarse a cabo de plena conformidad con el presente Reglamento, con el Reglamento (UE) 2016/679 y con los derechos y las libertades fundamentales consagrados en la Carta. Una transferencia solo podría tener lugar si, a reserva de las demás disposiciones del presente Reglamento, el responsable o encargado cumple las disposiciones del presente Reglamento relativas a la transferencia de datos personales a terceros países u organizaciones internacionales.

Enmienda    15

Propuesta de Reglamento

Considerando 54

Texto de la Comisión

Enmienda

(54)  En ausencia de una decisión por la que se constate la adecuación de la protección de los datos, el responsable o el encargado del tratamiento deben tomar medidas para compensar la falta de protección de datos en un tercer país mediante garantías adecuadas para el interesado. Tales garantías adecuadas pueden consistir en el recurso a cláusulas tipo de protección de datos adoptadas por la Comisión o por el Supervisor Europeo de Protección de Datos, o a cláusulas contractuales autorizadas por este último. Cuando el encargado del tratamiento no es una institución u organismo de la Unión, dichas garantías adecuadas pueden consistir en normas corporativas vinculantes, códigos de conducta y mecanismos de certificación utilizados para realizar transferencias internacionales de conformidad con el Reglamento (UE) 2016/679. Esas garantías deben asegurar la observancia de requisitos de protección de datos y derechos de los interesados adecuados al tratamiento dentro de la Unión, incluida la disponibilidad por parte de los interesados de derechos exigibles y de acciones legales efectivas, lo que incluye el derecho a obtener una reparación administrativa o judicial efectiva y a reclamar una indemnización, en la Unión o en un tercer país. En particular, deben referirse al cumplimiento de los principios generales relativos al tratamiento de los datos personales y los principios de la protección de datos desde el diseño y por defecto. Las transferencias también pueden realizarlas instituciones y organismos de la Unión a entidades o autoridades públicas de terceros países o a organizaciones internacionales con competencias o funciones correspondientes, igualmente sobre la base de disposiciones incorporadas a acuerdos administrativos, como un memorando de entendimiento, que reconozcan derechos exigibles y efectivos a los interesados. Si las garantías figuran en acuerdos administrativos que no sean jurídicamente vinculantes se debe recabar la autorización del Supervisor Europeo de Protección de Datos.

suprimido

Enmienda    16

Propuesta de Reglamento

Artículo 1 – apartado 1

Texto de la Comisión

Enmienda

1.  El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales por las instituciones, órganos y organismos de la Unión y las normas relativas a la libre circulación de dichos datos entre ellos o entre ellos y destinatarios establecidos en la Unión y sujetos al Reglamento (UE) 2016/67918 o a las disposiciones del Derecho nacional adoptado en aplicación de la Directiva (UE) 2016/68019.

1.  El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales por las instituciones, órganos y organismos de la Unión y las normas relativas a la libre circulación de dichos datos entre ellos o entre ellos y destinatarios establecidos en la Unión.

_________________

 

18 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, pp. 1–88).

 

19 Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión 2008/977/JAI (DO L 119 de 4.5.2016, pp. 89–131).

 

Enmienda    17

Propuesta de Reglamento

Artículo 1 – apartado 2

Texto de la Comisión

Enmienda

2.  El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.

2.  El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas consagrados en la Carta y, en particular, su derecho a la protección de los datos personales.

Enmienda    18

Propuesta de Reglamento

Artículo 2 – apartado 2 bis (nuevo)

Texto de la Comisión

Enmienda

 

2 bis.  El presente Reglamento se aplicará asimismo a las agencias de la Unión que lleven a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 y 5 del título V de la tercera parte del TFUE, incluso cuando las actas fundacionales de dichas agencias de la Unión establezcan un régimen de protección de datos independiente para el tratamiento de datos personales operativos. Las disposiciones del presente Reglamento tendrán prioridad sobre las disposiciones contradictorias de las actas fundacionales de dichas agencias de la Unión.

Enmienda    19

Propuesta de Reglamento

Artículo 4 – apartado 1 – letra d

Texto de la Comisión

Enmienda

d)  exactos y, si fuera necesario, actualizados; se tomarán todas las medidas razonables para la supresión o rectificación sin dilación de los datos inexactos o incompletos en relación con los fines para los que fueron recogidos o para los que son tratados posteriormente («exactitud»);

d)  exactos y, si fuera necesario, actualizados; se tomarán todas las medidas razonables para la supresión o rectificación sin dilación de los datos personales que sean inexactos o incompletos en relación con los fines para los que son tratados («exactitud»);

Enmienda    20

Propuesta de Reglamento

Artículo 8 – título

Texto de la Comisión

Enmienda

Condiciones aplicables al consentimiento de los niños en relación con los servicios de la sociedad de la información

Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información

Justificación

Este término también se emplea en el artículo 8 del Reglamento general de protección de datos y debe ser empleado aquí por coherencia.

Enmienda    21

Propuesta de Reglamento

Artículo 8 – apartado 1

 

Texto de la Comisión

Enmienda

1.  Cuando se aplique el artículo 5, apartado 1, letra d), en relación con la oferta directa a niños de servicios de la sociedad de la información, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 13 años. Si el niño es menor de 13 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó.

1.  Cuando se aplique el artículo 5, apartado 1, letra d), en relación con la oferta directa a niños de servicios de la sociedad de la información, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó.

Enmienda    22

Propuesta de Reglamento

Artículo 9 – título

Texto de la Comisión

Enmienda

Transmisiones de datos personales a destinatarios distintos de las instituciones y los organismos de la Unión, establecidos en esta y sujetos al Reglamento (UE) 2016/679 o la Directiva (UE) 2016/680

Transmisiones de datos personales a destinatarios distintos de las instituciones y los organismos de la Unión, establecidos en esta

Enmienda    23

Propuesta de Reglamento

Artículo 9 – apartado 1 – letra b

Texto de la Comisión

Enmienda

b)  la necesidad de transmitir los datos, la proporcionalidad con los fines de la transmisión y que no existen motivos para suponer que ello pudiera perjudicar los derechos y libertades así como los intereses legítimos del interesado.

b)  la estricta necesidad de transmitir los datos teniendo en cuenta los objetivos del destinatario y que no existen motivos para suponer que los derechos y libertades así como los intereses legítimos del interesado pudieran verse perjudicados por la transmisión de datos solicitada o el posterior uso que cabe esperar de dichos datos personales por parte del destinatario.

Enmienda    24

Propuesta de Reglamento

Artículo 11 – párrafo 1

Texto de la Comisión

Enmienda

El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas en virtud del artículo 5, apartado 1, solo podrá llevarse a cabo si así lo autoriza el Derecho de la Unión, el cual puede incluir normas internas, ofreciendo las garantías específicas adecuadas para los derechos y libertades de los interesados.

El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas en virtud del artículo 5, apartado 1, solo podrá llevarse a cabo si así lo autoriza el Derecho de la Unión ofreciendo las garantías específicas adecuadas para los derechos y libertades de los interesados.

Enmienda    25

Propuesta de Reglamento

Artículo 16 – apartado 5 – letra b

Texto de la Comisión

Enmienda

b)  la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, o en la medida en que la obligación mencionada en el apartado 1 del presente artículo pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento;

b)  la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, o en la medida en que la obligación mencionada en el apartado 1 del presente artículo pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento. En tales casos, el responsable del tratamiento adoptará medidas adecuadas para proteger los derechos, las libertades y el interés legítimo del interesado, inclusive haciendo pública la información;

Enmienda    26

Propuesta de Reglamento

Artículo 25 – apartado 1 – parte introductoria

Texto de la Comisión

Enmienda

1.  Los actos jurídicos adoptados con arreglo a los Tratados o, en cuestiones relacionadas con el funcionamiento de las instituciones y organismos de la Unión, las normas internas establecidas por estos últimos podrán limitar la aplicación de los artículos 14 a 22, 34 y 38, así como el artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 14 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:

1.  Los actos jurídicos adoptados con arreglo a los Tratados podrán limitar la aplicación de los artículos 14 a 22 y 38, así como el artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 14 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:

Justificación

La enmienda busca armonizar las disposiciones del presente Reglamento con las disposiciones del Reglamento general de protección de datos, de acuerdo con el dictamen del SEPD.

Enmienda    27

Propuesta de Reglamento

Artículo 25 – apartado 1 – letra d

 

Texto de la Comisión

Enmienda

d)   la seguridad interna de las instituciones y organismos de la Unión, incluida la de sus redes de comunicación electrónica;

d)   la seguridad interna de las instituciones y organismos de la Unión, incluida la de sus TI y sus redes de comunicación electrónica;

Enmienda    28

Propuesta de Reglamento

Artículo 25 – apartado 1 bis (nuevo)

Texto de la Comisión

Enmienda

 

1 bis.  En particular, cualquier acto jurídico indicado en el apartado 1 contendrá como mínimo, cuando proceda, disposiciones específicas relativas a:

 

a)   la finalidad del tratamiento o de las categorías de tratamiento;

 

b)   las categorías de datos personales de que se trate;

 

c)   el alcance de las limitaciones establecidas;

 

d)   las garantías para evitar accesos o transferencias ilícitos o abusivos;

 

e)   la determinación del responsable o de las categorías de responsables;

 

f)   los plazos de conservación y las garantías aplicables habida cuenta de la naturaleza, el alcance y los objetivos del tratamiento o de las categorías de tratamiento;

 

g)   los riesgos para los derechos y las libertades de los interesados; y

 

h)   el derecho de los interesados a ser informados sobre la limitación, salvo si puede ser perjudicial para los fines de esta.

Enmienda    29

Propuesta de Reglamento

Artículo 25 – apartado 2

Texto de la Comisión

Enmienda

2.  Cuando una limitación no se establezca en un acto jurídico adoptado sobre la base de los Tratados o en una norma interna en virtud del apartado 1, las instituciones y organismos de la Unión podrán limitar la aplicación de los artículos 14 a 22, 34 y 38, así como el artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 14 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales, en relación con una operación de tratamiento específica, y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar uno o más de los objetivos mencionados en el apartado 1. Dicha limitación deberá notificarse al delegado de protección de datos pertinente.

suprimido

Enmienda    30

Propuesta de Reglamento

Artículo 25 – apartado 3

Texto de la Comisión

Enmienda

3.  Cuando se traten datos personales con fines de investigación científica o histórica o estadísticos, el Derecho de la Unión, el cual puede incluir normas internas, podrá establecer excepciones a los derechos contemplados en los artículos 17, 18, 20 y 23, sujetas a las condiciones y garantías indicadas en el artículo 13, siempre que sea probable que esos derechos imposibiliten u obstaculicen gravemente el logro de los fines específicos, y cuanto esas excepciones sean necesarias para alcanzar esos fines.

3.  Cuando se traten datos personales con fines de investigación científica o histórica o estadísticos, el Derecho de la Unión podrá establecer excepciones a los derechos contemplados en los artículos 17, 18, 20 y 23, sujetas a las condiciones y garantías indicadas en el artículo 13, siempre que sea probable que esos derechos imposibiliten u obstaculicen gravemente el logro de los fines específicos, y cuanto esas excepciones sean necesarias para alcanzar esos fines.

Enmienda    31

Propuesta de Reglamento

Artículo 25 – apartado 4

Texto de la Comisión

Enmienda

4.  Cuando se traten datos personales con fines de archivo en interés público, el Derecho de la Unión, el cual puede incluir normas internas, podrá establecer excepciones a los derechos contemplados en los artículos 17, 18, 20, 21, 22 y 23, sujetas a las condiciones y garantías citadas en el apartado 13 del presente artículo, siempre que sea probable que esos derechos imposibiliten u obstaculicen gravemente el logro de los fines específicos, y cuanto esas excepciones sean necesarias para alcanzar esos fines.

4.  Cuando se traten datos personales con fines de archivo en interés público, el Derecho de la Unión podrá establecer excepciones a los derechos contemplados en los artículos 17, 18, 20, 21, 22 y 23, sujetas a las condiciones y garantías citadas en el apartado 13 del presente artículo, siempre que sea probable que esos derechos imposibiliten u obstaculicen gravemente el logro de los fines específicos, y cuanto esas excepciones sean necesarias para alcanzar esos fines.

Enmienda    32

Propuesta de Reglamento

Artículo 25 – apartado 5

Texto de la Comisión

Enmienda

5.  Las normas internas mencionadas en los apartados 1, 3 y 4 serán suficientemente claras y precisas y deben ser objeto de una publicación apropiada.

suprimido

Enmienda    33

Propuesta de Reglamento

Artículo 25 – apartado 6

Texto de la Comisión

Enmienda

6.  En caso de que se imponga una limitación en virtud de los apartados 1 y 2, se informará al interesado, de conformidad con el Derecho de la Unión, de las razones principales que justifican la limitación, así como de su derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos.

6.  En caso de que se imponga una limitación en virtud del apartado 1, se informará al interesado, de conformidad con el Derecho de la Unión, de las razones principales que justifican la limitación, así como de su derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos.

Enmienda    34

Propuesta de Reglamento

Artículo 25 – apartado 7

Texto de la Comisión

Enmienda

7.  En caso de que se imponga una limitación en virtud de los apartados 1 y 2 para denegar al interesado el acceso a los datos, el Supervisor Europeo de Protección de Datos, durante la investigación subsiguiente a la reclamación, solo le comunicará si los datos se trataron correctamente y, de no ser así, si se han efectuado las correcciones necesarias.

7.  En caso de que se imponga una limitación en virtud del apartado 1 para denegar al interesado el acceso a los datos, el Supervisor Europeo de Protección de Datos, durante la investigación subsiguiente a la reclamación, solo le comunicará si los datos se trataron correctamente y, de no ser así, si se han efectuado las correcciones necesarias.

Enmienda    35

Propuesta de Reglamento

Artículo 25 – apartado 8

Texto de la Comisión

Enmienda

8.  Podrá aplazarse, omitirse o denegarse la comunicación de la información a la que se refieren los apartados 6 y 7 y el artículo 46, apartado 2, si esta deja sin efecto la limitación impuesta sobre la base de los apartados 1 y 2.

8.  Podrá aplazarse, omitirse o denegarse la comunicación de la información a la que se refieren los apartados 6 y 7 y el artículo 46, apartado 2, si esta deja sin efecto la limitación impuesta sobre la base del apartado 1.

Enmienda    36

Propuesta de Reglamento

Artículo 31 – apartado 5

Texto de la Comisión

Enmienda

5.  Las instituciones y organismos de la Unión pueden decidir mantener sus registros de actividades de tratamiento en un registro central. En ese caso, también pueden decidir que el registro sea de acceso público.

5.  Las instituciones y organismos de la Unión mantendrán sus registros de actividades de tratamiento en un registro central. En ese caso, también pueden hacer que el registro sea de acceso público, de modo que los interesados puedan consultarlo sin que ello afecte a los derechos de otros interesados.

Enmienda    37

Propuesta de Reglamento

Artículo 31 – apartado 5 bis (nuevo)

Texto de la Comisión

Enmienda

 

5 bis.  Los interesados tendrán la posibilidad de consultar el registro central indicado en el apartado 5 a través del delegado de protección de datos del responsable del tratamiento.

Enmienda    38

Propuesta de Reglamento

Artículo 34 – párrafo 1

Texto de la Comisión

Enmienda

Las instituciones y organismos de la Unión deberán garantizar la confidencialidad de las comunicaciones electrónicas, en particular protegiendo sus redes de comunicación electrónica.

Las instituciones y organismos de la Unión deberán garantizar la confidencialidad de las comunicaciones electrónicas de conformidad con el Reglamento (UE) 2017/XXXX.

Justificación

La propuesta legislativa específica relativa a la confidencialidad de las comunicaciones electrónicas será el Reglamento basado en la propuesta de la Comisión COM(2017)0010 y, por tanto, debe ser mencionado.

Enmienda    39

Propuesta de Reglamento

Artículo 36

Texto de la Comisión

Enmienda

Artículo 36

suprimido

Guías de usuarios

 

1.   Los datos personales contenidos en las guías de usuarios, así como el acceso a dichas guías, quedarán limitados a lo necesario para los fines específicos de la guía.

 

2.   Las instituciones y organismos de la Unión adoptarán las medidas necesarias para evitar que los datos personales contenidos en estas guías, independientemente de si resultan accesibles al público o no, sean utilizados para fines de venta directa.

 

Enmienda    40

Propuesta de Reglamento

Artículo 42 – apartado 2

Texto de la Comisión

Enmienda

2.  Cuando uno de los actos mencionados en el apartado 1 sea de especial importancia para la protección de los derechos y libertades de las personas en relación con el tratamiento de datos personales, la Comisión podrá consultar al Comité Europeo de Protección de Datos. En estos casos, el Supervisor Europeo de Protección de Datos y el Comité Europeo de Protección de Datos coordinarán su trabajo a fin de emitir un dictamen conjunto.

2.  Cuando uno de los actos mencionados en el apartado 1 sea de especial importancia para la protección de los derechos y libertades de las personas en relación con el tratamiento de datos personales, la Comisión consultará al Comité Europeo de Protección de Datos. En estos casos, el Supervisor Europeo de Protección de Datos y el Comité Europeo de Protección de Datos coordinarán su trabajo a fin de emitir un dictamen conjunto.

Enmienda    41

Propuesta de Reglamento

Artículo 44 – apartado 4

Texto de la Comisión

Enmienda

4.  El delegado de protección de datos podrá formar parte de la plantilla de la institución u organismo de la Unión, o desempeñar sus funciones en el marco de un contrato de servicios.

4.  El delegado de protección de datos formará parte de la plantilla de la institución, órgano u organismo de la Unión.

Justificación

La contratación externa de un delegado de protección de datos no parece adecuada para una institución de la Unión.

Enmienda    42

Propuesta de Reglamento

Artículo 46 – apartado 1 – letra b bis (nueva)

Texto de la Comisión

Enmienda

 

b bis)  velar por que el tratamiento no afecte a los derechos y las libertades fundamentales de los interesados;

Enmienda    43

Propuesta de Reglamento

Artículo 48 – apartado 1

Texto de la Comisión

Enmienda

1.  Podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido, en virtud del artículo 45, apartado 3, del Reglamento (UE) 2016/679, que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado y los datos se transmitan exclusivamente para permitir el ejercicio de las tareas que son competencia del responsable del tratamiento.

1.  Podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya adoptado un acto de ejecución, en virtud del artículo 45, apartado 3, del Reglamento (UE) 2016/679, que establezca que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado y los datos se transmitan exclusivamente para permitir el ejercicio de las tareas que son competencia del responsable del tratamiento. El acto de ejecución establecerá un mecanismo de revisión periódica, al menos cada cuatro años, que tenga en cuenta todos los acontecimientos relevantes en el tercer país o en la organización internacional. El acto de ejecución indicará, además, su aplicación territorial y sectorial y determinará la autoridad supervisora. Se aplicará el capítulo V del Reglamento (UE) 2016/679.

Justificación

Las normas relativas a la transferencia de datos personales a terceros países o a instituciones de terceros países deben guardar coherencia con las normas correspondientes en el Reglamento general de protección de datos a fin de no producir lagunas o incoherencias jurídicas. Se debe hacer hincapié, especialmente, en el mecanismo de revisión.

Enmienda    44

Propuesta de Reglamento

Artículo 54 – apartado 1

Texto de la Comisión

Enmienda

1.  El Parlamento Europeo y el Consejo nombrarán de común acuerdo al Supervisor Europeo de Protección de Datos por un mandato de cinco años, sobre la base de una lista elaborada por la Comisión como resultado de una convocatoria pública de candidaturas. La convocatoria de candidaturas permitirá a las partes interesadas de toda la Unión presentar sus solicitudes. La lista de candidatos elaborada por la Comisión será pública. Sobre la base de la lista elaborada por la Comisión, la comisión competente del Parlamento Europeo podrá decidir la celebración de una audiencia con objeto de definir una preferencia.

1.  El Parlamento Europeo y el Consejo nombrarán de común acuerdo al Supervisor Europeo de Protección de Datos por un mandato de cinco años, sobre la base de una lista elaborada conjuntamente por el Parlamento Europeo, el Consejo y la Comisión como resultado de una convocatoria pública de candidaturas. La convocatoria de candidaturas permitirá a las partes interesadas de toda la Unión presentar sus solicitudes. La lista de candidatos será pública y constará como mínimo de cinco candidatos. La comisión competente del Parlamento Europeo podrá decidir la celebración de una audiencia de los candidatos con objeto de definir una preferencia.

Enmienda    45

Propuesta de Reglamento

Artículo 54 – apartado 2

Texto de la Comisión

Enmienda

2.  La lista elaborada por la Comisión a partir de la cual será elegido el Supervisor Europeo de Protección de Datos estará formada por personas cuya independencia esté fuera de toda duda y que posean una experiencia y competencia notorias para el cumplimiento de las funciones de Supervisor Europeo de Protección de Datos, como pertenecer o haber pertenecido a las autoridades de control establecidas en el artículo 41 del Reglamento (UE) 2016/679.

2.  La lista elaborada conjuntamente por el Parlamento Europeo, el Consejo y la Comisión a partir de la cual será elegido el Supervisor Europeo de Protección de Datos estará formada por personas cuya independencia esté fuera de toda duda y que posean un conocimiento especializado en protección de datos así como una experiencia y competencia notorias para el cumplimiento de las funciones de Supervisor Europeo de Protección de Datos, como pertenecer o haber pertenecido a las autoridades de control establecidas en el artículo 41 del Reglamento (UE) 2016/679.

Enmienda    46

Propuesta de Reglamento

Artículo 63 – apartado 1 bis (nuevo)

Texto de la Comisión

Enmienda

 

1 bis.  En los casos en los que el interesado sea un niño, los Estados miembros proporcionarán salvaguardias específicas, en particular con respecto a la asistencia jurídica.

Justificación

Los niños pueden ser más vulnerables que los adultos y deben preverse en los Estados miembros cláusulas de salvaguardia específicas, en particular con respecto a la garantía de la asistencia jurídica, a fin de garantizar los derechos de los niños.

Enmienda    47

Propuesta de Reglamento

Capítulo IX bis (nuevo)

Texto de la Comisión

Enmienda

 

Capítulo IX bis

 

Artículo 70 bis

 

Cláusula de revisión

 

1.   A más tardar el 1 de junio de 2021, y posteriormente cada cinco años, la Comisión presentará al Parlamento Europeo un informe sobre la aplicación del presente Reglamento, acompañado, en su caso, de las oportunas propuestas legislativas.

 

2.   La evaluación ex post mencionada en el apartado 1 prestará especial atención a la idoneidad del ámbito de aplicación del presente Reglamento, su coherencia con otros actos legislativos del ámbito de la protección de datos y valorará, en particular, la ejecución del capítulo V del presente Reglamento.

 

3.   A más tardar el 1 de junio de 2021, y posteriormente cada cinco años, la Comisión informará al Parlamento Europeo sobre la aplicación del capítulo VIII del presente Reglamento y las sanciones aplicadas.

Justificación

Desde la perspectiva de la mejora de la legislación y, en particular, del uso eficaz de las evaluaciones ex post para comprender todo el ciclo legislativo, resulta especialmente interesante efectuar un seguimiento de la transposición, la aplicación y el respeto del Derecho de la Unión y, de manera más general, supervisar la repercusión, el funcionamiento y la eficacia de su legislación. Responde a este fin una cláusula de revisión exhaustiva, que solicite una evaluación adecuada de la aplicación del Reglamento, de su ámbito de aplicación y de las excepciones previstas a los poderes y que constituya obligaciones de información proporcionadas.

Enmienda    48

Propuesta de Reglamento

Artículo 72 bis (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 72 bis

 

Revisión de los actos jurídicos de la Unión

 

A más tardar el 25 de mayo de 2021, la Comisión revisará los demás actos jurídicos adoptados sobre la base de los Tratados que regulen el tratamiento de datos personales, en particular por los organismos establecidos en virtud de los capítulos 4 y 5 del título V de la tercera parte del TFUE, a fin de evaluar la necesidad de aproximarlos a las disposiciones del presente Reglamento y presentar, en su caso, las propuestas necesarias para modificar dichos actos con el fin de garantizar un enfoque coherente de la protección de datos personales en el ámbito de aplicación del presente Reglamento.

PROCEDIMIENTO DE LA COMISIÓN COMPETENTE PARA EMITIR OPINIÓN

Título

Protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión y a la libre circulación de estos datos

Referencias

COM(2017)0008 – C8-0008/2017 – 2017/0002(COD)

Comisión competente para el fondo

Fecha del anuncio en el Pleno

LIBE

3.4.2017

 

 

 

Opinión emitida por

Fecha del anuncio en el Pleno

JURI

3.4.2017

Ponente de opinión

Fecha de designación

Angel Dzhambazki

28.2.2017

Examen en comisión

13.7.2017

7.9.2017

 

 

Fecha de aprobación

2.10.2017

 

 

 

Resultado de la votación final

+:

–:

0:

17

0

4

Miembros presentes en la votación final

Max Andersson, Joëlle Bergeron, Marie-Christine Boutonnet, Jean-Marie Cavada, Mary Honeyball, Sylvia-Yvonne Kaufmann, Gilles Lebreton, Jiří Maštálka, Emil Radev, Julia Reda, Evelyn Regner, Pavel Svoboda, József Szájer, Axel Voss, Francis Zammit Dimech, Tadeusz Zwiefka

Suplentes presentes en la votación final

Isabella Adinolfi, Jens Rohde, Virginie Rozière, Tiemo Wölken

Suplentes (art. 200, apdo. 2) presentes en la votación final

Arne Lietz

VOTACIÓN FINAL NOMINAL EN LA COMISIÓN COMPETENTE PARA EMITIR OPINIÓN

17

+

ALDE

EFDD

PPE

S&D

VERTS/ALE

Jean-Marie Cavada, Jens Rohde

Joëlle Bergeron

Emil Radev, Pavel Svoboda, József Szájer, Axel Voss, Francis Zammit Dimech, Tadeusz Zwiefka

Mary Honeyball, Sylvia-Yvonne Kaufmann, Arne Lietz, Evelyn Regner, Virginie Rozière, Tiemo Wölken

Max Andersson, Julia Reda

0

-

 

 

4

0

EFDD

ENF

GUE/NGL

Isabella Adinolfi

Marie-Christine Boutonnet, Gilles Lebreton

Jiri Mastálka

Explicación de los signos utilizados:

+  :  a favor

-  :  en contra

0  :  abstenciones


PROCEDIMIENTO DE LA COMISIÓN COMPETENTE PARA EL FONDO

Título

Protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión y a la libre circulación de estos datos

Referencias

COM(2017)0008 – C8-0008/2017 – 2017/0002(COD)

Fecha de la presentación al PE

12.1.2017

 

 

 

Comisión competente para el fondo

       Fecha del anuncio en el Pleno

LIBE

3.4.2017

 

 

 

Comisiones competentes para emitir opinión

       Fecha del anuncio en el Pleno

BUDG

3.4.2017

JURI

3.4.2017

 

 

Opinión(es) no emitida(s)

       Fecha de la decisión

BUDG

26.1.2017

 

 

 

Ponentes

       Fecha de designación

Cornelia Ernst

9.3.2017

 

 

 

Examen en comisión

30.3.2017

21.6.2017

28.9.2017

12.10.2017

Fecha de aprobación

12.10.2017

 

 

 

Resultado de la votación final

+:

–:

0:

45

7

6

Miembros presentes en la votación final

Asim Ahmedov Ademov, Jan Philipp Albrecht, Gerard Batten, Heinz K. Becker, Malin Björk, Michał Boni, Caterina Chinnici, Rachida Dati, Frank Engel, Cornelia Ernst, Laura Ferrara, Raymond Finch, Lorenzo Fontana, Kinga Gál, Ana Gomes, Nathalie Griesbeck, Sylvie Guillaume, Sophia in ‘t Veld, Dietmar Köster, Barbara Kudrycka, Cécile Kashetu Kyenge, Marju Lauristin, Juan Fernando López Aguilar, Monica Macovei, Roberta Metsola, Louis Michel, Claude Moraes, József Nagy, Soraya Post, Judith Sargentini, Birgit Sippel, Branislav Škripek, Csaba Sógor, Traian Ungureanu, Bodil Valero, Marie-Christine Vergiat, Udo Voigt, Kristina Winberg, Tomáš Zdechovský, Auke Zijlstra

Suplentes presentes en la votación final

Carlos Coelho, Ignazio Corrao, Gérard Deprez, Anna Hedh, Marek Jurek, Sylvia-Yvonne Kaufmann, Ska Keller, Andrejs Mamikins, Barbara Spinelli, Anders Primdahl Vistisen, Axel Voss

Suplentes (art. 200, apdo. 2) presentes en la votación final

Beatriz Becerra Basterrechea, Czesław Hoc, Christelle Lechevalier, Olle Ludvigsson, Maria Noichl, Stanisław Ożóg, José Ignacio Salafranca Sánchez-Neyra

Fecha de presentación

23.10.2017


VOTACIÓN FINAL NOMINAL EN LA COMISIÓN COMPETENTE PARA EL FONDO

45

+

ALDE

Beatriz Becerra Basterrechea, Gérard Deprez, Nathalie Griesbeck, Sophia in 't Veld, Louis Michel

EFDD

Ignazio Corrao, Laura Ferrara

GUE/NGL

Malin Björk, Cornelia Ernst, Barbara Spinelli, Marie-Christine Vergiat

PPE

Asim Ahmedov Ademov, Heinz K. Becker, Michał Boni, Carlos Coelho,Rachida Dati, Frank Engel, Kinga Gál, Barbara Kudrycka, Roberta Metsola, József Nagy, José Ignacio Salafranca Sánchez-Neyra, Csaba Sógor, Traian Ungureanu, Axel Voss, Tomáš Zdechovský

S&D

Caterina Chinnici, Ana Gomes, Sylvie Guillaume, Anna Hedh, Sylvia-Yvonne Kaufmann, Cécile Kashetu Kyenge, Dietmar Köster, Marju Lauristin, Olle Ludvigsson, Juan Fernando López Aguilar, Andrejs Mamikins, Claude Moraes, Maria Noichl, Soraya Post, Birgit Sippel

VERTS/ALE

Jan Philipp Albrecht, Ska Keller, Judith Sargentini, Bodil Valero

7

-

ECR

Czesław Hoc, Marek Jurek, Monica Macovei, Stanisław Ożóg, Anders Primdahl Vistisen, Branislav Škripek

ENF

Auke Zijlstra

6

 

0

EFDD

Gerard Batten, Raymond Finch, Kristina Winberg

ENF

Lorenzo Fontana, Christelle Lechevalier

NI

Udo Voigt

Explicación de los signos utilizados:

+  :  a favor

-  :  en contra

0  :  abstenciones

Aviso jurídico