INFORME sobre la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y la libre circulación de dichos datos
22.11.2013 - (COM(2012)0010 – C7‑0024/2012 – 2012/0010(COD)) - ***I
Comisión de Libertades Civiles, Justicia y Asuntos de Interior
Ponente: Dimitrios Droutsas
PROYECTO DE RESOLUCIÓN LEGISLATIVA DEL PARLAMENTO EUROPEO
sobre la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y la libre circulación de dichos datos
(COM(2012)0010 – C7‑0024/2012 – 2012/0010(COD))
(Procedimiento legislativo ordinario: primera lectura)
El Parlamento Europeo,
– Vista la propuesta de la Comisión al Parlamento Europeo y al Consejo (COM(2012)0010),
– Vistos el artículo 294, apartado 2, y el artículo 16, apartado 2, del Tratado de Funcionamiento de la Unión Europea, conforme a los cuales la Comisión le ha presentado su propuesta (C7-0024/2012),
– Visto el artículo 294, apartado 3, del Tratado de Funcionamiento de la Unión Europea,
– Vistos los dictámenes motivados presentados por el Bundesrat alemán y el Parlamento sueco, de conformidad con lo dispuesto en el Protocolo n° 2 sobre la aplicación de los principios de subsidiariedad y proporcionalidad, en los que se sostiene que el proyecto de acto legislativo no respeta el principio de subsidiariedad,
– Visto el dictamen del Supervisor Europeo de Protección de Datos, de 7 de marzo de 2012,
– Visto el dictamen de la Agencia de los Derechos Fundamentales de la Unión Europea, de 1 de octubre de 2012,
– Visto el artículo 55 de su Reglamento,
– Vistos el informe de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior y la opinión de la Comisión de Asuntos Jurídicos (A7-0403/2013),
1. Aprueba la Posición en primera lectura que figura a continuación;
2. Pide a la Comisión que le consulte de nuevo si se propone modificar sustancialmente su propuesta o sustituirla por otro texto;
3. Encarga a su Presidente que transmita la Posición del Parlamento al Consejo y a la Comisión, así como a los Parlamentos nacionales.
Enmienda 1 Propuesta de Directiva Considerando 1 | |
Texto de la Comisión |
Enmienda |
(1) La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea establecen que toda persona tiene derecho a la protección de los datos personales que le conciernan. |
(1) La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea establecen que toda persona tiene derecho a la protección de los datos personales que le conciernan. El artículo 8, apartado 2, de la Carta de los Derechos Fundamentales de la Unión Europea dispone que dichos datos se han de tratar de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. |
Enmienda 2 Propuesta de Directiva Considerando 4 | |
Texto de la Comisión |
Enmienda |
(4) Ello requiere facilitar la libre circulación de datos entre las autoridades competentes en el seno de la Unión y la transferencia a terceros países y organizaciones internacionales, al tiempo que se garantiza un alto nivel de protección de los datos personales. Exige el establecimiento de un marco más sólido y coherente para la protección de datos en la Unión Europea, respaldado por una ejecución estricta. |
(4) Ello requiere facilitar la libre circulación de datos, siempre que sea necesario y proporcionado, entre las autoridades competentes en el seno de la Unión y la transferencia a terceros países y organizaciones internacionales, al tiempo que se garantiza un alto nivel de protección de los datos personales. Exige el establecimiento de un marco más sólido y coherente para la protección de datos en la Unión Europea, respaldado por una ejecución estricta. |
Enmienda 3 Propuesta de Directiva Considerando 7 | |
Texto de la Comisión |
Enmienda |
(7) Asegurar un nivel uniforme y elevado de protección de los datos personales de las personas físicas y facilitar el intercambio de datos personales entre las autoridades competentes de los Estados miembros es esencial para garantizar la eficacia de la cooperación judicial en materia penal y de la cooperación policial. A tal efecto, el nivel de protección de los derechos y libertades de las personas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, debe ser equivalente en todos los Estados miembros. La protección efectiva de los datos personales en la Unión no solo requiere la consolidación de los derechos de los interesados y de las obligaciones de quienes tratan dichos datos personales, sino también poderes equivalentes para supervisar y garantizar el cumplimiento de las normas relativas a la protección de los datos personales en los Estados miembros. |
(7) Asegurar un nivel uniforme y elevado de protección de los datos personales de las personas físicas y facilitar el intercambio de datos personales entre las autoridades competentes de los Estados miembros es esencial para garantizar la eficacia de la cooperación judicial en materia penal y de la cooperación policial. A tal efecto, el nivel de protección de los derechos y libertades de las personas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, debe ser equivalente en todos los Estados miembros. Hay que garantizar que las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal se apliquen de forma coherente y homogénea en toda la Unión. La protección efectiva de los datos personales en la Unión no solo requiere la consolidación de los derechos de los interesados y de las obligaciones de quienes tratan dichos datos personales, sino también poderes equivalentes para supervisar y garantizar el cumplimiento de las normas relativas a la protección de los datos personales en los Estados miembros. |
Enmienda 4 Propuesta de Directiva Considerando 8 | |
Texto de la Comisión |
Enmienda |
(8) El artículo 16, apartado 2, del Tratado de Funcionamiento de la Unión Europea dispone que el Parlamento Europeo y el Consejo deben establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos de carácter personal y las normas relativas a la libre circulación de estos datos. |
(8) El artículo 16, apartado 2, del Tratado de Funcionamiento de la Unión Europea dispone que el Parlamento Europeo y el Consejo deben establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos de carácter personal y las normas relativas a la libre circulación de sus datos de carácter personal y su intimidad. |
Enmienda 5 Propuesta de Directiva Considerando 11 | |
Texto de la Comisión |
Enmienda |
(11) Por lo tanto, una nueva Directiva debe responder a la naturaleza específica de estos ámbitos y establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales. |
(11) Por lo tanto, una Directiva específica debe responder a la naturaleza específica de estos ámbitos y establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales. |
Enmienda 6 Propuesta de Directiva Considerando 15 | |
Texto de la Comisión |
Enmienda |
(15) La protección de las personas físicas debe ser tecnológicamente neutra y no debe depender de las técnicas utilizadas, pues de lo contrario daría lugar a graves riesgos de elusión. La protección de las personas debe aplicarse al tratamiento automatizado de datos personales, así como a su tratamiento manual, si los datos están contenidos o destinados a ser incluidos en un fichero. Los ficheros o conjuntos de ficheros y sus carpetas que no estén estructurados con arreglo a criterios específicos no están comprendidos en el ámbito de aplicación de la presente Directiva. La presente Directiva no debe aplicarse al tratamiento de datos personales efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión, en particular en lo que respecta a la seguridad nacional, o a los datos tratados por instituciones, órganos y organismos de la Unión, tales como Europol o Eurojust. |
(15) La protección de las personas físicas debe ser tecnológicamente neutra y no debe depender de las técnicas utilizadas, pues de lo contrario daría lugar a graves riesgos de elusión. La protección de las personas debe aplicarse al tratamiento automatizado de datos personales, así como a su tratamiento manual, si los datos están contenidos o destinados a ser incluidos en un fichero. Los ficheros o conjuntos de ficheros y sus carpetas que no estén estructurados con arreglo a criterios específicos no están comprendidos en el ámbito de aplicación de la presente Directiva. La presente Directiva no debe aplicarse al tratamiento de datos personales efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión. El Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo y los instrumentos jurídicos específicos aplicables a los órganos, los organismos y las agencias de la Unión deben adaptarse a la presente Directiva y aplicarse de conformidad con la misma. |
|
___________________ |
|
1 Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1). |
Enmienda 7 Propuesta de Directiva Considerando 16 | |
Texto de la Comisión |
Enmienda |
(16) Los principios de protección deben aplicarse a toda información relativa a una persona identificada o identificable. Para determinar si una persona física es identificable deben tenerse en cuenta todos los medios que razonablemente pudiera utilizar el responsable del tratamiento o cualquier otro individuo para identificar a dicha persona. Los principios de protección de datos no deben aplicarse a los datos convertidos en anónimos de forma que el interesado a quien se refieren ya no resulte identificable. |
(16) Los principios de protección deben aplicarse a toda información relativa a una persona identificada o identificable. Para determinar si una persona física es identificable deben tenerse en cuenta todos los medios que razonablemente pudiera utilizar el responsable del tratamiento o cualquier otro individuo para identificar o seleccionar a dicha persona. Los principios de protección de datos no deben aplicarse a los datos convertidos en anónimos de forma que el interesado a quien se refieren ya no resulte identificable. La presente Directiva no debe aplicarse a los datos anónimos, es decir, los datos que no puedan ser relacionados, directa o indirectamente, en sí solos o en combinación con datos asociados, con una persona física. Habida cuenta de la importancia que ha adquirido en el marco de la sociedad de la información el desarrollo de las técnicas para captar, transmitir, manejar, registrar, conservar o comunicar datos de localización de personas físicas, que pueden utilizarse para fines diversos, por ejemplo a efectos de vigilancia o para la elaboración de perfiles personales, la presente Directiva debe aplicarse también al tratamiento de ese tipo de datos personales. |
Enmienda 8 Propuesta de Directiva Considerando 16 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
(16 bis) Todo tratamiento de datos de carácter personal debe efectuarse de forma lícita, justa y transparente en relación con las personas interesadas. En particular, los fines específicos del tratamiento deben ser legítimos y explícitos, y deben determinarse en el momento de su recopilación. Los datos deben ser adecuados, pertinentes y estar restringidos al mínimo necesario para los fines para los que se recopilan. Eso exige, en particular, que se limiten al mínimo imprescindible los datos recopilados y el periodo de conservación de los mismos. Los datos de carácter personal solo deben tratarse si la finalidad del tratamiento no pudiera lograrse por otros medios. Deben tomarse todas las precauciones útiles para asegurar que se rectifiquen o supriman datos de carácter personal que resulten ser inexactos. Para garantizar que los datos no se conserven por más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica. |
Enmienda 9 Propuesta de Directiva Considerando 18 | |
Texto de la Comisión |
Enmienda |
(18) Todo tratamiento de datos de carácter personal debe efectuarse de forma lícita, justa y transparente en relación con las personas afectadas. En particular, los fines específicos para los que se hayan tratado los datos deben ser explícitos. |
suprimido |
Enmienda 10 Propuesta de Directiva Considerando 19 | |
Texto de la Comisión |
Enmienda |
(19) Para la prevención, investigación y enjuiciamiento de infracciones penales, es necesario que las autoridades competentes conserven y traten datos personales, recogidos en el contexto de la prevención, investigación, detección o enjuiciamiento de infracciones penales, más allá de ese contexto específico, con el fin de adquirir un mejor conocimiento de las tendencias y fenómenos delictivos, recabar información sobre las redes de delincuencia organizada, y establecer vínculos entre las distintas infracciones detectadas. |
suprimido |
Enmienda 11 Propuesta de Directiva Considerando 20 | |
Texto de la Comisión |
Enmienda |
(20) Los datos personales no deben ser tratados para fines incompatibles con la finalidad para la que fueron recogidos. Los datos deben ser adecuados, pertinentes y no excesivos para los fines para los que se traten. Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos. |
suprimido |
Enmienda 12 Propuesta de Directiva Considerando 20 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
(20 bis) El mero hecho de que dos fines se refieran ambos a la prevención, investigación, detección o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales no necesariamente significa que sean compatibles. Sin embargo, hay casos en que el tratamiento ulterior con fines incompatibles debería ser posible, en caso de necesidad, para cumplir una obligación legal del responsable del tratamiento, a fin de proteger los intereses vitales de la persona a que se refieren los datos o de otra persona, o a fin de prevenir una amenaza inmediata y grave para la seguridad pública. Por ello, los Estados miembros han de poder adoptar leyes nacionales que permitan tales derogaciones en la medida de lo estrictamente necesario. Dichas leyes nacionales deben prever salvaguardias adecuadas. |
Enmienda 13 Propuesta de Directiva Considerando 22 | |
Texto de la Comisión |
Enmienda |
(22) En la interpretación y aplicación de los principios generales relativos al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, se han de tener en cuenta las características específicas del sector, incluidos los objetivos específicos perseguidos. |
suprimido |
Enmienda 14 Propuesta de Directiva Considerando 23 | |
Texto de la Comisión |
Enmienda |
(23) Es inherente al tratamiento de datos personales en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial que se traten datos personales relativos a diferentes categorías de interesados. Por tanto, en la medida de lo posible, se debe distinguir claramente entre los datos personales de diferentes categorías de interesados tales como los sospechosos, los condenados por una infracción penal, las víctimas y terceros, como los testigos, las personas que posean información o contactos útiles y los cómplices de sospechosos y delincuentes condenados. |
(23) Es inherente al tratamiento de datos personales en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial que se traten datos personales relativos a diferentes categorías de interesados. Por tanto, en la medida de lo posible, se debe distinguir claramente entre los datos personales de diferentes categorías de interesados tales como los sospechosos, los condenados por una infracción penal, las víctimas y terceros, como los testigos, las personas que posean información o contactos útiles y los cómplices de sospechosos y delincuentes condenados. Los Estados miembros deben establecer normas específicas por lo que respecta a las consecuencias de esta categorización, teniendo en cuenta los diferentes fines de la recogida de los datos y disponiendo salvaguardias específicas para las personas que no sean sospechosas de haber cometido o no hayan sido condenadas por cometer una infracción penal. |
Enmienda 15 Propuesta de Directiva Considerando 25 | |
Texto de la Comisión |
Enmienda |
(25) Para que sea lícito, el tratamiento de datos personales debe ser necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, para el cumplimiento de una misión de interés público por una autoridad competente prevista por ley, o con el fin de proteger los intereses vitales del interesado o de otra persona, o bien para la prevención de una amenaza inminente y grave para la seguridad pública. |
(25) Para que sea lícito, el tratamiento de datos personales solo debe permitirse cuando sea necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, para el cumplimiento de una misión de interés público por una autoridad competente prevista por la legislación de la UE o del Estado miembro, la cual debe especificar en disposiciones explícitas y detalladas, como mínimo, los objetivos, los datos personales, los fines y medios específicos, así como designar o facultar a la designación del responsable del tratamiento, los procedimientos a seguir, el uso y los límites del margen de apreciación otorgado a las autoridades competentes con respecto a las actividades de tratamiento.
|
Enmienda 16 Propuesta de Directiva Considerando 25 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
(25 bis) Los datos personales no deben ser tratados para fines incompatibles con la finalidad para la que fueron recogidos. Todo tratamiento ulterior por las autoridades competentes a los efectos contemplados por la presente Directiva que no responda a la finalidad primera con que se recopilaron solo debe autorizarse en casos específicos, cuando el tratamiento sea necesario para el cumplimiento de una obligación jurídica, en virtud de la legislación de la UE o nacional a la que esté sujeto el responsable del tratamiento, o para proteger los intereses vitales del interesado o de otra persona o evitar una amenaza inminente y grave para la seguridad pública. El hecho de que se traten datos a efectos policiales no implica necesariamente que dicho objetivo sea compatible con el propósito inicial de su recopilación. El concepto de uso compatible debe interpretarse de manera restrictiva. |
Enmienda 17 Propuesta de Directiva Considerando 25 ter (nuevo) | |
Texto de la Comisión |
Enmienda |
|
(25 ter) Se debe poner fin a tratamientos de datos personales que infrinjan disposiciones nacionales adoptadas de conformidad con la presente Directiva. |
Enmienda 18 Propuesta de Directiva Considerando 26 | |
Texto de la Comisión |
Enmienda |
(26) Protección específica merecen los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos fundamentales o la intimidad, incluidos los datos genéticos. Tales datos no deben ser tratados, a no ser que el tratamiento esté específicamente autorizado por una ley que contemple medidas adecuadas para proteger los intereses legítimos del interesado, sea necesario para salvaguardar el interés vital del interesado o de otra persona; o se refiera a datos que el interesado ha hecho manifiestamente públicos. |
(26) Protección específica merecen los datos personales que, por su naturaleza, son particularmente sensibles y vulnerables en relación con los derechos fundamentales o la intimidad. Tales datos no deben ser tratados, a no ser que el tratamiento sea específicamente necesario para la realización de una tarea de interés público en virtud de legislación de la Unión o nacional que contemple medidas adecuadas para proteger los derechos fundamentales y los intereses legítimos del interesado, sea necesario para salvaguardar el interés vital del interesado o de otra persona, o se refiera a datos que el interesado ha hecho manifiestamente públicos. Los datos personales de carácter sensible solo deben ser tratados cuando complementen a otros datos personales que ya se hayan tratado con fines policiales. Toda excepción a la prohibición de tratar datos sensibles se ha de interpretar de modo restrictivo y no ha de dar lugar al tratamiento frecuente, en masa y estructural de los datos personales de carácter sensible. |
Enmienda 19 Propuesta de Directiva Considerando 26 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
(26 bis) El tratamiento de datos genéticos solo debe estar permitido cuando, en el transcurso de una investigación penal o un procedimiento judicial, se compruebe la existencia de un nexo genético. Los datos genéticos no deben guardarse más que por el tiempo estrictamente necesario para los fines de tales investigaciones y procedimientos, sin perjuicio de la posibilidad de que los Estados miembros prevean periodos de conservación más largos en las condiciones fijadas por la presente Directiva. |
Enmienda 20 Propuesta de Directiva Considerando 27 | |
Texto de la Comisión |
Enmienda |
(27) Toda persona física debe tener derecho a no ser objeto de una medida que se base únicamente en el tratamiento automático si produce un efecto jurídico desfavorable para él, salvo que esté autorizada por ley y sujeta a medidas adecuadas para salvaguardar los intereses legítimos del interesado. |
(27) Toda persona física debe tener derecho a no ser objeto de una medida que se base en la elaboración parcial o total de perfiles por medios de tratamiento automatizado. Todo tratamiento automatizado susceptible de causar un efecto jurídico para dicha persona o de afectarla seriamente debe estar prohibido, salvo que esté autorizado por ley y sujeto a medidas adecuadas para salvaguardar los derechos fundamentales y los intereses legítimos del interesado, incluido el derecho a que se le facilite información significativa sobre la lógica empleada en la elaboración de perfiles. Dicho tratamiento en ningún caso ha de contener o generar discriminaciones sobre la base de categorías especiales de datos. |
Enmienda 21 Propuesta de Directiva Considerando 28 | |
Texto de la Comisión |
Enmienda |
(28) Para poder ejercer sus derechos, cualquier información que se facilite al interesado debe ser fácilmente accesible y fácil de entender, utilizando un lenguaje sencillo y claro. |
(28) Para poder ejercer sus derechos, cualquier información que se facilite al interesado debe ser fácilmente accesible y fácil de entender, utilizando un lenguaje sencillo y claro. Esta información debe adaptarse a las necesidades del interesado, en particular cuando se dirija de forma específica a un niño. |
Enmienda 22 Propuesta de Directiva Considerando 29 | |
Texto de la Comisión |
Enmienda |
(29) Deben arbitrarse fórmulas para facilitar al interesado el ejercicio de sus derechos establecidos en la presente Directiva, incluidos los mecanismos para solicitar de forma gratuita, entre otras cosas, el acceso a los datos, su rectificación y supresión. El responsable del tratamiento debe estar obligado a responder a las solicitudes del interesado sin demora injustificada. |
(29) Deben arbitrarse fórmulas para facilitar al interesado el ejercicio de sus derechos establecidos en la presente Directiva, incluidos los mecanismos para solicitar de forma gratuita, entre otras cosas, el acceso a los datos, su rectificación y supresión. El responsable del tratamiento debe estar obligado a responder a las solicitudes del interesado sin demora y en un plazo de un mes a partir de la recepción de la solicitud. Cuando los datos personales se sometan a tratamiento de forma automatizada, el responsable del tratamiento debe proporcionar medios para que las solicitudes se hagan por vía electrónica. |
Enmienda 23 Propuesta de Directiva Considerando 30 | |
Texto de la Comisión |
Enmienda |
(30) El principio de tratamiento leal exige que el interesado sea informado, entre otras cosas, de la existencia de la operación de tratamiento y sus fines, del plazo de conservación de los datos, de la existencia del derecho de acceso, rectificación o supresión y del derecho a presentar una reclamación. Cuando los datos se obtengan de los interesados, estos también deben ser informados de si están obligados a facilitarlos y de las consecuencias, en caso de que no lo hicieran. |
(30) El principio de tratamiento leal y transparente exige que el interesado sea informado, entre otras cosas, de la existencia de la operación de tratamiento y sus fines, de su fundamento jurídico, del plazo de conservación de los datos, de la existencia del derecho de acceso, rectificación o supresión y del derecho a presentar una reclamación. Además, se ha de informar al interesado en caso de que se elabore un perfil y sobre sus consecuencias previstas. Cuando los datos se obtengan de los interesados, estos también deben ser informados de si están obligados a facilitarlos y de las consecuencias, en caso de que no lo hicieran. |
Enmienda 24 Propuesta de Directiva Considerando 32 | |
Texto de la Comisión |
Enmienda |
(32) Toda persona debe tener el derecho de acceder a los datos recogidos que le conciernan y a ejercer este derecho con facilidad, con el fin de conocer y verificar la licitud del tratamiento. Todo interesado debe, por tanto, tener el derecho de conocer y de que se le comuniquen, en particular, los fines para los que se tratan los datos, el plazo de su conservación, los destinatarios que los reciben, incluso en terceros países. Se debe autorizar a los interesados a recibir una copia de sus datos personales que estén siendo tratados. |
(32) Toda persona debe tener el derecho de acceder a los datos recogidos que le conciernan y a ejercer este derecho con facilidad, con el fin de conocer y verificar la licitud del tratamiento. Todo interesado debe, por tanto, tener el derecho de conocer y de que se le comuniquen, en particular, los fines para los que se tratan los datos, su fundamento jurídico, el plazo de su conservación, los destinatarios que los reciben, incluso en terceros países, información inteligible sobre la lógica empleada en el tratamiento automático y la importancia y las consecuencias previstas del mismo, si procede, así como el derecho a presentar una reclamación ante la autoridad de control y a conocer las señas de la misma. Se debe autorizar a los interesados a recibir una copia de sus datos personales que estén siendo tratados. |
Enmienda 25 Propuesta de Directiva Considerando 33 | |
Texto de la Comisión |
Enmienda |
(33) Debe permitirse a los Estados miembros adoptar medidas legislativas que retrasen, restrinjan u omitan la información de los interesados o el acceso a sus datos personales en la medida y siempre que dicha restricción total o parcial constituya una medida necesaria y proporcionada en una sociedad democrática, teniendo debidamente en cuenta los intereses legítimos de la persona de que se trate, con el fin de no entorpecer las indagaciones, investigaciones o procedimientos oficiales o jurídicos, de no perjudicar la prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, de proteger la seguridad pública o la seguridad nacional o de proteger al interesado o los derechos y libertades de otras personas. |
(33) Debe permitirse a los Estados miembros adoptar medidas legislativas que retrasen o restrinjan la información de los interesados o el acceso a sus datos personales en la medida y siempre que dicha restricción total o parcial constituya una medida necesaria y proporcionada en una sociedad democrática, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos de la persona de que se trate, con el fin de no entorpecer las indagaciones, investigaciones o procedimientos oficiales o jurídicos, de no perjudicar la prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, de proteger la seguridad pública o la seguridad nacional o de proteger al interesado o los derechos y libertades de otras personas. El responsable del tratamiento debe evaluar mediante un examen concreto e individual de cada caso si procede aplicar una restricción total o parcial al derecho de acceso. |
Enmienda 26 Propuesta de Directiva Considerando 34 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
(34 bis) De conformidad con lo establecido por la jurisprudencia del Tribunal de Justicia de la Unión Europea y el Tribunal Europeo de Derechos Humanos, toda restricción de los derechos del interesado debe ser conforme con la Carta de los Derechos Fundamentales de la Unión Europea y el Convenio Europeo de Derechos Humanos, y respetar, en particular, el contenido esencial de los derechos y libertades. |
Enmienda 27 Propuesta de Directiva Considerando 35 | |
Texto de la Comisión |
Enmienda |
(35) Cuando los Estados miembros hayan adoptado medidas legislativas que restrinjan, total o parcialmente, el derecho de acceso, el interesado debe tener derecho a solicitar que la autoridad nacional de control competente verifique la licitud del tratamiento. El interesado debe ser informado de este derecho. Cuando el acceso sea ejercido por la autoridad de control por cuenta del interesado, este debe ser informado por la autoridad de control, como mínimo, de que se han llevado a cabo las verificaciones necesarias y del resultado en cuanto a la licitud del tratamiento en cuestión. |
(35) Cuando los Estados miembros hayan adoptado medidas legislativas que restrinjan, total o parcialmente, el derecho de acceso, el interesado debe tener derecho a solicitar que la autoridad nacional de control competente verifique la licitud del tratamiento. El interesado debe ser informado de este derecho. Cuando el acceso sea ejercido por la autoridad de control por cuenta del interesado, este debe ser informado por la autoridad de control, como mínimo, de que se han llevado a cabo las verificaciones necesarias y del resultado en cuanto a la licitud del tratamiento en cuestión. La autoridad de control también debe informar al interesado de su derecho a interponer medios legales. |
Enmienda 28 Propuesta de Directiva Considerando 36 | |
Texto de la Comisión |
Enmienda |
(36) Toda persona debe tener derecho a que se rectifiquen los datos personales inexactos que le conciernan y a que se supriman, cuando el tratamiento de estos datos no cumpla los principios esenciales establecidos en la presente Directiva. Cuando los datos personales se sometan a tratamiento en el transcurso de investigaciones y procedimientos penales, los derechos de información, acceso, rectificación, supresión y restricción del tratamiento pueden ejercerse de conformidad con las normas nacionales relativas a los procedimientos judiciales. |
(36) Toda persona debe tener derecho a que se rectifiquen los datos personales inexactos o tratados de forma ilegal que le conciernan y a que se supriman, cuando el tratamiento de estos datos no cumpla las disposiciones establecidas en la presente Directiva. Debe notificarse a los destinatarios a los que se hayan comunicado los datos o a los terceros de quienes proceden los datos inexactos que se ha procedido a rectificar, completar o suprimir dichos datos. Los responsables del tratamiento deben abstenerse asimismo de divulgar ulteriormente dichos datos. Cuando los datos personales se sometan a tratamiento en el transcurso de investigaciones y procedimientos penales, los derechos de información, acceso, rectificación, supresión y restricción del tratamiento pueden ejercerse de conformidad con las normas nacionales relativas a los procedimientos judiciales. |
Enmienda 29 Propuesta de Directiva Considerando 37 | |
Texto de la Comisión |
Enmienda |
(37) Se debe establecer la responsabilidad general del responsable por cualquier tratamiento de datos personales realizado por él mismo o en su nombre. En particular, el responsable del tratamiento debe garantizar que las operaciones de tratamiento se ajustan a las normas adoptadas con arreglo a la presente Directiva. |
(37) Se debe establecer la responsabilidad general del responsable por cualquier tratamiento de datos personales realizado por él mismo o en su nombre. En particular, el responsable del tratamiento ha de garantizar y debe estar obligado a poder demostrar que cada operación de tratamiento se ajusta a las normas adoptadas con arreglo a la presente Directiva. |
Enmienda 30 Propuesta de Directiva Considerando 39 | |
Texto de la Comisión |
Enmienda |
(39) La protección de los derechos y libertades de los interesados, así como la responsabilidad de los responsables y encargados del tratamiento, requieren una atribución clara de las responsabilidades con arreglo a la presente Directiva, incluidos los casos en que un responsable determine los fines, condiciones y medios del tratamiento de forma conjunta con otros responsables del tratamiento o cuando el tratamiento se efectúe por cuenta de un responsable. |
(39) La protección de los derechos y libertades de los interesados, así como la responsabilidad de los responsables y encargados del tratamiento, requieren una atribución clara de las responsabilidades con arreglo a la presente Directiva, incluidos los casos en que un responsable determine los fines, condiciones y medios del tratamiento de forma conjunta con otros responsables del tratamiento o cuando el tratamiento se efectúe por cuenta de un responsable. El interesado debe tener la posibilidad de ejercer sus derechos de conformidad con lo establecido por la presente Directiva frente a cada uno de los corresponsables del tratamiento. |
Enmienda 31 Propuesta de Directiva Considerando 40 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
(40 bis) Toda operación de tratamiento de datos personales debe registrarse y documentarse a efectos de la verificación de la licitud del tratamiento y en interés del autocontrol y de las garantías de integridad y seguridad de los datos. Debe concederse acceso a dicho registro a la autoridad de control cuando lo solicite, a efectos del control del cumplimiento de las normas establecidas por la presente Directiva. |
Enmienda 32 Propuesta de Directiva Considerando 40 ter (nuevo) | |
Texto de la Comisión |
Enmienda |
|
(40 ter) El responsable o encargado del tratamiento debe efectuar una evaluación del impacto sobre la protección de datos cuando exista la probabilidad de que, por su naturaleza, alcance o fines, las operaciones de tratamiento entrañen riesgos específicos para los derechos y las libertades de los interesados, debiéndose incluir, en particular, las medidas, las garantías y los mecanismos previstos para garantizar la protección de los datos personales y demostrar la conformidad con la presente Directiva. Las evaluaciones de impacto deben referirse a los sistemas y procesos pertinentes de las operaciones de tratamiento de datos personales, pero no a casos concretos. |
Enmienda 33 Propuesta de Directiva Considerando 41 | |
Texto de la Comisión |
Enmienda |
(41) Con el fin de garantizar la protección efectiva de los derechos y libertades de los interesados mediante acciones preventivas, el responsable o encargado del tratamiento deben consultar, en determinados casos, a la autoridad de control antes del tratamiento. |
(41) Con el fin de garantizar la protección efectiva de los derechos y libertades de los interesados mediante acciones preventivas, el responsable o encargado del tratamiento deben consultar, en determinados casos, a la autoridad de control antes del tratamiento. Además, cuando una evaluación del impacto sobre la protección de datos indique que es probable que las operaciones de tratamiento presenten un elevado riesgo concreto para los derechos y las libertades de los interesados, la autoridad de control debe estar en condiciones de impedir, antes de que se inicie, todo tratamiento que conlleve riesgos no acordes con lo dispuesto por la presente Directiva, así como de formular propuestas para remediar la situación. Dicha consulta puede también realizarse durante la elaboración de una norma del parlamento nacional o de una disposición basada en dicha norma legislativa que defina la naturaleza del tratamiento y establezca las garantías adecuadas. |
Enmienda 34 Propuesta de Directiva Considerando 41 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
(41 bis) Con objeto de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en la presente Directiva, el responsable o el encargado del tratamiento deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos. Dichas medidas deben garantizar un nivel de seguridad adecuado, teniendo en cuenta los conocimientos técnicos existentes y el coste de su aplicación en relación con los riesgos y la naturaleza de los datos personales que deban protegerse. A la hora de establecer normas técnicas y medidas organizativas destinadas a garantizar la seguridad del tratamiento, se ha de fomentar la neutralidad tecnológica. |
Enmienda 35 Propuesta de Directiva Considerando 42 | |
Texto de la Comisión |
Enmienda |
(42) Si no se toman medidas de manera rápida y adecuada, las violaciones de los datos personales pueden entrañar un perjuicio, incluso para la reputación de la persona en cuestión. Por consiguiente, tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violación, debe notificarla a la autoridad nacional competente. Las personas físicas cuyos datos personales o intimidad puedan verse afectados negativamente por dicha violación deben ser informadas de ello sin demora injustificada para que puedan adoptar las cautelas necesarias. Se debe considerar que una violación afecta negativamente a los datos personales o la intimidad de los interesados cuando conlleva, por ejemplo, fraude o usurpación de identidad, daños físicos, humillación grave o perjuicio para su reputación en relación con el tratamiento de datos personales. |
(42) Si no se toman medidas de manera rápida y adecuada, las violaciones de los datos personales pueden entrañar una pérdida económica sustancial y un serio perjuicio social para la persona en cuestión, incluida la posibilidad de que un tercero usurpe su identidad. Por consiguiente, tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violación, debe notificarla a la autoridad nacional competente. Las personas físicas cuyos datos personales o intimidad puedan verse afectados negativamente por dicha violación deben ser informadas de ello sin demora para que puedan adoptar las cautelas necesarias. Se debe considerar que una violación afecta negativamente a los datos personales o la intimidad de los interesados cuando conlleva, por ejemplo, fraude o usurpación de identidad, daños físicos, humillación grave o perjuicio para su reputación en relación con el tratamiento de datos personales. La notificación debe incluir información sobre las medidas adoptadas por el proveedor para atajar la violación, así como recomendaciones para el abonado o particular afectado. Las notificaciones a los interesados deben realizarse tan pronto como sea factible, en estrecha cooperación con la autoridad de control y siguiendo las directrices de esta. |
Enmienda 36 Propuesta de Directiva Considerando 44 | |
Texto de la Comisión |
Enmienda |
(44) El responsable o el encargado del tratamiento deben designar a una persona que les ayude a supervisar el cumplimiento de las disposiciones adoptadas con arreglo a la presente Directiva. Varias entidades de la autoridad competente pueden designar conjuntamente a un delegado de protección de datos. Los delegados de protección de datos deben estar en condiciones de desempeñar sus funciones y tareas con independencia y eficacia. |
(44) El responsable o el encargado del tratamiento deben designar a una persona que les ayude a supervisar y demostrar el cumplimiento de las disposiciones adoptadas con arreglo a la presente Directiva. Cuando varias autoridades competentes actúen bajo la supervisión de una autoridad central, al menos esta autoridad central debe designar a un delegado de protección de datos. Los delegados de protección de datos deben estar en condiciones de desempeñar sus funciones y tareas con independencia y eficacia, en particular, mediante el establecimiento de normas que prevengan conflictos de intereses con otras tareas llevadas a cabo por el delegado de protección de datos. |
Enmienda 37 Propuesta de Directiva Considerando 45 | |
Texto de la Comisión |
Enmienda |
(45) Los Estados miembros deben velar por que una transferencia a un tercer país solo se lleve a cabo si es necesaria para la prevención, investigación, detección y enjuiciamiento de infracciones penales o la ejecución de sanciones penales, y si el responsable del tratamiento en el tercer país u organización internacional es una autoridad competente a tenor de la presente Directiva. Puede llevarse a cabo una transferencia en los casos en que la Comisión haya decidido que el tercer país o la organización internacional de que se trate garantizan un nivel adecuado de protección, o cuando se hayan ofrecido unas garantías apropiadas. |
(45) Los Estados miembros deben velar por que una transferencia a un tercer país solo se lleve a cabo si dicha transferencia específica es necesaria para la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, y si el responsable del tratamiento en el tercer país u organización internacional es una autoridad pública competente a tenor de la presente Directiva. Puede llevarse a cabo una transferencia en los casos en que la Comisión haya decidido que el tercer país o la organización internacional de que se trate garantizan un nivel adecuado de protección, o cuando se hayan ofrecido unas garantías apropiadas, llegado el caso, en virtud de un instrumento jurídicamente vinculante. Los datos transferidos a las autoridades públicas competentes en terceros países no se han de tratar ulteriormente con fines diferentes de los que motivaron su transferencia. |
Enmienda 38 Propuesta de Directiva Considerando 45 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
(45 bis) La transferencia ulterior por parte de las autoridades competentes en terceros países o de organizaciones internacionales a las que se hayan transferido datos personales solo se ha de permitir si dicha transferencia ulterior es necesaria para el mismo fin específico que el de la transferencia original y si el segundo destinatario también es una autoridad pública competente. Las transferencias ulteriores no se deben permitir con fines policiales de carácter general. La autoridad competente que llevó a cabo la transferencia original debe haber dado su conformidad a la transferencia ulterior. |
Enmienda 39 Propuesta de Directiva Considerando 48 | |
Texto de la Comisión |
Enmienda |
(48) La Comisión también debe poder reconocer que un tercer país, un territorio, un sector del tratamiento en un tercer país, o una organización internacional no ofrece un nivel adecuado de protección de datos. En consecuencia, debe prohibirse la transferencia de datos personales a dicho tercer país, salvo cuando se base en un acuerdo internacional, unas garantías apropiadas o una excepción. Deben establecerse los procedimientos para celebrar consultas entre la Comisión y dichos terceros países u organizaciones internacionales. Sin embargo, tal decisión de la Comisión se entenderá sin perjuicio de la posibilidad de llevar a cabo transferencias sobre la base de garantías apropiadas o de una excepción establecida en la Directiva. |
(48) La Comisión también debe poder reconocer que un tercer país, un territorio, un sector del tratamiento en un tercer país, o una organización internacional no ofrece un nivel adecuado de protección de datos. En consecuencia, debe prohibirse la transferencia de datos personales a dicho tercer país, salvo cuando se base en un acuerdo internacional, unas garantías apropiadas o una excepción. Deben establecerse los procedimientos para celebrar consultas entre la Comisión y dichos terceros países u organizaciones internacionales. Sin embargo, tal decisión de la Comisión se entenderá sin perjuicio de la posibilidad de llevar a cabo transferencias sobre la base de garantías apropiadas en virtud de un instrumento jurídicamente vinculante, o de una excepción establecida en la Directiva. |
Enmienda 40 Propuesta de Directiva Considerando 49 | |
Texto de la Comisión |
Enmienda |
(49) Las transferencias no basadas en dicha decisión de adecuación solo deben permitirse cuando se hayan invocado las garantías apropiadas en un instrumento jurídicamente vinculante que garantice la protección de los datos personales o cuando el responsable o encargado del tratamiento haya evaluado todas las circunstancias que rodean la operación de transferencia de datos o el conjunto de operaciones de transferencia de datos y, basándose en esta evaluación, considere que existen las garantías apropiadas con respecto a la protección de los datos personales. En los casos en que no existan razones para autorizar una transferencia, deben permitirse excepciones, si fuera necesario, para proteger el interés vital del interesado o de otra persona, o para proteger intereses legítimos del interesado en caso de que la legislación del Estado miembro que transfiere los datos personales así lo disponga, o cuando sea indispensable para prevenir una amenaza inminente y grave para la seguridad pública de un Estado miembro o de un tercer país, o en determinados casos a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, o en casos específicos para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial. |
(49) Las transferencias no basadas en dicha decisión de adecuación solo deben permitirse cuando se hayan invocado las garantías apropiadas en un instrumento jurídicamente vinculante que garantice la protección de los datos personales. |
Enmienda 41 Propuesta de Directiva Considerando 49 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
(49 bis) En los casos en que no existan razones para autorizar una transferencia, deben permitirse excepciones, si fuera necesario, para proteger el interés vital del interesado o de otra persona, o para proteger intereses legítimos del interesado en caso de que la legislación del Estado miembro que transfiere los datos personales así lo disponga, o cuando sea indispensable para prevenir una amenaza inminente y grave para la seguridad pública de un Estado miembro o de un tercer país, o en determinados casos a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, o en casos específicos para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial. Dichas excepciones se deben interpretar de forma restrictiva y no permitir la transferencia frecuente, en masa y estructural de datos personales ni la transferencia indiscriminada de datos, que deberían estar limitados a los datos estrictamente necesarios. Además, la decisión sobre una transferencia de datos debe adoptarla una persona debidamente autorizada, y la transferencia debe estar documentada y ponerse, previa solicitud, a disposición de la autoridad de control con objeto de controlar la pertinencia de la misma. |
(Parte del considerando 49 de la propuesta de la Comisión ha pasado a ser el considerando 49 bis en la enmienda del Parlamento) | |
Enmienda 42 Propuesta de Directiva Considerando 51 | |
Texto de la Comisión |
Enmienda |
(51) La creación en los Estados miembros de autoridades de control que ejerzan sus funciones con plena independencia constituye un elemento esencial de la protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal. Las autoridades de control deben supervisar la aplicación de las disposiciones adoptadas en aplicación de la presente Directiva y contribuir a su aplicación coherente en toda la Unión, con el fin de proteger a las personas físicas en relación con el tratamiento de sus datos de carácter personal. Para ello, las autoridades de supervisión deben cooperar entre sí y con la Comisión. |
(51) La creación en los Estados miembros de autoridades de control que ejerzan sus funciones con plena independencia constituye un elemento esencial de la protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal. Las autoridades de control deben supervisar la aplicación de las disposiciones adoptadas en aplicación de la presente Directiva y contribuir a su aplicación coherente en toda la Unión, con el fin de proteger a las personas físicas en relación con el tratamiento de sus datos de carácter personal. Para ello, las autoridades de supervisión deben cooperar entre sí. |
Enmienda 43 Propuesta de Directiva Considerando 53 | |
Texto de la Comisión |
Enmienda |
(53) Se debe autorizar a los Estados miembros a crear más de una autoridad de control con objeto de reflejar su estructura constitucional, organizativa y administrativa. Todas las autoridades de control deben estar dotadas de los recursos financieros y humanos adecuados, los locales y las infraestructuras que sean necesarios para la realización eficaz de sus tareas, en particular las relacionadas con la asistencia recíproca y la cooperación con otras autoridades de control de la Unión. |
(53) Se debe autorizar a los Estados miembros a crear más de una autoridad de control con objeto de reflejar su estructura constitucional, organizativa y administrativa. Todas las autoridades de control deben estar dotadas de los recursos financieros y humanos adecuados, los locales y las infraestructuras, incluidas capacidades técnicas, conocimientos y cualificaciones, que sean necesarios para la realización eficaz de sus tareas, en particular las relacionadas con la asistencia recíproca y la cooperación con otras autoridades de control de la Unión. |
Enmienda 44 Propuesta de Directiva Considerando 54 | |
Texto de la Comisión |
Enmienda |
(54) Las condiciones generales aplicables a los miembros de la autoridad de control deben establecerse por ley en cada Estado miembro, y disponer, entre otras cosas, que dichos miembros deben ser nombrados por el Parlamento o el Gobierno del Estado miembro, e incluir normas sobre su cualificación personal y función. |
(54) Las condiciones generales aplicables a los miembros de la autoridad de control deben establecerse por ley en cada Estado miembro, y disponer, entre otras cosas, que dichos miembros deben ser nombrados por el Parlamento o el Gobierno del Estado miembro, sobre la base de consultas celebradas con los parlamentos, e incluir normas sobre su cualificación personal y función. |
Enmienda 45 Propuesta de Directiva Considerando 56 | |
Texto de la Comisión |
Enmienda |
(56) Para garantizar la supervisión y ejecución coherentes de la presente Directiva en toda la Unión, las autoridades de control deben gozar en todos los Estados miembros de las mismas funciones y poderes efectivos, incluidos los poderes de investigación, de intervención jurídicamente vinculante, de decisión y sanción, especialmente en casos de reclamaciones de personas físicas, y la capacidad de litigar. |
(56) Para garantizar la supervisión y ejecución coherentes de la presente Directiva en toda la Unión, las autoridades de control deben gozar en todos los Estados miembros de las mismas funciones y poderes efectivos, incluidos poderes de investigación efectivos, acceso a todos los datos personales y a toda la información necesaria para el ejercicio de las distintas funciones de control, acceso a cualesquiera locales del responsable o encargado de datos, incluidas las infraestructuras de tratamiento de datos, poderes de intervención jurídicamente vinculante, de decisión y sanción, especialmente en casos de reclamaciones de personas físicas, y capacidad de litigar |
Enmienda 46 Propuesta de Directiva Considerando 58 | |
Texto de la Comisión |
Enmienda |
(58) Las autoridades de control deben ayudarse en el desempeño de sus funciones y facilitarse ayuda mutua, con el fin de garantizar la aplicación y ejecución coherentes de las disposiciones adoptadas con arreglo a la presente Directiva. |
(58) Las autoridades de control deben ayudarse en el desempeño de sus funciones y facilitarse ayuda mutua, con el fin de garantizar la aplicación y ejecución coherentes de las disposiciones adoptadas con arreglo a la presente Directiva. Cada autoridad de control debería estar preparada para participar en operaciones conjuntas. La autoridad de control a la que se curse la solicitud debe estar obligada a responder a la misma en un plazo señalado. |
Enmienda 47 Propuesta de Directiva Considerando 59 | |
Texto de la Comisión |
Enmienda |
(59) El Consejo Europeo de Protección de Datos creado por el Reglamento (UE) nº …./2012 debe contribuir a la aplicación coherente de la presente Directiva en el conjunto de la Unión, entre otras cosas, asesorando a la Comisión y fomentando la cooperación de las autoridades de control en toda la Unión. |
(59) El Consejo Europeo de Protección de Datos creado por el Reglamento (UE) nº …./2013 debe contribuir a la aplicación coherente de la presente Directiva en el conjunto de la Unión, entre otras cosas, asesorando a las instituciones de la Unión, fomentando la cooperación de las autoridades de control en toda la Unión, y deberá emitir un dictamen a la Comisión con respecto a la elaboración de actos delegados y de ejecución basados en la presente Directiva. |
Enmienda 48 Propuesta de Directiva Considerando 61 | |
Texto de la Comisión |
Enmienda |
(61) Toda entidad, organización o asociación que tenga por objeto proteger los derechos e intereses de los interesados en relación con la protección de sus datos y esté constituida con arreglo a la legislación de un Estado miembro debe tener derecho a presentar una reclamación ante la autoridad de control o ejercer el derecho de recurso judicial, en nombre de los interesados, o a presentar, independientemente de la reclamación de un interesado, su propia reclamación, cuando considere que se ha producido una violación de los datos personales. |
(61) Toda entidad, organización o asociación que actúe en interés público y esté constituida con arreglo a la legislación de un Estado miembro debe tener derecho a presentar una reclamación ante la autoridad de control o ejercer el derecho de recurso judicial, en nombre de los interesados, o a presentar, independientemente de la reclamación de un interesado, su propia reclamación, cuando considere que se ha producido una violación de los datos personales. |
Enmienda 49 Propuesta de Directiva Considerando 64 | |
Texto de la Comisión |
Enmienda |
(64) Cualquier perjuicio que pueda sufrir una persona como consecuencia de un tratamiento ilícito debe ser compensado por el responsable o el encargado del tratamiento, que pueden quedar exentos de responsabilidad si demuestran que no son responsables del perjuicio, en particular si acreditan la conducta culposa del interesado o en caso de fuerza mayor. |
(64) Cualquier perjuicio que pueda sufrir una persona, incluida una pérdida no pecuniaria, como consecuencia de un tratamiento ilícito debe ser compensado por el responsable o el encargado del tratamiento, que pueden quedar exentos de responsabilidad si demuestran que no son responsables del perjuicio, en particular si acreditan la conducta culposa del interesado o en caso de fuerza mayor. |
Enmienda 50 Propuesta de Directiva Considerando 65 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
(65 bis) Estará prohibida la comunicación de datos personales a otras autoridades o a particulares en la Unión, a menos que la misma se efectúe en aplicación de una Ley y el destinatario esté establecido en un Estado miembro, y a condición de que ningún interés legítimo concreto del interesado obste a su comunicación, y siempre que la misma responda a la necesidad de que el responsable comunique los datos bien para efectuar una tarea de la que esté encargado legalmente, para prevenir un peligro inmediato y serio para la seguridad pública, o para evitar serios perjuicios para los derechos de las personas. El responsable deberá informar a los destinatarios sobre el objeto del tratamiento, y a la autoridad de control sobre el hecho de la comunicación de datos. También se deberá informar al destinatario de las restricciones aplicables al tratamiento y velar por el respeto de las mismas. |
Enmienda 51 Propuesta de Directiva Considerando 66 | |
Texto de la Comisión |
Enmienda |
(66) Con el fin de cumplir los objetivos de la presente Directiva, a saber, proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales y garantizar el libre intercambio de datos personales por parte de las autoridades competentes en la Unión, debe delegarse a la Comisión la facultad de adoptar actos de conformidad con el artículo 290 del Tratado de Funcionamiento de la Unión Europea. En particular, los actos delegados deben adoptarse con respecto de las notificaciones de una violación de datos personales a la autoridad de control. Es de especial importancia que la Comisión evacue las consultas apropiadas durante sus trabajos preparatorios, con expertos inclusive. La Comisión, al preparar y elaborar actos delegados, debe garantizar una transmisión simultánea, oportuna y apropiada de los documentos pertinentes al Parlamento Europeo y al Consejo. |
(66) Con el fin de cumplir los objetivos de la presente Directiva, a saber, proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales y garantizar el libre intercambio de datos personales por parte de las autoridades competentes en la Unión, debe delegarse a la Comisión la facultad de adoptar actos de conformidad con el artículo 290 del Tratado de Funcionamiento de la Unión Europea. En particular, los actos delegados deben adoptarse para especificar los criterios y las condiciones aplicables a las operaciones de tratamiento que requieran una evaluación del impacto en materia de protección de datos; los criterios y requisitos de una violación de datos y en lo que se refiere al nivel adecuado de protección requerido por un tercer país o territorio o un sector de tratamiento dentro de ese tercer país, o una organización internacional. Es de especial importancia que la Comisión evacue las consultas apropiadas durante sus trabajos preparatorios, con expertos inclusive, en particular con el Consejo Europeo de Protección de Datos. La Comisión, al preparar y elaborar actos delegados, debe garantizar una transmisión simultánea, oportuna y apropiada de los documentos pertinentes al Parlamento Europeo y al Consejo. |
Enmienda 52 Propuesta de Directiva Considerando 67 | |
Texto de la Comisión |
Enmienda |
(67) Con el fin de garantizar unas condiciones uniformes para la aplicación de la presente Directiva, se deben conferir competencias de ejecución a la Comisión por lo que respecta a la documentación por parte de los responsables y encargados del tratamiento; la seguridad del tratamiento, especialmente en lo que se refiere a las normas de cifrado; la notificación de una violación de los datos personales a la autoridad de control, y el nivel adecuado de protección que ofrece un tercer país, un territorio, un sector de tratamiento en dicho tercer país o una organización internacional. Estas competencias deben ejercerse de conformidad con el Reglamento (UE) nº 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión37. |
(67) Con el fin de garantizar unas condiciones uniformes para la aplicación de la presente Directiva, se deben conferir competencias de ejecución a la Comisión por lo que respecta a la seguridad del tratamiento, especialmente en lo que se refiere a las normas de cifrado y la notificación de una violación de los datos personales a la autoridad de control. Estas competencias deben ejercerse de conformidad con el Reglamento (UE) nº 182/2011 del Parlamento Europeo y del Consejo37. |
_____________ |
_______________ |
37 DO L 55 de 28.2.2011, p. 13. |
37 Reglamento (UE) nº 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13). |
Enmienda 53 Propuesta de Directiva Considerando 68 | |
Texto de la Comisión |
Enmienda |
(68) El procedimiento de examen debe emplearse para la adopción de medidas por lo que respecta a la documentación por parte de los responsables y encargados del tratamiento; la seguridad del tratamiento, especialmente en lo que se refiere a las normas de cifrado; la notificación de una violación de los datos personales a la autoridad de control; y el nivel adecuado de protección que ofrece un tercer país, un territorio, un sector de tratamiento en dicho tercer país o una organización internacional, dado que dichos actos son de alcance general. |
(68) El procedimiento de examen debe emplearse para la adopción de medidas por lo que respecta a la seguridad del tratamiento y la notificación de una violación de los datos personales a la autoridad de control, dado que dichos actos son de alcance general. |
Enmienda 54 Propuesta de Directiva Considerando 69 | |
Texto de la Comisión |
Enmienda |
(69) La Comisión debe adoptar actos de ejecución inmediatamente aplicables cuando así lo requieran razones perentorias, en casos debidamente justificados relacionados con un tercer país, un territorio o un sector de tratamiento en ese tercer país, o una organización internacional que no garantice un nivel de protección adecuado. |
suprimido |
Enmienda 55 Propuesta de Directiva Considerando 70 | |
Texto de la Comisión |
Enmienda |
(70) Dado que los objetivos de la presente Directiva, a saber, proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales y garantizar el libre intercambio de datos personales por parte de las autoridades competentes en la Unión, no pueden ser alcanzados de manera suficiente por los Estados miembros y, por consiguiente, debido a la escala o los efectos de la actuación, pueden lograrse mejor a nivel de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad consagrado en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad enunciado en dicho artículo, la presente Directiva no excede de lo necesario para alcanzar dicho objetivo. |
(70) Dado que los objetivos de la presente Directiva, a saber, proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de sus datos personales y garantizar el libre intercambio de datos personales por parte de las autoridades competentes en la Unión, no pueden ser alcanzados de manera suficiente por los Estados miembros sino que más bien, debido a la escala o los efectos de la actuación, pueden lograrse mejor a nivel de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad consagrado en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en dicho artículo, la presente Directiva no excede de lo necesario para alcanzar tales objetivos. Los Estados miembros podrán prever normas más elevadas que las contempladas en la presente Directiva. |
Enmienda 56 Propuesta de Directiva Considerando 72 | |
Texto de la Comisión |
Enmienda |
(72) No deben verse afectadas las disposiciones específicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales en los actos de la Unión que hayan sido adoptados antes de la fecha de adopción de la presente Directiva, que regulan el tratamiento de los datos personales entre los Estados miembros o el acceso de las autoridades designadas de los Estados miembros a los sistemas de información establecidos con arreglo a lo dispuesto en los Tratados. La Comisión debe evaluar la situación con respecto a la relación entre la presente Directiva y los actos adoptados con anterioridad a su fecha de adopción que regulan el tratamiento de los datos personales entre los Estados miembros o el acceso de las autoridades designadas de los Estados miembros a los sistemas de información establecidos con arreglo a lo dispuesto en los Tratados, a fin de evaluar la necesidad de ajustar estas disposiciones específicas a la presente Directiva. |
(72) No deben verse afectadas las disposiciones específicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales en los actos de la Unión que hayan sido adoptados antes de la fecha de adopción de la presente Directiva, que regulan el tratamiento de los datos personales entre los Estados miembros o el acceso de las autoridades designadas de los Estados miembros a los sistemas de información establecidos con arreglo a lo dispuesto en los Tratados. Dado que el artículo 8 de la Carta de los Derechos Fundamentales y el artículo 16 del TFUE conllevan que el derecho fundamental a la protección de los datos personales debe estar garantizado de manera coherente y homogénea en toda la Unión, la Comisión debe evaluar, en el plazo de dos años después de la entrada en vigor de la presente Directiva, la situación con respecto a la relación entre la presente Directiva y los actos adoptados con anterioridad a su fecha de adopción que regulan el tratamiento de los datos personales entre los Estados miembros o el acceso de las autoridades designadas de los Estados miembros a los sistemas de información establecidos con arreglo a lo dispuesto en los Tratados, y presentar propuestas adecuadas con vistas a garantizar unas normas jurídicas coherentes y homogéneas en relación con el tratamiento de los datos personales por las autoridades competentes o el acceso de las autoridades designadas de los Estados miembros a los sistemas de información establecidos de conformidad con los Tratados, así como el tratamiento de los datos personales por las instituciones, órganos, oficinas y agencias de la Unión a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales dentro del ámbito de aplicación de la presente Directiva. |
Enmienda 57 Propuesta de Directiva Considerando 73 | |
Texto de la Comisión |
Enmienda |
(73) Con el fin de garantizar una protección amplia y coherente de los datos personales en la Unión, los acuerdos internacionales celebrados por los Estados miembros con anterioridad a la entrada en vigor de la presente Directiva deben modificarse en consonancia con lo dispuesto en la misma. |
(73) Con el fin de garantizar una protección amplia y coherente de los datos personales en la Unión, los acuerdos internacionales celebrados por la Unión o por los Estados miembros con anterioridad a la entrada en vigor de la presente Directiva deben modificarse en consonancia con lo dispuesto en la misma. |
Enmienda 58 Propuesta de Directiva Considerando 76 | |
Texto de la Comisión |
Enmienda |
(76) De conformidad con lo dispuesto en los artículos 2 y 2bis del Protocolo sobre la posición de Dinamarca, anejo al Tratado de la Unión Europea y al Tratado de Funcionamiento de la Unión Europea, Dinamarca no queda obligada por la presente Directiva ni está sujeta a su aplicación. Dado que la presente Directiva desarrolla el acervo de Schengen en el marco de las disposiciones del título V de la parte tres del Tratado de Funcionamiento de la Unión Europea, de conformidad con el artículo 4 del Protocolo, Dinamarca debe decidir, en un plazo de seis meses a partir de la adopción de la presente Directiva, si lo incorpora a su legislación nacional. |
(76) De conformidad con lo dispuesto en los artículos 2 y 2bis del Protocolo sobre la posición de Dinamarca, anejo al Tratado de la Unión Europea y al Tratado de Funcionamiento de la Unión Europea, Dinamarca no queda obligada por la presente Directiva ni está sujeta a su aplicación. |
Enmienda 59 Propuesta de Directiva Artículo 1 | |
Texto de la Comisión |
Enmienda |
Objeto y objetivos |
Objeto y objetivos |
1. La presente Directiva establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales por parte de las autoridades competentes, con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales. |
1. La presente Directiva establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales por parte de las autoridades competentes, con fines de prevención, investigación, detección y enjuiciamiento de infracciones penales o de ejecución de sanciones penales y las condiciones para la libre circulación de dichos datos personales. |
2. De conformidad con la presente Directiva, los Estados miembros deberán: |
2. De conformidad con la presente Directiva, los Estados miembros deberán: |
a) proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales; y |
a) proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de sus datos personales e intimidad; y |
b) garantizar que el intercambio de datos personales por parte de las autoridades competentes en el interior de la Unión no quede restringido ni prohibido por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales. |
b) garantizar que el intercambio de datos personales por parte de las autoridades competentes en el interior de la Unión no quede restringido ni prohibido por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales. |
|
2 bis. La presente Directiva no excluirá la posibilidad de que los Estados miembros prevean garantías más elevadas que las contempladas en ella. |
Enmienda 60 Propuesta de Directiva Artículo 2 | |
Texto de la Comisión |
Enmienda |
Ámbito de aplicación |
Ámbito de aplicación |
1. La presente Directiva se aplica al tratamiento de datos personales por parte de las autoridades competentes a los fines mencionados en el artículo 1, apartado 1. |
1. La presente Directiva se aplica al tratamiento de datos personales por parte de las autoridades competentes a los fines mencionados en el artículo 1, apartado 1. |
2. La presente Directiva se aplicará al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. |
2. La presente Directiva se aplicará al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. |
3. La presente Directiva no se aplicará al tratamiento de datos personales: |
3. La presente Directiva no se aplicará al tratamiento de datos personales |
a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión, en particular en lo que respecta a la seguridad nacional; |
en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión; |
b) por parte de las instituciones, órganos u organismos de la Unión. |
|
Enmienda 61 Propuesta de Directiva Artículo 3 | |
Texto de la Comisión |
Enmienda |
Definiciones |
Definiciones |
A efectos de la presente Directiva se entenderá por: |
A efectos de la presente Directiva se entenderá por: |
1) «interesado»: toda persona física identificada o que pueda ser identificada, directa o indirectamente, por medios que puedan ser utilizados razonablemente por el responsable del tratamiento o por cualquier otra persona física o jurídica, en particular mediante un número de identificación, datos de localización, identificador en línea o uno o varios elementos específicos de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona; |
|
2) «datos personales»: toda información relativa a un interesado; |
2) "datos personales": toda información sobre una persona física identificada o identificable (el "interesado"); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, unos datos de localización, un identificador único o uno o varios elementos específicos, característicos de la identidad física, fisiológica, genética, psíquica, económica, cultural, social o de género de dicha persona; |
|
"datos seudónimos": los datos personales que no puedan atribuirse a un interesado en particular sin recurrir a información adicional, siempre que dicha información adicional se mantenga separada y sujeta a medidas técnicas y organizativas destinadas a garantizar que tal atribución no se produzca; |
3) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, efectuadas o no mediante procedimientos automatizados, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, supresión o destrucción; |
3) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, efectuadas o no mediante procedimientos automatizados, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, supresión o destrucción; |
|
3 bis) «elaboración de perfiles»: toda forma de tratamiento automatizado de datos personales destinado a evaluar determinados aspectos personales propios de una persona física o a analizar o predecir en particular su rendimiento profesional, sus circunstancias económicas, su localización, su estado de salud, sus preferencias personales, su fiabilidad o su comportamiento; |
4) «restricción de tratamiento»: el marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro; |
4) «restricción de tratamiento»: el marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro; |
5) «fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica; |
5) «fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica; |
6) «responsable del tratamiento»: la autoridad pública competente que sola o conjuntamente con otras determine los fines, condiciones y medios del tratamiento de datos personales; en caso de que los fines, condiciones y medios del tratamiento estén determinados por el Derecho de la Unión o la legislación de los Estados miembros, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho de la Unión o por la legislación de los Estados miembros; |
6) «responsable del tratamiento»: la autoridad pública competente que sola o conjuntamente con otras determine los fines y medios del tratamiento de datos personales; en caso de que los fines y medios del tratamiento estén determinados por el Derecho de la Unión o la legislación de los Estados miembros, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho de la Unión o por la legislación de los Estados miembros; |
7) «encargado del tratamiento»: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento; |
7) «encargado del tratamiento»: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento; |
8) «destinatario»: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que reciba comunicación de datos personales; |
8) «destinatario»: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que reciba comunicación de datos personales; |
9) «violación de datos personales»: toda violación de la seguridad que ocasione la destrucción accidental o ilícita, la pérdida, alteración, comunicación no autorizada o el acceso a datos personales transmitidos, conservados o tratados de otra forma; |
9) «violación de datos personales»: la destrucción accidental o ilícita, la pérdida, alteración, comunicación no autorizada o el acceso a datos personales transmitidos, conservados o tratados de otra forma; |
10) «datos genéticos»: todos los datos, con independencia de su tipo, relativos a las características de una persona que sean hereditarias o adquiridas durante el desarrollo prenatal temprano; |
10) «datos genéticos»: todos los datos, con independencia de su tipo, relativos a las características de una persona que sean hereditarias o adquiridas durante el desarrollo prenatal temprano; |
11) «datos biométricos»: cualesquiera datos relativos a las características físicas, fisiológicas o conductuales de una persona que permitan su identificación única, como imágenes faciales o datos dactiloscópicos; |
11) «datos biométricos»: cualesquiera datos personales relativos a las características físicas, fisiológicas o conductuales de una persona que permitan su identificación única, como imágenes faciales o datos dactiloscópicos; |
12) «datos relativos a la salud»: cualquier información que se refiera a la salud física o mental de una persona, o a la asistencia prestada por los servicios de salud a la persona; |
12) «datos relativos a la salud»: cualquier dato personal que se refiera a la salud física o mental de una persona, o a la asistencia prestada por los servicios de salud a la persona; |
13) «niño»: toda persona menor de 18 años; |
13) «niño»: toda persona menor de 18 años; |
14) «autoridades competentes»: toda autoridad pública competente para la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales; |
14) «autoridades competentes»: toda autoridad pública competente para la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales; |
15) «autoridad de control»: la autoridad pública establecida por un Estado miembro de acuerdo con el artículo 39. |
15) «autoridad de control»: la autoridad pública establecida por un Estado miembro de acuerdo con el artículo 39. |
Enmienda 62 Propuesta de Directiva Artículo 4 | |
Texto de la Comisión |
Enmienda |
Principios relativos al tratamiento de datos personales |
Principios relativos al tratamiento de datos personales |
Los Estados miembros dispondrán que los datos personales deben ser: |
Los Estados miembros dispondrán que los datos personales deben ser: |
a) tratados de manera lícita y leal; |
a) tratados de manera leal, lícita, transparente y verificable en relación con el interesado; |
b) recogidos con fines determinados, explícitos y legítimos, y no ser tratados posteriormente de manera incompatible con dichos fines; |
b) recogidos con fines determinados, explícitos y legítimos, y no ser tratados posteriormente de manera incompatible con dichos fines; |
c) adecuados, pertinentes y no excesivos en relación con los fines para los que se traten; |
c) adecuados, pertinentes y limitados al mínimo necesario en relación con los fines para los que se traten; únicamente se tratarán en la medida en que estos fines no pudieran alcanzarse mediante el tratamiento de información que no incluya datos personales; |
d) exactos y, si fuera necesario, mantenerse actualizados; se deben adoptar todas las medidas razonables para que se supriman o rectifiquen sin demora los datos personales que sean inexactos con respecto a los fines para los que se traten; |
d) exactos y mantenerse actualizados; se deben adoptar todas las medidas razonables para que se supriman o rectifiquen sin demora los datos personales que sean inexactos con respecto a los fines para los que se traten; |
e) conservados en una forma que permita identificar al interesado durante un periodo no superior al necesario para los fines para los que se someten a tratamiento; |
e) conservados en una forma que permita identificar al interesado durante un periodo no superior al necesario para los fines para los que se someten a tratamiento; |
f) tratados bajo la responsabilidad del responsable del tratamiento, que garantizará el cumplimiento de las disposiciones adoptadas con arreglo a la presente Directiva. |
f) tratados bajo la responsabilidad del responsable del tratamiento, que garantizará y demostrará el cumplimiento de las disposiciones adoptadas con arreglo a la presente Directiva. |
|
f bis) tratados de tal modo que se permita efectivamente al interesado ejercer sus derechos según lo dispuesto en los artículos 10 a 17; |
|
f ter) procesados de tal manera que estén protegidos contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o perjuicios accidentales mediante la aplicación de medidas técnicas u organizativas adecuadas; |
|
f quater) procesados únicamente por personal debidamente autorizado de las autoridades competentes que los necesiten para el desempeño de sus funciones. |
Enmienda 63 Propuesta de Directiva Artículo 4 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
Artículo 4 bis |
|
Acceso a datos tratados inicialmente para fines distintos a los mencionados en el artículo 1, apartado 1 |
|
1. Los Estados miembros dispondrán que las autoridades competentes solo puedan tener acceso a datos personales tratados inicialmente para fines distintos de los mencionados en el artículo 1, apartado 1, si están específicamente autorizadas por la legislación de la Unión o la legislación de los Estados miembros, cumpliéndose los requisitos establecidos en el artículo 7, apartado 1 bis, y deben establecer que: |
|
a) se permite el acceso únicamente al personal debidamente autorizado de las autoridades competentes en el desempeño de sus funciones cuando, en un caso específico, motivos razonables hagan pensar que el tratamiento de los datos personales contribuirá de manera sustancial a la prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales; |
|
b) las solicitudes de acceso deben realizarse por escrito y referirse al fundamento jurídico de la solicitud; |
|
c) la solicitudes por escrito deben estar documentadas; y |
|
d) se aplicarán las garantías apropiadas para velar por la protección de los derechos y las libertades fundamentales en relación con el tratamiento de datos personales. Estas garantías serán complementarias y no afectarán a las condiciones específicas de acceso a datos personales, como la autorización judicial de acuerdo con la legislación del Estado miembro. |
|
2. Solo se tendrá acceso a los datos personales conservados por particulares o por otras autoridades públicas para investigar o perseguir infracciones penales de conformidad con los requisitos de necesidad y proporcionalidad que defina cada Estado miembro en su legislación nacional, en el pleno respeto del artículo 7 bis. |
Enmienda 64 Propuesta de Directiva Artículo 4 ter (nuevo) | |
Texto de la Comisión |
Enmienda |
|
Artículo 4 ter |
|
Plazos de conservación y examen |
|
1. Los Estados miembros dispondrán que las autoridades competentes supriman los datos personales tratados de conformidad con la presente Directiva cuando dejen de ser necesarios para los fines para los que se trataron. |
|
2. Los Estados miembros dispondrán que las autoridades competentes establezcan mecanismos para garantizar que se fijan plazos, de conformidad con el artículo 4, para la supresión de los datos personales y un examen periódico de la necesidad de conservación de los datos, incluida la fijación de periodos de conservación para las diferentes categorías de datos personales. Se establecerán medidas procedimentales para garantizar el respeto de esos plazos o intervalos de examen periódico. |
Enmienda 65 Propuesta de Directiva Artículo 5 | |
Texto de la Comisión |
Enmienda |
Distinción entre diferentes categorías de interesados |
Categorías de interesados |
1. Los Estados miembros dispondrán que, en la medida de lo posible, el responsable del tratamiento establecerá una distinción clara entre los datos personales de las distintas categorías de interesados, tales como: |
1. Los Estados miembros dispondrán que las autoridades competentes, para los fines contemplados en el artículo 1, apartado 1, puedan tratar datos de las siguientes categorías de interesados, y el responsable del tratamiento establecerá una distinción clara entre tales categorías: |
a) personas respecto de las cuales existan motivos fundados para presumir que han cometido o van a cometer una infracción penal; |
a) personas respecto de las cuales existan motivos razonables para presumir que han cometido o van a cometer una infracción penal; |
b) personas condenadas por una infracción penal; |
b) personas condenadas por un delito; |
c) víctimas de una infracción penal o personas respecto de las cuales existan motivos fundados para presumir que pueden ser víctimas de una infracción penal; |
c) víctimas de una infracción penal o personas respecto de las cuales existan motivos fundados para presumir que pueden ser víctimas de una infracción penal; y |
d) terceras partes involucradas en una infracción penal como, por ejemplo, personas que puedan ser citadas para testificar en investigaciones relacionadas con infracciones penales o procedimientos penales ulteriores, o personas que puedan facilitar información sobre infracciones penales, o personas de contacto o asociados de una de las personas mencionadas en las letras a) y b); y |
d) terceras partes involucradas en una infracción penal como, por ejemplo, personas que puedan ser citadas para testificar en investigaciones relacionadas con infracciones penales o procedimientos penales ulteriores, o personas que puedan facilitar información sobre infracciones penales, o personas de contacto o asociados de una de las personas mencionadas en las letras a) y b). |
e) personas que no entren dentro de ninguna de las categorías contempladas más arriba. |
|
|
2. Solo se podrán tratar los datos personales de interesados que no estén contemplados en el apartado 1: |
|
a) en la medida en que sean necesarios para la investigación o el enjuiciamiento de una infracción penal específica con el fin de evaluar la pertinencia de los datos respecto de una de las categorías indicadas en el apartado 1; o |
|
b) cuando el tratamiento sea indispensable para fines específicos de prevención o para fines de análisis criminológico, siempre que dichos fines sean legítimos, bien definidos y específicos y el tratamiento se limite estrictamente a evaluar la pertinencia de los datos respecto de una de las categorías indicadas en el apartado 1. Se efectuará una revisión periódica de estos extremos al menos cada seis meses; queda prohibido cualquier otro uso. |
|
3. Los Estados miembros dispondrán la aplicación de otras limitaciones y garantías, de conformidad con su Derecho nacional, al tratamiento ulterior de datos personales de los interesados contemplados en el apartado 1, letras c) y d). |
Enmienda 66 Propuesta de Directiva Artículo 6 | |
Texto de la Comisión |
Enmienda |
Diferentes grados de exactitud y fiabilidad de los datos personales |
Diferentes grados de exactitud y fiabilidad de los datos personales |
1. Los Estados miembros velarán por que, en la medida de lo posible, las diferentes categorías de datos personales objeto de tratamiento se distingan según su grado de exactitud y fiabilidad. |
1. Los Estados miembros dispondrán que se garantice la exactitud y fiabilidad de los datos personales objeto de tratamiento |
2. Los Estados miembros velarán por que, en la medida de lo posible, los datos personales basados en hechos se distingan de los datos personales basados en apreciaciones personales. |
2. Los Estados miembros velarán por que los datos personales basados en hechos se distingan de los datos personales basados en apreciaciones personales, con arreglo a su grado de exactitud y fiabilidad. |
|
2 bis. Los Estados miembros velarán por que los datos personales que sean inexactos, incompletos o que no estén actualizados no se transmitan ni estén disponibles. Para ello, las autoridades competentes evaluarán la calidad de los datos personales antes de transmitirlos o hacerlos disponibles. En la medida de lo posible, en todas las transmisiones de datos se deberá añadir la información de que se disponga para que el Estado miembro receptor pueda valorar el grado en que los datos son exactos, completos, actualizados y fiables. Los datos personales no se transmitirán sin petición previa de la autoridad competente, en especial los datos conservados originalmente por particulares. |
|
2 ter. Si se constatara la transmisión de datos incorrectos o la transmisión ilegal de datos, se notificará de inmediato al destinatario. Este estará obligado a rectificar los datos sin demora, de conformidad con el apartado 1 y el artículo 15, o a suprimirlos de conformidad con el artículo 16. |
Enmienda 67 Propuesta de Directiva Artículo 7 | |
Texto de la Comisión |
Enmienda |
Licitud del tratamiento de datos |
Licitud del tratamiento de datos |
Los Estados miembros dispondrán que el tratamiento de datos personales solo será lícito en la medida en que sea necesario: |
1. Los Estados miembros dispondrán que el tratamiento de datos personales solo será lícito en la medida en que se base en la legislación de la Unión o la legislación del Estado miembro para los fines establecidos en el artículo 1, apartado 1 y sea necesario: |
a) para la ejecución de una tarea realizada por una autoridad competente, basada en la ley, para los fines establecidos en el artículo 1, apartado 1; o |
a) para la ejecución de una tarea realizada por una autoridad competente; o |
b) para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento; o |
|
c) con el fin de proteger los intereses vitales del interesado o de otra persona; o |
b) con el fin de proteger los intereses vitales del interesado o de otra persona; o |
d) a fin de prevenir una amenaza inminente y grave para la seguridad pública. |
c) a fin de prevenir una amenaza inminente y grave para la seguridad pública. |
|
1 bis. La legislación de los Estados miembros que regule el tratamiento de datos personales incluido en el ámbito de aplicación de la presente Directiva contendrá disposiciones explícitas y detalladas que especifiquen al menos: |
|
a) los objetivos del tratamiento; |
|
b) los datos personales que serán objeto de tratamiento; |
|
c) los fines específicos y los medios del tratamiento; |
|
d) la designación del responsable del tratamiento o los criterios específicos para la designación del responsable del tratamiento; |
|
e) las categorías de personal de las autoridades competentes debidamente autorizado para el tratamiento de datos personales; |
|
f) el procedimiento que ha de seguirse para el tratamiento; |
|
g) el uso que se podrá hacer de los datos personales obtenidos; |
|
h) las limitaciones del margen de apreciación otorgado a las autoridades competentes con respecto a las actividades de tratamiento de datos. |
Enmienda 68 Propuesta de Directiva Artículo 7 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
Artículo 7 bis |
|
Tratamiento ulterior con fines incompatibles |
|
1. Los Estados miembros dispondrán que los datos personales solo se puedan tratar ulteriormente para otro fin establecido en el artículo 1, apartado 1, que no sea compatible con los fines para los cuales los datos se recopilaron inicialmente, en la medida en que: |
|
a) sea estrictamente necesario y proporcionado en una sociedad democrática y sea requerido por la legislación de la Unión o por la legislación del Estado miembro para un fin legítimo, bien definido y específico: |
|
b) el tratamiento se limite estrictamente a un período que no supere el tiempo necesario para la operación específica de tratamiento de datos; |
|
c) cualquier uso para otros fines quede prohibido. |
|
Antes del tratamiento, el Estado miembro consultará al supervisor de protección de datos y realizará una evaluación de impacto en materia de protección de datos. |
|
2. Además de los requisitos establecidos en el artículo 7, apartado 1 bis, la legislación del Estado miembro que autorice el tratamiento ulterior contemplado en el apartado 1 contendrá disposiciones explícitas y detalladas que especifiquen, al menos: |
|
a) los fines específicos y los medios de ese tratamiento concreto; |
|
b) que se permite el acceso únicamente al personal debidamente autorizado de las autoridades competentes en el desempeño de sus funciones cuando, en un caso concreto, existan motivos razonables para pensar que el tratamiento de los datos personales contribuirá de manera sustancial a la prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales; y |
|
c) que se establezcan las garantías apropiadas para velar por la protección de los derechos y las libertades fundamentales en relación con el tratamiento de datos personales. |
|
Los Estados miembros podrán exigir que el acceso a los datos personales esté sujeto a otras condiciones, como la autorización judicial, de acuerdo con su legislación nacional. |
|
3. Los Estados miembros podrán autorizar asimismo un tratamiento adicional de los datos personales para fines históricos, estadísticos o científicos, siempre y cuando se establezcan las garantías adecuadas, como el anonimato de los datos. |
Enmienda 69 Propuesta de Directiva Artículo 8 | |
Texto de la Comisión |
Enmienda |
Tratamiento de categorías especiales de datos personales |
Tratamiento de categorías especiales de datos personales |
1. Los Estados miembros prohibirán el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, la religión o las creencias, o la afiliación sindical, así como el tratamiento de datos genéticos o de datos relativos a la salud o a la vida sexual. |
1. Los Estados miembros prohibirán el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, la religión o las creencias filosóficas, la orientación sexual o la identidad de género, la afiliación o las actividades sindicales, así como el tratamiento de datos biométricos o de datos relativos a la salud o a la vida sexual. |
2. El apartado 1 no será aplicable cuando: |
2. El apartado 1 no será aplicable cuando: |
a) el tratamiento esté autorizado por una ley que establezca garantías apropiadas; o |
a) el tratamiento sea estrictamente necesario y proporcionado para el desempeño de una misión por las autoridades competentes para los fines establecidos en el artículo 1, apartado 1, sobre la base de la legislación de la Unión o de la legislación nacional, que establecerán medidas específicas y adecuadas para salvaguardar los intereses legítimos del interesado, incluida una autorización específica de una autoridad judicial, si la legislación nacional lo requiere; o |
b) el tratamiento sea necesario para proteger los intereses vitales del interesado o de otra persona; o |
b) el tratamiento sea necesario para proteger los intereses vitales del interesado o de otra persona; o |
c) el tratamiento ataña a datos que el interesado ha hecho manifiestamente públicos. |
c) el tratamiento ataña a datos que el interesado ha hecho manifiestamente públicos, siempre que sean pertinentes y estrictamente necesarios para el fin perseguido en un caso específico. |
Enmienda 70 Propuesta de Directiva Artículo 8 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
Artículo 8 bis |
|
Tratamiento de datos genéticos para los fines de una investigación penal o un procedimiento judicial |
|
1. Los Estados miembros garantizarán que los datos genéticos solo se puedan utilizar para establecer el vínculo genético en el marco de una aportación de pruebas, la prevención de una amenaza para la seguridad pública o de la comisión de una infracción penal específica. Los datos genéticos no se podrán utilizar para determinar otras características que se puedan vincular genéticamente. |
|
2. Los Estados miembros dispondrán que los datos genéticos o la información derivada de su análisis solo se puedan conservar el tiempo necesario para los fines para los cuales se trataron los datos y cuando el interesado haya sido condenado por infracciones graves contra la vida, la integridad o la seguridad de las personas, sin perjuicio de los periodos de conservación estrictos que determine la legislación de los Estados miembros. |
|
3. Los Estados miembros garantizarán que los datos genéticos o la información derivada de su análisis solo se conserve durante periodos largos cuando los datos genéticos no se puedan atribuir a una persona, en particular cuando se hayan encontrado en la escena de un delito. |
Enmienda 71 Propuesta de Directiva Artículo 9 | |
Texto de la Comisión |
Enmienda |
Medidas basadas en la elaboración de perfiles y el tratamiento automatizado |
Medidas basadas en la elaboración de perfiles y el tratamiento automatizado |
1. Los Estados miembros dispondrán que las medidas que produzcan efectos jurídicos negativos para el interesado o le afecten sustancialmente y que se basen únicamente en un tratamiento automatizado de datos personales destinado a evaluar determinados aspectos personales del interesado estarán prohibidas, salvo que estén autorizadas por una ley que también establezca medidas para salvaguardar los intereses legítimos del interesado. |
1. Los Estados miembros dispondrán que las medidas que produzcan un efecto jurídico para el interesado o le afecten sustancialmente y que se basen parcial o totalmente en un tratamiento automatizado de datos personales destinado a evaluar determinados aspectos personales del interesado estarán prohibidas, salvo que estén autorizadas por una ley que también establezca medidas para salvaguardar los intereses legítimos del interesado. |
2. El tratamiento automatizado de datos personales destinado a evaluar determinados aspectos personales del interesado no se basará únicamente en las categorías especiales de datos personales contempladas en el artículo 8. |
2. El tratamiento automatizado de datos personales destinado a evaluar determinados aspectos personales del interesado no se basará en las categorías especiales de datos personales contempladas en el artículo 8. |
|
2 bis. El tratamiento automatizado de datos personales destinado a seleccionar un interesado sin que exista una sospecha inicial de que este pueda haber cometido o vaya a cometer una infracción penal solo será lícito en la medida en que se estrictamente necesario para la investigación de una infracción penal grave o la prevención de un peligro manifiesto e inminente, sobre la base de indicios fácticos, para la seguridad pública, la existencia del Estado o la vida de las personas. |
|
2 ter. Queda prohibida en todos los casos la elaboración de perfiles que, de manera intencionada o no, tenga como efecto la discriminación de las personas por su origen étnico o racial, sus opiniones políticas, su religión o creencias, su afiliación sindical o su orientación sexual o de género, o que, de manera intencionada o no, produzca medidas que tengan este efecto. |
Enmienda 72 Propuesta de Directiva Artículo 9 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
Artículo 9 bis |
|
Principios generales para los derechos del interesado |
|
1. Los Estados miembros velarán por que la base de la protección de datos sea clara y tenga unos derechos inequívocos para el interesado que sean respetados por el responsable del tratamiento. Las disposiciones de la presente Directiva tienen por objeto reforzar, aclarar, garantizar y, en su caso, codificar esos derechos. |
|
2. Los Estados miembros velarán por que esos derechos incluyan, entre otros, el suministro de información clara y fácilmente comprensible sobre el tratamiento de sus datos personales, el derecho de acceso, rectificación y supresión de sus datos, el derecho a obtener datos, el derecho a presentar una reclamación ante la autoridad competente en materia de protección de datos y a incoar procedimientos legales, así como el derecho a compensación y daños como consecuencia de una operación de tratamiento ilícito. Estos derechos se ejercerán en términos generales de forma gratuita. El responsable del tratamiento responderá a las solicitudes de los interesados en un plazo de tiempo razonable. |
Enmienda 73 Propuesta de Directiva Artículo 10 | |
Texto de la Comisión |
Enmienda |
Modalidades de ejercicio de los derechos del interesado |
Modalidades de ejercicio de los derechos del interesado |
1. Los Estados miembros dispondrán que el responsable del tratamiento adoptará todas las medidas razonables para dotarse de políticas transparentes y fácilmente accesibles por lo que respecta al tratamiento de datos personales y al ejercicio de los derechos de los interesados. |
1. Los Estados miembros dispondrán que el responsable del tratamiento adoptará unas políticas concisas, transparentes, claras y fácilmente accesibles por lo que respecta al tratamiento de datos personales y al ejercicio de los derechos de los interesados |
2. Los Estados miembros dispondrán que el responsable del tratamiento facilitará al interesado cualquier información y comunicación relativa al tratamiento de datos personales, en forma inteligible, utilizando un lenguaje claro y sencillo. |
2. Los Estados miembros dispondrán que el responsable del tratamiento facilitará al interesado cualquier información y comunicación relativa al tratamiento de datos personales, en forma inteligible, utilizando un lenguaje claro y sencillo, en particular cuando la información se dirija específicamente a un niño. |
3. Los Estados miembros dispondrán que el responsable del tratamiento adoptará todas las medidas razonables con miras a establecer procedimientos para facilitar la información contemplada en el artículo 11, y para el ejercicio de los derechos de los interesados contemplados en los artículos 12 a 17. |
3. Los Estados miembros dispondrán que el responsable del tratamiento establezca procedimientos para facilitar la información contemplada en el artículo 11, y para el ejercicio de los derechos de los interesados contemplados en los artículos 12 a 17. Cuando los datos personales se sometan a tratamiento de forma automatizada, el responsable del tratamiento proporcionará medios para que las solicitudes se hagan por vía electrónica. |
4. Los Estados miembros dispondrán que el responsable del tratamiento informará al interesado, sin demora injustificada, sobre el curso dado a su solicitud. |
4. Los Estados miembros dispondrán que el responsable del tratamiento informará al interesado, sin demora, sobre el curso dado a su solicitud y, en cualquier caso, a más tardar en el plazo de un mes desde la recepción de la solicitud. La información se facilitará por escrito. Cuando el interesado presente la solicitud en formato electrónico, la información se facilitará en ese mismo formato. |
5. Los Estados miembros dispondrán que la información y cualquier medida adoptada por el responsable del tratamiento a raíz de una solicitud contemplada en los apartados 3 y 4 serán gratuitas. Cuando las solicitudes sean abusivas, en particular a causa de su carácter repetitivo, su tamaño o su volumen, el responsable del tratamiento podrá cobrar una tasa para facilitar la información o adoptar la medida solicitada, o podrá decidir no adoptar la medida solicitada. En tal caso, la carga de demostrar el carácter abusivo de la solicitud recaerá en el responsable del tratamiento. |
5. Los Estados miembros dispondrán que la información y cualquier medida adoptada por el responsable del tratamiento a raíz de una solicitud contemplada en los apartados 3 y 4 serán gratuitas. Cuando las solicitudes sean manifiestamente excesivas, en particular a causa de su carácter repetitivo, el responsable del tratamiento podrá cobrar una tasa razonable, teniendo en cuenta los costes administrativos incurridos, para facilitar la información o adoptar la medida solicitada. En tal caso, la carga de demostrar el carácter manifiestamente excesivo de la solicitud recaerá en el responsable del tratamiento. |
|
5 bis. Los Estados miembros podrán disponer que el interesado pueda hacer valer sus derechos directamente ante el responsable del tratamiento de los datos o por mediación de la autoridad nacional de control competente. Cuando la autoridad de control haya actuado a instancias del interesado, informará a este último de las verificaciones realizadas. |
Enmienda 74 Propuesta de Directiva Artículo 11 | |
Texto de la Comisión |
Enmienda |
Información al interesado |
Información al interesado |
1. Cuando se recojan datos personales relativos a un interesado, los Estados miembros velarán por que el responsable del tratamiento tome todas las medidas oportunas para facilitar al interesado, al menos, la siguiente información: |
1. Cuando se recojan datos personales relativos a un interesado, los Estados miembros velarán por que el responsable del tratamiento facilite al interesado, al menos, la siguiente información: |
a) la identidad y los datos de contacto del responsable del tratamiento y del delegado de protección de datos; |
a) la identidad y los datos de contacto del responsable del tratamiento y del delegado de protección de datos; |
b) los fines del tratamiento a que se destinan los datos personales; |
b) el fundamento jurídico y los fines del tratamiento a que se destinan los datos personales; |
c) el plazo durante el cual se conservarán los datos personales; |
c) el plazo durante el cual se conservarán los datos personales; |
d) la existencia del derecho a solicitar del responsable del tratamiento el acceso a los datos personales relativos al interesado y su rectificación, su supresión o la limitación de su tratamiento; |
d) la existencia del derecho a solicitar del responsable del tratamiento el acceso a los datos personales relativos al interesado y su rectificación, su supresión o la limitación de su tratamiento; |
e) el derecho a presentar una reclamación ante la autoridad de control contemplada en el artículo 39 y los datos de contacto de la misma; |
e) el derecho a presentar una reclamación ante la autoridad de control contemplada en el artículo 39 y los datos de contacto de la misma; |
f) los destinatarios o las categorías de destinatarios de los datos personales, en particular en terceros países u organizaciones internacionales; |
f) Los destinatarios de los datos personales, en particular en terceros países u organizaciones internacionales, y quién está autorizado a acceder a este dato con arreglo a la legislación de ese tercer país o a la reglamentación de la organización internacional en cuestión, la existencia o no de una decisión de adecuación de la Comisión o, en el caso de las transferencias mencionadas en el artículo 35 o el artículo 36, la manera de obtener una copia de las garantías adecuadas utilizadas para la transferencia; |
|
f bis) cuando el responsable realice el tratamiento de datos personales descrito en el artículo 9, apartado 1, la información sobre la existencia del tratamiento para una medida del tipo mencionado en el artículo 9, apartado 1, y los efectos que dicho tratamiento pueda tener sobre el interesado, información sobre la lógica utilizada en la elaboración de perfiles y el derecho a obtener una evaluación humana; |
|
f ter) información relativa a las medidas de seguridad adoptadas para proteger los datos personales; |
g) cualquier otra información en la medida en que resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado, habida cuenta de las circunstancias específicas en las que se traten los datos personales. |
g) cualquier otra información en la medida en que resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado, habida cuenta de las circunstancias específicas en las que se traten los datos personales. |
2. Cuando los datos personales se recojan del interesado, el responsable del tratamiento le comunicará, además de la información contemplada en el apartado 1, si el suministro de datos personales es obligatorio o voluntario, así como las posibles consecuencias de que no se faciliten tales datos. |
2. Cuando los datos personales se recojan del interesado, el responsable del tratamiento le comunicará, además de la información contemplada en el apartado 1, si el suministro de datos personales es obligatorio o voluntario, así como las posibles consecuencias de que no se faciliten tales datos. |
3. El responsable del tratamiento facilitará la información contemplada en el apartado 1: |
3. El responsable del tratamiento facilitará la información contemplada en el apartado 1: |
a) en el momento en que los datos personales se obtengan del interesado, o |
a) en el momento en que los datos personales se obtengan del interesado, o |
b) cuando los datos personales no se recojan del interesado, en el momento del registro o en un plazo razonable después de la recogida, habida cuenta de las circunstancias específicas en que se traten los datos. |
b) cuando los datos personales no se recojan del interesado, en el momento del registro o en un plazo razonable después de la recogida, habida cuenta de las circunstancias específicas en que se traten los datos. |
4. Los Estados miembros podrán adoptar medidas legislativas por las que se retrase, limite o exima la puesta a disposición del interesado de la información en la medida y siempre que dicha limitación total o parcial constituya una medida necesaria y proporcional en una sociedad democrática, teniendo debidamente en cuenta los intereses legítimos de la persona en cuestión: |
4. Los Estados miembros podrán adoptar medidas legislativas por las que se retrase o limite, en un caso específico, la puesta a disposición del interesado de la información en la medida y siempre que dicha limitación total o parcial constituya una medida necesaria y proporcional en una sociedad democrática, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos de la persona en cuestión: |
a) para evitar que se obstaculicen pesquisas, investigaciones o procedimientos jurídicos u oficiales; |
a) para evitar que se obstaculicen pesquisas, investigaciones o procedimientos jurídicos u oficiales; |
b) para evitar que se prejuzgue la prevención, detección, investigación y enjuiciamiento de infracciones penales o para la ejecución de sanciones penales; |
b) para evitar que se prejuzgue la prevención, detección, investigación y enjuiciamiento de infracciones penales o para la ejecución de sanciones penales; |
c) para proteger la seguridad pública; |
c) para proteger la seguridad pública; |
d) para proteger la seguridad nacional; |
d) para proteger la seguridad nacional; |
e) para proteger los derechos y libertades de otras personas. |
e) para proteger los derechos y libertades de otras personas. |
5. Los Estados miembros podrán determinar las categorías de tratamiento de datos que pueden acogerse, en su totalidad o en parte, a las exenciones del apartado 4. |
5. Los Estados miembros dispondrán que el responsable del tratamiento evalúe, en cada caso concreto, mediante un examen específico e individual, si procede una restricción parcial o completa para una de las razones contempladas en el apartado 4. Los Estados miembros podrán determinar asimismo por ley las categorías de tratamiento de datos que pueden acogerse, en su totalidad o en parte, a las exenciones del apartado 4, letras a), b), c) y d). |
Enmienda 75 Propuesta de Directiva Artículo 12 | |
Texto de la Comisión |
Enmienda |
Derecho de acceso del interesado |
Derecho de acceso del interesado |
1. Los Estados miembros reconocerán el derecho del interesado a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen. En caso de que se confirme el tratamiento, el responsable facilitará la siguiente información: |
1. Los Estados miembros reconocerán el derecho del interesado a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen. En caso de que se confirme el tratamiento, el responsable facilitará la siguiente información, siempre que no se haya facilitado ya: |
|
–a) la comunicación de los datos personales objeto de tratamiento, así como cualquier información disponible sobre su origen, y, en su caso, información inteligible sobre la lógica empleada en el tratamiento automático; |
|
–a bis) la importancia y las consecuencias previstas de dicho tratamiento, al menos en el caso de las medidas contempladas en el artículo 9; |
a) los fines del tratamiento; |
a) los fines del tratamiento y el fundamento jurídico del tratamiento; |
b) las categorías de datos personales de que se trate; |
b) las categorías de datos personales de que se trate; |
c) los destinatarios o las categorías de destinatarios a quienes se han comunicado los datos personales, en particular los destinatarios establecidos en terceros países; |
c) los destinatarios a quienes se han comunicado los datos personales, en particular los destinatarios establecidos en terceros países; |
d) el plazo durante el cual se conservarán los datos personales; |
d) el plazo durante el cual se conservarán los datos personales; |
e) la existencia del derecho a solicitar del responsable del tratamiento la rectificación, supresión o limitación del tratamiento de datos personales relativos al interesado; |
e) la existencia del derecho a solicitar del responsable del tratamiento la rectificación, supresión o limitación del tratamiento de datos personales relativos al interesado; |
f) el derecho a presentar una reclamación ante la autoridad de control y los datos de contacto de la misma; |
f) el derecho a presentar una reclamación ante la autoridad de control y los datos de contacto de la misma; |
g) la comunicación de los datos personales objeto de tratamiento, así como cualquier información disponible sobre su origen; |
|
2. Los Estados miembros reconocerán el derecho del interesado a obtener del responsable del tratamiento una copia de los datos personales objeto de tratamiento. |
2. Los Estados miembros reconocerán el derecho del interesado a obtener del responsable del tratamiento una copia de los datos personales objeto de tratamiento. Cuando el interesado presente la solicitud en formato electrónico, la información se facilitará en ese mismo formato, a menos que el interesado solicite que se proceda de otro modo. |
(La letra g) del apartado 1 del texto de la Comisión ha pasado a ser parte de la letra -a bis) del apartado 1 en la enmienda del Parlamento) | |
Enmienda 76 Propuesta de Directiva Artículo 13 | |
Texto de la Comisión |
Enmienda |
Limitaciones al derecho de acceso |
Limitaciones al derecho de acceso |
1. Los Estados miembros podrán adoptar medidas legislativas por las que se limite, en su totalidad o en parte, el derechos de acceso del interesado en la medida en que dicha limitación parcial o completa constituya una medida necesaria y proporcional en una sociedad democrática, teniendo debidamente en cuenta los intereses legítimos de la persona de que se trate: |
1. Los Estados miembros podrán adoptar medidas legislativas por las que se limite, en su totalidad o en parte, dependiendo de cada caso concreto, el derecho de acceso del interesado en la medida y durante el periodo en que dicha limitación parcial o completa constituya una medida estrictamente necesaria y proporcional en una sociedad democrática, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos de la persona de que se trate: |
a) para evitar que se obstaculicen pesquisas, investigaciones o procedimientos jurídicos u oficiales; |
a) para evitar que se obstaculicen pesquisas, investigaciones o procedimientos jurídicos u oficiales; |
b) para evitar que se prejuzgue la prevención, detección, investigación y enjuiciamiento de infracciones penales o la ejecución de sanciones penales; |
b) para evitar que se prejuzgue la prevención, detección, investigación y enjuiciamiento de infracciones penales o la ejecución de sanciones penales; |
c) para proteger la seguridad pública; |
c) para proteger la seguridad pública; |
d) para proteger la seguridad nacional; |
d) para proteger la seguridad nacional; |
e) para proteger los derechos y libertades de otras personas. |
e) para proteger los derechos y libertades de otras personas. |
2. Los Estados miembros podrán determinar por ley las categorías de tratamiento de datos que pueden acogerse en todo o en parte a las exenciones del apartado 1. |
2. Los Estados miembros dispondrán que el responsable del tratamiento evalúe, en cada caso específico, mediante un examen concreto e individual, si procede una restricción parcial o completa para una de las razones contempladas en el apartado 1. Los Estados miembros podrán determinar por ley asimismo las categorías de tratamiento de datos que pueden acogerse, en su totalidad o en parte, a las exenciones del apartado 1, letras a) a d). |
3. En los casos contemplados en los apartados 1 y 2, los Estados miembros dispondrán que el responsable del tratamiento informará por escrito al interesado sobre cualquier denegación o limitación de acceso, sobre las razones de la denegación y sobre las posibilidades de presentar a la autoridad de control una reclamación e interponer un recurso judicial. La información sobre los fundamentos de hecho o de Derecho en los que se sustenta la decisión podrá omitirse cuando el suministro de dicha información pueda comprometer uno de los fines contemplados en el apartado 1. |
3. En los casos contemplados en los apartados 1 y 2, los Estados miembros dispondrán que el responsable del tratamiento informará por escrito al interesado, sin demora injustificada, sobre cualquier denegación o limitación de acceso, sobre la justificación razonada de la denegación y sobre las posibilidades de presentar a la autoridad de control una reclamación e interponer un recurso judicial. La información sobre los fundamentos de hecho o de Derecho en los que se sustenta la decisión podrá omitirse cuando el suministro de dicha información pueda comprometer uno de los fines contemplados en el apartado 1. |
4. Los Estados miembros velarán por que el responsable del tratamiento documente los motivos por los que no comunicó los fundamentos de hecho o de Derecho en los que se sustenta la decisión. |
4. Los Estados miembros velarán por que el responsable del tratamiento documente la evaluación a que se refiere el apartado 2 así como los motivos por los que limitó la comunicación de los fundamentos de hecho o de Derecho en los que se sustenta la decisión. Dicha información se pondrá a disposición de las autoridades competentes si éstas así lo solicitan. |
Enmienda 77 Propuesta de Directiva Artículo 14 | |
Texto de la Comisión |
Enmienda |
Modalidades de ejercicio del derecho de acceso |
Modalidades de ejercicio del derecho de acceso |
1. Los Estados miembros reconocerán el derecho del interesado a solicitar, en particular en los casos contemplados en el artículo 13, que la autoridad de control compruebe la licitud del tratamiento. |
1. Los Estados miembros reconocerán el derecho del interesado a solicitar, en todo momento, en particular en los casos contemplados en los artículos 12 y 13, que la autoridad de control compruebe la licitud del tratamiento. |
2. Los Estados miembros dispondrán que el responsable del tratamiento informará al interesado del derecho a solicitar la intervención de las autoridades de control con arreglo a lo dispuesto en el apartado 1. |
2. Los Estados miembros dispondrán que el responsable del tratamiento informará al interesado del derecho a solicitar la intervención de las autoridades de control con arreglo a lo dispuesto en el apartado 1. |
3. Cuando se ejerza el derecho contemplado en el apartado 1, la autoridad de control informará al interesado, al menos, de que se han llevado a cabo todas las verificaciones necesarias, así como del resultado en lo tocante a la licitud del tratamiento en cuestión. |
3. Cuando se ejerza el derecho contemplado en el apartado 1, la autoridad de control informará al interesado, al menos, de que se han llevado a cabo todas las verificaciones necesarias, así como del resultado en lo tocante a la licitud del tratamiento en cuestión. La autoridad de control informará también al interesado de su derecho a interponer recursos judiciales. |
|
3 bis. Los Estados miembros podrán disponer que el interesado pueda hacer valer sus derechos directamente ante el responsable del tratamiento de los datos o por mediación de la autoridad nacional de control competente. |
|
3 ter. Los Estados miembros velarán por que el responsable del tratamiento disponga de plazos suficientes para responder a las solicitudes del interesado en relación con el ejercicio de su derecho de acceso. |
Enmienda 78 Propuesta de Directiva Artículo 15 | |
Texto de la Comisión |
Enmienda |
Derecho de rectificación |
Derecho de rectificación y a completar los datos |
1. Los Estados miembros reconocerán el derecho del interesado a obtener del responsable del tratamiento la rectificación de los datos personales que le conciernen cuando tales datos resulten inexactos. El interesado tendrá derecho a que se completen los datos personales cuando estos resulten incompletos, en particular mediante una declaración rectificativa. |
1. Los Estados miembros reconocerán el derecho del interesado a obtener del responsable del tratamiento que los datos personales que le conciernen sean completados o rectificados cuando tales datos resulten inexactos o estén incompletos, en particular mediante una declaración complementaria o rectificativa. |
2. Los Estados miembros dispondrán que el responsable del tratamiento informará por escrito al interesado sobre cualquier denegación de rectificación, sobre las razones de la denegación y sobre las posibilidades de presentar una reclamación ante la autoridad de control y de interponer un recurso judicial. |
2. Los Estados miembros dispondrán que el responsable del tratamiento informará por escrito al interesado, con una justificación razonada, sobre cualquier denegación de rectificación o adición, sobre las razones de la denegación y sobre las posibilidades de presentar una reclamación ante la autoridad de control y de interponer un recurso judicial. |
|
2 bis. Los Estados miembros dispondrán que el responsable del tratamiento comunique cualquier rectificación llevada a cabo a cada uno de los destinatarios a los que se hayan comunicado los datos, salvo que ello resulte imposible o requiera un esfuerzo desproporcionado. |
|
2 ter. Los Estados miembros dispondrán que el responsable del tratamiento comunique la rectificación de los datos personales inexactos a la tercera parte de la que proceden los datos personales inexactos. |
|
2 quater. Los Estados miembros dispondrán que el interesado pueda hacer valer este derecho también por mediación de la autoridad nacional de control competente. |
Enmienda 79 Propuesta de Directiva Artículo 16 | |
Texto de la Comisión |
Enmienda |
Derecho de supresión |
Derecho de supresión |
1. Los Estados miembros reconocerán el derecho del interesado a obtener del responsable del tratamiento la supresión de los datos personales que le conciernen cuando el tratamiento no cumpla las disposiciones adoptadas con arreglo al artículo 4, letras a) a e), y a los artículos 7 y 8 de la presente Directiva. |
1. Los Estados miembros reconocerán el derecho del interesado a obtener del responsable del tratamiento la supresión de los datos personales que le conciernen cuando el tratamiento no cumpla las disposiciones adoptadas con arreglo a los artículos 4, 6 y 8 de la presente Directiva. |
2. El responsable del tratamiento procederá a la supresión sin demora. |
2. El responsable del tratamiento procederá a la supresión sin demora. El responsable del tratamiento se abstendrá asimismo de divulgar dichos datos. |
3. En lugar de proceder a la supresión, el responsable del tratamiento marcará los datos personales cuando: |
3. En lugar de proceder a la supresión, el responsable del tratamiento limitará el tratamiento de los datos personales cuando: |
a) el interesado impugne su exactitud, durante un plazo que permita al responsable del tratamiento verificar la exactitud de dichos datos; |
a) el interesado impugne su exactitud, durante un plazo que permita al responsable del tratamiento verificar la exactitud de dichos datos; |
b) los datos personales hayan de conservarse a efectos probatorios; |
b) los datos personales hayan de conservarse a efectos probatorios o para la protección de intereses vitales del interesado o de otra persona. |
c) el interesado se oponga a su supresión y solicite la limitación de su uso. |
|
|
3 bis. Cuando el tratamiento de datos personales esté limitado de conformidad con lo dispuesto en el apartado 3, el responsable del tratamiento informará al interesado antes de levantar la limitación al tratamiento. |
4. Los Estados miembros dispondrán que el responsable del tratamiento informará por escrito al interesado de cualquier denegación de la supresión o marcado del tratamiento, las razones de la denegación y las posibilidades de presentar una reclamación ante la autoridad de control y de interponer un recurso judicial. |
4. Los Estados miembros dispondrán que el responsable del tratamiento informará por escrito al interesado, con una justificación razonada, de cualquier denegación de la supresión o limitación del tratamiento, de las razones de la denegación y de las posibilidades de presentar una reclamación ante la autoridad de control y de interponer un recurso judicial. |
|
4 bis. Los Estados miembros dispondrán que el responsable del tratamiento de los datos notifique a los destinatarios a quienes se hayan remitido estos datos cualquier supresión o limitación realizada de conformidad con el apartado 1, a menos que resulte imposible o suponga un esfuerzo desproporcionado. El responsable del tratamiento informará al interesado sobre esos terceros. |
|
4 ter. Los Estados miembros podrán disponer que el interesado pueda hacer valer sus derechos directamente ante el responsable del tratamiento de los datos o por mediación de la autoridad nacional de control competente. |
Enmienda 80 Propuesta de Directiva Artículo 18 | |
Texto de la Comisión |
Enmienda |
Obligaciones del responsable del tratamiento |
Obligaciones del responsable del tratamiento |
1. Los Estados miembros dispondrán que el responsable del tratamiento adoptará políticas e implementará medidas apropiadas para asegurar que el tratamiento de datos personales se lleva a cabo de conformidad con las disposiciones adoptadas con arreglo a la presente Directiva. |
1. Los Estados miembros dispondrán que el responsable del tratamiento adoptará políticas e implementará medidas apropiadas para asegurar, y ser capaz de demostrar, de forma transparente y para cada operación de tratamiento, que el tratamiento de datos personales se lleva a cabo de conformidad con las disposiciones adoptadas con arreglo a la presente Directiva, tanto en el momento de la determinación de los medios para el tratamiento como en el propio momento del tratamiento propiamente dicho. |
2. Las medidas previstas en el apartado 1 incluirán, en particular: |
2. Las medidas previstas en el apartado 1 incluirán, en particular: |
a) la conservación de la documentación con arreglo a lo dispuesto en el artículo 23; |
a) la conservación de la documentación con arreglo a lo dispuesto en el artículo 23; |
|
a bis) la realización de una evaluación de impacto en relación con la protección de datos con arreglo a lo dispuesto en el artículo 25 bis; |
b) el cumplimiento de los requisitos en materia de consulta previa de conformidad con lo dispuesto en el artículo 26; |
b) el cumplimiento de los requisitos en materia de consulta previa de conformidad con lo dispuesto en el artículo 26; |
c) la implementación de los requisitos en materia de seguridad de los datos establecidos en el artículo 27; |
c) la implementación de los requisitos en materia de seguridad de los datos establecidos en el artículo 27; |
d) la designación de un delegado de protección de datos con arreglo a lo dispuesto en el artículo 30. |
d) la designación de un delegado de protección de datos con arreglo a lo dispuesto en el artículo 30; |
|
d bis) la elaboración y la aplicación de garantías específicas destinadas a los tratamientos de datos personales relativos a los niños, cuando proceda. |
3. El responsable del tratamiento implementará mecanismos para verificar la eficacia de las medidas contempladas en el apartado 1. Siempre que no sea desproporcionado, estas verificaciones serán llevadas a cabo por auditores independientes internos o externos. |
3. El responsable del tratamiento implementará mecanismos para verificar la adecuación y la eficacia de las medidas contempladas en el apartado 1. Siempre que no sea desproporcionado, estas verificaciones serán llevadas a cabo por auditores independientes internos o externos. |
Enmienda 81 Propuesta de Directiva Artículo 19 | |
Texto de la Comisión |
Enmienda |
Protección de datos desde el diseño y protección de datos por defecto |
Protección de datos desde el diseño y protección de datos por defecto |
1. Los Estados miembros dispondrán que, habida cuenta de las técnicas existentes y de los costes asociados a su implementación, el responsable del tratamiento implementará medidas y procedimientos técnicos y organizativos apropiados, de manera que el tratamiento sea conforme con las disposiciones adoptadas con arreglo a la presente Directiva y garantice la protección de los derechos del interesado. |
1. Los Estados miembros dispondrán que, habida cuenta de las técnicas existentes, el conocimiento técnico actual, las mejores prácticas a nivel internacional y los riesgos que conlleva el tratamiento de datos, el responsable y el encargado del tratamiento si lo hubiera apliquen, tanto en el momento de la determinación de los fines y medios de tratamiento como en el del tratamiento propiamente dicho, medidas y procedimientos técnicos y organizativos apropiados y proporcionados, de manera que el tratamiento sea conforme adoptadas con arreglo a la presente Directiva y garantice la protección de los derechos del interesado, en particular en lo que respecta a los principios establecidos en el artículo 4. La protección de los datos desde el diseño debe prestar especial atención a toda la gestión del ciclo de vida de los datos personales desde la recogida hasta el tratamiento y la supresión, concentrándose sistemáticamente en proporcionar amplias salvaguardias procesales respecto de la precisión, la confidencialidad, la integridad, la seguridad física y la supresión de los datos personales. Cuando el responsable del tratamiento haya llevado a cabo una evaluación de impacto relativa a la protección de datos con arreglo a lo dispuesto en el artículo 25 bis, los resultados de dicha evaluación se tendrán en cuenta a la hora de desarrollar tales medidas y procedimientos. |
2. El responsable del tratamiento implementará mecanismos con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales necesarios para los fines del tratamiento. |
2. El responsable del tratamiento garantizará que, por defecto, solo sean objeto de tratamiento los datos personales necesarios para cada fin específico del tratamiento y, especialmente, que no se recojan ni conserven más allá del mínimo necesario para esos fines, tanto por lo que respecta a la cantidad de los datos como a la duración de su conservación. En concreto, estos mecanismos garantizarán que, por defecto, los datos personales no sean accesibles a un número indeterminado de personas y que los interesados puedan controlar la difusión de sus datos personales. |
Enmienda 82 Propuesta de Directiva Artículo 20 | |
Texto de la Comisión |
Enmienda |
Corresponsables del tratamiento |
Corresponsables del tratamiento |
Los Estados miembros dispondrán que cuando un responsable del tratamiento determine, conjuntamente con otros, los fines, las condiciones y los medios del tratamiento de datos personales, los corresponsables deben determinar, de mutuo acuerdo, cuáles son sus responsabilidades respectivas en el cumplimiento de las disposiciones adoptadas con arreglo a la presente Directiva, en particular por lo que hace a los procedimientos y mecanismos para el ejercicio de los derechos del interesado. |
1. Los Estados miembros dispondrán que cuando un responsable del tratamiento determine, conjuntamente con otros, los fines, las condiciones y los medios del tratamiento de datos personales, los corresponsables deben determinar, mediante un acuerdo legalmente vinculante entre ellos, cuáles son sus responsabilidades respectivas en el cumplimiento de las disposiciones adoptadas con arreglo a la presente Directiva, en particular por lo que hace a los procedimientos y mecanismos para el ejercicio de los derechos del interesado. |
|
2. Salvo que el interesado haya sido informado de cuál de los corresponsables del tratamiento es responsable de conformidad con el apartado 1, el interesado podrá ejercer sus derechos con arreglo a la presente Directiva con respecto a cada uno de los corresponsables o contra los mismos. |
Enmienda 83 Propuesta de Directiva Artículo 21 | |
Texto de la Comisión |
Enmienda |
Encargado del tratamiento |
Encargado del tratamiento |
1. Los Estados miembros dispondrán que cuando una operación de tratamiento sea llevada a cabo por cuenta de un responsable del tratamiento, este debe elegir un encargado del tratamiento que ofrezca garantías suficientes para implementar medidas y procedimientos técnicos y organizativos apropiados, de manera que el tratamiento sea conforme con los requisitos de las disposiciones adoptadas con arreglo a la presente Directiva y asegure la protección de los derechos del interesado. |
1. Los Estados miembros dispondrán que cuando una operación de tratamiento sea llevada a cabo por cuenta de un responsable del tratamiento, este elija a un encargado del tratamiento que ofrezca garantías suficientes para implementar medidas y procedimientos técnicos y organizativos apropiados, de manera que el tratamiento sea conforme con los requisitos de las disposiciones adoptadas con arreglo a la presente Directiva y asegure la protección de los derechos del interesado, en particular en lo que respecta a las medidas de seguridad técnica y organizativas que rigen el tratamiento que vaya a efectuarse, y para velar por que se cumplan dichas medidas. |
2. Los Estados miembros dispondrán que la realización del tratamiento por un encargado debe regirse por un acto jurídico que vincule al encargado del tratamiento con el responsable del tratamiento y que disponga, en particular, que el encargado del tratamiento actuará únicamente siguiendo las instrucciones del responsable del tratamiento, en particular cuando la transferencia de los datos personales utilizados esté prohibida. |
2. Los Estados miembros dispondrán que la realización del tratamiento a través de un encargado se rija por un contrato u otro acto jurídico que vincule al encargado del tratamiento con el responsable del tratamiento. En virtud del mismo, el encargado del tratamiento: |
|
a) actuará únicamente siguiendo las instrucciones del responsable del tratamiento; |
|
b) empleará únicamente personal que se haya comprometido a respetar la confidencialidad o esté sujeto a una obligación legal de confidencialidad; |
|
c) tomará todas las medidas necesarias de conformidad con lo dispuesto en el artículo 27; |
|
d) solo recurrirá a otro encargado del tratamiento con la autorización del responsable del tratamiento y, por consiguiente, informará a este de la intención de recurrir a otro encargado con antelación suficiente para que el responsable tenga la posibilidad de oponerse; |
|
e) en la medida de lo posible, y teniendo en cuenta la naturaleza del tratamiento, adoptará, de acuerdo con el responsable del tratamiento, las condiciones técnicas y organizativas necesarias para permitir al responsable del tratamiento cumplir su obligación de dar curso a las solicitudes que le dirijan los interesados en el ejercicio de sus derechos establecidos en el capítulo III; |
|
f) ayudará al responsable del tratamiento a garantizar el cumplimiento de las obligaciones previstas en los artículos 25 bis a 29; |
|
g) devolverá todos los resultados al responsable del tratamiento una vez finalizado el proceso y no someterá los datos personales a otro tratamiento y suprimirá las copias existentes, salvo que la legislación de la Unión o la legislación del Estado miembro exija su conservación; |
|
h) pondrá a disposición del responsable del tratamiento y de la autoridad de control toda la información necesaria para verificar el cumplimiento de las obligaciones establecidas en el presente artículo; |
|
i) tendrá en cuenta el principio de protección de datos desde el diseño y por defecto. |
|
2 bis. El responsable y el encargado del tratamiento documentarán por escrito las instrucciones del responsable y las obligaciones del encargado contempladas en el apartado 2. |
3. Si un encargado del tratamiento trata datos personales sin seguir las instrucciones del responsable del tratamiento, el encargado será considerado responsable del tratamiento con respecto a ese tratamiento y estará sujeto a las normas aplicables a los corresponsables del tratamiento establecidas en el artículo 20. |
3. Si un encargado del tratamiento trata datos personales sin seguir las instrucciones del responsable del tratamiento, el encargado será considerado responsable del tratamiento con respecto a ese tratamiento y estará sujeto a las normas aplicables a los corresponsables del tratamiento establecidas en el artículo 20. |
Enmienda 84 Propuesta de Directiva Artículo 22 – párrafo 1 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
1 bis. Cuando el encargado del tratamiento sea o llegue a ser la parte determinante en relación con los fines, medios o métodos del tratamiento de datos o no actúe exclusivamente siguiendo las instrucciones del responsable, se considerará corresponsable con arreglo al artículo 20. |
Enmienda 85 Propuesta de Directiva Artículo 23 | |
Texto de la Comisión |
Enmienda |
Documentación |
Documentación |
1. Los Estados miembros dispondrán que cada responsable y cada encargado del tratamiento conservarán la documentación de todas los procedimientos y sistemas de tratamiento bajo su responsabilidad. |
1. Los Estados miembros dispondrán que cada responsable y cada encargado del tratamiento conservarán la documentación de todas los procedimientos y sistemas de tratamiento bajo su responsabilidad. |
2. La documentación deberá contener, como mínimo, la información siguiente: |
2. La documentación deberá contener, como mínimo, la información siguiente: |
a) el nombre y los datos de contacto del responsable del tratamiento o de cualquier corresponsable o coencargado del tratamiento; |
a) el nombre y los datos de contacto del responsable del tratamiento o de cualquier corresponsable o coencargado del tratamiento; |
|
a bis) un acuerdo escrito vinculante, en caso de responsables de tratamiento conjuntos; una lista de encargados y de las actividades efectuadas por los mismos; |
b) los fines del tratamiento; |
b) los fines del tratamiento; |
|
b bis) una indicación de las partes de la organización del responsable o del encargado del tratamiento dedicada al tratamiento de datos personales para un fin concreto; |
|
b ter) una descripción de la categoría o categorías de interesados y de los datos o categorías de datos a que se refiere el tratamiento; |
c) los destinatarios o las categorías de destinatarios de los datos personales; |
c) los destinatarios o las categorías de destinatarios de los datos personales; |
|
c bis) en su caso, información sobre la existencia de elaboración de perfiles, de medidas basadas en la elaboración de perfiles, y de mecanismos de oposición a la elaboración de perfiles; |
|
c ter) información inteligible sobre la lógica de los tratamientos automatizados; |
d) las transferencias de datos a un tercer país o a una organización internacional, incluido el nombre de dicho tercer país o de dicha organización internacional. |
d) las transferencias de datos a un tercer país o a una organización internacional, incluido el nombre de dicho tercer país o de dicha organización internacional y los fundamentos jurídicos de la transmisión de los datos; cuando una transmisión se base en el artículo 35 o 36 de la presente Directiva, se dará una explicación sustantiva; |
|
d bis) los plazos establecidos para la supresión de las diferentes categorías de datos; |
|
d ter) los resultados de las comprobaciones de las medidas contempladas en el artículo 18, apartado 1; |
|
d quater) una indicación del fundamento jurídico del tratamiento de que van a ser objeto los datos. |
3. El responsable y el encargado del tratamiento pondrán la documentación a disposición de la autoridad de control, a solicitud de esta. |
3. El responsable y el encargado del tratamiento pondrán toda la documentación a disposición de la autoridad de control, a solicitud de esta. |
Enmienda 86 Propuesta de Directiva Artículo 24 | |
Texto de la Comisión |
Enmienda |
Llevanza de registros |
Llevanza de registros |
1. Los Estados miembros velarán por que se lleven registros de, al menos, las operaciones de tratamiento siguientes: recogida, alteración, consulta, comunicación, combinación o supresión. Los registros de consulta y comunicación mostrarán, en particular, el fin, la fecha y la hora de tales operaciones y, en la medida de lo posible, el nombre de la persona que consultó o comunicó datos personales. |
1. Los Estados miembros velarán por que se lleven registros de, al menos, las operaciones de tratamiento siguientes: recogida, alteración, consulta, comunicación, combinación o supresión. Los registros de consulta y comunicación mostrarán, en particular, el fin, la fecha y la hora de tales operaciones y, en la medida de lo posible, el nombre de la persona que consultó o comunicó datos personales y la identidad de los destinatarios de dichos datos. |
2. Los registros se utilizarán únicamente a efectos de comprobación de la licitud del tratamiento y de autocontrol, así como para asegurar la integridad y la seguridad de los datos. |
2. Los registros se utilizarán únicamente a efectos de comprobación de la licitud del tratamiento y de autocontrol, así como para asegurar la integridad y la seguridad de los datos, o para fines de auditoría, tanto por el delegado de protección de datos como por la autoridad de protección de datos.
|
|
2 bis. El responsable y el encargado del tratamiento pondrán los registros a disposición de la autoridad de control a solicitud de esta. |
Enmienda 87 Propuesta de Directiva Artículo 25 | |
Texto de la Comisión |
Enmienda |
Cooperación con la autoridad de control |
Cooperación con la autoridad de control |
1. Los Estados miembros dispondrán que el responsable y el encargado del tratamiento cooperarán con la autoridad de control en el desempeño de las funciones de esta, en particular facilitando toda la información necesaria al efecto. |
1. Los Estados miembros dispondrán que el responsable y el encargado del tratamiento cooperarán con la autoridad de control, previa solicitud, en el desempeño de las funciones de esta, en particular facilitando la información contemplada en el artículo 46, apartado 2, letra a), y concediendo acceso con arreglo a lo dispuesto en el artículo 46, apartado 2, letra b). |
2. Cuando la autoridad de control ejerza los poderes que le son conferidos en virtud de las letras a) y b) del artículo 46, el responsable y el encargado del tratamiento responderán a la autoridad de control dentro de un plazo razonable. La respuesta deberá incluir una descripción de las medidas adoptadas y los resultados obtenidos, en respuesta a las observaciones formuladas por la autoridad de control. |
2. Cuando la autoridad de control ejerza los poderes que le son conferidos en virtud las letras a) y b) del apartado 1 del artículo 46, el responsable y el encargado del tratamiento responderán a la autoridad de control dentro de un plazo razonable, que será fijado por esta. La respuesta deberá incluir una descripción de las medidas adoptadas y los resultados obtenidos, en respuesta a las observaciones formuladas por la autoridad de control. |
Enmienda 88 Propuesta de Directiva Artículo 25 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
Artículo 25 bis |
|
Evaluación de impacto relativa a la protección de datos |
|
1. Los Estados miembros dispondrán que, cuando las operaciones de tratamiento puedan entrañar riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines, el responsable o el encargado del tratamiento que actúe en su nombre, antes de proceder a nuevas operaciones de tratamiento o lo antes posible en caso de operaciones existentes, lleven a cabo una evaluación del impacto de los sistemas y procedimientos de tratamiento previstos sobre la protección de datos personales. |
|
2. En particular, las siguientes operaciones de tratamiento presentan los riesgos específicos a que se refiere el apartado 1: |
|
a) el tratamiento de datos personales en ficheros a gran escala para fines de prevención, detección, investigación o enjuiciamiento de infracciones penales o de ejecución de sanciones penales; |
|
b) el tratamiento de las categorías especiales de datos personales a que se refiere el artículo 8, de datos personales relacionados con menores y de datos biométricos y localización para fines de prevención, detección, investigación o enjuiciamiento de infracciones penales o de ejecución de sanciones penales; |
|
c) una evaluación de los aspectos personales propios de una persona física o destinada a analizar o a predecir, en particular, su comportamiento, que se base en un tratamiento automatizado y pueda dar lugar a medidas que produzcan efectos jurídicos que atañan o afecten significativamente a dicha persona; |
|
d) el seguimiento de zonas de acceso público, en particular cuando se utilicen dispositivos optoelectrónicos (videovigilancia); u |
|
e) otras operaciones de tratamiento para las cuales sea necesaria la consulta de la autoridad de control con arreglo a lo dispuesto en el artículo 26, apartado 1. |
|
3. La evaluación deberá incluir como mínimo: |
|
a) una descripción sistemática de las operaciones de tratamiento previstas; |
|
b) una evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento con respecto a los fines; |
|
c) una evaluación de los riesgos para los derechos y libertades de los interesados, y las medidas contempladas para hacer frente a dichos riesgos y reducir al mínimo la cantidad de datos personales tratados; |
|
d) las medidas de seguridad y los mecanismos destinados a garantizar la protección de datos personales y a probar la conformidad con las disposiciones adoptadas de conformidad con la presente Directiva, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas; |
|
e) una indicación general de los plazos establecidos para la supresión de las diferentes categorías de datos; |
|
f) en su caso, una lista de las transferencias de datos previstas a un tercer país o a una organización internacional, incluido el nombre de dicho tercer país o de dicha organización internacional y, en el caso de las transferencias contempladas en el artículo 36, apartado 2, la documentación de garantías apropiadas; |
|
4. Si el responsable o el encargado del tratamiento han designado a un delegado de protección de datos, este participará en el procedimiento de evaluación de impacto. |
|
5. Los Estados miembros dispondrán que el responsable del tratamiento consulte al público sobre el tratamiento previsto, sin perjuicio de la protección del interés público o de la seguridad de las operaciones de tratamiento. |
|
6. Sin perjuicio de la protección del interés público o de la seguridad de las operaciones de tratamiento, la evaluación será fácilmente accesible al público. |
|
7. Se otorgan a la Comisión los poderes para adoptar, previa solicitud del dictamen del Consejo Europeo de Protección de Datos, actos delegados con arreglo al artículo 56, a fin de especificar los criterios y condiciones aplicables a las operaciones de tratamiento que puedan entrañar los riesgos específicos contemplados en los apartados 1 y 2, y los requisitos aplicables a la evaluación contemplada en el apartado 3, incluidas las condiciones de escalabilidad, verificación y auditabilidad. |
Enmienda 89 Propuesta de Directiva Artículo 26 | |
Texto de la Comisión |
Enmienda |
Consulta previa de la autoridad de control |
Consulta previa de la autoridad de control |
1. Los Estados miembros velarán por que el responsable o el encargado del tratamiento consulten a la autoridad de control antes de proceder al tratamiento de datos personales que vayan a formar parte de un nuevo sistema de archivo que haya de crearse, cuando: |
1. Los Estados miembros velarán por que el responsable o el encargado del tratamiento consulten a la autoridad de control antes de proceder al tratamiento de datos personales a fin de garantizar la conformidad del tratamiento previsto con las disposiciones adoptadas de conformidad con la presente Directiva y, en particular, de atenuar los riesgos para los interesados, cuando: |
a) vayan a tratarse categorías especiales de datos contempladas en el artículo 8; |
a) una evaluación de impacto relativa a la protección de los datos, al amparo del artículo 25 bis, indique que las operaciones de tratamiento pueden entrañar un elevado nivel de riesgos específicos en razón de su naturaleza, alcance o fines; o |
b) el tipo de tratamiento, en particular cuando se usen tecnologías, mecanismos o procedimientos nuevos, entrañe riesgos específicos para los derechos y libertades fundamentales y, en particular, para la protección de datos personales de los interesados. |
b) la autoridad de control considere necesario proceder a una consulta previa en relación con las operaciones de tratamiento especificadas que puedan entrañar riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines. |
|
1 bis. Cuando la autoridad de control determine, amparándose en sus competencias, que el tratamiento previsto no es conforme con las disposiciones adoptadas de conformidad con la presente Directiva, en particular cuando los riesgos no estén suficientemente definidos o atenuados, prohibirá el tratamiento previsto y presentará las propuestas oportunas para poner remedio a esta falta de conformidad.
|
2. Los Estados miembros podrán disponer que la autoridad de control establecerá una lista de las operaciones de tratamiento que están sujetas a consulta previa con arreglo a lo dispuesto en el apartado 1. |
2. Los Estados miembros dispondrán que la autoridad de control, previa consulta al Consejo Europeo de Protección de Datos, establecerá una lista de las operaciones de tratamiento que están sujetas a consulta previa con arreglo a lo dispuesto en el apartado 1, letra b). |
|
2 bis. Los Estados miembros dispondrán que el responsable o el encargado del tratamiento faciliten a la autoridad de control la evaluación de impacto relativa a la protección de datos contemplada en el artículo 25 bis y, previa solicitud, cualquier información adicional que permita a la autoridad de control evaluar la conformidad del tratamiento y, en particular, los riesgos para la protección de los datos personales del interesado y las garantías correspondientes. |
|
2 ter. Si la autoridad de control considera que el tratamiento previsto no es conforme con las disposiciones adoptadas de conformidad con la presente Directiva, o que los riesgos no están suficientemente definidos o atenuados, presentará las propuestas oportunas para poner remedio a esta falta de conformidad. |
|
2 quater. Los Estados miembros podrán consultar a la autoridad de control con respecto a la elaboración de una medida legislativa antes de su adopción por los Parlamentos nacionales o de una medida basada en dicha medida legislativa que defina la naturaleza del tratamiento, con el fin de garantizar la conformidad del tratamiento previsto en virtud de la presente Directiva y, en particular, de atenuar los riesgos para los interesados. |
Enmienda 90 Propuesta de Directiva Artículo 27 | |
Texto de la Comisión |
Enmienda |
Seguridad del tratamiento |
Seguridad del tratamiento |
1. Los Estados miembros dispondrán que el responsable y el encargado del tratamiento implementarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en relación con los riesgos que entrañe el tratamiento y la naturaleza de los datos que deban protegerse, habida cuenta de las técnicas existentes y de los costes asociados a su implementación. |
1. Los Estados miembros dispondrán que el responsable y el encargado del tratamiento implementarán procedimientos y medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en relación con los riesgos que entrañe el tratamiento y la naturaleza de los datos que deban protegerse, habida cuenta de las técnicas existentes y de los costes asociados a su implementación. |
2. Por lo que hace al tratamiento automatizado de datos, cada Estado miembro dispondrá que el responsable o el encargado del tratamiento, a raíz de una evaluación de los riesgos, implementará medidas destinadas a: |
2. Por lo que hace al tratamiento automatizado de datos, cada Estado miembro dispondrá que el responsable o el encargado del tratamiento, a raíz de una evaluación de los riesgos, implementará medidas destinadas a: |
a) denegar el acceso a personas no autorizadas a los equipamientos utilizados para el tratamiento de datos personales (control de acceso a los equipamientos); |
a) denegar el acceso a personas no autorizadas a los equipamientos utilizados para el tratamiento de datos personales (control de acceso a los equipamientos); |
b) impedir que los soportes de datos puedan ser leídos, copiados, modificados o cancelados por personas no autorizadas (control de los soportes de datos); |
b) impedir que los soportes de datos puedan ser leídos, copiados, modificados o cancelados por personas no autorizadas (control de los soportes de datos); |
c) impedir que se introduzcan sin autorización datos personales conservados, o que estos puedan inspeccionarse, modificarse o suprimirse sin autorización (control de la conservación); |
c) impedir que se introduzcan sin autorización datos personales conservados, o que estos puedan inspeccionarse, modificarse o suprimirse sin autorización (control de la conservación); |
d) impedir que los sistemas de tratamiento automatizado de datos puedan ser utilizados por personas no autorizadas por medio de equipamientos de comunicación de datos (control de los usuarios); |
d) impedir que los sistemas de tratamiento automatizado de datos puedan ser utilizados por personas no autorizadas por medio de equipamientos de comunicación de datos (control de los usuarios); |
e) garantizar que las personas autorizadas a utilizar un sistema de tratamiento automatizado de datos solo puedan tener acceso a los datos para los que han sido autorizados (control del acceso a los datos); |
e) garantizar que las personas autorizadas a utilizar un sistema de tratamiento automatizado de datos solo puedan tener acceso a los datos para los que han sido autorizados (control del acceso a los datos); |
f) garantizar que sea posible verificar y constatar a qué organismos se han transmitido o pueden transmitirse o a cuya disposición pueden ponerse datos personales mediante equipamientos de comunicación de datos (control de las comunicaciones); |
f) garantizar que sea posible verificar y constatar a qué organismos se han transmitido o pueden transmitirse o a cuya disposición pueden ponerse datos personales mediante equipamientos de comunicación de datos (control de las comunicaciones); |
g) garantizar que pueda verificarse y constatarse a posteriori qué datos personales se han introducido en los sistemas de tratamiento automatizado de datos y en qué momento y por qué persona han sido introducidos (control de la introducción); |
g) garantizar que pueda verificarse y constatarse a posteriori qué datos personales se han introducido en los sistemas de tratamiento automatizado de datos y en qué momento y por qué persona han sido introducidos (control de la introducción); |
h) impedir que durante las transferencias de datos personales o durante el transporte de soportes de datos, los datos personales puedan ser leídos, copiados, modificados o suprimidos sin autorización (control del transporte); |
h) impedir que durante las transferencias de datos personales o durante el transporte de soportes de datos, los datos personales puedan ser leídos, copiados, modificados o suprimidos sin autorización (control del transporte); |
i) garantizar que los sistemas instalados puedan restablecerse en caso de interrupción (recuperación); |
i) garantizar que los sistemas instalados puedan restablecerse en caso de interrupción (recuperación); |
j) garantizar que las funciones del sistema no presenten defectos, que los errores de funcionamiento sean señalados (fiabilidad) y que los datos personales almacenados no se degraden por fallos de funcionamiento del sistema (integridad). |
j) garantizar que las funciones del sistema no presenten defectos, que los errores de funcionamiento sean señalados (fiabilidad) y que los datos personales almacenados no se degraden por fallos de funcionamiento del sistema (integridad); |
|
j bis) garantizar que, en caso de tratamiento de datos personales sensibles de conformidad con el artículo 8, se instauren medidas de seguridad adicionales para garantizar el conocimiento de la situación de los riesgos y la capacidad de adoptar medidas preventivas, correctoras y de mitigación casi en tiempo real contra la vulnerabilidad o incidentes detectados que puedan presentar un riesgo para los datos; |
|
2 bis. Los Estados miembros dispondrán que sólo pueda designarse como encargado del tratamiento a quien ofrezca garantías de que respeta las medidas técnicas y organizativas exigidas a que se refiere el apartado 1 y cumple las instrucciones contempladas en el artículo 21, apartado 2, letra a). Las autoridades competentes controlarán al encargado del tratamiento en ese sentido. |
3. La Comisión podrá adoptar, en caso necesario, actos de ejecución para especificar los requisitos establecidos en los apartados 1 y 2 a distintas situaciones, en particular normas de cifrado. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 57, apartado 2. |
3. La Comisión podrá adoptar, en caso necesario, actos de ejecución para especificar los requisitos establecidos en los apartados 1 y 2 a distintas situaciones, en particular normas de cifrado. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 57, apartado 2. |
Enmienda 91 Propuesta de Directiva Artículo 28 | |
Texto de la Comisión |
Enmienda |
Notificación de una violación de datos personales a la autoridad de control |
Notificación de una violación de datos personales a la autoridad de control |
1. Los Estados miembros dispondrán que, en caso de violación de datos personales, el responsable del tratamiento la notificará a la autoridad de control sin demora injustificada, y, de ser posible, a más tardar veinticuatro horas después de que haya tenido constancia de ella. Si la notificación no se hace en el plazo de veinticuatro horas, el responsable facilitará a la autoridad de control, previa solicitud, una justificación motivada. |
1. Los Estados miembros dispondrán que, en caso de violación de datos personales, el responsable del tratamiento la notificará a la autoridad de control sin demora injustificada, y, de ser posible, en un plazo de veinticuatro horas. En caso de demora, el responsable facilitará a la autoridad de control, previa solicitud, una justificación motivada. |
2. El encargado del tratamiento alertará e informará al responsable del tratamiento inmediatamente después de que haya constatado una violación de datos personales. |
2. El encargado del tratamiento alertará e informará al responsable del tratamiento sin demora injustificada tras la constatación de una violación de datos personales. |
3. La notificación contemplada en el apartado 1 deberá, al menos: |
3. La notificación contemplada en el apartado 1 deberá, al menos: |
a) describir la naturaleza de la violación de datos personales, en particular las categorías y el número de interesados afectados, y las categorías y el número de registros de datos afectados; |
a) describir la naturaleza de la violación de datos personales, en particular las categorías y el número de interesados afectados, y las categorías y el número de registros de datos afectados; |
b) comunicar la identidad y los datos de contacto del delegado de protección de datos contemplado en el artículo 30 o de otro punto de contacto en el que pueda obtenerse más información; |
b) comunicar la identidad y los datos de contacto del delegado de protección de datos contemplado en el artículo 30 o de otro punto de contacto en el que pueda obtenerse más información; |
c) recomendar medidas tendentes a atenuar los posibles efectos negativos de la violación de datos personales; |
c) recomendar medidas tendentes a atenuar los posibles efectos negativos de la violación de datos personales; |
d) describir las posibles consecuencias de la violación de datos personales; |
d) describir las posibles consecuencias de la violación de datos personales; |
e) describir las medidas propuestas o adoptadas por el responsable del tratamiento para poner remedio a la violación de datos personales. |
e) describir las medidas propuestas o adoptadas por el responsable del tratamiento para poner remedio a la violación de datos personales y atenuar sus efectos. |
|
Si no se puede facilitar sin demora injustificada toda la información, el responsable del tratamiento podrá completar la notificación en una segunda fase. |
4. Los Estados miembros dispondrán que el responsable del tratamiento documentará cualquier violación de datos personales, indicando su contexto, sus efectos y las medidas correctivas adoptadas. Esta documentación deberá permitir a la autoridad de control verificar el cumplimiento de las disposiciones del presente artículo. Solo incluirá la información necesaria a tal efecto. |
4. Los Estados miembros dispondrán que el responsable del tratamiento documentará cualquier violación de datos personales, indicando su contexto, sus efectos y las medidas correctivas adoptadas. Esta documentación deberá ser suficiente para permitir a la autoridad de control verificar el cumplimiento de las disposiciones del presente artículo. Solo incluirá la información necesaria a tal efecto. |
|
4 bis. La autoridad de control llevará un registro público de los tipos de infracciones notificadas. |
5. La Comisión estará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 56, a fin de especificar los criterios y requisitos aplicables a la constatación de la violación de datos contemplada en los apartados 1 y 2 y en relación con las circunstancias particulares en las que se exige a un responsable y un encargado del tratamiento notificar la violación de datos personales. |
5. Se otorgan a la Comisión los poderes para adoptar, previa solicitud del dictamen del Consejo Europeo de Protección de Datos, actos delegados con arreglo al artículo 56, a fin de especificar los criterios y requisitos aplicables a la constatación de la violación de datos contemplada en los apartados 1 y 2 y en relación con las circunstancias particulares en las que se exige a un responsable y un encargado del tratamiento notificar la violación de datos personales. |
6. La Comisión podrá definir el formato normalizado de dicha notificación a la autoridad de control, los procedimientos aplicables al requisito de notificación y la forma y las modalidades de la documentación contemplada en el apartado 4, incluidos los plazos para la supresión de la información que figura en ella. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 57, apartado 2. |
6. La Comisión podrá definir el formato normalizado de dicha notificación a la autoridad de control, los procedimientos aplicables al requisito de notificación y la forma y las modalidades de la documentación contemplada en el apartado 4, incluidos los plazos para la supresión de la información que figura en ella. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 57, apartado 2. |
Enmienda 92 Propuesta de Directiva Artículo 29 | |
Texto de la Comisión |
Enmienda |
Comunicación de una violación de datos personales al interesado |
Comunicación de una violación de datos personales al interesado |
1. Los Estados miembros dispondrán que, cuando sea probable que la violación de datos personales afecte negativamente a la protección de los datos personales o la privacidad del interesado, el responsable del tratamiento, después de haber procedido a la notificación contemplada en el artículo 28, comunicará al interesado, sin demora injustificada, la violación de datos personales. |
1. Los Estados miembros dispondrán que, cuando sea probable que la violación de datos personales afecte negativamente a la protección de los datos personales, a la privacidad, a los derechos o a los intereses legítimos del interesado, el responsable del tratamiento, después de haber procedido a la notificación contemplada en el artículo 28, comunicará al interesado, sin demora injustificada, la violación de datos personales. |
2. La comunicación al interesado contemplada en el apartado 1 describirá la naturaleza de la violación de datos personales y contendrá, al menos, la información y las recomendaciones previstas en el artículo 28, apartado 3, letras b) y c). |
2. La comunicación al interesado contemplada en el apartado 1 será completa y utilizará un lenguaje claro y sencillo. Describirá la naturaleza de la violación de datos personales y contendrá, al menos, la información y las recomendaciones previstas en el artículo 28, apartado 3, letras b), c) y d), así como información sobre los derechos del interesado, incluido el derecho de recurso. |
3. La comunicación de una violación de datos personales al interesado no será necesaria si el responsable del tratamiento demuestra, a satisfacción de la autoridad de control, que ha implementado medidas de protección tecnológica apropiadas y que estas medidas se han aplicado a los datos afectados por la violación. Dichas medidas de protección tecnológica deberán hacer ininteligibles los datos para cualquier persona que no esté autorizada a acceder a ellos. |
3. La comunicación de una violación de datos personales al interesado no será necesaria si el responsable del tratamiento demuestra, a satisfacción de la autoridad de control, que ha implementado medidas de protección tecnológica apropiadas y que estas medidas se han aplicado a los datos afectados por la violación. Dichas medidas de protección tecnológica deberán hacer ininteligibles los datos para cualquier persona que no esté autorizada a acceder a ellos. |
|
3 bis. Sin perjuicio de la obligación del responsable del tratamiento de notificar al interesado la violación de datos personales, si aquel no hubiera comunicado ya al interesado la violación de datos personales, la autoridad de control, una vez considerados los efectos negativos probables de la violación, podrá exigirle que lo haga. |
4. La comunicación al interesado podrá aplazarse, limitarse u omitirse por los motivos contemplados en el artículo 11, apartado 4. |
4. La comunicación al interesado podrá aplazarse o limitarse por los motivos contemplados en el artículo 11, apartado 4. |
Enmienda 93 Propuesta de Directiva Artículo 30 | |
Texto de la Comisión |
Enmienda |
Designación del delegado de protección de datos |
Designación del delegado de protección de datos |
1. Los Estados miembros dispondrán que el responsable o el encargado del tratamiento designarán un delegado de protección de datos. |
1. Los Estados miembros dispondrán que el responsable o el encargado del tratamiento designarán un delegado de protección de datos. |
2. El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos, y a su capacidad para ejecutar las tareas contempladas en el artículo 32. |
2. El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos, y a su capacidad para ejecutar las tareas contempladas en el artículo 32. El nivel de conocimientos especializados requerido se determinará, en particular, en función del tratamiento de datos llevado a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado del tratamiento. |
|
2 bis. Los Estados miembros dispondrán que el responsable o el encargado del tratamiento velen por que cualesquiera otras funciones profesionales del delegado de protección de datos sean compatibles con sus tareas y funciones en calidad de delegado de protección de datos y no planteen conflictos de intereses. |
|
2 ter. El delegado de protección de datos será designado por un período de cuatro años como mínimo. El delegado de protección de datos podrá ser designado para nuevos mandatos. Durante su mandato, el delegado de protección de datos solo podrá ser destituido de tal función si dejase de cumplir las condiciones requeridas para el ejercicio de sus funciones. |
|
2 quater. Los Estados miembros reconocerán el derecho del interesado a ponerse en contacto con el delegado de protección de datos en relación con cualquier asunto relacionado con el tratamiento de sus datos personales. |
3. El delegado de protección de datos podrá ser designado para varias entidades, teniendo en cuenta la estructura organizativa de la autoridad competente. |
3. El delegado de protección de datos podrá ser designado para varias entidades, teniendo en cuenta la estructura organizativa de la autoridad competente. |
|
3 bis. Los Estados miembros velarán por que el responsable y el encargado del tratamiento comuniquen el nombre y los datos de contacto del delegado de protección de datos a la autoridad de control y al público. |
Enmienda 94 Propuesta de Directiva Artículo 31 – párrafo 2 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
2 bis. El responsable o el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de sus tareas y le facilitarán todos los medios, incluido el personal, los locales, los equipamientos, la formación profesional continua y cualesquiera otros recursos necesarios para el desempeño de las funciones y tareas contempladas en el artículo 32 y para mantener sus conocimientos profesionales. |
Enmienda 95 Propuesta de Directiva Artículo 32 | |
Texto de la Comisión |
Enmienda |
Tareas del delegado de protección de datos |
Tareas del delegado de protección de datos |
Los Estados miembros dispondrán que el responsable o el encargado del tratamiento encomendarán al delegado de protección de datos, como mínimo, las siguientes tareas: |
Los Estados miembros dispondrán que el responsable o el encargado del tratamiento encomendarán al delegado de protección de datos, como mínimo, las siguientes tareas: |
a) informar y asesorar al responsable o al encargado del tratamiento de las obligaciones que les incumben de conformidad con las disposiciones adoptadas en virtud de la presente Directiva, y documentar esta actividad y las respuestas recibidas; |
a) sensibilizar, informar y asesorar al responsable o al encargado del tratamiento de las obligaciones que les incumben de conformidad con las disposiciones adoptadas en virtud de la presente Directiva, en particular en relación con las medidas y los procedimientos técnicos y organizativos, y documentar esta actividad y las respuestas recibidas; |
b) supervisar la implementación y aplicación de las políticas relativas a la protección de datos personales, incluida la asignación de responsabilidades, la formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes; |
b) supervisar la implementación y aplicación de las políticas relativas a la protección de datos personales, incluida la asignación de responsabilidades, la formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes; |
c) supervisar la implementación y aplicación de las disposiciones adoptadas en virtud de la presente Directiva, en particular por lo que hace a los requisitos relativos a la protección de datos desde el diseño, la protección de datos por defecto y la seguridad de los datos, así como a la información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos en virtud de las disposiciones adoptadas con arreglo a la presente Directiva; |
c) supervisar la implementación y aplicación de las disposiciones adoptadas en virtud de la presente Directiva, en particular por lo que hace a los requisitos relativos a la protección de datos desde el diseño, la protección de datos por defecto y la seguridad de los datos, así como a la información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos en virtud de las disposiciones adoptadas con arreglo a la presente Directiva; |
d) velar por la conservación de la documentación contemplada en el artículo 23; |
d) velar por la conservación de la documentación contemplada en el artículo 23; |
e) supervisar la documentación, notificación y comunicación de las violaciones de datos personales con arreglo a lo dispuesto en los artículos 28 y 29; |
e) supervisar la documentación, notificación y comunicación de las violaciones de datos personales con arreglo a lo dispuesto en los artículos 28 y 29; |
f) supervisar la presentación de solicitudes de consulta previa a la autoridad de control, si así se requiere de conformidad con lo dispuesto en el artículo 26; |
f) supervisar la aplicación de la evaluación de impacto relativa a la protección de datos por parte del responsable o del encargado del tratamiento y la presentación de solicitudes de consulta previa a la autoridad de control, si así se requiere de conformidad con lo dispuesto en el artículo 26, apartado 1; |
g) supervisar la respuesta a las solicitudes de la autoridad de control y, en el marco de la competencia del delegado de protección de datos, cooperar con la autoridad de control a solicitud de esta o a iniciativa propia; |
g) supervisar la respuesta a las solicitudes de la autoridad de control y, en el marco de la competencia del delegado de protección de datos, cooperar con la autoridad de control a solicitud de esta o a iniciativa propia; |
h) actuar como punto de contacto para la autoridad de control sobre las cuestiones relacionadas con el tratamiento y consultar a la autoridad de control, si procede, a iniciativa propia. |
h) actuar como punto de contacto para la autoridad de control sobre las cuestiones relacionadas con el tratamiento y consultar a la autoridad de control, si procede, a iniciativa propia. |
Enmienda 96 Propuesta de Directiva Artículo 33 | |
Texto de la Comisión |
Enmienda |
Principios generales de las transferencias de datos personales |
Principios generales de las transferencias de datos personales |
Los Estados miembros dispondrán que cualquier transferencia de datos personales por las autoridades competentes que sean o vayan a ser objeto de tratamiento tras su transferencia a un tercer país o a una organización internacional, incluidas las transferencias ulteriores a otro tercer país u otra organización internacional, solo podrá realizarse si: |
Los Estados miembros dispondrán que cualquier transferencia de datos personales por las autoridades competentes que sean o vayan a ser objeto de tratamiento tras su transferencia a un tercer país o a una organización internacional, incluidas las transferencias ulteriores a otro tercer país u otra organización internacional, solo podrá realizarse si: |
a) la transferencia es necesaria para la prevención, investigación, detección o enjuiciamiento de infracciones penales o para la ejecución de sanciones penales; y |
a) la transferencia específica es necesaria para la prevención, investigación, detección o enjuiciamiento de infracciones penales o para la ejecución de sanciones penales; y |
|
a bis) los datos se transfieren a un responsable del tratamiento en un tercer país u organización internacional que sea una autoridad pública competente a los efectos de lo dispuesto en el artículo 1, apartado 1; y |
|
a ter) el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, en particular en lo tocante a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional; y |
b) el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo. |
b) el responsable y el encargado del tratamiento cumplen las demás disposiciones adoptadas en virtud de la presente Directiva; y |
|
b bis) no se debilita el nivel de protección de las personas físicas en materia de protección de datos garantizado en la Unión por la presente Directiva; y |
|
b ter) la Comisión ha decidido, en cumplimiento de las condiciones y los procedimientos contemplados en el artículo 34, que el tercer país o la organización internacional de que se trate garantizan un nivel de protección adecuado; o |
|
b quater) se han aportado garantías apropiadas con respecto a la protección de datos personales en un instrumento jurídicamente vinculante de conformidad con el artículo 35. |
|
Los Estados miembros dispondrán que toda transferencia ulterior mencionada en el párrafo primero del presente artículo solo pueda tener lugar si, además de las condiciones estipuladas en dicho párrafo: |
|
a) la transferencia ulterior es necesaria por los mismos fines específicos que la transferencia original; y |
|
b) la autoridad competente que llevó a cabo la transferencia original autoriza la transferencia ulterior. |
Enmienda 97 Propuesta de Directiva Artículo 34 | |
Texto de la Comisión |
Enmienda |
Transferencias con una decisión de adecuación |
Transferencias con una decisión de adecuación |
1. Los Estados miembros dispondrán que una transferencia de datos personales a un tercer país o una organización internacional podrá realizarse cuando la Comisión haya decidido, de conformidad con lo dispuesto en el artículo 41 del Reglamento (UE) nº …./2012 o de conformidad con el apartado 3 del presente artículo, que el tercer país, o un territorio o un sector de tratamiento en ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dichas transferencias no requerirán nuevas autorizaciones. |
1. Los Estados miembros dispondrán que una transferencia de datos personales a un tercer país o una organización internacional podrá realizarse cuando la Comisión haya decidido, de conformidad con el apartado 3 del presente artículo, que el tercer país, o un territorio o un sector de tratamiento en ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dichas transferencias no requerirán autorizaciones específicas. |
2. Cuando no exista una decisión adoptada de conformidad con lo dispuesto en el artículo 41 del Reglamento (UE) nº …./2012, la Comisión evaluará la adecuación del nivel de protección, tomando en consideración los elementos siguientes: |
2. Al evaluar la adecuación del nivel de protección, la Comisión tomará en consideración los elementos siguientes: |
a) el Estado de Derecho, la legislación pertinente en vigor, tanto general como sectorial, en particular en lo que respecta a la seguridad pública, la defensa, la seguridad nacional, el Derecho penal, las medidas de seguridad en vigor en el país de que se trate o aplicables a la organización internacional en cuestión, así como los derechos efectivos y exigibles, incluido el derecho de recurso administrativo y judicial efectivo de los interesados, en particular los residentes en la Unión cuyos datos personales estén siendo transferidos; |
a) el Estado de Derecho, la legislación pertinente en vigor, en particular en lo que respecta a la seguridad pública, la defensa, la seguridad nacional, el Derecho penal, la aplicación de dicha legislación y las medidas de seguridad en vigor en el país de que se trate o aplicables a la organización internacional en cuestión, los precedentes jurisprudenciales, así como los derechos efectivos y exigibles, incluido el derecho de recurso administrativo y judicial efectivo de los interesados, en particular los residentes en la Unión cuyos datos personales estén siendo transferidos; |
b) la existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país u organización internacional de que se trate, encargadas de garantizar el cumplimiento de las normas en materia de protección de datos, de asistir y asesorar a los interesados en el ejercicio de sus derechos y de cooperar con las autoridades de control de la Unión y de los Estados miembros; y |
b) la existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país u organización internacional de que se trate, encargadas de garantizar el cumplimiento de las normas en materia de protección de datos, con competencias sancionadoras suficientes, de asistir y asesorar a los interesados en el ejercicio de sus derechos y de cooperar con las autoridades de control de la Unión y de los Estados miembros; y |
c) los compromisos internacionales asumidos por el tercer país o la organización internacional de que se trate. |
c) los compromisos internacionales asumidos por el tercer país o la organización internacional de que se trate, en particular cualquier convención o instrumento jurídicamente vinculante en relación con la protección de datos personales. |
3. La Comisión podrá decidir, dentro del ámbito de aplicación de la presente Directiva, que un tercer país, o un territorio o un sector de tratamiento de datos en ese tercer país, o una organización internacional garantizan un nivel de protección adecuado a tenor de lo dispuesto en el apartado 2. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 57, apartado 2. |
3. Se otorgan a la Comisión los poderes para adoptar, previa solicitud del dictamen del Consejo Europeo de Protección de Datos, actos delegados con arreglo al artículo 56, a fin de decidir, dentro del ámbito de aplicación de la presente Directiva, que un tercer país, o un territorio o un sector de tratamiento de datos en ese tercer país, o una organización internacional garantizan un nivel de protección adecuado a tenor de lo dispuesto en el apartado 2.
|
4. El acto de ejecución especificará su ámbito de aplicación geográfica y sectorial, y, cuando proceda, determinará cuál es la autoridad de control mencionada en el apartado 2, letra b). |
4. El acto delegado especificará su ámbito de aplicación geográfica y sectorial, y determinará cuál es la autoridad de control mencionada en el apartado 2, letra b). |
|
4 bis. La Comisión realizará, con carácter continuo, un seguimiento de las novedades que pudiesen afectar al cumplimiento de los elementos que figuran en el apartado 2 en terceros países y organizaciones internacionales en relación con los cuales se haya adoptado un acto delegado en virtud del apartado 3. |
5. La Comisión podrá decidir, dentro del ámbito de aplicación de la presente Directiva, que un tercer país, o un territorio o un sector de tratamiento de datos en ese tercer país, o una organización internacional no garantizan un nivel de protección adecuado a tenor de lo dispuesto en el apartado 2, en particular en los casos en que la legislación pertinente, tanto general como sectorial, en vigor en el tercer país o aplicable a la organización internacional en cuestión, no garantice derechos efectivos y exigibles, incluido el derecho de recurso administrativo y judicial efectivo de los interesados, en particular aquellos cuyos datos personales estén siendo transferidos. Dichos actos de ejecución se adoptarán de acuerdo con el procedimiento de examen contemplado en el artículo 57, apartado 2, o, en casos de extrema urgencia para personas en lo que respecta a su derecho a la protección de datos personales, de conformidad con el procedimiento contemplado en el artículo 57, apartado 3. |
5. Se otorgan a la Comisión los poderes para adoptar actos delegados con arreglo al artículo 56, a fin de decidir, dentro del ámbito de aplicación de la presente Directiva, que un tercer país, o un territorio o un sector de tratamiento de datos en ese tercer país, o una organización internacional no garantizan un nivel de protección adecuado a tenor de lo dispuesto en el apartado 2, en particular en los casos en que la legislación pertinente en vigor en el tercer país o aplicable a la organización internacional en cuestión, no garantice derechos efectivos y exigibles, incluido el derecho de recurso administrativo y judicial efectivo de los interesados, en particular aquellos cuyos datos personales estén siendo transferidos. |
6. Los Estados miembros velarán por que cuando la Comisión adopte una decisión de conformidad con lo dispuesto en el apartado 5, esté prohibida toda transferencia de datos personales al tercer país, o a un territorio o un sector de tratamiento de datos en ese tercer país, o a la organización internacional de que se trate; dicha decisión se entenderá sin perjuicio de las transferencias en virtud del artículo 35, apartado 1, o de conformidad con lo dispuesto en el artículo 36. La Comisión entablará consultas, en su debido momento, con el tercer país o la organización internacional con vistas a poner remedio a la situación resultante de la decisión adoptada de conformidad con lo dispuesto en el apartado 5 del presente artículo. |
6. Los Estados miembros velarán por que cuando la Comisión adopte una decisión de conformidad con lo dispuesto en el apartado 5, esté prohibida toda transferencia de datos personales al tercer país, o a un territorio o un sector de tratamiento de datos en ese tercer país, o a la organización internacional de que se trate. La Comisión entablará consultas, en su debido momento, con el tercer país o la organización internacional con vistas a poner remedio a la situación resultante de la decisión adoptada de conformidad con lo dispuesto en el apartado 5 del presente artículo. |
7. La Comisión publicará en el Diario Oficial de la Unión Europea una lista de los terceros países, territorios y sectores de tratamiento de datos en un tercer país o una organización internacional para los que haya decidido que está o no está garantizado un nivel protección adecuado. |
7. La Comisión publicará en el Diario Oficial de la Unión Europea una lista de los terceros países, territorios y sectores de tratamiento de datos en un tercer país o una organización internacional para los que haya decidido que está o no está garantizado un nivel protección adecuado. |
8. La Comisión supervisará la aplicación de los actos de ejecución contemplados en los apartados 3 y 5. |
8. La Comisión supervisará la aplicación de los actos delegados contemplados en los apartados 3 y 5. |
Enmienda 98 Propuesta de Directiva Artículo 35 | |
Texto de la Comisión |
Enmienda |
Transferencias mediante garantías apropiadas |
Transferencias mediante garantías apropiadas |
1. Cuando la Comisión no haya adoptado una decisión con arreglo a lo dispuesto en el artículo 34, los Estados miembros dispondrán que podrá tener lugar una transferencia de datos personales a un destinatario en un tercer país o una organización internacional cuando: |
1. Cuando la Comisión no haya adoptado una decisión con arreglo a lo dispuesto en el artículo 34, o decida que un tercer país, o un territorio en ese tercer país o una organización internacional no garantizan un nivel de protección adecuado de conformidad con el artículo 34, apartado 5, un responsable o un encargado del tratamiento solo podrán transferir datos personales a un tercer país, o a un territorio en ese tercer país o a una organización internacional si han aportado garantías apropiadas con respecto a la protección de datos personales en un instrumento jurídicamente vinculante. |
a) se hayan aportado garantías apropiadas con respecto a la protección de datos personales en un instrumento jurídicamente vinculante; o |
|
b) el responsable o el encargado del tratamiento hayan evaluado todas las circunstancias que concurren en la transferencia de datos personales y hayan llegado a la conclusión de que existen garantías apropiadas con respecto a la protección de datos personales. |
|
2. La decisión relativa a una transferencia en virtud del apartado 1, letra b), deberá ser adoptada por personal debidamente autorizado. Estas transferencias deberán documentarse y la documentación se pondrá a disposición, previa solicitud, de la autoridad de control. |
2. Estas transferencias deberán ser autorizadas previamente por la autoridad de control. |
Enmienda 99 Propuesta de Directiva Artículo 36 | |
Texto de la Comisión |
Enmienda |
Excepciones |
Excepciones |
|
1. Cuando la Comisión considere, de conformidad con el artículo 34, apartado 5, que no existe un nivel de protección adecuado, no se realizará la transferencia de datos personales al tercer país u organización internacional en cuestión, si, en el caso en cuestión, los intereses legítimos del interesado por que no se efectúe una transferencia priman sobre el interés público que presenta la transferencia. |
No obstante lo dispuesto en los artículos 34 y 35, los Estados miembros dispondrán que solo podrá procederse a la transferencia de datos personales a un tercer país o una organización internacional en caso de que: |
2. No obstante lo dispuesto en los artículos 34 y 35, los Estados miembros dispondrán que solo podrá procederse a la transferencia de datos personales a un tercer país o una organización internacional en caso de que: |
a) la transferencia sea necesaria para proteger los intereses vitales del interesado o de otra persona; o |
a) la transferencia sea necesaria para proteger los intereses vitales del interesado o de otra persona; o |
b) la transferencia sea necesaria para salvaguardar intereses legítimos del interesado cuando así lo disponga el Derecho del Estado miembro que transfiere los datos personales; o |
b) la transferencia sea necesaria para salvaguardar intereses legítimos del interesado cuando así lo disponga el Derecho del Estado miembro que transfiere los datos personales; o |
c) la transferencia de los datos sea esencial para prevenir una amenaza inminente y grave para la seguridad pública de un Estado miembro o de un tercer país; o |
c) la transferencia de los datos sea esencial para prevenir una amenaza inminente y grave para la seguridad pública de un Estado miembro o de un tercer país; o |
d) la transferencia sea necesaria en casos concretos a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales; o |
d) la transferencia sea necesaria en casos concretos a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales; o |
e) la transferencia sea necesaria en casos concretos para el reconocimiento, el ejercicio o la defensa de un derecho en un procedimiento judicial relativo a la prevención, investigación, detección o enjuiciamiento de una infracción penal o la ejecución de una sanción penal específica. |
e) la transferencia sea necesaria en casos concretos para el reconocimiento, el ejercicio o la defensa de un derecho en un procedimiento judicial relativo a la prevención, investigación, detección o enjuiciamiento de una infracción penal o la ejecución de una sanción penal específica. |
|
2 bis. El tratamiento basado en el apartado 2 deberá contar con un fundamento jurídico en el Derecho de la Unión o en la legislación del Estado miembro del que depende el responsable; dicha legislación deberá cumplir un objetivo de interés público o ser necesaria para proteger los derechos y libertades de terceros, respetar la esencia del derecho a la protección de los datos personales y ser proporcional al objetivo legítimo perseguido. |
|
2 ter. Todas las transferencias de datos personales decididas con arreglo a excepciones deberán estar debidamente justificadas y limitarse a lo estrictamente necesario, y no deberán permitirse las transferencias frecuentes y masivas de datos. |
|
2 quater. La decisión relativa a una transferencia en virtud del apartado 2 deberá ser adoptada por personal debidamente autorizado. Estas transferencias deberán documentarse y la documentación se pondrá a disposición, previa solicitud, de la autoridad de control, incluidas la fecha y la hora de la transferencia, información sobre la autoridad destinataria, la justificación de la transferencia y los datos transferidos. |
Enmienda 100 Propuesta de Directiva Artículo 37 | |
Texto de la Comisión |
Enmienda |
Condiciones específicas para la transferencia de datos personales |
Condiciones específicas para la transferencia de datos personales |
Los Estados miembros dispondrán que el responsable del tratamiento informará al destinatario de los datos personales de cualquier limitación al tratamiento y tomará todas las medidas razonables para garantizar que se cumplan dichas limitaciones. |
Los Estados miembros dispondrán que el responsable del tratamiento informará al destinatario de los datos personales de cualquier limitación al tratamiento y tomará todas las medidas razonables para garantizar que se cumplan dichas limitaciones. El responsable del tratamiento también deberá notificar al destinatario de los datos personales toda actualización, rectificación o supresión de datos, y el destinatario, a su vez, deberá notificar asimismo, en su caso, que los datos se han transferido posteriormente. |
Enmienda 101 Propuesta de Directiva Artículo 38 – apartado 1 – letra a | |
Texto de la Comisión |
Enmienda |
a) crear mecanismos de cooperación internacional eficaces que faciliten la aplicación de la legislación relativa a la protección de datos personales; |
a) crear mecanismos de cooperación internacional eficaces que garanticen la aplicación de la legislación relativa a la protección de datos personales; |
Enmienda 102 Propuesta de Directiva Artículo 38 – apartado 1 – letra d bis (nueva) | |
Texto de la Comisión |
Enmienda |
|
d bis) aclarar y consultar sobre los conflictos jurisdiccionales con terceros países. |
Enmienda 103 Propuesta de Directiva Artículo 38 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
Artículo 38 bis |
|
Informe de la Comisión |
|
La Comisión presentará periódicamente al Parlamento Europeo y al Consejo un informe sobre la aplicación de los artículos 33 a 38. El primer informe se presentará a más tardar cuatro años después de la entrada en vigor de la presente Directiva. A tal efecto, la Comisión podrá solicitar información a los Estados miembros y a las autoridades de control, que deberán facilitarla sin demora injustificada. Dicho informe se hará público. |
Enmienda 104 Propuesta de Directiva Artículo 40 – apartado 1 | |
Texto de la Comisión |
Enmienda |
1. Los Estados miembros velarán por que la autoridad de control actúe con total independencia en el ejercicio de las funciones que le hayan sido encomendadas y de los poderes que le hayan sido conferidos. |
1. Los Estados miembros velarán por que la autoridad de control actúe con total independencia en el ejercicio de las funciones que le hayan sido encomendadas y de los poderes que le hayan sido conferidos, no obstante las medidas de cooperación contempladas en el capítulo VII de la presente Directiva. |
Enmienda 105 Propuesta de Directiva Artículo 40 – apartado 2 | |
Texto de la Comisión |
Enmienda |
2. Cada Estado miembro dispondrá que, en el ejercicio de sus funciones, los miembros de la autoridad de control no solicitarán ni aceptarán instrucciones de nadie. |
2. Cada Estado miembro dispondrá que, en el ejercicio de sus funciones, los miembros de la autoridad de control no solicitarán ni aceptarán instrucciones de nadie y mantendrán una independencia y una imparcialidad totales. |
Enmienda 106 Propuesta de Directiva Artículo 43 | |
Texto de la Comisión |
Enmienda |
Secreto profesional |
Secreto profesional |
Los Estados miembros dispondrán que los miembros y el personal de la autoridad de control estarán sujetos, tanto durante su mandato como después del mismo, al deber de secreto profesional con relación a las informaciones confidenciales de las que hayan tenido conocimiento en el ejercicio de sus funciones oficiales. |
Los Estados miembros dispondrán que los miembros y el personal de la autoridad de control estarán sujetos, tanto durante su mandato como después del mismo y de conformidad con la legislación y las prácticas nacionales, al deber de secreto profesional con relación a las informaciones confidenciales de las que hayan tenido conocimiento en el ejercicio de sus funciones oficiales, al tiempo que desempeñan sus funciones con independencia y transparencia, de acuerdo con lo dispuesto en la presente Directiva. |
Enmienda 107 Propuesta de Directiva Artículo 44 – apartado 1 | |
Texto de la Comisión |
Enmienda |
Competencia |
Competencia |
1. Los Estados miembros dispondrán que cada autoridad de control ejercerá, en el territorio de su propio Estado miembro, los poderes que se le confieran de conformidad con la presente Directiva. |
1. Los Estados miembros dispondrán que cada autoridad de control sea competente para desempeñar sus funciones y ejercer, en el territorio de su propio Estado miembro, los poderes que se le confieran de conformidad con la presente Directiva. |
Enmienda 108 Propuesta de Directiva Artículo 45 | |
Texto de la Comisión |
Enmienda |
Funciones |
Funciones |
Los Estados miembros dispondrán que la autoridad de control: |
1. Los Estados miembros dispondrán que la autoridad de control: |
a) supervisará y asegurará la aplicación de las disposiciones adoptadas con arreglo a la presente Directiva y sus medidas de ejecución; |
a) supervisará y asegurará la aplicación de las disposiciones adoptadas con arreglo a la presente Directiva y sus medidas de ejecución; |
b) conocerá las reclamaciones presentadas por cualquier interesado o por una asociación que le represente y que esté debidamente autorizada por él de conformidad con lo dispuesto en el artículo 50, investigará, en la medida en que proceda, el asunto e informará al interesado o la asociación sobre el curso y el resultado de la reclamación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control; |
b) conocerá las reclamaciones presentadas por cualquier interesado o por una asociación de conformidad con lo dispuesto en el artículo 50, investigará, en la medida en que proceda, el asunto e informará al interesado o la asociación sobre el curso y el resultado de la reclamación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control; |
c) controlará la licitud del tratamiento de datos con arreglo a lo dispuesto en el artículo 14, e informará al interesado, en un plazo razonable, sobre el resultado del control o sobre los motivos por los que no se ha llevado a cabo; |
c) controlará la licitud del tratamiento de datos con arreglo a lo dispuesto en el artículo 14, e informará al interesado, en un plazo razonable, sobre el resultado del control o sobre los motivos por los que no se ha llevado a cabo; |
d) prestará asistencia mutua a otras autoridades de control y garantizará la coherencia de la aplicación y el cumplimiento de las disposiciones adoptadas con arreglo a la presente Directiva; |
d) prestará asistencia mutua a otras autoridades de control y garantizará la coherencia de la aplicación y el cumplimiento de las disposiciones adoptadas con arreglo a la presente Directiva; |
e) llevará a cabo investigaciones, ya sea a iniciativa propia, ya sea a raíz de una reclamación o a solicitud de otra autoridad de control, e informará al interesado en cuestión, si este hubiera presentado una reclamación, del resultado de las investigaciones en un plazo razonable; |
e) llevará a cabo investigaciones, inspecciones y auditorías, ya sea a iniciativa propia, ya sea a raíz de una reclamación o a solicitud de otra autoridad de control, e informará al interesado en cuestión, si este hubiera presentado una reclamación, del resultado de las investigaciones en un plazo razonable; |
f) hará un seguimiento de las novedades de interés, en la medida en que tengan incidencia en la protección de datos personales, en particular el desarrollo de las tecnologías de la información y la comunicación; |
f) hará un seguimiento de las novedades de interés, en la medida en que tengan incidencia en la protección de datos personales, en particular el desarrollo de las tecnologías de la información y la comunicación; |
g) será consultado por las instituciones y los organismos de los Estados miembros sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas en lo que respecta al tratamiento de datos personales; |
g) será consultado por las instituciones y los organismos de los Estados miembros sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas en lo que respecta al tratamiento de datos personales; |
h) será consultado sobre las operaciones de tratamiento de datos con arreglo al artículo 26; |
h) será consultado sobre las operaciones de tratamiento de datos con arreglo al artículo 26; |
i) participará en las actividades del Consejo Europeo de Protección de Datos. |
i) participará en las actividades del Consejo Europeo de Protección de Datos. |
2. Cada autoridad de control promoverá la sensibilización del público sobre los riesgos, normas, garantías y derechos relativos al tratamiento de datos personales. Las actividades dirigidas específicamente a los niños deberán ser objeto de especial atención. |
2. Cada autoridad de control promoverá la sensibilización del público sobre los riesgos, normas, garantías y derechos relativos al tratamiento de datos personales. Las actividades dirigidas específicamente a los niños deberán ser objeto de especial atención. |
3. La autoridad de control, previa solicitud, asesorará a cualquier interesado en el ejercicio de los derechos que confieren disposiciones adoptadas con arreglo a la presente Directiva y, en su caso, cooperará a tal fin con las autoridades de control de otros Estados miembros. |
3. La autoridad de control, previa solicitud, asesorará a cualquier interesado en el ejercicio de los derechos que confieren disposiciones adoptadas con arreglo a la presente Directiva y, en su caso, cooperará a tal fin con las autoridades de control de otros Estados miembros. |
4. Para las reclamaciones contempladas en el apartado 1, letra b), la autoridad de control facilitará un formulario de reclamaciones que podrá cumplimentarse por vía electrónica, sin excluir otros medios de comunicación. |
4. Para las reclamaciones contempladas en el apartado 1, letra b), la autoridad de control facilitará un formulario de reclamaciones que podrá cumplimentarse por vía electrónica, sin excluir otros medios de comunicación. |
5. Los Estados miembros dispondrán que el desempeño de las funciones de la autoridad de control será gratuito para el interesado. |
5. Los Estados miembros dispondrán que el desempeño de las funciones de la autoridad de control será gratuito para el interesado. |
6. Cuando las solicitudes sean abusivas, en particular por su carácter repetitivo, la autoridad de control podrá exigir el pago de una tasa o decidir no adoptar las medidas solicitadas por el interesado. La carga de la prueba del carácter abusivo de la solicitud recaerá en la autoridad de control. |
6. Cuando las solicitudes sean manifiestamente excesivas, en particular por su carácter repetitivo, la autoridad de control podrá exigir el pago de una tasa razonable. El importe de dicha tasa no deberá superar el coste generado por la adopción de la medida solicitada. La carga de la prueba del carácter manifiestamente excesivo de la solicitud recaerá en la autoridad de control. |
Enmienda 109 Propuesta de Directiva Artículo 46 | |
Texto de la Comisión |
Enmienda |
Poderes |
Poderes |
Los Estados miembros dispondrán que cada autoridad de control deberá estar investida, en particular, de: |
1. Los Estados miembros dispondrán que cada autoridad de control esté facultada para: |
a) poderes de investigación, como el poder de acceder a los datos que sean objeto de un tratamiento y el de recabar toda la información necesaria para el cumplimiento de su misión de control; |
a) notificar al responsable o al encargado del tratamiento una presunta violación de las disposiciones que rigen el tratamiento de datos personales y, cuando proceda, ordenar al responsable o al encargado del tratamiento que subsanen dicha violación, de manera específica, con el fin de mejorar la protección del interesado; |
b) poderes efectivos de intervención, por ejemplo para emitir dictámenes antes de que se lleve a cabo el tratamiento, y garantizar una publicación adecuada de dichos dictámenes, ordenar la limitación, supresión o destrucción de datos, imponer una prohibición temporal o definitiva del tratamiento, formular una advertencia o una amonestación al responsable de la misma, o remitir el asunto a los parlamentos nacionales u otras instituciones políticas; |
b) ordenar al responsable del tratamiento que atienda las solicitudes de ejercicio de los derechos conferidos por la presente Directiva, incluidos los previstos en los artículos 12 a 17, presentadas por el interesado cuando tales solicitudes hayan sido rechazadas en violación de tales disposiciones; |
c) el poder de emprender acciones legales cuando se hayan infringido las disposiciones adoptadas con arreglo a la presente Directiva o de denunciar dichas infracciones a las autoridades judiciales. |
c) ordenar al responsable o al encargado del tratamiento que faciliten información de conformidad con lo dispuesto en el artículo 10, apartado 1, y los artículos 11, 28 y 29; |
|
d) velar por el cumplimiento de los dictámenes sobre las consultas previas contempladas en el artículo 26; |
|
e) formular una advertencia o amonestación al responsable o al encargado del tratamiento; |
|
f) ordenar la rectificación, supresión o destrucción de todos los datos que se hayan tratado infringiendo las disposiciones adoptadas en virtud de la presente Directiva, y la notificación de dichas medidas a los terceros a quienes se hayan comunicado los datos; |
|
g) prohibir temporal o definitivamente el tratamiento; |
|
h) suspender los flujos de datos hacia un destinatario situado en un tercer país o hacia una organización internacional; |
|
i) informar sobre el asunto a los parlamentos nacionales, al gobierno o a otras instituciones públicas, así como al público. |
|
2. Cada autoridad de control dispondrá de poderes de investigación que le permitan obtener del responsable o del encargado del tratamiento: |
|
a) el acceso a todos los datos personales y a toda la información necesaria para el ejercicio de sus funciones de control; |
|
b) el acceso a todos sus locales, en particular cualquier equipamiento y medio de tratamiento de datos, de conformidad con la legislación nacional, cuando haya motivos razonables para suponer que en ellos se ejerce una actividad contraria a las disposiciones adoptadas en virtud de la presente Directiva, sin perjuicio del requisito de solicitar autorización judicial cuando así lo prevea la legislación nacional. |
|
3. Sin perjuicio de lo dispuesto en el artículo 43, los Estados miembros velaran por que no se impongan requisitos adicionales de secreto a instancia de las autoridades de control. |
|
4. Los Estados miembros podrán disponer que se exija un control adicional de seguridad en consonancia con la legislación nacional para acceder a la información clasificada a un nivel similar o superior al de «CONFIDENTIEL UE/EU CONFIDENTIAL». Si en la legislación del Estado miembro de la autoridad de control de que se trate no se prevé un control adicional de seguridad, todos los demás Estados miembros deberán aceptar tal hecho. |
|
5. Cada autoridad de control estará facultada para poner en conocimiento de las autoridades judiciales las violaciones de las disposiciones adoptadas en virtud de la presente Directiva y para ejercer acciones jurisdiccionales ante el tribunal competente de conformidad con el artículo 53, apartado 2. |
|
6. Cada autoridad de control estará facultada para sancionar las infracciones administrativas. |
Enmienda 110 Propuesta de Directiva Artículo 46 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
Artículo 46 bis |
|
Denuncia de las infracciones |
|
1. Los Estados miembros dispondrán que las autoridades de control tengan en cuenta las directrices emitidas por el Consejo Europeo de Protección de Datos de conformidad con el artículo 66, apartado 4 ter, del Reglamento (UE) nº .../2013 y establecerán mecanismos eficaces que fomenten la denuncia confidencial de infracciones a la presente Directiva.
|
|
2. Los Estados miembros dispondrán que las autoridades competentes establezcan mecanismos eficaces que fomenten la denuncia confidencial de infracciones a la presente Directiva. |
Enmienda 111 Propuesta de Directiva Artículo 47 | |
Texto de la Comisión |
Enmienda |
Los Estados miembros dispondrán que cada autoridad de control elaborará un informe anual sobre sus actividades. El informe se pondrá a disposición de la Comisión y el Consejo Europeo de Protección de Datos. |
Los Estados miembros dispondrán que cada autoridad de control elaborará un informe sobre sus actividades al menos cada dos años. El informe se pondrá a disposición del público, el Parlamento correspondiente, la Comisión y el Consejo Europeo de Protección de Datos. El informe incluirá información sobre la medida en que las autoridades competentes de su jurisdicción han tenido acceso a los datos conservados por particulares para investigar o perseguir infracciones penales. |
Enmienda 112 Propuesta de Directiva Artículo 48 | |
Texto de la Comisión |
Enmienda |
Asistencia mutua |
Asistencia mutua |
1. Los Estados miembros dispondrán que las autoridades de control se prestarán asistencia mutua a fin de implementar y aplicar las disposiciones adoptada con arreglo a la presente Directiva de forma coherente, y tomarán medidas para asegurar una efectiva cooperación entre sí. La asistencia mutua abarcará, en particular, las solicitudes de información y las medidas de control, como, por ejemplo, las solicitudes para llevar a cabo consultas previas, inspecciones e investigaciones. |
1. Los Estados miembros dispondrán que las autoridades de control se prestarán asistencia mutua a fin de implementar y aplicar las disposiciones adoptada con arreglo a la presente Directiva de forma coherente, y tomarán medidas para asegurar una efectiva cooperación entre sí. La asistencia mutua abarcará, en particular, las solicitudes de información y las medidas de control, como, por ejemplo, las solicitudes para llevar a cabo consultas previas, inspecciones e investigaciones. |
2. Los Estados miembros dispondrán que una autoridad de control adoptará todas las medidas apropiadas requeridas para responder a la solicitud de otra autoridad de control. |
2. Los Estados miembros dispondrán que una autoridad de control adoptará todas las medidas apropiadas requeridas para responder a la solicitud de otra autoridad de control. Podrá tratarse, en particular, de la transmisión de información útil o medidas represivas para que se proceda sin demora y, a más tardar, un mes después de recibida la solicitud, al cese o a la prohibición de las operaciones de tratamiento contrarias a la presente Directiva. |
|
2 bis. La solicitud de asistencia deberá contener toda la información necesaria, incluidos los fines y motivos de la solicitud. La información intercambiada se utilizará únicamente para los fines para los que se solicitó. |
|
2 ter. Una autoridad de control a la que se haya dirigido una solicitud de asistencia no podrá negarse a atenderla, salvo si: |
|
a) no es competente para tramitar la solicitud; o |
|
b) el hecho de atender la solicitud fuera incompatible con las disposiciones adoptadas en virtud de la presente Directiva. |
3. La autoridad de control a la que se haya dirigido una solicitud de asistencia informará a la autoridad de control solicitante de los resultados obtenidos o, en su caso, de los progresos registrados o de las medidas adoptadas para dar curso a su solicitud. |
3. La autoridad de control a la que se haya dirigido una solicitud de asistencia informará a la autoridad de control solicitante de los resultados obtenidos o, en su caso, de los progresos registrados o de las medidas adoptadas para dar curso a su solicitud. |
|
3 bis. Las autoridades de control facilitarán la información solicitada por otras autoridades de control por vía electrónica y en el plazo más breve posible, utilizando un formato normalizado. |
|
3 ter. No se cobrará tasa alguna por las medidas adoptadas a raíz de una solicitud de asistencia mutua. |
Enmienda 113 Propuesta de Directiva Artículo 48 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
Artículo 48 bis |
|
Operaciones conjuntas |
|
1. Con el fin de intensificar la cooperación y la asistencia mutua, los Estados miembros dispondrán que las autoridades de control puedan llevar a cabo medidas represivas conjuntas y otras operaciones conjuntas en las que miembros designados o personal de las autoridades de control de otros Estados miembros participen en las operaciones en el interior del territorio de un Estado miembro. |
|
2. En los casos en que sea probable que se vean afectados por las operaciones de tratamiento interesados en otro u otros Estados miembros, los Estados miembros dispondrán que las autoridades de control competentes puedan ser invitadas a participar en las operaciones conjuntas. La autoridad de control competente podrá invitar a la autoridad de control de cada uno de esos Estados miembros a participar en la operación de que se trate y, en caso de ser invitada participar en las operaciones por otra autoridad de control, responderá sin demora a la solicitud. |
|
3. Los Estados miembros establecerán los aspectos prácticos de las acciones de cooperación específicas. |
Enmienda 114 Propuesta de Directiva Artículo 49 | |
Texto de la Comisión |
Enmienda |
Tareas del Consejo Europeo de Protección de Datos |
Tareas del Consejo Europeo de Protección de Datos |
1. El Consejo Europeo de Protección de datos creado por el Reglamento (UE) nº …./2012 ejercerá, dentro del ámbito de aplicación de la presente Directiva, las siguientes tareas en relación con el tratamiento de datos: |
1. El Consejo Europeo de Protección de datos creado por el Reglamento (UE) nº …./2013 ejercerá, dentro del ámbito de aplicación de la presente Directiva, las siguientes tareas en relación con el tratamiento de datos: |
a) asesorará a la Comisión sobre cualquier cuestión relativa a la protección de datos personales en la Unión, en particular sobre cualquier propuesta de modificación de la presente Directiva; |
a) asesorará a las instituciones de la Unión sobre cualquier cuestión relativa a la protección de datos personales en la Unión, en particular sobre cualquier propuesta de modificación de la presente Directiva; |
b) examinará, a solicitud de la Comisión o a iniciativa propia o de uno de sus miembros, cualquier cuestión relativa a la aplicación de las disposiciones adoptadas con arreglo a la presente Directiva y emitirá directrices, recomendaciones y mejores prácticas dirigidas a las autoridades de control, a fin de promover la aplicación coherente de esas disposiciones; |
b) examinará, a solicitud de la Comisión, del Parlamento Europeo o del Consejo, o a iniciativa propia o de uno de sus miembros, cualquier cuestión relativa a la aplicación de las disposiciones adoptadas con arreglo a la presente Directiva y emitirá directrices, recomendaciones y mejores prácticas dirigidas a las autoridades de control, a fin de promover la aplicación coherente de esas disposiciones, también sobre el uso de las competencias de ejecución; |
c) examinará la aplicación práctica de las directrices, recomendaciones y mejores prácticas contempladas en la letra b) e informará de ellas periódicamente a la Comisión; |
c) examinará la aplicación práctica de las directrices, recomendaciones y mejores prácticas contempladas en la letra b) e informará de ellas periódicamente a la Comisión; |
d) emitirá un dictamen destinado a la Comisión sobre el nivel de protección en terceros países u organizaciones internacionales; |
d) emitirá un dictamen destinado a la Comisión sobre el nivel de protección en terceros países u organizaciones internacionales; |
e) promoverá la cooperación y los intercambios bilaterales y multilaterales efectivos de información y de prácticas entre las autoridades de control; |
e) promoverá la cooperación y los intercambios bilaterales y multilaterales efectivos de información y de prácticas entre las autoridades de control, incluida la coordinación de las operaciones conjuntas y otras actividades conjuntas, cuando así lo decida a solicitud de una o varias autoridades de control; |
f) promoverá programas de formación comunes y facilitará los intercambios de personal entre las autoridades de control, así como, cuando proceda, con las autoridades de control de terceros países o de organizaciones internacionales; |
f) promoverá programas de formación comunes y facilitará los intercambios de personal entre las autoridades de control, así como, cuando proceda, con las autoridades de control de terceros países o de organizaciones internacionales; |
g) promoverá el intercambio de conocimientos y documentación con las autoridades de control de la protección de datos a escala mundial, en particular sobre la legislación y las prácticas en materia de protección de datos. |
g) promoverá el intercambio de conocimientos y documentación con las autoridades de control de la protección de datos a escala mundial, en particular sobre la legislación y las prácticas en materia de protección de datos; |
|
g bis) emitirá un dictamen dirigido a la Comisión con respecto a la elaboración de actos delegados y de ejecución en virtud de la presente Directiva. |
2. Cuando la Comisión solicite asesoramiento del Consejo Europeo de Protección de Datos podrá fijar un plazo para la prestación de dicho asesoramiento, teniendo en cuenta la urgencia del asunto. |
2. Cuando el Parlamento Europeo, el Consejo o la Comisión soliciten asesoramiento del Consejo Europeo de Protección de Datos, podrá fijar un plazo para la prestación de dicho asesoramiento, teniendo en cuenta la urgencia del asunto. |
3. El Consejo Europeo de Protección de Datos transmitirá sus dictámenes, directrices, recomendaciones y mejores prácticas a la Comisión y al Comité contemplado en el artículo 57, apartado 1, y los hará públicos. |
3. El Consejo Europeo de Protección de Datos transmitirá sus dictámenes, directrices, recomendaciones y mejores prácticas a la Comisión y al Comité contemplado en el artículo 57, apartado 1, y los hará públicos. |
4. La Comisión informará al Consejo Europeo de Protección de Datos de las medidas que haya adoptado siguiendo los dictámenes, directrices, recomendaciones y mejores prácticas emitidos por dicho Consejo. |
4. La Comisión informará al Consejo Europeo de Protección de Datos de las medidas que haya adoptado siguiendo los dictámenes, directrices, recomendaciones y mejores prácticas emitidos por dicho Consejo. |
Enmienda 115 Propuesta de Directiva Artículo 50 – apartado 2 | |
Texto de la Comisión |
Enmienda |
2. Los Estados miembros reconocerán el derecho que asiste a todo organismo, organización o asociación que tenga por objeto proteger los derechos e intereses de los interesados por lo que se refiere a la protección de sus datos personales, y que haya sido correctamente constituido con arreglo a la legislación de un Estado miembro, a presentar una reclamación ante una autoridad de control en cualquier Estado miembro por cuenta de uno o más interesados si considera que los derechos que le asisten en virtud de la presente Directiva han sido vulnerados como consecuencia del tratamiento de datos personales. La organización o asociación deberá estar debidamente autorizada por el interesado o interesados. |
2. Los Estados miembros reconocerán el derecho que asiste a todo organismo, organización o asociación que actúe en aras del interés público y que haya sido correctamente constituido con arreglo a la legislación de un Estado miembro, a presentar una reclamación ante una autoridad de control en cualquier Estado miembro por cuenta de uno o más interesados si considera que los derechos que le asisten en virtud de la presente Directiva han sido vulnerados como consecuencia del tratamiento de datos personales. |
Enmienda 116 Propuesta de Directiva Artículo 51 | |
Texto de la Comisión |
Enmienda |
Derecho a un recurso judicial contra una autoridad de control |
Derecho a un recurso judicial contra una autoridad de control |
1. Los Estados miembros reconocerán el derecho a un recurso judicial contra las decisiones de una autoridad de control. |
1. Los Estados miembros reconocerán el derecho de toda persona física o jurídica a un recurso judicial contra las decisiones de una autoridad de control que les conciernan. |
2. Cada interesado tendrá derecho a un recurso judicial que obligue a la autoridad de control a dar curso a una reclamación en ausencia de una decisión necesaria para proteger sus derechos, o en caso de que la autoridad de control no informe al interesado en el plazo de tres meses sobre el curso o el resultado de la reclamación con arreglo a lo dispuesto en el artículo 45, apartado 1, letra b). |
2. Los Estados miembros dispondrán que cada interesado tendrá derecho a un recurso judicial que obligue a la autoridad de control a dar curso a una reclamación en ausencia de una decisión necesaria para proteger sus derechos, o en caso de que la autoridad de control no informe al interesado en el plazo de tres meses sobre el curso o el resultado de la reclamación con arreglo a lo dispuesto en el artículo 45, apartado 1, letra b). |
3. Los Estados miembros dispondrán que las acciones legales contra una autoridad de control deberán ejercitarse antes los órganos jurisdiccionales del Estado miembro en que esté establecida la autoridad de control. |
3. Los Estados miembros dispondrán que las acciones legales contra una autoridad de control deberán ejercitarse antes los órganos jurisdiccionales del Estado miembro en que esté establecida la autoridad de control. |
|
3 bis. Los Estados miembros velarán por que se ejecuten las resoluciones definitivas del órgano jurisdiccional a que se refiere el presente artículo. |
Enmienda 117 Propuesta de Directiva Artículo 52 – párrafo 1 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
1 bis. Los Estados miembros velarán por que se ejecuten las resoluciones definitivas del órgano jurisdiccional a que se refiere el presente artículo. |
Enmienda 118 Propuesta de Directiva Artículo 53 – apartado 1 | |
Texto de la Comisión |
Enmienda |
1. Los Estados miembros reconocerán el derecho que asiste a todo organismo, organización o asociación a que se refiere el artículo 50, apartado 2, a ejercer los derechos contemplados en los artículos 51 y 52 en nombre de uno o más interesados. |
1. Los Estados miembros reconocerán el derecho que asiste a todo organismo, organización o asociación a que se refiere el artículo 50, apartado 2, a ejercer los derechos contemplados en los artículos 51, 52 y 54 cuando hayan recibido mandato de uno o más interesados. |
Enmienda 119 Propuesta de Directiva Artículo 53 – apartado 2 | |
Texto de la Comisión |
Enmienda |
2. Las autoridades de control tendrán derecho a litigar y ejercitar acciones ante un órgano jurisdiccional con el fin de garantizar el cumplimiento de las disposiciones adoptadas con arreglo a la presente Directiva o de garantizar la coherencia de la protección de los datos personales en el territorio de la Unión. |
2. Los Estados miembros dispondrán que las autoridades de control tendrán derecho a litigar y ejercitar acciones ante un órgano jurisdiccional con el fin de garantizar el cumplimiento de las disposiciones adoptadas con arreglo a la presente Directiva o de garantizar la coherencia de la protección de los datos personales en el territorio de la Unión. |
Enmienda 120 Propuesta de Directiva Artículo 54 – apartado 1 | |
Texto de la Comisión |
Enmienda |
1. Los Estados miembros dispondrán que toda persona que haya sufrido un perjuicio como consecuencia de una operación de tratamiento ilícito o de un acto incompatible con las disposiciones adoptadas con arreglo a la presente Directiva tendrá derecho a recibir del responsable o encargado del tratamiento una indemnización por el perjuicio sufrido. |
1. Los Estados miembros dispondrán que toda persona que haya sufrido un perjuicio, incluido un perjuicio moral, como consecuencia de una operación de tratamiento ilícito o de un acto incompatible con las disposiciones adoptadas con arreglo a la presente Directiva tendrá derecho a recibir del responsable o encargado del tratamiento una indemnización por el perjuicio sufrido. |
Enmienda 121 Propuesta de Directiva Artículo 55 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
CAPÍTULO VIII BIS |
|
Transferencia de datos personales a terceros |
|
Artículo 55 bis |
|
Transferencia de datos personales a otras autoridades o a particulares en la Unión |
|
1. Los Estados miembros velarán por que el responsable del tratamiento no transmita, ni encargue al encargado del tratamiento de transmitir, datos personales a personas físicas o jurídicas que no estén sujetas a las disposiciones adoptadas en virtud de la presente Directiva, salvo que: |
|
a) la transmisión se ajuste a la legislación nacional o de la Unión; y |
|
b) el destinatario esté establecido en un Estado miembro de la Unión; y |
|
c) los legítimos intereses específicos del interesado no impidan la transferencia; y |
|
d) la transmisión responda a la necesidad en un caso concreto de que el responsable transfiera los datos personales para: |
|
i) el desempeño de una tarea que se le haya asignado legalmente; o |
|
ii) la prevención de un peligro inmediato y grave para la seguridad pública; o |
|
iii) la prevención de perjuicios graves para los derechos de las personas. |
|
2. El responsable del tratamiento informará al destinatario sobre el fin con el que podrán tratarse exclusivamente los datos personales. |
|
3. El responsable del tratamiento informará a la autoridad de control sobre tales transferencias. |
|
4. El responsable del tratamiento informará al destinatario sobre las restricciones aplicables al tratamiento y velará por el respeto de tales restricciones. |
Enmienda 122 Propuesta de Directiva Artículo 56 | |
Texto de la Comisión |
Enmienda |
Ejercicio de la delegación |
Ejercicio de la delegación |
1. Los poderes para adoptar actos delegados otorgados a la Comisión estarán sujetos a las condiciones establecidas en el presente artículo. |
1. Se otorgan a la Comisión los poderes para adoptar actos delegados en las condiciones establecidas en el presente artículo. |
2. La delegación de poderes a que se refiere el artículo 28, apartado 5, se atribuirá a la Comisión por un periodo de tiempo indeterminado a partir de la fecha de entrada en vigor de la presente Directiva. |
2. Los poderes para adoptar actos delegados mencionados en el artículo 25 bis, apartado 7, el artículo 28, apartado 5, y el artículo 34, apartados 3 y 5, se otorgan a la Comisión por un periodo de tiempo indefinido a partir de la fecha de entrada en vigor de la presente Directiva. |
3. La delegación de poderes a que se refiere el artículo 28, apartado 5, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. Surtirá efecto el día siguiente al de su publicación en el Diario Oficial de la Unión Europea o en la fecha posterior que en ella se especifique. No afectará a la validez de los actos delegados que ya estén en vigor. |
3. La delegación de poderes mencionada en el artículo 25 bis, apartado 7, el artículo 28, apartado 5, y el artículo 34, apartados 3 y 5, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. La decisión surtirá efecto al día siguiente de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en la misma. No afectará a la validez de los actos delegados que ya estén en vigor. |
4. En cuanto la Comisión adopte un acto delegado, lo notificará simultáneamente al Parlamento Europeo y al Consejo. |
4. Tan pronto como la Comisión adopte un acto delegado lo notificará simultáneamente al Parlamento Europeo y al Consejo. |
5. Todo acto delegado adoptado en virtud del artículo 28, apartado 5, entrará en vigor únicamente en caso de que ni el Parlamento Europeo ni el Consejo hayan manifestado ninguna objeción en un plazo de dos meses a partir de la notificación de dicho acto al Parlamento Europeo y al Consejo, o en caso de que, antes de que expire ese plazo, el Parlamento Europeo y el Consejo hayan informado a la Comisión de que no formularán ninguna objeción. El plazo se podrá prorrogar dos meses a instancias del Parlamento Europeo o del Consejo. |
5. Los actos delegados adoptados en virtud del artículo 25 bis, apartado 7, el artículo 28, apartado 5, y el artículo 34, apartados 3 y 5, entrarán en vigor únicamente si, en un plazo de seis meses desde su notificación al Parlamento Europeo y al Consejo, ni el Parlamento Europeo ni el Consejo formulan objeciones o si, antes del vencimiento de dicho plazo, tanto el uno como el otro informan a la Comisión de que no las formularán. El plazo se prorrogará seis meses a iniciativa del Parlamento Europeo o del Consejo. |
Enmienda 123 Propuesta de Directiva Artículo 56 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
Artículo 56 bis |
|
Plazo para la adopción de actos delegados |
|
1. La Comisión adoptará los actos delegados en virtud del artículo 25 bis, apartado 7, y del artículo 28, apartado 5, antes del [seis meses antes de la fecha a que se refiere el artículo 62, apartado 1]. La Comisión podrá prorrogar el plazo contemplado en el párrafo primero por seis meses. |
Justificación | |
A fin de asegurar la aplicación adecuada de la Directiva y la seguridad jurídica es necesario que los actos delegados relativos a la notificación de las violaciones de datos personales se adopten antes de la fecha de entrada en vigor de la Directiva. | |
Enmienda 124 Propuesta de Directiva Artículo 57 – apartado 3 | |
Texto de la Comisión |
Enmienda |
3. Cuando se haga referencia al presente apartado, se aplicará el artículo 8 del Reglamento (UE) nº 182/2011, leído en relación con su artículo 5. |
suprimido |
Enmienda 125 Propuesta de Directiva Artículo 61 | |
Texto de la Comisión |
Enmienda |
Evaluación |
Evaluación |
1. La Comisión evaluará la aplicación de la presente Directiva. |
1. La Comisión, previa solicitud del dictamen del Consejo Europeo de Protección de Datos, evaluará la aplicación y ejecución de la presente Directiva. Actuará en estrecha cooperación con los Estados miembros, previendo visitas tanto anunciadas como imprevistas. El Parlamento Europeo y el Consejo deberán estar informados durante todo el proceso y tendrán acceso a los documentos pertinentes. |
2. La Comisión revisará en un plazo de tres años después de la entrada en vigor de la presente Directiva otros actos adoptados por la Unión Europea que regulan el tratamiento de datos personales por parte de las autoridades competentes a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, en particular los actos adoptados por la Unión a que se refiere el artículo 59, a fin de evaluar la necesidad de aproximarlos a las disposiciones de la presente Directiva, y presentará, en su caso, las propuestas necesarias para modificar dichos actos a fin de garantizar un enfoque coherente de la protección de datos personales en el ámbito de aplicación de la presente Directiva. |
2. La Comisión revisará en un plazo de dos años después de la entrada en vigor de la presente Directiva otros actos adoptados por la Unión Europea que regulan el tratamiento de datos personales por parte de las autoridades competentes a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, en particular los actos adoptados por la Unión a que se refiere el artículo 59, y presentará propuestas adecuadas para garantizar la existencia de unas normas jurídicas coherentes y homogéneas relativas al tratamiento de datos personales por parte de las autoridades competentes a efectos de la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales en el ámbito de aplicación de la presente Directiva. |
|
2 bis. La Comisión presentará en un plazo de dos años después de la entrada en vigor de la presente Directiva propuestas adecuadas para la revisión del marco jurídico aplicable al tratamiento de datos personales por parte de las instituciones, órganos u organismos de la Unión a efectos de la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, con el fin de garantizar la existencia de unas normas jurídicas coherentes y homogéneas relativas al derecho fundamental a la protección de datos personales en la Unión. |
3. La Comisión presentará al Parlamento Europeo y al Consejo informes periódicos sobre la evaluación y revisión de la presente Directiva con arreglo a lo dispuesto en el apartado 1. Los primeros informes se presentarán a más tardar cuatro años después de la entrada en vigor de la presente Directiva. Los siguientes informes se presentarán cada cuatro años. La Comisión presentará, si procede, las propuestas oportunas para modificar la presente Directiva y para adaptar otros instrumentos jurídicos. Dicho informe se hará público. |
3. La Comisión presentará al Parlamento Europeo y al Consejo informes periódicos sobre la evaluación y revisión de la presente Directiva con arreglo a lo dispuesto en el apartado 1. Los primeros informes se presentarán a más tardar cuatro años después de la entrada en vigor de la presente Directiva. Los siguientes informes se presentarán cada cuatro años. La Comisión presentará, si procede, las propuestas oportunas para modificar la presente Directiva y para adaptar otros instrumentos jurídicos. Dicho informe se hará público. |
EXPOSICIÓN DE MOTIVOS
Contexto de la propuesta
El ponente considera que la existencia de un marco eficiente de protección de datos en Europa puede contribuir significativamente a la consecución de un buen nivel de protección de datos para cada uno de los ciudadanos europeos. El ponente ha modificado el contenido de la propuesta de la Comisión 2012/0010 (COD) para elevar el nivel de protección a un nivel similar al del Reglamento propuesto y ofrecer asimismo argumentos claros para las soluciones propuestas.
La actual Decisión Marco 2008/977/JAI del Consejo, de 27 de noviembre de 2008, relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal vigente en la actualidad no brinda un marco global en materia de protección de los datos por parte de las autoridades judiciales y policiales en materia penal, ya que se limita a abordar los casos de carácter transfronterizo y no trata la cuestión relativa a la existencia de disposiciones paralelas en materia de protección de datos en los diferentes instrumentos de la UE relativos a la aplicación de la ley y el Derecho Penal.
El ponente está convencido de que la rápida evolución tecnológica ha supuesto nuevos retos para la protección de los datos personales. Se ha incrementado enormemente la magnitud del intercambio y la recogida de datos. La tecnología permite tanto a las empresas privadas como a las administraciones públicas utilizar datos personales para el ejercicio de sus actividades en una escala sin precedentes. Los individuos difunden un volumen cada vez mayor de información personal a nivel mundial. La tecnología ha transformado tanto la economía como la vida social.
En un mundo globalizado e interconectado, construido en torno a las comunicaciones en línea, los datos personales están disponibles, se almacenan, utilizan y evalúan diariamente a una escala sin precedentes. En unos pocos años, en las próximas décadas, Europa deberá decidir cómo utilizar toda esa información, especialmente en los ámbitos del cumplimiento de la ley y la prevención y lucha contra la delincuencia, sin traicionar los derechos fundamentales ni las normas que tanto nos ha costado implantar. Es una oportunidad única de desarrollar dos instrumentos jurídicos de alto nivel y bien equilibrados.
El ponente celebra en gran medida los esfuerzos desplegados por la Comisión para crear un marco único de protección de datos y armonizar los diferentes sistemas de los Estados miembros de la UE y espera que el Consejo también haga plenamente honor a sus obligaciones.
Cambios propuestos por el ponente
El ponente considera que conviene aclarar diferentes cuestiones específicas en la propuesta de Directiva, por ejemplo:
– Debe justificarse toda excepción al principio, ya que la protección de datos es un derecho fundamental. Además, este derecho debe estar protegido en todas las circunstancias en las que se aplica el artículo 52, que permite una serie de limitaciones. Esas limitaciones deben ser una excepción a la regla general, y no pueden adquirir carácter normativo. Por consiguiente, no pueden aceptarse excepciones amplias de carácter generalizado.
– Definición clara de los principios de protección de datos, como los elementos relativos a la conservación de datos, la transparencia, la necesidad de mantener los datos actualizados, con un carácter adecuado, pertinente y no excesivo. Además, tampoco hay disposiciones para exigir al responsable del tratamiento de datos que demuestre que cumple las disposiciones en la materia;
– El tratamiento de datos que se efectúe debe ser lícito, justo y transparente para las personas interesadas. Los fines específicos para los que se traten los datos deben ser legítimos y suficientemente explícitos, y deben determinarse en el momento de su recogida. Los datos deben ser adecuados, pertinentes y limitarse al mínimo necesario para los fines de que se trate. Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse por otros medios. Además, con arreglo al sistema propuesto, se debe garantizar que los datos no se conservan más tiempo del necesario. El responsable ha de establecer plazos para su supresión o revisión periódica.
– Los datos personales no deben ser tratados para fines incompatibles con la finalidad para la que fueron recogidos. El hecho de que se traten datos a efectos del control de cumplimiento de la ley no excluye que dicho objetivo se considere compatible con el propósito inicial de su recopilación. El concepto de uso compatible debe aplicarse con estrechos márgenes de interpretación.
– Es esencial que la comunicación de datos personales a otras autoridades o a particulares en la Unión esté prohibida, a menos que se efectúe de conformidad con la ley y el destinatario esté establecido en un Estado miembro. Además, ningún interés legítimo concreto del interesado debe impedir su comunicación, siempre que ésta responda a la necesidad de que el responsable comunique los datos para efectuar una tarea de la que esté encargado legalmente, prevenir un peligro inmediato y serio para la seguridad pública, o prevenir graves perjuicios para los derechos de las personas. El responsable debe informar al destinatario acerca de las restricciones aplicables al tratamiento y velar por el respeto de las mismas.
– No se ofrece un mecanismo de examen para una adecuada evaluación de la necesidad y proporcionalidad. Esta cuestión es fundamental para evaluar si algunos de los datos son verdaderamente necesarios y si cumplen su objetivo. Además, con ello se impediría el establecimiento de una sociedad de tipo «orwelliano» en la que todos los datos terminarían siendo procesados y analizados. La recogida de datos debe ser necesaria para justificar un objetivo, toda vez que el objetivo no pueda lograrse por otros medios y que se respete adecuadamente el núcleo central de la esfera privada del individuo. La proporcionalidad también está ligada al asunto de la reutilización de los datos para un fin distinto para el que se procesaron legítimamente en un principio, con vistas a impedir la creación de perfiles de población;
– Conviene prever una evaluación de impacto de la protección de datos por parte del responsable o el encargado, que debe incluir, en particular, las medidas, las garantías y los mecanismos previstos para garantizar la protección de los datos personales y demostrar la conformidad con el presente Reglamento. Las evaluaciones de impacto deberían efectuarse sobre los sistemas y procesos pertinentes de las operaciones de tratamiento de datos personales, pero no con respecto a casos concretos. Además, cuando una evaluación de impacto en materia de protección de datos indique que las operaciones de tratamiento presentan elevados riesgos concretos para los derechos y libertades de los interesados, la autoridad de control, antes del comienzo de las operaciones, debería estar en situación de impedir todo tratamiento de riesgo no acorde con lo dispuesto por la presente Directiva y formular propuestas para corregir la situación. Dicha consulta también debe realizarse en el curso de la elaboración de un proyecto legislativo por el Parlamento nacional o de disposiciones basadas en dicho proyecto legislativo, definiéndose la naturaleza del tratamiento y estableciéndose las garantías apropiadas.
– No hay una definición clara de la elaboración de perfiles. Una definición así debe ser conforme a la Recomendación del Consejo de Europa CM/Rec(2010)13. La elaboración de perfiles en el marco de las acciones policiales debe estar prevista por una ley que establezca medidas para salvaguardar los intereses legítimos de los interesados, en particular permitiéndoles exponer su punto de vista. Las posibles consecuencias negativas tienen que ser evaluadas a través de la intervención de un ser humano. Además, la elaboración de perfiles no debe ser un campo de batalla al que se convoque a personas inocentes sin que exista ningún motivo personal legítimo, es decir, que no debe conducir a la llamada «Rasterfahndung» (búsqueda por cribado).
– El régimen propuesto para la transferencia de datos personales a terceros países es débil y no brinda todas las garantías necesarias para asegurar la protección de los derechos de las personas cuyos datos sean objeto de transferencia. Este sistema proporciona una protección menor que el Reglamento propuesto. Por ejemplo, la propuesta de la Comisión permitiría la transferencia a una autoridad de un tercer país o a una organización internacional que no es competente en materia policial. Por otra parte, cuando la transferencia se base en la evaluación realizada por el responsable del tratamiento de los datos (artículo 35, apartado 1, letra b), la Directiva podría permitir la transferencia en masa de la mayor parte de los datos personales;
– Es esencial que en los casos en que no existan razones para autorizar una comunicación de datos, puedan permitirse excepciones, en su caso, para proteger el interés vital del interesado o de otra persona, o para proteger intereses legítimos del interesado. Las excepciones, como la seguridad pública de un Estado miembro o un tercer país, se deberán ponderar restrictivamente y no deberán permitir la comunicación frecuente, en masa y estructurada de datos personales ni una comunicación indiscriminada de datos, que deberían estar limitados a los datos estrictamente necesarios. Además, la decisión sobre una comunicación de datos deberá ser adoptada por una persona debidamente autorizada y, cuando así lo solicite, la autoridad de control deberá tener acceso a la comunicación de datos a fin de controlar la pertinencia de la misma.
– No se definen adecuadamente las competencias de las APD en materia de control y garantía del respeto de la normativa en materia de protección de datos. Si se comparan con la propuesta de Reglamento, las competencias de las APD son menos precisas. No queda claro que estas autoridades puedan acceder a los locales del responsable del tratamiento, según lo dispuesto en el Reglamento. Además, las sanciones y medidas coercitivas parecen ser más imprecisas.
– Se introduce un nuevo artículo relativo a los datos genéticos. El tratamiento de datos genéticos solo debería estar permitido cuando, con ocasión de una investigación penal o un procedimiento judicial, se compruebe la existencia de un nexo genético. Los datos genéticos solo deberían guardarse por el tiempo estrictamente necesario para los fines de tales investigaciones y procedimientos, sin perjuicio de la posibilidad de que los Estados miembros prevean periodos de conservación más largos en las condiciones fijadas por la presente Directiva.
– El ponente considera que la propuesta de Directiva no reúne, en muchos aspectos, los altos requisitos de protección de datos considerados «cruciales» (véase el considerando 7) por la Comisión y no encaja jurídicamente con las disposiciones de la propuesta de Reglamento. Además, considera de suma importancia que la Directiva y el Reglamento se traten como un paquete único en lo que al calendario y su posible adopción se refiere.
Tras un período en el que las autoridades policiales nacionales se han visto forzadas a adaptar el nivel de protección de datos al caso que estaban tratando (de carácter interno, transfronterizo, Prüm, Europol, Eurojust) la instauración de un instrumento sostenible y coherente podrá aportar finalmente seguridad jurídica y resultar competitivo a nivel internacional, ofreciendo al mismo tiempo un modelo de protección de datos para el siglo XXI.
OPINIÓN de la Comisión de Asuntos Jurídicos (26.3.2013)
para la Comisión de Libertades Civiles, Justicia y Asuntos de Interior
sobre la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y la libre circulación de dichos datos
(COM(2012)0010 – C7‑0024/2012 – 2012/0010(COD))
Ponente de opinión: Axel Voss
BREVE JUSTIFICACIÓN
Es adecuado que la UE proyecte instaurar un marco general, coherente y moderno de protección de datos de un nivel elevado, pues son numerosos los retos inherentes a la protección de datos, como, por ejemplo la globalización, el desarrollo tecnológico, el crecimiento de las actividades en línea, los mayores usos delictivos y las consideraciones de seguridad.
En el marco de las disposiciones europeas específicas (el artículo 16 del TFUE y el reconocimiento de la protección de datos personales en el artículo 8 de la Carta de los Derechos Fundamentales como derecho autónomo) conviene velar, por consiguiente, por la seguridad jurídica y la confianza en los responsables del tratamiento de datos y, en particular de las autoridades judiciales y policiales, pues las violaciones de las normas de protección de datos pueden conllevar grandes peligros para los derechos fundamentales y las libertades de los particulares y los valores de los Estados miembros.
Por lo tanto, el Parlamento Europeo siempre ha presupuesto que el derecho fundamental a la protección de datos y la vida privada comprende, asimismo, la protección de la persona contra toda eventual vigilancia y el mal uso de sus datos por el propio Estado. Es lógico, por consiguiente, que la Comisión haya presentado una propuesta de Directiva relativa a la «protección de las personas físicas en lo que respecta al tratamiento de datos personales por las autoridades competentes a efectos de la prevención, investigación, detección y enjuiciamiento de delitos o la ejecución de sanciones penales, y a la libre circulación de estos datos», de lo que se congratula naturalmente el ponente.
En el ámbito de la investigación de delitos y ejecución de sanciones la protección de datos, no obstante, debe concordar con las otras consideraciones del Estado de Derecho derivadas del monopolio de la fuerza que detenta el Estado. La protección de datos en el ámbito de la prevención de peligros, la instauración y la garantía de la seguridad general y la investigación de delitos y la ejecución de sanciones deben concordar con las tareas del Estado y debe velarse por que éste pueda realizar tales tareas efectivamente por el bien de todos los ciudadanos.
La legislación sobre protección de datos a escala europea se caracteriza, en líneas generales, por la existencia de diferentes competencias:
en el ámbito del antiguo primer pilar hay una competencia muy clara derivada del mercado interior.
En el ámbito del antiguo tercer pilar no está en primera línea la comunitarización sino la cooperación. Por consiguiente también fue aquí la Decisión marco 2008/977/JAI el instrumento más avanzado para el establecimiento de normas mínimas.
A ello viene a sumarse que precisamente en materia de cooperación policial y judicial las respectivas tradiciones jurídicas de los Estados miembros han evolucionado de manera totalmente distinta a lo largo de los siglos y que en este ámbito sensible se deben modificar paulatina y cuidadosamente las tradiciones y las estructuras nacionales surgidas de las normas europeas.
Además, en lo relativo al ámbito de aplicación del artículo 16 del TFUE se plantea con respecto a la protección de datos una situación controvertida que aún no ha sido resuelta por las más altas instancias judiciales y, por tanto, una inseguridad jurídica, que, en opinión de la ponente, conviene resolver de forma pragmática.
La propuesta de directiva de la Comisión sitúa el intercambio de datos en el interior del país en el ámbito de aplicación de la Directiva, en tanto que el artículo 16, apartado 2, del TFUE sólo otorga a la UE una competencia en el ámbito de aplicación del Derecho de la Unión. Y ello no comprende el tratamiento de datos en el interior del país en el ámbito policial (artículo 87 del TFUE).
El carácter horizontal es propio de la protección de datos, por lo que incide en ámbitos que no son competencia exclusiva de la UE, vulnerando incluso, tal vez, adicionalmente, el principio de subsidiariedad.
A la luz de las reflexiones aducidas, la ponente considera que la Directiva debe limitarse a fijar normas mínimas. De esta manera resultará obsoleta en la práctica la distinción entre protección de datos solo «transfronteriza» o «también nacional»; ello permitirá, naturalmente, mantener una protección de datos de calidad.
Pero para preservar en éste ámbito el equilibrio de la protección de datos como derecho fundamental conviene apuntalar asimismo los derechos de los particulares y preverlo claramente así en la Directiva. Deben consagrarse los principios de transparencia y control, sin que ello socave el objetivo de prevención de peligros y enjuiciamiento penal.
A fin de asegurar, por una parte, tal equilibrio entre el ejercicio del monopolio de la fuerza, las garantías de orden y seguridad públicos y la integridad física de los particulares y, por otra parte, el derecho a la protección de datos, la ponente considera necesarias las siguientes enmiendas:
Capítulo I
- La prevención de peligros se incluye en el ámbito de aplicación (artículo 1);
- Se permite explícitamente a los Estados miembros prever normas más elevadas (artículo 1). El objetivo de la Directiva no es la armonización sino el establecimiento de normas mínimas;
- El ámbito de aplicación se amplía a los organismos, centros, oficinas y agencias de la UE (artículo 2).
Capítulo II
- La redacción de la sección central de los «principios del tratamiento de datos» se adapta al Reglamento de base sobre la protección de datos. esos principios deben concordar, pues se trata de un mismo paquete legislativo;
- Se suprime el artículo 5, pues incrementa la burocracia y los costes de los Estados miembros y no adolece asimismo de falta de jerarquía jurídica;
- La vinculación del tratamiento de datos a una finalidad es un principio importante de la protección de datos. Los artículos 6 y 7 se han revisado a fondo y ampliado a la luz de la Decisión marco 2008/977/JAI (aquí: artículo 8 (veracidad), artículo 3 (finalidad) y artículo 13 (finalidad de los datos procedentes de otros Estados de la UE).
Capítulo III
Las enmiendas del Capítulo II se centran en la necesidad de datos de los interesados particulares y la real demanda individual de las informaciones almacenadas.
- La posibilidad de limitar el derecho a información (artículo 12) se restringe a casos particulares previo examen, con loquee se refuerzan los derechos individuales;
- Se reduce en favor de las normativas de los Estados miembros el derecho a la información en el momento de la recogida de datos sin demanda;
- Se reformula y consolidan el texto del derecho a la supresión y corrección de datos. Se introducen asimismo, no obstante, excepciones al derecho de supresión como, por ejemplo, la obligación legal de conservar ciertos datos.
Capítulo IV
- Se suprime el artículo 20 «Corresponsables del tratamiento», pues empeora la norma de protección de datos. De cara al exterior, debe mantenerse la responsabilidad conjunta de ambos responsables en beneficio del interesado;
- Se consolida el artículo 23 «Documentación» con arreglo al artículo 10 de la Decisión Marco 2008/977/JAI. Se suprime en consecuencia el artículo 24 «Llevanza de registros»;
- El artículo 27 «Seguridad de datos» se adapta al texto del artículo 22 de la Decisión Marco;
- Se introduce como nuevo artículo 28 bis la consulta previa/evaluación de impacto en la intimidad, con arreglo al artículo 23 de la Decisión Marco 2008/977/JAI;
- No deben notificarse sólo a la autoridad de control sino también a los interesados las «violaciones de datos».
Capítulo V
- El artículo 35 ter incorpora las disposiciones del artículo 13 de la Decisión Marco y prevé normas especiales para el tratamiento de datos procedentes de otros Estados miembros;
- Se reformula el artículo 36. En algunos casos concretos debe ser posible transmitir con arreglo a las condiciones más estrictas datos a terceros países a pesar de contarse con una decisión negativa al respecto para proteger bienes tan preciados como la integridad física y la vida.
Capítulo VIII
- Se suprime el derecho de demanda colectiva en el artículo 50. El interés personal en cada caso concreto debe ser la base de la reclamación.
Actos delegados y de ejecución
- Se trata de reformular la propuesta de la Comisión para que se apliquen normas unitarias a la aprobación de actos delegados y de ejecución y no se produzca un trasvase de competencias. Aquí, al igual que en las enmiendas previstas para el proyecto de reglamento de protección de datos (COM(2012)11) se concede prioridad a los actos delegados o a la toma de decisiones a nivel de Estado miembro.
Responsabilidad extracontractual
- Existe la posibilidad de que la Comisión Europea tome una decisión equivocada con respecto a la idoneidad del nivel de protección de datos de un tercer país o de una organización internacional, lo que originaría perjuicios. Conviene mencionar tal supuesto en la Directiva.
ENMIENDAS
La Comisión de Asuntos Jurídicos pide a la Comisión de Libertades Civiles, Justicia y Asuntos de Interior, competente para el fondo, que incorpore en su informe las siguientes enmiendas:
Enmienda 1 Propuesta de Directiva Considerando 7 | |
Texto de la Comisión |
Enmienda |
(7) Asegurar un nivel uniforme y elevado de protección de los datos personales de las personas físicas y facilitar el intercambio de datos personales entre las autoridades competentes de los Estados miembros es esencial para garantizar la eficacia de la cooperación judicial en materia penal y de la cooperación policial. A tal efecto, el nivel de protección de los derechos y libertades de las personas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, debe ser equivalente en todos los Estados miembros. La protección efectiva de los datos personales en la Unión no solo requiere la consolidación de los derechos de los interesados y de las obligaciones de quienes tratan dichos datos personales, sino también poderes equivalentes para supervisar y garantizar el cumplimiento de las normas relativas a la protección de los datos personales en los Estados miembros. |
(7) Asegurar un nivel uniforme y elevado de protección de los datos personales de las personas físicas y facilitar el intercambio de datos personales entre las autoridades competentes de los Estados miembros es esencial para garantizar la eficacia de la cooperación judicial en materia penal y de la cooperación policial. A tal efecto, deben garantizarse en todos los Estados miembros normas mínimas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, debe ser equivalente |
Enmienda 2 Propuesta de Directiva Considerando 15 | |
Texto de la Comisión |
Enmienda |
(15) La protección de las personas físicas debe ser tecnológicamente neutra y no debe depender de las técnicas utilizadas, pues de lo contrario daría lugar a graves riesgos de elusión. La protección de las personas debe aplicarse al tratamiento automatizado de datos personales, así como a su tratamiento manual, si los datos están contenidos o destinados a ser incluidos en un fichero. Los ficheros o conjuntos de ficheros y sus carpetas que no estén estructurados con arreglo a criterios específicos no están comprendidos en el ámbito de aplicación de la presente Directiva. La presente Directiva no debe aplicarse al tratamiento de datos personales efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión, en particular en lo que respecta a la seguridad nacional, o a los datos tratados por instituciones, órganos y organismos de la Unión, tales como Europol o Eurojust. |
(15) La protección de las personas físicas debe ser tecnológicamente neutra y no debe depender de las técnicas utilizadas, pues de lo contrario daría lugar a graves riesgos de elusión. La protección de las personas debe aplicarse al tratamiento automatizado de datos personales, así como a su tratamiento manual, si los datos están contenidos o destinados a ser incluidos en un fichero. Los ficheros o conjuntos de ficheros y sus carpetas que no estén estructurados con arreglo a criterios específicos no están comprendidos en el ámbito de aplicación de la presente Directiva. La presente Directiva no debe aplicarse al tratamiento de datos personales efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión, en particular en lo que respecta a la seguridad nacional. |
Enmienda 3 Propuesta de Directiva Considerando 16 | |
Texto de la Comisión |
Enmienda |
(16) Los principios de protección deben aplicarse a toda información relativa a una persona identificada o identificable. Para determinar si una persona física es identificable deben tenerse en cuenta todos los medios que razonablemente pudiera utilizar el responsable del tratamiento o cualquier otro individuo para identificar a dicha persona. Los principios de protección de datos no deben aplicarse a los datos convertidos en anónimos de forma que el interesado a quien se refieren ya no resulte identificable. |
(16) Los principios de protección deben aplicarse a toda información relativa a una persona identificada o identificable. Para determinar si una persona física es identificable deben tenerse en cuenta todos los medios que razonablemente pudiera utilizar el responsable del tratamiento o cualquier otro individuo que colabore con este responsable para identificar a dicha persona. Los principios de protección de datos no deben aplicarse a los datos convertidos en anónimos de forma que el interesado a quien se refieren ya no resulte identificable. |
Enmienda 4 Propuesta de Directiva Considerando 23 | |
Texto de la Comisión |
Enmienda |
(23) Es inherente al tratamiento de datos personales en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial que se traten datos personales relativos a diferentes categorías de interesados. Por tanto, en la medida de lo posible, se debe distinguir claramente entre los datos personales de diferentes categorías de interesados tales como los sospechosos, los condenados por una infracción penal, las víctimas y terceros, como los testigos, las personas que posean información o contactos útiles y los cómplices de sospechosos y delincuentes condenados. |
suprimida |
Enmienda 5 Propuesta de Directiva Considerando 24 | |
Texto de la Comisión |
Enmienda |
(24) En la medida de lo posible, debe distinguirse entre los datos personales en función de su grado de exactitud y fiabilidad. Se debe distinguir entre hechos y apreciaciones personales, con el fin de garantizar tanto la protección de las personas como la calidad y fiabilidad de la información tratada por las autoridades competentes. |
suprimida |
Enmienda 6 Propuesta de Directiva Considerando 43 | |
Texto de la Comisión |
Enmienda |
(43) Al establecer disposiciones de aplicación sobre el formato y los procedimientos aplicables a la notificación de las violaciones de datos personales, conviene tener debidamente en cuenta las circunstancias de la violación, incluyendo si los datos personales habían sido protegidos mediante las medidas técnicas de protección adecuadas, limitando eficazmente la probabilidad de uso indebido. Asimismo, estas normas y procedimientos deben tener en cuenta los intereses legítimos de las autoridades competentes, en los casos en que una comunicación temprana pudiera obstaculizar innecesariamente la investigación de las circunstancias de la violación. |
suprimida |
Enmienda 7 Propuesta de Directiva Considerando 45 | |
Texto de la Comisión |
Enmienda |
(45) Los Estados miembros deben velar por que una transferencia a un tercer país solo se lleve a cabo si es necesaria para la prevención, investigación, detección y enjuiciamiento de infracciones penales o la ejecución de sanciones penales, y si el responsable del tratamiento en el tercer país u organización internacional es una autoridad competente a tenor de la presente Directiva. Puede llevarse a cabo una transferencia en los casos en que la Comisión haya decidido que el tercer país o la organización internacional de que se trate garantizan un nivel adecuado de protección, o cuando se hayan ofrecido unas garantías apropiadas. |
(45) Los Estados miembros deben velar por que una transferencia a un tercer país solo se lleve a cabo si es necesaria para la prevención, investigación, detección y enjuiciamiento de infracciones penales o la ejecución de sanciones penales, y si el responsable del tratamiento en el tercer país u organización internacional es una autoridad competente a tenor de la presente Directiva. |
Enmienda 8 Propuesta de Directiva Considerando 55 | |
Texto de la Comisión |
Enmienda |
(55) Aunque la presente Directiva también se aplica a las actividades de los órganos jurisdiccionales nacionales, la competencia de las autoridades de control no debe abarcar el tratamiento de datos personales cuando los primeros actúen en ejercicio de su función jurisdiccional, con el fin de garantizar la independencia de los jueces en el desempeño de sus funciones. No obstante, esta excepción debe limitarse estrictamente a verdaderas actividades judiciales en juicios y no debe aplicarse a otras actividades en las que puedan estar implicados los jueces, de conformidad con el Derecho nacional. |
(55) Aunque la presente Directiva también se aplica a las actividades de los órganos jurisdiccionales nacionales, la competencia de las autoridades de control no debe abarcar el tratamiento de datos personales cuando los primeros actúen en ejercicio de su función jurisdiccional, con el fin de garantizar la independencia de los jueces en el desempeño de sus funciones. |
Enmienda 9 Propuesta de Directiva Considerando 70 | |
Texto de la Comisión |
Enmienda |
(70) Dado que los objetivos de la presente Directiva, a saber, proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales y garantizar el libre intercambio de datos personales por parte de las autoridades competentes en la Unión, no pueden ser alcanzados de manera suficiente por los Estados miembros y, por consiguiente, debido a la escala o los efectos de la actuación, pueden lograrse mejor a nivel de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad consagrado en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad enunciado en dicho artículo, la presente Directiva no excede de lo necesario para alcanzar dicho objetivo. |
suprimida |
Enmienda 10 Propuesta de Directiva Considerando 73 | |
Texto de la Comisión |
Enmienda |
(73) Con el fin de garantizar una protección amplia y coherente de los datos personales en la Unión, los acuerdos internacionales celebrados por los Estados miembros con anterioridad a la entrada en vigor de la presente Directiva deben modificarse en consonancia con lo dispuesto en la misma. |
suprimida |
Enmienda 11 Propuesta de Directiva Artículo 1 – apartado 1 | |
Texto de la Comisión |
Enmienda |
1. La presente Directiva establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales por parte de las autoridades competentes, con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales. |
1. La presente Directiva establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales por parte de las autoridades competentes, con fines de prevención contra los riesgos, la, investigación, detección o enjuiciamiento de infracciones penales y la ejecución de sanciones penales. |
Justificación | |
En el marco de las labores de protección de la policía resulta difícil definir los ámbitos de aplicación de la Directiva y del Reglamento. Si se considera que el peligro que se quiere evitar no constituye delito y, entonces, la policía no supone una infracción en el sentido del artículo 1, apartado 1 de la propuesta de Directiva, esta no puede aplicarse (por ejemplo, datos sobre personas desaparecidas, suicidios). Las disposiciones del Reglamento sobre protección de datos básicos son totalmente inadecuadas para estas labores de prevención de riesgos. | |
Enmienda 12 Propuesta de Directiva Artículo 1 – apartado 2 | |
Texto de la Comisión |
Enmienda |
2. De conformidad con la presente Directiva, los Estados miembros deberán: |
2. Las normas de la presente Directiva no impiden que los Estados miembros mantengan o introduzcan disposiciones en materia de protección de los datos personales que aseguren un nivel más elevado de protección. |
Justificación | |
El objetivo de la Directiva debe ser establecer una norma mínima de carácter paneuropeo en materia de seguridad y no a sustituir las normas nacionales existentes. Por lo tanto, debe permitirse explícitamente permitido que los Estados miembros pueden adoptar disposiciones más estrictas. | |
Enmienda 13 Propuesta de Directiva Artículo 1 – apartado 2 – letra b | |
Texto de la Comisión |
Enmienda |
b) garantizar que el intercambio de datos personales por parte de las autoridades competentes en el interior de la Unión no quede restringido ni prohibido por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales. |
suprimida |
Enmienda 14 Propuesta de Directiva Artículo 2 – apartado 3 – letra b | |
Texto de la Comisión |
Enmienda |
b) por parte de las instituciones, órganos u organismos de la Unión. |
suprimida |
Justificación | |
Las instituciones y autoridades de la UE también deben entrar dentro del ámbito de aplicación de la Directiva. | |
Enmienda 15 Propuesta de Directiva Artículo 3 – párrafo 1 – punto 1 | |
Texto de la Comisión |
Enmienda |
1) «interesado»: toda persona física identificada o que pueda ser identificada, directa o indirectamente, por medios que puedan ser utilizados razonablemente por el responsable del tratamiento o por cualquier otra persona física o jurídica, en particular mediante un número de identificación, datos de localización, identificador en línea o uno o varios elementos específicos de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona; |
1) «interesado»: toda persona física identificada o que pueda ser identificada, directa o indirectamente, por medios que puedan ser utilizados razonablemente por el responsable del tratamiento o por cualquier otra persona física o jurídica con colabore con la encargada del tratamiento, en particular mediante un número de identificación, datos de localización, identificador en línea o uno o varios elementos específicos de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona; |
Enmienda 16 Propuesta de Directiva Artículo 3 – párrafo 1 – punto 9 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
9 bis) «consentimiento del interesado»: toda manifestación de voluntad, libre, específica, informada y explícita, mediante la que el interesado acepta, ya sea mediante una declaración ya sea mediante una clara acción afirmativa, el tratamiento de datos personales que le conciernen; |
Justificación | |
La enmienda introduce el consentimiento del sujeto dentro de un marco estricto. Aunque, en principio, no puede colocarse al mismo nivel a los ciudadanos y al Estado, el consentimiento en casos individuales puede servir de justificación como, por ejemplo, en el caso de las pruebas del ADN. | |
Enmienda 17 Propuesta de Directiva Artículo 3 – párrafo 1 – punto 14 | |
Texto de la Comisión |
Enmienda |
14) «autoridades competentes»: toda autoridad pública competente para la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales; |
14) ) «autoridades competentes»: toda autoridad pública competente para la prevención de riesgos, la investigación, la detección o el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluidos las instituciones, los órganos, los organismos y las agencias de la Unión Europea; |
Enmienda 18 Propuesta de Directiva Artículo 4 – párrafo 1 – letra a | |
Texto de la Comisión |
Enmienda |
a) tratados de manera lícita y leal; |
a) tratados de manera lícita, leal, transparente y verificable en relación con el interesado; |
Enmienda 19 Propuesta de Directiva Artículo 4 – párrafo 1 – letra c | |
Texto de la Comisión |
Enmienda |
c) adecuados, pertinentes y no excesivos en relación con los fines para los que se traten; |
c) adecuados, pertinentes y limitados al mínimo necesario en relación a los fines para los que se traten; solo deberán tratarse para el fin perseguido en caso de que no sea suficiente un tratamiento anónimo, y en la medida en que, estos fines no pudieran alcanzarse mediante el tratamiento de información que no implique datos personales; |
Enmienda 20 Propuesta de Directiva Artículo 4 – párrafo 1 – letra e | |
Texto de la Comisión |
Enmienda |
e) conservados en una forma que permita identificar al interesado durante un periodo no superior al necesario para los fines para los que se someten a tratamiento; |
e) conservados en una forma que permita identificar al interesado si bien durante un periodo no superior al necesario para los fines para los que se someten a tratamiento; |
Justificación | |
Adaptación de la Directiva al texto del Reglamento sobre protección de datos. En aras de un enfoque global, los dos instrumentos jurídicos deben aplicarse a los mismos principios en materia de tratamiento de datos. | |
Enmienda 21 Propuesta de Directiva Artículo 4 – párrafo 1 – letra f | |
Texto de la Comisión |
Enmienda |
f) tratados bajo la responsabilidad del responsable del tratamiento, que garantizará el cumplimiento de las disposiciones adoptadas con arreglo a la presente Directiva. |
f) tratados y utilizados únicamente por el personal competente en el marco del ejercicio de sus actividades; |
Enmienda 22 Propuesta de Directiva Artículo 4 – párrafo 1 – letra f | |
Texto de la Comisión |
Enmienda |
f) tratados bajo la responsabilidad del responsable del tratamiento, que garantizará el cumplimiento de las disposiciones adoptadas con arreglo a la presente Directiva. |
f) tratados bajo la responsabilidad del responsable del tratamiento, que garantizará y demostrará el cumplimiento de las disposiciones adoptadas con arreglo a la presente Directiva. |
Enmienda 23 Propuesta de Directiva Artículo 5 – apartado 1 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
1 bis. Los Estados miembros podrán, en la medida de lo posible, establecer normas específicas sobre una clasificación de datos incluidas las respectivas consecuencias, teniendo en cuenta los diferentes fines de la recogida de los datos, incluidas las condiciones para la recogida de los datos, los plazos de conservación, las posibles limitaciones al derecho de acceso e información de los interesados y las modalidades de acceso a los datos por parte de las autoridades competentes. |
Enmienda 24 Propuesta de Directiva Artículo 6 – título | |
Texto de la Comisión |
Enmienda |
Diferentes grados de exactitud y fiabilidad de los datos personales |
Exactitud fáctica |
Enmienda 25 Propuesta de Directiva Artículo 6 – apartado 1 | |
Texto de la Comisión |
Enmienda |
1. Los Estados miembros velarán por que, en la medida de lo posible, las diferentes categorías de datos personales objeto de tratamiento se distingan según su grado de exactitud y fiabilidad. |
1. Las autoridades competentes velarán por que, en la medida de lo posible, los datos personales sean exactos, estén completos y, si procede, actualizados. |
Enmienda 26 Propuesta de Directiva Artículo 6 – apartado 2 y apartado 2 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
2. Los Estados miembros velarán por que, en la medida de lo posible, los datos personales basados en hechos se distingan de los datos personales basados en apreciaciones personales. |
2. Las autoridades competentes adoptarán todas las medidas razonables para disponer que los datos personales que sean inexactos, incompletos o que no estén actualizados no se transmitan ni se hagan disponibles. Para ello, las autoridades competentes, en la medida en que sea factible, controlarán la calidad de los datos personales antes de transmitirlos o hacerlos disponibles. En la medida de lo posible, en todas las transmisiones de datos se deberá añadir la información de que se disponga para que el Estado miembro receptor pueda valorar el grado en que los datos son exactos, completos, actualizados y fiables. Si se hubieran transmitido datos personales sin haberlos solicitado la autoridad receptora, ésta comprobará sin demora si los datos son necesarios para el fin para el cual se transmitieron. |
|
2 bis. Si se observara que se hubieran transmitido datos incorrectos o se hubieran transmitido ilegalmente, el hecho se pondrá de inmediato en conocimiento del destinatario. Este estará obligado a rectificar los datos sin demora, de acuerdo con el apartado 1 y en el artículo 15, o a suprimirlos de conformidad con el artículo 16. |
Justificación | |
El texto propuesto recoge el espíritu del artículo 8 de la Decisión Marco 2008/977/JAI y fija la prohibición de transmitir datos imprecisos. | |
Enmienda 27 Propuesta de Directiva Artículo 7 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
Artículo 7 bis |
|
Licitud del tratamiento de datos; limitación de los fines |
|
1. El tratamiento de datos personales solo será lícito en la medida en que cumpla con los principios que figuran a continuación. |
|
2. Los datos personales pueden ser recogidos por las autoridades competentes en el ejercicio de sus funciones con fines precisos, explícitos y legítimos. Las recogidas de datos para fines lícitos son aquellas que, en particular tienen los objetivos siguientes: |
|
a) para la ejecución de una tarea realizada por una autoridad competente, basada en la ley, para los fines establecidos en el artículo 1, apartado 1; o |
|
b) para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento; o |
|
c) para salvaguardar los intereses legítimos del titular de los datos; o |
|
d) para proteger los intereses legítimos de otra persona, salvo que los intereses legítimos del titular de los datos tuviera preferencia manifiesta en la exclusión del tratamiento; |
|
e) para prevenir una amenaza para la seguridad pública; |
|
3. El tratamiento de los datos personales debe ser conforme a los propósitos para los que fueron recogidos. Se autorizará también el tratamiento posterior con fines distintos en la medida en que: |
|
a) sirva a objetivos lícitos (apartado 2); |
|
b) sea necesaria para otros objetivos; |
|
c) el tratamiento no sea incompatible con los fines para los que se recogieron los datos; |
|
4. Para fines históricos, estadísticos o científicos, los datos personales podrán tratarse, no obstante el párrafo 3, siempre que los Estados miembros establezcan las garantías adecuadas, tales como el carácter anónimo de los datos. |
Enmienda 28 Propuesta de Directiva Artículo 7 ter (nuevo) | |
Texto de la Comisión |
Enmienda |
|
Artículo 7 ter |
|
Características especiales de los datos personales de otros Estados miembros |
|
En el caso de los datos personales transmitidos o puestos a disposición por la autoridad competente de otro Estado miembro, hay que tener en cuenta, además de los principios generales del tratamiento de datos, lo siguiente: |
|
1. Los datos personales solo podrán transferirse a los particulares si: |
|
a) la autoridad competente del Estado miembro del que se obtuvieron los datos haya consentido en que estos se transmitan de acuerdo con su Derecho nacional; |
|
b) los legítimos intereses específicos del interesado no impidan la transmisión; y además |
|
c) que en determinados casos sea esencial que la autoridad competente transmita los datos a particulares por alguno de los siguientes motivos: |
|
i) para el cumplimiento de funciones que tiene legalmente asignadas; |
|
ii) para la prevención, la investigación, la detección o la represión de infracciones penales o la ejecución de sanciones penales; |
|
iii) para la prevención de amenazas inmediatas y graves a la seguridad pública, o |
|
iv) para la prevención de riesgos graves de los derechos de las personas. |
|
La autoridad competente que transmita datos a un particular informará a éste de los fines para los que podrán utilizarse exclusivamente los datos. |
|
2. De conformidad con el artículo 7, apartado 3, los datos personales solamente podrán ser tratados para los fines distintos de aquellos para los que fueron transmitidos o puestos a disposición que figuran a continuación: |
|
a) la prevención, la investigación, la detección o el enjuiciamiento de infracciones penales o la ejecución de sanciones penales distintas de aquellas para las que se transmitieron o pusieron a disposición; |
|
b) otros procedimientos judiciales y administrativos directamente relacionados con la prevención, la investigación, la detección o el enjuiciamiento de infracciones penales o la ejecución de sanciones penales; |
|
c) la prevención de una amenaza inminente y grave para la seguridad pública; o |
|
d) cualquier otro fin, sólo con previo consentimiento del Estado miembro transmisor o con el consentimiento del interesado, otorgados de acuerdo con el Derecho interno. |
|
El apartado 1 se aplicará sin perjuicio de lo dispuesto en el artículo 7, apartado 4. |
|
3. Cuando, con arreglo al Derecho del Estado miembro transmisor, se apliquen limitaciones específicas de tratamiento en circunstancias concretas a los intercambios de datos entre autoridades competentes en dicho Estado miembro, la autoridad transmisora comunicará al destinatario dichas limitaciones. El destinatario garantizará que se cumplan dichas limitaciones de tratamiento. |
Justificación | |
La revisión de este artículo retoma las disposiciones recogidas en el artículo 13 de la Decisión Marco 2088/977/JAI relativa a los procedimientos que cabe seguir en caso de datos procedentes de otros Estados miembros, y protege estos datos de manera especial. Por otra parte, el artículo 7 bis también sirve para proteger a los Estados miembros del que procedan los datos y crea, así, la confianza necesario para este intercambio de datos en el seno de la Unión, ya que garantiza que el tratamiento posterior de los datos transmitidos no queda en manos del Estado destinatario. | |
Enmienda 29 Propuesta de Directiva Artículo 7 quater (nuevo) | |
Texto de la Comisión |
Enmienda |
|
Artículo 7 quater |
|
Fijación de plazos de supresión y comprobación |
|
Se fijarán plazos adecuados a efectos de la supresión de datos personales o de la comprobación periódica de la necesidad de su almacenamiento. Se garantizará el cumplimiento de los plazos mediante disposiciones de procedimiento. |
Justificación | |
Este añadido se recoge del artículo 5 de la Decisión Marco 2008/977/JAI. | |
Enmienda 30 Propuesta de Directiva Artículo 8 | |
Texto de la Comisión |
Enmienda |
1. Los Estados miembros prohibirán el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, la religión o las creencias, o la afiliación sindical, así como el tratamiento de datos genéticos o de datos relativos a la salud o a la vida sexual. |
El tratamiento de datos personales que revelen el origen étnico racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical y de datos relativos a la salud o a la vida sexual solamente se permitirá cuando: |
2. El apartado 1 no será aplicable cuando: |
|
a) el tratamiento esté autorizado por una ley que establezca garantías apropiadas; |
a) el tratamiento sea estrictamente necesario y esté autorizado por una ley que establezca garantías apropiadas; o |
b) el tratamiento sea necesario para proteger los intereses vitales del interesado o de otra persona; |
(No afecta a la versión en castellano.) |
c) el tratamiento ataña a datos que el interesado ha hecho manifiestamente públicos. |
(No afecta a la versión en castellano.) |
Justificación | |
Este artículo se ha modificado teniendo en cuenta el artículo 6 de la Decisión Marco nº 2008/977/JAI. Si bien su lógica se deriva del principio de prohibición del proyecto de Directiva, el tratamiento de datos sensibles, sin embargo, solamente se permitirá bajo unas condiciones estrictas. Teniendo en cuenta la importancia de las pruebas de ADN , la nueva prohibición de carácter general establecida por la Comisión relativa al tratamiento de los datos genéticos. | |
Enmienda 31 Propuesta de Directiva Artículo 9 – apartado 1 | |
Texto de la Comisión |
Enmienda |
1. Los Estados miembros dispondrán que las medidas que produzcan efectos jurídicos negativos para el interesado o le afecten sustancialmente y que se basen únicamente en un tratamiento automatizado de datos personales destinado a evaluar determinados aspectos personales del interesado estarán prohibidas, salvo que estén autorizadas por una ley que también establezca medidas para salvaguardar los intereses legítimos del interesado. |
1. Las medidas que produzcan efectos jurídicos negativos para el interesado o le afecten sustancialmente y que se basen únicamente en un tratamiento automatizado de datos personales destinado a evaluar determinados aspectos personales del interesado solo se permitirán cuando estén autorizadas por una ley que también establezca medidas para salvaguardar los intereses legítimos del interesado. |
Justificación | |
La modificación recogida en este artículo recoge el texto del artículo 7 de la Decisión Marco 2008/977/JAI. La creación de perfiles sigue permitiéndose exclusivamente bajo unas condiciones estrictas, si bien se ha abandonado el principio de prohibición. | |
Enmienda 32 Propuesta de Directiva Artículo 9 – apartado 2 | |
Texto de la Comisión |
Enmienda |
2. El tratamiento automatizado de datos personales destinado a evaluar determinados aspectos personales del interesado no se basará únicamente en las categorías especiales de datos personales contempladas en el artículo 8. |
suprimida |
Justificación | |
El apartado 2 permitía una definición amplia de la creación de perfiles y sería fácil de evitar. | |
Enmienda 33 Propuesta de Directiva Artículo 10 – apartado 1 | |
Texto de la Comisión |
Enmienda |
1. Los Estados miembros dispondrán que el responsable del tratamiento adoptará todas las medidas razonables para dotarse de políticas transparentes y fácilmente accesibles por lo que respecta al tratamiento de datos personales y al ejercicio de los derechos de los interesados. |
1. Los Estados miembros dispondrán que el responsable del tratamiento adoptará medidas adecuadas y razonables para dotarse de políticas transparentes y fácilmente accesibles por lo que respecta al tratamiento de datos personales y al ejercicio de los derechos de los interesados. |
Enmienda 34 Propuesta de Directiva Artículo 10 – apartado 2 | |
Texto de la Comisión |
Enmienda |
2. Los Estados miembros dispondrán que el responsable del tratamiento facilitará al interesado cualquier información y comunicación relativa al tratamiento de datos personales, en forma inteligible, utilizando un lenguaje claro y sencillo. |
2. Los Estados miembros dispondrán que el responsable del tratamiento facilitará al interesado cualquier información y comunicación relativa al tratamiento de datos personales, en forma inteligible, utilizando un lenguaje tan claro y sencillo como sea posible. |
Enmienda 35 Propuesta de Directiva Artículo 10 – apartado 4 | |
Texto de la Comisión |
Enmienda |
4. Los Estados miembros dispondrán que el responsable del tratamiento informará al interesado, sin demora injustificada, sobre el curso dado a su solicitud. |
suprimida |
Enmienda 36 Propuesta de Directiva Artículo 12 – apartado 1 – letra a (nueva) | |
Texto de la Comisión |
Enmienda |
|
a) todos los datos personales objeto de tratamiento y la información disponible en cuanto a su fuente; |
Enmienda 37 Propuesta de Directiva Artículo 12 – apartado 1 – letra g | |
Texto de la Comisión |
Enmienda |
g) la comunicación de los datos personales objeto de tratamiento, así como cualquier información disponible sobre su origen; |
suprimida |
Justificación | |
Está relacionada con el derecho de acceso del interesado principal, por lo que debería considerarse al principio de la lista. | |
Enmienda 38 Propuesta de Directiva Artículo 13 – apartado 1 – parte introductoria | |
Texto de la Comisión |
Enmienda |
1. Los Estados miembros podrán adoptar medidas legislativas por las que se limite, en su totalidad o en parte, el derecho de acceso del interesado en la medida en que dicha limitación parcial o completa constituya una medida necesaria y proporcional en una sociedad democrática, teniendo debidamente en cuenta los intereses legítimos de la persona de que se trate: |
1. Los Estados miembros podrán adoptar medidas legislativas por las que se limite, en su totalidad o en parte, dependiendo de cada caso concreto, el derecho de acceso del interesado en la medida y durante el periodo en que dicha limitación parcial o completa constituya una medida necesaria y proporcional en una sociedad democrática, teniendo debidamente en cuenta los intereses legítimos de la persona de que se trate: |
Enmienda 39 Propuesta de Directiva Artículo 13 – apartado 1 – letra b | |
Texto de la Comisión |
Enmienda |
b) para evitar que se prejuzgue la prevención, detección, investigación y enjuiciamiento de infracciones penales o la ejecución de sanciones penales; |
b) para evitar que se prejuzgue la prevención de riesgos, detección, investigación y enjuiciamiento de infracciones penales o la ejecución de sanciones penales; |
Enmienda 40 Propuesta de Directiva Artículo 13 – apartado 1 – letra e | |
Texto de la Comisión |
Enmienda |
e) para proteger los derechos y libertades de otras personas. |
e) para proteger al interesado o los derechos y libertades de otras personas. |
Enmienda 41 Propuesta de Directiva Artículo 13 – apartado 2 | |
Texto de la Comisión |
Enmienda |
2. Los Estados miembros podrán determinar por ley las categorías de tratamiento de datos que pueden acogerse en todo o en parte a las exenciones del apartado 1. |
suprimida |
Justificación | |
El derecho de acceso debe ser avalado caso por caso. | |
Enmienda 42 Propuesta de Directiva Artículo 14 – apartado 1 | |
Texto de la Comisión |
Enmienda |
1. Los Estados miembros reconocerán el derecho del interesado a solicitar, en particular en los casos contemplados en el artículo 13, que la autoridad de control compruebe la licitud del tratamiento. |
1. Los Estados miembros reconocerán el derecho del interesado, dentro de los límites de los artículos 12 y 13, que la autoridad de control compruebe la licitud del tratamiento. |
Enmienda 43 Propuesta de Directiva Artículo 14 – apartado 2 | |
Texto de la Comisión |
Enmienda |
2. Los Estados miembros dispondrán que el responsable del tratamiento informará al interesado del derecho a solicitar la intervención de las autoridades de control con arreglo a lo dispuesto en el apartado 1. |
2. Los Estados miembros dispondrán que el responsable del tratamiento informará al interesado, previa solicitud, del derecho a solicitar la intervención de las autoridades de control con arreglo a lo dispuesto en el apartado 1. |
Enmienda 44 Propuesta de Directiva Artículo 14 – apartado 3 – párrafo 1 bis | |
Texto de la Comisión |
Enmienda |
|
Los Estados miembros establecerán si el interesado puede invocar este derecho directamente ante el responsable del tratamiento de los datos o por mediación de la autoridad nacional de control competente. |
Justificación | |
Esta enmienda prevé un sistema de peticiones de acceso indirecto del interesado, mediante el uso de la redacción de la Decisión marco de 2008. | |
Enmienda 45 Propuesta de Directiva Artículo 15 – apartado 1 | |
Texto de la Comisión |
Enmienda |
1. Los Estados miembros reconocerán el derecho del interesado a obtener del responsable del tratamiento la rectificación de los datos personales que le conciernen cuando tales datos resulten inexactos. El interesado tendrá derecho a que se completen los datos personales cuando estos resulten incompletos, en particular mediante una declaración rectificativa. |
1. Los Estados miembros reconocerán el derecho del interesado a obtener la rectificación de los datos personales que le conciernen cuando tales datos resulten inexactos. El interesado tendrá derecho a que se completen los datos personales cuando estos resulten incompletos, en particular mediante una declaración rectificativa. |
Enmienda 46 Propuesta de Directiva Artículo 15 – apartado 2 y apartado 2 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
2. Los Estados miembros dispondrán que el responsable del tratamiento informará por escrito al interesado sobre cualquier denegación de rectificación, sobre las razones de la denegación y sobre las posibilidades de presentar una reclamación ante la autoridad de control y de interponer un recurso judicial. |
2. Los Estados miembros establecerán si el interesado puede invocar este derecho directamente ante el responsable del tratamiento de los datos o por mediación de la autoridad nacional de control competente. |
|
2 bis. En caso de que el titular de los datos reclame sus derechos directamente ante los responsables del tratamiento y este rechazase la rectificación o que se completen los datos, deberá informar por escrito al interesado sobre cualquier denegación de rectificación, sobre las razones de la denegación y sobre las posibilidades de presentar una reclamación ante la autoridad de control y de interponer un recurso judicial. |
Justificación | |
Esta posibilidad debe quedar en manos de los Estados miembros. | |
Enmienda 47 Propuesta de Directiva Artículo 16 – apartado 1 | |
Texto de la Comisión |
Enmienda |
1. Los Estados miembros reconocerán el derecho del interesado a obtener del responsable del tratamiento la supresión de los datos personales que le conciernen cuando el tratamiento no cumpla las disposiciones adoptadas con arreglo al artículo 4, letras a) a e), y a los artículos 7 y 8 de la presente Directiva. |
1. Los Estados miembros reconocerán el derecho del interesado a obtener del responsable del tratamiento la supresión de los datos personales que le conciernen cuando el tratamiento no cumpla las disposiciones adoptadas con arreglo a los artículos 4, 6 y 8 de la presente Directiva. |
Justificación | |
Ampliación del ámbito de aplicación y refuerzo de los derechos individuales. | |
Enmienda 48 Propuesta de Directiva Artículo 16 – apartado 2 y apartado 2 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
2. El responsable del tratamiento procederá a la supresión sin demora. |
2. Los Estados miembros establecerán si el interesado puede invocar este derecho directamente ante el responsable del tratamiento de los datos o por mediación de la autoridad nacional de control competente. |
|
2 bis. En caso de que el titular de los datos reclame sus derechos directamente ante los responsables del tratamiento y este rechazase la rectificación o que se completen los datos, deberá informar por escrito al interesado sobre cualquier denegación de rectificación, sobre las razones de la denegación y sobre las posibilidades de presentar una reclamación ante la autoridad de control y de interponer un recurso judicial. |
Enmienda 49 Propuesta de Directiva Artículo 16 – apartado 3 | |
Texto de la Comisión |
Enmienda |
3. En lugar de proceder a la supresión, el responsable del tratamiento marcará los datos personales cuando: |
3. En lugar de proceder a la supresión, el responsable del tratamiento limitará el tratamiento de los datos personales cuando: |
Enmienda 50 Propuesta de Directiva Artículo 16 – apartado 3 – letra c | |
Texto de la Comisión |
Enmienda |
c) el interesado se oponga a su supresión y solicite la limitación de su uso. |
c) la supresión pueda perjudicar los intereses legítimos del titular de los datos o el interesado se oponga a su supresión y solicite la limitación de su uso. |
Enmienda 51 Propuesta de Directiva Artículo 16 – apartado 3 – letras c bis a c quater (nuevas) | |
Texto de la Comisión |
Enmienda |
|
c bis) existan obligaciones legales en materia de documentación o de conservación que impiden una supresión; en ese caso, los datos deben ser tratados de acuerdo con las obligaciones jurídicas en materia de documentación o de conservación; |
|
c ter) se almacenan sólo por razones de seguridad de datos o de control de la protección de datos; |
|
c quater) la supresión de datos solamente será posibles, desde el punto de vista técnico, si se realizase un esfuerzo desproporcionado, por ejemplo, debido al carácter específico de la conservación. |
Enmienda 52 Propuesta de Directiva Artículo 16 – apartado 3 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
3 bis. Los datos restringidos solamente podrán utilizarse para el fin por el que no se procedió a su supresión. También se podrán utilizar si se resultan indispensables para asumir la carga de la prueba. |
Justificación | |
Clarificación de las consecuencias jurídicas de un bloqueo. | |
Enmienda 53 Propuesta de Directiva Artículo 16 – apartado 4 | |
Texto de la Comisión |
Enmienda |
4. Los Estados miembros dispondrán que el responsable del tratamiento informará por escrito al interesado de cualquier denegación de la supresión o marcado del tratamiento, las razones de la denegación y las posibilidades de presentar una reclamación ante la autoridad de control y de interponer un recurso judicial. |
4. Los Estados miembros dispondrán que el responsable del tratamiento informará por escrito al interesado de cualquier denegación de la supresión o limitación del tratamiento, las razones de la denegación y las posibilidades de presentar una reclamación ante la autoridad de control y de interponer un recurso judicial. |
Enmienda 54 Propuesta de Directiva Artículo 17 – párrafo 1 | |
Texto de la Comisión |
Enmienda |
Los Estados miembros dispondrán que los derechos de información, acceso, rectificación, supresión y limitación del tratamiento contemplados en los artículos 11 a 16 se ejercerán de conformidad con las normas nacionales de enjuiciamiento cuando los datos personales figuren en una resolución judicial o en un registro tratado en el curso de investigaciones y procedimientos penales. |
Los Estados miembros dispondrán que la información, el acceso, la rectificación, la supresión y limitación del tratamiento contemplados en los artículos 11 a 16 se lleve a cabo en armonía con las normas procesales nacionales cuando los datos personales figuren en una resolución judicial o en un registro relacionado con la adopción de una decisión judicial. |
Justificación | |
Ampliación del artículo todas las jurisdicciones y no debe aplicarse únicamente a los procedimientos penales. | |
Enmienda 55 Propuesta de Directiva Artículo 18 – apartado 3 | |
Texto de la Comisión |
Enmienda |
3. El responsable del tratamiento implementará mecanismos para verificar la eficacia de las medidas contempladas en el apartado 1. Siempre que no sea desproporcionado, estas verificaciones serán llevadas a cabo por auditores independientes internos o externos. |
suprimida |
Justificación | |
Supresión del artículo 18, apartado 3 ya que de no hacerse así podría surgir una situación caótica. El delegado de protección de datos y la autoridad de control deberían ser suficientes para garantizar la protección de datos y no son necesarios otros auditores internos o externos, ya que crearían confusión. | |
Enmienda 56 Propuesta de Directiva Artículo 21 – apartado 1 | |
Texto de la Comisión |
Enmienda |
1. Los Estados miembros dispondrán que cuando una operación de tratamiento sea llevada a cabo por cuenta de un responsable del tratamiento, este debe elegir un encargado del tratamiento que ofrezca garantías suficientes para implementar medidas y procedimientos técnicos y organizativos apropiados, de manera que el tratamiento sea conforme con los requisitos de las disposiciones adoptadas con arreglo a la presente Directiva y asegure la protección de los derechos del interesado. |
1. Los Estados miembros dispondrán que cuando una operación de tratamiento sea llevada a cabo por cuenta de un responsable del tratamiento, este debe elegir un encargado del tratamiento que ofrezca garantías suficientes |
|
a) para implementar medidas y procedimientos técnicos y organizativos del artículo 27, apartado 1, |
|
b) de manera que el tratamiento también sea conforme con los requisitos de las disposiciones adoptadas con arreglo a la presente Directiva y asegure la protección de los derechos del interesado; y |
|
c) que respeta las instrucciones del responsable del tratamiento. |
Justificación | |
Este texto se armoniza con la Decisión Marco 2008/977/JA por lo que no hay ninguna razón para separase de este texto. Parte del apartado 1 del texto de la Comisión se ha convertido en las letras a) y b) en la enmienda del Parlamento. | |
Enmienda 57 Propuesta de Directiva Artículo 21 – apartado 2 | |
Texto de la Comisión |
Enmienda |
2. Los Estados miembros dispondrán que la realización del tratamiento por un encargado debe regirse por un acto jurídico que vincule al encargado del tratamiento con el responsable del tratamiento y que disponga, en particular, que el encargado del tratamiento actuará únicamente siguiendo las instrucciones del responsable del tratamiento, en particular cuando la transferencia de los datos personales utilizados esté prohibida. |
2. La realización del tratamiento por un encargado debe regirse por un acto jurídico o por un contrato escrito que disponga que el encargado del tratamiento actuará únicamente siguiendo las instrucciones del responsable del tratamiento. |
Justificación | |
Este texto se armoniza con la Decisión Marco 2008/977/JA por lo que no hay ninguna razón para separase de este texto. | |
Enmienda 58 Propuesta de Directiva Artículo 23 – apartado 1 y apartados 1 bis y 1 ter (nuevos) | |
Texto de la Comisión |
Enmienda |
1. Los Estados miembros dispondrán que cada responsable y cada encargado del tratamiento conservarán la documentación de todos los procedimientos y sistemas de tratamiento bajo su responsabilidad. |
1. Todas las autoridades competentes conservarán la documentación detallada de todos los procedimientos y sistemas de tratamiento bajo su responsabilidad. |
|
1 bis. Las transmisiones de datos personales se registrarán y documentarán a efectos de la comprobación de la licitud de su tratamiento, autocontrol y garantía de integridad y seguridad. |
|
1 ter. Los registros o la documentación se pondrán a disposición de la autoridad reguladora, previa solicitud. La autoridad reguladora solamente utilizará estas informaciones a efectos de comprobación de la legalidad del tratamiento de los datos, así como para asegurar la integridad y la seguridad de los mismos. |
Justificación | |
Basada en el artículo 10 de la Decisión Marco 2008/977/JAI. Esta enmienda suprime las responsabilidades a nivel nacional y solo se refiere a las transmisiones transfronterizas, lo cual anula el propósito de la presente Directiva, la aleja del Reglamento y de todo el llamado paquete armonizado. Esta enmienda al menos garantiza una previsión a escala nacional, aunque sería deseable volver a formular el original para lograr la armonización con el Reglamento. | |
Enmienda 59 Propuesta de Directiva Artículo 27 – apartado 1 | |
Texto de la Comisión |
Enmienda |
1. Los Estados miembros dispondrán que el responsable y el encargado del tratamiento implementarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en relación con los riesgos que entrañe el tratamiento y la naturaleza de los datos que deban protegerse, habida cuenta de las técnicas existentes y de los costes asociados a su implementación. |
1. Los Estados miembros dispondrán que el responsable del tratamiento adopte medidas técnicas y organizativas para impedir: |
|
a) la destrucción accidental o ilícita; |
|
b) la pérdida accidental; |
|
c) la modificación ilícita; |
|
d) la transmisión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red o la puesta a disposición de datos mediante acceso automatizado directo, y |
|
e) cualquier otro tratamiento ilícito de los datos personales. |
|
Estas medidas deberán garantizar un nivel de seguridad apropiado en relación con los riesgos que entrañe el tratamiento y la naturaleza de los datos que deban protegerse, habida cuenta de las técnicas existentes y de los costes asociados a su implementación. |
Justificación | |
Texto recogido del artículo 22, apartado 1 de la Decisión Marco. | |
Enmienda 60 Propuesta de Directiva Artículo 27 – apartado 2 | |
Texto de la Comisión |
Enmienda |
2. Por lo que hace al tratamiento automatizado de datos, cada Estado miembro dispondrá que el responsable o el encargado del tratamiento, a raíz de una evaluación de los riesgos, implementará medidas destinadas a: |
2. Por lo que se refiere al tratamiento automatizado de datos, cada Estado miembro adoptará medidas adecuadas destinadas a: |
Enmienda 61 Propuesta de Directiva Artículo 27 – apartado 2 – letra j | |
Texto de la Comisión |
Enmienda |
j) garantizar que las funciones del sistema no presenten defectos, que los errores de funcionamiento sean señalados (fiabilidad) y que los datos personales almacenados no se degraden por fallos de funcionamiento del sistema (integridad). |
(No afecta a la versión en castellano.) |
Enmienda 62 Propuesta de Directiva Artículo 27 – apartado 3 | |
Texto de la Comisión |
Enmienda |
3. La Comisión podrá adoptar, en caso necesario, actos de ejecución para especificar los requisitos establecidos en los apartados 1 y 2 a distintas situaciones, en particular normas de cifrado. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 57, apartado 2. |
3. Los Estados miembros podrán adoptar, en caso necesario, disposiciones para especificar los requisitos establecidos en los apartados 1 y 2 a distintas situaciones, en particular normas de cifrado. |
Enmienda 63 Propuesta de Directiva Artículo 28 – apartado 1 | |
Texto de la Comisión |
Enmienda |
1. Los Estados miembros dispondrán que, en caso de violación de datos personales, el responsable del tratamiento la notificará a la autoridad de control sin demora injustificada, y, de ser posible, a más tardar veinticuatro horas después de que haya tenido constancia de ella. Si la notificación no se hace en el plazo de veinticuatro horas, el responsable facilitará a la autoridad de control, previa solicitud, una justificación motivada. |
1. Los Estados miembros dispondrán que, en caso de violación de datos personales, el responsable del tratamiento la notificará a la autoridad de control sin demora injustificada, y después de que haya tenido constancia de ella. En los casos más graves, los Estados miembros dispondrán que el responsable notifique la violación a la autoridad de control en un plazo no superior a veinticuatro horas tras haber tenido constancia de la misma. |
Justificación | |
La petición de que los responsables del tratamiento notifiquen todas las violaciones en un plazo no superior a veinticuatro horas tras haber tenido constancia de las mismas, junto con una justificación motivada, es en exceso burocrática. | |
Enmienda 64 Propuesta de Directiva Artículo 28 – apartado 5 | |
Texto de la Comisión |
Enmienda |
5. La Comisión estará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 56, a fin de especificar los criterios y requisitos aplicables a la constatación de la violación de datos contemplada en los apartados 1 y 2 y en relación con las circunstancias particulares en las que se exige a un responsable y un encargado del tratamiento notificar la violación de datos personales. |
suprimida |
Justificación | |
Los criterios y requisitos para establecer una violación de datos ya están suficientemente explicados en el apartado 1. La delegación propuesta de poderes legislativos repercutiría siempre sobre elementos fundamentales que no pueden delegarse y deben especificarse en el acto de base. Se propone una modificación similar en el Reglamento general de protección de datos. | |
Enmienda 65 Propuesta de Directiva Artículo 28 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
Artículo 28 bis |
|
Consulta previa |
|
Los Estados miembros garantizarán que se consulte a las autoridades nacionales de control competentes antes del tratamiento de datos personales que vayan a formar parte de un nuevo sistema que vaya a crearse, en cualquiera de los siguientes casos: |
|
a) que vayan a tratarse las categorías especiales de datos contempladas en el artículo 8; |
|
b) que el tipo de tratamiento, en particular mediante tecnologías, mecanismos o procedimientos nuevos, suponga por lo demás riesgos específicos para los derechos y libertades fundamentales, y en particular para la intimidad, del interesado. |
Justificación | |
Retoma el texto del artículo 23 de la Decisión Marco 2008/977/JAI. | |
Enmienda 66 Propuesta de Directiva Artículo 31 – apartado 2 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
2 bis. El responsable del tratamiento no podrá estar en situación de desventaja. El responsable del tratamiento no podrá abandonar el ejercicio de sus funciones mientras realice sus labores ni en el año siguiente al que las finalice excepto cuando se han registrado hechos importantes que induzcan al despido de dicho responsable. |
Enmienda 67 Propuesta de Directiva Artículo 33 – letra a | |
Texto de la Comisión |
Enmienda |
a) la transferencia es necesaria para la prevención, investigación, detección o enjuiciamiento de infracciones penales o para la ejecución de sanciones penales; |
a) la transferencia es necesaria para la prevención de riesgos, investigación, detección o enjuiciamiento de infracciones penales o para la ejecución de sanciones penales; y |
Enmienda 68 Propuesta de Directiva Artículo 33 – letra b | |
Texto de la Comisión |
Enmienda |
b) el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo. |
b) se cumplen las condiciones establecidas en el presente capítulo. |
Enmienda 69 Propuesta de Directiva Artículo 34 – apartado 2 | |
Texto de la Comisión |
Enmienda |
2. Cuando no exista una decisión adoptada de conformidad con lo dispuesto en el artículo 41 del Reglamento (UE) nº …./2012, la Comisión evaluará la adecuación del nivel de protección, tomando en consideración los elementos siguientes: |
2. Cuando no exista una decisión adoptada de conformidad con lo dispuesto en el artículo 41 del Reglamento (UE) nº …./2012, la Comisión evaluará la adecuación del nivel de protección, tomando en consideración todos los elementos que desempeñen un papel en general en relación con el tratamiento de datos o las distintas categorías de tratamiento de datos y puedan evaluarse de forma independiente de las operaciones concretas de tramitación de datos. Esta evaluación se llevará a cabo tomando en consideración los elementos siguientes: |
Enmienda 70 Propuesta de Directiva Artículo 34 – apartado 3 | |
Texto de la Comisión |
Enmienda |
3. La Comisión podrá decidir, dentro del ámbito de aplicación de la presente Directiva, que un tercer país, o un territorio o un sector de tratamiento de datos en ese tercer país, o una organización internacional garantizan un nivel de protección adecuado a tenor de lo dispuesto en el apartado 2. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 57, apartado 2. |
3. La Comisión tendrá competencias para adoptar actos delegados de conformidad con el artículo 56 para completar la lista que figura en el anexo [x] de terceros países, territorios o sectores de tratamiento de datos en los terceros países u organizaciones internacionales que velan por un nivel adecuado de protección adecuado a tenor de lo dispuesto en el apartado 2. Al determinar el nivel de protección, la Comisión debe tener en cuenta si la legislación pertinente, tanto de carácter general como sectorial, en vigor en un tercer país u organización internacional garantiza la eficacia y el respeto de los derechos, incluidas vías para a presentar un recurso administrativo y judicial eficaz en relación con las personas a las que se refieren los datos, en particular con respecto a aquellas cuyos datos personales estén siendo transferidos. |
Justificación | |
Dado el amplio alcance de las cuestiones en juego, que van más allá de lo que se requiere para unas condiciones uniformes de aplicación, estos elementos no esenciales deben ser objeto de una delegación del poder legislativo de conformidad con el artículo 290 del TFUE. Se propone una modificación similar en el Reglamento general de protección de datos. | |
Enmienda 71 Propuesta de Directiva Artículo 34 – apartado 4 | |
Texto de la Comisión |
Enmienda |
4. El acto de ejecución especificará su ámbito de aplicación geográfica y sectorial, y, cuando proceda, determinará cuál es la autoridad de control mencionada en el apartado 2, letra b). |
4. De conformidad el artículo 340, apartado 2, del Tratado de Funcionamiento de la Unión Europea y la jurisprudencia del Tribunal de Justicia de la Unión Europea, la Unión deberá reparar los daños causados por sus instituciones o sus agentes en el ejercicio de sus funciones, de conformidad con los principios generales comunes a los Derechos de los Estados miembros, incluidos los daños debidos a una utilización errónea de los datos personales consecuencia de la adopción de una decisión equivocada en el marco de los apartados 2 y 3. |
Justificación | |
La capacidad no contractual de la Unión cuando se adopten decisiones equivocadas sobre la base de los criterios recogidos en los apartados 2 y 3 debe hacerse más explícita. | |
Enmienda 72 Propuesta de Directiva Artículo 34 – apartado 5 | |
Texto de la Comisión |
Enmienda |
5. La Comisión podrá decidir, dentro del ámbito de aplicación de la presente Directiva, que un tercer país, o un territorio o un sector de tratamiento de datos en ese tercer país, o una organización internacional no garantizan un nivel de protección adecuado a tenor de lo dispuesto en el apartado 2, en particular en los casos en que la legislación pertinente, tanto general como sectorial, en vigor en el tercer país o aplicable a la organización internacional en cuestión, no garantice derechos efectivos y exigibles, incluido el derecho de recurso administrativo y judicial efectivo de los interesados, en particular aquellos cuyos datos personales estén siendo transferidos. Dichos actos de ejecución se adoptarán de acuerdo con el procedimiento de examen contemplado en el artículo 57, apartado 2, o, en casos de extrema urgencia para personas en lo que respecta a su derecho a la protección de datos personales, de conformidad con el procedimiento contemplado en el artículo 57, apartado 3. |
suprimido |
Enmienda 73 Propuesta de Directiva Artículo 34 – apartado 6 | |
Texto de la Comisión |
Enmienda |
6. Los Estados miembros velarán por que cuando la Comisión adopte una decisión de conformidad con lo dispuesto en el apartado 5, esté prohibida toda transferencia de datos personales al tercer país, o a un territorio o un sector de tratamiento de datos en ese tercer país, o a la organización internacional de que se trate; dicha decisión se entenderá sin perjuicio de las transferencias en virtud del artículo 35, apartado 1, o de conformidad con lo dispuesto en el artículo 36. La Comisión entablará consultas, en su debido momento, con el tercer país o la organización internacional con vistas a poner remedio a la situación resultante de la decisión adoptada de conformidad con lo dispuesto en el apartado 5 del presente artículo. |
suprimido |
Enmienda 74 Propuesta de Directiva Artículo 34 – apartado 8 | |
Texto de la Comisión |
Enmienda |
8. La Comisión supervisará la aplicación de los actos de ejecución contemplados en los apartados 3 y 5. |
suprimido |
Enmienda 75 Propuesta de Directiva Artículo 35 | |
Texto de la Comisión |
Enmienda |
Artículo 35 |
suprimido |
Transferencias mediante garantías apropiadas |
|
1. Cuando la Comisión no haya adoptado una decisión con arreglo a lo dispuesto en el artículo 34, los Estados miembros dispondrán que podrá tener lugar una transferencia de datos personales a un destinatario en un tercer país o una organización internacional cuando: |
|
a) se hayan aportado garantías apropiadas con respecto a la protección de datos personales en un instrumento jurídicamente vinculante; o |
|
b) el responsable o el encargado del tratamiento hayan evaluado todas las circunstancias que concurren en la transferencia de datos personales y hayan llegado a la conclusión de que existen garantías apropiadas con respecto a la protección de datos personales. |
|
2. La decisión relativa a una transferencia en virtud del apartado 1, letra b), deberá ser adoptada por personal debidamente autorizado. Estas transferencias deberán documentarse y la documentación se pondrá a disposición, previa solicitud, de la autoridad de control. |
|
Enmienda 76 Propuesta de Directiva Artículo 35 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
Artículo 35 bis |
|
Transferencias mediante garantías apropiadas |
|
1. Cuando la Comisión no haya adoptado una decisión con arreglo a lo dispuesto en el artículo 34, podrá tener lugar una transferencia de datos personales a un destinatario en un tercer país o una organización internacional cuando: |
|
a) se hayan aportado garantías apropiadas con respecto a la protección de datos personales en un instrumento jurídicamente vinculante; |
|
b) el responsable o el encargado del tratamiento hayan evaluado todas las circunstancias que concurren generalmente en la transferencia de datos personales (artículo 34, apartado 2) y hayan llegado a la conclusión de que existen garantías apropiadas con respecto a la protección de datos personales; o |
|
c) también podría procederse a una transmisión de datos personales cuando la Comisión haya determinado que no se registra un nivel adecuado de protección que existe en un caso concreto (artículo 36). |
Enmienda 77 Propuesta de Directiva Artículo 35 ter (nuevo) | |
Texto de la Comisión |
Enmienda |
|
Artículo 35 ter |
|
Transferencia de datos personales procedentes de otros Estados miembros |
|
1. Los Estados miembros dispondrán que toda transferencia, por una autoridad competente, de datos personales transmitidos o puestos a disposición por la autoridad competente de otro Estado miembro, incluida la transferencia a un tercer país u organización internacional, sólo podrá llevarse a cabo, ampliando, así, las condiciones recogidas anteriormente, cuando: |
|
a) la autoridad receptora del tercer país o el organismo internacional receptor sean responsables de la prevención de riesgos, la investigación, la detección o el enjuiciamiento de infracciones penales o la ejecución de sanciones penales; |
|
b) el Estado miembro que proporcionó los datos haya autorizado la transmisión de acuerdo con su Derecho interno; y |
|
c) en el caso del artículo 34 bis, apartado 3, y 35, letras b) y c), el Estado miembro en el que se obtuvieron los datos considera también que, de conformidad con sus disposiciones legales nacionales, las garantías en materia de protección de los datos transmitidos son adecuadas; |
|
2. La transferencia de datos sin el consentimiento previo de acuerdo con el apartado 1, letra b), solo podrá permitirse si es esencial para la prevención de una amenaza inmediata y grave a la seguridad pública de un Estado miembro o de un tercer Estado o a intereses esenciales de un Estado miembro, y si el consentimiento previo no puede obtenerse a tiempo. Se informará sin demora a la autoridad responsable de dar el consentimiento. |
|
3. No obstante lo dispuesto en el apartado 1, letra c), solamente podrán transferirse datos personales cuando así lo disponga el Derecho nacional del Estado miembro que transfiere los datos por algunos de los motivos siguientes: |
|
a) legítimos intereses específicos del interesado; o |
|
b) intereses legítimos intereses superiores, en particular intereses públicos importantes. |
|
4. La transmisión a partes privadas de datos personales solamente se permitirá en las condiciones que establece el apartado 1 de los artículos 7 bis y 7 ter. |
Justificación | |
El artículo 35 ter se corresponde con el artículo 13 de la Decisión marco 2088/977/JAI; introduce normas especiales sobre la gestión de los datos procedentes de otros Estados miembros y les confiere protección especial. Este artículo sirve también para proteger a los Estados miembros del que provienen los datos y crea, de este modo, la confianza necesaria para el intercambio de datos dentro de la Unión Europea, ya que los datos transmitidos no serán transferidos según la voluntad del Estado que los ha recibido. | |
Enmienda 78 Propuesta de Directiva Artículo 36 | |
Texto de la Comisión |
Enmienda |
Artículo 36 |
suprimida |
Excepciones |
|
No obstante lo dispuesto en los artículos 34 y 35, los Estados miembros dispondrán que solo podrá procederse a la transferencia de datos personales a un tercer país o una organización internacional en caso de que: |
|
a) la transferencia sea necesaria para proteger los intereses vitales del interesado o de otra persona; |
|
b) la transferencia sea necesaria para salvaguardar intereses legítimos del interesado cuando así lo disponga el Derecho del Estado miembro que transfiere los datos personales; o |
|
c) la transferencia de los datos sea esencial para prevenir una amenaza inminente y grave para la seguridad pública de un Estado miembro o de un tercer país; o |
|
d) la transferencia sea necesaria en casos concretos a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales; o |
|
e) la transferencia sea necesaria en casos concretos para el reconocimiento, el ejercicio o la defensa de un derecho en un procedimiento judicial relativo a la prevención, investigación, detección o enjuiciamiento de una infracción penal o la ejecución de una sanción penal específica. |
|
Enmienda 79 Propuesta de Directiva Artículo 36 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
Artículo 36 bis |
|
Exenciones en caso de transferencia de datos después de tener en cuenta los distintos intereses en cada caso concreto |
|
1. En caso de que la Comisión considere, de conformidad con el artículo 34, apartado 5, que no se registra un adecuado nivel de protección, no se realizará la transferencia de datos personales al país tercero en cuestión, territorio o sector de tratamiento de datos en ese tercer país, u organización internacional, si, incluso en casos concretos, los intereses legítimos del titular de los datos afectada por que no se efectúe una transferencia priman sobre el interés público concreto. |
|
2. La ponderación de los intereses en virtud del apartado 1 también tendrá en cuenta el carácter adecuado del nivel de protección en el caso concreto. La evaluación de la existencia o ausencia de un nivel adecuado de protección en un caso concreto se llevará a cabo a la luz de todas las circunstancias que rodean la propuesta de transferencia de datos, incluyendo: |
|
a) el tipo de datos que deben transmitirse; |
|
b) el objetivo; y |
|
c) la duración de la tramitación prevista en el tercer país. |
|
3. No obstante lo dispuesto en el artículo 35, apartado 1, los Estados miembros dispondrán que solo podrá procederse a la transferencia de datos personales a un tercer país o una organización internacional en caso de que: |
|
a) sea necesaria para proteger los intereses legítimos de la persona afectada o de otra persona, en particular, la vida y la integridad física; |
|
b) la transferencia sea necesaria para salvaguardar intereses legítimos del interesado cuando así lo disponga el Derecho del Estado miembro que transfiere los datos personales; o |
|
c) sea necesario para la prevención, investigación, detección y enjuiciamiento de delitos o la ejecución de sanciones penales; o |
|
d) la transferencia sea necesaria en casos concretos para el reconocimiento, el ejercicio o la defensa de un derecho en un procedimiento judicial relativo a la prevención, investigación, detección o enjuiciamiento de una infracción penal o la ejecución de una sanción penal específica. |
|
4. La adecuación de nivel de protección también puede resultar relevante en el caso en que el tercer país, territorio, sector tratamiento de datos o autoridad intra o supranacional en ese país, o la organización correspondiente, garantice, en este caso, una protección adecuada de los datos transferidos. |
Justificación | |
Modificación del artículo 36 como consecuencia lógica de la modificación de los artículos 34 y 35. En algunos casos concretos debe ser posible transmitir con arreglo a las condiciones más estrictas datos a terceros países a pesar de contarse con una decisión negativa al respecto para proteger bienes tan preciados como la integridad física y la vida. | |
Enmienda 80 Propuesta de Directiva Artículo 37 | |
Texto de la Comisión |
Enmienda |
Los Estados miembros dispondrán que el responsable del tratamiento informará al destinatario de los datos personales de cualquier limitación al tratamiento y tomará todas las medidas razonables para garantizar que se cumplan dichas limitaciones. |
Los Estados miembros dispondrán que el responsable del tratamiento informará al destinatario de los datos personales de cualquier limitación al tratamiento y tomará todas las medidas razonables para garantizar que se cumplan dichas limitaciones. La primera frase se aplicará, también, a las limitaciones al tratamiento que debe tener en cuenta el responsable del mismo de conformidad con el artículo 7 bis, apartado 3. |
Justificación | |
Cuando se registra una transferencia en el seno de la UE, las limitaciones intraestatales al tratamiento de datos deben aplicarse cuando dichos datos se transmiten a un tercer país. De no ser así, desaparece la confianza necesaria en un intercambio de datos a nivel interno de la UE. | |
Enmienda 81 Propuesta de Directiva Artículo 38 – apartado 2 | |
Texto de la Comisión |
Enmienda |
2. A efectos de la aplicación del apartado 1, la Comisión tomará medidas apropiadas para impulsar las relaciones con terceros países u organizaciones internacionales y, en particular, sus autoridades de control, cuando haya decidido que garantizan un nivel de protección adecuado a tenor de lo dispuesto en el artículo 34, apartado 3. |
2. A efectos de la aplicación del apartado 1, la Comisión tomará medidas apropiadas, de conformidad con el ámbito de aplicación de la presente Directiva, para impulsar las relaciones con terceros países u organizaciones internacionales y, en particular, sus autoridades de control, cuando haya decidido que garantizan un nivel de protección adecuado a tenor de lo dispuesto en el artículo 34, apartado 3. En este contexto, la Comisión respetará las competencias de los Estados miembros y las medidas de carácter jurídico o de hecho adoptadas en el ejercicio de dichas competencias. |
Enmienda 82 Propuesta de Directiva Artículo 41 – apartado 5 | |
Texto de la Comisión |
Enmienda |
5. Un miembro cuyo mandato expire o que presente su dimisión seguirá ejerciendo sus funciones hasta que se nombre un nuevo miembro. |
5. Un miembro cuyo mandato expire o que presente su dimisión seguirá ejerciendo sus funciones, previa solicitud, hasta que se nombre un nuevo miembro. |
Justificación | |
En el caso de una dimisión por falta grave, la continuación incondicional de la misma hasta el nombramiento de un sucesor puede ser inaceptable. La continuación de la actividad debe llevarse a cabo solamente «previa solicitud». | |
Enmienda 83 Propuesta de Directiva Artículo 44 – apartado 1 | |
Texto de la Comisión |
Enmienda |
1. Los Estados miembros dispondrán que cada autoridad de control ejercerá, en el territorio de su propio Estado miembro, los poderes que se le confieran de conformidad con la presente Directiva. |
1. Los Estados miembros dispondrán que cada autoridad de control ejercerá, en el territorio de su propio Estado miembro, como mínimo, los poderes que se le confieran de conformidad con la presente Directiva. |
Enmienda 84 Propuesta de Directiva Artículo 45 – apartado 1 – letra a | |
Texto de la Comisión |
Enmienda |
a) supervisará y asegurará la aplicación de las disposiciones adoptadas con arreglo a la presente Directiva y sus medidas de ejecución; |
a) supervisará y asegurará, como mínimo, la aplicación de las disposiciones adoptadas con arreglo a la presente Directiva y sus medidas de ejecución; |
Enmienda 85 Propuesta de Directiva Artículo 45 – apartado 1 – letra b | |
Texto de la Comisión |
Enmienda |
b) conocerá las reclamaciones presentadas por cualquier interesado o por una asociación que le represente y que esté debidamente autorizada por él de conformidad con lo dispuesto en el artículo 50, investigará, en la medida en que proceda, el asunto e informará al interesado o la asociación sobre el curso y el resultado de la reclamación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control; |
b) conocerá las reclamaciones presentadas por cualquier interesado investigará, en la medida en que proceda, el asunto e informará al interesado o la asociación sobre el curso y el resultado de la reclamación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control; |
Justificación | |
Consecuencia de la eliminación del derecho de demanda colectiva en el artículo 50. | |
Enmienda 86 Propuesta de Directiva Artículo 45 – apartado 1 – letra e | |
Texto de la Comisión |
Enmienda |
e) llevará a cabo investigaciones, ya sea a iniciativa propia, ya sea a raíz de una reclamación o a solicitud de otra autoridad de control, e informará al interesado en cuestión, si este hubiera presentado una reclamación, del resultado de las investigaciones en un plazo razonable; |
e) llevará a cabo investigaciones ya sea a raíz de una reclamación o a solicitud de otra autoridad de control, e informará al interesado en cuestión, si este hubiera presentado una reclamación, del resultado de las investigaciones en un plazo razonable; las autoridades de control también podrán realizar estas investigaciones en el marco de su Derecho nacional por propia iniciativa; |
Enmienda 87 Propuesta de Directiva Artículo 46 – párrafo 1 – letra c | |
Texto de la Comisión |
Enmienda |
c) el poder de emprender acciones legales cuando se hayan infringido las disposiciones adoptadas con arreglo a la presente Directiva o de denunciar dichas infracciones a las autoridades judiciales. |
c) el poder de emprender acciones legales cuando se hayan infringido las disposiciones adoptadas con arreglo a la presente Directiva o de denunciar dichas infracciones a las autoridades judiciales. Las decisiones de la autoridad de control lesivas de derechos podrán ser objeto de recurso jurisdiccional. |
Justificación | |
Las decisiones de la autoridad de control lesivas de derechos podrán ser objeto de recurso jurisdiccional. El derecho a presentar recursos que se añade resulta evidente y se recoge el texto del artículo 25, apartado 2, letra c) de la Decisión Marco 2008/977/JAI. | |
Enmienda 88 Propuesta de Directiva Artículo 49 – apartado 1 – letra a | |
Texto de la Comisión |
Enmienda |
a) asesorará a la Comisión sobre cualquier cuestión relativa a la protección de datos personales en la Unión, en particular sobre cualquier propuesta de modificación de la presente Directiva; |
a) asesorará a las instituciones europeas sobre cualquier cuestión relativa a la protección de datos personales en la Unión, en particular sobre cualquier propuesta de modificación de la presente Directiva; |
Enmienda 89 Propuesta de Directiva Artículo 52 – párrafo 1 | |
Texto de la Comisión |
Enmienda |
Sin perjuicio de los recursos administrativos disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control, los Estados miembros reconocerán el derecho que asiste a toda persona física a interponer un recurso judicial si considera que sus derechos establecidos en disposiciones adoptadas con arreglo a la presente Directiva han sido vulnerados como consecuencia de un tratamiento de sus datos personales no conforme con esas disposiciones. |
Sin perjuicio de los recursos administrativos disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control, los Estados miembros reconocerán el derecho que asiste a toda persona física a interponer un recurso judicial si sus derechos establecidos en disposiciones adoptadas con arreglo a la presente Directiva han sido vulnerados como consecuencia de un tratamiento de sus datos personales no conforme con esas disposiciones. |
Enmienda 90 Propuesta de Directiva Artículo 54 – apartado 1 | |
Texto de la Comisión |
Enmienda |
1. Los Estados miembros dispondrán que toda persona que haya sufrido un perjuicio como consecuencia de una operación de tratamiento ilícito o de un acto incompatible con las disposiciones adoptadas con arreglo a la presente Directiva tendrá derecho a recibir del responsable o encargado del tratamiento una indemnización por el perjuicio sufrido. |
1. Los Estados miembros dispondrán que toda persona que haya sufrido un perjuicio como consecuencia de una operación de tratamiento ilícito o de un acto incompatible con las disposiciones adoptadas con arreglo a la presente Directiva tendrá derecho a recibir del responsable o encargado del tratamiento una indemnización por el perjuicio sufrido con arreglo a la legislación nacional. |
Enmienda 91 Propuesta de Directiva Artículo 54 – apartado 1 bis (nuevo) | |
Texto de la Comisión |
Enmienda |
|
1 bis. Si una autoridad competente de un Estado miembro transmitió datos personales, el destinatario no podrá, en el ámbito de sus responsabilidades ante la parte perjudicada de conformidad con el Derecho nacional, alegar en su defensa que los datos transmitidos eran inexactos. Si el destinatario satisficiera la compensación por el daño causado por el uso de datos inexactos transmitidos, la autoridad competente transmisora abonará al destinatario el importe pagado por compensación de daños, teniendo en cuenta la responsabilidad que pueda corresponder al destinatario. |
Justificación | |
Véase el artículo 19, apartados 1 y 2 de la Decisión Marco 2008/977/JAI. | |
Enmienda 92 Propuesta de Directiva Artículo 55 | |
Texto de la Comisión |
Enmienda |
Los Estados miembros establecerán las normas sobre las sanciones aplicables a las infracciones de las disposiciones adoptadas con arreglo a la presente Directiva y adoptarán todas las medidas necesarias para garantizar su cumplimiento. Las sanciones establecidas deberán ser efectivas, proporcionadas y disuasorias. |
Los Estados miembros adoptarán las medidas adecuadas para garantizar la plena aplicación de lo dispuesto en la presente Directiva y establecerán, en particular, las normas sobre las sanciones aplicables a las infracciones de las disposiciones adoptadas con arreglo a la presente Directiva y adoptarán todas las medidas necesarias para garantizar su cumplimiento. Las sanciones establecidas deberán ser efectivas, proporcionadas y disuasorias. |
Justificación | |
Véase el artículo 24 de la Decisión Marco 2008/977/JAI. | |
Enmienda 93 Propuesta de Directiva Artículo 56 – apartado 2 | |
Texto de la Comisión |
Enmienda |
2. La delegación de poderes a que se refiere el artículo 28, apartado 5, se atribuirá a la Comisión por un periodo de tiempo indeterminado a partir de la fecha de entrada en vigor de la presente Directiva. |
2. La delegación de poderes a que se refiere el artículo 34, apartado 3, se atribuirá a la Comisión por un periodo de tiempo indeterminado a partir de la fecha de entrada en vigor de la presente Directiva. |
Justificación | |
Consecuencia de la supresión de la delegación de poderes en el artículo 28, apartado 5, y de los cambios en la aplicación de los actos delegados en el artículo 34, apartado 3. | |
Enmienda 94 Propuesta de Directiva Artículo 56 – apartado 3 | |
Texto de la Comisión |
Enmienda |
3. La delegación de poderes a que se refiere el artículo 28, apartado 5, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. Surtirá efecto el día siguiente al de su publicación en el Diario Oficial de la Unión Europea o en la fecha posterior que en ella se especifique. No afectará a la validez de los actos delegados que ya estén en vigor. |
3. La delegación de poderes a que se refiere el artículo 34, apartado 3, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. Surtirá efecto el día siguiente al de su publicación en el Diario Oficial de la Unión Europea o en la fecha posterior que en ella se especifique. No afectará a la validez de los actos delegados que ya estén en vigor. |
Justificación | |
Consecuencia de la supresión de la delegación de poderes en el artículo 28, apartado 5, y de los cambios en la aplicación de los actos delegados en el artículo 34, apartado 3. | |
Enmienda 95 Propuesta de Directiva Artículo 56 – apartado 5 | |
Texto de la Comisión |
Enmienda |
5. Todo acto delegado adoptado en virtud del artículo 28, apartado 5, entrará en vigor únicamente en caso de que ni el Parlamento Europeo ni el Consejo hayan manifestado ninguna objeción en un plazo de dos meses a partir de la notificación de dicho acto al Parlamento Europeo y al Consejo, o en caso de que, antes de que expire ese plazo, el Parlamento Europeo y el Consejo hayan informado a la Comisión de que no formularán ninguna objeción. El plazo se podrá prorrogar dos meses a instancias del Parlamento Europeo o del Consejo. |
5. Todo acto delegado adoptado en virtud del artículo 34, apartado 3, entrará en vigor únicamente en caso de que ni el Parlamento Europeo ni el Consejo hayan manifestado ninguna objeción en un plazo de dos meses a partir de la notificación de dicho acto al Parlamento Europeo y al Consejo, o en caso de que, antes de que expire ese plazo, el Parlamento Europeo y el Consejo hayan informado a la Comisión de que no formularán ninguna objeción. El plazo se podrá prorrogar dos meses a instancias del Parlamento Europeo o del Consejo. |
Justificación | |
Consecuencia de la supresión de la delegación de poderes en el artículo 28, apartado 5, y de los cambios en la aplicación de los actos delegados en el artículo 34, apartado 3. | |
Enmienda 96 Propuesta de Directiva Artículo 57 – apartado 2 | |
Texto de la Comisión |
Enmienda |
2. Cuando se haga referencia al presente apartado, será de aplicación el artículo 5 del Reglamento (UE) nº 182/2011. |
suprimida |
Justificación | |
Consecuencia de la modificación del artículo 34, apartado 5. | |
Enmienda 97 Propuesta de Directiva Artículo 60 | |
Texto de la Comisión |
Enmienda |
Los acuerdos internacionales celebrados por los Estados miembros con anterioridad a la entrada en vigor de la presente Directiva se modificarán, en caso necesario, en un plazo de cinco años a partir de la entrada en vigor de la presente Directiva. |
1. Los acuerdos internacionales celebrados por los Estados miembros con anterioridad a la entrada en vigor de la presente Directiva se modificarán, en caso necesario, en un plazo de diez años a partir de la entrada en vigor de la presente Directiva, en la medida en que no estén sometidos a un control especial. |
|
2. No obstante el apartado 1, las disposiciones del artículo 36 se aplican por analogía a los acuerdos internacionales celebrados antes de la entrada en vigor de la presente Directiva en caso de una decisión negativa en relación con la protección de datos. |
Justificación | |
Un plazo de adaptación de cinco años es demasiado corto, teniendo en cuenta, la diversidad y la complejidad de los acuerdos internacionales vigentes. Las disposiciones del artículo 36 no deben aplicarse solamente entre los Estados miembros sino, también, por analogía, a los acuerdos internacionales vigentes. | |
Enmienda 98 Propuesta de Directiva Anexo [x] (nuevo) | |
Texto de la Comisión |
Enmienda |
|
Anexo [x] |
|
Lista de terceros países, territorios o sectores de tratamiento de datos en los terceros países u organizaciones internacionales que velan por un nivel adecuado de protección a tenor de lo dispuesto en el artículo 34, apartado 2. |
Justificación | |
Consecuencia de la modificación del artículo 34. |
PROCEDIMIENTO
Título |
Protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y libre circulación de estos datos |
||||
Referencias |
COM(2012)0010 – C7-0024/2012 – 2012/0010(COD) |
||||
Comisión competente para el fondo Fecha del anuncio en el Pleno |
LIBE 16.2.2012 |
|
|
|
|
Opinión emitida por Fecha del anuncio en el Pleno |
JURI 14.6.2012 |
||||
Ponente de opinión Fecha de designación |
Axel Voss 14.6.2012 |
||||
Examen en comisión |
18.12.2012 |
21.2.2013 |
|
|
|
Fecha de aprobación |
19.3.2013 |
|
|
|
|
Resultado de la votación final |
+: –: 0: |
14 9 0 |
|||
Miembros presentes en la votación final |
Raffaele Baldassarre, Luigi Berlinguer, Sebastian Valentin Bodu, Françoise Castex, Christian Engström, Marielle Gallo, Lidia Joanna Geringer de Oedenberg, Sajjad Karim, Klaus-Heiner Lehne, Jiří Maštálka, Alajos Mészáros, Bernhard Rapkay, Evelyn Regner, Francesco Enrico Speroni, Rebecca Taylor, Alexandra Thein, Rainer Wieland, Cecilia Wikström, Tadeusz Zwiefka |
||||
Suplente(s) presente(s) en la votación final |
Piotr Borys, Eva Lichtenberger, Axel Voss |
||||
Suplente(s) (art. 187, apdo. 2) presente(s) en la votación final |
Ricardo Cortés Lastra |
||||
PROCEDIMIENTO
Título |
Protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y la libre circulación de dichos datos |
||||
Referencias |
COM(2012)0010 – C7-0024/2012 – 2012/0010(COD) |
||||
Fecha de la presentación al PE |
25.1.2012 |
|
|
|
|
Comisión competente para el fondo Fecha del anuncio en el Pleno |
LIBE 16.2.2012 |
|
|
|
|
Comisión(es) competente(s) para emitir opinión Fecha del anuncio en el Pleno |
JURI 14.6.2012 |
|
|
|
|
Ponente(s) Fecha de designación |
Dimitrios Droutsas 25.4.2012 |
|
|
|
|
Examen en comisión |
27.2.2012 |
31.5.2012 |
9.7.2012 |
19.9.2012 |
|
|
5.11.2012 |
10.1.2013 |
21.1.2013 |
20.3.2013 |
|
|
7.5.2013 |
9.7.2013 |
21.10.2013 |
|
|
Fecha de aprobación |
21.10.2013 |
|
|
|
|
Resultado de la votación final |
+: –: 0: |
29 20 3 |
|||
Miembros presentes en la votación final |
Jan Philipp Albrecht, Roberta Angelilli, Edit Bauer, Rita Borsellino, Emine Bozkurt, Arkadiusz Tomasz Bratkowski, Salvatore Caronna, Philip Claeys, Carlos Coelho, Agustín Díaz de Mera García Consuegra, Ioan Enciu, Cornelia Ernst, Tanja Fajon, Kinga Gál, Kinga Göncz, Sylvie Guillaume, Salvatore Iacolino, Sophia in ‘t Veld, Juan Fernando López Aguilar, Baroness Sarah Ludford, Clemente Mastella, Véronique Mathieu Houillon, Anthea McIntyre, Nuno Melo, Roberta Metsola, Louis Michel, Claude Moraes, Georgios Papanikolaou, Carmen Romero López, Judith Sargentini, Birgit Sippel, Wim van de Camp, Axel Voss, Josef Weidenholzer, Cecilia Wikström, Tatjana Ždanoka, Auke Zijlstra |
||||
Suplente(s) presente(s) en la votación final |
Alexander Alvaro, Silvia Costa, Dimitrios Droutsas, Evelyne Gebhardt, Monika Hohlmeier, Jan Mulder, Raül Romeva i Rueda, Carl Schlyter, Marco Scurria |
||||
Suplente(s) (art. 187, apdo. 2) presente(s) en la votación final |
Jean-Pierre Audy, Pilar Ayuso, Miloslav Ransdorf, Britta Reimers, Kay Swinburne, Rafał Trzaskowski |
||||
Fecha de presentación |
22.11.2013 |
||||