El papel de Pakistán en el ámbito regional y sus relaciones políticas con la UE
146k
61k
Resolución del Parlamento Europeo, de 12 de marzo de 2014, sobre el papel de Pakistán en el ámbito regional y sus relaciones políticas con la UE (2013/2168(INI))
– Vistos los artículos 2 y 21 del Tratado de la Unión Europea y el Tratado de Funcionamiento de la Unión Europea (TFUE),
– Visto el Plan de compromiso quinquenal UE-Pakistán, de febrero de 2012(1),
– Vistos el Marco estratégico y el Plan de acción de la UE en materia de derechos humanos y democracia (11855/2012) adoptados por el Consejo de Asuntos Exteriores el 25 de junio de 2012(2),
– Vista la Estrategia Europea de Seguridad titulada «Una Europa segura en un mundo mejor», adoptada por el Consejo Europeo el 12 de diciembre de 2003, así como el «Informe sobre la aplicación de la Estrategia Europea de Seguridad – Ofrecer seguridad en un mundo en evolución», aprobado por el Consejo Europeo de los días 11 y 12 de diciembre de 2008,
– Visto el Reglamento (UE) n ° 978/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, por el que se aplica un sistema de preferencias arancelarias generalizadas sobre el Sistema de Preferencias Generalizadas(3) y, en particular, el régimen especial de estímulo del desarrollo sostenible y la gobernanza («SPG+»),
– Visto el anexo VIII del citado Reglamento, en el que se enumeran los principales Convenios de las Naciones Unidas y de la Organización Internacional del Trabajo (OIT) sobre derechos humanos y laborales y los relativos al medio ambiente y a los principios de gobernanza, que Pakistán ha ratificado y ha acordado aplicar de forma efectiva,
– Vistas las Conclusiones del Consejo de Asuntos Exteriores de 11 de marzo de 2013 sobre Pakistán,
– Vistas su Resolución, de 7 de febrero de 2013, sobre los recientes atentados cometidos contra trabajadores sanitarios en Pakistán(4); su Posición de 13 de septiembre de 2012, sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se introducen preferencias comerciales autónomas con carácter urgente para Pakistán(5); y su Resolución de 15 de diciembre de 2011 sobre la situación de las mujeres en Afganistán y Pakistán(6); así como la visita a Pakistán de una delegación de su Subcomisión de Derechos Humanos en agosto de 2013,
– Vistos el Informe, de 18 de septiembre de 2013, del Relator Especial de las Naciones Unidas sobre los derechos humanos y la lucha contra el terrorismo, Ben Emmerson, sobre la promoción y protección de los derechos humanos y las libertades fundamentales en la lucha contra el terrorismo, y el Informe, de 13 de septiembre de 2013, del Relator Especial de las Naciones Unidas sobre las ejecuciones extrajudiciales, sumarias o arbitrarias, Christof Heyns, sobre ejecuciones extrajudiciales, sumarias o arbitrarias,
– Vista la Resolución 68/178 aprobada, el 18 de diciembre de 2013, por la Asamblea General de las Naciones Unidas sobre la promoción y protección de los derechos humanos y las libertades fundamentales en la lucha contra el terrorismo,
– Visto el artículo 48 de su Reglamento,
– Vistos el informe de la Comisión de Asuntos Exteriores y la opinión de la Comisión de Desarrollo (A7-0117/2014),
A. Considerando el papel estratégico que Pakistán desempeña en la región, su relación con sus vecinos y las relaciones entre la UE y Pakistán revisten una importancia fundamental y cada vez mayor para la UE, dada la situación geográfica central del país en el corazón de una región inestable, su relevancia para la seguridad y el desarrollo en el Asia Central y Meridional y su papel decisivo en la lucha contra el terrorismo, la no proliferación, el tráfico de drogas y otras amenazas transnacionales, todo lo cual afecta a la seguridad y el bienestar de los ciudadanos europeos;
B. Considerando que las elecciones parlamentarias de mayo 2013 marcaron la primera transferencia del poder de un gobierno civil elegido a otro en la historia moderna de Pakistán; y que el proceso democrático de Pakistán se sustenta en cambios profundos de la sociedad, que incluye una creciente clase media urbana y una sociedad civil cada vez más dinámica y unos medios de comunicación independientes;
C. Considerando que el progreso político y económico del país se ve obstaculizado por problemas graves relacionados con la seguridad interior y regional, como el extremismo, conflictos basados en el sectarismo, suicidios y asesinatos selectivos y la anarquía en las zonas tribales, agravados por la debilidad de las fuerzas del orden y del sistema judicial;
D. Considerando que la población de Pakistán es una de las menos escolarizadas del mundo, con cerca de doce millones de niños sin escolarizar y un analfabetismo que afecta aproximadamente a dos terceras partes de las mujeres y a la mitad de los hombres pakistaníes; y que el país sigue ocupando el puesto 134 de los 135 países que figuran en la lista del informe de 2012 sobre las diferencias salariales con referencia al género del Foro Económico Mundial;
E. Considerando que Pakistán se encuentra entre los doce países que han resultado más afectados por el cambio climático en los últimos veinte años según el Índice mundial de riesgo climático; que ha sido víctima de graves inundaciones y de escasez de agua y que sufre directamente los efectos del retroceso de los glaciares de las cordilleras del Himalaya y del Karakórum;
F. Considerando que Pakistán es un país semi industrializado, de renta media baja, en el que alrededor de un tercio de la población vive por debajo del umbral de la pobreza; que Pakistán ocupa el puesto 146 de los 187 países del índice de desarrollo humano (IDH), y que ha descendido desde el puesto 145 que ocupaba en la relación de 2011; que la situación económica en Pakistán se ha visto perjudicada por sucesivas catástrofes naturales y que un elevado nivel de inseguridad, inestabilidad y de corrupción generalizada en el país están frenando su crecimiento económico y limitando la capacidad del gobierno para desarrollar el Estado;
G. Considerando que Pakistán es vulnerable a una amplia variedad de peligros, en particular inundaciones y terremotos; que la volátil situación de la seguridad y los desafíos sociales a los que se enfrenta Pakistán actúan como un catalizador que aumentan su vulnerabilidad; y que varios años de desastres han agotado las estrategias de defensa de comunidades ya empobrecidas y han reducido significativamente la capacidad de resistencia frente a futuros desastres;
H. Considerando que la contribución constructiva de Pakistán es vital para el logro de la reconciliación, la paz y la estabilidad política en sus países vecinos y, en particular, en Afganistán, en particular en el contexto de la prevista retirada de las tropas de combate de la OTAN en 2014;
I. Considerando que Pakistán es uno de los principales beneficiarios de la ayuda al desarrollo y humanitaria de la UE y que la UE representa el mayor mercado de exportación de Pakistán;
J. Considerando que Pakistán es un socio cada vez más importante de la UE en la lucha contra el terrorismo, la proliferación de armas nucleares, la trata de seres humanos, el narcotráfico y la delincuencia organizada, así como en la búsqueda de la estabilidad regional;
K. Considerando que la UE y Pakistán han decidido recientemente profundizar y ampliar sus lazos bilaterales, tal como han puesto de manifiesto el Plan de compromiso quinquenal, vigente desde febrero de 2012, y el primer diálogo estratégico entre la UE y Pakistán, celebrado en junio de 2012;
L. Considerando que el Plan de compromiso quinquenal UE-Pakistán de 2012 consiste en crear una relación estratégica y forjar una asociación en aras de la paz y el desarrollo basada en principios y valores comunes;
M. Considerando que desde el 1 de enero de 2014 Pakistán es parte integrante del sistema especial de preferencias comerciales generalizadas de la UE (SPG+);
N. Considerando que en septiembre de 2012 un incendio asoló la planta de Ali Enterprises, en Karachi, en la que se fabricaban pantalones vaqueros para el mercado europeo, y causó la muerte de 286 trabajadores; y que la inclusión de Pakistán en el sistema SPG+ podría impulsar la producción del sector textil y dotar de una mayor importancia a la mejora de los derechos laborales y de las condiciones de producción;
1. Subraya la importancia de las elecciones de mayo de 2013 para la consolidación de la democracia y la instauración de un gobierno civil en Pakistán; alienta a las élites políticas pakistaníes a que aprovechen este impulso para fortalecer aún más las instituciones democráticas, el Estado de Derecho y el control civil sobre todos los ámbitos de la administración pública, en particular las fuerzas de seguridad y el poder judicial, promover la seguridad interna y regional, promulgar reformas en materia de gobernanza para reactivar el crecimiento económico, reforzar la transparencia y la lucha contra la delincuencia organizada, y mitigar las injusticias sociales, así como para poner fin y encontrar una solución a todas las violaciones de los derechos humanos;
2. Considera, sin embargo, que la construcción de una democracia sostenible y de una sociedad plural, así como el logro de una mayor justicia social, la erradicación de la pobreza extrema y la desnutrición en determinadas partes del país, el aumento del nivel básico de educación, la preparación del país para los efectos del cambio climático, implicarán reformas profundas y difíciles de la estructura política y socioeconómica de Pakistán, que se sigue caracterizando por unas estructuras feudales de propiedad de la tierra y de afiliación política y por desequilibrios en las prioridades entre el gasto militar, por una parte, y las políticas de bienestar social y de desarrollo educativo y económico, por otro, así como por un sistema deficiente de recaudación fiscal que socava sistemáticamente la capacidad del Estado en materia de provisión de bienes públicos;
3. Apoya y alienta los esfuerzos del Gobierno pakistaní tendentes a desarrollar medios efectivos para prevenir y controlar la posibilidad de futuras catástrofes naturales así como a mejorar la coordinación y cooperación de la ayuda humanitaria con los interlocutores locales, las ONG internacionales y los recaudadores de fondos;
4. Reitera que una buena gobernanza, unas instituciones responsables e inclusivas, la separación de poderes y el respeto de los derechos fundamentales son elementos importantes para abordar el nexo entre desarrollo y seguridad en Pakistán; considera, además, que los gobiernos civiles elegidos, dotados de legitimidad democrática, la descentralización del poder en favor de las provincias y una administración local eficaz son los instrumentos más adecuados para contener la marea de la violencia y el extremismo, restaurar la autoridad del Estado en las zonas tribales de administración federal (FATA) y garantizar la soberanía y la integridad territorial de Pakistán;
5. Apoya, en este contexto, la intención del Gobierno de Pakistán de entablar un diálogo de paz con el TTP (Tehreek-e-Taliban Pakistan), siempre que esto allane el camino para una solución política y duradera de la insurgencia y la constitución de un orden democrático estable, que respete los derechos humanos; insta, no obstante, a los negociadores a que tengan en cuenta el papel totalmente decisivo que desempeña el nivel educativo —en particular, el de las mujeres— en el avance de las sociedades y a que traten la escolarización de las niñas como elemento fundamental de las negociaciones;
6. Aprecia el compromiso permanente de Pakistán de luchar contra el terrorismo a ambos lados de sus fronteras y alienta a las autoridades a que adopten medidas más audaces para limitar aún más las posibilidades de reclutamiento y entrenamiento de terroristas en el territorio de Pakistán, que constituye un fenómeno que está convirtiendo determinadas zonas de Pakistán en refugios para organizaciones terroristas cuyo objetivo es desestabilizar el país y la región y, en particular, Afganistán;
7. Toma nota de que el líder talibán pakistaní Hakimulá Mehsud falleció como consecuencia del ataque de un avión estadounidense no tripulado el 1 de noviembre de 2013 y que el Parlamento pakistaní y el nuevo gobierno se han opuesto formalmente a dichas intervenciones; así como que el Derecho internacional ha de contemplar de forma más clara límites para llevar a cabo ataques con aviones no tripulados;
8. Pide al Gobierno pakistaní que cumpla sus obligaciones y que esté a la altura de sus responsabilidades en materia de seguridad participando de modo más activo en la lucha contra el extremismo, el terrorismo y la radicalización, adoptando medidas de seguridad estrictas e inflexibles y aplicando la ley, así como abordando la desigualdad y las cuestiones socioeconómicas susceptibles de azuzar la radicalización de la juventud pakistaní;
9. Toma nota de la clara oposición que ha manifestado el Gobierno pakistaní a los ataques con aviones estadounidense no tripulados en su territorio; acoge con satisfacción la Resolución de la Asamblea General de las Naciones Unidas que pide una mayor definición del marco jurídico aplicable al uso de «drones» armados;
10. Acoge con satisfacción la contribución de Pakistán a los procesos de construcción del Estado y de reconciliación en Afganistán, incluida la asistencia para facilitar la reanudación de las conversaciones de paz; desea que Pakistán continúe adoptando una actitud positiva en el período previo a las elecciones presidenciales de Afganistán y después de ellas; manifiesta su preocupación por la competencia geopolítica entre vecinos respecto de la influencia en Afganistán después de la retirada de las tropas de combate de la OTAN;
11. Deposita sus esperanzas en el papel constructivo de Pakistán en la promoción de la estabilidad regional, incluso en lo relativo a la presencia de la OTAN y de los Estados miembros de la UE en Afganistán después de 2014, avanzando aún más en el diálogo a tres bandas sobre el compromiso en Afganistán con la India, Turquía, China, Rusia y el Reino Unido, y fomentando la cooperación regional en la lucha contra el tráfico de personas, estupefacientes y mercancías;
12. Acoge con satisfacción los recientes progresos tangibles en el diálogo entre Pakistán y la India, especialmente en lo que se refiere al comercio y los contactos personales, gracias a la actitud constructiva de ambas partes; lamenta que los logros del diálogo sigan siendo vulnerables a acontecimientos imprevistos, tales como los incidentes que están teniendo lugar en la Línea de Control que separa la zona de Cachemira ocupada por Pakistán de la ocupada por la India; pide a ambos gobiernos que garanticen unas cadenas de mando adecuadas, la rendición de cuentas del personal militar y el diálogo entre las fuerzas armadas a fin de evitar incidentes similares en el futuro;
13. Reconoce el interés legítimo de Pakistán en la creación de lazos estratégicos, económicos y energéticos con China; considera importante que unas relaciones más estrechas entre Pakistán y China refuercen la estabilidad geopolítica en el Asia Meridional;
14. Toma nota del deseo de Pakistán de convertirse en miembro de pleno derecho de la Organización de Cooperación de Shanghai (OCS) como buena señal de la intención del país de implicarse más en las iniciativas multilaterales; toma nota, no obstante, de la ausencia de un mecanismo formal de cooperación entre la OCS y la UE, y advierte sobre la existencia de divergencias en sus respectivas bases normativas y sus perspectivas sobre asuntos mundiales;
15. Manifiesta su preocupación por las informaciones que indican que Pakistán estaría considerando la posibilidad de exportar armas nucleares a terceros países; confía que la UE y sus Estados miembros, a pesar de los desmentidos oficiales de los informes, dejen claro a Pakistán que la exportación de armas nucleares es inaceptable; pide a Pakistán que, como Estado que posee armamento nuclear, declare ilegales las exportaciones de cualesquiera materiales o conocimientos técnicos relacionados con las armas nucleares y que tome parte activa en los esfuerzos internacionales dirigidos a la no proliferación de las armas nucleares; opina que la firma y ratificación del Tratado de No Proliferación de Armas Nucleares (TNP) por Pakistán, y la India, demostraría un compromiso decidido con una coexistencia regional pacífica y contribuiría en gran medida a la seguridad de toda la región;
16. Considera que la lucha contra el extremismo y el radicalismo está directamente vinculada al fortalecimiento del proceso democrático, y reafirma el gran interés de la UE, y su apoyo permanente, a un Pakistán democrático, seguro y bien gobernado, dotado de un sistema judicial independiente y de una buena gobernanza, que respete el Estado de Derecho y los derechos humanos, goce de buenas relaciones con los vecinos y proyecte una influencia estabilizadora en la región;
17. Recuerda que las relaciones entre la UE y Pakistán se han desarrollado tradicionalmente dentro de un marco centrado en el desarrollo y el comercio; agradece la contribución significativa y duradera de la cooperación al desarrollo y humanitaria de la UE y acoge con satisfacción la posibilidad de que Pakistán pueda para beneficiarse del SPG+ de la UE a partir de 2014; pide a Pakistán que cumpla satisfaga plenamente las condiciones al respecto que conlleva dicho sistema y pide a la Comisión que garantice la estricta aplicación de una supervisión reforzada con arreglo a lo dispuesto en el nuevo Reglamento sobre el SPG; y subraya que debe seguir concediéndose la prioridad a la cooperación, en particular en los sectores de la educación, la construcción de la democracia y la adaptación al cambio climático;
18. Está convencido de que se deben profundizar y ampliar las relaciones entre la UE y Pakistán mediante el desarrollo de un diálogo político manteniendo, así una relación de interés mutuo entre socios en pie de igualdad; se congratula, en este contexto, de la adopción del Plan de compromiso quinquenal y del comienzo del diálogo estratégico entre la UE y Pakistán, lo que refleja el aumento de la importancia de la cooperación política y de seguridad, incluida la política antiterrorista, el desarme y la no proliferación, así como la migración, la educación y la cultura; desea, no obstante, más avances en todas las áreas del Plan de compromiso;
19. Anima tanto a la UE como a Pakistán a que cooperen en el proceso de aplicación y realicen un seguimiento periódico de los avances logrados mediante el refuerzo del diálogo entre ambas partes a largo plazo;
20. Considera que la transición democrática de Pakistán ha generado una oportunidad para que la UE adopte un enfoque más explícitamente político en las relaciones bilaterales y la prestación de asistencia; piensa que el apoyo de la UE a Pakistán debe conceder la prioridad a la consolidación de las instituciones democráticas a todos los niveles, al fortalecimiento de la capacidad del Estado y de la buena gobernanza, a la creación de estructuras antiterroristas civiles y policiales eficaces que incluyan un poder judicial independiente, y a la capacitación de la sociedad civil y de unos medios de comunicación libres;
21. Acoge con satisfacción, en este sentido, los programas generales de apoyo a la democracia ya vigentes en el marco de la aplicación de las recomendaciones de las misiones de observación electoral de la UE de 2008 y 2013;
22. Pide al SEAE y a la Comisión que persigan una política matizada y multidimensional hacia Pakistán que cree una sinergia entre todos los instrumentos pertinentes de que dispone la UE, tales como el diálogo político, la cooperación para la seguridad, el comercio y la asistencia, de acuerdo con el enfoque global de la UE en materia de acción exterior y en vista de los preparativos de una próxima cumbre UE-Pakistán;
23. Pide, asimismo, al SEAE, a la Comisión y al Consejo que garanticen que la política de la UE hacia Pakistán se contextualice y se inscriba en una estrategia más amplia para la región, reforzando así los intereses de la UE en toda el Asia Central y Meridional; considera importante que las relaciones bilaterales de la UE con Pakistán y sus países vecinos, en particular con la India, China e Irán, sirvan también para debatir y coordinar las políticas relativas a la situación en Afganistán, con objeto de garantizar un planteamiento específico; subraya, a este respecto, la necesidad de aumentar la coordinación de las políticas de la UE y de los Estados Unidos y el diálogo sobre cuestiones regionales;
24. Considera que el futuro de las relaciones entre la UE y Pakistán también debe considerarse en el contexto de la evolución de los mecanismos institucionales de la UE para el compromiso con terceros países, en particular a través de las alianzas estratégicas; pide, una vez, más el perfeccionamiento conceptual del formato y unos puntos de referencia claros y coherentes para evaluar, entre otras cosas, si Pakistán podría convertirse en algún momento en un socio estratégico de la UE, y en qué condiciones;
25. Reitera que el progreso en las relaciones bilaterales está vinculado a la mejora del respeto de los derechos humanos en Pakistán, en particular en lo que respecta a la erradicación del trabajo en régimen de servidumbre, el trabajo infantil y el tráfico de personas, la eliminación de la violencia de género, la mejora de los derechos de las mujeres y de las niñas, entre ellos el acceso a la educación, la garantía de la libertad de expresión y de la independencia de los medios de comunicación, la promoción de la tolerancia y la protección de las minorías vulnerables mediante una lucha eficaz contra toda forma de discriminación; reconoce que para ello es necesario poner fin a la cultura de la impunidad y el desarrollo de un sistema legal y judicial fiable a todos los niveles, accesible a todos;
26. Sigue seriamente preocupado por la calidad de la educación y, también, por la situación alarmante de las mujeres en muchas regiones de Pakistán; pide la adopción de medidas concretas y visibles para poner en práctica los derechos fundamentales de las mujeres en la sociedad, incluyendo entre otras, la promulgación de leyes contra la violencia doméstica, la adopción de medidas encaminadas a mejorar la investigación y el enjuiciamiento de asesinatos por cuestiones de honor y ataques con ácidos, así como la revisión de la legislación que facilita la impunidad; señala la necesidad de garantizar un mejor acceso a la educación, una mejor integración de las mujeres en el mercado laboral y una mejor asistencia materna;
27. Reitera su profunda preocupación por el hecho de que las leyes sobre la blasfemia en Pakistán —que pueden acarrear la pena de muerte y que a menudo se utilizan para justificar la censura, penalización, persecución y, en algunos casos, incluso el asesinato de miembros de minorías políticas y religiosas— estén expuestas a posibles abusos que perjudican a personas de todas las confesiones en Pakistán; destaca que la negativa a reformar o derogar las leyes contra la blasfemia crea un entorno de vulnerabilidad persistente para las comunidades minoritarias; pide al Gobierno pakistaní que aplique una moratoria sobre el uso de estas leyes, como un primer paso para proceder a su revisión o derogación, y que investigue y enjuicie, según proceda, campañas de intimidación, amenazas y violencia contra cristianos, ahmadíes y otros grupos vulnerables;
28. Pide, en particular, a las autoridades pakistaníes que detengan y enjuicien a aquellos que inciten a la violencia o sean responsables de ataques violentos a escuelas o a grupos minoritarios tales como los chiítas, incluida la comunidad hazara, los ahmadíes y los cristianos, y que ordenen a las fuerzas de seguridad que protejan activamente a las personas objetivo de ataques de grupos extremistas; que promulguen leyes contra la violencia doméstica; y que pongan fin a las desapariciones forzadas, a las ejecuciones extrajudiciales y a las detenciones arbitrarias, sobre todo en Beluchistán;
29. Condena cualquier ataque a los cristianos y otras minorías religiosas residentes en Pakistán y confía en que Pakistán intensifique sus esfuerzos a fin de garantizar la libertad de religión y de creencias, incluida la flexibilización de la estricta legislación contra la blasfemia y, que adopte medidas de cara a la abolición de la pena de muerte;
30. Acoge favorablemente la aprobación del proyecto de ley relativo a la creación de una Comisión Nacional de Derechos Humanos en 2012 e insta al Gobierno a que proceda a la constitución de la misma para que pueda entrar en funcionamiento;
31. Toma nota de que la UE es el principal socio exportador de bienes de Pakistán (un 22,6 % en 2012); opina que el apoyo comercial de la UE a Pakistán debería contribuir a promover la diversificación y el desarrollo de los modos de producción, incluida la transformación, la facilitación de ayuda a la integración regional y las transferencias de la tecnología, la ayuda a facilitar el establecimiento o el desarrollo de la capacidad productiva nacional y la reducción de la desigualdad de los ingresos;
32. Recuerda que solo pueden acogerse al SPG+ de la UE, del que Pakistán comenzó a beneficiarse en 2014, los países que hayan acordado de forma vinculante aplicar los convenios internacionales sobre derechos humanos y laborales y los relativos al medio ambiente y a los principios de buena gobernanza; hace especial hincapié en las obligaciones de Pakistán con arreglo a los convenios recogidos en el anexo VIII y recuerda a la Comisión su obligación de supervisar la aplicación efectiva de los mismos; recuerda asimismo que el SPG+ se retirará temporalmente si un país beneficiario no respeta su compromiso vinculante;
33. Pide a las autoridades pakistaníes que adopten medidas eficaces para la aplicación de los 36 convenios de la OIT que el país ha ratificado para permitir, en particular que los sindicatos funcionen, mejorar las condiciones de trabajo y las normas de seguridad, erradicar el trabajo infantil y combatir las formas más graves de explotación de los tres millones de trabajadoras domésticas;
34. Pide al Gobierno paquistaní que cumpla su promesa de adherirse al programa «Better Work»(«Mejor Trabajo») organizado por la OIT y el IFC, con vistas a dar impulso a la mejora de las normas de seguridad y salud de los trabajadores; pide a todos los responsables directos e indirectos del incendio de la planta textil de Ali Enterprises, incluidos la empresa de auditoría Social Accountability y los minoristas europeos interesados, que abonen sin más dilación a los supervivientes del incendio una indemnización plena, justa y a largo plazo;
35. Encarga a su Presidente que transmita la presente resolución al Gobierno y a la Asamblea Nacional de Pakistán, al Consejo, a la Comisión, a la Vicepresidenta de la Comisión / Alta Representante de la Unión para Asuntos Exteriores y Política de Seguridad, al Representante Especial de la UE para los Derechos Humanos y a los Gobiernos de los Estados miembros.
Resolución del Parlamento Europeo, de 12 de marzo de 2014, sobre un escudo antimisiles para Europa y sus implicaciones políticas y estratégicas (2013/2170(INI))
– Vistos el artículo 42, apartado 7, del Tratado de la Unión Europea (Tratado UE) y el artículo 222 del Tratado de Funcionamiento de la Unión Europea (Tratado FUE),
– Vistos el artículo 24 y el artículo 42, apartado 2, del Tratado UE, los artículos 122 y 196 del Tratado FUE, y la Declaración 37 relativa al artículo 222 del Tratado FUE,
– Vistos la Estrategia Europea de Seguridad, adoptada por el Consejo Europeo el 12 de diciembre de 2003, y el informe sobre la aplicación de la misma, respaldado por el Consejo Europeo los días 11 y 12 de diciembre de 2008,
– Vista la Estrategia de Seguridad Interior de la Unión Europea, respaldada por el Consejo Europeo de los días 25 y 26 de marzo de 2010,
– Vistas las Conclusiones del Consejo Europeo, de 19 de diciembre de 2013, sobre la Política Común de Seguridad y Defensa,
– Visto el Concepto Estratégico para la Defensa y la Seguridad de los Miembros de la Organización del Tratado del Atlántico Norte, adoptado en la Cumbre de la OTAN celebrada en Lisboa los días 19 y 20 de noviembre de 2010,
– Vista la Declaración de la Cumbre de Chicago realizada por los jefes de Estado y de Gobierno participantes en la reunión del Consejo del Atlántico Norte celebrada en Chicago el 20 de mayo de 2012,
– Visto el artículo 48 de su Reglamento,
– Visto el informe de la Comisión de Asuntos Exteriores (A7-0109/2014),
A. Considerando que la cuestión de la defensa contra los misiles balísticos (DMB) ya se planteó en el pasado, pero que ha adquirido una mayor actualidad en los últimos años debido a la multiplicación de las amenazas derivadas de la proliferación de armas nucleares y de otras armas de destrucción masiva y la proliferación de misiles balísticos a las que deben ser capaces de hacer frente con eficacia la Organización del Tratado del Atlántico Norte (OTAN) y los aliados europeos;
B. Considerando que la defensa contra los ataques con misiles balísticos o de otro tipo puede representar un avance positivo para la seguridad europea en el contexto de una rápida dinámica en materia de seguridad a escala internacional, con varios agentes estatales y no estatales que están desarrollando tecnologías de misiles y diferentes capacidades de defensa química, biológica, radiológica y nuclear (QBRN) con potencial para llegar hasta el territorio europeo;
C. Considerando que la OTAN está desarrollando una capacidad de defensa contra misiles balísticos para cumplir su principal labor de defensa colectiva, que tiene por objeto ofrecer una cobertura y protección totales a todas las poblaciones, territorios y fuerzas a escala europea que pertenecen a la OTAN contra las crecientes amenazas que plantea la proliferación de misiles balísticos;
D. Considerando que la contribución fundamental de los Estados Unidos a la defensa contra los misiles balísticos es la confirmación de su compromiso con la OTAN y la seguridad de Europa y de los aliados europeos, y que pone de manifiesto la importancia de la alianza transatlántica, que tiene instalaciones ya en funcionamiento en Rumania y otras más que están previstas en un futuro próximo en Polonia;
E. Considerando que la Política Común de Seguridad y Defensa se desarrollará de forma totalmente complementaria con la OTAN, en el marco de la asociación estratégica acordado entre la UE y la OTAN, como confirmó el Consejo Europeo el 19 de diciembre de 2013;
1. Aduce que el desarrollo y la aplicación de tecnologías de defensa contra misiles balísticos está dando lugar a nuevas dinámicas con respecto a la seguridad europea, por lo que los Estados miembros tienen que tener en cuenta las implicaciones de este tipo de defensa para su seguridad;
2. Recuerda que las medidas de defensa contra misiles balísticos de la OTAN se desarrollan y elaboran para defender a sus Estados miembros de posibles ataques con misiles balísticos; pide a la Vicepresidenta / Alta Representante que busque una asociación estratégica con la OTAN, teniendo en cuenta la cuestión de la defensa contra misiles balísticos, que debería permitir ofrecer una cobertura y protección totales a todos los Estados miembros de la UE, evitando así una situación en la que la seguridad que se les ofrece esté de algún modo diferenciada;
3. Se felicita de la consecución de una capacidad provisional de defensa contra misiles balísticos de la OTAN, que ofrecerá una cobertura máxima en función de los medios disponibles para defender a las poblaciones, los territorios y las fuerzas en los Estados miembros de la OTAN en toda la Europa meridional contra un ataque con misiles balísticos; se felicita también del objetivo de ofrecer una cobertura y protección totales a los Estados miembros europeos de la OTAN a finales de la década;
4. Subraya que algunas iniciativas de la UE, como el Pooling & Sharing (aprovechamiento común y compartido), pueden resultar de utilidad para fortalecer la cooperación entre los Estados miembros en materia de defensa contra los misiles balísticos, así como para la realización de trabajos conjuntos de investigación y desarrollo; toma nota de que, a largo plazo, esta cooperación podría contribuir también a continuar consolidando la industria europea de defensa;
5. Pide al Servicio Europeo de Acción Exterior, a la Comisión, a la Agencia Europea de Defensa y al Consejo que incluyan las cuestiones relacionadas con la defensa contra misiles balísticos en las estrategias, los estudios y los libros blancos que se elaboren en el futuro en materia de seguridad;
6. Destaca que, debido a la crisis financiera y a los recortes presupuestarios, los recursos que se están utilizando no bastan para mantener unas capacidades de defensa suficientes, lo que está dando lugar a una reducción de las capacidades militares y de la capacidad industrial de la UE;
7. Destaca que el plan de la OTAN en materia de defensa contra misiles balísticos no está en absoluto dirigido a Rusia y que la OTAN está dispuesta a cooperar con Rusia en el supuesto de que haya cooperación entre dos sistemas de defensa antimisiles diferentes -la defensa contra misiles balísticos de la OTAN y la de Rusia; señala que, aunque una cooperación efectiva con Rusia puede aportar beneficios tangibles, ésta debe desarrollarse sobre la base del principio de plena reciprocidad y transparencia, ya que el fortalecimiento de la confianza mutua es vital para el desarrollo gradual de esta cooperación; observa, en este sentido, que el acercamiento de misiles rusos a las fronteras de la OTAN y la UE es contraproducente;
8. Encarga a su Presidente que transmita la presente Resolución al Presidente del Consejo Europeo, a la Vicepresidenta de la Comisión / Alta Representante de la Unión para Asuntos Exteriores y Política de Seguridad, al Consejo, a la Comisión, a los Parlamentos de los Estados miembros, a la Asamblea Parlamentaria de la OTAN y al Secretario General de la OTAN.
Sector pesquero europeo y Acuerdo de Libre Comercio UE-Tailandia
133k
49k
Resolución del Parlamento Europeo, de 12 de marzo de 2014, sobre la situación actual y las perspectivas futuras del sector pesquero europeo en el marco del Acuerdo de Libre Comercio entre la UE y Tailandia (2013/2179(INI))
– Visto el artículo 3, apartado 5, del Tratado de la Unión Europea sobre las relaciones de la UE con el resto del mundo,
– Visto el Reglamento (CE) n° 1005/2008 del Consejo, de 29 de septiembre de 2008, por el que se establece un sistema comunitario para prevenir, desalentar y eliminar la pesca ilegal, no declarada y no reglamentada(1) (Reglamento INDNR),
– Vista la Comunicación de la Comisión, de 25 de octubre de 2011, titulada «Estrategia renovada de la UE para 2011-2014 sobre la responsabilidad social de las empresas» (COM(2011)0681),
– Vista las preguntas escritas E-000618/2013, de 22 de enero de 2013, sobre los abusos en las cadenas de suministro del comercio minorista, y E-002894/2013, de 13 de marzo de 2013, sobre el Acuerdo de Libre Comercio con Tailandia y el trabajo infantil en el sector conservero, así como las respuestas de la Comisión a dichas preguntas,
– Vista su Resolución, de 22 de noviembre de 2012, sobre la dimensión exterior de la política pesquera común(2),
– Visto el artículo 48 de su Reglamento,
– Vistos el informe de la Comisión de Pesca y la opinión de la Comisión de Comercio Internacional (A7-0130/2014),
A. Considerando que el sector pesquero europeo está saliendo de un periodo de crisis que afecta a los sectores extractivo, transformador y acuícola, y que esta situación debilita dramáticamente su posición competitiva, sobre todo cuando el mercado mundial se está liberalizando, a la vez que ciertos países en vías de desarrollo donde los recursos marinos son abundantes empiezan a convertirse en las nuevas potencias pesqueras;
B. Considerando que la industria pesquera y transformadora europea es esencial para el abastecimiento de alimentos a los ciudadanos europeos y para apoyar la subsistencia de las áreas costeras con una fuerte dependencia de estas actividades; que la supervivencia del sector se pondrá en riesgo si la UE liberaliza el comercio de los productos pesqueros con países en desarrollo deseosos de exportar sus productos al interesante mercado de la Unión, especialmente si se ofrece arancel cero;
C. Considerando que la UE es el mayor importador mundial de productos pesqueros y que la dependencia de las importaciones hace el mercado de la Unión muy atractivo para los exportadores, más aún teniendo en cuenta que la demanda de productos pesqueros en la UE crece un 1,5 % anualmente;
D. Considerando que Tailandia es el primer país productor de conservas de atún del mundo, con un 46 % de la producción mundial, y que sus exportaciones de conservas de atún a la UE superan las 90 000 toneladas anuales y suponen casi el 20 % del total de las importaciones de la Unión de terceros países, siendo los EE.UU., la UE y Japón los principales mercados de destino de las exportaciones de productos pesqueros tailandeses;
E. Considerando que Tailandia es el principal importador mundial de atún fresco, refrigerado y congelado para su industria conservera;
F. Considerando que el 80 % del atún se consume enlatado y que, según los últimos datos disponibles de la base de datos FishStat de la Organización de las Naciones Unidas para la Alimentación y la Agricultura (FAO), un 21 % de la producción mundial de conservas y preparados de atún se realiza en la UE, mientras que el 79 % restante se lleva a cabo en terceros países, en su mayoría en desarrollo;
G. Considerando la importancia comercial, económica y estratégica que para la UE tiene Tailandia y los beneficios sustanciales del Acuerdo de Libre Comercio (ALC) entre la UE y Tailandia para el conjunto de la economía de la UE;
H. Considerando que la UE apoya la integración regional entre los países miembros de la ASEAN (Asociación de Naciones del Sudeste Asiático); que el ALC con Tailandia constituye uno de los pilares esenciales de este proceso de integración, cuyo fin último es la celebración de un acuerdo de libre comercio entre regiones en el futuro;
I. Considerando que la firma de un ALC UE-ASEAN ha sido un objetivo prioritario para la UE desde 2007, con la esperanza de incluir a Indonesia, Malasia, Filipinas, Singapur, Tailandia, Brunéi y Vietnam; que la falta de progreso en las negociaciones de este acuerdo regional ha tenido como consecuencia el inicio de negociaciones bilaterales con países miembros de la ASEAN, entre ellos Tailandia, existiendo un compromiso político de celebrar el ALC en un plazo de dos años;
J. Considerando que, incluyendo Tailandia, Indonesia y Filipinas en la región del Pacífico central y occidental, la producción de conservas de atún en esta región representa casi la mitad de la producción mundial;
K. Considerando que los cambios producidos en los productores de conservas de atún y en la producción de lomos van aparejados con la tendencia al abastecimiento mundial a países transformadores con bajos costes de producción situados cerca de la materia prima (por ejemplo, Tailandia, Filipinas, Indonesia, Papúa Nueva Guinea y Ecuador), y que el número de países relacionados con la producción y exportación de conservas de atún está aumentando;
L. Considerando que Tailandia y Filipinas son los principales países exportadores de preparados y conservas de atún a la UE y que las importaciones de Tailandia han aumentado un 20 %, mientras que las de Filipinas han decrecido un 5 %;
M. Considerando que, de producirse una reducción arancelaria para las conservas y preparados de atún, ello podría repercutir en las preferencias de que disfrutan los países del grupo de países de África, el Caribe y el Pacífico (ACP) y los beneficiarios del sistema de preferencias generalizadas (SPG+), según el cual los países terceros beneficiarios se comprometen, a cambio de la obtención de preferencias arancelarias, al cumplimiento de ciertas políticas, como son el respeto de los derechos humanos, del trabajo, el medio ambiente y la buena gobernanza;
N. Considerando que la reducción arancelaria también distorsionaría el mercado europeo ya que la mayoría de la industria atunera conservera de la UE se encuentra sita en regiones altamente dependientes de la pesca, como Galicia, Bretaña francesa, Azores (una región ultraperiférica), País Vasco y Cerdeña; que la industria atunera de la UE es la segunda productora mundial de conservas de atún, y desarrolla una actividad productiva tradicional de vital importancia tanto en la creación de valor añadido como en la generación de empleo en territorio de la UE, garantizando los máximos estándares sociales, medioambientales e higiénico-sanitarios;
O. Considerando que las normas de origen preferenciales tienen como objetivo principal establecer la existencia de un vínculo económico suficiente entre los productos importados en la UE y los países beneficiarios de las preferencias otorgadas por esta, para asegurar que estas preferencias no se vean indebidamente desviadas en beneficio de otros países a los que no estaban destinadas;
P. Considerando que, cuando se habla de comercio de productos pesqueros, se habla del comercio de un recurso natural, cuya sostenibilidad se ve influenciada por una gran variedad de factores, incluyendo la buena gestión y la explotación sostenible de los recursos pesqueros, el control de la pesca ilegal, la contaminación, el cambio climático y la demanda de mercado; que todas estas externalidades afectan al comercio internacional de productos pesqueros, y que, por tanto, los productos pesqueros deben ser considerados como productos sensibles susceptibles de ser objeto de una especial protección;
Q. Considerando que un abastecimiento de materia prima suficiente y constante es esencial para el mantenimiento y desarrollo económico de las empresas procesadoras de atún de la UE;
R. Considerando que la Organización Mundial del Comercio (OMC) preconiza que el libre comercio es un instrumento de crecimiento que tiene como objetivo el desarrollo sostenible en sus pilares social, económico y medioambiental;
S. Considerando que las normas de comercio son, por tanto, una clave básica y fundamental para asegurar que el comercio sea ventajoso y también para la consecución de objetivos de protección de la salud y el medio ambiente, asegurando una adecuada gestión de los recursos naturales;
T. Considerando que la globalización ha aumentado en gran medida la cantidad de pescado comercializado internacionalmente y que existe una generalizada preocupación de que muchos países productores carezcan de los medios suficientes para gestionar y/o explotar las poblaciones de peces de manera sostenible, asegurar un nivel de protección higiénico-sanitaria adecuada, mitigar el impacto medioambiental de la pesca y la acuicultura y asegurar el respeto de los derechos humanos en general, y promover los derechos laborales y las condiciones sociales en particular;
U. Considerando que algunos de los socios comerciales de la UE muestran deficiencias en relación con el desarrollo sostenible de la pesca en sus tres vertientes: social, económica y medioambiental;
V. Considerando que la gestión sostenible de las poblaciones de atunes está garantizada por las cinco organizaciones regionales pesqueras (ORP) atuneras; que la colaboración internacional entre Estados y con las ORP es esencial para asegurar la sostenibilidad de las poblaciones de atunes;
W. Considerando que, recientemente, tanto la OIT como diferentes ONG han puesto en evidencia graves deficiencias en las condiciones sociales, laborales y de respeto de los derechos humanos de la industria pesquera tailandesa; que los medios de comunicación han destacado y el Gobierno de Tailandia ha reconocido que cierto sector de la industria pesquera tailandesa se beneficia del trabajo forzoso de inmigrantes que son objeto de trata de seres humanos, y que dos industrias multinacionales conserveras de atún tailandés usan mano de obra infantil;
X. Considerando que, según la FAO, es habitual que los barcos pesqueros tailandeses sean confiscados por los Estados costeros vecinos y los capitanes acusados de pesca ilegal o de intrusión ilegal en la zona económica exclusiva (ZEE);
Y. Considerando que, durante el año 2013, las autoridades españolas rechazaron la descarga y comercialización de túnidos procedente de buques atuneros con bandera de Ghana al estar involucrados en pesca ilegal, no declarada y no reglamentada (INDNR) por incumplimiento de las medidas de gestión de la Comisión Internacional para la Conservación del Atún del Atlántico (CICAA), dándose la circunstancia de que la mayoría de los buques atuneros contaban con participación de compañías privadas de Tailandia;
Z. Considerando que, en los últimos meses, se han rechazado en la UE numerosas partidas de conservas de atún importadas de Tailandia por su inadecuado tratamiento térmico, tratamiento fundamental para neutralizar microorganismos que, de otra manera, supondrían un riesgo para la salud humana;
1. Pide que se dé el tratamiento de sensibles a los productos de la pesca, como las conservas de atún importadas de Tailandia, que puedan perturbar la producción y el mercado de dichos productos en la UE; considera, por otra parte, que únicamente deben tomarse decisiones relativas a un mayor acceso de conservas y preparados de atún de Tailandia tras haberse realizado evaluaciones de impacto rigurosas y en estrecha consulta con el sector, con el fin de analizar y evaluar el impacto que pudiera tener ese mayor acceso para la industria manufacturera y la comercialización de pescados y mariscos en la UE;
2. Pide que el acceso de conservas y preparados de pescados y mariscos tailandeses al mercado de la UE continúe estando sujeto a su actual arancel y, por tanto, queden excluidos de las reducciones arancelarias; recomienda que se fijen periodos transitorios largos y compromisos de liberalización parcial, como la imposición de cuotas, para las conservas y preparados de pescados y mariscos en caso de que se introduzcan reducciones arancelarias, al objeto de garantizar la competitividad de la industria atunera de la Unión y preservar la importante actividad y dimensión social asociada a la industria atunera en la UE, que genera 25 000 puestos de trabajo directos y 54 000 puestos de trabajo indirectos;
3. Exige que, en su caso y antes de realizar cualquier tipo de concesiones arancelarias o de cualquier otra normativa, se realicen evaluaciones de impacto rigurosas, que analicen y valoren el impacto que las mismas pueden tener en la industria de transformación y comercialización de productos del mar en la UE;
4. Pide que se garantice sin excepciones el pleno respeto de unas normas de origen sólidas, coherentes y estrictas en el caso de los productos sensibles de la pesca y que se limite severamente la posibilidad de acumulación de origen para aquellos productos de los que Tailandia es principalmente un país de transformación y no pesquero;
5. Exige que las importaciones de conservas de atún y otros productos de la pesca de Tailandia estén sujetas en la medida de lo posible a las mismas condiciones de competencia que los productos de la pesca de la UE; considera que ello implica, en particular, que el ALC debe incluir un capítulo ambicioso en materia de comercio y desarrollo sostenible, por el que Tailandia se comprometa a respetar, fomentar y aplicar las normas del trabajo reconocidas internacionalmente tal como se recogen en los convenios fundamentales de la OIT, incluidos los relativos al trabajo forzoso y al trabajo infantil; considera, además, que debe garantizarse de forma rigurosa el respeto de los derechos humanos, la protección del medio ambiente y la conservación y explotación sostenible de los recursos pesqueros, la lucha contra la pesca ilegal, no declarada y no reglamentada, y el cumplimiento de las normas sanitarias y fitosanitarias de la UE; cree, en este sentido, que la Comisión debe informar regularmente al Parlamento sobre el cumplimiento de dichas obligaciones por parte de Tailandia;
6. Pide a la Comisión que vele por la aplicación efectiva del Reglamento INDNR y por que las negociaciones del ALC finalicen con una referencia explícita a dicho Reglamento dentro del texto del Acuerdo;
7. Considera que la mejor forma de garantizar la plena cooperación de Tailandia en la lucha contra la pesca ilegal, no declarada y no reglamentada es añadir en el texto del ALC una referencia explícita al Reglamento INDNR;
8. Pide la inclusión en el ALC de la exigencia de cumplimiento de los Convenios de la Organización Internacional del Trabajo, así como una mayor transparencia, control, fiscalización y trazabilidad en el sector pesquero tailandés, de manera que se permita el seguimiento de las actividades pesqueras;
9. Insiste en que se garantice la trazabilidad de los productos como elemento esencial de protección de la salud humana y de protección del medio ambiente, además de constituir un factor fundamental como herramienta básica de control de la pesca ilegal;
10. Exige que el ALC mantenga la coherencia con el resto de políticas de la Unión, así como la promoción de estrategias de responsabilidad social de las empresas; reclama el establecimiento de cláusulas de salvaguardia;
11. Destaca que la decisión del Parlamento de dar su aprobación al ALC tendrá en cuenta el resultado global de las negociaciones, también en el sector pesquero;
12. Demanda reciprocidad en el acceso a los mercados y la eliminación de cualquier tipo de discriminación en el ámbito de los servicios;
13. Expresa el deseo de que Tailandia, como mayor exportador mundial de conservas de atún, participe y colabore con las tres ORP atuneras de la zona, a saber: la Comisión Interamericana de Atún Tropical, la Comisión de Pesca del Pacífico Occidental y Central y la Organización Regional de Ordenación Pesquera del Pacífico Sur, y con la ORP atunera del Índico, de la que es miembro;
14. Aboga por la existencia de una política de conservación y gestión sostenible de los recursos pesqueros;
15. Encarga a su Presidente que transmita la presente Resolución al Consejo y a la Comisión.
– Visto el informe de su Comisión de Medio Ambiente, Salud Pública y Seguridad Alimentaria, sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo sobre la información alimentaria facilitada al consumidor (COM(2008)0040),
– Visto el Informe sobre nutrición de la UNESCO del año 2002,
– Visto el Informe de la Organización Mundial de la Salud (OMS) titulado «Food and Nutrition Policy for Schools»,
– Visto el Libro Blanco de la Comisión de 30 de mayo de 2007, «Estrategia europea sobre problemas de salud relacionados con la alimentación, el sobrepeso y la obesidad» (COM(2007)0279),
– Vistas las conclusiones de la Conferencia Ministerial Europea de la OMS sobre la Nutrición y las Enfermedades No Transmisibles en el contexto de la Salud para 2020, celebrada en Viena los días 4 y 5 de julio de 2013,
– Vista la Convención para la Salvaguardia del Patrimonio Cultural Inmaterial de la UNESCO, de 17 de octubre de 2003,
– Vista la inscripción de la Dieta Mediterránea en la Lista Representativa del Patrimonio Cultural Inmaterial de la UNESCO, de 16 de noviembre de 2010 y de 4 de diciembre de 2013,
– Vista la inscripción de la Comida gastronómica de los franceses en la Lista Representativa del Patrimonio Cultural Inmaterial de la UNESCO (decisión 5.COM 6.14),
– Visto el artículo 48 de su Reglamento,
– Visto el informe de la Comisión de Cultura y Educación (A7-0127/2014),
Aspectos educativos
A. Considerando que el estado de salud y el bienestar de la población, tanto presentes como futuros, están condicionados por la alimentación y el medio ambiente y, por tanto, también por el tipo de agricultura, pesca y ganadería;
B. Considerando que la OMS, en su iniciativa global de salud en las escuelas, considera que los centros educativos son un espacio significativo para la adquisición de conocimientos teóricos y prácticos sobre la salud, la nutrición, la alimentación y la gastronomía;
C. Considerando que una mala alimentación puede tener graves consecuencias; que los ministros europeos de Sanidad pidieron, en la Conferencia Ministerial Europea de la OMS de julio de 2013, una gran movilización para luchar contra la obesidad y la mala alimentación, que son la causa de una epidemia de enfermedades no contagiosas, como los trastornos cardiovasculares, la diabetes o el cáncer;
D. Considerando que la imagen normalizada del cuerpo y la alimentación en la sociedad puede provocar trastornos alimentarios y psicológicos importantes, como la anorexia o la bulimia; que es importante, por tanto, abordar estas cuestiones, en especial entre los adolescentes;
E. Considerando que, según el Consejo Europeo de Información sobre la Alimentación (EUFIC), en 2006, corrían riesgo de malnutrición en Europa unos 33 millones de personas; que la situación se ha agravado aún más desde el comienzo de la crisis;
F. Considerando que la infancia es un periodo determinante para educar en comportamientos saludables y en conocimientos para adoptar un estilo de vida saludable y que la escuela es uno de los lugares donde desarrollar acciones eficaces para formar comportamientos saludables a largo plazo para las nuevas generaciones;
G. Considerando que los centros escolares cuentan con espacios e instrumentos que pueden contribuir tanto al conocimiento y manejo de los alimentos como al establecimiento de comportamientos alimentarios que, junto con la realización de actividad física de forma moderada y continua, permiten un estilo de vida saludable;
H. Considerando que la información, educación y sensibilización forma parte de la estrategia de la Unión Europea para ayudar a los Estados Miembros a reducir los daños relacionados con el alcohol (COM (2006)0625), y que en ella se reconocen las pautas de consumo adecuadas; que el Consejo emitió una recomendación el 5 de junio de 2001 sobre el consumo de alcohol por parte de los jóvenes y, en particular, de los niños y adolescentes, en la que se contempla el fomento de la educación con un enfoque multisectorial;
I. Considerando que, en la reunión de la Red Europea de Fundaciones de Nutrición (European Nutrition Foundations Network, ENF) sobre «Nutrición en los colegios en Europa: el papel de las fundaciones», se constató la necesidad de incorporar al currículum escolar la alimentación, en su doble aspecto de nutrición y gastronomía, y se acordó, por unanimidad, trasladar a organismos como el Parlamento Europeo y la Comisión esta preocupación;
J. Considerando que diferentes países han impulsado, a través de diferentes instituciones internas, el reconocimiento de la Dieta Mediterránea como Patrimonio Cultural Inmaterial de Humanidad por la UNESCO, lo que significa la promoción y el establecimiento de unas pautas de comportamiento para garantizar un estilo de vida saludable, todo ello gracias a una óptica absolutamente transversal que tenga en cuenta los aspectos educativos, alimentarios, escolares, familiares, nutricionales, territoriales, paisajísticos, etc.;
K. Considerando que la Dieta Mediterránea es un patrón alimentario y estilo de vida equilibrado y saludable directamente relacionado con la prevención de enfermedades crónicas y con la promoción de la salud, tanto desde el entorno escolar como familiar;
L. Considerando que los programas europeos «Food at Schools» intentan asegurar que la comida que se ofrece en los comedores escolares contenga todo lo necesario para una alimentación de calidad y equilibrada; que la educación en su sentido más transversal, también en el ámbito alimentario, sirva para la consolidación entre los escolares de un estilo de vida saludable, basado en una dieta equilibrada;
M. Considerando que una educación nutricional seria también forma a los ciudadanos en lo concerniente a la relación entre alimentos, sostenibilidad alimentaria y salud del planeta;
N. Considerando que la subida de precios de los comedores escolares y de la alimentación impide a numerosas familias, y en particular niños, acceder a una alimentación equilibrada y de calidad;
O. Considerando que los medios de comunicación y la publicidad influyen en gran medida en los hábitos de consumo de los ciudadanos;
P. Considerando asimismo que, para adquirir un conocimiento exacto de los productos utilizados y su calidad intrínseca y gustativa, es primordial desarrollar sistemas de etiquetado adecuados y claros para todos los consumidores sobre la composición de los productos o su procedencia;
Q. Considerando que la formación de los trabajadores del sector de la gastronomía contribuye a la transmisión, la valorización, la conservación y el desarrollo de la gastronomía europea;
Aspectos culturales
R. Considerando que la gastronomía es el conjunto de conocimientos, experiencias, artes y artesanías que permiten comer saludable y placenteramente;
S. Considerando que la gastronomía es parte de nuestra identidad y un elemento esencial del patrimonio cultural europeo, así como del patrimonio cultural de los Estados miembros;
T. Considerando que la Unión Europea ha fomentado la identificación, defensa y protección internacional de las indicaciones geográficas, denominaciones de origen y especialidades tradicionales en relación con los productos agroalimentarios;
U. Considerando que la gastronomía no solo representa un arte de élite de preparación de los alimentos, sino también un compromiso con el reconocimiento del valor y la calidad de las materias primas utilizadas y de la necesidad de excelencia en todas las etapas de transformación de los alimentos, incluido el respeto por los animales y la naturaleza;
V. Considerando que la gastronomía está estrechamente relacionada con la agricultura de las distintas regiones europeas y con la producción local;
W. Considerando que es importante preservar los ritos y costumbres relacionados con la gastronomía regional y local, por ejemplo, así como alentar el desarrollo de la gastronomía europea;
X. Considerando que la gastronomía es una de las manifestaciones culturales más importantes del ser humano y que, dentro de dicho término, no debe entenderse solo la llamada «alta cocina», sino todas las expresiones culinarias de las diversas regiones y estratos sociales, incluidas las relacionadas con la cocina autóctona;
Y. Considerando que la supervivencia de la cocina típica es un patrimonio culinario y cultural que muy a menudo se ve comprometido por la invasión de alimentos estandarizados;
Z. Considerando que la calidad, la proyección y la diversidad de la gastronomía europea requieren una producción alimentaria europea de calidad y en cantidad suficiente;
AA. Considerando que la gastronomía se identifica con los diferentes aspectos de la alimentación y que sus tres pilares fundamentales son la salud, los hábitos alimentarios y el placer; que, en muchos países, el arte de la mesa constituye un vector de la convivencia y un momento importante de sociabilización; considerando además que las distintas culturas gastronómicas contribuyen a los intercambios y puestas en común entre distintas culturas; que también influye positivamente en las relaciones sociales y familiares;
AB. Considerando la importancia que implica el reconocimiento por parte de la UNESCO de la Dieta Mediterránea como Patrimonio Cultural Inmaterial al estimar que esta dieta comporta un conjunto de conocimientos, competencias, prácticas, rituales, tradiciones y símbolos relacionados con los cultivos y cosechas agrícolas, la pesca y la cría de animales, y también con la forma de conservar, transformar, cocinar, compartir y consumir los alimentos;
AC. Considerando que los hábitos alimentarios de las poblaciones europeas son una rica herencia sociocultural que estamos obligados a transmitir de generación en generación y que las escuelas, junto con las familias, son el lugar idóneo para la adquisición de estos conocimientos;
AD. Considerando que la gastronomía se está convirtiendo en uno de los principales reclamos en materia de turismo y que la interacción turismo/gastronomía/nutrición está teniendo un efecto muy positivo en la promoción turística;
AE. Considerando que es importante transmitir a las generaciones futuras la riqueza de la gastronomía de su región y, más en general, de la gastronomía europea;
AF. Considerando que la gastronomía contribuye a la promoción del patrimonio de las diferentes regiones;
AG. Considerando esencial fomentar las producciones locales y regionales a fin de preservar el patrimonio gastronómico, por un lado, y de garantizar una remuneración justa a los productores y permitir el acceso a dichos productos al mayor número posible de personas, por el otro;
AH. Considerando que la gastronomía es una fuente de riqueza cultural, pero también económica, para las regiones que conforman la Unión Europea;
AI. Considerando que el patrimonio europeo está constituido por un conjunto de elementos materiales e inmateriales y que, en el caso de la gastronomía y la alimentación, lo constituyen también el territorio y el paisaje que se forma y que es de donde provienen los productos para su consumo;
AJ. Considerando que la conservación, la diversidad y la riqueza cultural de la gastronomía europea dependen de una producción local de calidad;
Aspectos educativos
1. Solicita a los Estados Miembros la inclusión en los planes educativos y de estudios, desde la primera infancia, de conocimientos y experiencias sensoriales sobre alimentación, salud nutricional y hábitos alimenticios, incluidos aspectos históricos, territoriales y culturales, pero también basados en la experiencia, lo que contribuiría a mejorar el estado de salud y bienestar de la población, la calidad de los alimentos y el respeto por el medio ambiente; celebra los programas de educación gastronómica que se llevan a cabo en las escuelas de algunos Estados miembros, en especial en colaboración con grandes chefs; resalta la importancia de conjugar la educación en una alimentación sana con la lucha contra los estereotipos que pueden provocar trastornos alimentarios y psicológicos importantes, como la anorexia o la bulimia;
2. Del mismo modo, resalta la importancia de aplicar las recomendaciones de la OMS para luchar contra la obesidad y la mala alimentación; manifiesta su alarma ante el problema de la malnutrición en Europa y su aumento desde el inicio de la crisis, e insiste en que los Estados miembros hagan posible que todas las personas accedan a una alimentación sana, en particular garantizando unos comedores escolares o municipales de calidad y accesibles a todos;
3. Señala la necesidad de enriquecer además el currículum escolar con información sobre la cultura gastronómica, en particular local, el proceso de preparación, producción, conservación y distribución de los alimentos, sus influencias socioculturales y los derechos del consumidor; sugiere a los Estados miembros que integren en sus programas pedagógicos talleres centrados en el desarrollo de los sentidos, en especial del gusto, en los que se combinen los beneficios nutricionales de los alimentos y el patrimonio gastronómico regional y nacional;
4. Recuerda que en algunos países europeos la nutrición ya está incorporada en el currículum escolar, mientras que en otros no es obligatoria como tal, sino que se imparte a través de diferentes recursos, como programas de autoridades locales o entidades privadas;
5. Reitera la necesidad de que en los colegios se eduque en materia de nutrición y se enseñe una alimentación adecuada, saludable y placentera;
6. Señala que la práctica deportiva y la actividad física deben ser reforzadas en las escuelas de primaria y secundaria de toda la Unión Europea;
7. Recuerda que una buena nutrición en los niños mejora su bienestar y potencia su capacidad de aprendizaje, a la vez que refuerza su sistema inmunológico y contribuye a un desarrollo sano;
8. Señala que los hábitos alimentarios durante la infancia pueden influir en las preferencias y la elección de alimentos ‒así como en los métodos de preparación y consumo de los mismos‒ en la edad adulta; entiende pues que la infancia es un momento clave para educar el gusto, y la escuela un lugar importante para que los alumnos descubran la diversidad de productos y gastronomías existentes;
9. Considera que conviene ofrecer programas de educación y sensibilización sobre las consecuencias derivadas del consumo inapropiado de bebidas alcohólicas y de fomento de unas correctas pautas de consumo inteligente mediante el conocimiento de las características especiales de los vinos, sus indicaciones geográficas, variedades de uva, procesos de producción y significado de las menciones tradicionales;
10. Pide a la Comisión que aliente los proyectos de intercambio de información y prácticas en torno al campo de la nutrición, los alimentos y la gastronomía, por ejemplo en el marco de la línea Comenius (educación escolar) del programa Erasmus Plus; pide a la Unión Europea y a los Estados miembros, asimismo, que favorezcan los intercambios interculturales en los sectores relacionados con la restauración, la alimentación y la gastronomía, aprovechando las oportunidades que ofrece el programa Erasmus Plus para la formación de calidad, la movilidad y los períodos de prácticas para los aprendices y los profesionales;
11. Señala que la educación nutricional y gastronómica, concepto que incluye el respeto por la naturaleza y el medio ambiente, debe contar con la participación de las familias, los profesores, la comunidad docente, los canales de información y todos los profesionales involucrados en la educación;
12. Subraya la utilidad de las tecnologías de la información y comunicación (TIC) en el aprendizaje como una buena herramienta para la educación; alienta la creación de plataformas interactivas dirigidas a facilitar el acceso al patrimonio gastronómico europeo, nacional y regional y la difusión del mismo, a fin de favorecer la preservación y la transmisión de conocimientos especializados tradicionales entre profesionales, artesanos y ciudadanos;
13. Pide a la Comisión, al Consejo y a los Estados miembros que estudien un encuadramiento más riguroso de los contenidos y la publicidad sobre productos alimenticios, en especial desde el punto de vista de la nutrición;
14. Recuerda a los Estados miembros que velen por que se prohíba cualquier publicidad o patrocinio de comida basura en las escuelas;
15. Solicita a los Estados miembros que aseguren una correcta formación de los profesores, en colaboración con los nutricionistas y los médicos, para que puedan enseñar correctamente «ciencias de la alimentación» en escuelas y universidades; recuerda que la alimentación y el medio ambiente son interdependientes, por lo que pide asimismo que se actualicen los conocimientos en materia de medio ambiente natural;
16. Pide a la Comisión y al Consejo que estudien programas de formación de los profesionales de la gastronomía; alienta a los Estados miembros a que fomenten este tipo de formaciones; resalta la importancia de que en las mismas se aborden la gastronomía local y europea, la diversidad de los productos y los procesos de preparación, producción, conservación y distribución de los productos alimenticios;
17. Insiste en la importancia de que las formaciones de los profesionales de la gastronomía hagan hincapié en los productos caseros, locales y variados;
18. Solicita a los Estados miembros que intercambien conocimientos y buenas prácticas en las actividades relacionadas con la gastronomía a través de la educación y que favorezcan el conocimiento gastronómico entre las distintas regiones; pide asimismo que se organice un intercambio de buenas prácticas o se elaboren consideraciones con vistas a acortar la cadena alimentaria, insistiendo en la producción local y de temporada;
19. Hace hincapié en la necesidad de promover una alimentación saludable en las escuelas mediante la utilización de programas financieros en el marco de la Política Agraria Común para los años 2014-2020;
20. Recuerda que el impulso del reconocimiento de la Dieta Mediterránea y de la Comida gastronómica de los franceses como parte del Patrimonio Cultural Inmaterial de la Humanidad por la UNESCO ha generado la constitución de instituciones y organismos que impulsan el conocimiento, la práctica y la educación en relación con los valores y los hábitos de una dieta alimentaria equilibrada y saludable;
Aspectos culturales
21. Subraya la necesidad de difundir la variedad y calidad de las regiones, los paisajes y los productos que son la base de la gastronomía europea, que forma parte de nuestro patrimonio cultural y que conforma también un estilo de vida propio reconocido internacionalmente; recalca que esto en ocasiones exige respeto a las costumbres locales;
22. Señala que la gastronomía es una herramienta para el desarrollo del crecimiento y la creación de puestos de trabajo en amplios sectores económicos, incluidas industrias como la restauración, el turismo, la agroalimentaria y la investigación, entre otras; constata que la gastronomía también puede desarrollar un gran sentido de protección de la naturaleza y el medio ambiente que garantice a los alimentos un sabor más auténtico y menos elaborado con aditivos o conservantes;
23. Destaca la importancia de la gastronomía en el fomento del sector de la hostelería en toda Europa y viceversa.
24. Reconoce el papel que desempeñan nuestros expertos y talentosos chefs en la preservación y la exportación de nuestro patrimonio gastronómico, así como la importancia de mantener nuestra competencia culinaria como factor clave que aporta valor añadido tanto desde el punto de vista educativo como desde el económico;
25. Acoge de forma favorable las iniciativas destinadas a promocionar el patrimonio gastronómico europeo, como podrían ser las ferias y los festivales gastronómicos locales y regionales que refuerzan el concepto de proximidad como elemento de respeto del medio ambiente y a nuestro entorno, y que son una garantía para una mayor confianza del consumidor; alienta a estas iniciativas a que incluyan una dimensión europea;
26. Acoge con satisfacción los tres regímenes de indicaciones geográficas y especialidades tradicionales de la Unión Europea, a saber, la denominación de origen protegida (DOP), la indicación geográfica protegida (IGP) y las especialidades tradicionales garantizadas (ETG), que potencian el valor de los productos agrícolas europeas a escala tanto de la UE como internacional; pide a los Estados miembros y a sus regiones que desarrollen etiquetas DOP, especialmente DOP comunes, para los productos de la misma naturaleza de zonas geográficas transfronterizas;
27. Se congratula por iniciativas como «Slow Food», que ayudan a que todas las personas aprendan a apreciar la importancia social y cultural de la comida, así como la iniciativa «Wine in Moderation» que fomenta un estilo de vida y un nivel de consumo de alcohol asociados a la moderación;
28. Subraya asimismo el papel que desarrollan las Academias de Gastronomía, la Federación Europea de Fundaciones de Nutrición y la Academia Internacional de Gastronomía, con sede en Paris, en el estudio y difusión del patrimonio gastronómico;
29. Solicita a los Estados miembros que formulen e implementen políticas destinadas a mejorar cualitativa y cuantitativamente la industria gastronómica —en sí misma y en relación a su oferta turística— en el marco del desarrollo cultural y económico de las diferentes regiones;
30. Hace hincapié en que la gastronomía representa una sólida exportación cultural para la UE y para cada uno de los distintos Estados miembros;
31. Solicita a los Estados Miembros que apoyen iniciativas vinculadas al turismo rural que propician el conocimiento del patrimonio cultural y paisajístico, ofrezcan apoyo a las regiones y promuevan el desarrollo rural;
32. Solicita a los Estados miembros y a la Comisión Europea que desarrollen los aspectos culturales de la gastronomía y que promuevan hábitos alimentarios que preserven la salud de los consumidores, favorezcan el intercambio y la puesta en común de culturas y promuevan las regiones, sin perjuicio del placer asociado al hecho de comer, a la buena convivencia y a la sociabilidad;
33. Solicita a los Estados miembros que colaboren entre sí y apoyen las iniciativas destinadas a mantener la alta calidad, diversidad, heterogeneidad y singularidad de los productos artesanales, locales, regionales y nacionales para luchar contra la homogeneización que, a la larga, llevaría al empobrecimiento del patrimonio gastronómico europeo;
34. Alienta a la Comisión, al Consejo y a los Estados miembros a que aborden, en sus reflexiones sobre las políticas alimentarias, la importancia de apoyar una producción alimentaria europea sostenible, variada, de calidad y en cantidad suficiente, a fin de respaldar la diversidad culinaria europea;
35. Pide a la Comisión y a los Estados miembros que trabajen más intensamente en el reconocimiento y el etiquetado de la producción alimentaria europea para hacer posible la valorización de estos productos, una mejor información de los consumidores y la protección de la diversidad de la gastronomía europea;
36. Señala la importancia de reconocer y valorizar las producciones gastronómicas de calidad; pide a la Comisión, al Consejo y a los Estados miembros que reflexionen sobre la creación de una plataforma de información a los consumidores por los restauradores sobre los platos preparados in situ a partir de productos sin transformar;
37. Alienta a la Comisión, al Consejo y a los Estados miembros a que estudien la repercusión de la legislación que adopten sobre las capacidades, la diversidad y la calidad de la producción alimentaria de la Unión Europea, y a que adopten medidas para combatir la falsificación de productos;
38. Respalda las iniciativas que puedan desarrollar los Estados miembros y sus regiones para promocionar y preservar todos los territorios, paisajes y productos que conforman el patrimonio gastronómico local; pide a las regiones que den relevancia a una gastronomía local y dietética en la restauración escolar y colectiva, en conexión con los productores locales, a fin de preservar y valorizar el patrimonio gastronómico regional, estimular la agricultura local y reforzar los circuitos cortos;
39. Solicita a los Estados Miembros que tomen medidas para preservar el patrimonio europeo relacionado con la gastronomía como podría ser la protección del patrimonio arquitectónico de los mercados tradicionales de productos alimentarios, las bodegas u otras instalaciones y también de los utensilios y maquinarias relacionados con la alimentación y la gastronomía;
40. Insiste en la importancia de identificar, censar, transmitir y difundir la riqueza cultural de la gastronomía europea; alienta la creación de un observatorio europeo de la gastronomía;
41. Sugiere a la Comisión Europea que incluya la gastronomía europea en sus programas e iniciativas culturales;
42. Celebra la inclusión en la lista del patrimonio cultural inmaterial de la humanidad de la gastronomía francesa, la dieta mediterránea, la cocina tradicional de México y el pan de especias croata, y anima a los Estados miembros a que soliciten el ingreso de sus tradiciones y prácticas gastronómicas en la Convención para la Salvaguardia del Patrimonio Cultural Inmaterial de la UNESCO a fin de contribuir a la preservación de las mismas;
43. Sugiere a las ciudades europeas que presenten su candidatura a Ciudad UNESCO de la Gastronomía, dentro del programa Red de Ciudades Creativas;
o o o
44. Encarga a su Presidente que transmita la presente Resolución al Consejo y a la Comisión así como a los Gobiernos y a los Parlamentos de los Estados miembros
Protección de las personas físicas en lo que respecta al tratamiento de datos personales ***I
Resolución legislativa del Parlamento Europeo, de 12 de marzo de 2014, sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))
(Procedimiento legislativo ordinario: primera lectura)
El Parlamento Europeo,
– Vista la propuesta de la Comisión al Parlamento Europeo y al Consejo (COM(2012)0011),
– Vistos el artículo 294, apartado 2, así como el artículo 16, apartado 2, y el artículo 114, apartado 1, del Tratado de Funcionamiento de la Unión Europea, conforme a los cuales la Comisión le ha presentado su propuesta (C7-0025/2012),
– Visto el artículo 294, apartado 3, del Tratado de Funcionamiento de la Unión Europea,
– Vistos los dictámenes motivados presentados por la Cámara de Representantes belga, el Bundesrat alemán, el Senado francés, la Cámara de Diputados italiana y el Parlamento sueco, de conformidad con lo dispuesto en el Protocolo n° 2 sobre la aplicación de los principios de subsidiariedad y proporcionalidad, en los que se afirma que el proyecto de acto legislativo no respeta el principio de subsidiariedad,
– Visto el dictamen del Comité Económico y Social Europeo de 23 de mayo de 2012(1),
– Previa consulta al Comité de las Regiones,
– Visto el dictamen del Supervisor Europeo de Protección de Datos de 7 de marzo de 2012(2),
– Visto el dictamen de la Agencia de los Derechos Fundamentales de la Unión Europea de 1 de octubre de 2012,
– Visto el artículo 55 de su Reglamento,
– Vistos el informe de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior y las opiniones de la Comisión de Empleo y Asuntos Sociales, de la Comisión de Industria, Investigación y Energía, de la Comisión de Mercado Interior y Protección del Consumidor y de la Comisión de Asuntos Jurídicos (A7-0402/2013),
1. Aprueba la Posición en primera lectura que figura a continuación;
2. Pide a la Comisión que le consulte de nuevo si se propone modificar sustancialmente su propuesta o sustituirla por otro texto;
3. Encarga a su Presidente que transmita la Posición del Parlamento al Consejo y a la Comisión, así como a los Parlamentos nacionales.
Posición del Parlamento Europeo aprobada en primera lectura el 12 de marzo de 2014 con vistas a la adopción del Reglamento (UE) n° …/2014 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea y, en particular, su artículo 16, apartado 2, y su artículo 114, apartado 1,
Vista la propuesta de la Comisión Europea,
Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,
Visto el dictamen del Comité Económico y Social Europeo(3),
Previa consulta al Comité de las Regiones,
Visto el dictamen del Supervisor Europeo de Protección de Datos(4),
De conformidad con el procedimiento legislativo ordinario(5),
Considerando lo siguiente:
(1) La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (la «Carta») y el artículo 16, apartado 1, del Tratado establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.
(2) El tratamiento de datos personales está al servicio del hombre; los principios y normas relativos a la protección de las personas en lo que respecta al tratamiento de sus datos de carácter personal deben, cualquiera que sea la nacionalidad o residencia de las personas físicas, respetar las libertades y derechos fundamentales, en particular el derecho a la protección de los datos de carácter personal. Debe contribuir a la plena realización de un espacio de libertad, seguridad y justicia y de una unión económica, al progreso económico y social, al refuerzo y la convergencia de las economías dentro del mercado interior, así como al bienestar de los individuos.
(3) La Directiva 95/46/CE del Parlamento Europeo y del Consejo(6) pretende armonizar la protección de los derechos y las libertades fundamentales de las personas físicas en relación con las actividades de tratamiento de datos de carácter personal y garantizar la libre circulación de estos datos entre los Estados miembros.
(4) La integración económica y social resultante del funcionamiento del mercado interior ha llevado a un aumento sustancial de los flujos transfronterizos. Se ha incrementado en toda la Unión el intercambio de datos entre los operadores económicos y sociales, públicos y privados. El Derecho de la Unión exige a las autoridades nacionales de los Estados miembros que cooperen e intercambien datos personales a fin de poder desempeñar sus funciones o llevar a cabo tareas en nombre de una autoridad de otro Estado miembro.
(5) La rápida evolución tecnológica y la globalización han supuesto nuevos retos para la protección de los datos personales. Se ha incrementado de manera espectacular la magnitud del intercambio y la recogida de datos. La tecnología permite que tanto las empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de desarrollar sus actividades. Los individuos difunden un volumen cada vez mayor de información personal a escala mundial. La tecnología ha transformado tanto la economía como la vida social, y requiere que se facilite aún más la libre circulación de datos dentro de la Unión y la transferencia a terceros países y organizaciones internacionales, garantizando al mismo tiempo un elevado nivel de protección de los datos personales.
(6) Estos avances requieren el establecimiento de un marco más sólido y coherente para la protección de datos en la Unión Europea, respaldado por una ejecución estricta, dada la importancia de generar la confianza que permita a la economía digital desarrollarse en todo el mercado interior. Los individuos deben tener el control de sus propios datos personales y se debe reforzar la seguridad jurídica y práctica para las personas físicas, los operadores económicos y las autoridades públicas.
(7) Aunque los objetivos y principios de la Directiva 95/46/CE siguen siendo válidos, ello no ha impedido la fragmentación en la manera en que se aplica la protección de los datos en el territorio de la Unión, la inseguridad jurídica y una percepción generalizada entre la opinión pública de que existen riesgos significativos para la protección de las personas relacionados especialmente con las actividades en línea. Las diferencias en el nivel de protección de los derechos y libertades de las personas, en particular, del derecho a la protección de los datos de carácter personal, en lo que respecta al tratamiento que se da a dichos datos en los Estados miembros, pueden impedir la libre circulación de los datos de carácter personal en la Unión. Estas diferencias pueden constituir, por lo tanto, un obstáculo al ejercicio de las actividades económicas a nivel de la Unión, falsear la competencia e impedir que las autoridades cumplan los cometidos que les incumben en virtud del Derecho de la Unión. Esta diferencia en los niveles de protección se debe a la existencia de divergencias en la ejecución y aplicación de la Directiva 95/46/CE.
(8) Para garantizar un nivel uniforme y elevado de protección de las personas y eliminar los obstáculos a la circulación de datos personales, el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. Debe garantizarse en toda la Unión la aplicación coherente y homogénea de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal.
(9) La protección efectiva de los datos personales en la Unión no solo requiere que se refuercen y detallen los derechos de los interesados y las obligaciones de quienes tratan y determinan el tratamiento de los datos de carácter personal, sino también que se otorguen poderes equivalentes para supervisar y garantizar el cumplimiento de las normas relativas a la protección de los datos de carácter personal y se impongan sanciones equivalentes a los infractores en los Estados miembros.
(10) El artículo 16, apartado 2, del Tratado encarga al Parlamento Europeo y al Consejo que establezcan las normas sobre protección de las personas físicas respecto del tratamiento de datos de carácter personal y las normas relativas a la libre circulación de dichos datos.
(11) Para garantizar un nivel coherente de protección de las personas en toda la Unión y evitar divergencias que dificulten la libre circulación de datos dentro del mercado interior, es necesario un Reglamento que proporcione seguridad jurídica y transparencia a los operadores económicos, incluidas las micro, pequeñas y medianas empresas, y ofrezca a las personas físicas de todos los Estados miembros el mismo nivel de derechos y obligaciones protegidos jurídicamente y de responsabilidades para los responsables y encargados del tratamiento, con el fin de garantizar una supervisión coherente del tratamiento de datos personales y sanciones equivalentes en todos los Estados miembros, así como la cooperación efectiva de las autoridades de control de los diferentes Estados miembros. Con objeto de tener en cuenta la situación específica de las micro, pequeñas y medianas empresas, el presente Reglamento incluye una serie de excepciones. Además, se anima a las instituciones y órganos de la Unión, los Estados miembros y sus autoridades de control a tomar en consideración las necesidades específicas de las microempresas, pequeñas y medianas empresas en la aplicación del presente Reglamento. El concepto de microempresas, pequeñas y medianas empresas debe tomarse de la Recomendación 2003/361/CE de la Comisión(7).
(12) La protección otorgada por el presente Reglamento se refiere a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, en relación con el tratamiento de datos personales. Por lo que respecta al tratamiento de datos relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto, nadie puede invocar la protección del presente Reglamento. Ello también es de aplicación cuando el nombre de la persona jurídica incluya los nombres de una o más personas físicas.
(13) La protección de las personas físicas debe ser tecnológicamente neutra y no debe depender de las técnicas utilizadas, pues de lo contrario daría lugar a graves riesgos de elusión. La protección de las personas debe aplicarse al tratamiento automatizado de datos personales, así como a su tratamiento manual, si los datos están contenidos o destinados a ser incluidos en un fichero. Los ficheros o conjuntos de ficheros y sus carpetas que no estén estructurados con arreglo a criterios específicos no están comprendidos en el ámbito de aplicación del presente Reglamento.
(14) El presente Reglamento no aborda cuestiones en materia de protección de los derechos y las libertades fundamentales o la libre circulación de los datos relativos a las actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión, ni tampoco se refiere al tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la Unión, que están sujetos al . El Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo(8), o por los Estados miembros en el ejercicio de las actividades relacionadas con la política exterior y de seguridad común de la Unióndebe armonizarse con el presente Reglamento y aplicarse conforme al mismo. [Enm. 1]
(15) El presente Reglamento no debe aplicarse al tratamiento por una persona física de datos de carácter personal que sean exclusivamente personales, familiares o domésticos, como la correspondencia y la llevanza de un repertorio de direcciones, sin ningún interés lucrativo y, por tanto, sin o una venta privada, yque no guarden conexión alguna con una actividad profesional o comercial. La exención tampoco No obstante, el presente Reglamento debe aplicarse a los responsables o encargados del tratamiento que proporcionen los medios para tratar los datos personales relacionados con tales actividades personales o domésticas. [Enm. 2]
(16) La protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal por parte de las autoridades competentes a efectos de la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, y la libre circulación de estos datos, son objeto de un instrumento jurídico específico a nivel de la Unión. Por lo tanto, el presente Reglamento no debe aplicarse a las actividades de tratamiento destinadas a esos fines. No obstante, los datos sometidos a tratamiento por las autoridades públicas en aplicación del presente Reglamento a efectos de la prevención, investigación, detección y enjuiciamiento de infracciones penales o la ejecución de sanciones penales, deben regirse por el instrumento jurídico más específico a nivel de la Unión (Directiva 2014/.../UE del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y libre circulación de estos datos).
(17) El presente Reglamento debe entenderse sin perjuicio de la aplicación de la Directiva 2000/31/CE del Parlamento Europeo y del Consejo(9), en particular de las normas en materia de responsabilidad de los prestadores de servicios intermediarios dispuestas en los artículos 12 a 15 de la Directiva citada.
(18) El presente Reglamento permite tener en cuenta el principio de acceso público a los documentos oficiales al aplicar sus disposiciones. Los datos personales que figuren en los documentos en poder de una autoridad pública o un organismo público pueden ser divulgados por dicha autoridad u organismo de conformidad con el Derecho de la Unión o de los Estados miembros en materia de acceso público a documentos oficiales, que concilie el derecho a la protección de datos con el derecho de acceso público a los documentos oficiales y constituya un justo equilibrio entre los diferentes intereses en juego. [Enm. 3]
(19) Todo tratamiento de datos personales en el contexto de las actividades de un establecimiento de un responsable o un encargado del tratamiento en la Unión debe llevarse a cabo de conformidad con el presente Reglamento, independientemente de si el tratamiento tiene lugar en la Unión o no. Por establecimiento se entiende el ejercicio efectivo y real de una actividad mediante una instalación estable. Su forma jurídica, ya sea a través de una sucursal o una filial con personalidad jurídica, no es el factor determinante al respecto.
(20) Con el fin de garantizar que las personas físicas no se vean privadas de la protección a la que tienen derecho en virtud del presente Reglamento, el tratamiento en la Unión de datos personales de los interesados que residen por un responsable del tratamiento no establecido en la Unión debe someterse a lo dispuesto en el presente Reglamento en caso de que las actividades de tratamiento se refieran a la oferta de bienes o servicios —a cambio de un pago o no— a dichos interesados, o al control de la conducta de dichos interesados. Para determinar si dicho responsable del tratamiento ofrece bienes o servicios a dichos interesados en la Unión, debe averiguarse si es evidente que el responsable del tratamiento se plantea ofrecer servicios a los interesados que residan en uno o varios de los Estados miembros de la Unión. [Enm. 4]
(21) Para determinar si se puede considerar que una actividad de tratamiento «controla la conducta» de a los interesados, debe evaluarse si las personas físicas son objeto de un seguimiento, independientemente del origen de los datos, o si se recogen otros datos sobre ellos, incluso de registros públicos y anuncios en internet la Unión accesibles desde fuera de la Unión, también con la intención de hacer uso, o para el posible o subsiguiente uso de técnicas de tratamiento de datos que consistan en la aplicación de un «perfil» a un individuo con el fin, en particular, de adoptar decisiones sobre éllos interesados o de analizar o predecir sus preferencias personales, comportamientos y actitudes. [Enm. 5]
(22) Cuando sea de aplicación la legislación nacional de un Estado miembro en virtud del Derecho internacional público, el presente Reglamento debe aplicarse también a todo responsable del tratamiento no establecido en la Unión, como los que se encuentren en una misión diplomática u oficina consular.
(23) Los principios de protección de datos deben aplicarse a toda información relativa a una persona física identificada o identificable. Para determinar si una persona es identificable deben tenerse en cuenta todos los medios que razonablemente pudiera utilizar el responsable del tratamiento o cualquier otro individuo para identificar o distinguir directa o indirectamente a dicha persona. Para determinar si es razonablemente probable que unos medios se utilicen para identificar al individuo deben tenerse en cuenta todoslos factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como el desarrollo tecnológico. Los principios de protección de datos no deben aplicarse por tanto a los datos convertidos en anónimos de forma que el interesado a quien se refieren ya no resulte, al constituir estos una información que no se refiere a una persona física identificada o identificable. En consecuencia, el presente Reglamento no afecta al tratamiento de dichos datos anónimos, ni siquiera con fines estadísticos y de investigación. [Enm. 6]
(24) Cuando utilizan servicios en línea, las personas físicas pueden ser asociadas aEl presente Reglamento debe aplicarse al tratamiento que conlleve el uso de identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como las direcciones de los protocolos de internet, o los identificadores de sesión almacenados en cookies y etiquetas. Ello puede dejar huellas que, combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas e identificarlas. De ello se deduce que los números de identificación, los datos de localización, los por radiofrecuencia, a menos que dichos identificadores en línea u otros factores específicos no necesariamente tienen que ser considerados datos de carácter personal en toda circunstancia no se refieran a una persona física identificada o identificable. [Enm. 7]
(25) Se debe dar el consentimiento de forma explícita por cualquier medio apropiado que permita la manifestación libre, específica e informada de la voluntad del interesado, ya sea mediante una declaración o una clara acción afirmativa que resulte de una elección del interesado, que garantice que la persona es consciente de que está dando su consentimiento al tratamiento de datos personales, incluso mediante. Por una clara acción afirmativa puede entenderse, entre otros, la selección de una casilla de un sitio web en internet o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, no constituyen consentimiento el silencio, el simple uso de un servicio o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo fin o fines. Si el consentimiento del interesado se ha de dar a raíz de una solicitud electrónica, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta. [Enm. 8]
(26) Los datos personales relacionados con la salud deben incluir en particular todos los datos relativos a la salud del interesado; información sobre el registro de la persona para la prestación de servicios sanitarios; información acerca de los pagos o de la admisibilidad para la atención sanitaria con respecto a la persona; un número, símbolo u otro dato asignado a una persona que la identifique de manera unívoca a efectos sanitarios; cualquier información acerca de la persona recogida durante la prestación de servicios sanitarios a esta; información derivada de las pruebas o los exámenes de una parte del cuerpo o sustancia corporal, incluidas muestras biológicas; identificación de una persona como prestador de asistencia sanitaria a la persona; o cualquier información sobre, por ejemplo, toda enfermedad, discapacidad, riesgo de enfermedades, historia médica, tratamiento clínico, o estado fisiológico o biomédico real del interesado, independientemente de su fuente, como, por ejemplo, cualquier médico u otro profesional de la sanidad, hospital, dispositivo médico, o prueba diagnóstica in vitro.
(27) El establecimiento principal de un responsable del tratamiento en la Unión debe determinarse en función de criterios objetivos y debe implicar el ejercicio efectivo y real de actividades de gestión que determinen las principales decisiones en cuanto a los fines, condiciones y medios del tratamiento mediante instalaciones estables. Este criterio no debe depender de si el tratamiento de los datos personales se realiza realmente en dicho lugar. La presencia y utilización de medios técnicos y tecnologías para el tratamiento de datos personales o las actividades de tratamiento no constituyen, en sí mismas, dicho establecimiento principal y no son, por lo tanto, criterios definitorios de un establecimiento principal. El establecimiento principal del encargado del tratamiento debe ser el lugar en que tenga su administración central en la Unión.
(28) Un grupo de empresas debe estar constituido por una empresa que ejerce el control y las empresas controladas, en virtud de lo cual la empresa que ejerce el control debe ser la empresa que pueda ejercer una influencia dominante en las otras empresas, por razones, por ejemplo, de propiedad, participación financiera, las normas que la rigen o el poder de hacer que se cumplan las normas de protección de datos personales.
(29) Los niños merecen una protección específica de sus datos personales, ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos en relación con el tratamiento de datos personales. Con el fin de determinar cuándo se considera que una persona es un niño, el presente Reglamento debe asumir la definición establecida en la Convención de las Naciones Unidas sobre los derechos del niño. Cuando el tratamiento de los datos se base en el consentimiento del interesado en relación con la oferta directa de bienes o servicios a los niños, es a los padres o al representante legal del niño, cuando este sea menor de trece años, a quienes les corresponde dar o autorizar el consentimiento. Cuando el público destinatario lo constituyan niños, debe emplearse un lenguaje adecuado a la edad. Deben poder seguir admitiéndose otros motivos de tratamiento lícito, tales como motivos de interés público, como podría ser el tratamiento en el contexto de servicios preventivos o de asesoramiento ofrecidos directamente a los niños. [Enm. 9]
(30) Todo tratamiento de datos de carácter personal debe efectuarse de forma lícita, justa y transparente en relación con las personas interesadas. En particular, los fines específicos para los que se hayan tratado los datos deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida. Los datos deben ser adecuados, pertinentes y limitarse al mínimo necesario para los fines para los que se traten. Ello requiere, en particular, garantizar que los datos recogidos no sean excesivos y que se limite a un mínimo estricto el periodo en el que se almacenan. Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse por otros medios. Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos. Para garantizar que los datos no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica.
(31) Para que el tratamiento sea lícito, los datos personales deben ser tratados con el consentimiento de la persona interesada o sobre alguna otra base legítima establecida por ley, ya sea en el presente Reglamento ya sea en otros actos legislativos del Estado miembro o de la Unión referidos en el presente Reglamento. Cuando se trate de un niño o de una persona sin capacidad jurídica, el Derecho pertinente de la Unión o de los Estados miembros debe determinar las condiciones en las que dicha persona dará o autorizará el consentimiento. [Enm. 10]
(32) Cuando el tratamiento se lleve a cabo con el consentimiento del interesado, la carga de demostrar que este ha dado su consentimiento a la operación de tratamiento debe recaer en el responsable del tratamiento. En particular, en el contexto de una declaración por escrito efectuada sobre otro asunto, debe haber garantías de que el interesado es consciente de que da su consentimiento y en qué medida lo hace. Para cumplir con el principio de minimización de los datos, la carga de la prueba no debe entenderse como un requisito de identificación positiva de los interesados, a menos que sea necesario.Al igual que las cláusulas del Derecho civil (véase, por ejemplo, la Directiva 93/13/CEE del Consejo(10)), las políticas de protección de datos deben ser lo más claras y transparentes posible, sin que puedan incluirse cláusulas ocultas ni desfavorables. No se admite el consentimiento dado al tratamiento de datos personales de terceras personas. [Enm. 11]
(33) Con el fin de garantizar el consentimiento libre, debe aclararse que este no constituye un fundamento jurídico válido cuando la persona no goza de verdadera libertad de elección y por tanto no está en condiciones de denegar o retirar su consentimiento sin sufrir perjuicio alguno. Así sucede especialmente cuando el responsable del tratamiento sea una autoridad pública que pueda imponer una obligación en virtud de sus poderes públicos al respecto y no se pueda considerar que el consentimiento ha sido dado libremente. El uso de opciones por defecto que el interesado tenga que modificar para oponerse al tratamiento, como las casillas ya marcadas, no constituye un consentimiento libre. Para utilizar un servicio no debe exigirse el consentimiento al tratamiento de datos personales adicionales que no sean necesarios para la prestación de dicho servicio. La retirada del consentimiento puede dar lugar al cese o a la no ejecución del servicio dependiente de los datos. Cuando no pueda determinarse claramente la consecución del objetivo perseguido, el responsable del tratamiento debe facilitar periódicamente al interesado información sobre el tratamiento y pedirle que renueve su consentimiento. [Enm. 12]
(34) El consentimiento no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal cuando exista un desequilibro claro entre el interesado y el responsable del tratamiento. Así sucede especialmente cuando el primero se encuentra en una situación de dependencia respecto del segundo, por ejemplo, cuando los datos personales de los trabajadores son tratados por el empresario en el contexto laboral. Cuando el responsable del tratamiento sea una autoridad pública, solo habría desequilibrio en las operaciones específicas de tratamiento de datos en las que la autoridad pública puede imponer una obligación en virtud de sus poderes públicos correspondientes, sin que pueda considerarse el consentimiento libremente dado, teniendo en cuenta el interés del interesado.[Enm. 13]
(35) El tratamiento debe ser lícito cuando sea necesario en el contexto de un contrato o de la intención de celebrar un contrato.
(36) Cuando se lleve a cabo en cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o si es necesario para el cumplimiento de una misión llevada a cabo por interés público o en el ejercicio de la autoridad pública, el tratamiento debe tener una base jurídica en el Derecho de la Unión o de un Estado miembro que cumpla con los requisitos establecidos en la Carta en relación con cualquier limitación de los derechos y libertades. Deben incluirse también aquí los convenios colectivos a los que el Derecho nacional reconozca una validez general. Corresponde también al Derecho de la Unión o a las legislaciones nacionales determinar si el responsable del tratamiento que tiene conferida una misión de interés público o inherente al ejercicio del poder público debe ser una administración pública u otra persona de derecho público o privado, como por ejemplo una asociación profesional. [Enm. 14]
(37) El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado.
(38) El interés legítimo de un responsable del responsable del tratamiento o, en caso de comunicación de los datos, del tercero a quien se le comuniquen datos, puede constituir una base jurídica para el tratamiento, siempre que dicho interés cumpla las expectativas razonables del interesado sobre la base de su relación con el responsable del tratamiento y siempre que no prevalezcan los intereses o los derechos y libertades fundamentales del interesado. Ello necesitaría una evaluación meticulosa, especialmente si el interesado fuera un niño, pues los niños merecen una protección específica. Siempre y cuando no prevalezcan los intereses o los derechos y libertades fundamentales del interesado, debe presumirse que el tratamiento que se limita a los datos seudónimos cumple las expectativas razonables del interesado sobre la base de su relación con el responsable del tratamiento. Al interesado le debe asistir el derecho a oponerse de forma gratuita al tratamiento de datos, alegando motivos que tengan que ver con su situación particular. Para garantizar la transparencia, el responsable del tratamiento debe estar obligado a informar explícitamente al interesado del interés legítimo perseguido y del derecho a oponerse, así como a documentar dicho interés legítimo. En particular, los intereses y los derechos fundamentales del interesado pueden prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que el interesado no espere razonablemente que se lleve a cabo un tratamiento adicional. Dado que corresponde al legislador establecer por ley la base jurídica para que las autoridades públicas traten datos, esta base jurídica no debe aplicarse al tratamiento efectuado por las autoridades públicas en el ejercicio de sus funciones. [Enm. 15]
(39) Constituye un interés legítimo del responsable el tratamiento de datos en la medida estrictamente necesaria y proporcionada a efectos de garantizar la seguridad de red e información, a saber, la capacidad de un sistema de red o de información de resistir, en un nivel determinado de confianza, acontecimientos accidentales o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos, y la seguridad de los servicios afines ofrecidos a través de, estos sistemas y redes, por parte de las autoridades públicas, los equipos de respuesta a emergencias informáticas (CERT), los equipos de respuesta a incidentes de seguridad informática (CSIRT), los proveedores de redes y servicios de comunicaciones electrónicas y los proveedores de tecnologías y servicios de seguridad. Se trataría, por ejemplo, de impedir el acceso no autorizado a las redes de comunicaciones electrónicas y la distribución malintencionada de códigos, así como detener ataques de «denegación de servicio» y daños a los sistemas informáticos y de comunicaciones electrónicas. Este principio se aplica asimismo al tratamiento de datos personales para restringir el acceso y uso abusivos de sistemas de red o información disponibles, como la inclusión en una lista negra de los identificadores electrónicos. [Enm. 16]
(39 bis) Siempre y cuando no prevalezcan los intereses o los derechos y libertades fundamentales del interesado, debe presumirse que la prevención o limitación de daños por parte del responsable del tratamiento se lleva a cabo en interés legítimo del responsable del tratamiento o, en caso de comunicación de los datos, del tercero a quien se le comunican, y que dicho tratamiento cumple las expectativas razonables del interesado sobre la base de su relación con el responsable del tratamiento. Este mismo principio se aplica también a la ejecución de demandas legales en contra del interesado, como el cobro de deudas o los daños y perjuicios y los recursos en el ámbito civil. [Enm. 17]
(39 ter) Siempre y cuando no prevalezcan los intereses o los derechos y libertades fundamentales del interesado, debe presumirse que el tratamiento de datos personales con fines de mercadotecnia directa de sus propios productos y servicios y otros similares o con fines de mercadotecnia directa por correo se lleva a cabo en interés legítimo del responsable del tratamiento o, en caso de comunicación de los datos, del tercero a quien se le comunican, y que dicho tratamiento cumple las expectativas razonables del interesado sobre la base de su relación con el responsable del tratamiento, si se facilita de modo claramente destacado información sobre el derecho de oposición y sobre la fuente de la que proceden los datos personales. En general, debe considerarse que el tratamiento de datos de contacto comerciales se lleva a cabo en interés legítimo del responsable del tratamiento o, en caso de comunicación de los datos, del tercero a quien se le comunican, y que dicho tratamiento cumple las expectativas razonables del interesado sobre la base de su relación con el responsable del tratamiento. El mismo principio debe aplicarse al tratamiento de datos personales que el interesado haya hecho manifiestamente públicos. [Enm. 18]
(40) El tratamiento de datos personales para otros fines solo debe autorizarse cuando sea compatible con aquellos fines para los que los datos hayan sido inicialmente recogidos, en particular cuando el tratamiento sea necesario para fines de investigación histórica, estadística o científica. Cuando esos otros fines no sean compatibles con el propósito inicial para el que se recopilan los datos, el responsable del tratamiento debe obtener el consentimiento del interesado para estos otros fines o debe basarlo en otro motivo legítimo para el tratamiento lícito, especialmente si así lo establece el Derecho de la Unión o la legislación del Estado miembro que sea de aplicación al responsable del tratamiento. En todo caso, se debe garantizar la aplicación de los principios establecidos por el presente Reglamento y, en particular, la información del interesado sobre esos otros fines.[Enm. 19]
(41) Los datos de carácter personal que, por su naturaleza, sean especialmente sensibles y vulnerables en relación con los derechos fundamentales o la intimidad merecen una protección específica. Tales datos no deben ser tratados, a menos que el interesado dé su consentimiento expreso. No obstante, se deben establecer de forma explícita excepciones a esta prohibición en relación con necesidades específicas, en particular cuando el tratamiento sea realizado en el marco de actividades legítimas por determinadas asociaciones o fundaciones cuyo objetivo sea permitir el ejercicio de las libertades fundamentales.[Enm. 20]
(42) Asimismo deben autorizarse excepciones a la prohibición de tratar categorías sensibles de datos, siempre que se haga mediante un acto legislativo y se den las garantías apropiadas, a fin de proteger los datos personales y otros derechos fundamentales, cuando así lo justifiquen razones de interés público, incluidas la sanidad pública, la protección social y la gestión de los servicios de asistencia sanitaria, especialmente con el fin de garantizar la calidad y la rentabilidad de los procedimientos utilizados para resolver las reclamaciones de prestaciones y de servicios en el régimen del seguro de enfermedad, o para fines de investigación histórica, estadística y científica, o para los servicios de archivos. [Enm. 21]
(43) Por otra parte, el tratamiento de datos personales por parte de las autoridades públicas para alcanzar los objetivos, establecidos en el Derecho constitucional o en el Derecho internacional público, de asociaciones religiosas reconocidas oficialmente, se realiza por motivos de interés público.
(44) Si, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en algunos Estados miembros que los partidos políticos recaben datos sobre la ideología política de los ciudadanos, puede autorizarse el tratamiento de estos datos por motivos importantes de interés público, siempre que se establezcan las garantías apropiadas.
(45) Si los datos sometidos a tratamiento no le permiten identificar a una persona física, el responsable no debe estar obligado a recabar información adicional para identificar al interesado con la única finalidad de cumplir lo dispuesto en el presente Reglamento. En caso de que se solicite el acceso, el responsable del tratamiento debe estar facultado para solicitar al interesado información adicional que le permita localizar los datos de carácter personal que esa persona busca. Si el interesado puede proporcionar dichos datos, los responsables del tratamiento no deben poder invocar una falta de información para rechazar una solicitud de acceso. [Enm. 22]
(46) El principio de transparencia exige que toda información dirigida al público o al interesado sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Ello es especialmente pertinente cuando, en determinadas situaciones, como la publicidad en línea, la proliferación de agentes y la complejidad tecnológica de la práctica, resulte difícil para el interesado saber y comprender si se están recogiendo, por quién y con qué finalidad, los datos personales que le conciernen. Dado que los niños merecen una protección específica, cualquier información y comunicación cuyo tratamiento les afecte específicamente debe facilitarse en un lenguaje claro y llano que puedan comprender con facilidad.
(47) Deben arbitrarse fórmulas para facilitar al interesado el ejercicio de sus derechos en virtud del presente Reglamento, incluidos los mecanismos para solicitar obtener de forma gratuita, entre otras cosas, el acceso a los datos, así como su rectificación y supresión, y para ejercer el derecho de oposición. El responsable del tratamiento debe estar obligado a responder a las solicitudes del interesado en un plazo determinado razonable y, en el supuesto de que no las atienda, a explicar sus motivos. [Enm. 23]
(48) Los principios de tratamiento leal y transparente exigen que el interesado sea informado, entre otras cosas, de la existencia de la operación de tratamiento y sus fines, del plazo de conservación probable de los datos para cada uno de los fines previstos, de si los datos van a transferirse a terceras personas o terceros países, de la existencia de medidas para ejercer oposición, del derecho de acceso, rectificación o supresión y del derecho a presentar una reclamación. Cuando los datos se obtengan de los interesados, estos también deben ser informados de si están obligados a facilitarlos y de las consecuencias en caso de que no lo hicieran. Esta información debe comunicarse al interesado, o ponerse fácilmente a su disposición, una vez que se le haya proporcionado información simplificada en forma de iconos normalizados. Esto también significa que el tratamiento de los datos personales se realice de modo que el interesado pueda ejercer efectivamente sus derechos. [Enm. 24]
(49) La información sobre el tratamiento de los datos de carácter personal relativos a los interesados debe ser facilitada a estos últimos en el momento de su recogida, o, si los datos no se recogieran de los interesados, en un plazo razonable, dependiendo de las circunstancias del caso. Si los datos pueden ser comunicados legítimamente a otro destinatario, se debe informar al interesado cuando se desvelan por primera vez.
(50) Sin embargo, no es necesario imponer dicha obligación cuando el interesado ya disponga de conozca esa información, cuando el registro o la comunicación de los datos estén expresamente establecidos por ley, o cuando facilitar los datos al interesado resulte imposible o exija esfuerzos desproporcionados. Tal podría ser particularmente el caso cuando el tratamiento se realice con fines de investigación histórica, estadística o científica; a este respecto, pueden tomarse en consideración el número de interesados, la antigüedad de los datos, y las posibles medidas compensatorias.[Enm. 25]
(51) Toda persona debe tener el derecho de acceder a los datos recogidos que le conciernan y a ejercer este derecho con facilidad, con el fin de conocer y verificar la licitud del tratamiento. Todo interesado debe, por tanto, tener el derecho a conocer y a que se le comuniquen, en particular, los fines para los que se tratan los datos, el plazo previsto de su conservación, los destinatarios que los reciben, la lógica general de los datos que se someten a tratamiento y las consecuencias de dicho tratamiento, al menos cuando se basen en la elaboración de perfiles. Este derecho no debe afectar negativamente a los derechos y libertades de terceros, incluidos los secretos comerciales o la propiedad intelectual y, por ejemplo en particular, relación con los derechos de propiedad intelectual que protegen los programas informáticos. No obstante, estas consideraciones no deben tener como resultado la denegación de toda la información al interesado. [Enm. 26]
(52) El responsable del tratamiento debe utilizar todas las medidas razonables para verificar la identidad de los interesados que soliciten acceso, en particular en el contexto de los servicios en línea y los identificadores en línea. Los responsables del tratamiento no deben conservar datos personales con el único propósito de poder responder a posibles solicitudes.
(53) Toda persona debe tener derecho a que se rectifiquen los datos personales que le conciernen y «derecho al olvidoa la supresión», cuando la conservación de tales datos no se ajuste a lo dispuesto en el presente Reglamento. En particular, a los interesados les debe asistir el derecho a que se supriman y no se traten sus datos personales, en caso de que ya no sean necesarios para los fines para los que fueron recogidos o tratados de otro modo, de que los interesados hayan retirado su consentimiento para el tratamiento, de que se opongan al tratamiento de datos personales que les conciernan o de que el tratamiento de sus datos personales no se ajuste de otro modo a lo dispuesto en el presente Reglamento. Este derecho es particularmente pertinente si los interesados hubieran dado su consentimiento siendo niños, cuando no se es plenamente consciente de los riesgos que implica el tratamiento, y más tarde quisieran suprimir tales datos personales especialmente en Internet. Sin embargo, la posterior conservación de los datos debe autorizarse cuando sea necesario para fines de investigación histórica, estadística y científica, por razones de interés publico en el ámbito de la salud pública, para el ejercicio del derecho a la libertad de expresión, cuando la legislación lo exija, o en caso de que existan motivos para restringir el tratamiento de los datos en vez de proceder a su supresión. El derecho a la supresión tampoco debe aplicarse cuando la conservación de los datos personales sea necesaria para la ejecución de un contrato con el interesado, o cuando exista la obligación legal de conservar dichos datos. [Enm. 27]
(54) Con el fin de reforzar el «derecho al olvidoa la supresión» en el entorno en línea, el derecho de supresión también debe ampliarse de tal forma que los responsables del tratamiento que hayan hecho públicos los datos personales deben estar sin justificación legal estén obligados a informar a los terceros que estén tratando tales datos de que un interesado les solicita que supriman todo enlace a tales datos personales, o las copias o réplicas de los mismos. Para garantizar esta información, el responsable del tratamiento debe tomar todas las medidas razonables, incluidas las de carácter técnico, en relación con necesarias para que se supriman los datos cuya publicación sea de su competencia. En relación con la publicación de datos personales, también por un tercero, el responsable del tratamiento debe ser considerado responsable de la publicación, en caso de que haya autorizado la publicación por parte de dicho tercero terceros, sin perjuicio alguno del derecho del interesado a exigir una compensación. [Enm. 28]
(54 bis) Los datos que sean objeto de impugnación por el interesado o cuya exactitud o inexactitud no pueda determinarse deben bloquearse hasta que se aclare la cuestión. [Enm. 29]
(55) Para reforzar aún más el control sobre sus propios datos y su derecho de acceso, a los interesados les debe asistir el derecho, cuando los datos personales se sometan a tratamiento por medios electrónicos, en un formato estructurado y de uso habitual, a obtener una copia de los datos que les conciernan, también en formato electrónico de uso habitual. Asimismo se debe autorizar a los interesados a transmitir de una aplicación automatizada, como una red social, a otra aquellos datos que hayan facilitado. Debe animarse a los responsables del tratamiento a desarrollar formatos interoperables que permitan la portabilidad de datos. Tal debe ser el caso cuando el interesado haya facilitado los datos al sistema automatizado de tratamiento, dando su consentimiento o en cumplimiento de un contrato. Los prestadores de servicios de la sociedad de la información no deben convertir la transferencia de dichos datos en obligatoria para la prestación de sus servicios. [Enm. 30]
(56) En los casos en que los datos personales puedan ser sometidos a tratamiento de forma lícita para proteger intereses vitales del interesado, o por motivos de interés público, de ejercicio del poder público o de los intereses legítimos del responsable del tratamiento, a cualquier interesado le debe asistir el derecho, sin embargo, de oponerse al tratamiento de cualquier dato que le concierna, de forma gratuita y de una manera que pueda ser invocada con facilidad y efectividad. En el responsable del tratamiento debe recaer la carga de demostrar que sus intereses legítimos pueden prevalecer sobre los intereses o los derechos y libertades fundamentales del interesado. [Enm. 31]
(57) Cuando los datos personales se sometan el interesado tenga derecho a oponerse al tratamiento con fines de mercadotecnia directa, al interesado le debe asistir el derecho de oponerse a dicho tratamiento de forma gratuita y de una manera que pueda ser invocada con facilidad y efectividad, el responsable debe ofrecerle explícitamente esta posibilidad de modo y forma inteligibles, utilizando para ello un lenguaje sencillo y claro, y distinguiéndola claramente de cualquier otra información. [Enm. 32]
(58) Sin perjuicio de la licitud del tratamiento de los datos, toda persona física debe tener derecho a no ser objeto de medidas que se basen en oponerse a la elaboración de perfiles. La elaboración de perfiles que dé lugar a medidas que produzcan efectos jurídicos que atañan al interesado o afecten de modo similar y significativo a sus intereses, derechos o libertades solo debe permitirse cuando esté expresamente autorizada por medio de tratamiento automatizado. Sin embargo la ley, se deben permitir tales medidas cuando se autoricen expresamente por actos legislativos, se lleven lleve a cabo en el marco de la celebración o ejecución de un contrato, o el interesado haya dado su consentimiento. En cualquier caso, dicho tratamiento debe estar sujeto a las garantías apropiadas, incluida la información específica del interesado y el derecho a obtener la intervención una evaluación humana, y dicha medida no debe referirse a un niño. Dichas medidas no deben dar lugar a discriminación entre las personas por su origen étnico o racial, sus opiniones políticas, su religión o creencias, su afiliación sindical, su orientación o su identidad de género. [Enm. 33]
(58 bis) Se debe presumir que la elaboración de perfiles basada únicamente en el tratamiento de datos seudónimos no afecta de modo significativo a los intereses, derechos o libertades del interesado. Cuando la elaboración de perfiles, ya sea a partir de una sola fuente de datos seudónimos o a partir de la suma de datos seudónimos de distintas fuentes, permita que el responsable del tratamiento atribuya los datos seudónimos a un interesado en concreto, los datos tratados no deben seguir considerándose seudónimos. [Enm. 34]
(59) En la medida en que en una sociedad democrática sea necesario y proporcionado para salvaguardar la seguridad pública, incluida la protección de la vida humana especialmente en respuesta a catástrofes naturales u ocasionadas por el hombre, la prevención, investigación, y el enjuiciamiento de infracciones penales o de violaciones de normas deontológicas en las profesiones reguladas, otros intereses públicos específicos y bien definidos de la Unión o de un Estado miembro, especialmente un importante interés económico o financiero de la Unión o de un Estado miembro, o la protección del interesado o de los derechos y libertades de otros, el Derecho de la Unión o de los Estados miembros puedenpuede imponer restricciones a determinados principios y a los derechos de información, acceso, rectificación y supresión o al derecho al acceso y a la portabilidad de los obtención de datos, al derecho a oponerse, a las medidas basadas en la elaboración de perfiles, así como a la comunicación de una violación de datos personales a un interesado y a determinadas obligaciones afines de los responsables del tratamiento. Estas restricciones deben ajustarse a lo dispuesto en la Carta y en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales. [Enm. 35]
(60) Se debe establecer la responsabilidad general del responsable por cualquier tratamiento de datos personales realizado por él mismo o en su nombre, en particular en lo que se refiere a la documentación, la seguridad de los datos, las evaluaciones de impacto, el delegado de protección de datos y la supervisión de las autoridades de protección de datos. En particular, el responsable del tratamiento debe garantizar y está obligado a ser capaz de demostrar que cada operación de tratamiento cumple lo dispuesto en el presente Reglamento. Esto debe ser verificado por auditores independientes internos o externos. [Enm. 36]
(61) La protección de los derechos y libertades de los interesados con respecto al tratamiento de datos personales exige la adopción de las oportunas medidas de carácter técnico y organizativo, tanto en el momento del diseño del tratamiento como del tratamiento propiamente dicho, con el fin de garantizar que se cumpla lo dispuesto en el presente Reglamento. Con objeto de garantizar y demostrar el cumplimiento de lo dispuesto en el presente Reglamento, el responsable debe adoptar las políticas internas y aplicar las medidas adecuadas que cumplan especialmente los principios de protección de datos desde el diseño y por defecto. El principio de protección de datos desde el diseño requiere la integración de la protección de datos en todo el ciclo de vida de la tecnología, desde la primera fase de diseño hasta su despliegue final, su utilización y su eliminación definitiva. Debe abarcar asimismo la responsabilidad por los productos y servicios utilizados por el responsable o el encargado del tratamiento. El principio de protección de datos por defecto exige que la configuración de la privacidad de los servicios y productos cumpla por defecto los principios generales de protección de datos, como la minimización de los datos y la limitación de los fines. [Enm. 37]
(62) La protección de los derechos y libertades de los interesados, así como la responsabilidad de los responsables y del encargado del tratamiento, también en relación con la supervisión de las autoridades de control y las medidas adoptadas por ellas, requiere una atribución clara de las responsabilidades con arreglo al presente Reglamento, incluidos los casos en que un responsable determine los fines, condiciones y medios del tratamiento de forma conjunta con otros responsables del tratamiento o cuando el tratamiento se efectúe por cuenta de un responsable. El acuerdo entre los corresponsables del tratamiento debe reflejar los correspondientes papeles de los corresponsables y sus relaciones. En el marco del tratamiento de datos personales en virtud del presente Reglamento, un responsable del tratamiento debe estar autorizado a transmitir los datos a un corresponsable del tratamiento o a un encargado del tratamiento para que estos realicen el tratamiento de los datos en su nombre. [Enm. 38]
(63) Cuando un responsable no establecido en la Unión esté sometiendo a tratamiento datos personales de interesados que residan en la Unión y sus actividades de tratamiento estén relacionadas con la oferta de bienes o servicios a dichos interesados, o con el control de su conducta, el responsable del tratamiento debe designar a un representante, salvo que el primero esté establecido en un tercer país que garantice un nivel de protección adecuado, o que el tratamiento afecte a menos de 5 000 interesados durante un período consecutivo de doce meses y no se lleve a cabo sobre categorías especiales de datos personales, o que el responsable del tratamiento sea una pequeña o mediana empresa o una autoridad u organismo público, o en el caso de que el responsable del tratamiento solo ofrezca bienes o servicios ocasionalmente a tales interesados. El representante debe actuar por cuenta del responsable del tratamiento y a él se puede dirigir cualquier autoridad de control. [Enm. 39]
(64) Para determinar si un responsable del tratamiento solo ofrece ocasionalmente bienes y servicios a interesados residentes en la Unión, debe comprobarse si de las actividades generales del responsable se desprende que la oferta de bienes y servicios a dichos interesados es accesoria a esas actividades principales. [Enm. 40]
(65) Para poder demostrar la conformidad con el presente Reglamento, el responsable o el encargado del tratamiento deben documentar cada operación de tratamiento conservar la documentación necesaria para cumplir los requisitos previstos en el presente Reglamento. Todos los responsables y encargados del tratamiento están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dicha documentación, de modo que pueda servir para supervisar las operaciones de tratamiento evaluar la conformidad con el presente Reglamento. Sin embargo, debe hacerse el mismo hincapié y concederse la misma importancia a las buenas prácticas y al cumplimiento y no solo a la integridad de la documentación. [Enm. 41]
(66) Con objeto de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos. Estas medidas deben garantizar un nivel de seguridad adecuado, teniendo en cuenta el estado de la técnica y el coste de su aplicación en relación con los riesgos y la naturaleza de los datos que deban protegerse. A la hora de establecer normas técnicas y medidas organizativas destinadas a garantizar la seguridad del tratamiento, la Comisión debe se han de fomentar la neutralidad tecnológica, la interoperabilidad y la innovación, y, en su caso, cooperar se ha de promover la cooperación con terceros países. [Enm. 42]
(67) Una violación de los datos personales puede causar, si no se toman medidas de manera rápida y adecuada, pérdidas económicas sustanciales y perjuicios sociales al interesado, incluida la usurpación de su identidad. Por consiguiente, tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una debe notificar tal violación, debe notificarla a la autoridad de control sin retraso injustificado y, cuando sea posible, en el, presumiéndose para ello un plazo de 24 no superior a las 72 horas. Si no fuera factible en el plazo de 24 horas Cuando proceda, la notificación debe ir acompañada de una explicación de las razones de la demora. Las personas cuyos datos personales puedan verse afectados negativamente por dicha violación deben ser informadas de ello sin demora injustificada para que puedan adoptar las cautelas necesarias. Se debe considerar que una violación afecta negativamente a los datos personales o la intimidad de los interesados cuando conlleva, por ejemplo, fraude o usurpación de identidad, daños físicos, humillación grave o perjuicio para su reputación. La notificación debe describir la naturaleza de la violación de los datos personales y formular recomendaciones para que la persona afectada mitigue sus potenciales efectos adversos. Las notificaciones a los interesados deben realizarse tan pronto como sea razonablemente posible, en estrecha cooperación con la autoridad de control y siguiendo sus orientaciones o las ofrecidas por otras autoridades competentes (por ejemplo, los servicios con funciones coercitivas). Así, por ejemplo, para que los interesados tengan la oportunidad de mitigar un riesgo inminente de perjuicio se les tendría que notificar de forma inmediata, mientras que la necesidad de aplicar medidas adecuadas para impedir que se sigan violando datos o se produzcan violaciones similares puede justificar un plazo mayor. [Enm. 43]
(68) Con el fin de determinar si una violación de datos personales se notifica a la autoridad de control y al interesado sin retraso injustificado, se debe evaluar si el responsable del tratamiento ha aplicado las medidas tecnológicas de protección y organización adecuadas con el fin de saber de forma inmediata si se ha producido una violación de datos personales y de informar sin demora a la autoridad de control y al interesado antes de que se produzca un perjuicio a sus intereses económicos y personales, habida cuenta en particular de la naturaleza y gravedad de la violación de los datos personales y sus consecuencias y efectos adversos para el interesado.
(69) Al establecer disposiciones de aplicación sobre el formato y los procedimientos aplicables a la notificación de las violaciones de datos personales, conviene tener debidamente en cuenta las circunstancias de la violación, incluyendo si los datos personales habían sido protegidos mediante las medidas técnicas de protección adecuadas, limitando eficazmente la probabilidad de usurpación de identidad u otras formas de uso indebido. Asimismo, estas normas y procedimientos deben tener en cuenta los intereses legítimos de los servicios con funciones coercitivas, en los casos en que una comunicación prematura pudiera obstaculizar innecesariamente la investigación de las circunstancias de la violación.
(70) La Directiva 95/46/CE establecía la obligación general de notificar el tratamiento de datos personales a las autoridades de control. A pesar de que esta obligación implica cargas administrativas y financieras, no contribuyó, sin embargo, en todos los casos a mejorar la protección de los datos personales. Por tanto, se debe eliminar esta obligación de notificación tan indiscriminada y debe ser sustituida por procedimientos y mecanismos eficaces que se centren, en su lugar, en las operaciones de tratamiento que, por su naturaleza, alcance o fines, puedan presentar riesgos específicos a los derechos y libertades de los interesados. En tales casos, antes del tratamiento el responsable o el encargado del mismo deben llevar a cabo una evaluación de impacto de la protección de datos, que debe incluir, en particular, las medidas, las garantías y los mecanismos previstos para garantizar la protección de los datos personales y demostrar la conformidad con el presente Reglamento.
(71) Ello debe aplicarse, en particular, a los sistemas de archivo a gran escala de reciente creación, que aspiran a tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados.
(71 bis) Las evaluaciones de impacto son el núcleo esencial de cualquier marco sostenible de protección de datos, al asegurar que las empresas sean conscientes desde el principio de todas las posibles consecuencias de sus operaciones de tratamiento de datos. Si las evaluaciones de impacto son exhaustivas, puede limitarse esencialmente la probabilidad de que una operación viole los datos o invada la privacidad. Por consiguiente, las evaluaciones de impacto de la protección de datos deben tener en cuenta la gestión durante todo el ciclo de vida de los datos personales, desde la recogida y el tratamiento hasta la supresión, describiendo con detalle las operaciones de tratamiento previstas, los riesgos para los derechos y libertades de los interesados, las medidas previstas para abordar estos riesgos, las salvaguardias, las medidas de seguridad y los mecanismos para garantizar el cumplimiento del presente Reglamento. [Enm. 44]
(71 ter) Los responsables del tratamiento deben centrarse en la protección de los datos personales durante todo el ciclo de vida de los datos, desde la recogida y el tratamiento hasta la supresión, invirtiendo desde el principio en un marco sostenible de gestión de datos y complementándolo con un mecanismo global de control del cumplimiento. [Enm. 45]
(72) Hay circunstancias en las que puede resultar sensato y económico que una evaluación de impacto de la protección de datos abarque a más de un único proyecto, por ejemplo, en caso de que las autoridades u organismos públicos tengan la intención de crear una aplicación o plataforma común de tratamiento o de que varios responsables se planteen introducir una aplicación o un entorno de tratamiento común en un sector o segmento de la industria o para una actividad horizontal de uso generalizado.
(73) Las evaluaciones de impacto de la protección de datos deben ser llevadas a cabo por una autoridad o un organismo públicos si tales evaluaciones aún no se han realizado en el contexto de la adopción de la legislación nacional en la que se basa la realización de las tareas de la autoridad o el organismo públicos y que regula la operación o el conjunto de operaciones de tratamiento en cuestión.[Enm. 46]
(74) Cuando una evaluación de impacto de la protección de datos indique que las operaciones de tratamiento presentan un alto grado de riesgos específicos para los derechos y libertades de los interesados, como el de privar a dichas personas de un derecho, o por la utilización de nuevas tecnologías específicas, el delegado de protección de datos o la autoridad de control debe ser consultada antes del comienzo de las operaciones en relación con el tratamiento de un riesgo que podría no estar en conformidad con el presente Reglamento, y formular propuestas para corregir esta situación. Dicha La consulta a la autoridad de control también debe realizarse en el curso de la elaboración de una medida por el Parlamento nacional o de una iniciativa basada en dicha medida legislativa que defina la naturaleza del tratamiento y precise las garantías apropiadas. [Enm. 47]
(74 bis) Las evaluaciones de impacto solo resultan útiles si los responsables del tratamiento se aseguran de que se cumplan las promesas inicialmente establecidas en ellas. Por lo tanto, los responsables del tratamiento deben realizar revisiones periódicas del cumplimiento de la protección de datos que demuestren que los mecanismos de tratamiento de datos establecidos cumplen las garantías formuladas en la evaluación de impacto de la protección de datos. Asimismo, debe demostrarse la capacidad del responsable del tratamiento para respetar las decisiones autónomas de los interesados. Además, en caso de que la revisión detecte incoherencias en el cumplimiento, debe ponerlas de relieve y presentar recomendaciones sobre cómo lograr el pleno cumplimiento. [Enm. 48]
(75) Si el tratamiento se efectúa en el sector público o en el caso de que, en el sector privado, el tratamiento lo realice una gran empresa afecte a más de 5 000 interesados durante un período de doce meses, o si sus actividades esenciales, con independencia del tamaño de la empresa, implican operaciones de tratamiento de datos sensibles u operaciones de tratamiento que exijan un seguimiento periódico y sistemático, una persona debe ayudar al responsable o encargado del tratamiento a supervisar la observancia interna del presente Reglamento. Al establecer si se están tratando los datos de un gran número de interesados, no se deben tener en cuenta los datos archivados que sean objeto de una limitación tal que no estén sujetos a las operaciones normales de acceso y tratamiento de datos por el encargado del tratamiento y ya no puedan ser modificados. Tales delegados de protección de datos, sean o no empleados del responsable del tratamiento y ejerzan o no dicho cometido a tiempo completo, deben estar en condiciones de desempeñar sus funciones y tareas con independencia, y gozar de una protección especial contra el despido. Sin embargo, la responsabilidad final debe recaer en la dirección de la organización. Al delegado de protección de datos se le ha de consultar, en particular, antes de las fases de diseño, adquisición, desarrollo y lanzamiento de sistemas para el tratamiento automatizado de datos personales, a fin de asegurar los principios de protección de la privacidad desde el diseño y de la privacidad por defecto. [Enm. 49]
(75 bis) El delegado de protección de datos debe tener al menos las siguientes cualificaciones: amplio conocimiento de la materia y de la aplicación de la normativa sobre protección de datos, incluidas las medidas y los procedimientos técnicos y organizativos; dominio de los requisitos técnicos de la protección de la privacidad desde el diseño, de la privacidad por defecto y de la seguridad de los datos; conocimiento específico del sector, de acuerdo con el tamaño del responsable o encargado del tratamiento y de la sensibilidad de los datos por tratar; capacidad para llevar a cabo inspecciones y consultas, elaborar una documentación, y proceder al análisis de ficheros; capacidad para trabajar con los representantes de los trabajadores. El responsable del tratamiento debe permitir que el delegado de protección de datos participe en acciones de formación avanzada para mantener los conocimientos especializados necesarios para llevar a cabo sus deberes. El nombramiento como delegado de protección de datos no debe necesariamente requerir la ocupación a tiempo completo del empleado correspondiente. [Enm. 50]
(76) Se debe incitar a las asociaciones u otros organismos que representen a categorías de responsables del tratamiento a que elaboren códigos de conducta, previa consulta a los representantes de los trabajadores, dentro de los límites fijados por el presente Reglamento, con el fin de facilitar su aplicación efectiva, teniendo en cuenta las características específicas del tratamiento llevado a cabo en determinados sectores. Dichos códigos deben facilitar que la industria cumpla el presente Reglamento. [Enm. 51]
(77) A fin de aumentar la transparencia y el cumplimiento del presente Reglamento, debe fomentarse el establecimiento de mecanismos de certificación, sellos y marcas normalizadas de protección de datos, que permitan a los interesados evaluar más rápidamente, de modo fiable y verificable, el nivel de protección de datos de los productos y servicios correspondientes. Debe elaborarse un «Sello Europeo de Protección de Datos» a escala europea para crear confianza entre los interesados, instaurar una seguridad jurídica para los responsables del tratamiento, y exportar al mismo tiempo las normas europeas de protección de datos permitiendo que las empresas no europeas accedan más fácilmente a los mercados europeos mediante su certificación. [Enm. 52]
(78) Los flujos transfronterizos de datos personales son necesarios para la expansión del comercio y la cooperación internacionales. El aumento de estos flujos plantea nuevos retos e inquietudes con respecto a la protección de los datos de carácter personal. Sin embargo, cuando los datos personales se transfieran de la Unión a terceros países o a organizaciones internacionales, no debe verse menoscabado el nivel de protección de las personas garantizado en la Unión por el presente Reglamento. En cualquier caso, las transferencias hacia terceros países solo pueden llevarse a cabo en conformidad plena con el presente Reglamento.
(79) El presente Reglamento se entiende sin perjuicio de los acuerdos internacionales celebrados entre la Unión y terceros países que regulen la transferencia de datos personales, incluidas las oportunas garantías para los interesados que aseguren un grado adecuado de protección de los derechos fundamentales de los ciudadano. [Enm. 53]
(80) La Comisión puede determinar, con efectos para toda la Unión, que algunos terceros países, un territorio o un sector del tratamiento en un tercer país, o una organización internacional ofrecen un nivel adecuado de protección de datos, proporcionando así seguridad jurídica y uniformidad en toda la Unión en lo que se refiere a los terceros países u organizaciones internacionales que se considera aportan tal nivel de protección. En estos casos, se pueden realizar transferencias de datos personales a estos países sin tener que obtener ninguna otra autorizaciónLa Comisión también puede decidir revocar esta decisión, tras haber avisado y presentado una justificación completa al tercer país. [Enm. 54]
(81) En consonancia con los valores fundamentales en los que se basa la Unión, en particular la protección de los derechos humanos, la Comisión, en su evaluación del tercer país, tiene en cuenta en qué medida este último respeta el Estado de Derecho, el acceso a la justicia, así como las normas y principios relativos a los derechos humanos.
(82) La Comisión también puede reconocer que un tercer país, un territorio o sector del tratamiento en un tercer país, o una organización internacional no ofrece un nivel de protección de datos adecuado. El hecho de que una legislación permita un acceso extraterritorial a los datos personales tratadosen la Unión sin autorización en virtud del Derecho de la Unión o de los Estados miembros debe considerarse indicativo de una falta de adecuación. En consecuencia, debe prohibirse la transferencia de datos personales a dicho tercer país. En ese caso, se debe disponer que se celebren consultas entre la Comisión y dichos terceros países u organizaciones internacionales. [Enm. 55]
(83) En ausencia de una decisión por la que se constata el carácter adecuado de la protección de los datos, el responsable o el encargado del tratamiento deben tomar medidas para compensar la falta de protección de datos en un tercer país mediante las garantías apropiadas para el interesado. Tales garantías apropiadas pueden consistir en hacer uso de normas corporativas vinculantes, cláusulas tipo de protección de datos adoptadas por la Comisión, cláusulas tipo de protección de datos adoptadas por una autoridad de control o cláusulas contractuales autorizadas por una autoridad de control u otras medidas adecuadas y proporcionadas que se justifiquen a la luz de todas las circunstancias que rodean la operación de transferencia. Dichas garantías apropiadas deben defender un respetode los derechos de los interesados adecuado al tratamiento interno en la UE, en particular en relación con la limitación de la finalidad y los derechos de acceso, rectificación, supresión y reclamación de una compensación. Dichas garantías deben, en particular, garantizar el cumplimiento de los principios relativos al tratamiento de datos o las operaciones de transferencia de conjuntos personales, preservar los derechosde los interesados y proporcionar unos mecanismos de recurso efectivos, y garantizar el cumplimiento de los principios de protección de la privacidad desde el diseño y por defecto, así como la existencia de un delegado de protección de datos y siempre que las autorice una autoridad de control. [Enm. 56]
(84) La posibilidad de que el responsable o el encargado del tratamiento utilicen cláusulas tipo de protección de datos adoptadas por la Comisión o una autoridad de control no debe impedir que los responsables o encargados del tratamiento incluyan las cláusulas o garantías adicionales tipo de protección de datos en un contrato más amplio o añadan otras cláusulas, siempre que no contradigan, directa o indirectamente, las cláusulas contractuales tipo adoptadas por la Comisión o por una autoridad de control o perjudiquen a los derechos o las libertades fundamentales de los interesados. Las cláusulas tipo de protección de datos adoptadas por la Comisión pueden abarcar distintas situaciones, como transferencias de los responsables del tratamiento establecidos en la Unión a responsables del tratamiento establecidos fuera de ella, y de responsables del tratamiento establecidos en la Unión a encargados del tratamiento, incluidos subencargados, establecidos fuera de ella. Se debe alentar a los responsables y encargados del tratamiento a ofrecer garantías aún más sólidas mediante compromisos contractuales adicionales que complementen las cláusulas tipo de protección de datos. [Enm. 57]
(85) Todo grupo de sociedades debe poder hacer uso de normas corporativas vinculantes autorizadas para sus transferencias internacionales de la Unión a organizaciones dentro del mismo grupo de empresas, siempre que tales normas corporativas incluyan todos los principios esenciales y derechos aplicables con el fin de asegurar las garantías apropiadas para las transferencias o categorías de transferencias de datos de carácter personal. [Enm. 58]
(86) Se debe establecer la posibilidad de realizar transferencias en determinadas circunstancias, cuando el interesado haya dado su consentimiento, la transferencia sea necesaria en relación con un contrato o una reclamación legal, así lo requieran motivos importantes de interés público establecidos por el Derecho del Estado miembro o de la Unión, o cuando la transferencia se haga a partir de un registro establecido por ley y se destine a ser consultada por el público o personas con un interés legítimo. En este último caso la transferencia no debe afectar a la totalidad de los datos o de las categorías de datos incluidos en el registro y, cuando el registro esté destinado a ser consultado por personas que tengan un interés legítimo, la transferencia solo debe efectuarse a petición de dichas personas o si estas van a ser las destinatarias, teniendo plenamente en cuenta los intereses y los derechos fundamentales del interesado. [Enm. 59]
(87) Estas excepciones deben aplicarse en particular a las transferencias de datos requeridas y necesarias para la protección de motivos importantes de interés público, por ejemplo en caso de transferencias internacionales de datos entre autoridades de competencia, administraciones fiscales o aduaneras, autoridades de supervisión financiera, entre servicios competentes en materia de seguridad social o de sanidad pública, o a las autoridades públicas competentes para la prevención, investigación, detección y enjuiciamiento de las infracciones penales, incluida la prevención del blanqueo de capitales y la lucha contra la financiación del terrorismo. Una transferencia de datos personales también debe considerarse lícita cuando sea necesaria para proteger un interés esencial para la vida del interesado o la vida de otra persona, si el interesado está incapacitado para dar su consentimiento. La transferencia de datos personales por estos importantes motivos de interés público solo debe utilizarse de manera ocasional. En todos y cada uno de los casos deben evaluarse detenidamente todas las circunstancias de la transferencia. [Enm. 60]
(88) Las transferencias que no puedan considerarse frecuentes o masivas también podrían llevarse a cabo a los fines de satisfacer los intereses legítimos perseguidos por el responsable o el encargado del tratamiento, cuando estos hayan evaluado todas las circunstancias que concurran en la transferencia de datos. A efectos del tratamiento con fines de investigación histórica, estadística y científica, se debe tener en cuenta la confianza legítima de la sociedad en un aumento del conocimiento. [Enm. 61]
(89) En cualquier caso, cuando la Comisión no haya tomado ninguna decisión sobre el nivel adecuado de protección de los datos en un tercer país, el responsable o el encargado del tratamiento deben arbitrar soluciones que garanticen de forma jurídicamente vinculante a los interesados que seguirán beneficiándose de los derechos fundamentales y garantías en lo que se refiere al tratamiento de sus datos en la Unión, una vez que tales datos hayan sido transferidos, en la medida en que el tratamiento no sea masivo, repetitivo ni estructural. Esa garantía debe incluir una indemnización financiera en caso de pérdida o acceso o tratamiento no autorizados de los datos, así como una obligación, con independencia de la legislación nacional, de proporcionar todos los pormenores de cualquier acceso a los datos por las autoridades públicas en el tercer país. [Enm. 62]
(90) Algunos terceros países promulgan leyes, reglamentaciones y otros instrumentos legislativos con los que se pretende regular directamente las actividades de tratamiento de datos de las personas físicas y jurídicas sujetas a la jurisdicción de los Estados miembros. La aplicación extraterritorial de estas leyes, reglamentaciones y otros instrumentos legislativos puede violar el Derecho internacional y obstaculizar la consecución de la protección de las personas garantizada en la Unión por el presente Reglamento. Solo deben autorizarse las transferencias a terceros países cuando se cumplan las condiciones del presente Reglamento. Tal puede ser el caso, entre otros, cuando la comunicación sea necesaria por una razón importante de interés público reconocida en el Derecho de la Unión o de un Estado miembro a la que esté sujeto el responsable del tratamiento. Las condiciones en las que existe una razón importante de interés público deben ser especificadas en detalle por la Comisión en un acto delegado. En caso de que los responsables o encargados del tratamiento se enfrenten a requisitos de cumplimiento contradictorios entre el ámbito de competencia de la Unión, por un lado, y el de un tercer país, por otro, la Comisión debe garantizar que el Derecho de la Unión prevalezca en todo momento. La Comisión debe orientar y asistir a los responsables y encargados del tratamiento y debe procurar resolver el conflicto de competencia con el tercer país en cuestión. [Enm. 63]
(91) Cuando los datos personales circulan a través de las fronteras se puede poner en mayor riesgo la capacidad de las personas físicas para ejercer los derechos de protección de datos, en particular con el fin de protegerse contra la utilización ilícita o la comunicación de dicha información. Al mismo tiempo, es posible que las autoridades de control se vean en la imposibilidad de tramitar reclamaciones o realizar investigaciones relativas a actividades desarrolladas fuera de sus fronteras. Sus esfuerzos por colaborar en el contexto transfronterizo también pueden verse obstaculizados por poderes preventivos o correctores insuficientes, regímenes jurídicos incoherentes y obstáculos prácticos, como la escasez de recursos. Por tanto, es necesario fomentar una cooperación más estrecha entre las autoridades de control de la protección de datos para ayudarles a intercambiar información y llevar a cabo investigaciones con sus homólogos internacionales.
(92) La creación en los Estados miembros de autoridades de control que ejerzan sus funciones con plena independencia constituye un elemento esencial de la protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal. Los Estados miembros pueden crear más de una autoridad de control con objeto de reflejar su estructura constitucional, organizativa y administrativa. Las autoridades deben disponer de suficientes recursos financieros y de personal para poder desempeñar plenamente su papel, teniendo en cuenta el tamaño de la población y la cantidad de datos personales tratados. [Enm. 64]
(93) Si un Estado miembro crea varias autoridades de control, debe establecer por ley mecanismos para garantizar la participación efectiva de dichas autoridades de control en el mecanismo de coherencia. Dicho Estado miembro debe, en particular, designar a la autoridad de control que funcione de punto de contacto único para la participación efectiva de dichas autoridades en el mecanismo, con objeto de garantizar una cooperación rápida y flexible con otras autoridades de control, el Consejo Europeo de Protección de Datos y la Comisión.
(94) Todas las autoridades de control deben estar dotadas de los recursos financieros y humanos adecuados, prestando especial atención a la garantía de unos conocimientos técnicos y jurídicos adecuados de su personal, de los locales y de las infraestructuras que sean necesarios para la realización eficaz de sus tareas, en particular las relacionadas con la asistencia recíproca y la cooperación con otras autoridades de control de la Unión. [Enm. 65]
(95) Las condiciones generales aplicables a los miembros de la autoridad de control deben establecerse por ley en cada Estado miembro, disponer, entre otras cosas, que dichos miembros deben ser nombrados por el Parlamento o el Gobierno del Estado miembro procurando minimizar la posibilidad de interferencia política, e incluir normas sobre su cualificación personal y función y sobre la prevención de conflictos de intereses. [Enm. 66]
(96) Las autoridades de control deben supervisar la aplicación de las disposiciones adoptadas en aplicación del presente Reglamento y contribuir a su implementación coherente en toda la Unión, con el fin de proteger a las personas físicas en relación con el tratamiento de sus datos de carácter personal y de facilitar la libre circulación de dichos datos personales en el mercado interior. Para ello, las autoridades de control deben cooperar entre sí y con la Comisión.
(97) Cuando el tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado del tratamiento en la Unión tenga lugar en más de un Estado miembro, una única autoridad de control debe ser competente para supervisar las actividades actuar como único punto de contacto y autoridad principal responsable de la supervisión del responsable o del encargado del tratamiento en la Unión y tomar las decisiones correspondientes, a fin de potenciar una aplicación coherente, proporcionar seguridad jurídica y reducir la carga administrativa que soportan dichos responsables y encargados. [Enm. 67]
(98) La autoridad competente principal que constituye esta ventanilla única debe ser la autoridad de control del Estado miembro en que el responsable o el encargado del tratamiento tengan su establecimiento principal o a su representante. El Consejo Europeo de Protección de Datos puede designar a la autoridad principal en ciertos casos, a través del mecanismo de coherencia, previa solicitud de una autoridad competente. [Enm. 68]
(98 bis) Los interesados cuyos datos personales sean tratados por un responsable o un encargado del tratamiento en otro Estado miembro deben poder dirigir sus reclamaciones a la autoridad de control de su elección. La autoridad principal de protección de datos debe coordinar su trabajo con el de las demás autoridades implicadas. [Enm. 69]
(99) Aunque el presente Reglamento también se aplica a las actividades de los órganos jurisdiccionales nacionales, la competencia de las autoridades de control no debe abarcar el tratamiento de datos personales cuando los primeros actúen en ejercicio de su función jurisdiccional, con el fin de garantizar la independencia de los jueces en el desempeño de sus funciones. No obstante, esta excepción debe limitarse estrictamente a verdaderas actividades judiciales en juicios y no debe aplicarse a otras actividades en las que puedan estar implicados los jueces, de conformidad con el Derecho nacional.
(100) Para garantizar la supervisión y ejecución coherentes del presente Reglamento en toda la Unión, las autoridades de control deben gozar en todos los Estados miembros de las mismas funciones y poderes efectivos, incluidos los poderes de investigación, de intervención jurídicamente vinculante, de decisión y sanción, especialmente en casos de reclamaciones de personas físicas, y la capacidad de litigar. Los poderes de investigación de las autoridades de control por lo que se refiere al acceso a los locales deben ejercerse de conformidad con el Derecho de la Unión y el Derecho nacional. Ello se refiere especialmente al requisito de obtener un mandato judicial previo.
(101) Cada autoridad de control debe oír las reclamaciones presentadas por cualquier interesado o por cualquier asociación que actúe en interés público y debe investigar el asunto. La investigación a raíz de una reclamación debe llevarse a cabo, bajo control jurisdiccional, en la medida en que sea adecuada en el caso específico. La autoridad de control debe informar al interesado o a la asociación de la evolución y el resultado de la reclamación en un plazo razonable. Si el caso requiere una mayor investigación o coordinación con otra autoridad de control, se debe facilitar información intermedia al interesado. [Enm. 70]
(102) Entre las actividades de sensibilización destinadas al público que realicen las autoridades de control deben incluirse medidas específicas dirigidas a los responsables y los encargados del tratamiento, incluidas las microempresas, las pequeñas y medianas empresas, y a los interesados.
(103) Las autoridades de control deben ayudarse en el desempeño de sus tareas y facilitarse ayuda mutua, con el fin de garantizar la aplicación y ejecución coherentes del presente Reglamento en el mercado interior.
(104) Cada autoridad de control debe tener derecho a participar en operaciones conjuntas entre autoridades de control. La autoridad de control requerida debe estar obligada a responder a la solicitud en un plazo determinado.
(105) Con objeto de garantizar la aplicación coherente del presente Reglamento en toda la Unión, debe establecerse un mecanismo de coherencia con vistas a la cooperación entre las propias autoridades de control y la Comisión. Este mecanismo debe aplicarse en particular cuando una autoridad de control tenga intención de adoptar una medida por lo que se refiere a las operaciones de tratamiento relativas a la oferta de bienes o servicios a los interesados en varios Estados miembros, o a la supervisión de tales interesados, o que puedan afectar de manera sustancial a la libre circulación de los datos personales. También debe aplicarse cuando cualquier autoridad de control o la Comisión soliciten que el asunto se trate en el marco del mecanismo de coherencia. Asimismo, los interesados deben tener derecho a exigir coherencia si consideran que una medida adoptada por la autoridad de protección de datos de un Estado miembro no ha respetado ese criterio. Este mecanismo debe entenderse sin perjuicio de cualesquiera medidas que la Comisión pueda adoptar en el ejercicio de sus competencias, con arreglo a los Tratados. [Enm. 71]
(106) En aplicación del mecanismo de coherencia, el Consejo Europeo de Protección de Datos debe, en un plazo determinado, emitir un dictamen, si así lo decide una mayoría simple de sus miembros o si así lo solicita cualquier autoridad de control o la Comisión.
(106 bis) Con objeto de garantizar la aplicación coherente del presente Reglamento, el Consejo Europeo de Protección de Datos puede, en casos aislados, adoptar una decisión vinculante para las autoridades de control competentes. [Enm. 72]
(107) Con el fin de garantizar el cumplimiento de lo dispuesto en el presente Reglamento, la Comisión puede adoptar un dictamen sobre este asunto, o una decisión en la que inste a la autoridad de control a suspender su proyecto de medida. [Enm. 73]
(108) Es posible que haya una necesidad urgente de actuar para proteger los intereses de los interesados, en particular cuando exista el riesgo de que pudiera verse considerablemente obstaculizado el disfrute de alguno de sus derechos. Por lo tanto, las autoridades de control deben estar en condiciones de adoptar medidas provisionales con un determinado período de validez a la hora de aplicar el mecanismo de coherencia.
(109) La aplicación de este mecanismo debe ser una condición para la validez jurídica y la ejecución de la correspondiente decisión por parte de una autoridad de control. En otros casos de relevancia transfronteriza, se podría ofrecer asistencia mutua y llevar a cabo investigaciones conjuntas entre las autoridades de control con carácter bilateral o multilateral sin poner en marcha el mecanismo de coherencia.
(110) A escala de la Unión, se debe crear un Consejo Europeo de Protección de Datos que debe sustituir al Grupo de protección de las personas en lo que respecta al tratamiento de datos personales creado por la Directiva 95/46/CE. Debe estar compuesto por los directores de las autoridades de control de los Estados miembros y el Supervisor Europeo de Protección de Datos. La Comisión debe participar en sus actividades. El Consejo Europeo de Protección de Datos debe contribuir a la aplicación coherente del presente Reglamento en toda la Unión, entre otras cosas, asesorando a Comisión sus instituciones y fomentando la cooperación de las autoridades de control de toda la Unión, incluida la coordinación de las operaciones conjuntas. El Consejo Europeo de Protección de Datos debe actuar con independencia en el ejercicio de sus funciones. El Consejo Europeo de Protección de Datos debe fomentar el diálogo con las partes implicadas, como asociaciones de interesados, organizaciones de consumidores, responsables del tratamiento y otras partes y expertos pertinentes. [Enm. 74]
(111) Todo interesado debeLos interesados deben tener derecho a presentar una reclamación ante una autoridad de control en cualquier Estado miembro y tener derecho a presentar un recurso a obtener una tutela judicial efectiva, de conformidad con el artículo 47 de la Carta, si considera consideran que se vulneran sus derechos en el marco del presente Reglamento o en caso de que la autoridad de control no reaccione ante una reclamación o no actúe cuando dicha medida sea necesaria para proteger los derechos del interesado. [Enm. 75]
(112) Toda entidad, organización o asociación que tenga por objeto proteger los derechos e intereses de los interesados en relación con la protección de sus datos actúe en interés público y esté constituida con arreglo al Derecho de un Estado miembro debe tener derecho a presentar una reclamación ante la autoridad de control en nombre de los interesados y con el consentimiento de estos, o a ejercer el derecho de recurso judicial, en nombre de los interesados si ha sido autorizada por el interesado, o a presentar, independientemente de la reclamación de un interesado, su propia reclamación, cuando considere que se ha producido una violación de los datos personalesdel presente Reglamento. [Enm. 76]
(113) Toda persona física o jurídica debe tener derecho a presentar un recurso judicial contra las decisiones de una autoridad de control que le conciernan. Las acciones legales contra una autoridad de control deben ejercitarse ante los órganos jurisdiccionales del Estado miembro en el que esté establecida la autoridad de control.
(114) Para reforzar la protección judicial del interesado en caso de que la autoridad de control competente esté establecida en un Estado miembro distinto de aquel en el que el interesado resida, este puede solicitar autorizar a cualquier entidad, organización o asociación destinadas a proteger los derechos e intereses de los interesados en relación con la protección de sus datos que actúe en interés público para que ejercite acciones legales contra dicha autoridad de control en nombre del interesado ante el órgano jurisdiccional competente del otro Estado miembro. [Enm. 77]
(115) Cuando la autoridad de control competente establecida en otro Estado miembro no actúe o haya adoptado medidas insuficientes en relación con una reclamación, el interesado puede solicitar a la autoridad de control del Estado miembro de su residencia habitual que ejercite acciones legales contra dicha autoridad de control ante el órgano jurisdiccional competente del otro Estado miembro. Esto no se aplica a las personas no residentes enla UE. La autoridad de control requerida puede decidir, bajo control jurisdiccional, si es oportuno atender la solicitud o no. [Enm. 78]
(116) Por lo que respecta a las acciones contra los responsables o encargados del tratamiento, el demandante debe tener la opción de ejercitarlas ante los órganos jurisdiccionales de los Estados miembros en los que los responsables o encargados del tratamiento estén establecidos o, en caso de que el interesado resida en la Unión, en el Estado miembro en donde tenga su residencia el interesado, a menos que los responsables del tratamiento sean autoridades públicas de la Unión o de un Estado miembro que actúen en el ejercicio del poder público. [Enm. 79]
(117) Cuando existan indicios de la existencia de procedimientos paralelos que estén pendientes ante los órganos jurisdiccionales de diferentes Estados miembros, dichos órganos jurisdiccionales deben estar obligados a ponerse en contacto entre sí. Los órganos jurisdiccionales deben tener la posibilidad de suspender una causa cuando en otro Estado miembro se esté tramitando un procedimiento paralelo. Los Estados miembros deben garantizar que las acciones legales, para ser eficaces, permitan la rápida adopción de medidas con el fin de corregir o impedir una infracción del presente Reglamento.
(118) Cualquier perjuicio, económico o de otra índole, que pueda sufrir una persona como consecuencia de un tratamiento ilícito debe ser compensado por el responsable o el encargado del tratamiento, que solo puede quedar exento de responsabilidad si demuestra que no es responsable del perjuicio, en particular si acredita la conducta culposa del interesado, o en caso de fuerza mayor. [Enm. 80]
(119) Deben imponerse sanciones a aquellas personas, ya sean de Derecho público o privado, que no cumplan lo dispuesto en el presente Reglamento. Los Estados miembros deben asegurarse de que las sanciones sean efectivas, proporcionadas y disuasorias y deben tomar todas las medidas para su aplicación. Las normas en materia de sanciones deben someterse a las oportunas garantías procesales, de conformidad con los principios generales del Derecho de la Unión y con la Carta, incluidas los relativos al derecho a una tutela judicial efectiva, a un proceso justo y al principio non bis in idem. [Enm. 81]
(119 bis) Al aplicar las sanciones, los Estados miembros deben respetar plenamente las oportunas garantías procesales, incluidos el derecho a una tutela judicial efectiva y a un proceso justo, y el principio non bis in idem. [Enm. 82]
(120) Con el fin de reforzar y armonizar las sanciones administrativas contra las infracciones de las disposiciones del presente Reglamento, cada autoridad de control debe estar facultado para sancionar las infracciones administrativas. El presente Reglamento debe indicar estas infracciones y el límite máximo para las correspondientes multas administrativas que deben fijarse en cada caso concreto, en proporción a la situación específica, teniendo en cuenta, en particular, la naturaleza, la gravedad y la duración de la violación. El mecanismo de coherencia también puede emplearse para cubrir las divergencias en la aplicación de las sanciones administrativas.
(121) El tratamiento de datos personales solo con fines periodísticos, o con fines de expresión artística o literaria, debe disfrutar de una excepciónSiempre que sea necesario, han de preverse excepciones o derogaciones a los requisitos de determinadas disposiciones del presente Reglamento para el tratamiento de datos personales, con el fin de conciliar el derecho a la protección de los datos de carácter personal con el derecho a la libertad de expresión, y, en especial, el derecho de recibir o de comunicar informaciones, como se garantiza especialmente en el artículo 11 de la Carta Ello debe aplicarse en particular al tratamiento de los datos personales en el ámbito audiovisual y en los archivos de noticias y hemerotecas. Por tanto, los Estados miembros deben adoptar medidas legislativas que establezcan las exenciones y excepciones necesarias a efectos de equilibrar estos derechos fundamentales. Tales exenciones y excepciones deben ser adoptadas por los Estados miembros basándose en principios generales, en los derechos del interesado, en el responsable y el encargado del tratamiento, en la transferencia de datos a terceros países u organizaciones internacionales, en las autoridades de control independientes, así como en la cooperación y la coherencia, y en situaciones específicas de tratamiento de datos. No obstante, ello no debe llevar a los Estados miembros a establecer exenciones de las demás disposiciones del presente Reglamento. Con objeto de tomar en consideración la importancia del derecho a la libertad de expresión en toda sociedad democrática, es necesario interpretar en sentido amplio conceptos relativos a dicha libertad, como el periodismo. Por consiguiente, los Estados miembros deben clasificar determinadas para abarcar todas aquellas actividades como «periodísticas» a efectos de las exenciones y excepciones que se han de establecer al amparo del presente Reglamento si el cuyo objeto de dichas actividades es sea la comunicación al público de información, opiniones o ideas, con independencia del medio que se emplee para difundirlas, teniendo asimismo en cuenta el desarrollo tecnológico. No tienen por qué circunscribirse a empresas de comunicación y pueden desarrollarse con o sin ánimo de lucro. [Enm. 83]
(122) El tratamiento de datos personales relativos a la salud, como categoría especial de datos que merece mayor protección, puede justificarse a menudo por motivos legítimos en beneficio de los ciudadanos y la sociedad en su conjunto, en particular cuando se trate de garantizar la continuidad de la asistencia sanitaria transfronteriza. Por tanto, el presente Reglamento debe establecer unas condiciones armonizadas para el tratamiento de los datos personales relativos a la salud, sujetas a garantías específicas y adecuadas a fin de proteger los derechos fundamentales y los datos personales de las personas físicas. Ello incluye el derecho de las personas físicas a acceder a sus datos personales relativos a la salud, por ejemplo los datos de sus historias clínicas que contengan información de este tipo como los diagnósticos, los resultados de exámenes, las evaluaciones de los facultativos y cualesquiera tratamientos o intervenciones practicadas.
(122 bis) Un profesional que efectúe el tratamiento de datos personales relativos a la salud debe recibir, siempre que sea posible, datos anónimos o protegidos por un seudónimo, de forma que la identidad de la persona en cuestión solo pueda conocerla el médico generalista o especialista que haya solicitado el tratamiento de dichos datos. [Enm. 84]
(123) El tratamiento de datos personales relativos a la salud puede ser necesario por razones de interés público en los ámbitos de la salud pública, sin el consentimiento del interesado. En ese contexto, «salud pública» debe interpretarse como se definió en el Reglamento (CE) nº 1338/2008 del Parlamento Europeo y del Consejo(11), de 16 de diciembre de 2008, sobre estadísticas comunitarias de salud pública y de salud y seguridad en el trabajo, es decir, todos los elementos relacionados con la salud, a saber, el estado de salud, con inclusión de la morbilidad y la discapacidad, los determinantes que influyen en dicho estado de salud, las necesidades de asistencia sanitaria, los recursos asignados a la asistencia sanitaria, la puesta a disposición de asistencia sanitaria y el acceso universal a ella, así como los gastos y la financiación de la asistencia sanitaria, y las causas de mortalidad. Este tratamiento de datos personales relativos a la salud por razones de interés público no debe tener como consecuencia que terceros, como empresarios, aseguradoras y bancos, sometan a tratamiento datos personales.[Enm. 85]
(123 bis) El tratamiento de datos personales relacionados con la salud, como categoría especial de datos, puede ser necesario por razones de investigación histórica, estadística o científica. Por consiguiente, el presente Reglamento prevé una excepción al requisito del consentimiento en aquellos casos en que la investigación sirva un interés público superior. [Enm. 86]
(124) Los principios generales sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales también deben ser aplicables al ámbito laboral. Por lo tanto, con el fin de y al de la seguridad social. Los Estados miembros deben poder regular el tratamiento de los datos personales de los trabajadores, los Estados miembros, dentro en el contexto laboral y el tratamiento de los límites del datos personales en el contexto de la seguridad social, de conformidad con las reglas y normas mínimas establecidas en el presente Reglamento, deben estar facultados para adoptar por ley normas específicas para. Cuando exista una base legal en el Estado miembro interesado para regular las cuestiones laborales mediante convenio entre representantes de los trabajadores y la dirección de la empresa o de la empresa que ejerce el control de un grupo (convenio colectivo), o en virtud de la Directiva 2009/38/CE del Parlamento Europeo y del Consejo(12), también debe poder regularse el tratamiento de datos personales en el ámbitocontexto laboral mediante un convenio de este tipo. [Enm. 87]
(125) Para que sea lícito, el tratamiento de datos de carácter personal a efectos de investigación histórica, estadística o científica también debe respetar otras normas pertinentes, como las relativas a los ensayos clínicos.
(125 bis) Los datos personales también pueden ser objeto de tratamiento ulterior por los servicios de archivos cuya misión principal u obligación legal consista en recopilar, conservar, comunicar, valorizar y difundir archivos en aras del interés público. La legislación de los Estados miembros debe conciliar el derecho a la protección de los datos personales con las normas sobre archivos y sobre acceso público a la información de carácter administrativo. Los Estados miembros deben fomentar la elaboración, en particular por el Grupo Europeo de Archivos, de normas destinadas a garantizar la confidencialidad de los datos frente a terceros y la autenticidad, integridad y buena conservación de los datos. [Enm. 88]
(126) A efectos del presente Reglamento, la investigación científica debe abarcar la investigación fundamental, la investigación aplicada y la investigación financiada por el sector privado, y, además, debe tener en cuenta el objetivo de la Unión, establecido el en artículo 179, apartado 1, del Tratado de Funcionamiento de la Unión Europea, de realizar un espacio europeo de investigación. El tratamiento de datos personales para fines de investigación histórica, estadística y científica no debe dar lugar al tratamiento de datos personales con otros fines, a menos que ello se lleve a cabo con el consentimiento del interesado o sobre la base del Derecho de la Unión o de los Estados miembros. [Enm. 89]
(127) Por lo que respecta a los poderes de las autoridades de control para obtener del responsable o del encargado del tratamiento acceso a los datos personales y a sus locales, los Estados miembros pueden adoptar por ley, dentro de los límites fijados por el presente Reglamento, normas específicas con vistas a salvaguardar las obligaciones de secreto profesional u otras equivalentes, en la medida necesaria para conciliar el derecho a la protección de los datos personales con la obligación de secreto profesional.
(128) El presente Reglamento respeta y no prejuzga el estatuto reconocido, en virtud del Derecho interno, a las iglesias y las asociaciones o comunidades religiosas en los Estados miembros, tal como se reconoce en el artículo 17 del Tratado de Funcionamiento de la Unión Europea. Como consecuencia de ello, cuando una iglesia aplique en un Estado miembro, en el momento de entrada en vigor del presente Reglamento, normas generales adecuadas relativas a la protección de las personas por lo que respecta al tratamiento de datos personales, estas normas en vigor deben seguir aplicándose si se adaptan a lo dispuesto en el presente Reglamento y están reconocidas como conformes al mismo. Estas iglesias y asociaciones religiosas deben estar obligadas a crear una autoridad de control totalmente independiente. [Enm. 90]
(129) A fin de cumplir los objetivos del presente Reglamento, a saber, proteger los derechos y las libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales, y garantizar la libre circulación de los datos personales en la Unión, deben delegarse en la Comisión los poderes para adoptar actos con arreglo al artículo 290 del Tratado de Funcionamiento de la Unión Europea. En particular, deben adoptarse actos por lo que respecta a la licitud del tratamiento; la especificación de los criterios y las condiciones en relación con el consentimiento de los niños; el tratamiento de categorías especiales de datos; la especificación de los criterios y condiciones para las solicitudes manifiestamente excesivas y los honorarios para el ejercicio de los derechos del interesado; los criterios y requisitos relativos a la información al interesado y en relación con el derecho deacceso; el derecho al olvido y a la supresión; las medidas basadas en la elaboración de perfiles; las modalidades basadas en iconos para suministrar información;los criterios y requisitos en relación con la responsabilidad del responsable del tratamiento y la protección de datos desde el diseño y por defecto; un encargado del tratamiento; los criterios y requisitos relativos a la documentación y la seguridad del tratamiento; los criterios y requisitos para determinar la existencia de una violación de los datos personales y su notificación a la autoridad de control, y sobre las circunstancias en que una violación de los datos personales pueda afectar negativamente al interesado; los criterios y condiciones para las operaciones de tratamiento que requieren una evaluación de impacto en relación con la protección de datos; los criterios y requisitos para determinar un alto grado de riesgos específicos que requieren consulta previa; la designación y las tareas del delegado de protección de datos; la declaración de conformidad con el presente Reglamento de los códigos de conducta; los criterios y requisitos para los mecanismos de certificación; el nivel adecuado de protección ofrecido por un tercer país o una organización internacional; los criterios y requisitos para las transferencias por medio de normas corporativas vinculantes; las excepciones a las transferencias; las sanciones administrativas; el tratamiento con fines de salud;y el tratamiento en el contexto del empleo y el tratamiento con fines de investigación histórica, estadística y científica. Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, en particular con expertos y con el Consejo Europeo de Protección de Datos. Al preparar y elaborar actos delegados, la Comisión debe garantizar que los documentos pertinentes se transmitan al Parlamento Europeo y al Consejo de manera simultánea, oportuna y adecuada. [Enm. 91]
(130) A fin de garantizar condiciones uniformes de ejecución del presente Reglamento, deben conferirse a la Comisión competencias de ejecución con objeto de especificar: los formularios normalizados para los métodos específicos de obtención del consentimiento verificabletipo en relación con el tratamiento de datos personales de los niños; los procedimientos y formularios tipo normalizados para ejercer la comunicación a los derechos de los interesados del ejercicio de sus derechos; los formularios normalizados para informar al interesado; los formularios y procedimientos normalizados en relación con el derecho de acceso; el derecho a la portabilidad de los datos;, incluida la comunicación de datos personales al interesado, los formularios normalizados en relación con la responsabilidad del documentación que deben conservar el responsable y el encargado del tratamiento por la protección de datos, desde el diseño y por defecto, y la documentación; los requisitos específicos para la seguridad del tratamiento; el formato estándar y los procedimientos formulario normalizado para la notificación de notificar una violación de los datos personales a la autoridad de control y para documentarla comunicación de una violación de los datos personales al interesado; las normas y procedimientos para la evaluación de impacto relativa; los formularios de consulta previa e información a la protección de datos; los formularios y procedimientos de autorización previa y consulta previa; las normas técnicas y mecanismos de certificación; el nivel adecuado de protección que ofrece un tercer país, un territorio, un sector de tratamiento en ese tercer país o una organización internacional; las comunicaciones no autorizadas por el Derecho de la Unión; la asistencia mutua; las operaciones conjuntas; las decisiones en el marco del mecanismo de coherencia. Es preciso que la Comisión ejerza autoridad de control. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) nº 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión(13). En este contexto, la Comisión debe plantearse la adopción de medidas específicas para las microempresas, las pequeñas y medianas empresas. [Enm. 92]
(131) El procedimiento de examen debe emplearse para la adopción de formularios tipo especificar y adoptar: formularios normalizados para los métodos específicos de obtención del consentimiento verificable en relación con el consentimiento tratamiento de datos personales de los niños; procedimientos y formularios tipo normalizados para ejercer la comunicación a los derechos de los interesados del ejercicio de sus derechos; formularios normalizados para informar al interesado; formularios y procedimientos normalizados en relación con el derecho de acceso, el derecho a la portabilidad de los incluida la comunicación de datos personales al interesado; formularios normalizados en relación con la responsabilidad del documentación que deben conservar el responsable y el encargado del tratamiento por la protección de datos desde el diseño y por defecto, y la documentación; requisitos específicos para la seguridad del tratamiento; el formato estándar y los procedimientos formulario normalizado para la notificación de notificar una violación de los datos personales a la autoridad de control y la comunicación de para documentar una violación de los datos personales al interesado; normas y procedimientos para la evaluación de impacto relativa; formularios de consulta previa e información a la protección de datos; formularios y procedimientos de autorización previa y consulta previa; normas técnicas y mecanismos de certificación; el nivel adecuado de protección que ofrece un tercer país, un territorio, un sector de tratamiento en ese tercer país o una organización internacional; las comunicaciones no autorizadas por el Derecho de la Unión; la asistencia mutua; operaciones conjuntas; decisiones adoptadas en virtud del mecanismo de coherencia, autoridad de control dado que dichos actos son de alcance general. [Enm. 93]
(132) La Comisión debe adoptar actos de ejecución inmediatamente aplicables cuando así lo requieran razones perentorias, en casos debidamente justificados relacionados con un tercer país, un territorio o un sector de tratamiento en ese tercer país, o una organización internacional que no garantice un nivel de protección adecuado, y relacionados con cuestiones comunicadas por las autoridades de control con arreglo al mecanismo de coherencia. [Enm. 94]
(133) Dado que los objetivos del presente Reglamento, a saber, garantizar un nivel equivalente de protección de las personas y la libre circulación de datos en la Unión Europea, no pueden ser alcanzados de manera suficiente por los Estados miembros sino que, debido a las dimensiones o a los efectos de la actuación, pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dichos objetivos.
(134) La Directiva 95/46/CE debe ser derogada por el presente Reglamento. Sin embargo, deben seguir en vigor las decisiones de la Comisión adoptadas y las autorizaciones dictadas por las autoridades de control sobre la base de la Directiva 95/46/CE. Las decisiones adoptadas por la Comisión y las autorizaciones concedidas por las autoridades de control en relación con las transferencias de datos personales a terceros países en virtud del artículo 41, apartado 8, deben permanecer en vigor por un período transitorio de cinco años a partir de la entrada en vigor del presente Reglamento, a menos que la Comisión las modifique, sustituya o derogue antes de que finalice dicho período. [Enm. 95]
(135) El presente Reglamento debe aplicarse a todas las cuestiones relativas a la protección de los derechos y las libertades fundamentales en relación con el tratamiento de datos de carácter personal, que no están sujetas a obligaciones específicas con el mismo objetivo establecidas en la Directiva 2002/58/CE del Parlamento Europeo y del Consejo(14), incluidas las obligaciones del responsable del tratamiento y los derechos de las personas físicas. Para aclarar la relación entre el presente Reglamento y la Directiva 2002/58/CE, esta última debe ser modificada en consecuencia.
(136) Por lo que se refiere a Islandia y Noruega, el presente Reglamento constituye un desarrollo de las disposiciones del acervo de Schengen, en la medida en que este se aplica al tratamiento de datos personales por parte de autoridades que participan en la aplicación de dicho acervo, como se establece en el Acuerdo celebrado por el Consejo de la Unión Europea con la República de Islandia y el Reino de Noruega sobre la asociación de estos dos Estados a la ejecución, aplicación y desarrollo del acervo de Schengen(15).
(137) Por lo que se refiere a Suiza, el presente Reglamento constituye un desarrollo de las disposiciones del acervo de Schengen, en la medida en que este se aplica al tratamiento de datos personales por parte de autoridades que participan en la aplicación de dicho acervo, como se establece en el Acuerdo entre la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, aplicación y desarrollo del acervo de Schengen(16).
(138) Por lo que se refiere a Liechtenstein, el presente Reglamento constituye un desarrollo de las disposiciones del acervo de Schengen, en la medida en que este se aplica al tratamiento de datos personales por parte de autoridades que participan en la aplicación de dicho acervo, como se establece en el Protocolo entre la Unión Europea, la Comunidad Europea, la Confederación Suiza y el Principado de Liechtenstein sobre la adhesión del Principado de Liechtenstein al Acuerdo entre la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, aplicación y desarrollo del acervo de Schengen, sobre la supresión de controles en las fronteras internas y la circulación de personas(17).
(139) Habida cuenta de que, como ha puesto de relieve el Tribunal de Justicia de la Unión Europea, el derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad, el presente Reglamento respeta todos los derechos fundamentales y observa los principios reconocidos en la Carta consagrados en los Tratados, en particular el derecho al respeto de la vida privada y familiar, al derecho a la protección de los datos de carácter personal, la libertad de pensamiento, de conciencia y de religión, la libertad de expresión y de información, la libertad de empresa, el derecho a la tutela judicial efectiva y a un juicio justo, así como la diversidad cultural, religiosa y lingüística,
HAN ADOPTADO EL PRESENTE REGLAMENTO:
CAPÍTULO I
DISPOSICIONES GENERALES
Artículo 1
Objeto y objetivos
1. El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.
2. El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.
3. La libre circulación de los datos personales en la Unión no podrá ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.
Artículo 2
Ámbito de aplicación material
1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, sea cual sea el método empleado, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
2. El presente Reglamento no se aplica al tratamiento de datos personales:
a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión, en particular en lo que respecta a la seguridad nacional;
b) por parte de las instituciones, órganos u organismos de la Unión;
c) por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del Título V del Tratado de la Unión Europea;
d) por parte de una persona física sin interés lucrativo en el ejercicio de actividades exclusivamente personales o domésticas. Esta excepción se aplicará asimismo a la publicación de datos personales cuando quepa esperar razonablemente que solo accederán a ella un número limitado de personas;
e) por parte de las autoridades públicas competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales.
3. El presente Reglamento se entenderá sin perjuicio de la aplicación de la Directiva 2000/31/CE, en particular de las normas en materia de responsabilidad de los prestadores de servicios intermediarios establecidas en los artículos 12 a 15 de la Directiva citada. [Enm. 96]
Artículo 3
Ámbito de aplicación territorial
1. El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado del tratamiento en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.
2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o un encargado del tratamiento no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:
a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si se requiere o no un pago por parte del interesado; o
b) el control de su conducta dichos interesados.
3. El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable del tratamiento que no esté establecido en la Unión sino en un lugar en que sea de aplicación el Derecho nacional de un Estado miembro en virtud del Derecho internacional público.[Enm. 97]
Artículo 4
Definiciones
A efectos del presente Reglamento, se entenderá por:
1) «interesado»: toda persona física identificada o que pueda ser identificada, directa o indirectamente, por medios que puedan ser utilizados razonablemente por el responsable del tratamiento o por cualquier otra persona física o jurídica, en particular mediante un número de identificación, datos de localización, identificador en línea o uno o varios elementos específicos de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;
2) «datos personales»: toda información relativa a un interesado una persona física identificada o identificable («el interesado»); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, unos datos de localización, un identificador único o uno o varios elementos específicos, característicos de la identidad física, fisiológica, genética, psíquica, económica, cultural, social o de género de dicha persona;
2 bis) «datos seudónimos»: los datos personales que no puedan atribuirse a un interesado en particular sin recurrir a información adicional, siempre que dicha información adicional se mantenga separada y sujeta a medidas técnicas y organizativas destinadas a garantizar que tal atribución no se produzca;
2 ter) «datos cifrados»: todos los datos personales que, a través de medidas de protección tecnológica, se hayan hecho ininteligibles para cualquier persona que no esté autorizada a acceder a ellos;
3) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, efectuadas o no mediante procedimientos automatizados, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, supresión o destrucción;
3 bis) «elaboración de perfiles»: toda forma de tratamiento automatizado de datos personales destinado a evaluar determinados aspectos personales propios de una persona física o a analizar o predecir en particular su rendimiento profesional, su situación económica, su localización, su estado de salud, sus preferencias personales, su fiabilidad o su comportamiento;
4) «fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;
5) «responsable del tratamiento»: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o conjuntamente con otros determine los fines, condiciones y medios del tratamiento de datos personales; en caso de que los fines, condiciones y medios del tratamiento estén determinados por el Derecho de la Unión o de los Estados miembros, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho de la Unión o de los Estados miembros;
6) «encargado del tratamiento»: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento;
7) «destinatario»: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que reciba comunicación de datos personales;
7 bis) «tercero»: toda persona física o jurídica, autoridad pública, servicio o cualquier otro organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable o del encargado del tratamiento;
8) «consentimiento del interesado»: toda manifestación de voluntad, libre, específica, informada y explícita, mediante la que el interesado acepta, ya sea mediante una declaración ya sea mediante una clara acción afirmativa, el tratamiento de datos personales que le conciernen;
9) «violación de datos personales»: toda violación de la seguridad que ocasione la destrucción accidental o ilícita, la pérdida, la alteración, la comunicación no autorizada o el acceso a datos personales transmitidos, conservados o tratados de otra forma;
10) «datos genéticos»: todos los datos, con independencia de su tipo, relativos a personales relacionados con las características genéticas de una persona que sean hereditarias o adquiridas durante el desarrollo prenatal temprano se hayan heredado o adquirido, siempre que procedan del análisis de una muestra biológica de la persona en cuestión, concretamente a través de un análisis cromosómico, un análisis del ácido desoxirribonucleico (ADN) o del ácido ribonucleico (ARN) o un análisis de cualquier otro elemento que permita obtener una información equivalente;
11) «datos biométricos»: cualesquiera datos personales relativos a las características físicas, fisiológicas o conductuales de una persona que permitan su identificación única, como imágenes faciales o datos dactiloscópicos;
12) «datos relativos a la salud»: cualquier información cualesquiera datos personales que se refiera refieran a la salud física o mental de una persona, o a la asistencia prestada por los servicios de salud a la persona;
13) «establecimiento principal»: el lugar donde tenga su establecimiento la empresa o el grupo de empresas en lo que se refiere al la Unión, ya se trate de un responsable o un encargado del tratamiento, el lugar de su establecimiento en la Unión en el que se adopten las decisiones principales en cuanto a los fines, condiciones y medios del tratamiento de datos personales.; si no se adopta en la Unión decisión alguna en cuanto a los fines, condiciones y medios deltratamiento de datos personales, el establecimiento principal es el lugar en el que tienen lugar las principales actividades de tratamiento en el contexto de las actividades de un establecimiento del responsable del tratamiento en la Unión. Por lo que respecta al encargado del tratamiento, por «establecimiento principal» se entiende el lugar de su administración central en la Unión Podrán tenerse en cuenta, entre otros, los siguientes criterios: la localización de las sedes del responsable o del encargado del tratamiento; el emplazamiento de la entidad, dentro del grupo de empresas, que esté en mejores condiciones, en términos de funciones de gestión y responsabilidad administrativa, de abordar y aplicar las normas establecidas en el presente Reglamento; el emplazamiento en el que se ejerzan de manera efectiva y real actividades de gestión que determinen el tratamiento de datosmediante una instalación estable;
14) «representante»: toda persona física o jurídica establecida en la Unión que, designada expresamente por el responsable del tratamiento, actúe en lugar del represente al responsable del tratamiento y a la que pueda dirigirse cualquier autoridad de control y otros organismos de la Unión en lugar del responsable del tratamiento, en lo que respecta a las obligaciones de este último en virtud del presente Reglamento;
15) «empresa»: toda entidad dedicada a una actividad económica, independientemente de su forma jurídica, incluidas, en particular, las personas físicas y jurídicas, así como las sociedades o asociaciones que ejerzan regularmente una actividad económica;
16) «grupo de empresas»: un grupo que comprenda una empresa que ejerce el control y las empresas controladas;
17) «normas corporativas vinculantes»: las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro de la Unión para las transferencias o un conjunto de transferencias de datos personales a un responsable o encargado del tratamiento en uno o más países terceros, dentro de un grupo de empresas;
18) «niño»: toda persona menor de 18 años;
19) «autoridad de control»: la autoridad pública establecida por un Estado miembro de acuerdo con el artículo 46. [Enm. 98]
CAPÍTULO II
PRINCIPIOS
Artículo 5
Principios relativos al tratamiento de datos personales
Los datos personales deberán ser serán:
a) tratados de manera lícita, leal y transparente en relación con el interesado (licitud, lealtad y transparencia);
b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados posteriormente de manera incompatible con dichos fines (limitación de los fines);
c) adecuados, pertinentes y limitados al mínimo necesario en relación a los fines para los que se traten; solo se tratarán si, y siempre en la medida en que, estos fines no pudieran alcanzarse mediante el tratamiento de información que no implique datos personales (minimización de los datos);
d) exactos y, cuando sea necesario, se mantendrán actualizados; se habrán de adoptar todas las medidas razonables para que se supriman o rectifiquen sin demora los datos personales que sean inexactos con respecto a los fines para los que se tratan (exactitud);
e) conservados en una forma que permita identificar directa o indirectamente al interesado durante un período no superior al necesario para lo los fines para los que se someten a tratamiento; los datos personales podrán ser conservados durante períodos más largos, siempre que se traten exclusivamente para fines de investigación histórica, estadística o científica o con fines de archivo, con arreglo a las normas y condiciones establecidas en el artículo los artículos 83 y 83 bis, y si se lleva a cabo una revisión periódica para evaluar la necesidad de seguir conservándolos, y se adoptan medidas técnicas y organizativas adecuadas para limitar el acceso a los datos exclusivamente con dichos fines (minimización de la conservación);
e bis) tratados de tal forma que permita efectivamente al interesado ejercer sus derechos (efectividad);
e ter) tratados de modo que queden protegidos contra el tratamiento no autorizado o ilícito y contra la pérdida, destrucción o el daño accidentales mediante la aplicación de medidas técnicas u organizativas adecuadas (integridad);
f) tratados bajo la responsabilidad del responsable del tratamiento, que, para cada operación de tratamiento, garantizará y demostrará será capaz de demostrar el cumplimiento de las disposiciones del presente Reglamento (rendición de cuentas). [Enm. 99]
Artículo 6
Licitud del tratamiento de datos
1. El tratamiento de datos personales solo será lícito en la medida en que sea de aplicación alguno de los siguientes supuestos:
a) el interesado ha dado su consentimiento para el tratamiento de sus datos personales para uno o más fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado;
c) el tratamiento es necesario para el cumplimiento de una obligación jurídica a la que está sujeto el responsable del tratamiento,
d) el tratamiento es necesario para proteger intereses vitales del interesado;
e) el tratamiento es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o, en caso de comunicación de los datos, por el tercero a quien se le comunican, y cumple las expectativas razonables del interesado sobre la base de su relación con el responsable del tratamiento, siempre que no prevalezcaprevalezcan el interés o los derechos y libertades fundamentales del interesado que requieran protección de los datos personales, en particular, cuando el interesado sea un niño. Ello no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.
2. El tratamiento de los datos personales que sea necesario a efectos de investigación histórica, estadística o científica será lícito siempre que se cumplan las condiciones y garantías previstas en el artículo 83.
3. El fundamento jurídico del tratamiento contemplado en el apartado 1, letras c) y e), se habrá de establecer en:
a) el Derecho de la Unión, o
b) el Derecho del Estado miembro a la que esté sujeto el responsable del tratamiento.
El Derecho del Estado miembro deberá cumplir un objetivo de interés público o deberá ser necesaria para proteger los derechos y libertades de terceros, respetar la esencia del derecho a la protección de los datos personales y ser proporcional al objetivo legítimo perseguido. Dentro de los límites del presente Reglamento, el Derecho del Estado miembro podrá establecer pormenores relativos a la licitud del tratamiento, en particular en lo que respecta al responsable del tratamiento, la finalidad del tratamiento y la limitación de los fines, la naturaleza de los datos y los interesados, las operaciones y procedimientos de tratamiento, así como los destinatarios y la duración de la conservación.
4. Cuando la finalidad del tratamiento posterior no sea compatible con aquella para la que se recogieron los datos personales, el tratamiento deberá tener base jurídica al menos en uno de los fundamentos mencionados en el apartado 1, letras a) a e). Esto se aplicará en especial a cualquier cambio que se introduzca en las condiciones generales de un contrato.
5. La Comisión estará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a fin de especificar las condiciones contempladas en el apartado 1, letra f), para diferentes sectores y situaciones de tratamiento de datos, incluido el tratamiento de los datos personales relativos a los niños. [Enm. 100]
Artículo 7
Condiciones para el consentimiento
1. Cuandoel tratamiento se base en el consentimiento prestado, el responsable del tratamiento asumirá la carga de la prueba de que el interesado ha dado su consentimiento para el tratamiento de sus datos personales para determinados fines.
2. Si el consentimiento del interesado se ha de dar en el contexto de una declaración escrita que también se refiera a otro asunto, el requisito de dar el consentimiento deberá presentarse de tal forma que se distinga claramente de ese otro asunto. Las disposiciones relativas al consentimiento del interesado que infrinjan parcialmente el presente Reglamento serán totalmente nulas.
3. Sin perjuicio de la existencia de otros fundamentos jurídicos parael tratamiento de los datos, el interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento antes de su retirada. Será tan fácil retirar el consentimiento como darlo. El responsable del tratamiento informará al interesado acerca de si la retirada del consentimiento puede dar lugar al cese de los servicios prestados o de la relación con el responsable del tratamiento.
4. El consentimiento no constituirá una base jurídica válida estará vinculado a un fin y dejará de ser válido cuando tal fin deje de existir, o en cuanto el tratamiento de los datos personales deje de ser necesario para alcanzar el fin para el que los datos fueron inicialmente recogidos. La ejecución de un contrato o la prestación de un servicio no podrán supeditarse al consentimiento respecto de un tratamiento cuando exista un desequilibro claro entre la posición del interesado y el responsable del tratamiento de datos que no sea necesario para dicha ejecución o prestación con arreglo a lo dispuesto en el artículo 6, apartado 1, letra b). [Enm. 101]
Artículo 8
Tratamiento de los datos personales relativos a los niños
1. A efectos del presente Reglamento, en relación con la oferta directa de bienes o servicios de la sociedad de la información a los niños, el tratamiento de los datos personales relativos a los niños menores de 13 años solo será lícito si el consentimiento ha sido dado o autorizado por uno de sus padres o por el padre o tutor representante legal del niño. El responsable del tratamiento hará esfuerzos razonables para obtener un verificar tal consentimiento verificable, teniendo en cuenta la tecnología disponible, sin generar un tratamiento innecesario de los datos personales.
1 bis. La información proporcionada al niño, a los padres y a los representantes legales a efectos de la prestación de consentimiento, incluida la relativa a la recogida y uso de los datos personales por el responsable del tratamiento, debe facilitarse en un lenguaje claro adecuado al público destinatario.
2. El apartado 1 no afectará a las disposiciones generales del Derecho contractual de los Estados miembros, como son las normas en materia de validez, formación o efectos de los contratos en relación con un niño.
3. La Comisión estará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a fin de especificar los criterios y condiciones aplicablesSe encomendará al Consejo Europeo de Protección de Datosla tarea de publicar directrices, recomendaciones y mejores prácticas relativas a los métodos de obtención del consentimiento verificable contemplados en el apartado 1. Para ello, la Comisión se planteará la adopción de medidas específicas para las microempresas, las pequeñas y medianas empresas, con arreglo a lo dispuesto en el artículo 66.
4. La Comisión podrá establecer formularios normalizados para los métodos específicos de obtención del consentimiento verificable contemplados en el apartado 1. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 87, apartado 2. [Enm. 102]
Artículo 9
Tratamiento de Categorías especiales de datos personales
1. Queda prohibido el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, la religión o las creencias filosóficas, la orientación sexual o la identidad de género, la afiliación sindical y las actividades sindicales, así como el tratamiento de los datos genéticos o los biométricos o de datos relativos a la salud, la vida sexual, las sanciones administrativas, las sentencias, los delitos o las sospechas de delito, las condenas penales o las medidas de seguridad afines.
2. El apartado 1 no será aplicable si de aplicación cuando concurra una de las circunstancias siguientes:
a) el interesado ha dado su consentimiento para el tratamiento de dichos datos personales con uno o más fines concretos, sin perjuicio a reserva de las condiciones establecidas en los artículos 7 y 8, excepto cuando el Derecho de la Unión o de los Estados miembros disponga que la prohibición establecida en el apartado 1 no puede ser levantada por el interesado; o
a bis) el tratamiento es necesario para el cumplimiento o la ejecución de un contrato en el que el interesado es parte o para la adopción de medidas precontractuales a petición del interesado;
b) el tratamiento es necesario para cumplir las obligaciones y ejercer los derechos específicos del responsable del tratamiento en materia de Derecho laboral en la medida en que así lo autorice el Derecho de la Unión o de los Estados miembros o los convenios colectivos que establezca establezcan las garantías apropiadas para los intereses y derechos fundamentales del interesado, como el derecho a la no discriminación, a reserva de las condiciones y garantías contempladas en el artículo 82; o
c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona, en el supuesto de que el interesado esté física o jurídicamente incapacitado para dar su consentimiento; o
d) el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a sus miembros, a antiguos miembros del organismo o a personas que mantengan contactos regulares con la fundación, la asociación o el organismo en relación con sus fines y siempre que los datos no se comuniquen fuera del organismo sin el consentimiento de los interesados; o
e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos; o
f) el tratamiento es necesario para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial; o
g) el tratamiento es necesario para el cumplimiento de una misión especial de interés público, sobre la base del Derecho de la Unión o de los Estados miembros, que establecerán las debe ser proporcional al objetivo perseguido, respetar la esencia del derecho a la protección de datos y establecer medidas adecuadas para proteger los intereses legítimos y derechos fundamentales del interesado; o
h) el tratamiento de datos relativos a la salud es necesario a efectos sanitarios y sin perjuicio de las condiciones y garantías contempladas en el artículo 81; o
i) el tratamiento es necesario con fines de investigación histórica, estadística o científica, sin perjuicio de las condiciones y garantías contempladas en el artículo 83; o
i bis) el tratamiento es necesario para los servicios de archivos a reserva de las condiciones y garantías contempladas en el artículo 83 bis; o
j) el tratamiento de datos relativos a sanciones administrativas, sentencias, delitos, condenas penales o medidas de seguridad afines se lleva a cabo bajo la supervisión de poderes públicos o si el tratamiento es necesario para cumplir una obligación jurídica o reglamentaria a la que esté sujeto el interesado o para desarrollar una tarea llevada a cabo por motivos importantes de interés público y siempre que lo autorice el Derecho de la Unión o de los Estados miembros que establezca las garantías apropiadas para los intereses y los derechos fundamentales del interesado. Solo se llevará un registro completo de condenas penales bajo el control de los poderes públicos.
3. La Comisión estará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a fin de especificar los criterios, las condiciones y las garantías apropiadas para elSe encomendará al Consejo Europeo de Protección de Datosla tarea de publicar directrices, recomendaciones y mejores prácticas relativas al tratamiento de las categorías especiales de datos personales contempladas en el apartado 1 y las excepciones establecidas en el apartado 2, con arreglo a lo dispuesto en el artículo 66. [Enm. 103]
Artículo 10
Tratamiento que no permite identificación
1. Si los datos sometidos a tratamiento por un responsable o encargado del tratamiento no le permiten identificar, directa o indirectamente, a una persona física, o consisten únicamente en datos seudónimos, el responsable no estará obligado a hacerse con información adicional deberá tratar ni obtener información adicional con vistas a identificar al interesado con la única finalidad de cumplir lo dispuesto en el presente Reglamento.
2. Cuando un encargado del tratamiento no pueda cumplir una disposición del presente Reglamento debido a lo previsto en el apartado 1, no estará obligado a cumplir dicha disposición en concreto. Cuando, a consecuencia de lo anterior, el responsable del tratamiento no pueda atender la solicitud del interesado, le informará de ello oportunamente. [Enm. 104]
Artículo 10 bis
Principios generales de los derechos de los interesados
1. La protección de datos se basa en los derechos claros e inequívocos de los interesados que debe respetar el responsable del tratamiento. Las disposiciones del presente Reglamento tienen por objeto reforzar, aclarar, garantizar y, en su caso, codificar esos derechos.
2. Esos derechos incluyen, entre otros, el suministro de información clara y fácilmente comprensible sobre el tratamiento de los datos personales del interesado, el derecho de acceso, rectificación y supresión de los datos, el derecho a la obtención de datos, el derecho a oponerse a la elaboración de perfiles, el derecho a presentar una reclamación ante la autoridad competente de protección de datos y a emprender acciones judiciales, y el derecho a obtener una compensación por daños y perjuicios derivados de una operación de tratamiento ilícita. Dichos derechos se ejercerán, en general, sin coste alguno. El responsable del tratamiento de los datos responderá a las solicitudes de los interesados en un plazo razonable. [Enm. 105]
CAPÍTULO III
DERECHOS DEL INTERESADO
SECCIÓN 1
TRANSPARENCIA Y MODALIDADES
Artículo 11
Transparencia de la información y la comunicación
1. El responsable del tratamiento aplicará políticas concisas, transparentes, sencillas y fácilmente accesibles por lo que respecta al tratamiento de datos personales y al ejercicio de los derechos de los interesados.
2. El responsable del tratamiento facilitará al interesado cualquier información y comunicación relativa al tratamiento de datos personales, en forma inteligible, utilizando un lenguaje sencillo, y claro y adaptado al interesado, en particular para cualquier información dirigida específicamente a los niños. [Enm. 106]
Artículo 12
Procedimientos y mecanismos para el ejercicio de los derechos de los interesados
1. El responsable del tratamiento establecerá procedimientos para facilitar la información contemplada en el artículo 14, y para el ejercicio de los derechos de los interesados contemplados en el artículo 13 y en los artículos 15 a 19. El responsable del tratamiento establecerá, en particular, mecanismos para facilitar la solicitud de las acciones contempladas en el artículo 13 y en los artículos 15 a 19. Cuando los datos personales se sometan a tratamiento de forma automatizada, el responsable del tratamiento también proporcionará medios para que las solicitudes se hagan por vía electrónica, cuando sea posible.
2. El responsable del tratamiento informará sin demora injustificada al interesado y, a más tardar, en el plazo de un mes 40 días naturales a partir de la recepción de la solicitud, de si se ha tomado o no alguna medida con arreglo a lo dispuesto en el artículo 13 y en los artículos 15 a 19 y facilitará la información solicitada. Este plazo podrá prorrogarse un mes, si varios interesados ejercen sus derechos y si su cooperación es necesaria, en una medida razonable, para impedir un esfuerzo innecesario y desproporcionado por parte del responsable del tratamiento. La información se facilitará por escrito y, cuando sea posible, el responsable del tratamiento podrá facilitar acceso remoto a un sistema seguro que ofrezca al interesado un acceso directo a sus datos personales. Cuando el interesado haga la solicitud en formato electrónico, la información se facilitará en ese mismo formato cuando sea posible, a menos que el interesado solicite que se proceda de otro modo.
3. Si el responsable del tratamiento se niega a dar no da curso a la solicitud del interesado, le informará a este de las razones de la denegación su falta de actuación y de la posibilidad de presentar una reclamación ante la autoridad de control y de recurrir a los tribunales.
4. La información y las medidas adoptadas sobre las solicitudes contempladas en el apartado 1 serán gratuitas. Cuando las solicitudes sean manifiestamente excesivas, especialmente por su carácter repetitivo, el responsable del tratamiento podrá aplicar una tasa razonable teniendo en cuenta los costes administrativos en que se incurra por facilitar la información o adoptar la medida solicitada, o estará facultado para no adoptar la medida solicitada. En ese caso, el responsable del tratamiento asumirá la carga de demostrar el carácter manifiestamente excesivo de la solicitud.
5. La Comisión deberá estar facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a fin de especificar los criterios y condiciones para las solicitudes manifiestamente excesivas y las tasas contempladas en el apartado 4.
6. La Comisión podrá establecer formularios y procedimientos normalizados para la comunicación contemplada en el apartado 2, incluido el formato electrónico. Para ello, la Comisión adoptará las medidas específicas para las microempresas, las pequeñas y medianas empresas. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 87, apartado 2. [Enm. 107]
Artículo 13
Derechos en relación con los destinatariosObligación de notificación en caso de rectificación y supresión
El responsable del tratamiento comunicará cualquier rectificación o supresión llevada a cabo con arreglo a los artículos 16 y 17 a cada uno de los destinatarios a los que se hayan comunicado transferido los datos, salvo que ello sea imposible o exija un esfuerzo desproporcionado. El responsable del tratamiento informará al interesado acerca de estos destinatarios, si el interesado así lo solicita. [Enm. 108]
Artículo 13 bis
Políticas de información normalizadas
1. Cuando se recojan datos personales relativos a un interesado, el responsable del tratamiento le informará de los siguientes pormenores antes de facilitarle la información contemplada en el artículo 14:
a) si los datos personales se recabarán más allá del mínimo necesario para cada finalidad concreta del tratamiento;
b) si los datos personales se conservarán más allá del mínimo necesario para cada finalidad concreta del tratamiento;
c) si los datos personales se tratarán para fines distintos a aquellos para los que fueron recabados;
d) si los datos personales se revelarán a terceras partes de carácter comercial;
e) si los datos personales se venderán o alquilarán;
f) si los datos personales se conservarán en formato encriptado.
2. Los pormenores mencionados en el apartado 1 se presentarán de acuerdo con el anexo del presente Reglamento en un formato tabular alineado, utilizando texto y símbolos, en las tres columnas siguientes:
a) la primera columna describirá los gráficos que simbolizan dichos pormenores;
b) la segunda columna contendrá información fundamental que describirá dichos pormenores;
c) la tercera columna describirá los gráficos que indican si se cumple uno de los pormenores concretos.
3. La información a la que hacen referencia los apartados 1 y 2 se presentará de forma que su visualización resulte fácil y sea claramente legible, en un lenguaje de fácil comprensión para los consumidores de los Estados miembros a los que se facilite la información. Cuando los pormenores se presenten en formato electrónico, serán legibles por una máquina.
4. No se proporcionará ningún otro pormenor. Podrán facilitarse explicaciones detalladas o puntualizaciones adicionales relativas a los pormenores mencionados en el apartado 1 junto con las demás obligaciones de información contempladas en el artículo 14.
5. Se otorgan a la Comisión los poderes para adoptar actos delegados con arreglo al artículo 86, previa solicitud de dictamen al Consejo Europeo de Protección de Datos, a fin de especificar los pormenores a los que hace referencia el apartado 1 y su presentación, tal y como se describe en el apartado 2 y en el anexo del presente Reglamento. [Enm. 109]
SECCIÓN 2
INFORMACIÓN Y ACCESO A LOS DATOS
Artículo 14
Información al interesado
1. Cuando se recojan datos personales relativos a un interesado, el responsable del tratamiento le facilitará, al menos, la siguiente información, una vez le haya informado de los pormenores contemplados en el artículo 13 bis:
a) la identidad y los datos de contacto del responsable del tratamiento y, en su caso, del representante del responsable del tratamiento y del delegado de protección de datos;
b) los fines específicos del tratamiento a que se destinan los datos personales, así como la información relativa a la seguridad del tratamiento de dichos datos, incluidas las cláusulas y condiciones generales del contrato cuando el tratamiento se base en el artículo 6, apartado 1, letra b), y, el interés legítimo perseguido por el responsable del tratamiento cuando el tratamiento se base en su caso, información sobre cómo se aplican y respetan los requisitos previstos en el artículo 6, apartado 1, letra f);
c) el plazo durante el cual se conservarán los datos personales o, cuando esto no sea posible, los criterios utilizados para determinar este plazo;
d) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o a oponerse al tratamiento de dichos datos personales, o a obtener dichos datos;
e) el derecho a presentar una reclamación ante la autoridad de control y los datos de contacto de la misma;
f) los destinatarios o las categorías de destinatarios de los datos personales;
g) cuando proceda, la intención del responsable del tratamiento de efectuar una transferencia transferir datos a un tercer país u organización internacional, y el nivel de protección ofrecido por dicho tercer país u organización internacional, con referencia a la existencia o ausencia de una decisión de adecuación por parte de la Comisión o, en el caso de las transferencias contempladas en el artículo 42 o 43, referencia a las garantías adecuadas y a los medios para obtener una copia de las mismas;
g bis) cuando proceda, información sobre la existencia de elaboración de perfiles, de medidas basadas en la elaboración de perfiles, y de los efectos que se prevé que la elaboración de perfiles tenga para el interesado;
g ter) información significativa sobre la lógica utilizada en los tratamientos automatizados;
h) cualquier otra información que resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado, habida cuenta de las circunstancias específicas en que se recojan o traten los datos personales., en particular la existencia de determinadas operaciones y actividades de tratamiento para las que la evaluación de impacto de datos personales haya revelado que puede existir un alto riesgo;
h bis) cuando proceda, información sobre el suministro de datos personales a las autoridades públicas durante el último período consecutivo de 12 meses.
2. Cuando los datos personales se recojan del interesado, el responsable del tratamiento le comunicará, además de la información contemplada en el apartado 1, si el suministro de datos personales es obligatorio o voluntario facultativo, así como las posibles consecuencias de que no se faciliten tales datos.
2 bis. Los responsables del tratamiento deberán tener en cuenta las orientaciones pertinentes contempladas en el artículo 34 a la hora de decidir si cabe disponer de información adicional para que el tratamiento sea leal, conforme a lo dispuesto en el apartado 1, letra h).
3. Cuando los datos personales no se recojan del interesado, el responsable del tratamiento le comunicará, además de la información contemplada en el apartado 1, de qué fuente proceden esos datos personales concretos. Si los datos personales proceden de fuentes de acceso público, se podrá dar una indicación de carácter general.
4. El responsable del tratamiento facilitará la información contemplada en los apartados 1, 2 y 3:
a) en el momento en que los datos personales se obtengan del interesado o, cuando ello no sea posible, sin demora injustificada; o
a bis) a petición de uno de los organismos, organizaciones o asociaciones a que se refiere el artículo 73;
b) cuando los datos personales no se recojan del interesado, en el momento del registro o en un plazo razonable después de la recogida, habida cuenta de las circunstancias específicas en que se obtengan o se sometan a tratamiento de otro modo, o, si se prevé una comunicación transferencia a otro destinatario, y a más tardar en el momento de la primera transferencia; o, si los datos van a utilizarse para comunicarse con el interesado en cuestión, a más tardar en el momento en que los datos se comuniquen por primera vez comunicación con dicho interesado; o.
b bis solo previa petición cuando los datos tratados lo sean por una pequeña empresa o microempresa que trate datos personales únicamente como actividad auxiliar.
5. Las disposiciones de los apartados 1 a 4 no serán aplicables cuando:
a) el interesado ya disponga de la información contemplada en los apartados 1, 2 y 3; o
b) los datos se traten con fines de investigación histórica, estadística o científica y con sujeción a las condiciones y garantías contempladas en los artículos 81 y 83, no se recojan del interesado y la comunicación de dicha información resulte imposible o implique un esfuerzo desproporcionado, y el responsable del tratamiento haya publicado la información para que cualquiera pueda acceder a ella; o
c) los datos no se recojan del interesado y el registro o la comunicación de datos estén expresamente prescritos por la ley por la que se rige el responsable del tratamiento y que contempla las medidas apropiadas para proteger los intereses legítimos del interesado, teniendo en cuenta los riesgos que plantean el tratamiento y la naturaleza de los datos personales; o
d) los datos no se recojan del interesado y la comunicación de dicha información menoscabe los derechos y libertades de terceros otras personas físicas, como se establece en el Derecho de la Unión o de los Estados miembros con arreglo al artículo 21.
d bis) los datos sean tratados por una persona sujeta a un secreto profesional regulado por el Derecho de la Unión o de los Estados miembros o fijado por la ley en el ejercicio de su profesión, o bien se confíen o comuniquen a dicha persona, salvo cuando los datos se recojan directamente del interesado.
6. En el caso contemplado en el apartado 5, letra b), el responsable del tratamiento establecerá las medidas apropiadas para proteger los derechos o intereses legítimos del interesado.
7. La Comisión estará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a fin de especificar los criterios aplicables a las categorías de destinatarios contempladas en el apartado 1, letra f); la obligación de informar sobre las posibilidades de acceso contempladas en el apartado 1, letra g); los criterios aplicables a la obtención de información adicional necesaria contemplada en el apartado 1, letra h), para determinados sectores y situaciones; y las condiciones y garantías apropiadas para las excepciones establecidas en el apartado 5, letra b). Para ello, la Comisión adoptará medidas apropiadas para las microempresas, las pequeñas y medianas empresas.
8. La Comisión podrá establecer formularios normalizados para facilitar la información indicada en los apartados 1 a 3, teniendo en cuenta las características y necesidades específicas de los diferentes sectores y situaciones de tratamiento de datos en caso necesario. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 87, apartado 2. [Enm. 110]
Artículo 15
Derecho de acceso del interesado al acceso y la obtención de los datos
1. A reserva de lo dispuesto en el artículo 12, apartado 4, los interesados que lo soliciten tendrán derecho a obtener del responsable del tratamiento, en cualquier momento, confirmación de si se están tratando o no datos personales que les conciernen. En caso de que se confirme el tratamiento, el responsable facilitará, así como, en un lenguaje claro y llano, la siguiente información:
a) los fines del tratamiento para cada una de las categorías de datos personales;
b) las categorías de datos personales de que se trate;
c) los destinatarios o las categorías de destinatarios a quienes van a comunicarse o han sido comunicados los datos personales, en particular incluidos los destinatarios establecidos en terceros países;
d) el plazo durante el cual se conservarán los datos personales o, cuando esto no sea posible, los criterios utilizados para determinar este plazo;
e) la existencia del derecho a solicitar del responsable del tratamiento la rectificación o supresión de datos personales relativos al interesado o a oponerse al tratamiento de dichos datos;
f) el derecho a presentar una reclamación ante la autoridad de control y los datos de contacto de la misma;
g) la comunicación de los datos personales objeto de tratamiento, así como cualquier información disponible sobre su origen;
h) la importancia y las consecuencias previstas de dicho tratamiento, al menos en el caso de las medidas contempladas en el artículo 20.
h bis) información significativa sobre la lógica utilizada en los tratamientos automatizados;
h ter) sin perjuicio de lo dispuesto en el artículo 21, en caso de comunicación de datos personales a una autoridad pública como consecuencia de la solicitud de una autoridad pública, confirmación de que se ha efectuado dicha solicitud.
2. El interesado tendrá derecho a que el responsable del tratamiento le comunique los datos personales objeto de tratamiento. Cuando el interesado haga la solicitud en formato electrónico, la información se facilitará en ese mismo un formato electrónico estructurado, a menos que el interesado solicite que se proceda de otro modo. Sin perjuicio de lo dispuesto en el artículo 10, el responsable del tratamiento adoptará todas las medidas razonables para comprobar que es el interesado quien solicita el acceso a los datos.
2 bis. Cuando el interesado haya facilitado los datos personales y estos se traten por vía electrónica, el interesado tendrá derecho a obtener del responsable del tratamiento una copia de los datos personales facilitados en un formato electrónico interoperable y comúnmente utilizado que le permita seguir utilizándolos, sin impedimentos por parte del responsable del tratamiento de quien se recuperen los datos personales. Cuando sea técnicamente viable y materialmente posible, los datos se transferirán directamente entre responsables del tratamiento a petición del interesado.
2 ter. El presente artículo se entiende sin perjuicio de la obligación de suprimir los datos cuando ya no sean necesarios conforme a lo dispuesto en el artículo 5, apartado 1, letra e).
2 quater. No se concederá derecho de acceso de conformidad con los apartados 1 y 2 en lo relativo a los datos contemplados en el artículo 14, apartado 5, letra d bis), salvo que el interesado esté facultado para revelar el secreto en cuestión y actúe en consecuencia.
3. La Comisión estará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a fin de precisar los criterios y requisitos aplicables a la comunicación al interesado del contenido de los datos personales contemplada en el apartado 1, letra g).
4. La Comisión podrá especificar formularios y procedimientos normalizados para solicitar y dar acceso a la información contemplada en el apartado 1, en particular con miras a la verificación de la identidad del interesado y la comunicación a este de los datos personales, habida cuenta de las necesidades y características específicas de los distintos sectores y situaciones de tratamiento de datos. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 87, apartado 2. [Enm. 111]
SECCIÓN 3
RECTIFICACIÓN Y SUPRESIÓN
Artículo 16
Derecho de rectificación
El interesado tendrá derecho a obtener del responsable del tratamiento la rectificación de los datos personales que le conciernen cuando tales datos resulten inexactos. El interesado tendrá derecho a que se completen los datos personales cuando estos resulten incompletos, en particular mediante una declaración rectificativa adicional.
Artículo 17
Derecho al olvido y a la supresión
1. El interesado tendrá derecho a que el responsable del tratamiento suprima los datos personales que le conciernen y se abstenga de darles más difusión y, especialmente en lo que respecta en relación con terceros, a que estos supriman todos los enlaces a los datos personales proporcionados por el interesado siendo niño, copias o reproducciones de los mismos, cuando concurra alguna de las circunstancias siguientes:
a) los datos ya no son necesarios en relación con los fines para los que fueron recogidos o tratados;
b) el interesado retira el consentimiento en que se basa el tratamiento de conformidad con lo dispuesto en el artículo 6, apartado 1, letra a), o ha expirado el plazo de conservación autorizado y no existe otro fundamento jurídico para el tratamiento de los datos;
c) el interesado se opone al tratamiento de datos personales con arreglo a lo dispuesto en el artículo 19;
c bis) un órgano jurisdiccional o una autoridad reguladora con sede en la Unión ha resuelto de forma definitiva e irrevocable que han de suprimirse los datos de que se trate;
d) el tratamiento delos datos no es conforme con el presente Reglamento por otros motivos han sido tratados ilícitamente.
1 bis. La aplicación del apartado 1 dependerá de la capacidad del responsable del tratamiento para comprobar que es el interesado quien solicita la supresión de los datos.
2. Cuando el responsable del tratamiento contemplado en el apartado 1 haya hecho públicos los datos personales sin una justificación basada en el artículo 6, apartado 1, adoptará todas las medidas razonables, incluidas medidas técnicas, en lo que respecta a para que los datos sean suprimidos, también por terceros, sin perjuicio de cuya publicación sea responsable, con miras a informar a los terceros que estén tratando dichos datos de que un interesado les solicita que supriman cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos lo dispuesto en el artículo 77. Cuando sea posible, el responsable del tratamiento haya autorizado a un tercero a publicar datos personales, será considerado responsable de esa publicación informará al interesado de las medidas tomadas por los terceros en cuestión.
3. El responsable del tratamiento procederá y, en su caso, el tercero procederán a la supresión sin demora, salvo en la medida en que la conservación de los datos personales sea necesaria:
a) para el ejercicio del derecho a la libertad de expresión de conformidad con lo dispuesto en el artículo 80;
b) por motivos de interés publico en el ámbito de la salud pública de conformidad con lo dispuesto en el artículo 81;
c) con fines de investigación histórica, estadística y científica de conformidad con lo dispuesto en el artículo 83;
d) para el cumplimiento de una obligación legal de conservar los datos personales impuesta por el Derecho de la Unión o de un Estado miembro a la que esté sujeto el responsable del tratamiento; las legislaciones de los Estados miembros deberán perseguir un objetivo de interés público, respetar la esencia del derecho a la protección de datos personales y ser proporcionales a la finalidad legítima perseguida;
e) en los casos contemplados en el apartado 4.
4. En lugar de proceder a la supresión, el responsable del tratamiento limitará el tratamiento de datos personales, de forma que no sean objeto de las operaciones normales de acceso y tratamiento y no puedan volver a modificarse, cuando:
a) el interesado impugne su exactitud, durante un plazo que permita al responsable del tratamiento verificar la exactitud de los datos;
b) el responsable del tratamiento ya no necesite los datos personales para la realización de su misión, pero estos deban conservarse a efectos probatorios;
c) el tratamiento sea ilícito y el interesado se oponga a su supresión y solicite en su lugar la limitación de su uso;
c bis) un órgano jurisdiccional o una autoridad reguladora con sede en la Unión haya resuelto de forma definitiva e irrevocable que ha de limitarse el tratamiento de los datos de que se trate;
d) el interesado solicite la transmisión de los datos personales a otro sistema de tratamiento automatizado de conformidad con lo dispuesto en el artículo 18, apartado 2. 15, apartado 2 bis;
d bis) el tipo determinado de tecnología de conservación de los datos no permita su supresión, siempre que dicha tecnología se hubiese puesto en práctica antes de la entrada en vigor del presente Reglamento.
5. Con excepción de su conservación, los datos personales contemplados en el apartado 4 solo podrán ser objeto de tratamiento a efectos probatorios, o con el consentimiento del interesado, o con miras a la protección de los derechos de otra persona física o jurídica o en pos de un objetivo de interés público.
6. Cuando el tratamiento de datos personales esté limitado de conformidad con lo dispuesto en el apartado 4, el responsable del tratamiento informará al interesado antes de levantar la limitación al tratamiento.
7. El responsable del tratamiento implementará mecanismos para garantizar que se respetan los plazos fijados para la supresión de datos personales y/o para el examen periódico de la necesidad de conservar los datos.
8. Cuando se hayan suprimido datos, el responsable del tratamiento no someterá dichos datos personales a ninguna otra forma de tratamiento.
8 bis. El responsable del tratamiento implementará mecanismos para garantizar que se respetan los plazos fijados para la supresión de los datos personales, así como para el examen periódico de la necesidad de conservar los datos.
9. La Comisión estará facultada, tras haber solicitado un dictamen al Consejo Europeo de Protección de Datos, para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a fin de especificar:
a) los criterios y requisitos relativos a la aplicación del apartado 1 en sectores y situaciones específicos de tratamiento de datos;
b) las condiciones para la supresión de enlaces, copias o réplicas de datos personales procedentes de servicios de comunicación accesibles al público a que se refiere el apartado 2;
c) los criterios y condiciones para limitar el tratamiento de datos personales contemplados en el apartado 4. [Enm. 112]
Artículo 18
Derecho a la portabilidad de los datos
1. Cuando se traten datos personales por vía electrónica en un formato estructurado y comúnmente utilizado, el interesado tendrá derecho a obtener del responsable del tratamiento una copia de los datos objeto de tratamiento en un formato electrónico estructurado y comúnmente utilizado que le permita seguir utilizándolos.
2. Cuando el interesado haya facilitado los datos personales y el tratamiento se base en el consentimiento o en un contrato, tendrá derecho a transmitir dichos datos personales y cualquier otra información que haya facilitado y que se conserve en un sistema de tratamiento automatizado a otro sistema en un formato electrónico comúnmente utilizado, sin impedimentos por parte del responsable del tratamiento de quien se retiren los datos personales.
3. La Comisión podrá especificar el formato electrónico contemplado en el apartado 1 y las normas técnicas, modalidades y procedimientos para la transmisión de datos personales de conformidad con lo dispuesto en el apartado 2. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 87, apartado 2. [Enm. 113]
SECCIÓN 4
DERECHO DE OPOSICIÓN Y ELABORACIÓN DE PERFILES
Artículo 19
Derecho de oposición
1. El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales sean objeto de un tratamiento basado en el artículo 6, apartado 1, letras d),y e) y f), salvo que el responsable del tratamiento acredite motivos imperiosos y legítimos para el tratamiento que prevalezcan sobre los intereses o los derechos y libertades fundamentales del interesado.
2. Cuando el tratamiento de datos personales se base en el artículo 6, apartado 1, letra f, tenga por objeto la mercadotecnia directa, el interesado tendrá en cualquier momento, y sin necesidad de justificaciôn, sin que ello le suponga gasto alguno, derecho,a oponerse al tratamiento de sus datos personales sin que ello le suponga gasto alguno, en general o para cualquier fin en particular. destinado a dicha mercadotecnia directa. Este derecho se ofrecerá explícitamente al interesado de manera inteligible y será claramente distinguible de cualquier otra información.
2 bis. El derecho al que se refiere el apartado 2 se ofrecerá explícitamente al interesado de manera inteligible, haciendo uso de un lenguaje claro y sencillo, en particular cuando la información se dirija específicamente a niños, y será claramente distinguible de cualquier otra información.
2 ter. En el contexto de la utilización de servicios de la sociedad de la información, y no obstante lo dispuesto en la Directiva 2002/58/CE, el derecho a oponerse podrá ejercerse mediante medios automatizados con una norma técnica que permita que el interesado manifieste claramente sus deseos.
3. Cuando se formule una oposición de conformidad con lo dispuesto en los apartados 1 y 2, el responsable del tratamiento dejará de usar o tratar de cualquier otra forma los datos personales en cuestión para los fines determinados en la oposición. [Enm. 114]
Artículo 20
Medidas basadas en la Elaboración de perfiles
1. Sin perjuicio de lo dispuesto en el artículo 6, toda persona física tendrá derecho a no ser objeto de una medida que produzca efectos jurídicos que le conciernan o le afecten de manera significativa y que se base únicamente en un tratamiento automatizado destinado a evaluar determinados aspectos personales propios de dicha persona física o a analizar o predecir en particular su rendimiento profesional, su situación económica, su localización, su estado de salud, sus preferencias personales, su fiabilidad o su comportamiento oponerse a la elaboración de perfiles de conformidad con el artículo 19. Se informará al interesado de dicho derecho de oposición a la elaboración de perfiles de un modo claramente visible.
2. A reserva de las demás disposiciones del presente Reglamento, una persona solo podrá ser objeto de una medida del tipo contemplado en el apartado 1 elaboración de perfiles que dé lugar a medidas que produzcan efectos jurídicos que atañan al interesado o afecten de modo similar y significativo a sus intereses, derechos o libertades si el tratamiento:
a) se lleva a cabo en el marco dees necesario para la celebración o la ejecución de un contrato, cuando la solicitud de celebración o ejecución del contrato presentada por el interesado haya sido satisfecha, a condición de que o se hayan invocado medidas adecuadas para salvaguardar los intereses legítimos del interesado, como el derecho a obtener una intervención humana; o
b) está expresamente autorizado por el Derecho de la Unión o de un Estado miembro que establezca igualmente medidas adecuadas para salvaguardar los intereses legítimos del interesado; o
c) se basa en el consentimiento del interesado, a reserva de las condiciones establecidas en el artículo 7 y de garantías adecuadas.
3. Queda prohibida la elaboración de perfiles que tenga como efecto la discriminación de las personas por su origen étnico o racial, sus opiniones políticas, su religión o creencias, su afiliación sindical, su orientación sexual o su identidad de género, o que produzca medidas que tengan este efecto. El tratamiento automatizado de datos personales destinado a evaluar determinados aspectos personales propios de una persona física aplicará unas medidas de protección efectivas contra una posible discriminación derivada de la elaboración de perfiles. La elaboración de perfiles no se basará únicamente en las categorías especiales de datos personales contempladas en el artículo 9.
4. En los casos contemplados en el apartado 2, la información que debe facilitar el responsable del tratamiento en virtud del artículo 14 incluirá información sobre la existencia del tratamiento por una medida del tipo contemplado en el apartado 1 y los efectos previstos de dicho tratamiento en el interesado.
5. La Comisión estará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a fin de especificar los criterios y condiciones aplicables a elaboración de perfiles que dé lugar a medidas que produzcan efectos jurídicos que atañan al interesado o afecten de modo similar y significativo a sus intereses, derechos o libertades no se basarán ni única ni predominantemente en un tratamiento automatizado, e incluirán una evaluación humana, incluida una explicación de la decisión alcanzada tras dicha evaluación. Las medidas adecuadas para salvaguardar los intereses legítimos del interesado contempladas en el apartado 2 incluirán el derecho a obtener una evaluación humana y una explicación de la decisión alcanzada tras dicha evaluación.
5 bis. Se encomendará al Consejo Europeo de Protección de Datos la función de publicar directrices, recomendaciones y mejores prácticas de conformidad con el artículo 66, apartado 1, letra b), a fin de especificar los criterios y condiciones aplicables a la elaboración de perfiles en virtud del apartado 2. [Enm. 115]
SECCIÓN 5
Limitaciones
Artículo 21
Limitaciones
1. El Derecho de la Unión o de los Estados miembros podrá limitar, por medio de medidas legislativas, el alcance de las obligaciones y de los derechos previstos contemplados en el artículo 5, letras a) a e), en los artículos 11 a 20 y en el artículo 19 y 32, cuando tal limitación cumpla un objetivo claramente definido de interés público, respete la esencia del derecho a la protección de los datos personales, sea proporcionada al objetivo legítimo perseguido y respete los intereses y derechos fundamentales del interesado, y constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar:
a) la seguridad pública;
b) la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales;
c) otros intereses públicos de la Unión o de un Estado miembro, en particular un interés económico o financiero importante de la Unión o de un Estado miembro, especialmente en los ámbitos fiscal, presupuestario y monetario, así como la protección de la estabilidad y la integridad de los mercadoslos aspectos fiscales;
d) la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas;
e) una función reglamentaria, de inspección o de supervisión relacionada, incluso ocasionalmente, con en el marco del ejercicio de la autoridad pública competente en los casos contemplados en las letras a), b), c) y d);
f) la protección del interesado o de los derechos y libertades de otras personas.
2. Cualquier medida legislativa contemplada en el apartado 1 deberá ser necesaria y proporcionada en una sociedad democrática y contendrá, en particular, disposiciones específicas al menos en lo tocante a los objetivos del tratamiento y a la identificación del responsable del tratamiento.:
a) los objetivos del tratamiento;
b) la identificación del responsable del tratamiento;
c) los objetivos y los medios específicos del tratamiento;
d) las garantías para evitar accesos o transferencias ilícitos o abusivos;
e) el derecho de los interesados a ser informados sobre las limitaciones.
2 bis. Las medidas legislativas mencionadas en el apartado 1 no permitirán que responsables del tratamiento privados conserven datos que no sean estrictamente necesarios para el propósito original, ni les obligarán a ello. [Enm. 116]
CAPÍTULO IV
RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO
SECCIÓN 1
OBLIGACIONES GENERALES
Artículo 22
Obligaciones del responsable del tratamiento
1. El responsable del tratamiento adoptará políticas adecuadas e implementará medidas técnicas y organizativas apropiadas y verificables para asegurar y poder demostrar de forma transparente que el tratamiento de datos personales se lleva lleve a cabo de conformidad con el presente Reglamento, teniendo en cuenta las técnicas existentes, la naturaleza del tratamiento de los datos personales, el contexto, el alcance y los fines del tratamiento, los riesgos para los derechos y libertades de los interesados, y el tipo de organización, y ello tanto en el momento de determinar los medios del tratamiento como en el momento del tratamiento propiamente dicho.
1 bis. Habida cuenta de las técnicas existentes y de los costes asociados a su implementación, el responsable del tratamiento tomará todas las medidas razonables para aplicar políticas y procedimientos de control del cumplimiento que respeten sistemáticamente las decisiones autónomas de los interesados. Estas políticas de control del cumplimiento se revisarán al menos cada dos años y se actualizarán cuando sea necesario.
2. Las medidas previstas en el apartado 1 incluirán, en particular:
a) la conservación de la documentación con arreglo a lo dispuesto en el artículo 28;
b) la implementación de los requisitos en materia de seguridad de los datos establecidos en el artículo 30;
c) la realización de una evaluación de impacto en relación con la protección de datos con arreglo a lo dispuesto en el artículo 33;
d) el cumplimiento de los requisitos en materia de autorización o consulta previas de la autoridad de control con arreglo a lo dispuesto en el artículo 34, apartados 1 y 2;
e) la designación de un delegado de protección de datos con arreglo a lo dispuesto en el artículo 35, apartado 1.
3. El responsable del tratamiento implementará mecanismos para verificar deberá poder demostrar la idoneidad y la eficacia de las medidas contempladas en los apartados 1 y 2. Siempre que no sea desproporcionado, estas verificaciones serán llevadas a cabo por auditores independientes internos o externos Todos los informes de actividad periódicos del responsable del tratamiento, como los informes obligatorios de las sociedades con cotización oficial, contendrán una descripción sucinta de las políticas y medidas a que se refiere el apartado 1.
3 bis. El responsable del tratamiento tendrá derecho a transmitir datos personales dentro de la Unión en seno del grupo de empresas al que pertenezca, cuando su tratamiento sea necesario para fines administrativos internos legítimos entre sectores de actividades conexos del grupo de empresas y se garantice un nivel adecuado de protección de datos, junto con los intereses de los interesados, mediantes disposiciones internas de protección de datos o códigos de conducta equivalentes a los que se refiere el artículo 38.
4. La Comisión estará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a fin de especificar cualesquiera otros criterios y requisitos aplicables a las medidas apropiadas contempladas en el apartado 1, distintas de las ya mencionadas en el apartado 2, las condiciones para los mecanismos de verificación y auditoría contemplados en el apartado 3 y el criterio de proporcionalidad en virtud del apartado 3, y de considerar la adopción de medidas específicas para las microempresas y las pequeñas y medianas empresas. [Enm. 117]
Artículo 23
Protección de datos desde el diseño y por defecto
1. Habida cuenta de las técnicas existentes, de los conocimientos técnicos actuales, de las mejores prácticas a escala internacional y de los costes asociados a su implementación riesgos que representa el tratamiento de datos, el responsable y, en su caso, el encargado del tratamiento implementará implementarán, tanto en el momento de la determinación de los fines y medios de del tratamiento como en el del tratamiento propiamente dicho, medidas y procedimientos técnicos y organizativos apropiados y proporcionados, de manera que el tratamiento sea conforme con las disposiciones del presente Reglamento y garantice la protección de los derechos del interesado, en particular en relación con los principios establecidos en el artículo 5. La protección de los datos desde el diseño prestará especial atención a toda la gestión del ciclo de vida de los datos personales desde su recogida hasta su tratamiento y supresión, centrándose sistemáticamente en proporcionar amplias garantías procesales respecto de la exactitud, la confidencialidad, la integridad, la seguridad física y la supresión de los datos personales. Cuando el responsable del tratamiento haya llevado a cabo una evaluación de impacto relativa a la protección de datos con arreglo a lo dispuesto en el artículo 33, los resultados de dicha evaluación se tendrán en cuenta a la hora de desarrollar tales medidas y procedimientos.
1 bis. Con objeto de fomentar su aplicación generalizada en diferentes sectores económicos, la protección de datos desde el diseño constituirá un requisito previo para las licitaciones de contratos públicos de conformidad con la Directiva 2004/18/CE del Parlamento Europeo y del Consejo(18) y con la Directiva 2004/17/CE del Parlamento Europeo y del Consejo(19) (Directiva de servicios públicos).
2. El responsable del tratamiento implementará mecanismos con miras a garantizar garantizará que, por defecto, solo sean objeto de tratamiento los datos personales necesarios para cada fin específico del tratamiento y, especialmente, que no se recojan, conserven niconservendivulguen conserven más allá del mínimo necesario para esos fines, tanto por lo que respecta a la cantidad de los datos como a la duración de su conservación. En concreto, estos mecanismos garantizarán que, por defecto, los datos personales no sean accesibles a un número indeterminado de personas y que los interesados puedan controlar la difusión de sus datos personales.
3. La Comisión estará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a fin de especificar cualesquiera nuevos criterios y requisitos aplicables a las medidas y mecanismos apropiados contemplados en los apartados 1 y 2, en particular en lo que respecta a los requisitos en materia de protección de datos desde el diseño aplicables en el conjunto de los sectores, productos y servicios.
4. La Comisión podrá definir normas técnicas para los requisitos establecidos en los apartados 1 y 2. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 87, apartado 2. [Enm. 118]
Artículo 24
Corresponsables del tratamiento
Cuando un responsable varios responsables del tratamiento determine, determinen conjuntamente con otros, los fines, las condiciones y los medios del tratamiento de datos personales, los dichos corresponsables determinarán también, por mutuo acuerdo, cuáles son sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el presente Reglamento, en particular por lo que hace se refiere a los procedimientos y mecanismos para el ejercicio de derechos del interesado. Dicho acuerdo reflejará debidamente los respectivos papeles de los corresponsables del tratamiento y sus relaciones con los interesados, y el contenido esencial del mismo se pondrá a disposición del interesado. En caso de que la responsabilidad no pueda determinarse con certeza, los responsables del tratamiento responderán solidariamente. [Enm. 119]
Artículo 25
Representantes de los responsables del tratamiento no establecidos en la Unión
1. En el caso contemplado en el artículo 3, apartado 2, el responsable del tratamiento designará un representante en la Unión.
2. Esta obligación no será aplicable a:
a) un responsable del tratamiento establecido en un tercer país cuando la Comisión haya decidido que ese tercer país garantiza un nivel de protección adecuado de conformidad con lo dispuesto en el artículo 41; o
b) una empresa que empleeun responsable del tratamiento que trate datos personales relativos a menos de doscientas cincuenta personas 5 000 interesados durante un período consecutivo de doce meses y que no trate las categorías especiales de datos personales contempladas en el artículo 9, apartado 1, ni datos de localización ni datos relativos a niños o a empleados en ficheros a gran escala; o
c) una autoridad u organismo públicos; o
d) un responsable del tratamiento que solo ofrezca ocasionalmente bienes o servicios a interesados residentes en la Unión, salvo que el tratamiento de datos personales se refiera a las categorías especiales de datos personales contempladas en el artículo 9, apartado 1, a datos de localización o a datos relativos a niños o a empleados en ficheros a gran escala.
3. El representante deberá estar establecido en uno de los Estados miembros en los que residan los interesados cuyos datos personales son objeto de tratamiento en el contexto de una tenga lugar la oferta de bienes o servicios a los interesados, o cuyo comportamiento esté siendo controlado el control de estos.
4. La designación de un representante por el responsable del tratamiento se entenderá sin perjuicio de las acciones legales que pudieran emprenderse contra el propio responsable del tratamiento. [Enm. 120]
Artículo 26
Encargado del tratamiento
1. Cuando una operación de tratamiento vaya a ser llevadallevado a cabo por cuenta de un responsable del tratamiento, este elegirá un encargado del tratamiento que ofrezca garantías suficientes para implementar medidas y procedimientos técnicos y organizativos apropiados, de manera que el tratamiento sea conforme con las disposiciones del presente Reglamento y garantice la protección de los derechos del interesado, en particular en lo que respecta a las medidas de seguridad técnica y organizativas que rigen el tratamiento que vaya a efectuarse, y velará por que se cumplan dichas medidas.
2. La realización del tratamiento por un encargado se regirá por un contrato u otro acto jurídico que vincule al encargado del tratamiento con el responsable del tratamiento y que disponga, en particular, que el encargado del tratamiento.El responsable y el encargado podrán determinar libremente sus respectivos papeles y tareas con respecto a los requisitos del presente Reglamento, y dispondrán:
a) actuaráprocesará datos personales únicamente siguiendo instrucciones del responsable del tratamiento, en particular cuando la transferencia de los datos personales utilizados esté prohibida, a menos que se exija de otro modo en el Derecho de la Unión o del Estado miembro;
b) empleará únicamente personal que se haya comprometido a respetar la confidencialidad o esté sujeto a una obligación legal de confidencialidad;
c) tomará todas las medidas necesarias de conformidad con lo dispuesto en el artículo 30;
d) solo recurrirádeterminará las condiciones para recurrir a otro encargado del tratamiento solo con la autorización previa del responsable del tratamiento, a menos que se determine de otro modo;
e) en la medida de lo posible, y teniendo en cuenta la naturaleza del tratamiento, creará, de acuerdo con el responsable del tratamiento, las condiciones técnicas y organizativas necesariasadecuadas y pertinentes para permitir al responsable del tratamiento cumplir su obligación de dar curso a las solicitudes que le dirijan los interesados en el ejercicio de sus derechos establecidos en el capítulo III;
f) ayudará al responsable del tratamiento a garantizar el cumplimiento de las obligaciones previstas en los artículos 30 a 34, teniendo en cuenta el carácter del tratamiento y la información a disposición del encargado del tratamiento;
g) transmitirádevolverá todos los resultados al responsable del tratamiento al término de este y se abstendrá de someter los datos personales a otros tratamientos y borrará las copias existentes a menos que el Derecho de la Unión o del Estado miembro exijan almacenar los datos;
h) pondrá a disposición del responsable del tratamiento y de la autoridad de control toda la información necesaria para controlardemostrar el cumplimiento de las obligaciones establecidas en el presente artículo y permitirá inspecciones in situ.
3. El responsable y el encargado del tratamiento documentarán por escrito las instrucciones del responsable y las obligaciones del encargado contempladas en el apartado 2.
3 bis. Las garantías suficientes a que se hace referencia en el apartado 1 pueden demostrarse mediante el cumplimiento de códigos de conducta o mecanismos de certificación de conformidad con los artículos 38 y 39 del presente Reglamento.
4. Si un encargado del tratamiento trata datos personales sin seguir las instrucciones del responsable del tratamiento o se convierte en parte determinante en relación con los fines y los medios del tratamiento de datos, el encargado será considerado responsable del tratamiento con respecto a ese tratamiento y estará sujeto a las normas aplicables a los corresponsables del tratamiento establecidas en el artículo 24.
5. La Comisión estará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a fin de especificar los criterios y requisitos aplicables a las responsabilidades, funciones y tareas de un encargado del tratamiento de conformidad con lo dispuesto en el apartado 1, así como las condiciones que permitan facilitar el tratamiento de datos personales en un grupo de empresas, en particular a efectos de control y presentación de informes. [Enm. 121]
Artículo 27
Tratamiento bajo la autoridad del responsable y del encargado del tratamiento
El encargado del tratamiento, así como cualquier persona que actúe bajo la autoridad del responsable o del encargado del tratamiento, que tenga acceso a datos personales solo podrá someterlos a tratamiento siguiendo instrucciones del responsable del tratamiento, a menos que esté obligado a hacerlo por el Derecho de la Unión o de un Estado miembro.
Artículo 28
Documentación
1. Cada responsable y cada encargado del tratamiento, así como, en su caso, el representante del responsable, deberán conservar la documentación de todas las operaciones de tratamiento efectuadas bajo su responsabilidad, actualizada periódicamente, que sea necesaria para cumplir los requisitos que se establecen en el presente Reglamento.
2. Asimismo, cada responsable y cada encargado deberá conservar la documentación deberá contener, como mínimo,de la información siguiente:
a) el nombre y los datos de contacto del responsable del tratamiento, o de cualquier corresponsable o coencargado del tratamiento, y del representante, si lo hubiera;
b) el nombre y los datos de contacto del delegado de protección de datos, si lo hubiera;
c) los fines del tratamiento, en particular los intereses legítimos perseguidos por el responsable del tratamiento, cuando el tratamiento se base en el artículo 6, apartado 1, letra f);
d) una descripción de las categorías de interesados y de las categorías de datos personales que les conciernen;
e) los destinatarios o las categorías de destinatarios de los datos personales, incluidosel nombre y los datos de contacto de los responsables del tratamiento a quienes se comuniquen datos personales por el interés legítimo que persiguen;
f) en su caso, las transferencias de datos a un tercer país o a una organización internacional, incluido el nombre de dicho tercer país o de dicha organización internacional y, en el caso de las transferencias contempladas en el artículo 44, apartado 1, letra h), la documentación de garantías apropiadas;
g) una indicación general de los plazos establecidos para la supresión de las diferentes categorías de datos;
h) la descripción de los mecanismos contemplados en el artículo 22, apartado 3.
3. El responsable y el encargado del tratamiento, así como el representante del responsable, si lo hubiera, pondrán la documentación a disposición de la autoridad de control, a solicitud de esta.
4. Las obligaciones contempladas en los apartados 1 y 2 no serán aplicables a los responsables y los encargados del tratamiento siguientes:
a) personas físicas que traten datos personales sin un interés comercial; o
b) empresas u organizaciones que empleen a menos de doscientas cincuenta personas y que traten datos personales solo como actividad accesoria a sus actividades principales.
5. La Comisión estará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a fin de especificar los criterios y requisitos aplicables a la documentación a que se refiere el apartado 1, para tener en cuenta, en particular, las obligaciones del responsable y del encargado del tratamiento y, si lo hubiera, del representante del responsable.
6. La Comisión podrá establecer formularios normalizados para la documentación contemplada en el apartado 1. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 87, apartado 2.[Enm. 122]
Artículo 29
Cooperación con la autoridad de control
1. El responsable y, si lo hubiera, el encargado del tratamiento, así como el representante del responsable, si lo hubiera, cooperarán con la autoridad de control, si así lo solicita esta, en el desempeño de sus funciones, en particular facilitando la información contemplada en el artículo 53, apartado 2, letra a), y el acceso dispuesto en la letra b) de dicho apartado.
2. Cuando la autoridad de control ejerza los poderes que le son conferidos en virtud del artículo 53, apartado 2, el responsable y el encargado del tratamiento responderán a la autoridad de control dentro de un plazo razonable que será fijado por esta. La respuesta deberá incluir una descripción de las medidas adoptadas y los resultados obtenidos, en respuesta a las observaciones formuladas por la autoridad de control.[Enm. 123]
SECCIÓN 2
SEGURIDAD DE LOS DATOS
Artículo 30
Seguridad del tratamiento
1. El responsable y el encargado del tratamiento implementarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en relación con los riesgos que entrañe el tratamiento y la naturaleza de los datos personales que deban protegerse,tomando en consideración los resultados de una evaluación de impacto relativa a la protección de datos con arreglo al artículo 33, habida cuenta de las técnicas existentes y de los costes asociados a su implementación.
1 bis. Habida cuenta de las técnicas existentes y de los costes asociados a su implementación, dicha política de seguridad incluirá:
a) la capacidad de garantizar que se valida la integridad de los datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de tratamiento de datos personales;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos de manera oportuna en caso de un incidente físico o técnico que afecte a la disponibilidad, integridad y confidencialidad de los sistemas y servicios de información;
d) en caso de tratamiento de datos personales sensibles de conformidad con los artículos 8 y 9, medidas de seguridad adicionales para garantizar el conocimiento de la situación de los riesgos y la capacidad de adoptar medidas preventivas, correctoras y de mitigación casi en tiempo real contra la vulnerabilidad o incidentes detectados que puedan presentar un riesgo para los datos;
e) un proceso para comprobar y evaluar periódicamente la eficacia de las políticas, procedimientos y planes de seguridad establecidos para garantizar la eficacia continua.
2. A raíz de una evaluación de los riesgos, el responsable y el encargado del tratamiento adoptarán las medidas contempladas en el apartado 1 a fin de proteger los datos personales contra su destrucción accidental o ilícita, o su pérdida accidental, y de impedir cualquier forma de tratamiento ilícito, en particular la comunicación, la difusión o el acceso no autorizados o la alteración de los datos personales., como mínimo:
a) garantizarán que solo el personal autorizado tenga acceso a los datos personales para fines autorizados por la ley;
b) protegerán los datos personales almacenados o transmitidos contra su destrucción accidental o ilícita, su pérdida o alteración accidentales y el almacenamiento, tratamiento, acceso o comunicación no autorizados o ilícitos; y
c) garantizarán la aplicación de una política de seguridad con respecto al tratamiento de los datos personales.
3. La Comisión estará facultada para adoptar actos delegados de conformidad con lo dispuesto en el artículo 86, a fin de especificar los criterios y condiciones aplicables aSe encomendará al Consejo Europeo de Protección de Datos la tarea de publicar directrices, recomendaciones y mejores prácticas, de conformidad con el artículo 66, apartado 1, letra b),para las medidas técnicas y organizativas contempladas en los apartados 1 y 2, incluida la determinación de cuáles son las técnicas existentes, para sectores específicos y en situaciones de tratamiento de datos específicas, habida cuenta en particular de la evolución de la tecnología y de las soluciones de privacidad desde el diseño y la protección de datos por defecto, salvo que sea de aplicación el apartado 4.
4. La Comisión podrá adoptar, en su caso, actos de ejecución para especificar los requisitos establecidos en los apartados 1 y 2 en distintas situaciones, en particular a fin de:
a) impedir cualquier acceso no autorizado a datos personales;
b) impedir cualquier forma no autorizada de comunicación, lectura, copia, modificación, supresión o cancelación de datos personales;
c) garantizar la verificación de la legalidad de las operaciones de tratamiento.
Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 87, apartado 2. [Enm. 124]
Artículo 31
Notificación de una violación de datos personales a la autoridad de control
1. En caso de violación de datos personales, el responsable del tratamiento la notificará a la autoridad de control sin demora injustificada y, de ser posible, a más tardar veinticuatro horas después de que haya tenido constancia de ella. Si no se hace en el plazo de veinticuatro horas, la notificación a la autoridad de control irá acompañada de una justificación motivada.
2. Con arreglo a lo dispuesto en el artículo 26, apartado 2, letra f), El encargado del tratamiento alertará e informará al responsable del tratamiento inmediatamentesin demora injustificada después de que haya constatado una violación de datos personales.
3. La notificación contemplada en el apartado 1 deberá, al menos:
a) describir la naturaleza de la violación de datos personales, en particular las categorías y el número de interesados afectados, y las categorías y el número de registros de datos de que se trate;
b) comunicar la identidad y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
c) recomendar medidas tendentes a atenuar los posibles efectos negativos de la violación de datos personales;
d) describir las consecuencias de la violación de datos personales;
e) describir las medidas propuestas o adoptadas por el responsable del tratamiento para poner remedio a la violación de datos personales y mitigar sus efectos.
Si es necesario, puede facilitarse la información por fases.
4. El responsable del tratamiento documentará cualquier violación de datos personales, indicando su contexto, sus efectos y las medidas correctivas adoptadas. Esta documentación deberá ser suficiente para permitir a la autoridad de control verificar el cumplimiento de las disposiciones del presente artículo y del artículo 30. Solo incluirá la información necesaria a tal efecto.
4 bis. La autoridad de control mantendrá un registro público de los tipos de violaciones notificadas.
5. La Comisión estará facultada para adoptar actos delegados,Se encomendará al Consejo Europeo de Protección de Datosla tarea de publicar directrices, recomendaciones y mejores prácticas, de conformidad con lo dispuesto en el artículo 86 66, apartado 1, letra b), a fin de especificar los criterios y requisitos aplicables a constatar la constatación de la violación de datos y determinar la demora injustificada contemplada en los apartados 1 y 2 y en relación con las circunstancias particulares en las que se exige a un responsable y un encargado del tratamiento notificar la violación de datos personales.
6. La Comisión podrá definir el formato normalizado de dicha notificación a la autoridad de control, los procedimientos aplicables al requisito de notificación y la forma y las modalidades de la documentación contemplada en el apartado 4, incluidos los plazos para la supresión de la información que figura en ella. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 87, apartado 2.[Enm. 125]
Artículo 32
Comunicación de una violación de datos personales al interesado
1. Cuando sea probable que la violación de datos personales afecte negativamente a la protección de los datos personales o a la privacidad, a los derechos o a los intereses legítimos del interesado, el responsable del tratamiento, después de haber procedido a la notificación contemplada en el artículo 31, comunicará al interesado, sin demora injustificada, la violación de datos personales.
2. La comunicación al interesado contemplada en el apartado 1 será completa y utilizará un lenguaje claro y sencillo describirá la naturaleza de la violación de datos personales y contendrá, al menos, la información y las recomendaciones previstas el artículo 31, apartado 3, letras b),y c) y d), y la información acerca de los derechos del interesado, incluido el derecho de recurso.
3. La comunicación de una violación de datos personales al interesado no será necesaria si el responsable del tratamiento demuestra, a satisfacción de la autoridad de control, que ha implementado medidas de protección tecnológica apropiadas y que estas medidas se han aplicado a los datos afectados por la violación. Dichas medidas de protección tecnológica deberán hacer ininteligibles los datos para cualquier persona que no esté autorizada a acceder a ellos.
4. Sin perjuicio de la obligación del responsable del tratamiento de comunicar al interesado la violación de datos personales, si aquel no hubiera comunicado ya al interesado la violación de datos personales, la autoridad de control, una vez considerados los efectos negativos probables de la violación, podrá exigirle que lo haga.
5. La Comisión estará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a fin de especificar los criterios y requisitosSe encomendará al Consejo Europeo de Protección de Datos la tarea de publicar directrices, recomendaciones y mejores prácticas, de conformidad con el artículo 66, apartado 1, letra b), en relación con las circunstancias en que es probable que una violación de datos personales afecte negativamente a los datos personales, la privacidad, los derechos o los intereses legítimos del interesado contemplados en el apartado 1.
6. La Comisión podrá determinar el formato de la comunicación al interesado contemplada en el apartado 1 y los procedimientos aplicables a la misma. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 87, apartado 2.[Enm. 126]
Artículo 32 bis
Análisis de riesgos
1. El responsable o, cuando proceda, el encargado del tratamiento llevarán a cabo un análisis de riesgos de los efectos potenciales del tratamiento de datos previsto sobre los derechos y las libertades de los interesados, y valorarán si es probable que las operaciones de tratamiento presenten riesgos específicos.
2. Las operaciones de tratamiento siguientes es probable que presenten riesgos específicos:
a) el tratamiento de datos personales de más de 5 000 interesados durante un periodo consecutivo de 12 meses;
b) el tratamiento de categorías especiales de datos personales contempladas en el artículo 9, apartado 1, datos de localización o datos relativos a niños o a empleados en ficheros a gran escala;
c) la elaboración de perfiles sobre la base de la cual se adopten medidas que produzcan efectos jurídicos que atañan o de manera similar afecten significativamente a la persona;
d) el tratamiento de datos personales para la prestación de atención sanitaria, investigaciones epidemiológicas o estudios relativos a enfermedades mentales o infecciosas, cuando los datos sean tratados con el fin de tomar medidas o decisiones sobre personas concretas a gran escala;
e) el seguimiento automatizado de zonas de acceso público a gran escala;
f) otras operaciones de tratamiento para las cuales sea necesaria la consulta del delegado de protección de datos o de la autoridad de control con arreglo a lo dispuesto en el artículo 34, apartado 2, letra b);
g) una violación de los datos personales que probablemente afecte negativamente a la protección de los datos personales, la privacidad, los derechos o los intereses legítimos del interesado;
h) las actividades principales del responsable o del encargado del tratamiento consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran un seguimiento periódico y sistemático de los interesados;
i) la facilitación de datos personales a un gran número de personas que no cabe esperar razonablemente que sea limitado.
3. De conformidad con el resultado del análisis de riesgos:
a) cuando se produzca cualquiera de las operaciones de tratamiento mencionadas en las letras a) o b) del apartado 2, los responsables que no estén establecidos en la Unión designarán a un representante en la Unión con arreglo a los requisitos y las excepciones que se fijan en el artículo 25;
b) cuando se produzca cualquiera de las operaciones de tratamiento mencionadas en las letras a), b) o h) del apartado 2, el responsable designará a un delegado de protección de datos con arreglo a los requisitos y las excepciones que se fijan en el artículo 35;
c) cuando se produzca cualquiera de las operaciones de tratamiento mencionadas en las letras a), b), c), d), e), f), g) o h) del apartado 2, el responsable o el encargado del tratamiento que actúe por cuenta del responsable llevarán a cabo una evaluación del impacto sobre la protección de datos según lo dispuesto en el artículo 33;
d) cuando se produzcan las operaciones de tratamiento mencionadas en la letra f) del apartado 2, el responsable consultará al delegado de protección de datos o, en caso de que no se haya designado uno, a la autoridad de control de conformidad con el artículo 34.
4. El análisis de riesgos se revisará a más tardar un año después, o inmediatamente si la naturaleza, el alcance o los fines de las operaciones de tratamiento de datos cambian significativamente. Cuando, con arreglo a la letra c) del apartado 3, el responsable no esté obligado a efectuar una evaluación de los efectos sobre la protección de datos, se documentará el análisis de riesgos. [Enm. 127]
SECCIÓN 3
EVALUACIÓN DE IMPACTO RELATIVA AGESTIÓN DE LA PROTECCIÓN DE DATOS Y AUTORIZACIÓN PREVIADURANTE EL CICLO DE VIDA [Enm. 128]
Artículo 33
Evaluación de impacto relativa a la protección de datos
1. Cuando las operaciones de tratamiento entrañen riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o finessea necesario de conformidad con el artículo 32 bis, apartado 3, letra c), el responsable o el encargado del tratamiento que actúe por cuenta del responsable llevarán a cabo una evaluación del impacto de las operaciones de tratamiento previstas en los derechos y las libertades de los interesados, en especial su derecho a la protección de datos personales. Una única evaluación debe bastar para abordar una serie de operaciones de tratamiento similares que planteen riesgos similares.
2. Las siguientes operaciones de tratamiento, en particular, entrañan los riesgos específicos contemplados en el apartado 1:
a) la evaluación sistemática y exhaustiva de los aspectos personales propios de una persona física o destinada a analizar o a predecir, en particular, su situación económica, localización, estado de salud, preferencias personales, fiabilidad o comportamiento, que se base en un tratamiento automatizado y sobre la base de la cual se tomen medidas que produzcan efectos jurídicos que atañan o afecten significativamente a dicha persona;
b) el tratamiento a gran escala de información sobre la vida sexual, la salud, la raza y el origen étnico o destinada a la prestación de atención sanitaria, investigaciones epidemiológicas o estudios relativos a enfermedades mentales o infecciosas, cuando los datos sean tratados con el fin de tomar medidas o decisiones sobre personas concretas;
c) el seguimiento de zonas de acceso público, en particular cuando se utilicen dispositivos optoelectrónicos (videovigilancia) a gran escala;
d) el tratamiento de datos personales en ficheros a gran escala relativos a niños, o el tratamiento de datos genéticos o biométricos;
e) otras operaciones de tratamiento para las cuales sea necesaria la consulta de la autoridad de control con arreglo a lo dispuesto en el artículo 34, apartado 2, letra b).
3. La evaluación deberá tener en cuenta la gestión de los datos personales durante todo el ciclo de vida, desde la recogida y el tratamiento hasta la supresión. Deberá incluir, como mínimo, una descripción general de las operaciones de tratamiento previstas, una evaluación de los riesgos para los derechos y libertades de los interesados, las medidas contempladas para hacer frente a los riesgos, y las garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de datos personales y a probar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.:
a) una descripción sistemática de las operaciones de tratamiento previstas, los fines del tratamiento y, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;
c) una evaluación de riesgos para los derechos y las libertades de los interesados, incluido el riesgo de que la discriminación se integre en las operaciones o se refuerce con estas;
d) una descripción de las medidas contempladas para hacer frente a los riesgos y reducir al mínimo el volumen de datos personales tratados;
e) una lista de las garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de datos personales, como la seudonimización, y a probar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas;
f) una indicación general de los plazos establecidos para la supresión de las diferentes categorías de datos;
g) una explicación de qué prácticas de protección de datos desde el diseño y por defecto de conformidad con el artículo 23 se han aplicado;
h) una lista de los destinatarios o las categorías de destinatarios de los datos personales;
i) en su caso, una lista de las transferencias de datos previstas a un tercer país o a una organización internacional, incluido el nombre de dicho tercer país o de dicha organización internacional;
j) una evaluación del contexto del tratamiento de datos.
3 bis. Si el responsable o el encargado del tratamiento han designado a un delegado de protección de datos, este participará en el procedimiento de evaluación de impacto.
3 ter. La evaluación se documentará y establecerá un calendario de revisiones periódicas del cumplimiento de la protección de datos de conformidad con el artículo 33 bis, apartado 1. La evaluación se actualizará sin demora injustificada si el resultado de la revisión del cumplimiento de la protección de datos a que se refiere el artículo 33 bis revela contradicciones del cumplimiento. El responsable y el encargado del tratamiento, así como el representante del responsable si lo hubiera, pondrán la documentación a disposición de la autoridad de control, a solicitud de esta.
4. El responsable del tratamiento recabará la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, sin perjuicio de la protección de intereses públicos o comerciales o de la seguridad de las operaciones de tratamiento.
5. Cuando el responsable del tratamiento sea una autoridad u organismo públicos y cuando el tratamiento se efectúe en cumplimiento de una obligación legal de conformidad con lo dispuesto en el artículo 6, apartado 1, letra c), que establezca normas y procedimientos relativos a las operaciones de tratamiento y regulados por el Derecho de la Unión, los apartados 1 a 4 no serán aplicables, a menos que los Estados miembros consideren necesario proceder a dicha evaluación con anterioridad a las actividades de tratamiento.
6. La Comisión estará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a fin de especificar los criterios y condiciones aplicables a las operaciones de tratamiento que probablemente presenten los riesgos específicos contemplados en los apartados 1 y 2, y los requisitos aplicables a la evaluación contemplada en el apartado 3, incluidas las condiciones de escalabilidad, verificación y auditabilidad. Al adoptar este tipo de actos, la Comisión considerará la adopción de medidas específicas para las microempresas y las pequeñas y medianas empresas.
7. La Comisión podrá especificar normas y procedimientos para la realización, la verificación y la auditoría de la evaluación contemplada en el apartado 3. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 87, apartado 2.[Enm. 129]
Artículo 33 bis
Revisión del cumplimiento de la protección de datos
1. A más tardar dos años después de llevar a cabo una evaluación de impacto con arreglo al artículo 33 bis, apartado 1, el responsable o el encargado del tratamiento que actúe por cuenta del responsable llevarán a cabo una revisión del cumplimiento. Dicha revisión demostrará que el tratamiento de los datos personales se realiza de conformidad con la evaluación de impacto relativa a la protección de datos.
2. La revisión del cumplimiento se llevará a cabo como mínimo una vez cada dos años, o inmediatamente si hay un cambio en los riesgos específicos presentados por las operaciones de tratamiento.
3. Cuando el resultado de la revisión revele contradicciones de cumplimiento, la revisión incluirá recomendaciones sobre cómo lograr el pleno cumplimiento.
4. La revisión del cumplimiento y sus recomendaciones se documentarán. El responsable y el encargado del tratamiento, así como el representante del responsable si lo hubiera, pondrán la revisión del cumplimiento a disposición de la autoridad de control, a solicitud de esta.
5. Si el responsable o el encargado del tratamiento han designado a un delegado de protección de datos, este participará en el procedimiento de revisión del cumplimiento. [Enm. 130]
Artículo 34
Autorización y consultaConsultas previas
1. El responsable o el encargado del tratamiento, según proceda, deberán obtener una autorización de la autoridad de mcontrol antes de proceder al tratamiento de datos personales a fin de garantizar la conformidad del tratamiento previsto con el presente Reglamento y, sobre todo, de atenuar los riesgos para los interesados cuando un responsable o un encargado adopten cláusulas contractuales como las contempladas en el artículo 42, apartado 2, letra d), o no ofrezcan garantías apropiadas en un instrumento jurídicamente vinculante como el contemplado en el artículo 42, apartado 5, que rija la transferencia de datos personales a un tercer país o una organización internacional.
2. El responsable o el encargado del tratamiento que actúe por cuenta de aquel deberán consultar al delegado de protección de datos o, en caso de que no se haya designado uno, a la autoridad de control antes de proceder al tratamiento de datos personales a fin de garantizar la conformidad del tratamiento previsto con el presente Reglamento y, sobre todo, de atenuar los riesgos para los interesados cuando:
a) una evaluación del impacto en la protección de los datos, tal como dispone el artículo 33, indique que es probable que las operaciones de tratamiento, por su naturaleza, alcance o fines, entrañen un elevado nivel de riesgos específicos; o
b) el delegado de protección de datos o la autoridad de control considereconsideren necesario proceder a una consulta previa en relación con las operaciones de tratamiento que probablemente entrañen riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance y/o fines, y hayan sido especificadas con arreglo al apartado 4.
3. Cuando la autoridad de control considerecompetentedetermine, a tenor de sus competencias, que el tratamiento previsto no es conforme con lo dispuesto en el presente Reglamento, en particular cuando los riesgos no estén suficientemente identificados o atenuados, prohibirá el tratamiento previsto y presentará propuestas apropiadas para poner remedio a esta falta de conformidad.
4. La autoridad de controlElConsejo Europeo de Protección de Datos establecerá y publicará una lista de las operaciones de tratamiento que deben ser objeto de una consulta previa de conformidad con lo dispuesto en el apartado 2, letra b). La autoridad de control comunicará estas listas al Consejo Europeo de Protección de Datos.
5. Cuando la lista prevista en el apartado 4 incluya actividades de tratamiento que guarden relación con la oferta de bienes o servicios a interesados en varios Estados miembros o con el control de su comportamiento, o que puedan afectar sustancialmente a la libre circulación de datos personales en la Unión, la autoridad de control aplicará el mecanismo de coherencia contemplado en el artículo 57 antes de adoptar la lista.
6. El responsable o el encargado del tratamiento facilitarán a la autoridad de control, a petición de esta, la evaluación de impacto relativa a la protección de datos prevista ende conformidad con el artículo 33 y, previa solicitud, cualquier información adicional que permita a la autoridad de control evaluar la conformidad del tratamiento y, en particular, los riesgos para la protección de los datos personales del interesado y las garantías correspondientes.
7. Los Estados miembros consultarán a la autoridad de control en el marco de la elaboración de una medida legislativa antes de su adopción por los parlamentos nacionales o de una medida basada en una medida legislativa que defina la naturaleza del tratamiento, con el fin de garantizar la conformidad del tratamiento previsto con el presente Reglamento y, en particular, de atenuar los riesgos para los interesados.
8. La Comisión estará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a fin de especificar los criterios y requisitos aplicables a la determinación del nivel elevado de riesgo específico contemplado en el apartado 2, letra a).
9. La Comisión podrá establecer formularios y procedimientos normalizados para las autorizaciones y consultas previas contempladas en los apartados 1 y 2, así como formularios y procedimientos normalizados para informar a las autoridades de control con arreglo a lo dispuesto en el apartado 6. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 87, apartado 2.[Enm. 131]
SECCIÓN 4
DELEGADO DE PROTECCIÓN DE DATOS
Artículo 35
Designación del delegado de protección de datos
1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
a) el tratamiento sea llevado a cabo por una autoridad u organismo públicos; o
b) el tratamiento sea llevado a cabo por una empresa que emplee a doscientas cincuenta personas o máspersona jurídica con respecto a más de 5 000 interesados durante un período consecutivo de 12 meses; o
c) las actividades principales del responsable o del encargado del tratamiento consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran un seguimiento periódico y sistemático de los interesados; o
d) las actividades principales del responsable o del encargado del tratamiento consistan en el tratamiento de categorías especiales de datos con arreglo al artículo 9, apartado 1, datos de localización o datos relativos a niños o a empleados en ficheros a gran escala.
2. En el caso contemplado en el apartado 1, letra b), Un grupo de empresas podrá nombrar un delegado principal de protección de datos único responsable, siempre que se garantice que resulte fácil acceder a un delegado de protección de datos desde cualquier emplazamiento.
3. Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo públicos, el delegado de protección de datos podrá ser designado para varias de sus entidades, teniendo en cuenta la estructura organizativa de la autoridad u organismo públicos.
4. En casos distintos de los contemplados en el apartado 1, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen categorías de responsables o encargados podrán designar un delegado de protección de datos.
5. El responsable o el encargado del tratamiento designarán el delegado de protección de datos atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos, y a su capacidad para ejecutar las tareas contempladas en el artículo 37. El nivel de conocimientos especializados requerido se determinará, en particular, en función del tratamiento de datos llevado a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado del tratamiento.
6. El responsable o el encargado del tratamiento velarán por que cualesquiera otras funciones profesionales del delegado de protección de datos sean compatibles con sus tareas y funciones en calidad de delegado de protección de datos y no planteen conflictos de intereses.
7. El responsable o el encargado del tratamiento designarán un delegado de protección de datos para un mandato mínimo de doscuatro años en el caso de un empleado o de dos años en el caso de un proveedor de servicios externos. El delegado de protección de datos podrá ser nombrado para nuevos mandatos. Durante su mandato, el delegado de protección de datos solo podrá ser destituido si deja de cumplir las condiciones requeridas para el ejercicio de sus funciones.
8. El delegado de protección de datos podrá ser empleado por el responsable o el encargado del tratamiento o desempeñar sus tareas sobre la base de un contrato de servicios.
9. El responsable o el encargado del tratamiento comunicarán el nombre y los datos de contacto del delegado de protección de datos a la autoridad de control y al público.
10. Los interesados tendrán derecho a entrar en contacto con el delegado de protección de datos para tratar todas las cuestiones relativas al tratamiento de datos que les conciernan y a solicitar el ejercicio de los derechos que les confiere el presente Reglamento.
11. La Comisión estará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a fin de especificar los criterios y requisitos aplicables a las actividades principales del responsable o del encargado del tratamiento contempladas en el apartado 1, letra c), así como los criterios aplicables a las cualidades profesionales del delegado de protección de datos contempladas en el apartado 5. [Enm. 132]
Artículo 36
Función de delegado de protección de datos
1. El responsable o el encargado del tratamiento velarán por que el delegado de protección de datos se implique adecuadamente y en su debido momento en todas las cuestiones relativas a la protección de datos personales.
2. El responsable o el encargado del tratamiento velarán por que el delegado de protección de datos desempeñe sus funciones y tareas con independencia y no reciba ninguna instrucción en lo que respecta al ejercicio de sus funciones. El delegado de protección de datos informará directamente a la dirección ejecutiva del responsable o del encargado del tratamiento. El responsable o el encargado del tratamiento nombrarán, a este fin, a un miembro de la dirección ejecutiva que será responsable de cumplir con las disposiciones del presente Reglamento.
3. El responsable o el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de sus tareas y facilitarán todos los medios, incluidos el personal, los locales, los equipamientos y cualesquiera otros recursos necesarios para el desempeño de las funciones y tareas contempladas en el artículo 37 y para mantener sus conocimientos profesionales.
4. El delegado de protección de datos estará vinculado por el deber de secreto con respecto a la identidad de los interesados y a las circunstancias que permitan la identificación de los interesados, a menos que los propios interesados le liberen de dicho deber. [Enm. 133]
Artículo 37
Tareas del delegado de protección de datos
1. El responsable o el encargado del tratamiento encomendarán al delegado de protección de datos, como mínimo, las siguientes tareas:
a) sensibilizar, informar y asesorar al responsable o al encargado del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento, en particular en relación con las medidas y los procedimientos técnicos y organizativos, y documentar esta actividad y las respuestas recibidas;
b) supervisar la implementación y aplicación de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
c) supervisar la implementación y aplicación del presente Reglamento, en particular por lo que hace referencia a los requisitos relativos a la protección de datos desde el diseño, la protección de datos por defecto y la seguridad de los datos, así como a la información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos en virtud del presente Reglamento;
d) velar por la conservación de la documentación contemplada en el artículo 28;
e) supervisar la documentación, notificación y comunicación de las violaciones de datos personales de conformidad con lo dispuesto en los artículos 31 y 32;
f) supervisar la realización de la evaluación de impacto relativa a la protección de datos por parte del responsable o del encargado del tratamiento y la presentación de solicitudes de autorización o consulta previasprevia, si fueran necesarias de conformidad con lo dispuesto en los artículos 32 bis, 33 y 34;
g) supervisar la respuesta a las solicitudes de la autoridad de control y, en el marco de las competencias del delegado de protección de datos, cooperar con la autoridad de control a solicitud de esta o a iniciativa propia;
h) actuar como punto de contacto para la autoridad de control sobre las cuestiones relacionadas con el tratamiento y consultar con la autoridad de control, si procede, a iniciativa propia;
i) comprobar la conformidad del tratamiento con el presente Reglamento en el marco del mecanismo de consulta previa establecido en el artículo 34;
j) informar a los representantes de los trabajadores sobre el tratamiento de datos de los empleados.
2. La Comisión estará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a fin de especificar los criterios y requisitos aplicables a las tareas, la certificación, el estatuto, las competencias y los recursos del delegado de protección de datos contemplados en el apartado 1. [Enm. 134]
SECCIÓN 5
CÓDIGOS DE CONDUCTA Y CERTIFICACIÓN
Artículo 38
Códigos de conducta
1. Los Estados miembros, las autoridades de control y la Comisión promoverán la elaboración de códigos de conducta o la adopción de códigos de conducta elaborados por una autoridad de control destinados a contribuir a la correcta aplicación del presente Reglamento, teniendo en cuenta las características específicas de los distintos sectores de tratamiento de datos, especialmente en lo que respecta a:
a) el tratamiento equitativoleal y transparente de los datos;
a bis) el respeto de los derechos del consumidor;
b) la recogida de datos;
c) la información del público y de los interesados;
d) las solicitudes formuladas por los interesados en el ejercicio de sus derechos;
e) la información y la protección de los niños;
f) la transferencia de datos a terceros países u organizaciones internacionales;
g) los mecanismos para supervisar y garantizar el cumplimiento de las disposiciones del código por parte de los responsables del tratamiento que se hayan adherido a él;
h) los procedimientos extrajudiciales y otros procedimientos de resolución de litigios que permitan resolver las controversias entre los responsables del tratamiento y los interesados relativas al tratamiento de datos personales, sin perjuicio de los derechos de los interesados de conformidad con los artículos 73 y 75.
2. Las asociaciones y otros organismos que representen a categorías de responsables o encargados del tratamiento en un Estado miembro que tengan la intención de elaborar códigos de conducta o de modificar o ampliar códigos de conducta existentes podrán someterlos al dictamen de la autoridad de control en dicho Estado miembro. La autoridad de control podrá emitiremitirá sin demora injustificada un dictamen sobre la conformidad con el presente Reglamento deltratamiento de datos en el marco del proyecto de código de conducta o de su modificación. La autoridad de control recabará el parecer de los interesados o de sus representantes sobre estos proyectos.
3. Las asociaciones y otros organismos que representen a categorías de responsables o encargados del tratamiento en varios Estados miembros podrán presentar a la Comisión proyectos de códigos de conducta, así como modificaciones o ampliaciones de códigos de conducta existentes.
4. La Comisión podrá estará facultada, previa solicitud del dictamen del Consejo Europeo de Protección de Datos, para adoptar actos delegados,con arreglo a lo dispuesto en el artículo 86, a fin de adoptar actos de ejecución para decidir que los códigos de conducta y las modificaciones o ampliaciones de códigos de conducta existentes que les le sean sometidos con arreglo a lo dispuesto en el apartado 3 son conformes con el presente Reglamento y tienen validez general dentro de la Unión. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 87, apartado 2 delegados conferirán a los interesados derechos exigibles.
5. La Comisión asegurará una publicidad adecuada de los códigos cuya validez general haya sido decidida de conformidad con el apartado 4. [Enm. 135]
Artículo 39
Certificación
1. Los Estados miembros y la Comisión promoverán, en particular a nivel europeo, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcados de protección de datos que permitan a los interesados evaluar rápidamente el nivel de protección de datos que ofrecen los responsables y los encargados del tratamiento. Los mecanismos de certificación en materia de protección de datos contribuirán a la correcta aplicación del presente Reglamento, teniendo en cuenta las características específicas de los distintos sectores y las diferentes operaciones de tratamiento.
1 bis. Todo responsable o encargado del tratamiento podrá solicitar a cualquier autoridad de control de la Unión, a cambio de una tasa razonable teniendo en cuenta los costes administrativos, que certifique que el tratamiento de datos personales se efectúa de conformidad con el presente Reglamento, en particular, con los principios establecidos en los artículos 5, 23 y 30, las obligaciones del responsable y el encargado del tratamiento, y los derechos del interesado.
1 ter. La certificación será voluntaria y asequible, y estará disponible a través de un proceso transparente y que no resulte excesivamente gravoso.
1 quater. Las autoridades de control y el Consejo Europeo de Protección de Datos cooperarán de conformidad con el mecanismo de coherencia contemplado en el artículo 57 a fin de garantizar un mecanismo de certificación de protección de datos armonizado que incluya tasas armonizadas dentro de la Unión.
1 quinquies. Durante el procedimiento de certificación, la autoridad de control podrá acreditar a auditores de terceros especializados que auditen al responsable o al encargado del tratamiento en su nombre. Los auditores de terceros dispondrán de personal suficientemente cualificado, serán imparciales y carecerán de conflictos de intereses en relación con sus funciones. Las autoridades de control revocarán la acreditación si existen motivos para creer que el auditor no cumple sus funciones correctamente. La certificación final será concedida por la autoridad de control.
1 sexies. Las autoridades de control concederán a los responsables y encargados del tratamiento, que con arreglo a la auditoría han recibido la certificación de que efectúan el tratamiento de datos personales de conformidad con el presente Reglamento, la marca normalizada de protección de datos denominada «Sello Europeo de Protección de Datos».
1 septies. El «Sello Europeo de Protección de Datos» será válido mientras las operaciones de tratamiento de datos del responsable o el encargado del tratamiento certificados sigan cumpliendo plenamente el presente Reglamento.
1 octies. Sin perjuicio del apartado 1 septies, el certificado será válido durante un máximo de cinco años.
1 nonies. El Consejo Europeo de Protección de Datos establecerá un registro público electrónico en el que el público podrá ver todos los certificados válidos e inválidos expedidos en el Estado miembro.
1 decies. El Consejo Europeo de Protección de Datos podrá, por iniciativa propia, certificar que una norma técnica de mejora de la protección de datos cumple el presente Reglamento.
2. La Comisión estará facultada, previa solicitud del dictamen del Consejo Europeo de Protección de Datos y tras consultar con las partes interesadas, en especial la industria y las organizaciones no gubernamentales, para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a fin de especificar los criterios y requisitos aplicables a los mecanismos de certificación en materia de protección de datos contemplados en el apartado 1 los apartados 1 bis a 1 nonies, en particular los requisitos para la acreditación de auditores, en particular las condiciones de concesión y revocación, así como los requisitos en materia de reconocimiento en la Unión y en terceros países. Dichos actos delegados conferirán a los interesados derechos exigibles.
3. La Comisión podrá establecer normas técnicas para los mecanismos de certificación y los sellos y marcados de protección de datos, y mecanismos para promover y reconocer los mecanismos de certificación y los sellos y marcados de protección de datos. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 87, apartado 2.[Enm. 136]
CAPÍTULO V
TRANSFERENCIA DE DATOS PERSONALES A TERCEROS PAÍSES U ORGANIZACIONES INTERNACIONALES
Artículo 40
Principio general de las transferencias
Solo podrán realizarse transferencias de datos personales que sean o vayan a ser objeto de tratamiento tras su transferencia a un tercer país o a una organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, en particular en lo tocante a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional.
Artículo 41
Transferencias con una decisión de adecuación
1. Podrá realizarse una transferencia cuando la Comisión haya decidido que el tercer país, o un territorio o un sector de tratamiento de datos en ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dichas transferencias no requerirán autorizaciones específicas.
2. Al evaluar la adecuación del nivel de protección, la Comisión tomará en consideración los elementos siguientes:
a) el Estado de Derecho, la legislación pertinente en vigor, tanto general como sectorial, en particular en lo que respecta a la seguridad pública, la defensa, la seguridad nacional y el Derecho penal, la aplicación de esta legislación, las normas profesionales y las medidas de seguridad en vigor en el país de que se trate o aplicables a la organización internacional en cuestión, los precedentes jurisprudenciales, así como los derechos efectivos y exigibles, incluido el derecho de recurso administrativo y judicial efectivo de los interesados, en particular los residentes en la Unión cuyos datos personales estén siendo transferidos;
b) la existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país u organización internacional de que se trate, encargadas de garantizar el cumplimiento de las normas en materia de protección de datos, con facultades sancionadoras suficientes, de asistir y asesorar a los interesados en el ejercicio de sus derechos y de cooperar con las autoridades de control de la Unión y de los Estados miembros; y
c) los compromisos internacionales asumidos por el tercer país o la organización internacional de que se trate, en particular cualquier convención o instrumento jurídicamente vinculante con respecto a la protección de los datos personales.
3. La Comisión podráestará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a fin de decidir que un tercer país, o un territorio o un sector de tratamiento de datos en ese tercer país, o una organización internacional garantizan un nivel de protección adecuado a tenor de lo dispuesto en el apartado 2. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 87, apartado 2 delegados incluirán una cláusula de extinción si afectan a un sector de tratamiento y se revocarán de conformidad con el apartado 5 en el momento en que no se garantice un nivel adecuado de protección con arreglo al presente Reglamento.
4. El acto de ejecucióndelegado especificará su ámbito de aplicación geográficaterritorial y sectorial, y, cuando proceda, determinará cuál es la autoridad de control mencionada en el apartado 2, letra b).
4 bis. La Comisión efectuará un seguimiento continuo de las novedades en terceros países y organizaciones internacionales que puedan afectar a los elementos que figuran en el apartado 2 en relación con los cuales se haya adoptado un acto delegado en virtud del apartado 3.
5. La Comisión podráestará facultada a adoptar actos delegados de conformidad con el artículo 86 a fin de decidir que un tercer país, o un territorio o un sector de tratamiento de datos en ese tercer país, o una organización internacional no garantizan o han dejado de garantizar un nivel de protección adecuado a tenor de lo dispuesto en el apartado 2, en particular en los casos en que la legislación pertinente, tanto general como sectorial, en vigor en el tercer país o aplicable a la organización internacional en cuestión, no garantice derechos eficaces y exigibles, incluido el derecho de recurso administrativo y judicial efectivo de los interesados, en particular los residentes en la Unión cuyos datos personales estén siendo transferidos. Dichos actos de ejecución se adoptarán de acuerdo con el procedimiento de examen contemplado en el artículo 87, apartado 2, o, en casos de extrema urgencia para personas en lo que respecta a su derecho a la protección de datos personales, de conformidad con el procedimiento contemplado en el artículo 87, apartado 3.
6. Cuando la Comisión adopte una decisión de conformidad con lo dispuesto en el apartado 5, estará prohibida toda transferencia de datos personales al tercer país, o a un territorio o un sector de tratamiento de datos en ese tercer país, o a la organización internacional de que se trate, sin perjuicio de lo dispuesto en los artículos 42 a 44. La Comisión entablará consultas, en su debido momento, con el tercer país o la organización internacional con vistas a poner remedio a la situación resultante de la decisión adoptada de conformidad con lo dispuesto en el apartado 5.
6 bis. Antes de adoptar los actos delegados de conformidad con los apartados 3 y 5, la Comisión pedirá al Consejo Europeo de Protección de Datos que presente un dictamen sobre la adecuación del nivel de protección. A tal fin, la Comisión facilitará al Consejo Europeo de Protección de Datos toda la documentación necesaria, incluida la correspondencia con el gobierno del tercer país, el territorio o el sector de tratamiento de datos en dicho país o dicha organización internacional.
7. La Comisión publicará en el Diario Oficial de la Unión Europeay en su página web una lista de los terceros países, territorios y sectores de tratamiento de datos en un tercer país, y de las organizaciones internacionales para los que haya decidido que está o no está garantizado un nivel de protección adecuado.
8. Las decisiones adoptadas por la Comisión en virtud del artículo 25, apartado 6, o del artículo 26, apartado 4, de la Directiva 95/46/CE permanecerán en vigor hasta cinco años después de la entrada en vigor del presente Reglamento a menos que sean modificadas, sustituidas o derogadas por la Comisión antes de finalizar este plazo. [Enm. 137]
Artículo 42
Transferencias mediante garantías apropiadas
1. Cuando la Comisión no haya adoptado una decisión con arreglo a lo dispuesto en el artículo 41, o decida que un tercer país, un territorio o un sector de tratamiento en ese tercer país, o una organización internacional no garantizan un adecuado nivel de protección de conformidad con el artículo 41, apartado 5, un responsable o un encargado del tratamiento solo podrán transferir datos personales a un tercer país o una organización internacional sia menos que hubieran ofrecido garantías apropiadas en lo que respecta a la protección de datos personales en un instrumento jurídicamente vinculante.
2. Constituirán garantías apropiadas a tenor de lo dispuesto en el apartado 1, en particular:
a) las normas corporativas vinculantes de conformidad con el artículo 43; o
a bis) un «Sello Europeo de Protección de Datos» válido para el responsable y el destinatario de conformidad con el artículo 39, apartado 1 sexies; o
b) las cláusulas tipo de protección de datos adoptadas por la Comisión; dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen contemplado en el artículo 87, apartado 2; o
c) las cláusulas tipo de protección de datos adoptadas por una autoridad de control de conformidad con el mecanismo de coherencia contemplado en el artículo 57, cuando la Comisión haya declarado que tienen validez general con arreglo al artículo 62, apartado 1, letra b); o
d) las cláusulas contractuales entre el responsable o el encargado del tratamiento y el destinatario de los datos autorizadas por una autoridad de control de conformidad con lo dispuesto en el apartado 4.
3. Una transferencia efectuada en virtud de cláusulas tipo de protección de datos, de un«Sello Europeo de Protección de Datos» o de normas corporativas vinculantes como las contempladas en el apartado 2, letras a), b)a bis) o c), no requerirá nuevas autorizaciones específicas.
4. Cuando una transferencia se efectúe en virtud de cláusulas contractuales como las contempladas en la letra d) del apartado 2, el responsable o el encargado del tratamiento deberán haber obtenido de la autoridad de control la autorización previa de las cláusulas contractuales con arreglo a lo dispuesto en el artículo 34, apartado 1. Si la transferencia se refiere a actividades de tratamiento que atañan a interesados en otro u otros Estados miembros o que afecten sustancialmente a la libre circulación de datos personales dentro de la Unión, la autoridad de control aplicará el mecanismo de coherencia contemplado en el artículo 57.
5. Cuando las garantías apropiadas con respecto a la protección de datos personales no se proporcionen en un instrumento jurídicamente vinculante, el responsable o el encargado del tratamiento deberán obtener la autorización previa de la transferencia o serie de transferencias, o de las disposiciones que se vayan a insertar en el acuerdo administrativo que constituye la base de dicha transferencia. Una autorización de esta índole concedida por la autoridad de control deberá ser conforme con lo dispuesto en el artículo 34, apartado 1. Si la transferencia se refiere a actividades de tratamiento que atañan a interesados en otro u otros Estados miembros o que afecten sustancialmente a la libre circulación de datos personales dentro de la Unión, la autoridad de control aplicará el mecanismo de coherencia contemplado en el artículo 57. Las autorizaciones otorgadas por una autoridad de control de conformidad con el artículo 26, apartado 2, de la Directiva 95/46/CE seguirán siendo válidas durante un periodo de dos años a partir de la entrada en vigor del presente Reglamento a menos hasta que hayan sido modificadas, sustituidas o derogadas por dicha autoridad de control antes del fin de dicho periodo. [Enm. 138]
Artículo 43
Transferencias mediante normas corporativas vinculantes
1. Una La autoridad de control aprobará normas corporativas vinculantes de conformidad con el mecanismo de coherencia establecido en el artículo 58, siempre que estas:
a) sean jurídicamente vinculantes y se apliquen a todos los miembros del grupo de empresas del responsable o del encargado del tratamiento y a sus subcontratistas externos que estén incluidos en el ámbito de aplicación de las normas corporativas vinculantes, incluidos sus empleados, que asegurarán su cumplimiento;
b) confieran expresamente a los interesados derechos exigibles;
c) cumplan los requisitos establecidos en el apartado 2.
1 bis. Con respecto a los datos de empleo, se informará a los representantes de los empleados acerca de la elaboración de normas corporativas vinculantes de conformidad con lo dispuesto en el artículo 43 y, de conformidad con el Derecho y las prácticas de la Unión o de los Estados miembros, participarán en ella.
2. Las normas corporativas vinculantes especificarán, como mínimo:
a) la estructura y los datos de contacto del grupo de empresas y de sus miembros y de sus subcontratistas externos que estén incluidos en el ámbito de aplicación de las normas corporativas vinculantes;
b) las transferencias o serie de transferencias de datos, incluidas las categorías de datos personales, el tipo de tratamientos y sus fines, el tipo de interesados afectados y el nombre del tercer o los terceros países en cuestión;
c) su carácter jurídicamente vinculante, tanto a nivel interno como externo;
d) los principios generales en materia de protección de datos, en particular la limitación de la finalidad, la minimización de los datos, la limitación de los periodos de retención, la calidad de los datos, la privacidad desde el diseño y por defecto, la base jurídica del tratamiento, el tratamiento de datos personales sensibles, las medidas encaminadas a garantizar la seguridad de los datos y los requisitos en materia de transferencias ulteriores a organizaciones que no estén vinculadas por esas políticas;
e) los derechos de los interesados y los medios para ejercerlos, en particular el derecho a no ser objeto de una medida basada en la elaboración de perfiles de conformidad con lo dispuesto en el artículo 20, el derecho a presentar una reclamación ante la autoridad de control competente y ante los órganos jurisdiccionales competentes de los Estados miembros de conformidad con lo dispuesto en el artículo 75, y el derecho a obtener una reparación, y, cuando proceda, una indemnización por violación de las normas corporativas vinculantes;
f) la aceptación por parte del responsable o del encargado del tratamiento establecidosestablecido en el territorio de un Estado miembro de la responsabilidad por cualquier violación de las normas corporativas vinculantes por parte de cualquier miembro del grupo de empresas no establecido en la Unión; el responsable o el encargado del tratamiento solo podránpodrá ser exoneradosexonerado de esta responsabilidad, total o parcialmente, si pruebanprueba que el acto que originó el daño no es imputable a dicho miembro;
g) la forma en que se facilita a los interesados la información sobre las normas corporativas vinculantes, en particular en lo que respecta a las disposiciones contempladas en las letras d), e) y f), de conformidad con lo dispuesto en el artículo 11;
h) las tareas del delegado de protección de datos designado de conformidad con lo dispuesto en el artículo 35, en particular la supervisión, dentro del grupo de empresas, del cumplimiento de las normas corporativas vinculantes, así como la supervisión de la formación y de la tramitación de las reclamaciones;
i) los mecanismos establecidos dentro del grupo de empresas para garantizar que se verifica el cumplimiento de las normas corporativas vinculantes;
j) los mecanismos establecidos para comunicar y registrar las modificaciones introducidas en las políticas y para notificar esas modificaciones a la autoridad de control;
k) el mecanismo de cooperación con la autoridad de control para garantizar el cumplimiento por parte de todos los miembros del grupo de empresas, en particular poniendo a disposición de la autoridad de control los resultados de las verificaciones de las medidas contempladas en la letra i).
3. La Comisión estará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a fin de especificar losformatos, procedimientos, criterios y requisitos aplicables a las normas corporativas vinculantes a tenor de lo dispuesto en el presente artículo, en particular en lo que respecta a los criterios aplicables a su aprobación, incluida la transparencia para los interesados, la aplicación de las letras b), d), e) y f) del apartado 2 a las normas corporativas vinculantes a las que se hayan adherido los encargados del tratamiento, y otros requisitos necesarios para garantizar la protección de los datos personales de los interesados afectados.
4. La Comisión podrá especificar el formato y los procedimientos para el intercambio de información por vía electrónica entre los responsables del tratamiento, los encargados del tratamiento y las autoridades de control en relación con las normas corporativas vinculantes a tenor de lo dispuesto en el presente artículo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 87, apartado 2. [Enm. 139]
Artículo 43 bis
Transferencias o divulgaciones no autorizadas por el Derecho de la Unión
1. No se reconocerán ni se aplicarán en modo alguno sentencias de un órgano jurisdiccional ni decisiones de una autoridad administrativa de un tercer país que exijan que un responsable o encargado del tratamiento haga públicos datos personales, sin perjuicio de un tratado bilateral de asistencia jurídica o un acuerdo internacional vigente entre el tercer país solicitante y la Unión o un Estado miembro.
2. Si una sentencia de un órgano jurisdiccional o una decisión de una autoridad administrativa de un tercer país exigen a un responsable o encargado del tratamiento que haga públicos datos personales, el responsable o encargado del tratamiento y el representante del responsable del tratamiento, si lo hay, comunicarán a la autoridad de control competente la solicitud sin demoras injustificadas y deberán obtener la autorización previa para la transferencia o divulgación por la autoridad de control.
3. La autoridad de control evaluará si la divulgación requerida cumple el presente Reglamento y, en particular, si dicha divulgación resulta necesaria y jurídicamente vinculante en virtud del artículo 44, apartado 1, letras d) y e), y apartado 5. Si afecta a interesados de otros Estados miembros, la autoridad de control aplicará el mecanismo de coherencia contemplado en el artículo 57.
4. La autoridad de control informará de la solicitud a la autoridad nacional competente. No obstante lo dispuesto en el artículo 21, el responsable o el encargado del tratamiento informarán también a los interesados de la solicitud y de la autorización por parte de la autoridad de control y, cuando proceda, informarán al interesado si se han facilitado datos personales a las autoridades públicas durante el último periodo consecutivo de 12 meses, de conformidad con el artículo 14, apartado 1, letra h bis). [Enm. 140]
Artículo 44
Excepciones
1. En ausencia de una decisión de adecuación de conformidad con lo dispuesto en el artículo 41 o de garantías apropiadas de conformidad con lo dispuesto en el artículo 42, solo podrá procederse a una transferencia o una serie de transferencias de datos personales a un tercer país o una organización internacional cuando:
a) el interesado haya dado su consentimiento a la transferencia propuesta, tras haber sido informado de los riesgos que entraña debido a la ausencia de una decisión de adecuación y de garantías apropiadas; o
b) la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la implementación de medidas precontractuales adoptadas a solicitud del interesado; o
c) la transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica; o
d) la transferencia sea necesaria por motivos importantes de interés público; o
e) la transferencia sea necesaria para el reconocimiento, el ejercicio o la defensa de un derecho en un procedimiento judicial; o
f) la transferencia sea necesaria para proteger los intereses vitales del interesado o de otra persona, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento; o
g) la transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de un Estado miembro, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de un Estado miembro para la consulta; o
h) la transferencia sea necesaria para la satisfacción de los intereses legítimos del responsable o del encargado del tratamiento, que no puedan ser calificados de frecuentes ni de masivos, y el responsable o el encargado hayan evaluado todas las circunstancias que rodean la operación o la serie de operaciones de transferencia de datos y hayan ofrecido en su caso, sobre la base de dicha evaluación, garantías apropiadas con respecto a la protección de datos personales.
2. Una transferencia efectuada de conformidad con el apartado 1, letra g), no implicará la totalidad de los datos personales ni categorías enteras de datos personales contenidos en el registro. Cuando la finalidad del registro sea la consulta por parte de personas que tengan un interés legítimo, la transferencia solo se efectuará a solicitud de dichas personas o cuando ellas sean las destinatarias.
3. Cuando el tratamiento se efectúe de conformidad con el apartado 1, letra h), el responsable o el encargado del tratamiento prestarán especial atención a la naturaleza de los datos, la finalidad y la duración de la operación o las operaciones de tratamiento propuestas, así como la situación en el país de origen, el tercer país y el país de destino final, y ofrecerán, en su caso, garantías apropiadas con respecto a la protección de datos personales.
4. Las letras b),y c) y h) del apartado 1 no serán aplicables a las actividades llevadas a cabo por las autoridades públicas en el ejercicio de sus poderes públicos.
5. El interés público contemplado en el apartado 1, letra d), deberá ser reconocido por el Derecho de la Unión o del Estado miembro a que esté sujeto el responsable del tratamiento.
6. El responsable o el encargado del tratamiento documentarán, en la documentación contemplada en el artículo 28, la evaluación y las garantías apropiadas ofrecidas contempladas en el apartado 1, letra h), e informarán de la transferencia a la autoridad de control.
7. La Comisión estará facultada para adoptar actos delegadosSe encomendará al Consejo Europeo de Protección de Datosla función de publicar directrices, recomendaciones y mejores prácticas de conformidad con lo dispuesto en el artículo 86 66, apartado 1, letra b), a fin de especificar los «motivos importantes de interés público» a tenor de lo dispuesto en el apartado 1, letra d), así como los criterios y requisitos aplicables a las garantías apropiadas contempladas en el transferencias de datos sobre la base del apartado 1, letra h). [Enm. 141]
Artículo 45
Cooperación internacional en el ámbito de la protección de datos personales
1. En relación con los terceros países y las organizaciones internacionales, la Comisión y las autoridades de control tomarán medidas apropiadas para:
a) crear mecanismos de cooperación internacional eficaces que facilitengaranticen la aplicación de la legislación relativa a la protección de datos personales; [Enm. 142]
b) prestarse mutuamente asistencia a escala internacional en la aplicación de la legislación relativa a la protección de datos personales, en particular mediante la notificación, la remisión de reclamaciones, la asistencia en las investigaciones y el intercambio de información, a reserva de las garantías apropiadas para la protección de los datos personales y otros derechos y libertades fundamentales;
c) procurar la participación de las partes interesadas pertinentes en los debates y actividades destinados a reforzar la cooperación internacional en la aplicación de la legislación relativa a la protección de datos personales;
d) promover el intercambio y la documentación de la legislación y las prácticas en materia de protección de datos personales.
d bis) aclarar y consultar los conflictos de jurisdicción con terceros países. [Enm. 143]
2. A efectos de la aplicación del apartado 1, la Comisión tomará medidas apropiadas para impulsar las relaciones con terceros países u organizaciones internacionales y, en particular, sus autoridades de control, cuando haya decidido que garantizan un nivel de protección adecuado a tenor de lo dispuesto en el artículo 41, apartado 3.
Artículo 45 bis
Informe de la Comisión
La Comisión presentará periódicamente al Parlamento Europeo y al Consejo, empezando a más tardar cuatro años después de la fecha mencionada en el artículo 91, apartado 1, un informe sobre la aplicación de los artículos 40 a 45. A tal efecto, la Comisión podrá solicitar información a los Estados miembros y a las autoridades de control, que deberán facilitarla sin demoras injustificadas. Dicho informe se hará público. [Enm. 144]
CAPÍTULO VI
AUTORIDADES DE CONTROL INDEPENDIENTES
SECCIÓN 1
INDEPENDENCIA
Artículo 46
Autoridad de control
1. Cada Estado miembro dispondrá que una o varias autoridades públicas se encarguen de supervisar la aplicación del presente Reglamento y de contribuir a su aplicación coherente en toda la Unión, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento de sus datos personales y de facilitar la libre circulación de datos personales en la Unión. A tal fin, las autoridades de control cooperarán entre sí y con la Comisión.
2. Cuando en un Estado miembro estén establecidas varias autoridades de control, dicho Estado miembro designará la autoridad de control que actuará como punto de contacto único, a fin de favorecer la participación efectiva de dichas autoridades en el Consejo Europeo de Protección de Datos, y establecerá un mecanismo para garantizar el cumplimiento por parte de las demás autoridades de las normas relativas al mecanismo de coherencia contemplado en el artículo 57.
3. Cada Estado miembro notificará a la Comisión las disposiciones legislativas que adopte de conformidad con el presente capítulo, a más tardar en la fecha especificada en el artículo 91, apartado 2, y, sin demora, cualquier modificación posterior que les afecte.
Artículo 47
Independencia
1. La autoridad de control actuará con total independencia e imparcialidad en el ejercicio de las funciones que le hayan sido encomendadas y de los poderes que le hayan sido conferidos, no obstante lo dispuesto en las disposiciones de cooperación y coherencia con arreglo al capítulo VIIdel presente Reglamento. [Enm. 145]
2. En el ejercicio de sus funciones, los miembros de la autoridad de control no solicitarán ni aceptarán instrucciones de nadie.
3. Los miembros de la autoridad de control se abstendrán de cualquier acción que sea incompatible con sus funciones y no participarán, mientras dure su mandato, en ninguna actividad profesional incompatible, sea o no remunerada.
4. Tras la finalización de su mandato, los miembros de la autoridad de control actuarán con integridad y discreción en lo que respecta a la aceptación de cargos y beneficios.
5. Cada Estado miembro velará por que la autoridad de control disponga en todo momento de los recursos humanos, técnicos y financieros adecuados, así como de los locales y las infraestructuras necesarios para el ejercicio efectivo de sus funciones y poderes, en particular aquellos que haya de ejercer en el marco de la asistencia mutua, la cooperación y la participación en el Consejo Europeo de Protección de Datos.
6. Cada Estado miembro velará por que la autoridad de control disponga de su propio personal, que será nombrado por el director de la autoridad de control y estará sujeto a su autoridad.
7. Los Estados miembros velarán por que la autoridad de control esté sujeta a control financiero, sin que ello afecte a su independencia. Los Estados miembros velarán por que la autoridad de control disponga de presupuestos anuales propios. Los presupuestos se harán públicos.
7 bis. Cada Estado miembro garantizará que la autoridad de control sea responsable ante el parlamento nacional por razones de control presupuestario. [Enm. 146]
Artículo 48
Condiciones generales aplicables a los miembros de la autoridad de control
1. Los Estados miembros dispondrán que los miembros de la autoridad de control deben ser nombrados bien por su parlamento bien por su gobierno.
2. Los miembros serán elegidos entre personas que ofrezcan absolutas garantías de independencia y que posean experiencia y aptitudes acreditadas para el ejercicio de sus funciones, en particular en el ámbito de la protección de datos personales.
3. Las funciones de los miembros terminarán a la expiración de su mandato o en caso de dimisión o jubilación obligatoria de conformidad con lo dispuesto en el apartado 5.
4. Un miembro podrá ser destituido o desposeído de su derecho a pensión u otros beneficios sustitutivos por el órgano jurisdiccional nacional competente si dejara de reunir las condiciones necesarias para el ejercicio de sus funciones o hubiera incurrido en falta grave.
5. Un miembro cuyo mandato expire o que presente su dimisión seguirá ejerciendo sus funciones hasta que se nombre un nuevo miembro.
Artículo 49
Normas relativas al establecimiento de la autoridad de control
Cada Estado miembro dispondrá por ley, dentro de los límites del presente Reglamento:
a) el establecimiento y el estatuto de la autoridad de control;
b) las cualificaciones, la experiencia y las aptitudes requeridas para ejercer las funciones de miembro de la autoridad de control;
c) las normas y los procedimientos para el nombramiento de los miembros de la autoridad de control, así como las normas relativas a las actividades u ocupaciones incompatibles con sus funciones;
d) la duración del mandato de los miembros de la autoridad de control, que no será inferior a cuatro años, salvo los primeros nombramientos tras la entrada en vigor del presente Reglamento, algunos de los cuales podrán ser más breves cuando ello sea necesario para proteger la independencia de la autoridad de control por medio de un procedimiento de nombramientos escalonados;
e) el carácter renovable o no renovable del mandato de los miembros de la autoridad de control;
f) las reglas y condiciones comunes que rigen las funciones de los miembros y del personal de la autoridad de control;
g) las normas y los procedimientos relativos al cese de las funciones de los miembros de la autoridad de control, en particular en caso de que dejen de cumplir las condiciones requeridas para el ejercicio de sus funciones o incurrieran en falta grave.
Artículo 50
Secreto profesional
Los miembros y el personal de la autoridad de control estarán sujetos, tanto durante su mandato como después del mismo y de conformidad con la legislación y la práctica nacionales, al deber de secreto profesional con relación a las informaciones confidenciales de las que hayan tenido conocimiento en el ejercicio de sus funciones oficiales, al tiempo que cumplirán con sus funciones con independencia y transparencia, de acuerdo con lo dispuesto en el presente Reglamento. [Enm. 147]
SECCIÓN 2
FUNCIONES Y PODERES
Artículo 51
Competencia
1. Cada autoridad de control será competente para desempeñar las funciones y ejercerá, en el territorio de su propio Estado miembro, los poderes que se le confieran de conformidad con el presente Reglamento en el territorio de su propio Estado miembro, sin perjuicio de lo dispuesto en los artículos 73 y 74. El tratamiento de datos por parte de una autoridad pública estará controlado únicamente por la autoridad de control de dicho Estado miembro. [Enm. 148]
2. Cuando el tratamiento de los datos personales tenga lugar en el marco de las actividades de un responsable o un encargado del tratamiento establecidos en la Unión, y el responsable o el encargado estén establecidos en varios Estados miembros, la autoridad de control del Estado miembro en que esté situado el establecimiento principal del responsable o del encargado será competente para controlar las actividades de tratamiento del responsable o del encargado en todos los Estados miembros, sin perjuicio de lo dispuesto en el capítulo VII del presente Reglamento. [Enm. 149]
3. La autoridad de control no será competente para controlar las operaciones de tratamiento efectuadas por los órganos jurisdiccionales en el ejercicio de su función jurisdiccional.
Artículo 52
Funciones
1. La autoridad de control:
a) supervisará y asegurará la aplicación del presente Reglamento;
b) conocerá las reclamaciones presentadas por cualquier interesado o por una asociación que le represente de conformidad con lo dispuesto en el artículo 73, investigará, en la medida en que proceda, el asunto e informará al interesado o a la asociación sobre el curso y el resultado de la reclamación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control; [Enm. 150]
c) compartirá información con otras autoridades de control, les prestará asistencia mutua y velará por la coherencia en la aplicación del presente Reglamento para garantizar su cumplimiento;
d) llevará a cabo investigaciones, ya sea a iniciativa propia, ya sea a raíz de una reclamación o de información documentada y específica que se reciba denunciando un supuesto tratamiento ilícito o a solicitud de otra autoridad de control, e informará al interesado en cuestión, si este hubiera presentado una reclamación, del resultado de las investigaciones en un plazo razonable; [Enm. 151]
e) hará un seguimiento de las novedades de interés, en la medida en que tengan incidencia en la protección de datos personales, en particular el desarrollo de las tecnologías de la información y la comunicación y de las prácticas comerciales;
f) será consultado por las instituciones y los organismos de los Estados miembros sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas en lo que respecta al tratamiento de datos personales;
g) autorizará y será consultado sobre las operaciones de tratamiento contempladas en el artículo 34;
h) emitirá un dictamen sobre los proyectos de código de conducta de conformidad con lo dispuesto en el artículo 38, apartado 2;
i) aprobará normas corporativas vinculantes de conformidad con lo dispuesto en el artículo 43;
j) participará en las actividades del Consejo Europeo de Protección de Datos.
j bis) otorgará una certificación a los responsables y encargados de conformidad con el artículo 39. [Enm. 152]
2. Cada autoridad de control promoverá la sensibilización del público sobre los riesgos, normas, garantías y derechos relativos al tratamiento de datos personales y sobre las medidas adecuadas para la protección de los datos personales. Las actividades dirigidas específicamente a los niños deberán ser objeto de especial atención. [Enm. 153]
2 bis. Cada autoridad de control promoverá, junto con el Consejo Europeo de Protección de Datos, la sensibilización de los responsables y encargados del tratamiento sobre los riesgos, normas, garantías y derechos relativos al tratamiento de datos personales. Ello incluye mantener un registro de sanciones e infracciones. Dicho registro debe recoger todas las advertencias y las sanciones con el máximo detalle, así como la resolución de las infracciones. Cada autoridad de control proporcionará a los responsables y encargados del tratamiento en microempresas, pequeñas y medianas empresas, a petición, información general sobre sus responsabilidades y obligaciones en virtud del presente Reglamento. [Enm. 154]
3. La autoridad de control, previa solicitud, asesorará a cualquier interesado en el ejercicio de los derechos que confiere el presente Reglamento y, en su caso, cooperará a tal fin con las autoridades de control de otros Estados miembros.
4. Para las reclamaciones contempladas en el apartado 1, letra b), la autoridad de control facilitará un formulario de reclamaciones que podrá cumplimentarse por vía electrónica, sin excluir otros medios de comunicación.
5. El desempeño de las funciones de la autoridad de control será gratuito para el interesado.
6. Cuando las solicitudes sean manifiestamente excesivas, en particular por su carácter repetitivo, la autoridad de control podrá exigir el pago de una tasa razonable o decidir no adoptar las medidas solicitadas por el interesado. Dicha tasa no deberá superar el coste generado por la adopción de la medida solicitada. La carga de la prueba del carácter manifiestamente excesivo de la solicitud recaerá en la autoridad de control. [Enm. 155]
Artículo 53
Poderes
1. Con arreglo al presente Reglamento, cada autoridad de control estará facultada para:
a) notificar al responsable o al encargado del tratamiento una presunta violación de las disposiciones que rigen el tratamiento de datos personales y, cuando proceda, ordenar al responsable o al encargado que subsanen dicha violación, de manera específica, con el fin de mejorar la protección del interesado o bien obligar al responsable a comunicar al interesado una violación de los datos personales;
b) ordenar al responsable o al encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos conferidos por el presente Reglamento presentadas por el interesado;
c) ordenar al responsable y al encargado del tratamiento y, en su caso, al representante que faciliten cualquier información útil para el desempeño de sus funciones;
d) velar por el cumplimiento de las autorizaciones y consultas previas contempladas en el artículo 34;
e) formular una advertencia o amonestación al responsable o al encargado del tratamiento;
f) ordenar la rectificación, supresión o destrucción de todos los datos que se hayan tratado infringiendo las disposiciones del presente Reglamento, y la notificación de dichas medidas a los terceros a quienes se hayan comunicado los datos;
g) prohibir temporal o definitivamente el tratamiento;
h) suspender los flujos de datos hacia un destinatario situado en un tercer país o hacia una organización internacional;
i) emitir dictámenes sobre cualquier cuestión relacionada con la protección de datos personales;
i bis otorgar una certificación a los responsables y encargados de conformidad con el artículo 39;
j) informar al parlamento nacional, al gobierno o a otras instituciones políticas, así como al público, sobre cualquier cuestión relacionada con la protección de datos personales.
j bis) poner en marcha mecanismos eficaces que fomenten la denuncia confidencial de infracciones al presente Reglamento, teniendo en cuenta las directrices emitidas por el Consejo Europeo de Protección de Datos con arreglo al artículo 66, apartado 4 ter.
2. Cada autoridad de control dispondrá de poderes de investigación que le permitan obtener del responsable o del encargado del tratamiento, sin previo aviso:
a) el acceso a todos los datos personales y a toda la información necesaria para el ejercicio de sus funciones;
b) el acceso a todos sus locales, en particular cualquier equipamiento y medio de tratamiento de datos, cuando haya motivos razonables para suponer que en ellos se ejerce una actividad contraria al presente Reglamento.
Los poderes contemplados en la letra b) serán ejercidos de conformidad con el Derecho de la Unión y el Derecho de los Estados miembros.
3. Cada autoridad de control estará facultada para poner en conocimiento de las autoridades judiciales las violaciones de las disposiciones del presente Reglamento y para ejercitar acciones jurisdiccionales, en particular de conformidad con lo dispuesto en el artículo 74, apartado 4, y en el artículo 75, apartado 2.
4. Cada autoridad de control estará facultada para sancionar las infracciones administrativas, en particular las contempladas ende conformidad con el artículo 79, apartados 4, 5 y 6. Esta facultad se ejercerá de manera efectiva, proporcionada y disuasoria. [Enm. 156]
Artículo 54
Informe de actividad
Cada autoridad de control deberá elaborar un informe anual sobre sus actividades al menos cada dos años. El informe será presentado al parlamento nacionalrespectivo y se pondrá a disposición del público, de la Comisión y del Consejo Europeo de Protección de Datos. [Enm. 157]
Artículo 54 bis
Autoridad principal
1. Cuando el tratamiento de los datos personales se produzca en el marco de las actividades de un responsable o un encargado del tratamiento establecidos en la Unión, y el responsable o el encargado estén establecidos en varios Estados miembros, o si se tratan los datos personales de residentes en varios Estados miembros, la autoridad de control del Estado miembro en que esté situado el establecimiento principal del responsable o del encargado actuará como principal autoridad de control de las actividades de tratamiento para el responsable o el encargado en todos los Estados miembros, de conformidad con el capítulo VII del presente Reglamento.
2. La autoridad principal adoptará las medidas necesarias para supervisar las actividades de tratamiento del responsable o el encargado para los que sea responsable solo previa consulta a todas las demás autoridades de control en el sentido del artículo 51, apartado 1, en un esfuerzo por alcanzar el consenso. Para ello presentará en particular toda la información pertinente y consultará a las otras autoridades antes de adoptar medidas destinadas a surtir efectos jurídicos con respecto a un responsable o encargado en el sentido del artículo 51, apartado 1. La autoridad principal tendrá debidamente en cuenta las opiniones de las autoridades interesadas. La autoridad principal será la única autoridad facultada para decidir las medidas previstas para surtir efectos jurídicos en relación con las actividades de tratamiento del responsable o el encargado de los que es responsable.
3. El Consejo Europeo de Protección de Datos emitirá, a petición de una autoridad competente, un dictamen sobre la determinación de la autoridad principal que se ocupa de un responsable o encargado del tratamiento en aquellos casos en que:
a) los elementos del caso no permitan aclarar dónde se encuentra el establecimiento principal del responsable o del encargado del tratamiento; o
b) las autoridades competentes no se pongan de acuerdo sobre qué autoridad de control debe actuar como autoridad principal; o
c) el responsable del tratamiento no esté establecido en la Unión y residentes de diferentes Estados miembros se vean afectados por las operaciones de tratamiento en el ámbito de aplicación del presente Reglamento.
3 bis. Cuando el responsable ejerza también sus actividades como encargado del tratamiento, la autoridad de control del establecimiento principal del responsable actuará como autoridad principal para el control de las actividades de tratamiento.
4. El Consejo Europeo de Protección de Datos podrá decidir sobre la designación de la autoridad principal. [Enm. 158]
CAPÍTULO VII
COOPERACIÓN Y COHERENCIA
SECCIÓN 1
COOPERACIÓN
Artículo 55
Asistencia mutua
1. Las autoridades de control se facilitarán información útil y se prestarán asistencia mutua a fin de implementar y aplicar el presente Reglamento de manera coherente, y tomarán medidas para asegurar una efectiva cooperación entre sí. La asistencia mutua abarcará, en particular, las solicitudes de información y las medidas de control, como, por ejemplo, las solicitudes de autorización y consulta previas, las inspecciones e investigaciones y la comunicación rápida de información sobre la apertura de expedientes y su evolución, cuando el responsable o el encargado del tratamiento tenga establecimientos en varios Estados miembros o cuando sea probable que las operaciones de tratamiento afecten a interesados en varios Estados miembros. La autoridad principal, tal como se define en el artículo 54 bis, se encargará de la coordinación con las autoridades de control interesadas y actuará como punto de contacto único para el responsable o el encargado del tratamiento. [Enm. 159]
2. Cada autoridad de control adoptará todas las medidas apropiadas requeridas para responder a la solicitud de otra autoridad de control sin demora y a más tardar en el plazo de un mes tras haber recibido la solicitud. Podrá tratarse, en particular, de la transmisión de información útil sobre el curso de una investigación o medidas represivas para que se proceda al cese o a la prohibición de las operaciones de tratamiento contrarias al presente Reglamento.
3. La solicitud de asistencia deberá contener toda la información necesaria, sobre todo la finalidad y los motivos de la solicitud. La información intercambiada se utilizará únicamente para los fines para la que se solicitó.
4. Una autoridad de control a la que se haya dirigido una solicitud de asistencia no podrá negarse a atenderla, salvo si:
a) no fuera competente para dar curso a la solicitud; o
b) el hecho de atender la solicitud fuera incompatible con las disposiciones del presente Reglamento.
5. La autoridad de control a la que se haya dirigido la solicitud informará a la autoridad de control solicitante de los resultados obtenidos o, en su caso, de los progresos registrados o de las medidas adoptadas para dar curso a su solicitud.
6. Las autoridades de control facilitarán la información solicitada por otras autoridades de control por vía electrónica y en el plazo más breve posible, utilizando un formato normalizado.
7. No se cobrará a la autoridad de control solicitante tasa alguna por las medidas adoptadas a raíz de una solicitud de asistencia mutua. [Enm. 160]
8. Cuando una autoridad de control no actúe en el plazo de un mes a solicitud de otra autoridad de control, la autoridad de control solicitante será competentescompetente para adoptar una medida provisional en el territorio de su Estado miembro de conformidad con lo dispuesto en el artículo 51, apartado 1, y someterá el asunto al Consejo Europeo de Protección de Datos de conformidad con el procedimiento contemplado en el artículo 57. La autoridad de control solicitante podrá adoptar medidas provisionales con arreglo al artículo 53 en el territorio de su Estado miembro si, debido a la asistencia aún no prestada, no se puede adoptar aún una medida definitiva. [Enm. 161]
9. La autoridad de control especificará el plazo de validez de dicha medida provisional. Dicho plazo no excederá de tres meses. La autoridad de control comunicará sin demora dichas medidas, debidamente motivadas, al Consejo Europeo de Protección de Datos y a la Comisión con arreglo al procedimiento contemplado en el artículo 57. [Enm. 162]
10. La ComisiónEl Consejo Europeo de Protección de Datos podrá especificar el formato y los procedimientos de asistencia mutua contemplados en el presente artículo, así como las modalidades del intercambio de información por vía electrónica entre las autoridades de control y entre las autoridades de control y el Consejo Europeo de Protección de Datos, en especial el formato normalizado contemplado en el apartado 6. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 87, apartado 2. [Enm. 163]
Artículo 56
Operaciones conjuntas de las autoridades de control
1. Con el fin de intensificar la cooperación y la asistencia mutua, las autoridades de control llevarán a cabo tareas de investigación conjuntas, medidas represivas conjuntas y otras operaciones conjuntas en las que participen miembros designados o personal de las autoridades de control de otros Estados miembros.
2. En los casos en que el responsable o el encargado del tratamiento tenga establecimientos en varios Estados miembros o en que sea probable que se vean afectados por las operaciones de tratamiento interesados en varios Estados miembros, tendrá derecho a participar en las tareas de investigación conjuntas o en las operaciones conjuntas, según proceda, una autoridad de control de cada uno de esos Estados miembros. La autoridad de control competente invitaráprincipal a tenor del artículo 54 bishará participar a la autoridad de control de cada uno de esos Estados miembros a tomar parte en las tareas de investigación conjuntas o en las operaciones conjuntas de que se trate y responderá sin demora a la solicitud de una autoridad de control que desee participar en las operaciones. La autoridad principal actuará como punto de contacto único para el responsable o el encargado del tratamiento. [Enm. 164]
3. En su calidad de autoridad de control de acogida, cada autoridad de control podrá, con arreglo a su Derecho interno y con la autorización de la autoridad de control de origen, conferir competencias de ejecución, en particular tareas de investigación, a los miembros o al personal de la autoridad de control de origen que participen en operaciones conjuntas o aceptar, en la medida en que lo permita la legislación de la autoridad de control de acogida, que los miembros o el personal de la autoridad de control de origen ejerzan sus competencias de ejecución de conformidad con la legislación de la autoridad de control de origen. Dichas competencias de ejecución solo podrán ejercerse bajo la orientación y, por regla general, en presencia de miembros o personal de la autoridad de control de acogida. Los miembros o el personal de la autoridad de control de origen estarán sujetos al Derecho interno de la autoridad de control de acogida. La autoridad de control de acogida asumirá la responsabilidad de sus actos.
4. Las autoridades de control establecerán los aspectos prácticos de las acciones de cooperación específicas.
5. Cuando una autoridad de control no cumpla en el plazo de un mes la obligación establecida en el apartado 2, las demás autoridades de control serán competentes para adoptar una medida provisional en el territorio de su Estado miembro, de conformidad con lo dispuesto en el artículo 51, apartado 1.
6. La autoridad de control especificará el plazo de validez de toda medida provisional contemplada en el apartado 5. Dicho plazo no excederá de tres meses. La autoridad de control comunicará sin demora dichas medidas, debidamente motivadas, al Consejo Europeo de Protección de Datos y a la Comisión y someterá el asunto al mecanismo contemplado en el artículo 57.
SECCIÓN 2
COHERENCIA
Artículo 57
Mecanismo de coherencia
Para los fines establecidos en el artículo 46, apartado 1, las autoridades de control cooperarán entre sí y con la Comisión, en el marco del mecanismo de coherencia tanto en asuntos de aplicación general, como en casos individuales de conformidad con lo que se dispone en la presente sección. [Enm. 165]
Artículo 58
Dictamen del Consejo Europeo de Protección de DatosCoherencia en asuntos de aplicación general
1. Antes de adoptar una medida contemplada en el apartado 2, las autoridades de control comunicarán el proyecto de medida al Consejo Europeo de Protección de Datos y a la Comisión.
2. La obligación establecida en el apartado 1 se aplicará a cualquier medida destinada a producir efectos jurídicos que:
a) ataña a actividades de tratamiento relacionadas con la oferta de bienes o servicios a interesados en varios Estados miembros o con el control de su comportamiento; o
b) pueda afectar sustancialmente a la libre circulación de datos personales dentro de la Unión; o
c) tenga por objeto la adopción de una lista de las operaciones de tratamiento que deben ser objeto de consulta previa de conformidad con lo dispuesto en el artículo 34, apartado 5; o
d) tenga por objeto la determinación de las cláusulas tipo de protección de datos contempladas en el artículo 42, apartado 2, letra c); o
e) tenga por objeto la autorización de las cláusulas tipo contempladas en el artículo 42, apartado 2, letra d); o
f) tenga por objeto la aprobación de normas corporativas vinculantes a tenor de lo dispuesto en el artículo 43.
3. Las autoridades de control o el Consejo Europeo de Protección de Datos podrán solicitar que cualquier asunto de aplicación general sea tratado en el marco del mecanismo de coherencia, en particular cuando una autoridad de control no presente un proyecto de medida contemplado en el apartado 2 o no cumpla las obligaciones relativas a la asistencia mutua de conformidad con lo dispuesto en el artículo 55 o a las operaciones conjuntas de conformidad con lo dispuesto en el artículo 56.
4. A fin de garantizar la aplicación correcta y coherente del presente Reglamento, la Comisión podrá solicitar que cualquier asunto de aplicación general sea tratado en el marco del mecanismo de coherencia.
5. Las autoridades de control y la Comisión comunicarán sin demoras injustificadas por vía electrónica y utilizando un formato normalizado toda información útil, en particular, cuando proceda, un resumen de los hechos, el proyecto de medida y los motivos por los que es necesaria su adopción.
6. El presidente del Consejo Europeo de Protección de Datos informará inmediatamentesin demora injustificada por vía electrónica a los miembros del Consejo Europeo de Protección de Datos y a la Comisión de cualquier información útil que le haya sido comunicadacomunicado, utilizando un formato normalizado. El presidentesecretario del Consejo Europeo de Protección de Datos facilitará, de ser sea necesario, traducciones de la información útil.
6 bis. El Consejo Europeo de Protección de Datos adoptará un dictamen sobre los asuntos que le sean sometidos con arreglo al apartado 2.
7. El Consejo Europeo de Protección de Datos emitirápodrá decidir por mayoría simple si adopta un dictamen sobre elcualquier asunto si así lo decide por mayoría simple de sus miembros o si cualquier autoridad de control o la Comisión lo solicitan en el plazo de una semana después de que se haya facilitado la información útilpresentado con arreglo a lo dispuesto en el apartado 5. El dictamen se adoptará en el plazo de un mes por mayoría simple de los miembros del Consejo Europeo de Protección de Datos. El presidente del Consejo Europeo de Protección de Datos informará del dictamen, sin demora injustificada, a la autoridad de control contemplada, según proceda, en los apartados 1 y 3, a la Comisión y a la autoridad de control competente en virtud del artículo 51, y lo hará público.los apartados 3 y 4 tomando en consideración:
a) si el asunto presenta elementos de novedad, teniendo en cuenta evoluciones jurídicas o de hecho, en especial en la tecnología de la información y a la luz del estado de progreso de la sociedad de la información; y
b) si el Consejo Europeo de Protección de Datos ha emitido ya un dictamen sobre el mismo asunto.
8. La autoridad de control contemplada en el apartado 1 y la autoridad de control competente en virtud del artículo 51 tendrán en cuenta el dictamen del Consejo Europeo de Protección de Datos y, en el plazo de dos semanas desde que el presidente del Consejo Europeo de Protección de Datos haya informado sobre el dictamen, comunicarán por vía electrónica a dicho presidente y a la Comisión si mantienen o modifican su proyecto de medida y, si lo hubiera, el proyecto de medida modificado, utilizando para ello un formato normalizadoEl Consejo Europeo de Protección de Datos adoptará dictámenes con arreglo a los apartados 6 bis y 7 por mayoría simple de sus miembros. Dichos dictámenes se harán públicos. [Enm. 166]
Artículo 58 bis
Coherencia en casos individuales
1. Antes de adoptar medidas destinadas a surtir efectos jurídicos en el sentido del artículo 54 bis, la autoridad principal compartirá toda la información pertinente y remitirá el proyecto de medida a todas las demás autoridades competentes. La autoridad principal no adoptará una medida si una autoridad competente ha indicado, en un plazo de tres semanas, que tiene objeciones graves a la medida.
2. Si una autoridad competente indica que tiene objeciones graves a un proyecto de medida de la autoridad principal o si la autoridad principal no remite el proyecto de medida a que se refiere el apartado 1 o no cumple sus obligaciones relativas a la asistencia mutua de conformidad con lo dispuesto en el artículo 55 o a las operaciones conjuntas de conformidad con lo dispuesto en el artículo 56, el Consejo Europeo de Protección de Datos estudiará la cuestión.
3. La autoridad principal y/u otras autoridades competentes concernidas y la Comisión comunicarán sin demora injustificada al Consejo Europeo de Protección de Datos, por vía electrónica y utilizando un formato normalizado, toda información útil, en particular, cuando proceda, un resumen de los hechos, el proyecto de medida, los motivos por los que es necesaria su adopción, las objeciones presentadas contra esta y las opiniones de las autoridades de control interesadas.
4. El Consejo Europeo de Protección de Datos estudiará el asunto, teniendo en cuenta las repercusiones del proyecto de medida de la autoridad principal sobre los derechos y las libertades fundamentales de los interesados, y decidirá por mayoría simple de sus miembros si emitir un dictamen sobre el asunto en un plazo de dos semanas después de que se haya facilitado la información útil con arreglo a lo dispuesto en el apartado 3.
5. En caso de que el Consejo Europeo de Protección de Datos decida emitir un dictamen, lo hará en un plazo de seis semanas y lo publicará.
6. La autoridad principal tendrá en cuenta el dictamen del Consejo Europeo de Protección de Datos y, en el plazo de dos semanas desde que el presidente del Consejo Europeo de Protección de Datos haya informado sobre el dictamen, comunicará por vía electrónica a dicho presidente y a la Comisión si mantiene o modifica su proyecto de medida y, si lo hubiera, el proyecto de medida modificado, utilizando para ello un formato normalizado. Cuando la autoridad principal no tenga intención de atenerse al dictamen del Consejo Europeo de Protección de Datos, deberá presentar una justificación motivada.
7. En caso de que el Consejo Europeo de Protección de Datos siga oponiéndose a la medida de la autoridad de control contemplada en el apartado 5, podrá adoptar, en el plazo de un mes, por mayoría de dos tercios una medida que será vinculante para la autoridad de control. [Enm. 167]
Artículo 59
Dictamen de la Comisión
1. En el plazo de diez semanas a partir de que se haya planteado un asunto en virtud del artículo 58 o, a más tardar, en el plazo de seis semanas en el caso contemplado en el artículo 61, la Comisión podrá adoptar, para garantizar la aplicación correcta y coherente del presente Reglamento, un dictamen sobre los asuntos planteados con arreglo a lo dispuesto en los artículos 58 o 61.
2. Cuando la Comisión haya adoptado un dictamen de conformidad con lo dispuesto en el apartado 1, la autoridad de control afectada tendrá debidamente en cuenta el dictamen de la Comisión e informará a la Comisión y al Consejo Europeo de Protección de Datos su intención de mantener o modificar su proyecto de medida.
3. Durante el plazo contemplado en el apartado 1, la autoridad de control se abstendrá de adoptar el proyecto de medida.
4. Cuando la autoridad de control interesada no tenga intención de atenerse al dictamen de la Comisión, informará de ello a la Comisión y al Consejo Europeo de Protección de Datos en el plazo contemplado en el apartado 1 y motivará su decisión. En este caso, el proyecto de medida no podrá adoptarse durante un plazo adicional de un mes.[Enm. 168]
Artículo 60
Suspensión de un proyecto de medida
1. En el plazo de un mes a partir de la comunicación contemplada en el artículo 59, apartado 4, y cuando la Comisión tenga serias dudas en cuanto a si el proyecto de medida permitirá garantizar la correcta aplicación del presente Reglamento o si, por el contrario, resultará en una aplicación incoherente del mismo, la Comisión podrá adoptar una decisión motivada por la que exija a la autoridad de control que suspenda la adopción del proyecto de medida, teniendo en cuenta el dictamen emitido por el Consejo Europeo de Protección de Datos de conformidad con lo dispuesto en el artículo 59, apartado 7, o en el artículo 61, apartado 2, cuando ello parezca necesario para:
a) aproximar las posiciones divergentes de la autoridad de control y del Consejo Europeo de Protección de Datos, si aún parece posible; o
b) adoptar una medida de conformidad con lo dispuesto en el artículo 62, apartado 1, letra a).
2. La Comisión especificará la duración de la suspensión, que no podrá exceder de doce meses.
3. Durante el periodo contemplado en el apartado 2, la autoridad de control no podrá adoptar el proyecto de medida. [Enm. 169]
Artículo 60 bis
Notificación del Parlamento Europeo y del Consejo
La Comisión informará al Parlamento Europeo y al Consejo a intervalos regulares, al menos semestralmente, sobre la base de un informe del presidente del Consejo Europeo de Protección de Datos, sobre los asuntos tratados en el marco del mecanismo de coherencia, y expondrá las conclusiones extraídas por la Comisión y por el Consejo Europeo de Protección de Datos con miras a garantizar la coherencia en la aplicación del presente Reglamento. [Enm. 170]
Artículo 61
Procedimiento de urgencia
1. En circunstancias excepcionales, cuando una autoridad de control considere que es urgente intervenir para proteger los intereses de interesados, en particular cuando exista el peligro de que el ejercicio efectivo de un derecho de un interesado pueda verse considerablemente obstaculizado por una alteración de la situación existente, o para evitar inconvenientes importantes o por otros motivos, podrá adoptar inmediatamente, como excepción al procedimiento contemplado en el artículo 5858 bis, medidas provisionales con un periodo de validez determinado. La autoridad de control comunicará sin demora dichas medidas, debidamente motivadas, al Consejo Europeo de Protección de Datos y a la Comisión. [Enm. 171]
2. Cuando una autoridad de control haya adoptado una medida de conformidad con lo dispuesto en el apartado 1, y considere que deben adoptarse urgentemente medidas definitivas, podrá solicitar con carácter urgente un dictamen del Consejo Europeo de Protección de Datos, motivando su solicitud, y en particular la urgencia de las medidas definitivas.
3. Cualquier autoridad de control podrá solicitar, motivando su solicitud y, en particular, la urgencia de la intervención, un dictamen urgente cuando la autoridad de control competente no haya tomado una medida apropiada en una situación en la que sea urgente intervenir a fin de proteger los intereses de los interesados.
4. No obstante lo dispuesto en el artículo 58, apartado 7, Los dictámenes urgentes contemplados en los apartados 2 y 3 del presente artículo se adoptarán en el plazo de dos semanas por mayoría simple de los miembros del Consejo Europeo de Protección de Datos. [Enm. 172]
Artículo 62
Actos de ejecución
1. La Comisión, tras solicitar el dictamen del Consejo Europeo de Protección de Datos, podrá adoptar actos de ejecución de aplicación general para:
a) decidir sobre la aplicación correcta del presente Reglamento de conformidad con sus objetivos y requisitos en relación con los asuntos comunicados por las autoridades de control con arreglo a lo dispuesto en los artículos 58 o 61, en lo tocante a un asunto en relación con el cual se haya adoptado una decisión motivada de conformidad con lo dispuesto en el artículo 60, apartado 1, o a un asunto en relación con el cual una autoridad de control no haya presentado un proyecto de medida y haya anunciado que no tiene intención de atenerse al dictamen de la Comisión adoptado de conformidad con lo dispuesto en el artículo 59;
b) decidir, en el plazo contemplado en el artículo 59, apartado 1, si declara que el proyecto de cláusulas tipo de protección de datos contemplado en el artículo 5842, apartado 2, la letra d), tiene validez general;
c) especificar el formato y los procedimientos de aplicación del mecanismo de coherencia contemplado en la presente sección;
d) especificar las modalidades de intercambio de información por vía electrónica entre las autoridades de control, y entre dichas autoridades y el Consejo Europeo de Protección de Datos, en especial el formato normalizado contemplado en el artículo 58, apartados 5, 6 y 8.
Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 87, apartado 2.
2. Por razones de imperiosa urgencia debidamente justificadas relativas a los intereses de los interesados en los casos contemplados en el apartado 1, letra a), la Comisión adoptará inmediatamente actos de ejecución inmediatamente aplicables de conformidad con el procedimiento contemplado en el artículo 87, apartado 3. Estos actos estarán vigentes durante un periodo no superior a doce meses.
3. La ausencia o la adopción de una medida en virtud de la presente sección se entenderán sin perjuicio de cualquier otra medida adoptada por la Comisión en virtud de los Tratados. [Enm. 173]
Artículo 63
Ejecución
1. A efectos del presente Reglamento, toda medida ejecutoria adoptada por la autoridad de control de un Estado miembro se ejecutará en todos los Estados miembros afectados.
2. Cuando una autoridad de control no presente un proyecto de medida al mecanismo de coherencia, contrariamente a lo dispuesto en el artículo 58, apartados 1 a 5y 2 o bien adopte una medida a pesar de la indicación de objeciones graves con arreglo al artículo 58 bis, apartado 1, la medida de la autoridad de control carecerá de validez jurídica y no tendrá carácter ejecutorio. [Enm. 174]
SECCIÓN 3
CONSEJO EUROPEO DE PROTECCIÓN DE DATOS
Artículo 64
Consejo Europeo de Protección de Datos
1. Se crea el Consejo Europeo de Protección de Datos.
2. El Consejo Europeo de Protección de Datos estará compuesto por el director de una autoridad de control de cada Estado miembro y por el Supervisor Europeo de Protección de Datos.
3. Cuando en un Estado miembro estén encargados de controlar la aplicación de las disposiciones del presente Reglamento varias autoridades de control, estas nombrarán al director de una de ellas como representante común.
4. La Comisión tendrá derecho a participar en las actividades y reuniones del Consejo Europeo de Protección de Datos y designará un representante. El presidente del Consejo Europeo de Protección de Datos informará sin demora a la Comisión de todas las actividades del Consejo Europeo de Protección de Datos.
Artículo 65
Independencia
1. El Consejo Europeo de Protección de Datos actuará con total independencia en el ejercicio de las tareas que se le encomienden con arreglo a lo dispuesto en los artículos 66 y 67.
2. Sin perjuicio de las solicitudes de la Comisión contempladas en el apartado 1, letra b), y en el apartado 2 del artículo 66, en el ejercicio de sus tareas el Consejo Europeo de Protección de Datos no solicitará ni admitirá instrucciones de nadie.
Artículo 66
Tareas del Consejo Europeo de Protección de Datos
1. El Consejo Europeo de Protección de Datos velará por la aplicación coherente del presente Reglamento. A tal efecto, el Consejo Europeo de Protección de Datos, a iniciativa propia o a instancia del Parlamento Europeo, del Consejo o de la Comisión, en particular:
a) asesorará a la Comisiónlas instituciones europeas sobre toda cuestión relativa a la protección de datos personales en la Unión, en particular sobre cualquier propuesta de modificación del presente Reglamento;
b) examinará, a iniciativa propia o a instancia de uno de sus miembros, del Parlamento Europeo, del Consejo o de la Comisión, cualquier cuestión relativa a la aplicación del presente Reglamento, y emitirá directrices, recomendaciones y mejores prácticas dirigidas a las autoridades de control, a fin de promover la aplicación coherente del presente Reglamento, también en cuanto al uso de competencias de ejecución;
c) examinará la aplicación práctica de las directrices, recomendaciones y mejores prácticas contempladas en la letra b) e informará de ellas periódicamente a la Comisión;
d) emitirá dictámenes sobre los proyectos de decisión de las autoridades de control con arreglo al mecanismo de coherencia contemplado en el artículo 57;
d bis) emitirá un dictamen sobre qué autoridad debe ser la autoridad principal de conformidad con el artículo 54 bis, apartado 3;
e) promoverá la cooperación y los intercambios bilaterales y multilaterales efectivos de información y de prácticas entre las autoridades de control, incluida la coordinación de operaciones conjuntas y otras actividades comunes, cuando así lo decida a solicitud de una o varias autoridades de control;
f) promoverá programas de formación comunes y facilitará los intercambios de personal entre las autoridades de control, así como, cuando proceda, con las autoridades de control de terceros países o de organizaciones internacionales;
g) promoverá el intercambio de conocimientos y documentación sobre la legislación y las prácticas en materia de protección de datos con las autoridades de control de la protección de datos a escala mundial;
g bis) ofrecerá su dictamen a la Comisión con respecto a la elaboración de actos delegados y de ejecución basados en el presente Reglamento;
g ter) emitirá un dictamen sobre los códigos de conducta elaborados a escala de la Unión de conformidad con lo dispuesto en el artículo 38, apartado 4;
g quater) emitirá un dictamen sobre los criterios y requisitos aplicables a los mecanismos de certificación en materia de protección de datos contemplados en el artículo 39, apartado 2;
g quinquies) mantendrá un registro público electrónico de los certificados válidos e inválidos de conformidad con el artículo 39, apartado 1 nonies;
g sexies) proporcionará asistencia a las autoridades de control nacionales, a petición de estas;
g septies) establecerá y publicará una lista de los tipos de operaciones de tratamiento que deben ser objeto de consulta previa de conformidad con lo dispuesto en el artículo 34;
g octies) mantendrá un registro de las sanciones impuestas a los responsables o encargados del tratamiento por parte de las autoridades de control competentes.
2. Cuando el Parlamento Europeo, el Consejo o la Comisión solicitesoliciten asesoramiento del Consejo Europeo de Protección de Datos, podrá fijar un plazo para la prestación de dicho asesoramiento, teniendo en cuenta la urgencia del asunto.
3. El Consejo Europeo de Protección de Datos transmitirá sus dictámenes, directrices, recomendaciones y mejores prácticas al Parlamento Europeo, al Consejo, a la Comisión y al Comité contemplado en el artículo 87, y los hará públicos.
4. La Comisión informará al Consejo Europeo de Protección de Datos de las medidas que haya adoptado siguiendo los dictámenes, directrices, recomendaciones y mejores prácticas emitidos por dicho Consejo.
4 bis. Cuando proceda, el Consejo Europeo de Protección de Datos consultará a las partes interesadas y les dará la oportunidad de hacer sus comentarios en un plazo razonable. Asimismo, sin perjuicio de lo dispuesto en el artículo 72, el Consejo Europeo de Protección de Datos publicará los resultados del procedimiento de consulta.
4 ter. Se encomendará al Consejo Europeo de Protección de Datos la tarea de publicar directrices, recomendaciones y mejores prácticas, de conformidad con el apartado 1, letra b), a fin de determinar procedimientos comunes para recibir e investigar las informaciones relativas a acusaciones de tratamiento de datos ilícito y para salvaguardar la confidencialidad y las fuentes de la información recibida. [Enm. 175]
Artículo 67
Informes
1. El Consejo Europeo de Protección de Datos informará periódicamente y en su debido momento al Parlamento Europeo, al Consejo y a la Comisión sobre el resultado de sus actividades. Elaborará un informe anualal menos cada dos años sobre la situación en materia de protección de las personas físicas en lo que respecta al tratamiento de datos personales en la Unión y en terceros países.
El informe incluirá el examen de la aplicación práctica de las directrices, recomendaciones y mejores prácticas contempladas en el artículo 66, apartado 1, letra c).[Enm. 176]
2. El informe se hará público y se transmitirá al Parlamento Europeo, al Consejo y a la Comisión.
Artículo 68
Procedimiento
1. El Consejo Europeo de Protección de Datos tomará sus decisiones por mayoría simple de sus miembros, salvo que su reglamento interno disponga otra cosa. [Enm. 177]
2. El Consejo Europeo de Protección de Datos adoptará su reglamento interno y sus disposiciones de funcionamiento. En concreto, adoptará disposiciones relativas a la continuidad del ejercicio de las funciones cuando dimita un miembro o expire su mandato, la creación de subgrupos para temas o sectores específicos y los procedimientos que aplicará en lo que respecta al mecanismo de coherencia contemplado en el artículo 57.
Artículo 69
Presidente
1. El Consejo Europeo de Protección de Datos elegirá de entre sus miembros un presidente y al menos dos vicepresidentes. Uno de los vicepresidentes será el Supervisor Europeo de Protección de Datos, salvo que haya sido elegido presidente. [Enm. 178]
2. La duración del mandato del presidente y de los vicepresidentes será de cinco años renovables.
2 bis. La posición del presidente será a tiempo completo. [Enm. 179]
Artículo 70
Tareas del presidente
1. El presidente desempeñará las siguientes funciones:
a) convocar las reuniones del Consejo Europeo de Protección de Datos y preparar su agenda;
b) garantizar el cumplimiento puntual de las tareas del Consejo Europeo de Protección de Datos, en particular, en relación con el mecanismo de coherencia contemplado en el artículo 57.
2. El Consejo Europeo de Protección de Datos determinará la distribución de tareas entre el presidente y los vicepresidentes en su reglamento interno.
Artículo 71
Secretaría
1. El Consejo Europeo de Protección de Datos contará con una secretaría. El Supervisor Europeo de Protección de Datos se hará cargo de dicha secretaría.
2. La secretaría prestará apoyo analítico, jurídico, administrativo y logístico al Consejo Europeo de Protección de Datos, bajo la dirección del presidente. [Enm. 180]
3. La secretaría será responsable, en particular, de:
a) los asuntos corrientes del Consejo Europeo de Protección de Datos;
b) la comunicación entre los miembros del Consejo Europeo de Protección de Datos, su presidente y la Comisión, así como de la comunicación con otras instituciones y con el público;
c) la utilización de medios electrónicos para la comunicación interna y externa;
d) la traducción de la información pertinente;
e) la preparación y el seguimiento de las reuniones del Consejo Europeo de Protección de Datos;
f) la preparación, redacción y publicación de dictámenes y otros textos adoptados por el Consejo Europeo de Protección de Datos.
Artículo 72
Confidencialidad
1. Los debates del Consejo Europeo de Protección de Datos serán confidenciales podrán ser confidenciales cuando sea necesario, a menos que el reglamento interno disponga lo contrario. Los órdenes del día de las reuniones del Consejo Europeo de Protección de Datos se harán públicos. [Enm. 181]
2. Los documentos presentados a los miembros del Consejo Europeo de Protección de Datos, los expertos y los representantes de terceras partes serán confidenciales, salvo que se conceda el acceso a dichos documentos de conformidad con el Reglamento (CE) nº 1049/2001 del Parlamento Europeo y del Consejo(20), o que el Consejo Europeo de Protección de Datos decida hacerlos públicos.
3. Los miembros del Consejo Europeo de Protección de Datos, los expertos y los representantes de terceras partes estarán obligados a respetar las obligaciones de confidencialidad dispuestas en el presente artículo. El presidente se cerciorará de que los expertos y los representantes de terceras partes tengan conocimiento de las obligaciones de confidencialidad que han de respetar.
CAPÍTULO VIII
RECURSOS, RESPONSABILIDAD Y SANCIONES
Artículo 73
Derecho a presentar una reclamación ante una autoridad de control
1. Sin perjuicio de los recursos administrativos o judiciales y del mecanismo de coherencia, todo interesado tendrá derecho a presentar una reclamación ante la autoridad de control de cualquier Estado miembro si considera que el tratamiento de sus datos personales no se ajusta a lo dispuesto en el presente Reglamento.
2. Todo organismo, organización o asociación que tenga por objeto proteger los derechos e intereses de los interesados por lo que se refiere a la protección de sus datos personalesactúe en interés público, y que haya sido correctamente constituido con arreglo a la legislación de un Estado miembro, tendrá derecho a presentar una reclamación ante una autoridad de control en cualquier Estado miembro por cuenta de uno o más interesados si considera que los derechos que les asisten en virtud del presente Reglamento han sido vulnerados como consecuencia del tratamiento de los datos personales.
3. Independientemente de la reclamación de un interesado, los organismos, organizaciones o asociaciones contemplados en el apartado 2 tendrán derecho a presentar una reclamación ante una autoridad de control en cualquier Estado miembro, si consideran que se ha producido una violación de los datos personalesdel presente Reglamento. [Enm. 182]
Artículo 74
Derecho a un recurso judicial contra una autoridad de control
1. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica tendrá derecho a un recurso judicial contra las decisiones de una autoridad de control que le conciernan.
2. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, todo interesado tendrá derecho a un recurso judicial que obligue a la autoridad de control a dar curso a una reclamación en ausencia de una decisión necesaria para proteger sus derechos, o en caso de que la autoridad de control no informe al interesado en el plazo de tres meses sobre el curso o el resultado de la reclamación con arreglo a lo dispuesto en el artículo 52, apartado 1, letra b).
3. Las acciones legales contra una autoridad de control deberán ejercitarse antesante los órganos jurisdiccionales del Estado miembro en que esté establecida la autoridad de control.
4. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, el interesado que se vea afectado por una decisión de una autoridad de control de un Estado miembro en el que no tiene su residencia habitual podrá solicitar a la autoridad de control del Estado miembro en el que tiene su residencia habitual que ejercite en su nombre una acción contra la autoridad de control competente en el otro Estado miembro.
5. Los Estados miembros deberán ejecutar las resoluciones definitivas de los órganos jurisdiccionales mencionados en el presente artículo. [Enm. 183]
Artículo 75
Derecho a un recurso judicial contra un responsable o encargado
1. Sin perjuicio de los recursos administrativos disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control al que se refiere el artículo 73, las personas físicas tendrán derecho a un recurso judicial cuando consideren que los derechos que les asisten en virtud del presente Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales no conforme con el presente Reglamento.
2. Las acciones contra un responsable o encargado deberán ejercitarse ante los órganos jurisdiccionales del Estado miembro en el que el responsable o encargado tenga un establecimiento. Alternativamente, tales acciones podrán ejercitarse ante los órganos jurisdiccionales del Estado miembro en que el interesado tenga su residencia habitual, a menos que el responsable sea una autoridad pública de la Unión o de un Estado miembro que actúa en ejercicio del poder público. [Enm. 184]
3. Cuando estuviere pendiente ante el mecanismo de coherencia contemplado en el artículo 58 un procedimiento referido a la misma medida, decisión o práctica, un órgano jurisdiccional podrá suspender el procedimiento incoado, salvo cuando la urgencia del asunto de que se trate para la protección de los derechos del interesado no permita esperar al resultado del procedimiento del mecanismo de coherencia.
4. Los Estados miembros deberán ejecutar las resoluciones definitivas de los órganos jurisdiccionales mencionados en el presente artículo.
Artículo 76
Normas comunes para los procedimientos judiciales
1. Todo organismo, organización o asociación a que se refiere el artículo 73, apartado 2, tendrá derecho a ejercer los derechos contemplados en los artículos 74 y, 75 en nombre dey 77 si ha sido autorizado por uno o más interesados. [Enm. 185]
2. Las autoridades de control tendrán derecho a litigar y ejercitar acciones ante un órgano jurisdiccional con el fin de garantizar el cumplimiento de las disposiciones del presente Reglamento o de garantizar la coherencia de la protección de los datos personales en el territorio de la Unión.
3. Cuando un órgano jurisdiccional competente de un Estado miembro tenga motivos razonables para creer que se están llevando a cabo procedimientos paralelos en otro Estado miembro, se pondrá en contacto con el órgano jurisdiccional competente de dicho Estado miembro a fin de confirmar la existencia de tales procedimientos paralelos.
4. Cuando tales procedimientos paralelos en otro Estado miembro se refieran a la misma medida, decisión o práctica, el órgano jurisdiccional podrá suspender el procedimiento.
5. Los Estados miembros velarán por que las acciones jurisdiccionales existentes en virtud de la legislación nacional permitan la rápida adopción de medidas, incluso medidas provisionales, destinadas a poner término a cualquier presunta infracción y a evitar que se produzcan nuevos perjuicios contra los intereses afectados.
Artículo 77
Derecho a indemnización y responsabilidad
1. Toda persona que haya sufrido un perjuicio, incluidos los daños no pecuniarios, como consecuencia de una operación de tratamiento ilegalilícito o de un acto incompatible con el presente Reglamento tendrá derecho a recibirreclamar del responsable o encargado del tratamiento una indemnización por el perjuicio sufrido. [Enm. 186]
2. En caso de que más de un responsable o encargado participe en el tratamiento, todos loscada uno de estos responsables o encargados serán responsables solidarios del importe total de los daños a menos que cuenten con el correspondiente acuerdo por escritoque determine las responsabilidades con arreglo al artículo 24. [Enm. 187]
3. El responsable o el encargado del tratamiento podrá ser eximido total o parcialmente de dicha responsabilidad si demuestra que no se le puede imputar el hecho que ha provocado el daño.
Artículo 78
Sanciones
1. Los Estados miembros establecerán normas sobre las sanciones aplicables a las infracciones de las disposiciones del presente Reglamento y adoptarán todas las medidas necesarias para garantizar su cumplimiento, incluso en el caso de que el responsable del tratamiento no cumpla la obligación de designar a un representante. Las sanciones establecidas deberán ser efectivas, proporcionadas y disuasorias.
2. Cuando el responsable del tratamiento haya designado un representante, cualquier sanción se impondrá a este último, sin perjuicio de las sanciones que pudieran promoverse contra el controlador.
3. Cada Estado miembro notificará a la Comisión las disposiciones legislativas que adopte de conformidad con el apartado 1, a más tardar en la fecha especificada en el artículo 91, apartado 2, y, sin demora, cualquier modificación posterior de las mismas.
Artículo 79
Sanciones administrativas
1. Cada autoridad de control estará facultada para imponer sanciones administrativas de acuerdo con el presente artículo. Las autoridades de control cooperarán entre sí, de conformidad con los artículos 46 y 57, para garantizar un nivel armonizado de sanciones en el seno de la Unión.
2. La sanción administrativa deberá ser efectiva, proporcionada y disuasoria en todos los casos. El importe de la multa administrativa se fijará teniendo en cuenta la naturaleza, gravedad y duración de la infracción, la intencionalidad o negligencia en la infracción, el grado de responsabilidad de la persona física o jurídica y anteriores infracciones de dicha persona, las medidas de carácter técnico y organizativo y los procedimientos aplicados de conformidad con el artículo 23, así como el grado de cooperación con la autoridad de control con el fin de reparar la infracción.
2 bis. A quienes no cumplan las obligaciones establecidas en el presente Reglamento, las autoridades de control podrán imponer como mínimo una de las sanciones siguientes:
a) una advertencia escrita en el caso de un primer incumplimiento no deliberado;
b) auditorías periódicas de protección de datos;
c) una multa de hasta 100 000 000 EUR o el 5 % de su volumen de negocios anual a escala mundial en el caso de una empresa, si esta última cifra fuera mayor.
2 ter. Si el responsable o el encargado están en posesión de un «Sello Europeo de Protección de Datos» de conformidad con el artículo 39, únicamente se les podrá imponer una multa en virtud del apartado 2 bis, letra c), en casos de incumplimiento doloso o negligente.
2 quater. La sanción administrativa tendrá en cuenta los siguientes factores:
a) la naturaleza, gravedad y duración de la infracción;
b) la intencionalidad o negligencia en la infracción;
c) el grado de responsabilidad de la persona física o jurídica y de las anteriores infracciones cometidas por dicha persona;
d) el carácter repetitivo de la infracción;
e) el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;
f) las categorías específicas de los datos de carácter personal afectados por la infracción;
g) el nivel de los perjuicios, incluidos los daños no pecuniarios, sufridos por los interesados;
h) las medidas tomadas por el responsable o encargado para paliar el perjuicio sufrido por los interesados;
i) los beneficios económicos previstos u obtenidos o las pérdidas evitadas, directa o indirectamente, gracias a la infracción;
j) el grado de medidas de carácter técnico y organizativo y los procedimientos aplicados de conformidad con:
i) el artículo 23 - Protección de datos desde el diseño y por defecto;
ii) el artículo 30 - Seguridad del tratamiento;
iii) el artículo 33 - Evaluación de impacto relativa a la protección de datos;
iv) el artículo 33 bis - Revisión del cumplimiento de la protección de datos;
v) el artículo 35 - Designación del delegado de protección de datos;
k) la negativa a cooperar con, o la obstrucción de las inspecciones, auditorías y controles llevados a cabo por la autoridad de control, de conformidad con el artículo 53;
l) otros factores agravantes o atenuantes aplicables a las circunstancias del caso.
3. En el caso de un primer incumplimiento no deliberado del presente Reglamento, podrá enviarse una advertencia escrita y no se impondrá sanción alguna, si:
a) una persona física realiza el tratamiento de datos personales sin interés comercial o,
b) una empresa o una organización que emplee menos de 250 personas trata datos personales únicamente como actividad auxiliar de su actividad principal.
4. La autoridad de control impondrá una multa de hasta 250 000 EUR o, si se trata de una empresa, de hasta el 0,5 % de su volumen de negocios anual a nivel mundial, a toda persona que, de forma deliberada o por negligencia:
a) no proporcione los mecanismos de solicitud de los interesados o no responda a tiempo o en el formato requerido a los interesados en virtud del artículo 12, apartados 1 y 2;
b) imponga el pago de una tasa por la información o por las respuestas a las solicitudes de los interesados en incumplimiento de lo dispuesto en el artículo 12, apartado 4.
5. La autoridad de control impondrá una multa de hasta 500 000 EUR o, si se trata de una empresa, de hasta el 1 % de su volumen de negocios anual a nivel mundial, a todo aquel que, de forma deliberada o por negligencia:
a) no facilite la información, o facilite información incompleta, o no facilite la información de una manera suficientemente transparente al interesado, de conformidad con el artículo 11, el artículo 12, apartado 3, y el artículo 14;
b) no facilite el acceso a los datos por parte del interesado o no rectifique datos personales con arreglo a los artículos 15 y 16, o no comunique la información pertinente a un destinatario de conformidad con el artículo 13;
c) no respete el derecho al olvido o a la supresión, no establezca mecanismos para garantizar el cumplimiento de los plazos o no tome todas las medidas necesarias para informar a los terceros de que un interesado les solicita que supriman cualquier vínculo a sus datos personales, o cualquier copia o réplica de los mismos, de conformidad con el artículo 17;
d) no facilite una copia de los datos personales en formato electrónico u obstaculice la transmisión de los datos personales por parte del interesado a otro sistema de tratamiento automatizado en violación del artículo 18;
e) no determine o determine insuficientemente las responsabilidades respectivas de los corresponsables con arreglo a lo dispuesto en el artículo 24;
f) no conserve documentación o no conserve la documentación suficiente con arreglo a lo dispuesto en el artículo 28, el artículo 31, apartado 4, y el artículo 44, apartado 3;
g) no cumpla, en los casos que no afecten a categorías especiales de datos, de acuerdo con los artículos 80, 82 y 83, las normas relativas a la libertad de expresión, las normas sobre el tratamiento de los datos en el ámbito laboral o las condiciones para el tratamiento de datos con fines de investigación histórica, estadística y científica.
6. La autoridad de control impondrá una multa de hasta 1 000 000 EUR o, si se trata de una empresa, de hasta el 2 % de su volumen de negocios anual a nivel mundial, a todo aquel que, de forma deliberada o por negligencia:
a) trate datos personales sin base jurídica o sin base jurídica suficiente para el tratamiento, o no cumpla las condiciones para el consentimiento con arreglo a los artículos 6, 7 y 8;
b) trate categorías especiales de datos personales en violación de los artículos 9 y 81;
c) no se allane a una oposición o a la obligación dispuesta en el artículo 19;
d) no cumpla las condiciones relativas a las medidas basadas en la elaboración de perfiles contempladas en el artículo 20;
e) no adopte políticas internas o no implemente medidas adecuadas para asegurar y demostrar la conformidad del tratamiento con los artículos 22, 23, y 30;
f) no designe a un representante en virtud del artículo 25;
g) trate o instruya el tratamiento de datos personales incumpliendo las obligaciones relativas al tratamiento por cuenta de un responsable del tratamiento contempladas en los artículos 26 y 27;
h) no alerte o no notifique una violación de datos personales o no notifique a tiempo o completamente la violación de datos personales a la autoridad de control o al interesado de acuerdo con los artículos 31 y 32;
i) no lleve a cabo una evaluación del impacto en la protección de datos o trate datos personales sin autorización o sin consulta previas de la autoridad de control con arreglo a los artículos 33 y 34;
j) no designe un agente de protección de datos o no garantice las condiciones para cumplir las tareas con arreglo a los artículos 35, 36 y 37;
k) haga un uso indebido de los sellos y marcas contemplados en el artículo 39;
l) lleve a cabo o instruya una transferencia de datos a un tercer país o a una organización internacional que no esté autorizada por una decisión de adecuación o por las garantías adecuadas o por alguna de las excepciones con arreglo a los artículos 40 a 44;
m) no cumpla un requerimiento o la prohibición temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control con arreglo al artículo 53, apartado1;
n) no cumpla las obligaciones de cooperación con la autoridad de control o no responda o no le facilite la información pertinente o el acceso a sus locales con arreglo al artículo 28, apartado 3, al artículo 29, al artículo 34, apartado 6, y al artículo 53, apartado 2;
o) no cumpla las normas de salvaguarda del secreto profesional con arreglo al artículo 84.
7. La Comisión estará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a efectos de la actualización de los importes absolutos de las multas administrativas a que se hace referencia en los apartados 4, 5 y 6el apartado 2 bis del presente artículo, teniendo en cuenta los criterios y los factores indicados en el apartadolos apartados 2 y 2 ter. [Enm. 188]
CAPÍTULO IX
DISPOSICIONES RELATIVAS A SITUACIONES DE TRATAMIENTO DE DATOS ESPECÍFICAS
Artículo 80
Tratamiento de datos personales y libertad de expresión
1. Los Estados miembros dispondrán exenciones o excepciones a las disposiciones relativas a los principios generales del Capítulo II, los derechos del interesado del Capítulo III, el responsable y el encargado del Capítulo IV, la transferencia de datos personales a terceros países y a organizaciones internacionales del Capítulo V, las autoridades de control independientes del Capítulo VI, la cooperación y la coherencia del Capítulo VII efectuado exclusivamente con fines periodísticos o de expresión literaria o artística, y las situaciones específicas de tratamiento de datos del presente capítulo cuando sea necesario para compatibilizar el derecho a la protección de los datos de carácter personal con las normas que rigen la libertad de expresión de conformidad con la Carta. [Enm. 189]
2. Cada Estado miembro notificará a la Comisión las disposiciones legislativas que adopte de conformidad con el apartado 1, a más tardar en la fecha especificada en el artículo 91, apartado 2, y, sin demora, cualquier modificación posterior modificación posterior de las mismas.
Artículo 80 bis
Acceso a los documentos
1. Una autoridad u organismo públicos podrán comunicar los datos personales en documentos que obren en su poder de conformidad con la legislación de la Unión o del Estado miembro relativa al acceso público a documentos oficiales, que reconcilia el derecho a la protección de los datos personales con el principio de acceso público a documentos oficiales.
2. Cada Estado miembro notificará a la Comisión las disposiciones legislativas que adopte de conformidad con el apartado 1, a más tardar en la fecha especificada en el artículo 91, apartado 2, y, sin demora, cualquier modificación posterior de las mismas. [Enm. 190]
Artículo 81
Tratamiento de datos personales relativos a la salud
1. Dentro de los límites establecidos enDe conformidad con las normas definidas en el presente Reglamento y de conformidad, en particular con el artículo 9, apartado 2, letra h), el tratamiento de datos personales relativos a la salud deberá realizarse sobre la base del Derecho de la Unión o de los Estados miembros, que deberá establecer las disposiciones específicas, coherentes y adecuadas para salvaguardar los legítimos intereses y los derechos fundamentales del interesado, y deberá ser necesario en la medida en que estos sean necesarios y proporcionados y cuyos efectos sean previsibles por parte del interesado:
a) a los fines de la medicina preventiva o la medicina del trabajo, el diagnóstico médico, la prestación de asistencia sanitaria o el tratamiento o la gestión de los servicios de asistencia sanitaria, siempre que tales datos sean tratados por un profesional sanitario sujeto a la obligación del secreto profesional o por otra persona también sujeta a una obligación de confidencialidad equivalente en virtud de la legislación del Estado miembro o de las normas establecidas por los organismos nacionales competentes; o
b) por razones de interés público en el ámbito de la salud pública, como la protección contra riesgos sanitarios transfronterizos graves, o para garantizar altos niveles de calidad y seguridad de los medicamentos o del material sanitario y cuando el tratamiento de estos datos lo lleve a cabo una persona sujeta a la obligación de confidencialidad; o
c) por otras razones de interés público en ámbitos como la protección social, especialmente a fin de garantizar la calidad y la rentabilidad de los procedimientos utilizados para resolver las reclamaciones de prestaciones y de servicios en el régimen del seguro de enfermedad y la prestación de servicios de salud. Este tratamiento de datos personales relativos a la salud por razones de interés público no debe tener como consecuencia que los datos sean sometidos a tratamiento para otros fines a menos que se haga con el consentimiento del interesado o sobre la base de la legislación de la Unión o de los Estados miembros.
1 bis. Cuando los fines mencionados en las letras a) a c) del apartado 1 puedan alcanzarse sin recurrir a los datos de carácter personal, estos últimos no se utilizarán para esos fines, a menos que se basen en el consentimiento del interesado o en el Derecho de los Estados miembros.
1 ter. Cuando se requiera el consentimiento del interesado para el tratamiento de datos médicos exclusivamente con fines de investigación sobre la salud pública, podrá darse el consentimiento a una o más investigaciones específicas y similares. Sin embargo, el interesado podrá retirar su consentimiento en cualquier momento.
1 quater. A fines de dar el consentimiento a la participación en actividades de investigación científica en ensayos clínicos, se aplicarán las disposiciones pertinentes de la Directiva 2001/20/CE del Parlamento Europeo y del Consejo(21).
2. El tratamiento de datos personales relativos a la salud que sea necesario para los fines de la investigación histórica, estadística o científica, como el establecimiento de registros de pacientes con el fin de mejorar el diagnóstico, distinguir entre tipos de enfermedades similares y preparar estudios para terapias, solo se autorizará con el consentimiento del interesado y estará supeditado al cumplimiento de las condiciones y garantías contempladas en el artículo 83.
2 bis. El Derecho de los Estados miembros podrá establecer excepciones al requisito del consentimiento para la investigación mencionado en el apartado 2, en relación con la investigación que sirva intereses públicos de gran importancia, si dicha investigación no puede llevarse a cabo de otra manera. Los datos en cuestión se convertirán en anónimos o, si esto no es posible para los fines de la investigación, se utilizarán pseudónimos atendiendo a las normas técnicas más seguras, y se tomarán todas las medidas necesarias para prevenir la reidentificación sin garantías de los interesados. Sin embargo, el interesado podrá presentar objeciones en cualquier momento con arreglo al artículo 19.
3. La Comisión estará facultada para adoptar, previa solicitud del dictamen del Consejo Europeo de Protección de Datos, actos delegados, de conformidad con lo dispuesto en el artículo 87, a fin de especificar otras razones de interés público en el ámbito de la salud pública a que se refiere el apartado 1, letra b), así como los criterios y requisitos de las garantías del tratamiento de datos personales a los fines a que se hace referencia en el apartado 1intereses públicos de gran importancia en el ámbito de la investigación a que se refiere el apartado 2 bis.
3 bis. Cada Estado miembro notificará a la Comisión las disposiciones legislativas que adopte de conformidad con el apartado 1, a más tardar en la fecha especificada en el artículo 91, apartado 2, y, sin demora, cualquier modificación posterior de las mismas. [Enm. 191]
Artículo 82
Normas mínimas para el tratamiento de datos en el ámbito laboral
1. Dentro de los límites del presente Reglamento, Los Estados miembros, de conformidad con las normas contempladas en elpresente Reglamento, y teniendo en cuenta el principio de proporcionalidad, podrán adoptar por ley, mediante disposiciones legales, normas específicas que rijan el tratamiento de datos personales de los trabajadores en el ámbito laboral, en particular pero no exclusivamente, para la contratación de personal y las solicitudes de empleo dentro del grupo de empresas, la ejecución del contrato laboral, incluido el cumplimiento de las obligaciones establecidas por la ley o por el convenio colectivo, de conformidad conel Derecho y las prácticas nacionales, la gestión, planificación y organización del trabajo, la salud y la seguridad en el trabajo, así como a los fines del ejercicio y disfrute, individuales o colectivos, de los derechos y prestaciones relacionados con el empleo y a efectos del cese de la relación laboral. Los Estados miembros deben autorizar que las disposiciones del presente artículo se especifiquen más en detalle en los convenios colectivos.
1 bis. La finalidad del tratamiento de este tipo de datos debe estar relacionada con el motivo por el que se recogieron y mantenerse en el ámbito laboral. No se autorizará la elaboración de perfiles ni la utilización de los datos para fines secundarios.
1 ter. El consentimiento de un empleado no constituirá una base jurídica válida para el tratamiento de datos por parte del empleador cuando el consentimiento no se haya dado libremente.
1 quater. Sin perjuicio de las demás disposiciones del presente Reglamento, las disposiciones jurídicas adoptadas por los Estados miembros a que se refiere el apartado 1 incluirán al menos las normas mínimas siguientes:
a) Estará prohibido el tratamiento de datos de los trabajadores sin conocimiento de los mismos. No obstante lo dispuesto en la primera frase y estableciendo plazos apropiados para la supresión de los datos, los Estados miembros podrán contemplar mediante procedimiento legislativo la autorización del tratamiento de datos en aquellos casos en que existan indicios que deban documentarse y justifiquen la sospecha de que el trabajador ha cometido un delito o un grave incumplimiento de sus obligaciones en el ámbito de la relación laboral, la recogida de datos sea necesaria para aclarar el asunto y finalmente la naturaleza y el alcance de la recogida sean necesarios y proporcionados con respecto a su finalidad. Se protegerán en todo momento la vida privada y la intimidad del trabajador. La investigación del caso incumbirá a la autoridad competente.
b) No se autorizará la vigilancia óptica y/o acústica abierta, por medios electrónicos, de partes de la empresa no accesibles al público y que sirvan principalmente a la organización de la vida privada del trabajador, como los sanitarios, los vestuarios, las salas de descanso y los dormitorios. No se autorizará en ningún caso la vigilancia oculta.
c) Cuando las empresas recojan o traten datos personales relacionados con exámenes médicos o pruebas de aptitud, deberán informar de forma anticipada a los candidatos o los trabajadores cuál es su finalidad y garantizarán que dichos datos sean comunicados después a los interesados junto con los resultados, de forma que, si los interesados lo solicitan, se les ofrezcan las explicaciones oportunas sobre los mismos. Queda prohibida por principio la recogida de datos con fines de pruebas y análisis genéticos.
d) Podrá regularse mediante acuerdo colectivo si está autorizada, y en qué medida, la utilización del teléfono, el correo electrónico, Internet y otros servicios de telecomunicaciones también con fines privados. Cuando no exista ninguna regulación al respecto mediante convenio colectivo, el empresario establecerá un acuerdo directo con el trabajador. Cuando se autorice el uso privado de los servicios mencionados, el tratamiento de datos de tráfico acumulado estará permitido especialmente para garantizar la seguridad de los datos, asegurar el correcto funcionamiento de las redes y los servicios de telecomunicaciones y con fines de facturación.
No obstante lo dispuesto en la tercera frase y estableciendo plazos apropiados para la supresión de los datos, los Estados miembros podrán contemplar mediante procedimiento legislativo la autorización de esta práctica en aquellos casos en que existan indicios que deban documentarse y justifiquen la sospecha de que el trabajador ha cometido un delito o un grave incumplimiento de sus obligaciones en el ámbito de la relación laboral, la recogida de datos sea necesaria para aclarar el asunto y finalmente la naturaleza y el alcance de la recogida sean necesarios y proporcionados con respecto a su finalidad. Se protegerán en todo momento la vida privada y la intimidad del trabajador. La investigación del caso incumbirá a la autoridad competente.
e) Los datos personales de los trabajadores, especialmente los datos sensibles como la orientación política y la afiliación y las actividades sindicales, en ningún caso podrán utilizarse para registrar a los trabajadores en las denominadas «listas negras», investigar sobre ellos ni vetarles el acceso a futuros empleos. Quedarán prohibidos el tratamiento, el uso en el ámbito laboral, la elaboración y la difusión de listas negras de empleados, así como otras formas de discriminación. Los Estados miembros efectuarán controles y adoptarán las sanciones oportunas de conformidad con el artículo 79, apartado 6, a fin de asegurar una aplicación eficaz del presente apartado.
1 quinquies. Se autorizará la transmisión y el tratamiento de datos personales de los trabajadores entre empresas jurídicamente independientes en el seno de un mismo grupo de empresas y entre profesionales que presten asesoramiento jurídico y fiscal en la medida en que sirva a los intereses de la empresa, los procedimientos administrativos respondan a una finalidad concreta y la transmisión no se oponga a la protección de los derechos fundamentales del interesado. Si la transferencia de datos de trabajadores se realiza hacia un tercer país y/o una organización internacional, se aplicará el capítulo V.
2. Cada Estado miembro notificará a la Comisión las disposiciones legislativas que adopte de conformidad con el apartadolos apartados 1 y 1 ter, a más tardar en la fecha especificada en el artículo 91, apartado 2, y, sin demora, cualquier modificación posterior de las mismas.
3. La Comisión estará facultada para adoptar, previa solicitud del dictamen del Consejo Europeo de Protección de Datos, actos delegados, de conformidad con el artículo 86, a fin de especificar los criterios y requisitos de las garantías del tratamiento de datos personales para los fines mencionados en el apartado 1. [Enm. 192]
Artículo 82 bis
Tratamiento en el contexto de la seguridad social
1. Los Estados miembros podrán adoptar, de conformidad con las normas establecidas en el presente Reglamento, disposiciones legislativas específicas en las que se detallen las condiciones para el tratamiento de los datos personales por las instituciones y administraciones públicas en el contexto de la seguridad social, si se lleva a cabo en interés público.
2. Cada Estado miembro notificará a la Comisión las disposiciones que adopte de conformidad con el apartado 1, a más tardar en la fecha especificada en el artículo 91, apartado 2, y, sin demora, toda modificación posterior de las mismas. [Enm. 193]
Artículo 83
Tratamiento para fines de investigación histórica, estadística o científica
1. Dentro de los límites delCon arreglo a las normas dispuestas en el presente Reglamento, podrán tratarse los datos personales para fines de investigación histórica, estadística o científica sólo si:
a) dichos fines no pueden lograrse de otra forma mediante un tratamiento de datos que no permita o que ya no permita la identificación del interesado;
b) los datos que permitan la atribución de información a un interesado identificado o identificable se conservan por separado del resto de la información, en la medida en que dichos fines puedan lograrse de este modoutilizando las normas técnicas más seguras, y se toman todas las medidas necesarias para prevenir la reidentificación sin garantías de los interesados.
2. Los organismos que llevan a cabo investigaciones históricas, estadísticas o científicas podrán publicar o hacer públicos por otra vía datos personales sólo si:
a) el interesado ha dado su consentimiento en las condiciones establecidas en el artículo 7;
b) la publicación de los datos personales es necesaria para presentar los resultados de una investigación o para facilitar una investigación, siempre que los intereses o los derechos o libertades fundamentales del interesado no prevalezcan sobre tales objetivos; o
c) el interesado ha hecho públicos los datos.
3. La Comisión estará facultada para adoptar actos delegados, de conformidad con el artículo 86, a fin de especificar los criterios y requisitos del tratamiento de los datos personales a los efectos mencionados en los apartados 1 y 2, así como las limitaciones necesarias a los derechos de información y de acceso por parte del interesado, y de detallar las condiciones y garantías de los derechos del interesado en tales circunstancias. [Enm. 194]
Artículo 83 bis
Tratamiento de datos personales por parte de los servicios de archivos
1. Los datos personales, más allá del tiempo necesario para la realización de los fines del tratamiento inicial para los que fueron recopilados, pueden ser objeto de tratamiento por los servicios de los archivos cuya misión principal u obligación legal es recopilar, almacenar, clasificar, comunicar, valorizar y difundir los archivos en interés público, especialmente para la justificación de los derechos de las personas o con fines históricos, estadísticos o científicos. Estas tareas deben llevarse a cabo de conformidad con las disposiciones establecidas por los Estados miembros en materia de acceso, comunicabilidad y difusión de los documentos administrativos o archivos y de conformidad con las normas establecidas por el presente Reglamento, en concreto en lo relativo al consentimiento y al derecho a presentar objeciones.
2. Cada Estado miembro notificará a la Comisión las disposiciones legislativas que adopte de conformidad con el apartado 1, a más tardar en la fecha especificada en el artículo 91, apartado 2, y, sin demora, cualquier modificación posterior de las mismas. [Enm. 195]
Artículo 84
Obligaciones de secreto
1. Dentro de los límites delDe conformidad con las normas establecidas en el presente Reglamento, los Estados miembros podrán adoptargarantizarán que se adopten normas específicas que establezcan para establecer los poderes de investigación de las autoridades de control contempladas en el artículo 53, apartado 2, en relación con los responsables o encargados sujetos, con arreglo al Derecho nacional o las normas establecidas por los organismos nacionales competentes, a una obligación de secreto profesional u otras obligaciones equivalentes de confidencialidad, cuando ello sea necesario y proporcionado para conciliar el derecho a la protección de los datos personales con la obligación de confidencialidad. Estas normas solo se aplicarán a los datos personales que el responsable o el encargado hayan recibido u obtenido en una actividad cubierta por la citada obligación de confidencialidad. [Enm. 196]
2. Cada Estado miembro notificará a la Comisión las normas adoptadas de conformidad con el apartado 1, a más tardar en la fecha especificada en el artículo 91, apartado 2, y, sin demora, cualquier modificación posterior de las mismas.
Artículo 85
Normas vigentes sobre protección de datos de las iglesias y asociaciones religiosas
1. Cuando en un Estado miembro, iglesias, asociaciones o comunidades religiosas apliquen, en el momento de la entrada en vigor del presente Reglamento, un conjunto de normas adecuadas relativas a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, tales normas podrán seguir aplicándose, siempre que sean conformes con las disposiciones del presente Reglamento.
2. Las iglesias y asociaciones religiosas que apliquen un conjunto de normas adecuadas, de conformidad con el apartado 1, dispondrán la creación de una autoridad de control independiente, de conformidad con lo dispuesto en el Capítulo VI del presente Reglamento deberán obtener un dictamen de adecuación con arreglo al artículo 38. [Enm. 197]
Artículo 85 bis
Respeto de los derechos fundamentales
El presente Reglamento no podrá tener por efecto una modificación de la obligación de respetar los derechos fundamentales y los principios jurídicos fundamentales consagrados en el artículo 6 del TUE. [Enm. 198]
Artículo 85 ter
Formularios normalizados
1. La Comisión podrá, habida cuenta de las necesidades y características específicas de los distintos sectores y situaciones de tratamiento de datos, determinar formularios normalizados para:
a) métodos específicos de obtención del consentimiento verificable contemplados en el artículo 8, apartado 1,
b) la comunicación a que se hace referencia en el artículo 12, apartado 2, incluido el formato electrónico,
c) facilitar la información a que se hace referencia en el artículo 14, apartados 1 a 3,
d) solicitar y dar acceso a la información contemplada en el artículo 15, apartado 1, en particular con miras a la comunicación de los datos personales al interesado,
e) la documentación a que se hace referencia en el artículo 28, apartado 1,
f) las notificaciones de violación con arreglo al artículo 31 a la autoridad de control y la documentación a que se hace referencia en el artículo 31, apartado 4,
g) consultas previas contempladas en el artículo 34 y la información a las autoridades de control de conformidad con el artículo 34, apartado 6.
2. Para ello, la Comisión adoptará las medidas adecuadas para las pequeñas y medianas empresas y para las microempresas.
3. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 87, apartado 2. [Enm. 199]
CAPÍTULO X
ACTOS DELEGADOS Y ACTOS DE EJECUCIÓN
Artículo 86
Ejercicio de la delegación
1. Los poderes para adoptar actos delegados otorgados a la Comisión estarán sujetos a las condiciones establecidas en el presente artículo.
2. La delegación deLos poderes para adoptar los actos delegados a que se refieren el artículo 6, apartado 7, el artículo 8, apartado 3, el artículo 9, apartado 3, el 12 13 bis, apartado 5, el artículo 14, apartado 7, el artículo 15, apartado 3, el artículo 17, apartado 9, el artículo 20, apartado 6, el artículo 22 38, apartado 4, el artículo 23, apartado 3, el artículo 26, apartado 5, el artículo 28, apartado 4, el artículo 30, apartado 3, el artículo 31, apartado 5, el artículo 32, apartado 5, el artículo 33, apartado 6, el artículo 34, apartado 8, el artículo 35, apartado 11, el artículo 37, apartado 2, el artículo 39, apartado 2, el artículo 41, apartado 3, el artículo 41, apartado 5, el artículo 43, apartado 3, el artículo 44 79, apartado 7, el artículo 79, apartado 6, el artículo 81, apartado 3, y el artículo 82, apartado 3, y el artículo 83, apartado 3, se atribuirá se otorgarán a la Comisión por un periodo de tiempo indeterminado a partir de la fecha de entrada en vigor del presente Reglamento. [Enm. 200]
3. La delegación de poderes a que se refieren el artículo 6 13 bis, apartado 5, el artículo 8, apartado 3, el artículo 9, apartado 3, el artículo 12, apartado 5, el artículo 14, apartado 7, el artículo 15, apartado 3, el artículo 17, apartado 9, el artículo 20, apartado 6, el artículo 22 38, apartado 4, el artículo 23, apartado 3, el artículo 26, apartado 5, el artículo 28, apartado 5, el artículo 30, apartado 3, el artículo 31, apartado 5, el artículo 32, apartado 5, el artículo 33, apartado 6, el artículo 34, apartado 8, el artículo 35, apartado 11, el artículo 37, apartado 2, el artículo 39, apartado 2, el artículo 41, apartado 3, el artículo 41, apartado 5, el artículo 43, apartado 3, el artículo 44, apartado 7, el artículo 79, apartado 7, el artículo 81, apartado 3, y el artículo 82, apartado 3, y en el artículo 83, apartado 3, podrá ser revocada en todo momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. Surtirá efecto el día siguiente al de su publicación en el Diario Oficial de la Unión Europea o en la fecha posterior que en ella se especifique. No afectará a la validez de los actos delegados que ya estén en vigor. [Enm. 201]
4. Tan pronto como la Comisión adopte un acto delegado, lo notificará simultáneamente al Parlamento Europeo y al Consejo.
5. Todo acto delegado adoptadoLos actos delegados adoptados en virtud del artículo 6 13 bis, apartado 5, el artículo 8, apartado 3, el artículo 9, apartado 3, el 12, apartado 5, el artículo 14, apartado 7, el artículo 15, apartado 3, el artículo 17, apartado 9, el artículo 20, apartado 6, el artículo 22 38, apartado 4, el artículo 23, apartado 3, el artículo 26, apartado 5, el artículo 28, apartado 5, el artículo 30, apartado 3, el artículo 31, apartado 5, el artículo 32, apartado 5, el artículo 33, apartado 6, el artículo 34, apartado 8, el artículo 35, apartado 11, el artículo 37, apartado 2, el artículo 39, apartado 2, el artículo41, apartado 3, el artículo 41, apartado 5, el artículo 43, apartado 3, el artículo 44 79, apartado 7, el artículo 79, apartado 6, el artículo 81, apartado 3, y el artículo 82, apartado 3 y el artículo 83, apartado 3, entrará entrarán en vigor únicamente si, en caso de que un plazo de seis meses desde su notificación al Parlamento Europeo y al Consejo, ni el Parlamento Europeo ni el Consejo hayan manifestado ninguna objeción en un plazo formulan objeciones o si, antes del vencimientode dos meses a partir de la notificación de dicho acto al Parlamento Europeo y al Consejo, o en caso de que, antes de que expire ese plazo, tanto el Parlamento Europeo y el Consejo hayan informado uno como el otro informan a la Comisión de que no formularán ninguna objeción. El plazo se podrá prorrogar dos prorrogará seis meses a instancias iniciativa del Parlamento Europeo o del Consejo. [Enm. 202]
Artículo 87
Procedimiento de Comité
1. La Comisión estará asistida por un Comité. Dicho Comité se entenderá en el sentido del Reglamento (UE) nº 182/2011.
2. Cuando se haga referencia al presente apartado, será de aplicación el artículo 5 del Reglamento (UE) nº 182/2011.
3. Cuando se haga referencia al presente apartado, se aplicará el artículo 8 del Reglamento (UE) nº 182/2011, leído en relación con su artículo 5. [Enm. 203]
CAPÍTULO XI
DISPOSICIONES FINALES
Artículo 88
Derogación de la Directiva 95/46/CE
1. Queda derogada la Directiva 95/46/CE.
2. Toda referencia a la Directiva derogada se entenderá hecha al presente Reglamento. Toda referencia al Grupo de protección de las personas en lo que respecta al tratamiento de datos personales creado por el artículo 29 de la Directiva 95/46/CE se entenderá hecha al Consejo Europeo de Protección de Datos, establecido por el presente Reglamento.
Artículo 89
Relación con la Directiva 2002/58/CE y modificación de la misma
1. El presente Reglamento no impondrá obligaciones adicionales a las personas físicas o jurídicas en materia de tratamiento de datos personales en relación con la prestación de servicios públicos de comunicaciones electrónicas en redes públicas de comunicación de la Unión en ámbitos en los que estén sujetos a obligaciones específicas con el mismo objetivo establecidos en la Directiva 2002/58/CE.
2 Queda suprimido el apartado 2 delQuedan suprimidos el artículo 1, apartado 2, y los artículos 4 y 15 de la Directiva 2002/58/CE. [Enm. 204]
2 bis. La Comisión presentará, sin demora y a más tardar en la fecha especificada en el artículo 91, apartado 2, una propuesta para la revisión del marco jurídico aplicable al tratamiento de datos personales y de protección de la esfera privada en las comunicaciones electrónicas, con el fin de armonizarlas con el presente Reglamento con vistas a garantizar unas normas jurídicas coherentes y homogéneas en relación con el derecho fundamental a la protección de los datos personales en la Unión. [Enm. 205]
Artículo 89 bis
Relación con el Reglamento (CE) nº 45/2001 y modificación de la misma
1. Las normas establecidas en el presente Reglamento se aplicarán al tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la Unión, en aquellos asuntos que no estén sujetos a las normas adicionales establecidas en el Reglamento (CE) nº 45/2001.
2. La Comisión presentará, sin demora y a más tardar en la fecha especificada en el artículo 91, apartado 2, una propuesta para la revisión del marco jurídico aplicable al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión. [Enm. 206]
Artículo 90
Evaluación
La Comisión presentará informes periódicos sobre la evaluación y revisión del presente Reglamento al Parlamento Europeo y al Consejo. El primer informe se presentará a más tardar cuatro años después de la entrada en vigor del presente Reglamento. Los siguientes informes se presentarán cada cuatro años. La Comisión presentará, si procede, las propuestas oportunas para modificar el presente Reglamento, y para adaptar otros instrumentos jurídicos, en particular teniendo en cuenta la evolución de las tecnologías de la información y a la luz de los progresos de la sociedad de la información. Dicho informe se hará público.
Artículo 91
Entrada en vigor y aplicación
1. El presente Reglamento entrará en vigor el vigésimo día siguiente al de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en ..., el ...
Por el Parlamento Europeo Por el Consejo
El Presidente El Presidente
Anexo - Presentación de los detalles mencionados en el artículo 13 bis
1) Vistas las proporciones mencionadas en el punto 6, se facilitarán los detalles de la siguiente forma:
2) Las siguientes palabras en las casillas de la segunda columna del cuadro en el punto 1, titulada «INFORMACIÓN ESENCIAL», se marcarán en negrita:
a) la palabra «recogen» en la primera casilla de la segunda columna;
b) la palabra «conservan» en la segunda casilla de la segunda columna;
c) la palabra «tratan» en la tercera casilla de la segunda columna;
d) la palabra «difunden» en la cuarta casilla de la segunda columna;
e) la expresión «venden o alquilan» en la quinta casilla de la segunda columna;
f) la expresión «sin cifrar» en la sexta casilla de la segunda columna.
3) Vistas las disposiciones mencionadas en el punto 6, las casillas de la tercera columna del cuadro del punto 1, titulada «CUMPLIMIENTO», se completarán con uno de los dos siguientes símbolos según las condiciones establecidas en el punto 4:
a)
b)
4)
a) Si no se recogen datos personales más allá del mínimo necesario para cada fin específico del tratamiento, la primera casilla de la tercera columna del cuadro del punto 1 llevará el símbolo que se muestra en el punto 3, letra a).
b) Si se recogen datos personales más allá del mínimo necesario para cada fin específico del tratamiento, la primera casilla de la tercera columna del cuadro del punto 1 llevará el símbolo que se muestra en el punto 3, letra b).
c) Si no se conservan datos personales más allá del mínimo necesario para cada fin específico del tratamiento, la segunda casilla de la tercera columna del cuadro del punto 1 llevará el símbolo que se muestra en el punto 3, letra a).
d) Si se recogen datos personales más allá del mínimo necesario para cada fin específico del tratamiento, la segunda casilla de la tercera columna del cuadro del punto 1 llevará el símbolo que se muestra en el punto 3, letra b).
e) Si no se tratan datos personales para fines que no sean aquellos para los que se recogieron, la tercera casilla de la tercera columna del cuadro del punto 1 llevará el símbolo que se muestra en el punto 3, letra a).
f) Si se tratan datos personales para fines que no sean aquellos para los que se recogieron, la tercera casilla de la tercera columna del cuadro del punto 1 llevará el símbolo que se muestra en el punto 3, letra b).
g) Si no se revelan datos personales a terceras partes de carácter comercial, la cuarta casilla de la tercera columna del cuadro del punto 1 llevará el símbolo que se muestra en el punto 3, letra a).
h) Si se revelan datos personales a terceras partes de carácter comercial, la cuarta casilla de la tercera columna del cuadro del punto 1 llevará el símbolo que se muestra en el punto 3, letra b).
i) Si no se venden ni alquilan datos personales, la quinta casilla de la tercera columna del cuadro del punto 1 llevará el símbolo que se muestra en el punto 3, letra a).
j) Si se venden o alquilan datos personales, la quinta casilla de la tercera columna del cuadro del punto 1 llevará el símbolo que se muestra en el punto 3, letra b).
k) Si no se conservan datos personales sin cifrar, la sexta casilla de la tercera columna del cuadro del punto 1 llevará el símbolo que se muestra en el punto 3, letra a).
l) Si se conservan datos personales sin cifrar, la sexta casilla de la tercera columna del cuadro del punto 1 llevará el símbolo que se muestra en el punto 3, letra b).
5) Los colores de referencia de los símbolos del punto 1 en Pantone son Negro Pantone nº 7547 y Rojo Pantone nº 485. El color de referencia del símbolo del punto 3, letra a), en Pantone es Verde Pantone nº 370. El color de referencia del símbolo del punto 3, letra b), en Pantone es Rojo Pantone nº 485.
6) Se respetarán las proporciones ofrecidas en el siguiente dibujo graduado, incluso cuando el cuadro se reduzca o amplíe:
Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31).
Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1).
Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico) (DO L 178 de 17.7.2000, p. 1).
Directiva 93/13/CEE del Consejo, de 5 de abril de 1993, sobre las cláusulas abusivas en los contratos celebrados con consumidores (DO L 95 de 21.4.1993, p. 29).
Reglamento (CE) nº 1338/2008 del Parlamento Europeo y del Consejo, de 16 de diciembre de 2008, sobre estadísticas comunitarias de salud pública y de salud y seguridad en el trabajo (DO L 354 de 31.12.2008, p. 70).
Directiva 2009/38/CE del Parlamento Europeo y del Consejo, de 6 de mayo de 2009, sobre la constitución de un comité de empresa europeo o de un procedimiento de información y consulta a los trabajadores en las empresas y grupos de empresas de dimensión comunitaria (DO L 122 de 16.5.2009, p. 28).
Reglamento (UE) nº 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión, DO L 55 de 28.2.2011, p. 13.
Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).
Directiva 2004/18/CE del Parlamento Europeo y del Consejo, de 31 de marzo de 2004, sobre coordinación de los procedimientos de adjudicación de los contratos públicos de obras, de suministro y de servicios (DO L 134 de 30.4.2004, p. 114).
Directiva 2004/17/CE del Parlamento Europeo y del Consejo, de 31 de marzo de 2004, sobre la coordinación de los procedimientos de adjudicación de contratos en los sectores del agua, de la energía, de los transportes y de los servicios postales (DO L 134 de 30.4.2004, p.1).
Reglamento (CE) no 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión (DO L 145 de 31.5.2001, p. 43).
Directiva 2001/20/CE del Parlamento Europeo y del Consejo, de 4 de abril de 2001, relativa a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros sobre la aplicación de buenas prácticas clínicas en la realización de ensayos clínicos de medicamentos de uso humano (DO L 121de 1.5.2001, p. 34).
Dos años después de la entrada en vigor del presente Reglamento.
Protección del euro contra la falsificación de moneda (Pericles 2020) ***
190k
33k
Resolución legislativa del Parlamento Europeo, de 12 de marzo de 2014, sobre el proyecto de Reglamento del Consejo por el que se amplía a los Estados miembros no participantes la aplicación del Reglamento (UE) nº …/2012 por el que se establece un programa en materia de intercambios, asistencia y formación para la protección del euro contra la falsificación de moneda (programa «Pericles 2020») (16616/2013 – C7-0463/2013 – 2011/0446(APP))
– Visto el proyecto de Reglamento del Consejo (16616/2013),
– Vista la solicitud de aprobación presentada por el Consejo de conformidad con el artículo 352 del Tratado de Funcionamiento de la Unión Europea (C7‑0463/2013),
– Visto el artículo 81, apartado 1, párrafo primero y tercero de su Reglamento,
– Vista la recomendación de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior (A7-0152/2014),
1. Concede su aprobación al proyecto de Reglamento del Consejo,
2. Encarga a su Presidente que transmita la Posición del Parlamento al Consejo y a la Comisión, así como a los Parlamentos nacionales.
Acuerdo UEAzerbaiyán sobre la facilitación de la expedición de visados ***
208k
33k
Resolución legislativa del Parlamento Europeo, de 12 de marzo de 2014, sobre el proyecto de Decisión del Consejo relativa a la celebración del Acuerdo entre la Unión Europea y la República de Azerbaiyán sobre la facilitación de la expedición de visados (17846/2013 – C7-0078/2014 – 2013/0356(NLE))
– Visto el proyecto de Decisión del Consejo (17846/2013),
– Visto proyecto de Acuerdo entre la Unión Europea y la República de Azerbaiyán sobre la facilitación de la expedición de visados (15554/2013),
– Vista la solicitud de aprobación presentada por el Consejo de conformidad con el artículo 77, apartado 2, letra a), así como con el artículo 218, apartado 6, párrafo segundo, letra a), del Tratado de Funcionamiento de la Unión Europea (C7-0078/2014),
– Vistos el artículo 81, apartado 1, párrafos primero y tercero, artículo 81, apartado 2, y el artículo 90, apartado 7, de su Reglamento,
– Vistas la recomendación de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior y la opinión de la Comisión de Asuntos Exteriores (A7-0155/2014),
1. Concede su aprobación a la celebración del Acuerdo;
2. Encarga a su Presidente que transmita la Posición del Parlamento al Consejo y a la Comisión, así como a los Gobiernos y Parlamentos de los Estados miembros y de la República de Azerbaiyán.
Acuerdo UE–Azerbaiyán sobre la readmisión de residentes ilegales ***
192k
33k
Resolución legislativa del Parlamento Europeo, de 12 de marzo de 2014, sobre el proyecto de Decisión del Consejo relativa a la celebración del Acuerdo entre la Unión Europea y la República de Azerbaiyán sobre la readmisión de residentes ilegales (15596/2013 – C7-0079/2014 – 2013/0358(NLE))
– Visto el proyecto de Decisión del Consejo (15596/2013),
– Visto el proyecto de Acuerdo entre la Unión Europea y la República de Azerbaiyán sobre la readmisión de residentes ilegales (15594/2013),
– Vista la solicitud de aprobación presentada por el Consejo de conformidad con el artículo 79, apartado 3, así como con el artículo 218, apartado 6, párrafo segundo, letra a), del Tratado de Funcionamiento de la Unión Europea (C7‑0079/2014),
– Vistos el artículo 81, apartado 1, párrafos primero y tercero, artículo 81, apartado 2, y el artículo 90, apartado 7, de su Reglamento,
– Vistas la recomendación de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior, y la opinión de la Comisión de Asuntos Exteriores (A7-0154/2014),
1. Concede su aprobación a la celebración del Acuerdo;
2. Encarga a su Presidente que transmita la Posición del Parlamento al Consejo y a la Comisión, así como a los Gobiernos y Parlamentos de los Estados miembros y de la República de Azerbaiyán.
Compromiso humanitario de los agentes no estatales armados en relación con la protección de los niños
120k
41k
Recomendación del Parlamento Europeo, de 12 de marzo de 2014, destinada al Consejo sobre el compromiso humanitario de los agentes no estatales armados en relación con la protección de los niños (2014/2012(INI))
– Vista la propuesta de Recomendación destinada al Consejo presentada por Catherine Grèze, Eva Joly, Isabella Lövin, Judith Sargentini, Bart Staes y Keith Taylor, en nombre del Grupo Verts/ALE, sobre el compromiso humanitario de los agentes no estatales armados en relación con la protección de los niños (B7‑0585/2013),
– Visto el informe de 2013 del Secretario General de las Naciones Unidas sobre los niños y los conflictos armados, así como otros informes de agentes pertinentes,
– Vistas las directrices de la UE sobre los niños y los conflictos armados, de 2008, la estrategia de aplicación de las directrices de la UE sobre los niños y los conflictos armados, de 2010, y la Lista de verificación para la incorporación de la protección de los niños afectados por conflictos armados en las operaciones de la PESD, de 2008,
– Vistas las Conclusiones del Consejo de 2008 sobre la promoción y la protección de los derechos del niño en la acción exterior de la Unión Europea: las dimensiones humanitaria y de desarrollo,
– Vistas sus Resoluciones, de 19 de febrero de 2009, sobre el lugar especial que corresponde a la infancia en la acción exterior de la UE(1), de 16 de enero de 2008, sobre la Comunicación de la Comisión «Hacia una Estrategia de la Unión Europea sobre los Derechos de la Infancia»(2), de 3 de julio de 2003, sobre la trata de niños y los niños soldados(3), de 6 de julio de 2000, sobre el secuestro de niños por parte del Ejército de Resistencia del Señor (LRA)(4), y de 17 de diciembre de 1998, sobre los niños soldados(5),
– Vistas las resoluciones de las Naciones Unidas sobre los derechos del niño y, en particular, la Resolución 1612 (2005) del Consejo de Seguridad de las Naciones Unidas,
– Visto el Protocolo Facultativo de la Convención sobre los Derechos del Niño, de 2002, relativo a la participación de niños en conflictos armados,
– Vistos los Compromisos de París para proteger a los niños y niñas reclutados o utilizados ilícitamente por fuerzas armadas o grupos armados, así como los Principios y Directrices de París sobre los niños vinculados a fuerzas o grupos armados, adoptados en ambos casos el 6 de febrero de 2007,
– Vistos el artículo 121, apartado 3, y el artículo 97 de su Reglamento,
– Visto el informe de la Comisión de Desarrollo (A7‑0160/2014),
A. Considerando que en la mayoría de los conflictos armados actuales están involucrados uno o varios agentes no estatales armados que luchan contra las fuerzas gubernamentales u otros grupos armados, y que en estas guerras los civiles, y en particular los niños, resultan los más perjudicados;
B. Considerando que el abanico de estos actores no estatales es muy amplio y comprende una gran gama de identidades y motivos y diversos grados de voluntad y capacidad de respetar el Derecho internacional humanitario y otras normas de Derecho internacional, pero que todos ellos deben ser supervisados a este respecto;
C. Considerando que, para mejorar la protección de los civiles, y en particular de los niños, deben tenerse en cuenta todas las partes implicadas en el conflicto;
D. Considerando que las normas del Derecho internacional humanitario se aplican a todas las partes involucradas en un conflicto armado y son vinculantes para las mismas;
E. Considerando que los conflictos armados tienen efectos extremadamente devastadores para el desarrollo físico y psíquico de los niños, con consecuencias a largo plazo para la seguridad humana y el desarrollo sostenible;
F. Considerando que el Estatuto de la Corte Penal Internacional penaliza el reclutamiento y el alistamiento de niños menores de 15 años en fuerzas o grupos armados, al igual que su utilización para que participen activamente en las hostilidades;
G. Considerando que el Derecho internacional prohíbe cualquier forma de violencia sexual, incluida la ejercida contra niños, y que los actos de violencia sexual pueden considerarse crímenes de guerra, crímenes contra la humanidad o genocidio;
H. Considerando que, si bien el uso de minas antipersonas ha disminuido desde la adopción de la Convención sobre la prohibición de estas minas en 1997, sigue suponiendo una amenaza para los niños, especialmente en los conflictos armados que no revisten carácter internacional;
I. Considerando que la comunidad internacional tiene la obligación moral de buscar el compromiso de todas las partes implicadas en los conflictos, tanto los agentes estatales como los no estatales armados, con objeto de proteger a los niños;
J. Considerando que la desmovilización, la rehabilitación y la reintegración de los niños soldados han de estar incluidas en cualquier negociación y acuerdo de paz resultante, así como ser afrontadas durante el propio conflicto;
K. Considerando que una desmovilización y una reintegración de los niños soldados satisfactorias pueden ayudar a prevenir los ciclos continuados de violencia;
1. Formula las siguientes recomendaciones destinadas al Comisario de Desarrollo y a la Vicepresidenta de la Comisión / Alta Representante de la Unión para Asuntos Exteriores y Política de Seguridad:
a)
promover la firma, por parte de los Estados implicados y los agentes no estatales armados, de planes de acción para la protección de los niños en los conflictos armados con la Oficina del Representante Especial del Secretario General de las Naciones Unidas para la Cuestión de los Niños y los Conflictos Armados, recordando al mismo tiempo que esta actividad con los agentes no estatales armados no significa apoyarles a ellos o a sus actividades, ni reconocer su legitimidad;
b)
reconocer los esfuerzos realizados por las Naciones Unidas y las organizaciones internacionales y no gubernamentales (ONG) para persuadir a los agentes no estatales armados de la necesidad de proteger a los niños, reiterando que ello no implica apoyar ni reconocer la legitimidad de las acciones de estos agentes;
c)
incluir en los diálogos políticos con terceros países, como en el marco del Acuerdo de Cotonú, por ejemplo, el objetivo de prevenir y acabar con el reclutamiento y la participación forzosa de niños menores de 18 años y garantizar su liberación y reinserción en la sociedad;
d)
reafirmar que los agentes estatales y no estatales armados deben respetar el Derecho internacional humanitario y el Derecho consuetudinario internacional humanitario, y apoyar sus esfuerzos por adoptar medidas específicas para la protección de los civiles y, en particular, de los niños, recordando al mismo tiempo que esta actividad con los agentes no estatales armados no significa apoyarles a ellos o a sus actividades, ni reconocer su legitimidad;
e)
recordar que el Derecho internacional humanitario es un marco jurídico que vincula a los grupos no estatales armados y que tanto el artículo 3 común a los Convenios de Ginebra como el Segundo Protocolo Adicional de 1977 contribuyen a este fin, al igual que un gran número de normas consuetudinarias del Derecho internacional humanitario; examinar, como cuestión de gran importancia, si las normas vigentes del Derecho internacional humanitario son adecuadas para abordar los agentes no estatales o si es necesaria una mayor regulación;
f)
entablar un diálogo, bien directamente, bien indirectamente a través de ONG especializadas y organizaciones humanitarias, con los agentes no estatales armados sobre la cuestión de la protección de niñas y niños, con objeto de aliviar el sufrimiento de los menores en los conflictos armados e instar a los agentes no estatales armados a firmar el Acta de compromiso del Llamamiento de Ginebra para la protección de los niños frente a las repercusiones de los conflictos armados;
g)
apoyar a las organizaciones humanitarias que mantienen un diálogo con los agentes no estatales armados con el fin de promover el respeto del Derecho internacional humanitario en los conflictos armados, y en particular la protección de los niños, recurriendo a medios políticos, diplomáticos y financieros;
h)
instar a los Estados miembros de la UE a aunar los esfuerzos internacionales para evitar que los agentes armados ataquen los colegios y hagan un uso militar de los mismos y a respaldar el proyecto de Directrices de Lucens para proteger a las escuelas y universidades de la posibilidad de ser usadas con fines militares durante un conflicto armado.
2. Encarga a su Presidente que transmita la presente Recomendación al Comisario de Desarrollo, a la Vicepresidenta de la Comisión / Alta Representante de la Unión para Asuntos Exteriores y Política de Seguridad, a la Comisión, al Consejo y al Servicio Europeo de Acción Exterior.
Número de delegaciones interparlamentarias, de delegaciones en las comisiones parlamentarias mixtas y de delegaciones en comisiones parlamentarias de cooperación y asambleas parlamentarias multilaterales
119k
39k
Decisión del Parlamento Europeo, de 12 de marzo de 2014, sobre el número de delegaciones interparlamentarias, de delegaciones en las comisiones parlamentarias mixtas y de delegaciones en comisiones parlamentarias de cooperación y asambleas parlamentarias multilaterales (2014/2632(RSO))
– Vista la propuesta de la Conferencia de Presidentes,
– Vistos los acuerdos de asociación, cooperación y de otro tipo celebrados por la Unión Europea con terceros países,
– Vistos los artículos 198 y 200 de su Reglamento,
A. Deseoso de contribuir mediante un diálogo interparlamentario sostenido al refuerzo de la democracia parlamentaria;
1. Decide que el número de delegaciones y sus agrupaciones por regiones será el siguiente:
a)
Europa, Balcanes Occidentales y Turquía
Delegaciones en:
–
la Comisión Parlamentaria Mixta UE-Antigua República Yugoslava de Macedonia
–
la Comisión Parlamentaria Mixta UE-Turquía
Delegación para las Relaciones con Suiza y Noruega, en la Comisión Parlamentaria Mixta UE-Islandia y en la Comisión Parlamentaria Mixta del Espacio Económico Europeo (EEE)
Delegación en la Comisión Parlamentaria de Estabilización y Asociación UE-Serbia
Delegación en la Comisión Parlamentaria de Estabilización y Asociación UE-Albania
Delegación en la Comisión Parlamentaria de Estabilización y Asociación UE-Montenegro
Delegación para las Relaciones con Bosnia y Herzegovina y Kosovo
b)
Rusia y Estados de la Asociación Oriental
Delegación en la Comisión Parlamentaria de Cooperación UE-Rusia
Delegación en la Comisión Parlamentaria de Cooperación UE-Ucrania
Delegación en la Comisión Parlamentaria de Cooperación UE-Moldavia
Delegación para las Relaciones con Bielorrusia
Delegación en las Comisiones Parlamentarias de Cooperación UE-Armenia, UE-Azerbaiyán y UE-Georgia
c)
Magreb, Mashreq, Israel y Palestina
Delegación para las Relaciones con:
–
Israel
–
el Consejo Legislativo Palestino
–
los Países del Magreb y la Unión del Magreb Árabe
–
los Países del Mashreq
d)
La Península Arábiga, Irak e Irán
Delegación para las Relaciones con:
–
la Península Arábiga
–
Irak
–
Irán
e)
América
Delegación para las Relaciones con:
–
los Estados Unidos
–
Canadá
–
la República Federativa de Brasil
–
los Países de América Central
–
los Países de la Comunidad Andina
–
Mercosur
Delegación en la Comisión Parlamentaria Mixta UE-México
Delegación en la Comisión Parlamentaria Mixta UE-Chile
Delegación en la Comisión Parlamentaria Cariforum-UE
f)
Asia/Pacífico
Delegación para las Relaciones con:
–
Japón
–
la República Popular China
–
India
–
Afganistán
–
los Países del Asia Meridional
–
los Países del Sudeste Asiático y la Asociación de Naciones del Sudeste Asiático (ASEAN)
–
la Península de Corea
–
Australia y Nueva Zelanda
Delegación en las Comisiones Parlamentarias de Cooperación UE-Kazajistán, UE-Kirguistán, UE-Uzbekistán y UE-Tayikistán, y para las Relaciones con Turkmenistán y Mongolia
g)
África
Delegación para las Relaciones con:
–
Sudáfrica
–
el Parlamento Panafricano
h)
Asambleas multilaterales
Delegación en la Asamblea Parlamentaria Paritaria ACP-UE
Delegación en la Asamblea Parlamentaria de la Unión por el Mediterráneo
Delegación en la Asamblea Parlamentaria Euro-Latinoamericana
Delegación en la Asamblea Parlamentaria Euronest
Delegación para las Relaciones con la Asamblea Parlamentaria de la OTAN
2. Decide que los miembros de las comisiones parlamentarias creadas sobre la base de los Acuerdos de Asociación Económica (AAE) procederán exclusivamente de la Comisión de Comercio Internacional y de la Comisión de Desarrollo –garantizando que se mantenga el papel preponderante de la Comisión de Comercio Internacional como comisión competente para el fondo– y que coordinarán su labor activamente con la Asamblea Parlamentaria Paritaria ACP-UE;
3. Decide que los miembros de la Asamblea Parlamentaria de la Unión por el Mediterráneo, la Asamblea Parlamentaria Euro-Latinoamericana y la Asamblea Parlamentaria Euronest procederán exclusivamente de las delegaciones bilaterales o subregionales correspondientes a cada asamblea;
4. Decide que los miembros de la Delegación para las Relaciones con la Asamblea Parlamentaria de la OTAN procederán exclusivamente de la Subcomisión de Seguridad y Defensa;
5. Decide que la Conferencia de Presidentes de Delegación elabore, previa consulta a la Comisión de Asuntos Exteriores, la Comisión de Desarrollo y la Comisión de Comercio Internacional, un proyecto de calendario semestral que deberá adoptar la Conferencia de Presidentes, teniendo en cuenta no obstante que, en caso de que se produzcan acontecimientos políticos importantes, la Conferencia de Presidentes podrá modificar dicho calendario;
6. Decide que los grupos políticos y los diputados no inscritos designarán miembros suplentes permanentes para cada tipo de delegación y que el número de estos suplentes no podrá ser superior al de los miembros titulares que representan a los correspondientes grupos o diputados no inscritos;
7. Decide reforzar la cooperación y la consulta con las comisiones afectadas por la labor de las delegaciones, mediante la organización de reuniones conjuntas entre estos órganos en sus lugares habituales de trabajo;
8. Hará esfuerzos para que, en la práctica, uno o más ponentes o presidentes de comisiones participen igualmente en los trabajos de las delegaciones, de las comisiones interparlamentarias mixtas, las comisiones parlamentarias de cooperación y las asambleas parlamentarias multilaterales; y decide que el Presidente, previa solicitud conjunta de los presidentes de la delegación y de la comisión interesadas, autorice dichas misiones;
9. Decide que la presente decisión entrará en vigor el primer día del primer periodo parcial de sesiones de la octava legislatura;
10. Encarga a su Presidente que transmita la presente Decisión al Consejo, a la Comisión y al Servicio Europeo de Acción Exterior.
Información alimentaria facilitada al consumidor, en lo relativo a la definición de «nanomaterial artificial»
118k
41k
Resolución del Parlamento Europeo, de 12 de marzo de 2014, sobre el Reglamento Delegado de la Comisión, de 12 de diciembre de 2013, por el que se modifica el Reglamento (UE) nº 1169/2011 del Parlamento Europeo y del Consejo, sobre la información alimentaria facilitada al consumidor, en lo relativo a la definición de «nanomaterial artificial» (C(2013)08887 - 2013/2997(DEA))
– Visto el Reglamento Delegado de la Comisión (C(2013)08887),
– Visto el artículo 290 del Tratado de Funcionamiento de la Unión Europea,
– Visto el Reglamento (UE) n° 1169/2011 del Parlamento Europeo y del Consejo, de 25 de octubre de 2011, sobre la información alimentaria facilitada al consumidor(1), y en particular su artículo 2, apartado 2, letra t), su artículo 18, apartados 3 y 5 y su artículo 51, apartado 5,
– Vista la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a los nuevos alimentos, presentada por la Comisión (COM(2013)0894),
– Visto el Reglamento (CE) nº 1333/2008 del Parlamento Europeo y del Consejo, de 16 de diciembre de 2008, sobre aditivos alimentarios(2),
– Vistas las listas de la Unión establecidas en el Reglamento (UE) nº 1129/2011 de la Comisión, de 11 de noviembre de 2011, por el que se modifica el anexo II del Reglamento (CE) nº 1333/2008 del Parlamento Europeo y del Consejo para establecer una lista de aditivos alimentarios de la Unión(3), y en el Reglamento (UE) nº 1130/2011 de la Comisión, de 11 de noviembre de 2011, por el que se modifica el Anexo III del Reglamento (CE) n° 1333/2008 del Parlamento Europeo y del Consejo, sobre aditivos alimentarios, para establecer una lista de aditivos alimentarios de la Unión autorizados para ser empleados en aditivos alimentarios, enzimas alimentarias, aromas alimentarios y nutrientes(4),
– Visto el Reglamento (UE) nº 257/2010 de la Comisión, de 25 de marzo de 2010, por el que se establece un programa para la reevaluación de aditivos alimentarios autorizados de conformidad con el Reglamento (CE) n° 1333/2008 del Parlamento Europeo y del Consejo sobre aditivos alimentarios(5),
– Vista la propuesta de Resolución presentada por la Comisión de Medio Ambiente, Salud Pública y Seguridad Alimentaria,
– Visto el artículo 87 bis, apartado 3, de su Reglamento,
A. Considerando que el artículo 18, apartado 3, del Reglamento (UE) nº 1169/2011 sobre la información alimentaria facilitada al consumidor establece que todos los ingredientes presentes en la forma de nanomateriales artificiales deben indicarse claramente en la lista de ingredientes para garantizar la información al consumidor; que, por consiguiente, dicho Reglamento prevé una definición de «nanomaterial artificial»;
B. Considerando que el artículo 18, apartado 5, del Reglamento sobre la información alimentaria facilitada al consumidor otorga a la Comisión poderes para ajustar y adaptar, mediante actos delegados, la definición de «nanomaterial artificial» a que el mismo se refiere a los progresos técnicos y científicos o a las definiciones acordadas a escala internacional, a fin de alcanzar los objetivos de dicho Reglamento;
C. Considerando que la Recomendación 2011/696/UE de la Comisión establece una definición general de «nanomaterial»;
D. Considerando que los Reglamentos (UE) nº 1129/2011 y (UE) nº 1130/2011 de la Comisión establecen listas exhaustivas de la Unión en las que figuran los aditivos alimentarios cuyo uso estaba autorizado antes de la entrada en vigor del Reglamento (CE) nº 1333/2008, tras una revisión de su conformidad con las disposiciones del mismo;
E. Considerando que el Reglamento Delegado de la Comisión excluye de la nueva definición de «nanomaterial artificial» todos los aditivos alimentarios incluidos en las listas de la Unión y propone en su lugar que la necesidad de establecer requisitos de etiquetado específicos para los nanomateriales en relación con estos aditivos se aborde en el marco del programa de reevaluación, de conformidad con el Reglamento (UE) nº 257/2010 de la Comisión, modificando, en caso necesario, las condiciones de utilización del anexo II del Reglamento (CE) nº 1333/2008 y las especificaciones de tales aditivos alimentarios establecidas en el Reglamento (UE) nº 231/2012 de la Comisión(6);
F. Considerando que, en la actualidad, son precisamente los aditivos alimentarios los que pueden estar presentes como nanomateriales en los alimentos;
G. Considerando que esta exención general anula las disposiciones de etiquetado para todos los aditivos alimentarios que son nanomateriales artificiales; que esto priva al acto legislativo de su principal «efecto útil» y que es contrario al objetivo fundamental de la Directiva, a saber, perseguir un alto nivel de protección de la salud y los intereses de los consumidores ofreciendo una base para que los consumidores finales puedan elegir con conocimiento de causa;
H. Considerando que la Comisión justifica esta exención general para todos los aditivos alimentarios existentes afirmando que «añadir la palabra "nano" entre paréntesis tras la denominación de estos aditivos alimentarios en la lista de ingredientes podría confundir a los consumidores, ya que podría sugerirles que se trata de aditivos nuevos, cuando en realidad se han utilizado en los alimentos en esta forma durante décadas»;
I. Considerando que tal justificación es errónea e irrelevante, dado que el Reglamento sobre la información alimentaria facilitada al consumidor no prevé una distinción entre los nanomateriales existentes y los nuevos, sino que exige explícitamente el etiquetado de todos los ingredientes presentes en forma de nanomateriales artificiales;
J. Considerando que la intención declarada de la Comisión de abordar la necesidad de establecer requisitos de etiquetado específicos para los nanomateriales en relación con los aditivos alimentarios en las listas de la Unión en el marco del programa de reevaluación no es apropiada, ya que confunde las cuestiones de seguridad con los requisitos generales de etiquetado cuyo objetivo es informar a los consumidores; que de ello también se deduce que la Comisión cuestiona la necesidad misma de un nanoetiquetado específico, lo que infringe lo dispuesto en el artículo 18, apartado 3, del Reglamento sobre la información alimentaria facilitada al consumidor; que un aditivo alimentario o es un nanomaterial o no lo es, por lo que tales requisitos de etiquetado deben aplicarse para todos los aditivos alimentarios autorizados que son nanomateriales, independientemente de las condiciones de uso o de otras especificaciones;
K. Considerando asimismo que es inaceptable hacer referencia a un programa de reevaluación que no guarda relación y que ya existía cuando el legislador decidió introducir requisitos de etiquetado explícitos en el Reglamento sobre la información alimentaria facilitada al consumidor, en un intento de anular dichos requisitos de etiquetado tres años más tarde;
1. Presenta objeciones al Reglamento Delegado de la Comisión;
2. Considera que el Reglamento Delegado de la Comisión no es compatible con el objetivo y el contenido del Reglamento (UE) n° 1169/2011 y que rebasa los poderes delegados otorgados a la Comisión en virtud de este último;
3. Pide a la Comisión que presente un nuevo acto delegado que tenga en cuenta la posición del Parlamento;
4. Encarga a su Presidente que transmita la presente Resolución a la Comisión y la informe de que el Reglamento Delegado no puede entrar en vigor;
5. Encarga a su Presidente que transmita la presente Resolución al Consejo y a los Gobiernos y Parlamentos de los Estados miembros.
Reglamento (UE) nº 231/2012 de la Comisión, de 9 de marzo de 2012, por el que se establecen especificaciones para los aditivos alimentarios que figuran en los anexos II y III del Reglamento (CE) nº 1333/2008 del Parlamento Europeo y del Consejo (DO L 83 de 22.3.2012, p. 1).
Tratamiento de datos personales para fines de prevención de la delincuencia ***I
Resolución legislativa del Parlamento Europeo, de 12 de marzo de 2014, sobre la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y la libre circulación de dichos datos (COM(2012)0010 – C7-0024/2012 – 2012/0010(COD))
(Procedimiento legislativo ordinario: primera lectura)
El Parlamento Europeo,
– Vista la propuesta de la Comisión al Parlamento Europeo y al Consejo (COM(2012)0010),
– Vistos el artículo 294, apartado 2, y el artículo 16, apartado 2, del Tratado de Funcionamiento de la Unión Europea, conforme a los cuales la Comisión le ha presentado su propuesta (C7-0024/2012),
– Visto el artículo 294, apartado 3, del Tratado de Funcionamiento de la Unión Europea,
– Vistos los dictámenes motivados presentados por el Bundesrat alemán y el Parlamento sueco, de conformidad con lo dispuesto en el Protocolo n° 2 sobre la aplicación de los principios de subsidiariedad y proporcionalidad, en los que se sostiene que el proyecto de acto legislativo no respeta el principio de subsidiariedad,
– Visto el dictamen del Supervisor Europeo de Protección de Datos, de 7 de marzo de 2012(1),
– Visto el dictamen de la Agencia de los Derechos Fundamentales de la Unión Europea, de 1 de octubre de 2012,
– Visto el artículo 55 de su Reglamento,
– Vistos el informe de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior y la opinión de la Comisión de Asuntos Jurídicos (A7-0403/2013),
1. Aprueba la Posición en primera lectura que figura a continuación;
2. Pide a la Comisión que le consulte de nuevo si se propone modificar sustancialmente su propuesta o sustituirla por otro texto;
3. Encarga a su Presidente que transmita la Posición del Parlamento al Consejo y a la Comisión, así como a los Parlamentos nacionales.
Posición del Parlamento Europeo aprobada en primera lectura el 12 de marzo de 2014 con vistas a la adopción de la Directiva 2014/.../UE del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y la libre circulación de dichos datos
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea y, en particular, su artículo 16, apartado 2,
Vista la propuesta de la Comisión Europea,
Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,
Visto el dictamen del Supervisor Europeo de Protección de Datos(2),
De conformidad con el procedimiento legislativo ordinario(3),
Considerando lo siguiente:
(1) La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea establecen que toda persona tiene derecho a la protección de los datos personales que le conciernan. El artículo 8, apartado 2, de la Carta de los Derechos Fundamentales de la Unión Europea dispone que dichos datos se han de tratar de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. [Enm. 1]
(2) El tratamiento de datos personales está al servicio del hombre; los principios y normas relativos a la protección de las personas físicas en lo que respecta al tratamiento de sus datos de carácter personal deben, cualquiera que sea la nacionalidad o residencia de estas personas, respetar las libertades y derechos fundamentales, en particular el derecho a la protección de los datos de carácter personal. Debe contribuir a la plena realización de un espacio de libertad, seguridad y justicia.
(3) La rápida evolución tecnológica y la globalización han supuesto nuevos retos para la protección de los datos personales. Se ha incrementado de manera espectacular la magnitud del intercambio y la recogida de datos. La tecnología permite que las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de desarrollar sus actividades.
(4) Ello requiere facilitar la libre circulación de datos, siempre que sea necesario y proporcionado, entre las autoridades competentes en el seno de la Unión y la transferencia a terceros países y organizaciones internacionales, al tiempo que se garantiza un alto nivel de protección de los datos personales. Exige el establecimiento de un marco más sólido y coherente para la protección de datos en la Unión Europea, respaldado por una ejecución estricta. [Enm. 2]
(5) La Directiva 95/46/CE del Parlamento Europeo y del Consejo(4), se aplica a todas las actividades de tratamiento de datos personales en los Estados miembros tanto en el sector público como en el privado. Sin embargo, no se aplica al tratamiento de datos personales efectuado «en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario», como las actividades en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial.
(6) La Decisión Marco 2008/977/JAI del Consejo(5), es aplicable en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial. El ámbito de aplicación de esta Decisión Marco se limita al tratamiento de los datos personales transmitidos o puestos a disposición entre los Estados miembros.
(7) Asegurar un nivel uniforme y elevado de protección de los datos personales de las personas físicas y facilitar el intercambio de datos personales entre las autoridades competentes de los Estados miembros es esencial para garantizar la eficacia de la cooperación judicial en materia penal y de la cooperación policial. A tal efecto, el nivel de protección de los derechos y libertades de las personas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, debe ser equivalente en todos los Estados miembros. Hay que garantizar que las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal se apliquen de forma coherente y homogénea en todala Unión. La protección efectiva de los datos personales en la Unión no solo requiere la consolidación de los derechos de los interesados y de las obligaciones de quienes tratan dichos datos personales, sino también poderes equivalentes para supervisar y garantizar el cumplimiento de las normas relativas a la protección de los datos personales en los Estados miembros. [Enm. 3]
(8) El artículo 16, apartado 2, del Tratado de Funcionamiento de la Unión Europea dispone que el Parlamento Europeo y el Consejo deben establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos de carácter personal y las normas relativas a la libre circulación de estossus datos de carácter personal [Enm. 4]
(9) Sobre esta base, el Reglamento (UE) n° .../2014 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos), establece las normas generales para proteger a las personas físicas en relación con el tratamiento de los datos personales y para garantizar la libre circulación de los datos personales en la Unión.
(10) En la Declaración 21 relativa a la protección de los datos de carácter personal en el ámbito de la cooperación judicial en materia penal y la cooperación policial, aneja al Acta final de la Conferencia Intergubernamental que adoptó el Tratado de Lisboa, la Conferencia reconoció que podrían requerirse normas específicas para la protección de datos de carácter personal y la libre circulación de dichos datos en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial que se basen en el artículo 16 del Tratado de Funcionamiento de la Unión Europea, en razón de la naturaleza específica de dichos ámbitos.
(11) Por lo tanto, una nueva Directiva específica debe responder a la naturaleza específica de estos ámbitos y establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales. [Enm. 5]
(12) A fin de garantizar el mismo nivel de protección de las personas a través de derechos exigibles legalmente en toda la Unión y evitar divergencias que dificulten el intercambio de datos personales entre las autoridades competentes, la Directiva debe establecer normas armonizadas para la protección y la libre circulación de los datos personales en los ámbitos de la cooperación judicial en materia penal y la cooperación policial.
(13) La presente Directiva permite que se tenga en cuenta el principio de acceso público a los documentos oficiales al aplicar las disposiciones de la misma.
(14) La protección otorgada por la presente Directiva atañe a las personas físicas, independientemente de su nacionalidad o lugar de residencia, en relación con el tratamiento de datos personales.
(15) La protección de las personas físicas debe ser tecnológicamente neutra y no debe depender de las técnicas utilizadas, pues de lo contrario daría lugar a graves riesgos de elusión. La protección de las personas debe aplicarse al tratamiento automatizado de datos personales, así como a su tratamiento manual, si los datos están contenidos o destinados a ser incluidos en un fichero. Los ficheros o conjuntos de ficheros y sus carpetas que no estén estructurados con arreglo a criterios específicos no están comprendidos en el ámbito de aplicación de la presente Directiva. La presente Directiva no debe aplicarse al tratamiento de datos personales efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión, en particular en lo que respecta a la seguridad nacional, o a los datos tratados por instituciones, órganos y organismos de la Unión, tales como Europol o Eurojust. El Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo(6) y los instrumentos jurídicos específicos aplicables a los órganos, los organismos y las agencias de la Unión deben adaptarse a la presente Directiva y aplicarse de conformidad con la misma. [Enm. 6]
(16) Los principios de protección deben aplicarse a toda información relativa a una persona identificada o identificable. Para determinar si una persona física es identificable deben tenerse en cuenta todos los medios que razonablemente pudiera utilizar el responsable del tratamiento o cualquier otro individuo para identificar o seleccionar a dicha persona. Los principios de protección de datos no deben aplicarse a los datos convertidos en anónimos de forma que el interesado a quien se refieren ya no resulte identificable. La presente Directiva no debe aplicarse a los datos anónimos, es decir, los datos que no puedan ser relacionados, directa o indirectamente, en sí solos o en combinación con datos asociados, con una persona física. Habida cuenta de la importancia que ha adquirido en el marco de la sociedad de la información el desarrollo de las técnicas para captar, transmitir, manejar, registrar, conservar o comunicar datos de localización de personas físicas, que pueden utilizarse para fines diversos, por ejemplo a efectos de vigilancia o para la elaboración de perfiles personales, la presente Directiva debe aplicarse también al tratamiento de ese tipo de datos personales. [Enm. 7]
(16 bis) Todo tratamiento de datos de carácter personal debe efectuarse de forma lícita, justa y transparente en relación con las personas interesadas. En particular, los fines específicos del tratamiento deben ser legítimos y explícitos, y deben determinarse en el momento de su recopilación. Los datos deben ser adecuados, pertinentes y estar restringidos al mínimo necesario para los fines para los que se recopilan. Eso exige, en particular, que se limiten al mínimo imprescindible los datos recopilados y el periodo de conservación de los mismos. Los datos de carácter personal solo deben tratarse si la finalidad del tratamiento no pudiera lograrse por otros medios. Deben tomarse todas las precauciones útiles para asegurar que se rectifiquen o supriman datos de carácter personal que resulten ser inexactos. Para garantizar que los datos no se conserven por más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica. [Enm. 8]
(17) Los datos personales relacionados con la salud deben incluir en particular todos los datos relativos a la salud del interesado; información sobre el registro de la persona para la prestación de servicios sanitarios; información acerca de los pagos o de la admisibilidad para la atención sanitaria con respecto a la persona; un número, símbolo u otro dato asignado a una persona que la identifica de manera unívoca a efectos de salud; cualquier información acerca de la persona recogida durante la prestación de servicios sanitarios a esta; información derivada de las pruebas o los exámenes de una parte del cuerpo o sustancia corporal, incluidas muestras biológicas; identificación de una persona como prestador de asistencia sanitaria a la persona; o cualquier información sobre, por ejemplo, toda enfermedad, discapacidad, riesgo de enfermedades, historia médica, tratamiento clínico, o estado fisiológico o biomédico real del interesado, independientemente de su fuente, como, por ejemplo, cualquier médico u otro profesional de la sanidad, hospital, dispositivo médico, o prueba diagnóstica in vitro.
(18) Todo tratamiento de datos de carácter personal debe efectuarse de forma lícita, justa y transparente en relación con las personas afectadas. En particular, los fines específicos para los que se hayan tratado los datos deben ser explícitos. [Enm. 9]
(19) Para la prevención, investigación y enjuiciamiento de infracciones penales, es necesario que las autoridades competentes conserven y traten datos personales, recogidos en el contexto de la prevención, investigación, detección o enjuiciamiento de infracciones penales, más allá de ese contexto específico, con el fin de adquirir un mejor conocimiento de las tendencias y fenómenos delictivos, recabar información sobre las redes de delincuencia organizada, y establecer vínculos entre las distintas infracciones detectadas. [Enm. 10]
(20) Los datos personales no deben ser tratados para fines incompatibles con la finalidad para la que fueron recogidos. Los datos deben ser adecuados, pertinentes y no excesivos para los fines para los que se traten. Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos. [Enm. 11]
(20 bis) El mero hecho de que dos fines se refieran ambos a la prevención, investigación, detección o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales no necesariamente significa que sean compatibles. Sin embargo, hay casos en que el tratamiento ulterior con fines incompatibles debería ser posible, en caso de necesidad, para cumplir una obligación legal del responsable del tratamiento, a fin de proteger los intereses vitales de la persona a que se refieren los datos o de otra persona, o a fin de prevenir una amenaza inmediata y grave para la seguridad pública. Por ello, los Estados miembros han de poder adoptar leyes nacionales que permitan tales derogaciones en la medida de lo estrictamente necesario. Dichas leyes nacionales deben prever salvaguardias adecuadas. [Enm. 12]
(21) El principio de exactitud de los datos debe aplicarse teniendo presente el carácter y finalidad del tratamiento correspondiente. En particular en los procedimientos judiciales, las declaraciones que contienen datos personales se basan en la percepción subjetiva de las personas y, en algunos casos, no siempre son verificables. En consecuencia, el requisito de exactitud no debe relacionarse con la exactitud de una afirmación, sino exclusivamente con el hecho de que se ha formulado una afirmación concreta.
(22) En la interpretación y aplicación de los principios generales relativos al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, se han de tener en cuenta las características específicas del sector, incluidos los objetivos específicos perseguidos. [Enm. 13]
(23) Es inherente al tratamiento de datos personales en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial que se traten datos personales relativos a diferentes categorías de interesados. Por tanto, en la medida de lo posible, se debe distinguir claramente entre los datos personales de diferentes categorías de interesados tales como los sospechosos, los condenados por una infracción penal, las víctimas y terceros, como los testigos, las personas que posean información o contactos útiles y los cómplices de sospechosos y delincuentes condenados. Los Estados miembros deben establecer normas específicas por lo que respecta a las consecuencias de esta categorización, teniendo en cuenta los diferentes fines de la recogida de los datos y disponiendo salvaguardias específicas para las personas que no sean sospechosas de haber cometido o no hayan sido condenadas por cometer una infracción penal. [Enm. 14]
(24) En la medida de lo posible, debe distinguirse entre los datos personales en función de su grado de exactitud y fiabilidad. Se debe distinguir entre hechos y apreciaciones personales, con el fin de garantizar tanto la protección de las personas como la calidad y fiabilidad de la información tratada por las autoridades competentes.
(25) Para que sea lícito, el tratamiento de datos personales solo debe ser permitirse cuando sea necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, para el cumplimiento de una misión de interés público por una autoridad competente prevista por ley, o con el fin de proteger los intereses vitales del interesado o de otra persona, o bien para la prevención de una amenaza inminente y grave para la seguridad pública la legislación de la Unión o del Estado miembro, la cual debe especificar en disposiciones explícitas y detalladas, como mínimo, los objetivos, los datos personales, los fines y medios específicos, así como designar o facultar a la designación del responsable del tratamiento, los procedimientos a seguir, el uso y los límites del margen de apreciación otorgado a las autoridades competentes con respecto a las actividades de tratamiento. [Enm. 15]
(25 bis) Los datos personales no deben ser tratados para fines incompatibles con la finalidad para la que fueron recogidos. Todo tratamiento ulterior por las autoridades competentes a los efectos contemplados por la presente Directiva que no responda a la finalidad primera con que se recopilaron solo debe autorizarse en casos específicos, cuando el tratamiento sea necesario para el cumplimiento de una obligación jurídica, en virtud de la legislación de la Unión o el Estado miembro a la que esté sujeto el responsable del tratamiento, o para proteger los intereses vitales del interesado o de otra persona o evitar una amenaza inminente y grave para la seguridad pública. El hecho de que se traten datos a efectos policiales no implica necesariamente que dicho objetivo sea compatible con el propósito inicial de su recopilación. El concepto de uso compatible debe interpretarse de manera restrictiva. [Enm. 16]
(25 ter) Se debe poner fin al tratamiento de datos personales que infrinja las disposiciones nacionales adoptadas de conformidad con la presente Directiva. [Enm. 17]
(26) Protección específica merecen los datos personales que, por su naturaleza, son particularmente sensibles y vulnerables en relación con los derechos fundamentales o la intimidad, incluidos los datos genéticos. Tales datos no deben ser tratados, a no ser que el tratamiento estésea específicamente autorizado por una leynecesario para la realización de una tarea de interés público en virtud de legislación de la Unión o el Estado miembro que contemple medidas adecuadas para proteger los derechos fundamentales y los intereses legítimos del interesado, sea necesario para salvaguardar el interés vital del interesado o de otra persona; o se refiera a datos que el interesado ha hecho manifiestamente públicos. Los datos personales de carácter sensible solo deben ser tratados cuando complementen a otros datos personales que ya se hayan tratado con fines policiales. Toda excepción a la prohibición de tratar datos sensibles se ha de interpretar de modo restrictivo y no ha de dar lugar al tratamiento frecuente, en masa y estructural de los datos personales de carácter sensible. [Enm. 18]
(26 bis) El tratamiento de datos genéticos solo debe estar permitido cuando, en el transcurso de una investigación penal o un procedimiento judicial, se compruebe la existencia de un nexo genético. Los datos genéticos no deben guardarse más que por el tiempo estrictamente necesario para los fines de tales investigaciones y procedimientos, sin perjuicio de la posibilidad de que los Estados miembros prevean periodos de conservación más largos en las condiciones fijadas por la presente Directiva. [Enm. 19]
(27) Toda persona física debe tener derecho a no ser objeto de una medida que se base únicamente en elen la elaboración parcial o total de perfiles por medios de tratamiento automático si produceautomatizado. Todo tratamiento automatizado susceptible de causar un efecto jurídico desfavorable para él, dicha persona o de afectarla seriamente debe estar prohibido, salvo que esté autorizadaautorizado por ley y sujetasujeto a medidas adecuadas para salvaguardar los derechos fundamentales y los intereses legítimos del interesado, incluido el derecho a que se le facilite información significativa sobre la lógica empleada en la elaboración de perfiles. Dicho tratamiento en ningún caso ha de contener o generar discriminaciones sobre la base de categorías especiales de datos. [Enm. 20]
(28) Para poder ejercer sus derechos, cualquier información que se facilite al interesado debe ser fácilmente accesible y fácil de entender, utilizando un lenguaje sencillo y claro. Esta información debe adaptarse a las necesidades del interesado, en particular cuando se dirija de forma específica a un niño. [Enm. 21]
(29) Deben arbitrarse fórmulas para facilitar al interesado el ejercicio de sus derechos establecidos en la presente Directiva, incluidos los mecanismos para solicitar de forma gratuita, entre otras cosas, el acceso a los datos, su rectificación y supresión. El responsable del tratamiento debe estar obligado a responder a las solicitudes del interesado sin demora injustificada y en un plazo de un mes a partir de la recepción de la solicitud. Cuando los datos personales se sometan a tratamiento de forma automatizada, el responsable del tratamiento debe proporcionar medios para que las solicitudes se hagan por vía electrónica.[Enm. 22]
(30) El principio de tratamiento leal y transparente exige que el interesado sea informado, entre otras cosas, de la existencia de la operación de tratamiento y sus fines, de su fundamento jurídico, del plazo de conservación de los datos, de la existencia del derecho de acceso, rectificación o supresión y del derecho a presentar una reclamación. Además, se ha de informar al interesado en caso de que se elabore un perfil y sobre sus consecuencias previstas. Cuando los datos se obtengan de los interesados, estos también deben ser informados de si están obligados a facilitarlos y de las consecuencias, en caso de que no lo hicieran. [Enm. 23]
(31) La información sobre el tratamiento de los datos de carácter personal relativos a los interesados debe ser facilitada a estos últimos en el momento de su recogida, o, si los datos no se recogieran de los interesados, en el momento del registro o en un plazo razonable después de la recogida, habida cuenta de las circunstancias específicas en que se traten los datos.
(32) Toda persona debe tener el derecho de acceder a los datos recogidos que le conciernan y a ejercer este derecho con facilidad, con el fin de conocer y verificar la licitud del tratamiento. Todo interesado debe, por tanto, tener el derecho de conocer y de que se le comuniquen, en particular, los fines para los que se tratan los datos, su fundamento jurídico, el plazo de su conservación, los destinatarios que los reciben, incluso en terceros países, información inteligible sobre la lógica empleada en el tratamiento automático y la importancia y las consecuencias previstas del mismo, si procede, así como el derecho a presentar una reclamación ante la autoridad de control y a conocer las señas de la misma. Se debe autorizar a los interesados a recibir una copia de sus datos personales que estén siendo tratados. [Enm. 24]
(33) Debe permitirse a los Estados miembros adoptar medidas legislativas que retrasen, restrinjan u omitan la información de los interesados o el acceso a sus datos personales en la medida y siempre que dicha restricción total o parcial constituya una medida necesaria y proporcionada en una sociedad democrática, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos de la persona de que se trate, con el fin de no entorpecer las indagaciones, investigaciones o procedimientos oficiales o jurídicos, de no perjudicar la prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, de proteger la seguridad pública o la seguridad nacional o de proteger al interesado o los derechos y libertades de otras personas. El responsable del tratamiento debe evaluar mediante un examen concreto e individual de cada caso si procede aplicar una restricción total o parcial al derecho de acceso. [Enm. 25]
(34) Toda denegación o restricción de acceso debe comunicarse por escrito al interesado, incluidas las razones de hecho o de Derecho sobre las que se basa la decisión.
(34 bis) De conformidad con lo establecido por la jurisprudencia del Tribunal y el Tribunal Europeo de Derechos Humanos, toda restricción de los derechos del interesado debe ser conforme con la Carta y con el Convenio Europeo de Derechos Humanos, y respetar, en particular, el contenido esencial de los derechos y libertades. [Enm. 26]
(35) Cuando los Estados miembros hayan adoptado medidas legislativas que restrinjan, total o parcialmente, el derecho de acceso, el interesado debe tener derecho a solicitar que la autoridad nacional de control competente verifique la licitud del tratamiento. El interesado debe ser informado de este derecho. Cuando el acceso sea ejercido por la autoridad de control por cuenta del interesado, este debe ser informado por la autoridad de control, como mínimo, de que se han llevado a cabo las verificaciones necesarias y del resultado en cuanto a la licitud del tratamiento en cuestión. La autoridad de control también debe informar al interesado de su derecho a interponer medios legales. [Enm. 27]
(36) Toda persona debe tener derecho a que se rectifiquen los datos personales inexactos o tratados de forma ilegal que le conciernan y a que se supriman, cuando el tratamiento de estos datos no cumpla los principios esenciales establecidoslas disposiciones establecidas en la presente Directiva. Debe notificarse a los destinatarios a los que se hayan comunicado los datos o a los terceros de quienes proceden los datos inexactos que se ha procedido a rectificar, completar o suprimir dichos datos. Los responsables del tratamiento deben abstenerse asimismo de divulgar ulteriormente dichos datos. Cuando los datos personales se sometan a tratamiento en el transcurso de investigaciones y procedimientos penales, los derechos de información, acceso, rectificación, supresión y restricción del tratamiento pueden ejercerse de conformidad con las normas nacionales relativas a los procedimientos judiciales. [Enm. 28]
(37) Se debe establecer la responsabilidad general del responsable por cualquier tratamiento de datos personales realizado por él mismo o en su nombre. En particular, el responsable del tratamiento debeha de garantizar ydebe estar obligado a poder demostrar que las operacionescada operación de tratamiento se ajustanajusta a las normas adoptadas con arreglo a la presente Directiva. [Enm. 29]
(38) La protección de los derechos y libertades de los interesados con respecto al tratamiento de datos personales exige la adopción de las oportunas medidas de carácter técnico y organizativo con el fin de garantizar el cumplimiento de lo dispuesto en la presente Directiva. Con objeto de velar por el cumplimiento de las disposiciones adoptadas con arreglo a la presente Directiva, el responsable debe adoptar las políticas y aplicar las medidas adecuadas que cumplan especialmente los principios de protección de datos desde el diseño y por defecto.
(39) La protección de los derechos y libertades de los interesados, así como la responsabilidad de los responsables y encargados del tratamiento, requieren una atribución clara de las responsabilidades con arreglo a la presente Directiva, incluidos los casos en que un responsable determine los fines y los medios para el tratamiento de forma conjunta con otros responsables del tratamiento o cuando el tratamiento se efectúe por cuenta de un responsable. El interesado debe tener la posibilidad de ejercer sus derechos de conformidad con lo establecido por la presente Directiva frente a cada uno de los corresponsables del tratamiento. [Enm. 30]
(40) Con objeto de supervisar el cumplimiento de lo dispuesto en la presente Directiva, el responsable o el encargado del tratamiento deben documentar las actividades de tratamiento. Los responsables y encargados del tratamiento deben estar obligados a cooperar con la autoridad de control y a difundir esta documentación, previa solicitud, de modo que pueda servir para supervisar las operaciones de tratamiento.
(40 bis) Toda operación de tratamiento de datos personales debe registrarse y documentarse a efectos de la verificación de la licitud del tratamiento y en interés del autocontrol y de las garantías de integridad y seguridad de los datos. Debe concederse acceso a dicho registro a la autoridad de control cuando lo solicite, a efectos del control del cumplimiento de las normas establecidas por la presente Directiva. [Enm. 31]
(40 ter) El responsable o encargado del tratamiento debe efectuar una evaluación del impacto sobre la protección de datos cuando exista la probabilidad de que, por su naturaleza, alcance o fines, las operaciones de tratamiento entrañen riesgos específicos para los derechos y las libertades de los interesados, debiéndose incluir, en particular, las medidas, las garantías y los mecanismos previstos para garantizar la protección de los datos personales y demostrar la conformidad con la presente Directiva. Las evaluaciones de impacto deben referirse a los sistemas y procesos pertinentes de las operaciones de tratamiento de datos personales, pero no a casos concretos. [Enm. 32]
(41) Con el fin de garantizar la protección efectiva de los derechos y libertades de los interesados mediante acciones preventivas, el responsable o encargado del tratamiento deben consultar, en determinados casos, a la autoridad de control antes del tratamiento. Además, cuando una evaluación del impacto sobre la protección de datos indique que es probable que las operaciones de tratamiento presenten un elevado riesgo concreto para los derechos y las libertades de los interesados, la autoridad de control debe estar en condiciones de impedir, antes de que se inicie, todo tratamiento que conlleve riesgos no acordes con lo dispuesto por la presente Directiva, así como de formular propuestas para remediar la situación. Dicha consulta puede también realizarse durante la elaboración de una norma del parlamento nacional o de una disposición basada en dicha norma legislativa que defina la naturaleza del tratamiento y establezca las garantías adecuadas. [Enm. 33]
(41 bis) Con objeto de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en la presente Directiva, el responsable o el encargado del tratamiento deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos. Dichas medidas deben garantizar un nivel de seguridad adecuado, teniendo en cuenta los conocimientos técnicos existentes y el coste de su aplicación en relación con los riesgos y la naturaleza de los datos personales que deban protegerse. A la hora de establecer normas técnicas y medidas organizativas destinadas a garantizar la seguridad del tratamiento, se ha de fomentar la neutralidad tecnológica. [Enm. 34]
(42) Si no se toman medidas de manera rápida y adecuada, las violaciones de los datos personales pueden entrañar una pérdida económica sustancial y un perjuicio, inclusosocial para la reputación de la persona en cuestión, incluida la posibilidad de que un tercero usurpe su identidad. Por consiguiente, tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violación, debe notificarla a la autoridad nacional competente. Las personas físicas cuyos datos personales o intimidad puedan verse afectados negativamente por dicha violación deben ser informadas de ello sin demora injustificada para que puedan adoptar las cautelas necesarias. Se debe considerar que una violación afecta negativamente a los datos personales o la intimidad de los interesados cuando conlleva, por ejemplo, fraude o usurpación de identidad, daños físicos, humillación grave o perjuicio para su reputación en relación con el tratamiento de datos personales. La notificación debe incluir información sobre las medidas adoptadas por el proveedor para atajar la violación, así como recomendaciones para el abonado o particular afectado. Las notificaciones a los interesados deben realizarse tan pronto como sea factible, en estrecha cooperación con la autoridad de control y siguiendo las directrices de esta. [Enm. 35]
(43) Al establecer disposiciones de aplicación sobre el formato y los procedimientos aplicables a la notificación de las violaciones de datos personales, conviene tener debidamente en cuenta las circunstancias de la violación, incluyendo si los datos personales habían sido protegidos mediante las medidas técnicas de protección adecuadas, limitando eficazmente la probabilidad de uso indebido. Asimismo, estas normas y procedimientos deben tener en cuenta los intereses legítimos de las autoridades competentes, en los casos en que una comunicación temprana pudiera obstaculizar innecesariamente la investigación de las circunstancias de la violación.
(44) El responsable o el encargado del tratamiento deben designar a una persona que les ayude a supervisar y demostrar el cumplimiento de las disposiciones adoptadas con arreglo a la presente Directiva. Cuando varias entidades de laautoridades competentes actúen bajo la supervisión de una autoridad competente puedencentral, al menos esta autoridad central debe designar conjuntamente a un delegado de protección de datos. Los delegados de protección de datos deben estar en condiciones de desempeñar sus funciones y tareas con independencia y eficacia, en particular, mediante el establecimiento de normas que prevengan conflictos de intereses con otras tareas llevadas a cabo por el delegado de protección de datos. [Enm. 36]
(45) Los Estados miembros deben velar por que una transferencia a un tercer país solo se lleve a cabo si dicha transferencia específica es necesaria para la prevención, investigación, detección y enjuiciamiento de infracciones penales o la ejecución de sanciones penales, y si el responsable del tratamiento en el tercer país u organización internacional es una autoridad pública competente a tenor de la presente Directiva. Puede llevarse a cabo una transferencia en los casos en que la Comisión haya decidido que el tercer país o la organización internacional de que se trate garantizan un nivel adecuado de protección, o cuando se hayan ofrecido unas garantías apropiadas, llegado el caso, en virtud de un instrumento jurídicamente vinculante. Los datos transferidos a las autoridades públicas competentes en terceros países no se han de tratar ulteriormente con fines diferentes de los que motivaron su transferencia. [Enm. 37]
(45 bis) La transferencia ulterior por parte de las autoridades competentes en terceros países o de organizaciones internacionales a las que se hayan transferido datos personales solo se ha de permitir si dicha transferencia ulterior es necesaria para el mismo fin específico que el de la transferencia original y si el segundo destinatario también es una autoridad pública competente. Las transferencias ulteriores no se deben permitir con fines policiales de carácter general. La autoridad competente que llevó a cabo la transferencia original debe haber dado su conformidad a la transferencia ulterior. [Enm. 38]
(46) La Comisión puede determinar, con efectos para toda la Unión, que algunos terceros países, un territorio o un sector del tratamiento en un tercer país, o una organización internacional ofrecen un nivel adecuado de protección de datos, proporcionando así seguridad jurídica y uniformidad en toda la Unión en lo que se refiere a los terceros países u organizaciones internacionales que se considera aportan tal nivel de protección. En estos casos, se pueden realizar transferencias de datos personales a estos países sin tener que obtener ninguna otra autorización.
(47) En consonancia con los valores fundamentales en los que se basa la Unión, en particular la protección de los derechos humanos, la Comisión debe tener en cuenta en qué medida en dicho tercer país se respeta el Estado de Derecho, el acceso a la justicia, así como las normas y principios internacionales relativos a los derechos humanos.
(48) La Comisión también debe poder reconocer que un tercer país, un territorio, un sector del tratamiento en un tercer país, o una organización internacional no ofrece un nivel adecuado de protección de datos. En consecuencia, debe prohibirse la transferencia de datos personales a dicho tercer país, salvo cuando se base en un acuerdo internacional, unas garantías apropiadas o una excepción. Deben establecerse los procedimientos para celebrar consultas entre la Comisión y dichos terceros países u organizaciones internacionales. Sin embargo, tal decisión de la Comisión se entenderá sin perjuicio de la posibilidad de llevar a cabo transferencias sobre la base de garantías apropiadas en virtud de un instrumento jurídicamente vinculante, o de una excepción establecida en la Directiva. [Enm. 39]
(49) Las transferencias no basadas en dicha decisión de adecuación solo deben permitirse cuando se hayan invocado las garantías apropiadas en un instrumento jurídicamente vinculante que garantice la protección de los datos personales o cuando el responsable o encargado del tratamiento haya evaluado todas las circunstancias que rodean la operación de transferencia de datos o el conjunto de operaciones de transferencia de datos y, basándose en esta evaluación, considere que existen las garantías apropiadas con respecto a la protección de los datos personales. En los casos en que no existan razones para autorizar una transferencia, deben permitirse excepciones, si fuera necesario, para proteger el interés vital del interesado o de otra persona, o para proteger intereses legítimos del interesado en caso de que la legislación del Estado miembro que transfiere los datos personales así lo disponga, o cuando sea indispensable para prevenir una amenaza inminente y grave para la seguridad pública de un Estado miembro o de un tercer país, o en determinados casos a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, o en casos específicos para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial. [Enm. 40]
(49 bis) En los casos en que no existan razones para autorizar una transferencia, deben permitirse excepciones, si fuera necesario, para proteger el interés vital del interesado o de otra persona, o para proteger intereses legítimos del interesado en caso de que la legislación del Estado miembro que transfiere los datos personales así lo disponga, o cuando sea indispensable para prevenir una amenaza inminente y grave para la seguridad pública de un Estado miembro o de un tercer país, o en determinados casos a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, o en casos específicos para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial. Dichas excepciones se deben interpretar de forma restrictiva y no permitir la transferencia frecuente, en masa y estructural de datos personales ni la transferencia indiscriminada de datos, que deberían estar limitados a los datos estrictamente necesarios. Además, la decisión sobre una transferencia de datos debe adoptarla una persona debidamente autorizada, y la transferencia debe estar documentada y ponerse, previa solicitud, a disposición de la autoridad de control con objeto de controlar la pertinencia de la misma. [Enm. 41]
(50) Cuando los datos personales circulan a través de las fronteras se puede poner en mayor riesgo la capacidad de las personas físicas para ejercer los derechos de protección de datos con el fin de protegerse contra la utilización ilícita o la revelación de dichos datos. Al mismo tiempo, es posible que las autoridades de control se vean en la imposibilidad de tramitar reclamaciones o realizar investigaciones relativas a actividades desarrolladas fuera de sus fronteras. Sus esfuerzos por colaborar en el contexto transfronterizo también pueden verse obstaculizados por poderes preventivos o correctores insuficientes y regímenes jurídicos incoherentes. Por tanto, es necesario fomentar una cooperación más estrecha entre las autoridades de control de la protección de datos para ayudarles a intercambiar información con sus homólogos extranjeros.
(51) La creación en los Estados miembros de autoridades de control que ejerzan sus funciones con plena independencia constituye un elemento esencial de la protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal. Las autoridades de control deben supervisar la aplicación de las disposiciones adoptadas en aplicación de la presente Directiva y contribuir a su aplicación coherente en toda la Unión, con el fin de proteger a las personas físicas en relación con el tratamiento de sus datos de carácter personal. Para ello, las autoridades de supervisión deben cooperar entre sí y con la Comisión. [Enm. 42]
(52) Los Estados miembros pueden confiar a una autoridad de control ya creada en los Estados miembros de conformidad con el Reglamento (UE) nº …./2014 la responsabilidad de las funciones que corresponden a las autoridades nacionales de control que han de crearse con arreglo a lo dispuesto en la presente Directiva.
(53) Se debe autorizar a los Estados miembros a crear más de una autoridad de control con objeto de reflejar su estructura constitucional, organizativa y administrativa. Todas las autoridades de control deben estar dotadas de los recursos financieros y humanos adecuados, los locales y las infraestructuras, incluidas capacidades técnicas, conocimientos y cualificaciones, que sean necesarios para la realización eficaz de sus tareas, en particular las relacionadas con la asistencia recíproca y la cooperación con otras autoridades de control de la Unión. [Enm. 43]
(54) Las condiciones generales aplicables a los miembros de la autoridad de control deben establecerse por ley en cada Estado miembro, y disponer, entre otras cosas, que dichos miembros deben ser nombrados por el Parlamento o el Gobierno del Estado miembro, sobre la base de consultas celebradas con los parlamentos, e incluir normas sobre su cualificación personal y función. [Enm. 44]
(55) Aunque la presente Directiva también se aplica a las actividades de los órganos jurisdiccionales nacionales, la competencia de las autoridades de control no debe abarcar el tratamiento de datos personales cuando los primeros actúen en ejercicio de su función jurisdiccional, con el fin de garantizar la independencia de los jueces en el desempeño de sus funciones. No obstante, esta excepción debe limitarse estrictamente a verdaderas actividades judiciales en juicios y no debe aplicarse a otras actividades en las que puedan estar implicados los jueces, de conformidad con el Derecho nacional.
(56) Para garantizar la supervisión y ejecución coherentes de la presente Directiva en toda la Unión, las autoridades de control deben gozar en todos los Estados miembros de las mismas funciones y poderes efectivos, incluidos los poderes de investigación efectivos, acceso a todos los datos personales y a toda la información necesaria para el ejercicio de las distintas funciones de control, acceso a cualesquiera locales del responsable o encargado de datos, incluidas las infraestructuras de tratamiento de datos, poderes de intervención jurídicamente vinculante, de decisión y sanción, especialmente en casos de reclamaciones de personas físicas, y la capacidad de litigar. [Enm. 45]
(57) Cada autoridad de control debe oír las reclamaciones presentadas por cualquier interesado y debe investigar el asunto. La investigación a raíz de una reclamación debe llevarse a cabo, bajo control jurisdiccional, en la medida en que sea adecuada en el caso específico. La autoridad de control debe informar al interesado de la evolución y el resultado de la reclamación en un plazo razonable. Si el caso requiere una mayor investigación o coordinación con otra autoridad de control, se debe facilitar información intermedia al interesado.
(58) Las autoridades de control deben ayudarse en el desempeño de sus funciones y facilitarse ayuda mutua, con el fin de garantizar la aplicación y ejecución coherentes de las disposiciones adoptadas con arreglo a la presente Directiva. Cada autoridad de control debería estar preparada para participar en operaciones conjuntas. La autoridad de control a la que se curse la solicitud debe estar obligada a responder a la misma en un plazo señalado. [Enm. 46]
(59) El Consejo Europeo de Protección de Datos creado por el Reglamento (UE) nº …./20122014 debe contribuir a la aplicación coherente de la presente Directiva en el conjunto de la Unión, entre otras cosas, asesorando a las instituciones de la ComisiónUnión, y fomentando la cooperación de las autoridades de control en toda la Unión, y deberá emitir un dictamen a la Comisión con respecto a la elaboración de actos delegados y de ejecución basados en la presente Directiva. [Enm. 47]
(60) Todo interesado debe tener derecho a presentar una reclamación ante una autoridad de control en cualquier Estado miembro y a presentar un recurso judicial si considera que se vulneran sus derechos en el marco de la presente Directiva o en caso de que la autoridad de control no reaccione ante una reclamación o no actúe cuando dicha medida sea necesaria para proteger los derechos del interesado.
(61) Toda entidad, organización o asociación que tenga por objeto proteger los derechos e intereses de los interesados en relación con la protección de sus datosactúe en interés público y esté constituida con arreglo a la legislación de un Estado miembro debe tener derecho a presentar una reclamación ante la autoridad de control o ejercer el derecho de recurso judicial, en nombre de los interesados, o a presentar, independientemente de la reclamación de un interesado, su propia reclamación, cuando considere que se ha producido una violación de los datos personales. [Enm. 48]
(62) Toda persona física o jurídica debe tener derecho a presentar un recurso judicial contra las decisiones de una autoridad de control que le conciernan. Las acciones legales contra una autoridad de control deben ejercitarse ante los órganos jurisdiccionales del Estado miembro en el que esté establecida la autoridad de control.
(63) Los Estados miembros deben garantizar que las acciones judiciales, para ser eficaces, permitan la rápida adopción de medidas con el fin de corregir o impedir una infracción a la presente Directiva.
(64) Cualquier perjuicio que pueda sufrir una persona, incluidos daños no pecuniarios, como consecuencia de un tratamiento ilícito debe ser compensado por el responsable o el encargado del tratamiento, que pueden quedar exentos de responsabilidad si demuestran que no son responsables del perjuicio, en particular si acreditan la conducta culposa del interesado o en caso de fuerza mayor. [Enm. 49]
(65) Deben imponerse sanciones a toda persona física o jurídica, ya sean de Derecho público o privado, que no cumpla lo dispuesto en la presente Directiva. Los Estados miembros deben asegurarse de que las sanciones sean efectivas, proporcionadas y disuasorias y deben tomar todas las medidas para su aplicación.
(65 bis) Estará prohibida la comunicación de datos personales a otras autoridades o a particulares en la Unión, a menos que la misma se efectúe en aplicación de una Ley y el destinatario esté establecido en un Estado miembro, y a condición de que ningún interés legítimo concreto del interesado obste a su comunicación, y siempre que la misma responda a la necesidad de que el responsable comunique los datos bien para efectuar una tarea de la que esté encargado legalmente, para prevenir un peligro inmediato y serio para la seguridad pública, o para evitar serios perjuicios para los derechos de las personas. El responsable deberá informar a los destinatarios sobre el objeto del tratamiento, y a la autoridad de control sobre el hecho de la comunicación de datos. También se deberá informar al destinatario de las restricciones aplicables al tratamiento y velar por el respeto de las mismas. [Enm. 50]
(66) Con el fin de cumplir los objetivos de la presente Directiva, a saber, proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales y garantizar el libre intercambio de datos personales por parte de las autoridades competentes en la Unión, debe delegarse a la Comisión la facultad de adoptar actos de conformidad con el artículo 290 del Tratado de Funcionamiento de la Unión Europea. En particular, deben adoptarse actos delegados con respecto de las notificaciones de una violación de datos personales a la autoridad de controlpara especificar con más detalle los criterios y las condiciones aplicables a las operaciones de tratamiento que requieran una evaluación del impacto en materia de protección de datos; los criterios y requisitos de una violación de datos y en lo que se refiere al nivel adecuado de protección requerido por un tercer país o territorio o un sector de tratamiento dentro de ese tercer país, o una organización internacional.. Es de especial importancia que la Comisión evacue las consultas apropiadas durante sus trabajos preparatorios, con expertos inclusive, en particular con el Consejo Europeo de Protección de Datos. La Comisión, al preparar y elaborar actos delegados, debe garantizar una transmisión simultánea, oportuna y apropiada de los documentos pertinentes al Parlamento Europeo y al Consejo. [Enm. 51]
(67) Con el fin de garantizar unas condiciones uniformes para la aplicación de la presente Directiva, se deben conferir competencias de ejecución a la Comisión por lo que respecta a la documentación por parte de los responsables y encargados del tratamiento; la seguridad del tratamiento, la seguridad del tratamiento, especialmente en lo que se refiere a las normas de cifrado y a la notificación de una violación de los datos personales a la autoridad de control, y el nivel adecuado de protección que ofrece un tercer país, un territorio, un sector de tratamiento en dicho tercer país o una organización internacional. Estas competencias deben ejercerse de conformidad con el Reglamento (UE) nº 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión(7). [Enm. 52]
(68) El procedimiento de examen debe emplearse para la adopción de medidas por lo que respecta a la documentación por parte de los responsables y encargados del tratamiento; la seguridad del tratamiento, especialmente en lo que se refiere a las normas de cifrado; y a la notificación de una violación de los datos personales a la autoridad de control; y el nivel adecuado de protección que ofrece un tercer país, un territorio, un sector de tratamiento en dicho tercer país o una organización internacional, dado que dichos actos son de alcance general. [Enm. 53]
(69) La Comisión debe adoptar actos de ejecución inmediatamente aplicables cuando así lo requieran razones perentorias, en casos debidamente justificados relacionados con un tercer país, un territorio o un sector de tratamiento en ese tercer país, o una organización internacional que no garantice un nivel de protección adecuado. [Enm. 54]
(70) Dado que los objetivos de la presente Directiva, a saber, proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de sus los datos personales y garantizar el libre intercambio de datos personales por parte de las autoridades competentes en la Unión, no pueden ser alcanzados de manera suficiente por los Estados miembros y, por consiguiente,sino que, debido a la escala o los efectos de la actuación, pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, la presente Directiva no excede de lo necesario para alcanzar dichos dicho objetivotales objetivos. Los Estados miembros podrán prever normas más elevadas que las contempladas en la presente Directiva. [Enm. 55]
(71) La Decisión Marco 2008/977/JAI debe ser derogada por la presente Directiva.
(72) No deben verse afectadas las disposiciones específicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales en los actos de la Unión que hayan sido adoptados antes de la fecha de adopción de la presente Directiva, que regulan el tratamiento de los datos personales entre los Estados miembros o el acceso de las autoridades designadas de los Estados miembros a los sistemas de información establecidos con arreglo a lo dispuesto en los Tratados. Dado que el artículo 8 de la Carta y el artículo 16 del TFUE conllevan que el derecho fundamental a la protección de los datos personales debe estar garantizado de manera coherente y homogénea en toda la Unión, la Comisión debe evaluar, en el plazo de dos años después de la entrada en vigor de la presente Directiva, la situación con respecto a la relación entre la presente Directiva y los actos adoptados con anterioridad a su fecha de adopción que regulan el tratamiento de los datos personales entre los Estados miembros o el acceso de las autoridades designadas de los Estados miembros a los sistemas de información establecidos con arreglo a lo dispuesto en los Tratados, a fin de evaluar la necesidad de ajustar estas disposiciones específicas a lay presentar propuestas adecuadas con vistas a garantizar unas normas jurídicas coherentes y homogéneas en relación con el tratamiento de los datos personales por las autoridades competentes o el acceso de las autoridades designadas de los Estados miembros a los sistemas de información establecidos de conformidad con los Tratados, así como el tratamiento de los datos personales por las instituciones, órganos, oficinas y agencias de la Unión a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales dentro del ámbito de aplicación de la presente Directiva. [Enm. 56]
(73) Con el fin de garantizar una protección amplia y coherente de los datos personales en la Unión, los acuerdos internacionales celebrados por la Unión o por los Estados miembros con anterioridad a la entrada en vigor de la presente Directiva deben modificarse en consonancia con lo dispuesto en la misma. [Enm. 57]
(74) La presente Directiva se entiende sin perjuicio de las normas relativas a la lucha contra los abusos sexuales, la explotación sexual de los niños, y la pornografía infantil, tal como se establecen en la Directiva 2011/92/UE del Parlamento Europeo y del Consejo(8).
(75) De conformidad con el artículo 6bis del Protocolo n° 21 sobre la posición del Reino Unido y de Irlanda respecto del espacio de libertad, seguridad y justicia, anejo al Tratado de la Unión Europea y al Tratado de Funcionamiento de la Unión Europea, las normas establecidas en la presente Directiva solo serán vinculantes para el Reino Unido o Irlanda en la medida en que sean vinculantes para estos Estados normas de la Unión que regulen formas de cooperación judicial en materia penal y de cooperación policial en cuyo marco deban respetarse las disposiciones establecidas basándose en el artículo 16 del Tratado de Funcionamiento de la Unión Europea.
(76) De conformidad con lo dispuesto en los artículos 2 y 2bis del Protocolo n° 22 sobre la posición de Dinamarca, anejo al Tratado de la Unión Europea y al Tratado de Funcionamiento de la Unión Europea, Dinamarca no queda obligada por la presente Directiva ni está sujeta a su aplicación. Dado que la presente Directiva desarrolla el acervo de Schengen en el marco de las disposiciones del título V de la parte tres del Tratado de Funcionamiento de la Unión Europea, de conformidad con el artículo 4 del Protocolo, Dinamarca debe decidir, en un plazo de seis meses a partir de la adopción de la presente Directiva, si lo incorpora a su legislación nacional. [Enm. 58]
(77) Por lo que se refiere a Islandia y Noruega, la presente Directiva constituye un desarrollo de las disposiciones del acervo de Schengen, como se establece en el Acuerdo celebrado por el Consejo de la Unión Europea con la República de Islandia y el Reino de Noruega sobre la asociación de estos dos Estados a la ejecución, aplicación y desarrollo del acervo de Schengen(9).
(78) Por lo que respecta a Suiza, la presente Directiva constituye un desarrollo de las disposiciones del acervo de Schengen, como se establece en el Acuerdo entre la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, aplicación y desarrollo del acervo de Schengen(10).
(79) Por lo que respecta a Liechtenstein, la presente Directiva constituye un desarrollo de las disposiciones del acervo de Schengen, como se establece en el Protocolo entre la Unión Europea, la Comunidad Europea, la Confederación Suiza y el Principado de Liechtenstein sobre la adhesión del Principado de Liechtenstein al Acuerdo entre la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, aplicación y desarrollo del acervo de Schengen(11).
(80) La presente Directiva respeta los derechos fundamentales y observa los principios reconocidos en la Carta, consagrados en el Tratado, en particular el derecho al respeto de la vida privada y familiar, el derecho a la protección de los datos personales, el derecho a la tutela judicial efectiva y a un juicio justo. Las limitaciones aplicadas a estos derechos son conformes al artículo 52, apartado 1, de la Carta ya que son necesarias para alcanzar objetivos de interés general reconocidos por la Unión o la necesidad de protección de los derechos y libertades de otras personas.
(81) De conformidad con la Declaración política conjunta de los Estados miembros y de la Comisión sobre los documentos explicativos de 28 de septiembre de 2011(12), los Estados miembros se han comprometido a adjuntar a la notificación de sus medidas de transposición, cuando esté justificado, uno o varios documentos que expliquen la relación entre los elementos de una directiva y las partes correspondientes de los instrumentos nacionales de transposición. Con respecto a la presente Directiva, el legislador considera que la transmisión de estos documentos está justificada.
(82) La presente Directiva no impedirá que los Estados miembros regulen el ejercicio de los derechos de los interesados sobre información, acceso, rectificación, supresión y restricción de sus datos personales tratados en el marco de un procedimiento penal, y sus posibles restricciones, en las normas nacionales en materia de enjuiciamiento penal.
HAN ADOPTADO LA PRESENTE DIRECTIVA:
CAPÍTULO I
DISPOSICIONES GENERALES
Artículo 1
Objeto y objetivos
1. La presente Directiva establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales por parte de las autoridades competentes, con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales y las condiciones para la libre circulación de dichos datos personales.
2. De conformidad con la presente Directiva, los Estados miembros deberán:
a) proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de sus datos personales y de su intimidad; y
b) garantizar que el intercambio de datos personales por parte de las autoridades competentes en el interior de la Unión no quede restringido ni prohibido por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.
2 bis. La presente Directiva no excluirá la posibilidad de que los Estados miembros prevean garantías más elevadas que las contempladas en ella. [Enm. 59]
Artículo 2
Ámbito de aplicación
1. La presente Directiva se aplica al tratamiento de datos personales por parte de las autoridades competentes a los fines mencionados en el artículo 1, apartado 1.
2. La presente Directiva se aplicará al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
3. La presente Directiva no se aplicará al tratamiento de datos personales:
a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión, en particular en lo que respecta a la seguridad nacional;
b) por parte de las instituciones, órganos u organismos de la Unión. [Enm. 60]
Artículo 3
Definiciones
A efectos de la presente Directiva se entenderá por:
1) «interesado»: toda persona física identificada o que pueda ser identificada, directa o indirectamente, por medios que puedan ser utilizados razonablemente por el responsable del tratamiento o por cualquier otra persona física o jurídica, en particular mediante un número de identificación, datos de localización, identificador en línea o uno o varios elementos específicos de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;
2) «datos personales»: toda información relativa aunsobre una persona física identificada o identificable(el «interesado»); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, unos datos de localización, un identificador único o uno o varios elementos específicos, característicos de la identidad física, fisiológica, genética, psíquica, económica, cultural, social o de género de dicha persona;
2 bis) «datos seudónimos»: los datos personales que no puedan atribuirse a un interesado en particular sin recurrir a información adicional, siempre que dicha información adicional se mantenga separada y sujeta a medidas técnicas y organizativas destinadas a garantizar que tal atribución no se produzc
3) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, efectuadas o no mediante procedimientos automatizados, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, supresión o destrucción;
3 bis) «elaboración de perfiles»: toda forma de tratamiento automatizado de datos personales destinado a evaluar determinados aspectos personales propios de una persona física o a analizar o predecir en particular su rendimiento profesional, sus circunstancias económicas, su localización, su estado de salud, sus preferencias personales, su fiabilidad o su comportamiento;
4) «restricción de tratamiento»: el marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro;
5) «fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;
6) «responsable del tratamiento»: la autoridad pública competente que sola o conjuntamente con otras determine los fines y los medios para el tratamiento de datos personales; en caso de que los fines, condiciones y medios del tratamiento estén determinados por el Derecho de la Unión o la legislación de los Estados miembros, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho de la Unión o por la legislación de los Estados miembros;
7) «encargado del tratamiento»: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento;
8) «destinatario»: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que reciba comunicación de datos personales;
9) «violación de datos personales»: toda violación de la seguridad que ocasione la destrucción accidental o ilícita, la pérdida, alteración, comunicación no autorizada o el acceso a datos personales transmitidos, conservados o tratados de otra forma;
10) «datos genéticos»: todos los datos, con independencia de su tipo, relativos a las características de una persona que sean hereditarias o adquiridas durante el desarrollo prenatal temprano;
11) «datos biométricos»: cualquier dato personal relativo a las características físicas, fisiológicas o conductuales de una persona que permita su identificación única, como imágenes faciales o datos dactiloscópicos;
12) «datos relativos a la salud»: cualquier informacióndato personal que se refiera a la salud física o mental de una persona, o a la asistencia prestada por los servicios de salud a la persona;
13) «niño»: toda persona menor de 18 años;
14) «autoridades competentes»: toda autoridad pública competente para la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales;
15) «autoridad de control»: la autoridad pública establecida por un Estado miembro de acuerdo con el artículo 39. [Enm. 61]
CAPÍTULO II
PRINCIPIOS
Artículo 4
Principios relativos al tratamiento de datos personales
Los Estados miembros dispondrán que los datos personales deben ser:
a) tratados de manera lícita y leal, lícita, transparente y verificable en relación con el interesado;
b) recogidos con fines determinados, explícitos y legítimos, y no ser tratados posteriormente de manera incompatible con dichos fines;
c) adecuados, pertinentes y límitados al mínimo necesario en relación con los fines para los que se traten; únicamente se tratarán en la medida en que estos fines no pudieran alcanzarse mediante el tratamiento de información que no incluya datos personales;
d) exactos y, si fuera necesario, mantenerse actualizados; se deben adoptar todas las medidas razonables para que se supriman o rectifiquen sin demora los datos personales que sean inexactos con respecto a los fines para los que se traten;
e) conservados en una forma que permita identificar al interesado durante un periodo no superior al necesario para los fines para los que se someten a tratamiento;
f) tratados bajo la responsabilidad del responsable del tratamiento, que garantizará y deberá ser capaz de demostrar el cumplimiento de las disposiciones adoptadas con arreglo a la presente Directiva.
f bis) tratados de tal modo que se permita efectivamente al interesado ejercer sus derechos según lo dispuesto en los artículos 10 a 17;
f ter) procesados de tal manera que estén protegidos contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o perjuicios accidentales mediante la aplicación de medidas técnicas u organizativas adecuadas;
f quater) procesados únicamente por personal debidamente autorizado de las autoridades competentes que los necesiten para el desempeño de sus funciones.. [Enm. 62]
Artículo 4 bis
Acceso a datos tratados inicialmente para fines distintos a los mencionados en el artículo 1, apartado 1
1. Los Estados miembros dispondrán que las autoridades competentes solo puedan tener acceso a datos personales tratados inicialmente para fines distintos de los mencionados en el artículo 1, apartado 1, si están específicamente autorizadas por la legislación de la Unión o la legislación de los Estados miembros, cumpliéndose los requisitos establecidos en el artículo 7, apartado 1 bis, y deben establecer que:
a) se permite el acceso únicamente al personal debidamente autorizado de las autoridades competentes en el desempeño de sus funciones cuando, en un caso específico, motivos razonables hagan pensar que el tratamiento de los datos personales contribuirá de manera sustancial a la prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales;
b) las solicitudes de acceso deben realizarse por escrito y referirse al fundamento jurídico de la solicitud;
c) la solicitudes por escrito deben estar documentadas; y
d) se aplicarán las garantías apropiadas para velar por la protección de los derechos y las libertades fundamentales en relación con el tratamiento de datos personales. Estas garantías serán complementarias y no afectarán a las condiciones específicas de acceso a datos personales, como la autorización judicial de acuerdo con la legislación del Estado miembro.
2. Solo se tendrá acceso a los datos personales conservados por particulares o por otras autoridades públicas para investigar o perseguir infracciones penales de conformidad con los requisitos de necesidad y proporcionalidad que defina la legislación de la Unión o de los Estados miembros , en el pleno respeto del artículo 7 bis. [Enm. 63]
Artículo 4 ter
Plazos de conservación y examen
1. Los Estados miembros dispondrán que las autoridades competentes supriman los datos personales tratados de conformidad con la presente Directiva cuando dejen de ser necesarios para los fines para los que se trataron.
2. Los Estados miembros dispondrán que las autoridades competentes establezcan mecanismos para garantizar que se fijan plazos, de conformidad con el artículo 4, para la supresión de los datos personales y un examen periódico de la necesidad de conservación de los datos, incluida la fijación de periodos de conservación para las diferentes categorías de datos personales. Se establecerán medidas procedimentales para garantizar el respeto de esos plazos o intervalos de examen periódico. [Enm. 64]
Artículo 5
Distinción entre diferentes Categorías de interesados
1. Los Estados miembros dispondrán que, en la medida de lo posible,las autoridades competentes, para los fines contemplados en el artículo 1, apartado 1, puedan tratar datos de las siguientes categorías de interesados, y el responsable del tratamiento establecerá una distinción clara entre los datos personales de las distintas categorías de interesados, tales como tales categorías:
a) personas respecto de las cuales existan motivos fundadosrazonables para presumir que han cometido o van a cometer una infracción penal;
b) personas condenadas por una infracción penal;
c) víctimas de una infracción penal o personas respecto de las cuales existan motivos fundados para presumir que pueden ser víctimas de una infracción penal; y
d) terceras partes involucradas en una infracción penal como, por ejemplo, personas que puedan ser citadas para testificar en investigaciones relacionadas con infracciones penales o procedimientos penales ulteriores, o personas que puedan facilitar información sobre infracciones penales, o personas de contacto o asociados de una de las personas mencionadas en las letras a) y b); y
e) personas que no entren dentro de ninguna de las categorías contempladas más arriba.
2. Solo se podrán tratar los datos personales de interesados que no estén contemplados en el apartado 1:
a) en la medida en que sean necesarios para la investigación o el enjuiciamiento de una infracción penal específica con el fin de evaluar la pertinencia de los datos respecto de una de las categorías indicadas en el apartado 1; o
b) cuando el tratamiento sea indispensable para fines específicos de prevención o para fines de análisis criminológico, siempre que dichos fines sean legítimos, bien definidos y específicos y el tratamiento se limite estrictamente a evaluar la pertinencia de los datos respecto de una de las categorías indicadas en el apartado 1. Se efectuará una revisión periódica de estos extremos al menos cada seis meses; queda prohibido cualquier otro uso.
3. Los Estados miembros dispondrán la aplicación de otras limitaciones y garantías, de conformidad con su Derecho nacional, al tratamiento ulterior de datos personales de los interesados contemplados en el apartado 1, letras c) y d). [Enm. 65]
Artículo 6
Diferentes grados de exactitud y fiabilidad de los datos personales
1. Los Estados miembros velarán por que, en la medida de lo posible, las diferentes categoríasdispondrán que se garantice la exactitud y fiabilidad de los datos personales objeto de tratamiento se distingan según su grado de exactitud y fiabilidad.
2. Los Estados miembros velarán por que, en la medida de lo posible, los datos personales basados en hechos se distingan de los datos personales basados en apreciaciones personales, con arreglo a su grado de exactitud y fiabilidad.
2 bis. Los Estados miembros velarán por que los datos personales que sean inexactos, incompletos o que no estén actualizados no se transmitan ni estén disponibles. Para ello, las autoridades competentes evaluarán la calidad de los datos personales antes de transmitirlos o hacerlos disponibles. En la medida de lo posible, en todas las transmisiones de datos se deberá añadir la información de que se disponga para que el Estado miembro receptor pueda valorar en qué medida los datos son exactos, completos, actualizados y fiables. Los datos personales no se transmitirán sin petición previa de la autoridad competente, en especial los datos conservados originalmente por particulares.
2 ter. Si se constatara la transmisión de datos incorrectos o la transmisión ilegal de datos, se notificará de inmediato al destinatario. Este estará obligado a rectificar los datos sin demora, de conformidad con el apartado 1 y el artículo 15, o a suprimirlos de conformidad con el artículo 16. [Enm. 66]
Artículo 7
Licitud del tratamiento de datos
1. Los Estados miembros dispondrán que el tratamiento de datos personales solo será lícito en la medida en que se base en la legislación de la Unión o la legislación del Estado miembro para los fines establecidos en el artículo 1, apartado 1 y sea necesario:
a) para la ejecución de una tarea realizada por una autoridad competente, basada en la ley, para los fines establecidos en el artículo 1, apartado 1; o
b) para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o
c) con el fin de proteger los intereses vitales del interesado o de otra persona; o
d) a fin de prevenir una amenaza inminente y grave para la seguridad pública.
1 bis. La legislación de los Estados miembros que regule el tratamiento de datos personales incluido en el ámbito de aplicación de la presente Directiva contendrá disposiciones explícitas y detalladas que especifiquen al menos:
a) los objetivos del tratamiento;
b) los datos personales que serán objeto de tratamiento;
c) los fines específicos y los medios del tratamiento;
d) la designación del responsable del tratamiento o los criterios específicos para la designación del responsable del tratamiento;
e) las categorías de personal de las autoridades competentes debidamente autorizado para el tratamiento de datos personales;
f) el procedimiento que ha de seguirse para el tratamiento;
g) el uso que se podrá hacer de los datos personales obtenidos;
h) las limitaciones del margen de apreciación otorgado a las autoridades competentes con respecto a las actividades de tratamiento de datos. [Enm. 67]
Artículo 7 bis
Tratamiento ulterior con fines incompatibles
1. Los Estados miembros dispondrán que los datos personales solo se puedan tratar ulteriormente para otro fin establecido en el artículo 1, apartado 1, que no sea compatible con los fines para los cuales los datos se recopilaron inicialmente, en la medida en que:
a) sea estrictamente necesario y proporcionado en una sociedad democrática y sea requerido por la legislación de la Unión o por la legislación del Estado miembro para un fin legítimo, bien definido y específico:
b) el tratamiento se limite estrictamente a un período que no supere el tiempo necesario para la operación específica de tratamiento de datos;
c) cualquier uso para otros fines quede prohibido.
Antes del tratamiento, el Estado miembro consultará a la autoridad nacional de supervisión competentey realizará una evaluación de impacto en materia de protección de datos.
2. Además de los requisitos establecidos en el artículo 7, apartado 1 bis, la legislación del Estado miembro que autorice el tratamiento ulterior contemplado en el apartado 1 contendrá disposiciones explícitas y detalladas que especifiquen, al menos:
a) los fines específicos y los medios de ese tratamiento concreto;
b) que se permite el acceso únicamente al personal debidamente autorizado de las autoridades competentes en el desempeño de sus funciones cuando, en un caso concreto, existan motivos razonables para pensar que el tratamiento de los datos personales contribuirá de manera sustancial a la prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales; y
c) que se establezcan las garantías apropiadas para velar por la protección de los derechos y las libertades fundamentales en relación con el tratamiento de datos personales.
Los Estados miembros podrán exigir que el acceso a los datos personales esté sujeto a otras condiciones, como la autorización judicial, de acuerdo con su legislación nacional.
3. Los Estados miembros podrán autorizar asimismo un tratamiento adicional de los datos personales para fines históricos, estadísticos o científicos, siempre y cuando se establezcan las garantías adecuadas, como el anonimato de los datos. [Enm. 68]
Artículo 8
Tratamiento de categorías especiales de datos personales
1. Los Estados miembros prohibirán el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, la religión o las creencias filosóficas, la orientación sexual o la identidad de género, la afiliación sindical, o las actividades sindicales, así como el tratamiento de datos genéticos biométricos o de datos relativos a la salud o a la vida sexual.
2. El apartado 1 no será aplicable cuando:
a) el tratamiento esté autorizado por una ley que establezca garantías apropiadas; sea estrictamente necesario y proporcionado para el desempeño de una misión por las autoridades competentes para los fines establecidos en el artículo 1, apartado 1, sobre la base de la legislación de la Unión o de la legislación nacional, que establecerán medidas específicas y adecuadas para salvaguardar los intereses legítimos del interesado, incluida una autorización específica de una autoridad judicial, si la legislación nacional lo requiere;o
b) el tratamiento sea necesario para proteger los intereses vitales del interesado o de otra persona; o
c) el tratamiento ataña a datos que el interesado ha hecho manifiestamente públicos, siempre que sean pertinentes y estrictamente necesarios para el fin perseguido en un caso específico. [Enm. 69]
Artículo 8 bis
Tratamiento de datos genéticos para los fines de una investigación penal o un procedimiento judicial
1. Los Estados miembros garantizarán que los datos genéticos solo se puedan utilizar para establecer el vínculo genético en el marco de una aportación de pruebas, la prevención de una amenaza para la seguridad pública o de la comisión de una infracción penal específica. Los datos genéticos no se podrán utilizar para determinar otras características que se puedan vincular genéticamente.
2. Los Estados miembros dispondrán que los datos genéticos o la información derivada de su análisis solo se puedan conservar el tiempo necesario para los fines para los cuales se trataron los datos y cuando el interesado haya sido condenado por infracciones graves contra la vida, la integridad o la seguridad de las personas, sin perjuicio de los periodos de conservación estrictos que determine la legislación de los Estados miembros.
3. Los Estados miembros garantizarán que los datos genéticos o la información derivada de su análisis solo se conserve durante periodos largos cuando los datos genéticos no se puedan atribuir a una persona, en particular cuando se hayan encontrado en la escena de un delito. [Enm. 70]
Artículo 9
Medidas basadas en la elaboración de perfiles y el tratamiento automatizado
1. Los Estados miembros dispondrán que las medidas que produzcan efectos jurídicos negativosun efecto jurídico para el interesado o le afecten sustancialmente y que se basen parcial o totalmente únicamente en un tratamiento automatizado de datos personales destinado a evaluar determinados aspectos personales del interesado estarán prohibidas, salvo que estén autorizadas por una ley que también establezca medidas para salvaguardar los intereses legítimos del interesado.
2. El tratamiento automatizado de datos personales destinado a evaluar determinados aspectos personales del interesado no se basará únicamente en las categorías especiales de datos personales contempladas en el artículo 8.
2 bis. El tratamiento automatizado de datos personales destinado a seleccionar un interesado sin que exista una sospecha inicial de que este pueda haber cometido o vaya a cometer una infracción penal solo será lícito en la medida en que se estrictamente necesario para la investigación de una infracción penal grave o la prevención de un peligro manifiesto e inminente, sobre la base de indicios fácticos, para la seguridad pública, la existencia del Estado o la vida de las personas.
2 ter. Queda prohibida en todos los casos la elaboración de perfiles que, de manera intencionada o no, tenga como efecto la discriminación de las personas por su origen étnico o racial, sus opiniones políticas, su religión o creencias, su afiliación sindical o su orientación sexual o de género, o que, de manera intencionada o no, produzca medidas que tengan este efecto. [Enm. 71]
Artículo 9 bis
Principios generales para los derechos del interesado
1. Los Estados miembros velarán por que la base de la protección de datos sea clara y tenga unos derechos inequívocos para el interesado que sean respetados por el responsable del tratamiento. Las disposiciones de la presente Directiva tienen por objeto reforzar, aclarar, garantizar y, en su caso, codificar esos derechos.
2. Los Estados miembros velarán por que esos derechos incluyan, entre otros, el suministro de información clara y fácilmente comprensible sobre el tratamiento de los datos personales del interesado, el derecho de acceso, la rectificación y supresión de sus datos, el derecho a obtenerlos, el derecho a presentar una reclamación ante la autoridad competente en materia de protección de datos y a incoar procedimientos legales, así como el derecho a compensación y daños como consecuencia de una operación de tratamiento ilícito. Estos derechos se ejercerán en términos generales de forma gratuita. El responsable del tratamiento responderá a las solicitudes de los interesados en un plazo de tiempo razonable. [Enm. 72]
CAPÍTULO III
DERECHOS DEL INTERESADO
Artículo 10
Modalidades de ejercicio de los derechos del interesado
1. Los Estados miembros dispondrán que el responsable del tratamiento adoptará todas las medidas razonables para dotarse de unas políticas concisas, transparentes, claras y fácilmente accesibles por lo que respecta al tratamiento de datos personales y al ejercicio de sus derechos por parte del interesado.
2. Los Estados miembros dispondrán que el responsable del tratamiento facilitará al interesado cualquier información y comunicación relativa al tratamiento de datos personales, en forma inteligible, utilizando un lenguaje claro y sencillo, en particular cuando la información se dirija específicamente a un niño.
3. Los Estados miembros dispondrán que el responsable del tratamiento adoptará todas las medidas razonables con miras a establecerestablezca procedimientos para facilitar la información contemplada en el artículo 11, y para el ejercicio de los derechos de los interesados contemplados en los artículos 12 a 17. Cuando los datos personales se sometan a tratamiento de forma automatizada, el responsable del tratamiento proporcionará medios para que las solicitudes se hagan por vía electrónica.
4. Los Estados miembros dispondrán que el responsable del tratamiento informará al interesado, sin demora,injustificada, sobre el curso dado a su solicitudy, en cualquier caso, a más tardar en el plazo de un mes desde la recepción de la solicitud. La información se facilitará por escrito.Cuando el interesado presente la solicitud en formato electrónico, la información se facilitará en ese mismo formato.
5. Los Estados miembros dispondrán que la información y cualquier medida adoptada por el responsable del tratamiento a raíz de una solicitud contemplada en los apartados 3 y 4 serán gratuitas. Cuando las solicitudes sean abusivas manifiestamente excesivas, en particular a causa de su carácter repetitivo, su tamaño o su volumen, el responsable del tratamiento podrá cobrar una tasa razonable,teniendo en cuenta los costes administrativos incurridos, para facilitar la información o adoptar la medida solicitada, o podrá decidir no adoptar la medida solicitada. En tal caso, la carga de demostrar el carácter abusivomanifiestamente excesivo de la solicitud recaerá en el responsable del tratamiento.
5 bis. Los Estados miembros podrán disponer que el interesado pueda hacer valer sus derechos directamente ante el responsable del tratamiento de los datos o por mediación de la autoridad nacional de control competente. Cuando la autoridad de control haya actuado a instancias del interesado, informará a este último de las verificaciones realizadas. [Enm. 73]
Artículo 11
Información al interesado
1. Cuando se recojan datos personales relativos a un interesado, los Estados miembros velarán por que el responsable del tratamiento tome todas las medidas oportunas para facilitarfacilite al interesado, al menos, la siguiente información:
a) la identidad y los datos de contacto del responsable del tratamiento y del delegado de protección de datos;
b) el fundamento jurídico y los fines del tratamiento a que se destinan los datos personales;
c) el plazo durante el cual se conservarán los datos personales;
d) la existencia del derecho a solicitar del responsable del tratamiento el acceso a los datos personales relativos al interesado y su rectificación, su supresión o la limitación de su tratamiento;
e) el derecho a presentar una reclamación ante la autoridad de control contemplada en el artículo 39 y los datos de contacto de la misma;
f) los destinatarios o las categorías de destinatarios de los datos personales, en particular en terceros países u organizaciones internacionales; y quién está autorizado a acceder a este dato con arreglo a la legislación de ese tercer país o a la reglamentación de la organización internacional en cuestión, la existencia o no de una decisión de adecuación de la Comisión o, en el caso de las transferencias mencionadas en el artículo 35 o el artículo 36, la manera de obtener una copia de las garantías adecuadas utilizadas para la transferencia;
f bis) cuando el responsable realice el tratamiento de datos personales descrito en el artículo 9, apartado 1, la información sobre la existencia del tratamiento para una medida del tipo mencionado en el artículo 9, apartado 1, y los efectos que dicho tratamiento pueda tener sobre el interesado, información sobre la lógica utilizada en la elaboración de perfiles y el derecho a obtener una evaluación humana;
f ter) información relativa a las medidas de seguridad adoptadas para proteger los datos personales;
g) cualquier otra información en la medida en que resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado, habida cuenta de las circunstancias específicas en las que se traten los datos personales.
2. Cuando los datos personales se recojan del interesado, el responsable del tratamiento le comunicará, además de la información contemplada en el apartado 1, si el suministro de datos personales es obligatorio o voluntario, así como las posibles consecuencias de que no se faciliten tales datos.
3. El responsable del tratamiento facilitará la información contemplada en el apartado 1:
a) en el momento en que los datos personales se obtengan del interesado, o
b) cuando los datos personales no se recojan del interesado, en el momento del registro o en un plazo razonable después de la recogida, habida cuenta de las circunstancias específicas en que se traten los datos.
4. Los Estados miembros podrán adoptar medidas legislativas por las que se retrase, limite o exima, en un caso específico, la puesta a disposición del interesado de la información en la medida y siempre que dicha limitación total o parcial constituya una medida necesaria y proporcional en una sociedad democrática, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos de la persona en cuestión:
a) para evitar que se obstaculicen pesquisas, investigaciones o procedimientos jurídicos o de carácter oficial;
b) para evitar que se prejuzgue la prevención, detección, investigación y enjuiciamiento de infracciones penales o para la ejecución de sanciones penales;
c) para proteger la seguridad pública;
d) para proteger la seguridad nacional;
e) para proteger los derechos y libertades de otras personas.
5. Los Estados miembros dispondrán que el responsable del tratamiento evalúe, en cada caso concreto, mediante un examen específico e individual, si procede una restricción parcial o completa para una de las razones contempladas en el apartado 4. Los Estados miembros podrán asimismopor ley determinar las categorías de tratamiento de datos que pueden acogerse, en su totalidad o en parte, a las exenciones del apartado 4, letras a), b), c) y d). [Enm. 74]
Artículo 12
Derecho de acceso del interesado
1. Los Estados miembros reconocerán el derecho del interesado a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen. En caso de que se confirme el tratamiento, el responsable facilitará la siguiente información, siempre que no se haya facilitado ya:
–a) la comunicación de los datos personales objeto de tratamiento, así como cualquier información disponible sobre su origen, y, en su caso, información inteligible sobre la lógica empleada en el tratamiento automático;
–a bis) la importancia y las consecuencias previstas de dicho tratamiento, al menos en el caso de las medidas contempladas en el artículo 9;
a) los fines del tratamiento y el fundamento jurídico del tratamiento;
b) las categorías de datos personales de que se trate;
c) los destinatarios o las categorías de destinatarios a quienes se han comunicado los datos personales, en particular los destinatarios establecidos en terceros países;
d) el plazo durante el cual se conservarán los datos personales;
e) la existencia del derecho a solicitar del responsable del tratamiento la rectificación, supresión o limitación del tratamiento de datos personales relativos al interesado;
f) el derecho a presentar una reclamación ante la autoridad de control y los datos de contacto de la misma;
g) la comunicación de los datos personales objeto de tratamiento, así como cualquier información disponible sobre su origen;
2. Los Estados miembros reconocerán el derecho del interesado a obtener del responsable del tratamiento una copia de los datos personales objeto de tratamiento. Cuando el interesado presente la solicitud en formato electrónico, la información se facilitará en ese mismo formato, a menos que el interesado solicite que se proceda de otro modo. [Enm. 75]
Artículo 13
Limitaciones al derecho de acceso
1. Los Estados miembros podrán adoptar medidas legislativas por las que se limite, en su totalidad o en parte, dependiendo de cada caso concreto, el derechos de acceso del interesado en la medida y durante el periodo en que dicha limitación parcial o completa constituya una medida estrictamente necesaria y proporcional en una sociedad democrática, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos de la persona de que se trate:
a) para evitar que se obstaculicen pesquisas, investigaciones o procedimientos jurídicos u oficiales;
b) para evitar que se prejuzgue la prevención, detección, investigación y enjuiciamiento de infracciones penales o la ejecución de sanciones penales;
c) para proteger la seguridad pública;
d) para proteger la seguridad nacional;
e) para proteger los derechos y libertades de otras personas.
2. Los Estados miembros dispondrán que el responsable del tratamiento evalúe, en cada caso específico, mediante un examen concreto e individual, si procede una restricción parcial o completa para una de las razones contempladas en el apartado 1. Los Estados miembros podrán determinar por ley las categorías de tratamiento de datos que pueden acogerse en todo o en parte a las exenciones del apartado 1, letras a) a d).
3. En los casos contemplados en los apartados 1 y 2, los Estados miembros dispondrán que el responsable del tratamiento informará por escrito al interesado, sin demora injustificada, sobre cualquier denegación o limitación de acceso, sobre las razonesla justificación razonada de la denegación y sobre las posibilidades de presentar a la autoridad de control una reclamación e interponer un recurso judicial. La información sobre los fundamentos de hecho o de Derecho en los que se sustenta la decisión podrá omitirse cuando el suministro de dicha información pueda comprometer uno de los fines contemplados en el apartado 1.
4. Los Estados miembros velarán por que el responsable del tratamiento documente la evaluación a que se refiere el apartado 2 así como los motivos por los que no comunicólimitó la comunicación de los fundamentos de hecho o de Derecho en los que se sustenta la decisión. Dicha información se pondrá a disposición de las autoridades competentes si éstas así lo solicitan. [Enm. 76]
Artículo 14
Modalidades de ejercicio del derecho de acceso
1. Los Estados miembros reconocerán el derecho del interesado a solicitar, , en todo momento, en particular en los casos contemplados en el artículolos artículos 12 y 13, que la autoridad de control compruebe la licitud del tratamiento.
2. Los Estados miembros dispondrán que el responsable del tratamiento informará al interesado del derecho a solicitar la intervención de las autoridades de control con arreglo a lo dispuesto en el apartado 1.
3. Cuando se ejerza el derecho contemplado en el apartado 1, la autoridad de control informará al interesado, al menos, de que se han llevado a cabo todas las verificaciones necesarias, así como del resultado en lo tocante a la licitud del tratamiento en cuestión. La autoridad de control informará también al interesado de su derecho a interponer recursos judiciales.
3 bis. Los Estados miembros podrán disponer que el interesado pueda hacer valer sus derechos directamente ante el responsable del tratamiento de los datos o por mediación de la autoridad nacional de control competente.
3 ter. Los Estados miembros velarán por que el responsable del tratamiento disponga de plazos suficientes para responder a las solicitudes del interesado en relación con el ejercicio de su derecho de acceso. [Enm. 77]
Artículo 15
Derecho de rectificación y a completar los datos
1. Los Estados miembros reconocerán el derecho del interesado a obtener del responsable del tratamiento la rectificación deque los datos personales que le conciernen sean completados o rectificados cuando tales datos resulten inexactos o estén incompletos,. El interesado tendrá derecho a que se completen los datos personales cuando estos resulten incompletos, en particular mediante una declaración complementaria o rectificativa.
2. Los Estados miembros dispondrán que el responsable del tratamiento informará por escrito al interesado, con una justificación razonada, sobre cualquier denegación de rectificación o adición, sobre las razones de la denegación y sobre las posibilidades de presentar una reclamación ante la autoridad de control y de interponer un recurso judicial.
2 bis. Los Estados miembros dispondrán que el responsable del tratamiento comunique cualquier rectificación llevada a cabo a cada uno de los destinatarios a los que se hayan comunicado los datos, salvo que ello resulte imposible o requiera un esfuerzo desproporcionado.
2 ter. Los Estados miembros dispondrán que el responsable del tratamiento comunique la rectificación de los datos personales inexactos a la tercera parte de la que proceden los datos personales inexactos.
2 quater. Los Estados miembros dispondrán que el interesado pueda hacer valer este derecho también por mediación de la autoridad nacional de control competente. [Enm. 78]
Artículo 16
Derecho de supresión
1. Los Estados miembros reconocerán el derecho del interesado a obtener del responsable del tratamiento la supresión de los datos personales que le conciernen cuando el tratamiento no cumpla las disposiciones adoptadas con arreglo al artículo 4, letras a) a e), y a los artículos 7 y 8a los artículos 4, 6, 7 y 8 de la presente Directiva.
2. El responsable del tratamiento procederá a la supresión sin demora. El responsable del tratamiento se abstendrá asimismo de divulgar dichos datos.
3. En lugar de proceder a la supresión, el responsable del tratamiento marcará limitará el tratamiento de los datos personales cuando:
a) el interesado impugne su exactitud, durante un plazo que permita al responsable del tratamiento limitará el tratamiento de verificar la exactitud de dichos datos;
b) los datos personales hayan de conservarse a efectos probatorios o para la protección de intereses vitales del interesado o de otra persona.
c) el interesado se oponga a su supresión y solicite la limitación de su uso.
3 bis. Cuando el tratamiento de datos personales esté limitado de conformidad con lo dispuesto en el apartado 3, el responsable del tratamiento informará al interesado antes de levantar la limitación al tratamiento.
4. Los Estados miembros dispondrán que el responsable del tratamiento informará por escrito al interesado, con una justificación razonada, de cualquier denegación de la supresión o marcadolimitación del tratamiento, de las razones de la denegación y de las posibilidades de presentar una reclamación ante la autoridad de control y de interponer un recurso judicial.
4 bis. Los Estados miembros dispondrán que el responsable del tratamiento de los datos notifique a los destinatarios a quienes se hayan remitido estos datos cualquier supresión o limitación realizada de conformidad con el apartado 1, a menos que resulte imposible o suponga un esfuerzo desproporcionado. El responsable del tratamiento informará al interesado sobre esos terceros.
4 ter. Los Estados miembros podrán disponer que el interesado pueda hacer valer sus derechos directamente ante el responsable del tratamiento de los datos o por mediación de la autoridad nacional de control competente. [Enm. 79]
Artículo 17
Derechos del interesado en las investigaciones y los procedimientos penales
Los Estados miembros dispondrán que los derechos de información, acceso, rectificación, supresión y limitación del tratamiento contemplados en los artículos 11 a 16 se ejercerán de conformidad con las normas nacionales de enjuiciamiento cuando los datos personales figuren en una resolución judicial o en un registro tratado en el curso de investigaciones y procedimientos penales.
CAPÍTULO IV
RESPONSABLE Y ENCARGADO DEL TRATAMIENTO
SECCIÓN 1
OBLIGACIONES GENERALES
Artículo 18
Obligaciones del responsable del tratamiento
1. Los Estados miembros dispondrán que el responsable del tratamiento adoptará políticas e implementará medidas apropiadas para asegurar,y ser capaz de demostrar, de forma transparente y para cada operación de tratamiento, que el tratamiento de datos personales se lleva a cabo de conformidad con las disposiciones adoptadas con arreglo a la presente Directiva, tanto en el momento de la determinación de los medios para el tratamiento como en el propio momento del tratamiento propiamente dicho.
2. Las medidas previstas en el apartado 1 incluirán, en particular:
a) la conservación de la documentación con arreglo a lo dispuesto en el artículo 23;
a bis) la realización de una evaluación de impacto en relación con la protección de datos con arreglo a lo dispuesto en el artículo 25 bis;
b) el cumplimiento de los requisitos en materia de consulta previa de conformidad con lo dispuesto en el artículo 26;
c) la implementación de los requisitos en materia de seguridad de los datos establecidos en el artículo 27;
d) la designación de un delegado de protección de datos con arreglo a lo dispuesto en el artículo 30.
d bis) la elaboración y la aplicación de garantías específicas destinadas a los tratamientos de datos personales relativos a los niños, cuando proceda.
3. El responsable del tratamiento implementará mecanismos para verificar la adecuación y la eficacia de las medidas contempladas en el apartado 1. Siempre que no sea desproporcionado, estas verificaciones serán llevadas a cabo por auditores independientes internos o externos. [Enm. 80]
Artículo 19
Protección de datos desde el diseño y protección de datos por defecto
1. Los Estados miembros dispondrán que, habida cuenta de las técnicas existentes y de los costes asociados a su implementación,el conocimiento técnico actual, las mejores prácticas a nivel internacional y los riesgos que conlleva el tratamiento de datos, el responsable y el encargado del tratamiento implementarási lo hubiera apliquen, tanto en el momento de la determinación de los fines y medios de tratamiento como en el del tratamiento propiamente dicho, medidas y procedimientos técnicos y organizativos apropiados y proporcionados, de manera que el tratamiento sea conforme con las disposiciones adoptadas con arreglo a la presente Directiva y garantice la protección de los derechos del interesado, en particular en lo que respecta a los principios establecidos en el artículo 4. La protección de los datos desde el diseño debe prestar especial atención a toda la gestión del ciclo de vida de los datos personales desde la recogida hasta el tratamiento y la supresión, concentrándose sistemáticamente en proporcionar amplias salvaguardias procesales respecto de la precisión, la confidencialidad, la integridad, la seguridad física y la supresión de los datos personales. Cuando el responsable del tratamiento haya llevado a cabo una evaluación de impacto relativa a la protección de datos con arreglo a lo dispuesto en el artículo 25 bis, los resultados de dicha evaluación se tendrán en cuenta a la hora de desarrollar tales medidas y procedimientos.
2. El responsable del tratamiento implementará mecanismos con miras a garantizargarantizará que, por defecto, solo sean objeto de tratamiento los datos personales necesarios para los fines del tratamiento cada fin específico del tratamiento y, especialmente, que no se recojan ni conserven más allá del mínimo necesario para esos fines, tanto por lo que respecta a la cantidad de los datos como a la duración de su conservación. En concreto, estos mecanismos garantizarán que, por defecto, los datos personales no sean accesibles a un número indeterminado de personas y que los interesados puedan controlar la difusión de sus datos personales. [Enm. 81]
Artículo 20
Corresponsables del tratamiento
1. Los Estados miembros dispondrán que cuando un responsable del tratamiento determine, conjuntamente con otros, los fines y los medios del tratamiento de datos personales, los corresponsables determinarán, de mutuo acuerdo,mediante un acuerdo legalmente vinculante entre ellos, cuáles son sus responsabilidades respectivas en el cumplimiento de las disposiciones adoptadas con arreglo a la presente Directiva, en particular por lo que hace a los procedimientos y mecanismos para el ejercicio de los derechos del interesado.
2. Salvo que el interesado haya sido informado de cuál de los corresponsables del tratamiento es responsable de conformidad con el apartado 1, el interesado podrá ejercer sus derechos con arreglo a la presente Directiva con respecto a cada uno de los corresponsables o contra los mismos. [Enm. 82]
Artículo 21
Encargado del tratamiento
1. Los Estados miembros dispondrán que cuando un tratamiento sea llevado a cabo por cuenta de un responsable del tratamiento, este debe elegirelija a un encargado del tratamiento que ofrezca garantías suficientes para implementar medidas y procedimientos técnicos y organizativos apropiados, de manera que el tratamiento sea conforme con los requisitos de las disposiciones adoptadas con arreglo a la presente Directiva y asegure la protección de los derechos del interesado, en particular en lo que respecta a las medidas de seguridad técnica y organizativas que rigen el tratamiento que vaya a efectuarse, y para velar por que se cumplan dichas medidas.
2. Los Estados miembros dispondrán que la realización del tratamiento a través de un encargado se rija por un encargado debe regirse por uncontrato u otro acto jurídico que vincule al encargado del tratamiento con el responsable del tratamiento y que disponga, en particular, que el responsable del tratamiento. En virtud del mismo, del encargado del tratamiento:
a) actuará únicamente siguiendo las instrucciones del responsable del tratamiento en particular cuando la transferencia de los datos personales utilizados esté prohibida.
b) empleará únicamente personal que se haya comprometido a respetar la confidencialidad o esté sujeto a una obligación legal de confidencialidad;
c) omará todas las medidas necesarias de conformidad con lo dispuesto en el artículo 27;
d) solo recurrirá a otro encargado del tratamiento con la autorización del responsable del tratamiento y, por consiguiente, informará a este de la intención de recurrir a otro encargado con antelación suficiente para que el responsable tenga la posibilidad de oponerse;
e) en la medida de lo posible, y teniendo en cuenta la naturaleza del tratamiento, adoptará, de acuerdo con el responsable del tratamiento, las condiciones técnicas y organizativas necesarias para permitir al responsable del tratamiento cumplir su obligación de dar curso a las solicitudes que le dirijan los interesados en el ejercicio de sus derechos establecidos en el capítulo III;
f) ayudará al responsable del tratamiento a garantizar el cumplimiento de las obligaciones previstas en los artículos 25 bis a 29;
g) devolverá todos los resultados al responsable del tratamiento una vez finalizado el proceso y no someterá los datos personales a otro tratamiento y suprimirá las copias existentes, salvo que la legislación de la Unión o la legislación del Estado miembro exija su conservación;
h) pondrá a disposición del responsable del tratamiento y de la autoridad de control toda la información necesaria para verificar el cumplimiento de las obligaciones establecidas en el presente artículo;
i) tendrá en cuenta el principio de protección de datos desde el diseño y por defecto.
2 bis. El responsable y el encargado del tratamiento documentarán por escrito las instrucciones del responsable y las obligaciones del encargado contempladas en el apartado 2.
3. Si un encargado del tratamiento trata datos personales sin seguir las instrucciones del responsable del tratamiento, el encargado será considerado responsable del tratamiento con respecto a ese tratamiento y estará sujeto a las normas aplicables a los corresponsables del tratamiento establecidas en el artículo 20. [Enm. 83]
Artículo 22
Tratamiento bajo la autoridad del responsable y del encargado del tratamiento
1. Los Estados miembros dispondrán que el encargado del tratamiento, así como cualquier persona que actúe bajo la autoridad del responsable o del encargado del tratamiento, que tenga acceso a datos personales solo podrá someterlos a tratamiento siguiendo instrucciones del responsable del tratamiento o cuando así lo requiera el Derecho de la Unión o de un Estado miembro.
1 bis. Cuando el encargado del tratamiento sea o llegue a ser la parte determinante en relación con los fines, medios o métodos del tratamiento de datos o no actúe exclusivamente siguiendo las instrucciones del responsable, se considerará corresponsable con arreglo al artículo 20. [Enm. 84]
Artículo 23
Documentación
1. Los Estados miembros dispondrán que cada responsable y cada encargado del tratamiento conservarán la documentación de todas los procedimientos y sistemas de tratamiento bajo su responsabilidad.
2. La documentación deberá contener, como mínimo, la información siguiente:
a) el nombre y los datos de contacto del responsable del tratamiento o de cualquier corresponsable o coencargado del tratamiento;
a bis) un acuerdo escrito vinculante, en caso de responsables de tratamiento conjuntos; una lista de encargados y de las actividades efectuadas por los mismos;
b) los fines del tratamiento;
b bis) una indicación de las partes de la organización del responsable o del encargado del tratamiento dedicada al tratamiento de datos personales para un fin concreto;
b ter) una descripción de la categoría o categorías de interesados y de los datos o categorías de datos a que se refiere el tratamiento;
c) los destinatarios o las categorías de destinatarios de los datos personales;
c bis) en su caso, información sobre la existencia de elaboración de perfiles, de medidas basadas en la elaboración de perfiles, y de mecanismos de oposición a la elaboración de perfiles;
c ter) información inteligible sobre la lógica de los tratamientos automatizados;
d) las transferencias de datos a un tercer país o a una organización internacional, incluido el nombre de dicho tercer país o de dicha organización internacional y los fundamentos jurídicos de la transmisión de los datos; cuando una transmisión se base en el artículo 35 o 36 de la presente Directiva, se dará una explicación sustantiva;
d bis) los plazos establecidos para la supresión de las diferentes categorías de datos;
d ter) los resultados de las comprobaciones de las medidas contempladas en el artículo 18, apartado 1;
d quater) una indicación del fundamento jurídico del tratamiento de que van a ser objeto los datos.
3. El responsable y el encargado del tratamiento pondrán toda la documentación a disposición de la autoridad de control, a solicitud de esta. [Enm. 85]
Artículo 24
Llevanza de registros
1. Los Estados miembros velarán por que se lleven registros de, al menos, las operaciones de tratamiento siguientes: recogida, alteración, consulta, comunicación, combinación o supresión. Los registros de consulta y comunicación mostrarán, en particular, el fin, la fecha y la hora de tales operaciones y, en la medida de lo posible, el nombre de la persona que consultó o comunicó datos personales y la identidad de los destinatarios de dichos datos.
2. Los registros se utilizarán únicamente a efectos de comprobación de la licitud del tratamiento y de autocontrol, así como para asegurar la integridad y la seguridad de los datos, o para fines de auditoría, tanto por el delegado de protección de datos como por la autoridad de protección de datos.
2 bis. El responsable y el encargado del tratamiento pondrán los registros a disposición de la autoridad de control a solicitud de esta. [Enm. 86]
Artículo 25
Cooperación con la autoridad de control
1. Los Estados miembros dispondrán que el responsable y el encargado del tratamiento cooperarán con la autoridad de control, previa solicitud, en el desempeño de las funciones de esta, en particular facilitando toda la información necesaria al efecto contemplada en el artículo 46, apartado 2, letra a), y concediendo acceso con arreglo a lo dispuesto en el artículo 46, apartado 2, letra b).
2. Cuando la autoridad de control ejerza los poderes que le son conferidos en virtud de las letras a) y b) del apartado 1 del artículo 46, el responsable y el encargado del tratamiento responderán a la autoridad de control dentro de un plazo razonable, que será fijado por esta. La respuesta deberá incluir una descripción de las medidas adoptadas y los resultados obtenidos, en respuesta a las observaciones formuladas por la autoridad de control. [Enm. 87]
Artículo 25 bis
Evaluación de impacto relativa a la protección de datos
1. Los Estados miembros dispondrán que, cuando las operaciones de tratamiento puedan entrañar riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines, el responsable o el encargado del tratamiento que actúe en su nombre, antes de proceder a nuevas operaciones de tratamiento o lo antes posible en caso de operaciones existentes, lleven a cabo una evaluación del impacto de los sistemas y procedimientos de tratamiento previstos sobre la protección de datos personales.
2. En particular, las siguientes operaciones de tratamiento presentan los riesgos específicos a que se refiere el apartado 1:
a) el tratamiento de datos personales en ficheros a gran escala para fines de prevención, detección, investigación o enjuiciamiento de infracciones penales o de ejecución de sanciones penales;
b) el tratamiento de las categorías especiales de datos personales a que se refiere el artículo 8, de datos personales relacionados con menores y de datos biométricos y localización para fines de prevención, detección, investigación o enjuiciamiento de infracciones penales o de ejecución de sanciones penales;
c) una evaluación de los aspectos personales propios de una persona física o destinada a analizar o a predecir, en particular, su comportamiento, que se base en un tratamiento automatizado y pueda dar lugar a medidas que produzcan efectos jurídicos que atañan o afecten significativamente a dicha persona;
d) el seguimiento de zonas de acceso público, en particular cuando se utilicen dispositivos optoelectrónicos (videovigilancia); u
e) otras operaciones de tratamiento para las cuales sea necesaria la consulta de la autoridad de control con arreglo a lo dispuesto en el artículo 26, apartado 1.
3. La evaluación deberá incluir como mínimo:
a) una descripción sistemática de las operaciones de tratamiento previstas;
b) una evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento con respecto a los fines;
c) una evaluación de los riesgos para los derechos y libertades de los interesados, y las medidas contempladas para hacer frente a dichos riesgos y reducir al mínimo la cantidad de datos personales tratados;
d) las medidas de seguridad y los mecanismos destinados a garantizar la protección de datos personales y a probar la conformidad con las disposiciones adoptadas de conformidad con la presente Directiva, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas;
e) una indicación general de los plazos establecidos para la supresión de las diferentes categorías de datos;
f) en su caso, una lista de las transferencias de datos previstas a un tercer país o a una organización internacional, incluido el nombre de dicho tercer país o de dicha organización internacional y, en el caso de las transferencias contempladas en el artículo 36, apartado 2, la documentación de garantías apropiadas;
4. Si el responsable o el encargado del tratamiento han designado a un delegado de protección de datos, este participará en el procedimiento de evaluación de impacto.
5. Los Estados miembros dispondrán que el responsable del tratamiento consulte al público sobre el tratamiento previsto, sin perjuicio de la protección del interés público o de la seguridad de las operaciones de tratamiento.
6. Sin perjuicio de la protección del interés público o de la seguridad de las operaciones de tratamiento, la evaluación será fácilmente accesible al público.
7. Se otorgan a la Comisión los poderes para adoptar, previa solicitud del dictamen del Consejo Europeo de Protección de Datos, actos delegados con arreglo al artículo 56, a fin de especificar los criterios y condiciones aplicables a las operaciones de tratamiento que puedan entrañar los riesgos específicos contemplados en los apartados 1 y 2, y los requisitos aplicables a la evaluación contemplada en el apartado 3, incluidas las condiciones de escalabilidad, verificación y auditabilidad. [Enm. 88]
Artículo 26
Consulta previa de la autoridad de control
1. Los Estados miembros velarán por que el responsable o el encargado del tratamiento consulten a la autoridad de control antes de proceder al tratamiento de datos personales que vayan a formar parte de un nuevo sistema de archivo que haya de crearse,a fin de garantizar la conformidad del tratamiento previsto con las disposiciones adoptadas de conformidad con la presente Directiva y, en particular, de atenuar los riesgos para los interesados, cuando:
a) vayan a tratarse categorías especiales de datos contempladas en el artículo 8; una evaluación de impacto relativa a la protección de los datos, al amparo del artículo 25 bis, indique que las operaciones de tratamiento pueden entrañar un elevado nivel de riesgos específicos en razón de su naturaleza, alcance o fines; o
b) el tipo de tratamiento, en particular cuando se usen tecnologías, mecanismos o procedimientos nuevos, entrañe riesgos específicos para los derechos y libertades fundamentales y, en particular, para la protección de datos personales de los interesados. la autoridad de control considere necesario proceder a una consulta previa en relación con las operaciones de tratamiento especificadas que puedan entrañar riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines.
1 bis. Cuando la autoridad de control determine, amparándose en sus competencias, que el tratamiento previsto no es conforme con las disposiciones adoptadas de conformidad con la presente Directiva, en particular cuando los riesgos no estén suficientemente definidos o atenuados, prohibirá el tratamiento previsto y presentará las propuestas oportunas para poner remedio a esta falta de conformidad.
2. Los Estados miembros podrán disponerdispondrán que la autoridad de control , previa consulta al Consejo Europeo de Protección de Datos, establecerá una lista de las operaciones de tratamiento que están sujetas a consulta previa con arreglo a lo dispuesto en el apartado 1, letra b).
2 bis. Los Estados miembros dispondrán que el responsable o el encargado del tratamiento faciliten a la autoridad de control la evaluación de impacto relativa a la protección de datos contemplada en el artículo 25 bis y, previa solicitud, cualquier información adicional que permita a la autoridad de control evaluar la conformidad del tratamiento y, en particular, los riesgos para la protección de los datos personales del interesado y las garantías correspondientes.
2 ter. Si la autoridad de control considera que el tratamiento previsto no es conforme con las disposiciones adoptadas de conformidad con la presente Directiva, o que los riesgos no están suficientemente definidos o atenuados, presentará las propuestas oportunas para poner remedio a esta falta de conformidad.
2 quater. Los Estados miembros podrán consultar a la autoridad de control con respecto a la elaboración de una medida legislativa antes de su adopción por los Parlamentos nacionales o de una medida basada en dicha medida legislativa que defina la naturaleza del tratamiento, con el fin de garantizar la conformidad del tratamiento previsto en virtud de la presente Directiva y, en particular, de atenuar los riesgos para los interesados. [Enm. 89]
SECCIÓN 2
SEGURIDAD DE LOS DATOS
Artículo 27
Seguridad del tratamiento
1. Los Estados miembros dispondrán que el responsable y el encargado del tratamiento implementen las medidas técnicas y organizativas y los procedimientos y apropiados para garantizar un nivel de seguridad adecuado en relación con los riesgos que entrañe el tratamiento y la naturaleza de los datos que deban protegerse, habida cuenta de las técnicas existentes y de los costes asociados a su implementación.
2. Por lo que hace al tratamiento automatizado de datos, cada Estado miembro dispondrá que el responsable o el encargado del tratamiento, a raíz de una evaluación de los riesgos, implementará medidas destinadas a:
a) denegar el acceso a personas no autorizadas a los equipamientos utilizados para el tratamiento de datos personales (control de acceso a los equipamientos);
b) impedir que los soportes de datos puedan ser leídos, copiados, modificados o cancelados por personas no autorizadas (control de los soportes de datos);
c) impedir que se introduzcan sin autorización datos personales conservados, o que estos puedan inspeccionarse, modificarse o suprimirse sin autorización (control de la conservación);
d) impedir que los sistemas de tratamiento automatizado de datos puedan ser utilizados por personas no autorizadas por medio de equipamientos de comunicación de datos (control de los usuarios);
e) garantizar que las personas autorizadas a utilizar un sistema de tratamiento automatizado de datos solo puedan tener acceso a los datos para los que han sido autorizados (control del acceso a los datos);
f) garantizar que sea posible verificar y constatar a qué organismos se han transmitido o pueden transmitirse o a cuya disposición pueden ponerse datos personales mediante equipamientos de comunicación de datos (control de las comunicaciones);
g) garantizar que pueda verificarse y constatarse a posteriori qué datos personales se han introducido en los sistemas de tratamiento automatizado de datos y en qué momento y por qué persona han sido introducidos (control de la introducción);
h) impedir que durante las transferencias de datos personales o durante el transporte de soportes de datos, los datos personales puedan ser leídos, copiados, modificados o suprimidos sin autorización (control del transporte);
i) garantizar que los sistemas instalados puedan restablecerse en caso de interrupción (recuperación);
j) garantizar que las funciones del sistema no presenten defectos, que los errores de funcionamiento sean señalados (fiabilidad) y que los datos personales almacenados no se degraden por fallos de funcionamiento del sistema (integridad).
j bis) garantizar que, en caso de tratamiento de datos personales sensibles de conformidad con el artículo 8, se instauren medidas de seguridad adicionales para garantizar el conocimiento de la situación de los riesgos y la capacidad de adoptar medidas preventivas, correctoras y de mitigación casi en tiempo real contra la vulnerabilidad o incidentes detectados que puedan presentar un riesgo para los datos;
2 bis. Los Estados miembros dispondrán que sólo pueda designarse como encargado del tratamiento a quien ofrezca garantías de que respeta las medidas técnicas y organizativas exigidas a que se refiere el apartado 1 y cumple las instrucciones contempladas en el artículo 21, apartado 2, letra a). Las autoridades competentes controlarán al encargado del tratamiento en ese sentido.
3. La Comisión podrá adoptar, en caso necesario, actos de ejecución para especificar los requisitos establecidos en los apartados 1 y 2 a distintas situaciones, en particular normas de cifrado. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen contemplado en el artículo 57, apartado 2. [Enm. 90]
Artículo 28
Notificación de una violación de datos personales a la autoridad de control
1. Los Estados miembros dispondrán que, en caso de violación de datos personales, el responsable del tratamiento la notificará a la autoridad de control sin demora injustificada, y, de ser posible, a más tardaren un plazo de veinticuatro horas después de que haya tenido constancia de ella. Si la notificación no se hace en el plazo de veinticuatro horas,En caso de demora, el responsable facilitará a la autoridad de control, previa solicitud, una justificación motivada.
2. El encargado del tratamiento alertará e informará al responsable del tratamiento inmediatamente después de que haya constatadosin demora injustificada tras la constatación una violación de datos personales.
3. La notificación contemplada en el apartado 1 deberá, al menos:
a) describir la naturaleza de la violación de datos personales, en particular las categorías y el número de interesados afectados, y las categorías y el número de registros de datos afectados;
b) comunicar la identidad y los datos de contacto del delegado de protección de datos contemplado en el artículo 30 o de otro punto de contacto en el que pueda obtenerse más información;
c) recomendar medidas tendentes a atenuar los posibles efectos negativos de la violación de datos personales;
d) describir las posibles consecuencias de la violación de datos personales;
e) describir las medidas propuestas o adoptadas por el responsable del tratamiento para poner remedio a la violación de datos personales y atenuar sus efectos.
Si no se puede facilitar sin demora injustificada toda la información, el responsable del tratamiento podrá completar la notificación en una segunda fase.
4. Los Estados miembros dispondrán que el responsable del tratamiento documentará cualquier violación de datos personales, indicando su contexto, sus efectos y las medidas correctivas adoptadas. Esta documentación deberá ser suficiente para permitir a la autoridad de control verificar el cumplimiento de las disposiciones del presente artículo. Solo incluirá la información necesaria a tal efecto.
4 bis. La autoridad de control llevará un registro público de los tipos de infracciones notificadas.
5. Se otorgan a la Comisión estará facultadalos poderes para adoptar , previa solicitud del dictamen del Consejo Europeo de Protección de Datos, actos delegados, de conformidad con lo dispuesto en elcon arreglo al artículo 56, a fin de especificar los criterios y requisitos aplicables a la constatación de la violación de datos contemplada en los apartados 1 y 2 y en relación con las circunstancias particulares en las que se exige a un responsable y un encargado del tratamiento notificar la violación de datos personales.
6. La Comisión podrá definir el formato normalizado de dicha notificación a la autoridad de control, los procedimientos aplicables al requisito de notificación y la forma y las modalidades de la documentación contemplada en el apartado 4, incluidos los plazos para la supresión de la información que figura en ella. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 57, apartado 2. [Enm. 91]
Artículo 29
Comunicación de una violación de datos personales al interesado
1. Los Estados miembros dispondrán que, cuando sea probable que la violación de datos personales afecte negativamente a la protección de los datos personales, a o la privacidad , a los derechos o a los intereses legítimos del interesado, el responsable del tratamiento, después de haber procedido a la notificación contemplada en el artículo 28, comunicará al interesado, sin demora injustificada, la violación de datos personales.
2. La comunicación al interesado contemplada en el apartado 1 será completa y utilizará un lenguaje claro y sencillo describirá la naturaleza de la violación de datos personales y contendrá, al menos, la información y las recomendaciones previstas en el artículo 28, apartado 3, letras b),y c) y d), así como información sobre los derechos del interesado, incluido el derecho de recurso.
3. La comunicación de una violación de datos personales al interesado no será necesaria si el responsable del tratamiento demuestra, a satisfacción de la autoridad de control, que ha implementado medidas de protección tecnológica apropiadas y que estas medidas se han aplicado a los datos afectados por la violación. Dichas medidas de protección tecnológica deberán hacer ininteligibles los datos para cualquier persona que no esté autorizada a acceder a ellos.
3 bis. Sin perjuicio de la obligación del responsable del tratamiento de notificar al interesado la violación de datos personales, si aquel no hubiera comunicado ya al interesado la violación de datos personales, la autoridad de control, una vez considerados los efectos negativos probables de la violación, podrá exigirle que lo haga.
4. La comunicación al interesado podrá aplazarse o limitarse u omitirse por los motivos contemplados en el artículo 11, apartado 4. [Enm. 92]
SECCIÓN 3
DELEGADO DE PROTECCIÓN DE DATOS
Artículo 30
Designación del delegado de protección de datos
1. Los Estados miembros dispondrán que el responsable o el encargado del tratamiento designarán un delegado de protección de datos.
2. El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos, y a su capacidad para ejecutar las tareas contempladas en el artículo 32. El nivel de conocimientos especializados requerido se determinará, en particular, en función del tratamiento de datos llevado a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado del tratamiento.
2 bis. Los Estados miembros dispondrán que el responsable o el encargado del tratamiento velen por que cualesquiera otras funciones profesionales del delegado de protección de datos sean compatibles con sus tareas y funciones en calidad de delegado de protección de datos y no planteen conflictos de intereses.
2 ter. El delegado de protección de datos será designado por un período de cuatro años como mínimo. El delegado de protección de datos podrá ser designado para nuevos mandatos. Durante su mandato, el delegado de protección de datos solo podrá ser destituido de tal función si dejase de cumplir las condiciones requeridas para el ejercicio de sus funciones.
2 quater. Los Estados miembros reconocerán el derecho del interesado a ponerse en contacto con el delegado de protección de datos en relación con cualquier asunto relacionado con el tratamiento de sus datos personales.
3. El delegado de protección de datos podrá ser designado para varias entidades, teniendo en cuenta la estructura organizativa de la autoridad competente.
3 bis. Los Estados miembros velarán por que el responsable y el encargado del tratamiento comuniquen el nombre y los datos de contacto del delegado de protección de datos a la autoridad de control y al público. [Enm. 93]
Artículo 31
Función de delegado de protección de datos
1. Los Estados miembros dispondrán que el responsable o el encargado del tratamiento velarán por que el delegado de protección de datos se implique adecuadamente y en su debido momento en todas las cuestiones relativas a la protección de datos personales.
2. El responsable o el encargado del tratamiento velarán por que se faciliten al delegado de protección de datos los medios para desempeñar las funciones y tareas contempladas en el artículo 32 con eficacia e independencia, y por que no reciba ninguna instrucción en lo que respecta al ejercicio de sus funciones.
2 bis. El responsable o el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de sus tareas y le facilitarán todos los medios, incluido el personal, los locales, los equipamientos, la formación profesional continua y cualesquiera otros recursos necesarios para el desempeño de las funciones y tareas contempladas en el artículo 32 y para mantener sus conocimientos profesionales. [Enm. 94]
Artículo 32
Tareas del delegado de protección de datos
Los Estados miembros dispondrán que el responsable o el encargado del tratamiento encomendarán al delegado de protección de datos, como mínimo, las siguientes tareas:
a) sensibilizar, informar y asesorar al responsable o al encargado del tratamiento de las obligaciones que les incumben de conformidad con las disposiciones adoptadas en virtud de la presente Directiva, , en particular en relación con las medidas y los procedimientos técnicos y organizativos, y documentar esta actividad y las respuestas recibidas;
b) supervisar la implementación y aplicación de las políticas relativas a la protección de datos personales, incluida la asignación de responsabilidades, la formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
c) supervisar la implementación y aplicación de las disposiciones adoptadas en virtud de la presente Directiva, en particular por lo que hace a los requisitos relativos a la protección de datos desde el diseño, la protección de datos por defecto y la seguridad de los datos, así como a la información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos en virtud de las disposiciones adoptadas con arreglo a la presente Directiva;
d) velar por la conservación de la documentación contemplada en el artículo 23;
e) supervisar la documentación, notificación y comunicación de las violaciones de datos personales con arreglo a lo dispuesto en los artículos 28 y 29;
f) supervisar la aplicación de la evaluación de impacto relativa a la protección de datos por parte del responsable o del encargado del tratamiento y la presentación de solicitudes de consulta previa a la autoridad de control, si así se requiere de conformidad con lo dispuesto en el artículo 26, apartado 1;
g) supervisar la respuesta a las solicitudes de la autoridad de control y, en el marco de la competencia del delegado de protección de datos, cooperar con la autoridad de control a solicitud de esta o a iniciativa propia;
h) actuar como punto de contacto para la autoridad de control sobre las cuestiones relacionadas con el tratamiento y consultar a la autoridad de control, si procede, a iniciativa propia. [Enm. 95]
CAPÍTULO V
TRANSFERENCIA DE DATOS PERSONALES A TERCEROS PAÍSES U ORGANIZACIONES INTERNACIONALES
Artículo 33
Principios generales de las transferencias de datos personales
1. Los Estados miembros dispondrán que cualquier transferencia de datos personales por las autoridades competentes que sean o vayan a ser objeto de tratamiento tras su transferencia a un tercer país o a una organización internacional, incluidas las transferencias ulteriores a otro tercer país u otra organización internacional, solo podrá realizarse si:
a) la transferencia específica es necesaria para la prevención, investigación, detección o enjuiciamiento de infracciones penales o para la ejecución de sanciones penales; y
a bis) los datos se transfieren a un responsable del tratamiento en un tercer país u organización internacional que sea una autoridad pública competente a los efectos de lo dispuesto en el artículo 1, apartado 1; y
a ter) el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, en particular en lo tocante a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional; y
b) el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulodemás disposiciones adoptadas en virtud de la presente Directiva; y.
b bis) no se debilita el nivel de protección de las personas físicas en materia de protección de datos garantizado en la Unión por la presente Directiva; y
b ter) la Comisión ha decidido, en cumplimiento de las condiciones y los procedimientos contemplados en el artículo 34, que el tercer país o la organización internacional de que se trate garantizan un nivel de protección adecuado; o
b quater) se han aportado garantías apropiadas con respecto a la protección de datos personales en un instrumento jurídicamente vinculante de conformidad con el artículo 35.
2. Los Estados miembros dispondrán que toda transferencia ulterior mencionada en el párrafo primero del presente artículo solo pueda tener lugar si, además de las condiciones estipuladas en dicho párrafo:
a) la transferencia ulterior es necesaria por los mismos fines específicos que la transferencia original; y
b) la autoridad competente que llevó a cabo la transferencia original autoriza la transferencia ulterior. [Enm. 96]
Artículo 34
Transferencias con una decisión de adecuación
1. Los Estados miembros dispondrán que una transferencia de datos personales a un tercer país o una organización internacional podrá realizarse cuando la Comisión haya decidido, de conformidad con lo dispuesto en el artículo 41 del Reglamento (UE) nº …./2012 o de conformidad con el apartado 3 del presente artículo, que el tercer país, o un territorio o un sector de tratamiento en ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dichas transferencias no requerirán nuevas autorizaciones específicas.
2. Cuando no exista una decisión adoptada de conformidad con lo dispuesto en el artículo 41 del Reglamento (UE) nº …./2012,Al evaluar la adecuación del nivel de protección, la Comisión evaluará la adecuación del nivel de protección, tomandotomará en consideración los elementos siguientes:
a) el Estado de Derecho, la legislación pertinente en vigor, tanto general como sectorial, en particular en lo que respecta a la seguridad pública, la defensa, la seguridad nacional, el Derecho penal, la aplicación de dicha legislación y las medidas de seguridad en vigor en el país de que se trate o aplicables a la organización internacional en cuestión, los precedentes jurisprudenciales, así como los derechos efectivos y exigibles, incluido el derecho de recurso administrativo y judicial efectivo de los interesados, en particular los residentes en la Unión cuyos datos personales estén siendo transferidos;
b) la existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país u organización internacional de que se trate, encargadas de garantizar el cumplimiento de las normas en materia de protección de datos, con competencias sancionadoras suficientes, de asistir y asesorar a los interesados en el ejercicio de sus derechos y de cooperar con las autoridades de control de la Unión y de los Estados miembros; y
c) los compromisos internacionales asumidos por el tercer país o la organización internacional de que se trate, en particular cualquier convención o instrumento jurídicamente vinculante en relación con la protección de datos personales.
3. Se otorgan a la Comisión podrálos poderespara adoptar, previa solicitud del dictamen del Consejo Europeo de Protección de Datos, actos delegados con arreglo al artículo 56, a fin de decidir, dentro del ámbito de aplicación de la presente Directiva, que un tercer país, o un territorio o un sector de tratamiento de datos en ese tercer país, o una organización internacional garantizan un nivel de protección adecuado a tenor de lo dispuesto en el apartado 2. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 57, apartado 2.
4. El acto de ejecucióndelegado especificará su ámbito de aplicación geográfica y sectorial, y, cuando proceda, determinará cuál es la autoridad de control mencionada en el apartado 2, letra b).
4 bis. La Comisión realizará, con carácter continuo, un seguimiento de las novedades que pudiesen afectar al cumplimiento de los elementos que figuran en el apartado 2 en terceros países y organizaciones internacionales en relación con los cuales se haya adoptado un acto delegado en virtud del apartado 3.
5. Se otorgan a la Comisión podrálos poderes para adoptar actos delegados con arreglo al artículo 56, a fin de decidir, dentro del ámbito de aplicación de la presente Directiva, que un tercer país, o un territorio o un sector de tratamiento de datos en ese tercer país, o una organización internacional no garantizan un nivel de protección adecuado a tenor de lo dispuesto en el apartado 2, en particular en los casos en que la legislación pertinente, tanto general como sectorial, en vigor en el tercer país o aplicable a la organización internacional en cuestión, no garantice derechos efectivos y exigibles, incluido el derecho de recurso administrativo y judicial efectivo de los interesados, en particular aquellos cuyos datos personales estén siendo transferidos. Dichos actos de ejecución se adoptarán de acuerdo con el procedimiento de examen contemplado en el artículo 57, apartado 2, o, en casos de extrema urgencia para personas en lo que respecta a su derecho a la protección de datos personales, de conformidad con el procedimiento contemplado en el artículo 57, apartado 3.
6. Los Estados miembros velarán por que cuando la Comisión adopte una decisión de conformidad con lo dispuesto en el apartado 5, esté prohibida toda transferencia de datos personales al tercer país, o a un territorio o un sector de tratamiento de datos en ese tercer país, o a la organización internacional de que se trate; dicha decisión se entenderá sin perjuicio de las transferencias en virtud del artículo 35, apartado 1, o de conformidad con lo dispuesto en el artículo 36. La Comisión entablará consultas, en su debido momento, con el tercer país o la organización internacional con vistas a poner remedio a la situación resultante de la decisión adoptada de conformidad con lo dispuesto en el apartado 5 del presente artículo.
7. La Comisión publicará en el Diario Oficial de la Unión Europea una lista de los terceros países, territorios y sectores de tratamiento de datos en un tercer país o una organización internacional para los que haya decidido que está o no está garantizado un nivel protección adecuado.
8. La Comisión supervisará la aplicación de los actos de ejecución delegados contemplados en los apartados 3 y 5. [Enm. 97]
Artículo 35
Transferencias mediante garantías apropiadas
1. Cuando la Comisión no haya adoptado una decisión con arreglo a lo dispuesto en el artículo 34, los Estados miembros dispondrán que podrá tener lugar una transferencia de datos personales a un destinatario eno decida que un tercer país, o un territorio en ese tercer país o una organización internacional no garantizan un nivel de protección adecuado de conformidad con el artículo 34, apartado 5, un responsable o un encargado del tratamiento solo podrán transferir datos personales a un tercer país, o a un territorio en ese tercer país o a una organización internacional cuandosi han aportado garantías apropiadas con respecto a la protección de datos personales en un instrumento jurídicamente vinculante:
a) se hayan aportado garantías apropiadas con respecto a la protección de datos personales en un instrumento jurídicamente vinculante; o
b) el responsable o el encargado del tratamiento hayan evaluado todas las circunstancias que concurren en la transferencia de datos personales y hayan llegado a la conclusión de que existen garantías apropiadas con respecto a la protección de datos personales.
2. La decisión relativa a una transferencia en virtud del apartado 1, letra b), deberá ser adoptada por personal debidamente autorizado. Estas transferencias deberán documentarse y la documentación se pondrá a disposición, previa solicitud, de la autoridad de control.ser autorizadas previamente por la autoridad de control. [Enm. 98]
Artículo 36
Excepciones
1. Cuando la Comisión decida, de conformidad con el artículo 34, apartado 5, que no existe un nivel de protección adecuado, no se realizará la transferencia de datos personales al tercer país u organización internacional en cuestión, si, en el caso en cuestión, los intereses legítimos del interesado por que no se efectúe una transferencia priman sobre el interés público que presenta la transferencia.
2. No obstante lo dispuesto en los artículos 34 y 35, los Estados miembros dispondrán que solo podrá procederse a la transferencia de datos personales a un tercer país o una organización internacional en caso de que:
a) la transferencia sea necesaria para proteger los intereses vitales del interesado o de otra persona; o
b) la transferencia sea necesaria para salvaguardar intereses legítimos del interesado cuando así lo disponga el Derecho del Estado miembro que transfiere los datos personales; o
c) la transferencia de los datos sea esencial para prevenir una amenaza inminente y grave para la seguridad pública de un Estado miembro o de un tercer país; o
d) la transferencia sea necesaria en casos concretos a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales; o
e) la transferencia sea necesaria en casos concretos para el reconocimiento, el ejercicio o la defensa de un derecho en un procedimiento judicial relativo a la prevención, investigación, detección o enjuiciamiento de una infracción penal o la ejecución de una sanción penal específica.
2 bis. El tratamiento basado en el apartado 2 deberá contar con un fundamento jurídico en el Derecho de la Unión o en la legislación del Estado miembro del que depende el responsable; dicha legislación deberá cumplir un objetivo de interés público o ser necesaria para proteger los derechos y libertades de terceros, respetar la esencia del derecho a la protección de los datos personales y ser proporcional al objetivo legítimo perseguido.
2 ter. Todas las transferencias de datos personales decididas con arreglo a excepciones deberán estar debidamente justificadas y limitarse a lo estrictamente necesario, y no deberán permitirse las transferencias frecuentes y masivas de datos.
2 quater. La decisión relativa a una transferencia en virtud del apartado 2 deberá ser adoptada por personal debidamente autorizado. Estas transferencias deberán documentarse y la documentación se pondrá a disposición, previa solicitud, de la autoridad de control, incluidas la fecha y la hora de la transferencia, información sobre la autoridad destinataria, la justificación de la transferencia y los datos transferidos. [Enm. 99]
Artículo 37
Condiciones específicas para la transferencia de datos personales
Los Estados miembros dispondrán que el responsable del tratamiento informará al destinatario de los datos personales de cualquier limitación al tratamiento y tomará todas las medidas razonables para garantizar que se cumplan dichas limitaciones. El responsable del tratamiento también deberá notificar al destinatario de los datos personales toda actualización, rectificación o supresión de datos, y el destinatario, a su vez, deberá notificar asimismo, en su caso, que los datos se han transferido posteriormente. [Enm. 100]
Artículo 38
Cooperación internacional en el ámbito de la protección de datos personales
1. En relación con los terceros países y las organizaciones internacionales, la Comisión y los Estados miembros tomarán medidas apropiadas para:
a) crear mecanismos de cooperación internacional eficaces que facilitengaranticen la aplicación de la legislación relativa a la protección de datos personales; [Enm. 101]
b) prestarse mutuamente asistencia a escala internacional en la aplicación de la legislación relativa a la protección de datos personales, en particular mediante la notificación, la remisión de reclamaciones, la asistencia en las investigaciones y el intercambio de información, a reserva de las garantías apropiadas para la protección de los datos personales y otros derechos y libertades fundamentales;
c) procurar la participación de las partes interesadas pertinentes en los debates y actividades destinados a reforzar la cooperación internacional en la aplicación de la legislación relativa a la protección de datos personales;
d) promover el intercambio y la documentación de la legislación y las prácticas en materia de protección de datos personales.
d bis) aclarar y consultar sobre los conflictos jurisdiccionales con terceros países. [Enm. 102]
2. A efectos de la aplicación del apartado 1, la Comisión tomará medidas apropiadas para impulsar las relaciones con terceros países u organizaciones internacionales y, en particular, sus autoridades de control, cuando haya decidido que garantizan un nivel de protección adecuado a tenor de lo dispuesto en el artículo 34, apartado 3.
Artículo 38 bis
Informe de la Comisión
La Comisión presentará periódicamente al Parlamento Europeo y al Consejo un informe sobre la aplicación de los artículos 33 a 38. El primer informe se presentará a más tardar cuatro años después de la entrada en vigor de la presente Directiva. A tal efecto, la Comisión podrá solicitar información a los Estados miembros y a las autoridades de control, que deberán facilitarla sin demora injustificada. Dicho informe se hará público. [Enm. 103]
CAPÍTULO VI
AUTORIDADES DE CONTROL INDEPENDIENTES
SECCIÓN 1
INDEPENDENCIA
Artículo 39
Autoridad de control
1. Cada Estado miembro dispondrá que una o varias autoridades públicas se encargarán de supervisar la aplicación de las disposiciones adoptadas con arreglo a la presente Directiva y de contribuir a su aplicación coherente en toda la Unión, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento de sus datos personales y de facilitar la libre circulación de datos personales en la Unión. A tal fin, las autoridades de control cooperarán entre sí y con la Comisión.
2. Los Estados miembros podrán disponer que las autoridades de control creadas en los Estados miembros de conformidad con lo dispuesto en el Reglamento (UE) nº …./2012 asumirán las tareas de la autoridad de control que vaya a crearse de conformidad con el apartado 1.
3. Cuando en un Estado miembro estén establecidas varias autoridades de control, dicho Estado miembro designará la autoridad de control que actuará como punto de contacto único, a fin de favorecer la participación efectiva de dichas autoridades en el Consejo Europeo de Protección de Datos.
Artículo 40
Independencia
1. Los Estados miembros velarán por que la autoridad de control actúe con total independencia en el ejercicio de las funciones que le hayan sido encomendadas y de los poderes que le hayan sido conferidos, no obstante las medidas de cooperación contempladas en el capítulo VII de la presente Directiva. [Enm. 104]
2. Cada Estado miembro dispondrá que, en el ejercicio de sus funciones, los miembros de la autoridad de control no solicitarán ni aceptarán instrucciones de nadie y mantendrán una independencia y una imparcialidad totales. [Enm. 105]
3. Los miembros de la autoridad de control se abstendrán de cualquier acción que sea incompatible con sus funciones y no participarán, mientras dure su mandato, en ninguna actividad profesional incompatible, sea o no remunerada.
4. Tras la finalización de su mandato, los miembros de la autoridad de control actuarán con integridad y discreción en lo que respecta a la aceptación de cargos y beneficios.
5. Cada Estado miembro velará por que la autoridad de control disponga en todo momento de los recursos humanos, técnicos y financieros adecuados, así como de las instalaciones e infraestructuras necesarias para el ejercicio efectivo de sus funciones y poderes, en particular aquellos que haya de ejercer en el marco de la asistencia mutua, la cooperación y la participación activa en el Consejo Europeo de Protección de Datos.
6. Cada Estado miembro velará por que la autoridad de control disponga de su propio personal, que será nombrado por el director de la autoridad de control y estará sujeto a su autoridad.
7. Los Estados miembros velarán por que la autoridad de control esté sujeta a control financiero, sin que ello afecte a su independencia. Los Estados miembros velarán por que la autoridad de control disponga de presupuestos anuales propios. Los presupuestos se harán públicos.
Artículo 41
Condiciones generales aplicables a los miembros de la autoridad de control
1. Los Estados miembros dispondrán que los miembros de la autoridad de control deben ser nombrados bien por su parlamento bien por su gobierno.
2. Los miembros serán elegidos entre personas que ofrezcan absolutas garantías de independencia y que posean experiencia y aptitudes acreditadas para el ejercicio de sus funciones.
3. Las funciones de los miembros terminarán a la expiración de su mandato o, en caso de dimisión o jubilación obligatoria, de conformidad con lo dispuesto en el apartado 5.
4. Un miembro podrá ser destituido o desposeído de su derecho a pensión u otros beneficios sustitutivos por el órgano jurisdiccional nacional competente si dejara de reunir las condiciones necesarias para el ejercicio de sus funciones o hubiera incurrido en falta grave.
5. Un miembro cuyo mandato expire o que presente su dimisión seguirá ejerciendo sus funciones hasta que se nombre un nuevo miembro.
Artículo 42
Normas relativas al establecimiento de la autoridad de control
Cada Estado miembro dispondrá por ley:
a) el establecimiento y el estatuto de la autoridad de control con arreglo a lo dispuesto en los artículos 39 y 40;
b) las cualificaciones, la experiencia y las aptitudes requeridas para ejercer las funciones de miembro de la autoridad de control;
c) las normas y los procedimientos para el nombramiento de los miembros de la autoridad de control, así como las normas relativas a las actividades u ocupaciones incompatibles con sus funciones;
d) la duración del mandato de los miembros de la autoridad de control, que no será inferior a cuatro años, salvo los primeros nombramientos tras la entrada en vigor de la presente Directiva, algunos de los cuales podrán ser más breves;
e) el carácter renovable o no renovable del mandato de los miembros de la autoridad de control;
f) las reglas y condiciones comunes que rigen las funciones de los miembros y del personal de la autoridad de control;
g) las normas y los procedimientos relativos al cese de las funciones de los miembros de la autoridad de control, en particular cuando hayan dejado de cumplir las condiciones requeridas para el ejercicio de sus funciones o incurrieran en falta grave.
Artículo 43
Secreto profesional
Los Estados miembros dispondrán que los miembros y el personal de la autoridad de control estarán sujetos, tanto durante su mandato como después del mismo y de conformidad con la legislación y las prácticas nacionales, al deber de secreto profesional con relación a las informaciones confidenciales de las que hayan tenido conocimiento en el ejercicio de sus funciones oficiales, al tiempo que desempeñan sus funciones con independencia y transparencia, de acuerdo con lo dispuesto en la presente Directiva. [Enm. 106]
SECCIÓN 2
FUNCIONES Y PODERES
Artículo 44
Competencia
1. Los Estados miembros dispondrán que cada autoridad de control sea competente para desempeñar sus funciones y ejercer, en el territorio de su propio Estado miembro, los poderes que se le confieran de conformidad con la presente Directiva. [Enm. 107]
2. Los Estados miembros dispondrán que la autoridad de control no será competente para controlar las operaciones de tratamiento efectuadas por los órganos jurisdiccionales en el ejercicio de su función jurisdiccional.
Artículo 45
Funciones
1. Los Estados miembros dispondrán que la autoridad de control:
a) supervisará y asegurará la aplicación de las disposiciones adoptadas con arreglo a la presente Directiva y sus medidas de ejecución;
b) conocerá las reclamaciones presentadas por cualquier interesado o por una asociación que le represente y que esté debidamente autorizada por él de conformidad con lo dispuesto en el artículo 50, investigará, en la medida en que proceda, el asunto e informará al interesado o la asociación sobre el curso y el resultado de la reclamación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control;
c) controlará la licitud del tratamiento de datos con arreglo a lo dispuesto en el artículo 14, e informará al interesado, en un plazo razonable, sobre el resultado del control o sobre los motivos por los que no se ha llevado a cabo;
d) prestará asistencia mutua a otras autoridades de control y garantizará la coherencia de la aplicación y el cumplimiento de las disposiciones adoptadas con arreglo a la presente Directiva;
e) llevará a cabo investigaciones, inspecciones y auditorías, ya sea a iniciativa propia, ya sea a raíz de una reclamación o a solicitud de otra autoridad de control, e informará al interesado en cuestión, si este hubiera presentado una reclamación, del resultado de las investigaciones en un plazo razonable;
f) hará un seguimiento de las novedades de interés, en la medida en que tengan incidencia en la protección de datos personales, en particular el desarrollo de las tecnologías de la información y la comunicación;
g) será consultado por las instituciones y los organismos de los Estados miembros sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas en lo que respecta al tratamiento de datos personales;
h) será consultado sobre las operaciones de tratamiento de datos con arreglo al artículo 26;
i) participará en las actividades del Consejo Europeo de Protección de Datos.
2. Cada autoridad de control promoverá la sensibilización del público sobre los riesgos, normas, garantías y derechos relativos al tratamiento de datos personales. Las actividades dirigidas específicamente a los niños deberán ser objeto de especial atención.
3. La autoridad de control, previa solicitud, asesorará a cualquier interesado en el ejercicio de los derechos que confieren disposiciones adoptadas con arreglo a la presente Directiva y, en su caso, cooperará a tal fin con las autoridades de control de otros Estados miembros.
4. Para las reclamaciones contempladas en el apartado 1, letra b), la autoridad de control facilitará un formulario de reclamaciones que podrá cumplimentarse por vía electrónica, sin excluir otros medios de comunicación.
5. Los Estados miembros dispondrán que el desempeño de las funciones de la autoridad de control será gratuito para el interesado.
6. Cuando las solicitudes sean abusivas manifiestamente excesivas, en particular por su carácter repetitivo, la autoridad de control podrá exigir el pago de una tasa o decidir no adoptar las medidas solicitadas por el interesadorazonable. El importe de dicha tasa no deberá superar el coste generado por la adopción de la medida solicitada. La carga de la prueba del carácter abusivomanifiestamente de la solicitud recaerá en la autoridad de control. [Enm. 108]
Artículo 46
Poderes
1. Los Estados miembros dispondrán que cada autoridad de control deberá estar investida, en particular, de esté facultada para:
a) poderes de investigación, como el poder de acceder a los datos que sean objeto de un tratamiento y el de recabar toda la información necesaria para el cumplimiento de su misión de controlnotificar al responsable o al encargado del tratamiento una presunta violación de las disposiciones que rigen el tratamiento de datos personales y, cuando proceda, ordenar al responsable o al encargado del tratamiento que subsanen dicha violación, de manera específica, con el fin de mejorar la protección del interesado;
b) poderes efectivos de intervención, por ejemplo para emitir dictámenes antes de que se lleve a cabo el tratamiento, y garantizar una publicación adecuada de dichos dictámenes, ordenar la limitación, supresión o destrucción de datos, imponer una prohibición temporal o definitiva del tratamiento, formular una advertencia o una amonestación al responsable de la misma, o remitir el asunto a los parlamentos nacionales u otras instituciones políticasordenar al responsable del tratamiento que atienda las solicitudes de ejercicio de los derechos conferidos por la presente Directiva, incluidos los previstos en los artículos 12 a 17, presentadas por el interesado cuando tales solicitudes hayan sido rechazadas en violación de tales disposiciones;
c) el poder de emprender acciones legales cuando se hayan infringido las disposiciones adoptadas con arreglo a la presente Directiva o de denunciar dichas infracciones a las autoridades judiciales.ordenar al responsable o al encargado del tratamiento que faciliten información de conformidad con lo dispuesto en el artículo 10, apartado 1, y los artículos 11, 28 y 29;
d) velar por el cumplimiento de los dictámenes sobre las consultas previas contempladas en el artículo 26;
e) formular una advertencia o amonestación al responsable o al encargado del tratamiento;
f) ordenar la rectificación, supresión o destrucción de todos los datos que se hayan tratado infringiendo las disposiciones adoptadas en virtud de la presente Directiva, y la notificación de dichas medidas a los terceros a quienes se hayan comunicado los datos;
g) prohibir temporal o definitivamente el tratamiento;
h) suspender los flujos de datos hacia un destinatario situado en un tercer país o hacia una organización internacional;
i) informar sobre el asunto a los parlamentos nacionales, al gobierno o a otras instituciones públicas, así como al público.
2. Cada autoridad de control dispondrá de poderes de investigación que le permitan obtener del responsable o del encargado del tratamiento:
a) el acceso a todos los datos personales y a toda la información necesaria para el ejercicio de sus funciones de control;
b) el acceso a todos sus locales, en particular cualquier equipamiento y medio de tratamiento de datos, de conformidad con la legislación nacional, cuando haya motivos razonables para suponer que en ellos se ejerce una actividad contraria a las disposiciones adoptadas en virtud de la presente Directiva, sin perjuicio del requisito de solicitar autorización judicial cuando así lo prevea la legislación nacional.
3. Sin perjuicio de lo dispuesto en el artículo 43, los Estados miembros velaran por que no se impongan requisitos adicionales de secreto a instancia de las autoridades de control.
4. Los Estados miembros podrán disponer que se exija un control adicional de seguridad en consonancia con la legislación nacional para acceder a la información clasificada a un nivel similar o superior al de «CONFIDENTIEL UE/EU CONFIDENTIAL». Si en la legislación del Estado miembro de la autoridad de control de que se trate no se prevé un control adicional de seguridad, todos los demás Estados miembros deberán aceptar tal hecho.
5. Cada autoridad de control estará facultada para poner en conocimiento de las autoridades judiciales la infracción de las disposiciones adoptadas en virtud de la presente Directiva y para ejercer acciones jurisdiccionales ante el tribunal competente de conformidad con el artículo 53, apartado 2.
6. Cada autoridad de control estará facultada para sancionar las infracciones administrativas. [Enm. 109]
Artículo 46 bis
Denuncia de las infracciones
1. Los Estados miembros dispondrán que las autoridades de control tengan en cuenta las directrices emitidas por el Consejo Europeo de Protección de Datos de conformidad con el artículo 66, apartado 4 ter, del Reglamento (UE) nº .../2014 y establecerán mecanismos eficaces que fomenten la denuncia confidencial de infracciones a la presente Directiva.
2. Los Estados miembros dispondrán que las autoridades competentes establezcan mecanismos eficaces que fomenten la denuncia confidencial de infracciones a la presente Directiva. [Enm. 110]
Artículo 47
Informe de actividad
Los Estados miembros dispondrán que cada autoridad de control elaborará un informe anual sobre sus actividades al menos cada dos años. El informe se pondrá a disposición dedel público, el Parlamento correspondiente, la Comisión y el Consejo Europeo de Protección de Datos. El informe incluirá información sobre la medida en que las autoridades competentes de su jurisdicción han tenido acceso a los datos conservados por particulares para investigar o perseguir infracciones penales. [Enm. 111]
CAPÍTULO VII
COOPERACIÓN
Artículo 48
Asistencia mutua
1. Los Estados miembros dispondrán que las autoridades de control se prestarán asistencia mutua a fin de implementar y aplicar las disposiciones adoptada con arreglo a la presente Directiva de forma coherente, y tomarán medidas para asegurar una efectiva cooperación entre sí. La asistencia mutua abarcará, en particular, las solicitudes de información y las medidas de control, como, por ejemplo, las solicitudes para llevar a cabo consultas previas, inspecciones e investigaciones.
2. Los Estados miembros dispondrán que una autoridad de control adoptará todas las medidas apropiadas requeridas para responder a la solicitud de otra autoridad de control. Podrá tratarse, en particular, de la transmisión de información útil o medidas represivas para que se proceda sin demora y, a más tardar, un mes después de recibida la solicitud, al cese o a la prohibición de las operaciones de tratamiento contrarias a la presente Directiva.
2 bis. La solicitud de asistencia deberá contener toda la información necesaria, incluidos los fines y motivos de la solicitud. La información intercambiada se utilizará únicamente para los fines para los que se solicitó.
2 ter. Una autoridad de control a la que se haya dirigido una solicitud de asistencia no podrá negarse a atenderla, salvo si:
a) no es competente para tramitar la solicitud; o
b) el hecho de atender la solicitud fuera incompatible con las disposiciones adoptadas en virtud de la presente Directiva.
3. La autoridad de control a la que se haya dirigido una solicitud de asistencia informará a la autoridad de control solicitante de los resultados obtenidos o, en su caso, de los progresos registrados o de las medidas adoptadas para dar curso a su solicitud.
3 bis. Las autoridades de control facilitarán la información solicitada por otras autoridades de control por vía electrónica y en el plazo más breve posible, utilizando un formato normalizado.
3 ter. No se cobrará tasa alguna por las medidas adoptadas a raíz de una solicitud de asistencia mutua. [Enm. 112]
Artículo 48 bis
Operaciones conjuntas
1. Con el fin de intensificar la cooperación y la asistencia mutua, los Estados miembros dispondrán que las autoridades de control puedan llevar a cabo medidas represivas conjuntas y otras operaciones conjuntas en las que miembros designados o personal de las autoridades de control de otros Estados miembros participen en las operaciones en el interior del territorio de un Estado miembro.
2. En los casos en que sea probable que se vean afectados por las operaciones de tratamiento interesados en otro u otros Estados miembros, los Estados miembros dispondrán que las autoridades de control competentes puedan ser invitadas a participar en las operaciones conjuntas. La autoridad de control competente podrá invitar a la autoridad de control de cada uno de esos Estados miembros a participar en la operación de que se trate y, en caso de ser invitada participar en las operaciones por otra autoridad de control, responderá sin demora a la solicitud.
3. Los Estados miembros establecerán los aspectos prácticos de las acciones de cooperación específicas. [Enm. 113]
Artículo 49
Tareas del Consejo Europeo de Protección de Datos
1. El Consejo Europeo de Protección de datos creado por el Reglamento (UE) nº …./20122014 ejercerá, dentro del ámbito de aplicación de la presente Directiva, las siguientes tareas en relación con el tratamiento de datos:
a) asesorará a la Comisiónlas instituciones de la Unión sobre cualquier cuestión relativa a la protección de datos personales en la Unión, en particular sobre cualquier propuesta de modificación de la presente Directiva;
b) examinará, a solicitud de la Comisión, del Parlamento Europeo o del Consejo, o a iniciativa propia o de uno de sus miembros, cualquier cuestión relativa a la aplicación de las disposiciones adoptadas con arreglo a la presente Directiva y emitirá directrices, recomendaciones y mejores prácticas dirigidas a las autoridades de control, a fin de promover la aplicación coherente de esas disposiciones, también sobre el uso de las competencias de ejecución;
c) examinará la aplicación práctica de las directrices, recomendaciones y mejores prácticas contempladas en la letra b) e informará de ellas periódicamente a la Comisión;
d) emitirá un dictamen destinado a la Comisión sobre el nivel de protección en terceros países u organizaciones internacionales;
e) promoverá la cooperación y los intercambios bilaterales y multilaterales efectivos de información y de prácticas entre las autoridades de control, incluida la coordinación de las operaciones conjuntas y otras actividades conjuntas, cuando así lo decida a solicitud de una o varias autoridades de control;
f) promoverá programas de formación comunes y facilitará los intercambios de personal entre las autoridades de control, así como, cuando proceda, con las autoridades de control de terceros países o de organizaciones internacionales;
g) promoverá el intercambio de conocimientos y documentación con las autoridades de control de la protección de datos a escala mundial, en particular sobre la legislación y las prácticas en materia de protección de datos.
g bis) emitirá un dictamen dirigido a la Comisión con respecto a la elaboración de actos delegados y de ejecución en virtud de la presente Directiva.
2. Cuando el Parlamento Europeo, el Consejo o la Comisión solicitesoliciten asesoramiento del Consejo Europeo de Protección de Datos podrá fijar un plazo para la prestación de dicho asesoramiento, teniendo en cuenta la urgencia del asunto.
3. El Consejo Europeo de Protección de Datos transmitirá sus dictámenes, directrices, recomendaciones y mejores prácticas a la Comisión y al Comité contemplado en el artículo 57, apartado 1, y los hará públicos.
4. La Comisión informará al Consejo Europeo de Protección de Datos de las medidas que haya adoptado siguiendo los dictámenes, directrices, recomendaciones y mejores prácticas emitidos por dicho Consejo. [Enm. 114]
CAPÍTULO VIII
RECURSOS, RESPONSABILIDAD Y SANCIONES
Artículo 50
Derecho a presentar una reclamación ante una autoridad de control
1. Sin perjuicio de los recursos administrativos o judiciales, los Estados miembros reconocerán el derecho que asiste a todo interesado a presentar una reclamación ante la autoridad de control de cualquier Estado miembro si considera que el tratamiento de sus datos personales no se ajusta a las disposiciones adoptadas con arreglo a la presente Directiva.
2. Los Estados miembros reconocerán el derecho que asiste a todo organismo, organización o asociación que tenga por objeto proteger los derechos e intereses de los interesados por lo que se refiere a la protección de sus datos personales,actúe en aras del interés público y que haya sido correctamente constituido con arreglo a la legislación de un Estado miembro, a presentar una reclamación ante una autoridad de control en cualquier Estado miembro por cuenta de uno o más interesados si considera que los derechos que le asisten en virtud de la presente Directiva han sido vulnerados como consecuencia del tratamiento de datos personales. La organización o asociación deberá estar debidamente autorizada por el interesado o interesados. [Enm. 115]
3. Los Estados miembros reconocerán el derecho que asiste a todo organismo, organización o asociación contemplado en el apartado 2, independientemente de la reclamación de un interesado, a presentar una reclamación ante una autoridad de control en cualquier Estado miembro si considera que se ha producido una violación de los datos personales.
Artículo 51
Derecho a un recurso judicial contra una autoridad de control
1. Los Estados miembros reconocerán el derecho de toda persona física o jurídica a un recurso judicial contra las decisiones de una autoridad de control que les conciernan.
2. Los Estados miembros dispondrán que cada interesado tendrá derecho a un recurso judicial que obligue a la autoridad de control a dar curso a una reclamación en ausencia de una decisión necesaria para proteger sus derechos, o en caso de que la autoridad de control no informe al interesado en el plazo de tres meses sobre el curso o el resultado de la reclamación con arreglo a lo dispuesto en el artículo 45, apartado 1, letra b).
3. Los Estados miembros dispondrán que las acciones legales contra una autoridad de control deberán ejercitarse antes los órganos jurisdiccionales del Estado miembro en que esté establecida la autoridad de control.
3 bis. Los Estados miembros velarán por que se ejecuten las resoluciones definitivas del órgano jurisdiccional a que se refiere el presente artículo. [Enm. 116]
Artículo 52
Derecho a un recurso judicial contra un responsable o encargado
1. Sin perjuicio de los recursos administrativos disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control, los Estados miembros reconocerán el derecho que asiste a toda persona física a interponer un recurso judicial si considera que sus derechos establecidos en disposiciones adoptadas con arreglo a la presente Directiva han sido vulnerados como consecuencia de un tratamiento de sus datos personales no conforme con esas disposiciones.
1 bis. Los Estados miembros velarán por que se ejecuten las resoluciones definitivas del órgano jurisdiccional a que se refiere el presente artículo. [Enm. 117]
Artículo 53
Normas comunes para los procedimientos judiciales
1. Los Estados miembros reconocerán el derecho que asiste a todo organismo, organización o asociación a que se refiere el artículo 50, apartado 2, a ejercer los derechos contemplados en los artículos 51,y 52 en nombrey 54cuando hayan recibido mandato de uno o más interesados. [Enm. 118]
2. Los Estados miembros dispondrán que las autoridades de control tendrán derecho a litigar y ejercitar acciones ante un órgano jurisdiccional con el fin de garantizar el cumplimiento de las disposiciones adoptadas con arreglo a la presente Directiva o de garantizar la coherencia de la protección de los datos personales en el territorio de la Unión. [Enm. 119]
3. Los Estados miembros velarán por que las acciones jurisdiccionales existentes en virtud de la legislación nacional permitan la rápida adopción de medidas, incluso medidas provisionales, destinadas a poner término a cualquier presunta infracción y a evitar que se produzcan nuevos perjuicios contra los intereses afectados.
Artículo 54
Responsabilidad y derecho a indemnización
1. Los Estados miembros dispondrán que toda persona que haya sufrido un perjuicio, incluido un perjuicio moral, como consecuencia de una operación de tratamiento ilícito o de un acto incompatible con las disposiciones adoptadas con arreglo a la presente Directiva tendrá derecho a recibir del responsable o encargado del tratamiento una indemnización por el perjuicio sufrido. [Enm. 120]
2. En caso de que participen en el tratamiento más de un responsable o encargado, todos los responsables o encargados serán responsables solidarios del importe total de los daños.
3. El responsable o el encargado del tratamiento podrá ser eximido total o parcialmente de dicha responsabilidad si demuestra que no se le puede imputar el hecho que ha provocado el daño.
Artículo 55
Sanciones
Los Estados miembros establecerán las normas sobre las sanciones aplicables a las infracciones de las disposiciones adoptadas con arreglo a la presente Directiva y adoptarán todas las medidas necesarias para garantizar su cumplimiento. Las sanciones establecidas deberán ser efectivas, proporcionadas y disuasorias.
CAPÍTULO VIII BIS
Transferencia de datos personales a terceros
Artículo 55 bis
Transferencia de datos personales a otras autoridades o a particulares en la Unión
1. Los Estados miembros velarán por que el responsable del tratamiento no transmita, ni encargue al encargado del tratamiento de transmitir, datos personales a personas físicas o jurídicas que no estén sujetas a las disposiciones adoptadas en virtud de la presente Directiva, salvo que:
a) la transmisión se ajuste a la legislación de la Unión o de los Estados miembros; y
b) el destinatario esté establecido en un Estado miembro de la Unión; y
c) los legítimos intereses específicos del interesado no impidan la transferencia; y
d) la transmisión responda a la necesidad en un caso concreto de que el responsable transfiera los datos personales para:
i) el desempeño de una tarea que se le haya asignado legalmente; o
ii) la prevención de un peligro inmediato y grave para la seguridad pública; o
iii) la prevención de perjuicios graves para los derechos de las personas.
2. El responsable del tratamiento informará al destinatario sobre el fin con el que podrán tratarse exclusivamente los datos personales.
3. El responsable del tratamiento informará a la autoridad de control sobre tales transferencias.
4. El responsable del tratamiento informará al destinatario sobre las restricciones aplicables al tratamiento y velará por el respeto de tales restricciones. [Enm. 121]
CAPÍTULO IX
ACTOS DELEGADOS Y ACTOS DE EJECUCIÓN
Artículo 56
Ejercicio de la delegación
1. Se otorgan a la Comisión los poderes para adoptar actos delegados otorgados a la Comisión estarán sujetos aen las condiciones establecidas en el presente artículo.
2. La delegación deLos poderes a que se refierepara adoptar actos delegados mencionados enel artículo 25 bis, apartado 7, el artículo 28, apartado 5, yel artículo 34, apartados 3 y 5, se otorgan se atribuirá a la Comisión por un periodo de tiempo indeterminadoindefinido a partir de la fecha de entrada en vigor de la presente Directiva.
3. La delegación de poderes a que se refieremencionada enel artículo 25 bis, apartado 7, el artículo 28, apartado 5, y el artículo 34, apartados 3 y 5, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. La decisión surtirá efecto elal día siguiente al de su publicación en el Diario Oficial de la Unión Europea o en launa fecha posterior que en ella se especifique indicada en la misma. No afectará a la validez de los actos delegados que ya estén en vigor.
4. En cuantoTan pronto como la Comisión adopte un acto delegado, lo notificará simultáneamente al Parlamento Europeo y al Consejo.
5. Todo acto delegado adoptadoLos actos delegados adoptados en virtud del artículo 25 bis, apartado 7, en virtud del artículo 28, apartado 5, entraráy el artículo 34, apartados 3 y 5, entrarán en vigor únicamente en caso de que ni el Parlamento Europeo ni el Consejo hayan manifestado ninguna objeción en un plazo de dosseis meses a partir de ladesde su notificación de dicho acto al Parlamento Europeo y al Consejo, o en caso de que, antes de que expire ese plazo, ni el Parlamento Europeo y ni el Consejo hayan informadoformulan objeciones o si, antes del vencimiento de dicho plazo, tanto el uno como el otro informan a la Comisión de que no formularán ninguna objeción las formularán. El plazo se podrá prorrogar dosprorrogará seis meses a instanciasiniciativa del Parlamento Europeo o del Consejo. [Enm. 122]
Artículo 56 bis
Plazo para la adopción de actos delegados
La Comisión adoptará los actos delegados en virtud del artículo 25 bis, apartado 7, y del artículo 28, apartado 5, antes del [seis meses antes de la fecha a que se refiere el artículo 62, apartado 1]. La Comisión podrá prorrogar el plazo contemplado en el párrafo primero por seis meses. [Enm. 123]
Artículo 57
Procedimiento de Comité
1. La Comisión estará asistida por un Comité. Dicho Comité se entenderá en el sentido del Reglamento (UE) nº 182/2011.
2. Cuando se haga referencia al presente apartado, será de aplicación el artículo 5 del Reglamento (UE) nº 182/2011.
3. Cuando se haga referencia al presente apartado, se aplicará el artículo 8 del Reglamento (UE) nº 182/2011, leído en relación con su artículo 5. [Enm. 124]
CAPÍTULO X
DISPOSICIONES FINALES
Artículo 58
Derogaciones
1. Queda derogada la Decisión Marco 2008/977/JAI.
2. Las referencias a la Decisión Marco derogada a que hace referencia el apartado 1 se entenderán hechas a la presente Directiva.
Artículo 59
Relación con actos de la Unión adoptados anteriormente en el ámbito de la cooperación judicial en materia penal y de la cooperación policial
Las disposiciones específicas relativas a la protección de datos personales en lo que respecta al tratamiento de datos personales por parte de autoridades competentes a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales en actos de la Unión adoptados antes de la fecha de adopción de la presente Directiva que regulen el tratamiento de datos personales entre los Estados miembros y el acceso de autoridades designadas de los Estados miembros a los sistemas de información establecidos con arreglo a lo dispuesto en los Tratados en el ámbito de la presente Directiva no se verán afectadas.
Artículo 60
Relación con acuerdos internacionales celebrados con anterioridad en el ámbito de la cooperación judicial en materia penal y de la cooperación policial
Los acuerdos internacionales celebrados por los Estados miembros con anterioridad a la entrada en vigor de la presente Directiva se modificarán, en caso necesario, en un plazo de cinco años a partir de la entrada en vigor de la presente Directiva.
Artículo 61
Evaluación
1. La Comisión, previa solicitud del dictamen del Consejo Europeo de Protección de Datos, evaluará la aplicación y ejecución de la presente Directiva. Actuará en estrecha cooperación con los Estados miembros, previendo visitas tanto anunciadas como imprevistas. El Parlamento Europeo y el Consejo deberán estar informados durante todo el proceso y tendrán acceso a los documentos pertinentes.
2. La Comisión revisará en un plazo de tresdos años después de la entrada en vigor de la presente Directiva otros actos adoptados por la Unión Europea que regulan el tratamiento de datos personales por parte de las autoridades competentes a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, en particular los actos adoptados por la Unión a que se refiere el artículo 59, a fin de evaluar la necesidad de aproximarlos a las disposiciones de la presente Directiva, y presentará, en su caso, las propuestas necesarias para modificar dichos actos a fin de garantizar un enfoque coherente de la protección de datos personales , y presentará propuestas adecuadas para garantizar la existencia de unas normas jurídicas coherentes y homogéneas relativas al tratamiento de datos personales por parte de las autoridades competentes a efectos de la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penalesen el ámbito de aplicación de la presente Directiva.
2 bis. La Comisión presentará en un plazo de dos años después de la entrada en vigor de la presente Directiva propuestas adecuadas para la revisión del marco jurídico aplicable al tratamiento de datos personales por parte de las instituciones, órganos u organismos de la Unión a efectos de la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, con el fin de garantizar la existencia de unas normas jurídicas coherentes y homogéneas relativas al derecho fundamental a la protección de datos personales en la Unión.
3. La Comisión presentará al Parlamento Europeo y al Consejo informes periódicos sobre la evaluación y revisión de la presente Directiva con arreglo a lo dispuesto en el apartado 1. Los primeros informes se presentarán a más tardar cuatro años después de la entrada en vigor de la presente Directiva. Los siguientes informes se presentarán cada cuatro años. La Comisión presentará, si procede, las propuestas oportunas para modificar la presente Directiva y para adaptar otros instrumentos jurídicos. Dicho informe se hará público. [Enm. 125]
Artículo 62
Implementación
1. Los Estados miembros adoptarán y publicarán, a más tardar el ...(13), las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la presente Directiva. Comunicarán inmediatamente a la Comisión el texto de dichas disposiciones.
Aplicarán dichas disposiciones a partir del ...*.
Cuando los Estados miembros adopten dichas disposiciones, estas harán referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de la mencionada referencia.
2. Los Estados miembros comunicarán a la Comisión el texto de las disposiciones básicas de Derecho interno que adopten en el ámbito regulado por la presente Directiva.
Artículo 63
Entrada en vigor y aplicación
La presente Directiva entrará en vigor el tercer día siguiente al de su publicación en el Diario Oficial de la Unión Europea.
Artículo 64
Destinatarios
Los destinatarios de la presente Directiva serán los Estados miembros.
Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31).
Decisión Marco 2008/977/JAI del Consejo, de 27 de noviembre de 2008, relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal (DO L 350 de 30.12.2008, p. 60).
Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1).
Reglamento (UE) nº 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).
Directiva 2011/92/UE del Parlamento Europeo y del Consejo, de 13 de diciembre de 2011, relativa a la lucha contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil y por la que se sustituye la Decisión marco 2004/68/JAI del Consejo (DO L 335 de 17.12.2011, p. 1).
Resolución legislativa del Parlamento Europeo, de 12 de marzo de 2014, sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la puesta en práctica del Cielo Único Europeo (versión refundida) (COM(2013)0410 – C7-0171/2013 – 2013/0186(COD))
– Vista la propuesta de la Comisión al Parlamento Europeo y al Consejo (COM(2013)0410),
– Vistos el artículo 294, apartado 2, y el artículo 100, apartado 2 del Tratado de Funcionamiento de la Unión Europea, conforme a los cuales la Comisión le ha presentado su propuesta (C7‑0171/2013),
– Visto el artículo 294, apartado 3, del Tratado de Funcionamiento de la Unión Europea,
– Visto el dictamen motivado presentado por la Cámara de Representantes maltesa, de conformidad con lo dispuesto en el Protocolo n° 2 sobre la aplicación de los principios de subsidiariedad y proporcionalidad, en el que se afirma que el proyecto de acto legislativo no respeta el principio de subsidiariedad,
– Visto el dictamen del Comité Económico y Social Europeo de 11 de diciembre de 2013(1),
– Previa consulta al Comité de las Regiones,
– Visto el Acuerdo interinstitucional, de 28 de noviembre de 2001, para un recurso más estructurado a la técnica de la refundición de los actos jurídicos(2),
– Vista la carta dirigida el 28 de noviembre de 2013 por la Comisión de Asuntos Jurídicos a la Comisión de Transportes y Turismo, de conformidad con el artículo 87, apartado 3, de su Reglamento,
– Vistos los artículos 87 y 55 de su Reglamento,
– Visto el informe de la Comisión de Transportes y Turismo (A7-0095/2014),
A. Considerando que, según el grupo consultivo de los Servicios Jurídicos del Parlamento Europeo, del Consejo y de la Comisión, la propuesta en cuestión no contiene ninguna modificación de fondo aparte de las señaladas como tales en la propuesta, y que, en lo que se refiere a la codificación de las disposiciones inalteradas de los actos existentes, la propuesta se limita a una codificación pura y simple de las mismas, sin modificaciones sustanciales;
1. Aprueba la Posición en primera lectura que figura a continuación, teniendo en cuenta las recomendaciones del grupo consultivo de los Servicios Jurídicos del Parlamento Europeo, del Consejo y de la Comisión;
2. Pide a la Comisión que le consulte de nuevo si se propone modificar sustancialmente su propuesta o sustituirla por otro texto;
3. Encarga a su Presidente que transmita la Posición del Parlamento al Consejo y a la Comisión, así como a los Parlamentos nacionales.
Posición del Parlamento Europeo aprobada en primera lectura el 12 de marzo de 2014 con vistas a la adopción del Reglamento (UE) n° …/2014 del Parlamento Europeo y del Consejo relativo a la puesta en práctica del Cielo Único Europeo (versión refundida)
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 100, apartado 2,
Vista la propuesta de la Comisión Europea,
Previa transmisión de la propuesta a los Parlamentos nacionales,
Visto el dictamen del Comité Económico y Social Europeo(3),
Previa consulta al Comité de las Regiones,
De conformidad con el procedimiento legislativo ordinario(4),
Considerando lo siguiente:
(1) El Reglamento (CE) nº 549/2004, de 10 de marzo de 2004, por el que se fija el marco para la creación del Cielo Único Europeo (el Reglamento marco)(5), el Reglamento (CE) nº 550/2004, de 10 de marzo de 2004, relativo a la prestación de servicios de navegación aérea en el cielo único europeo (el Reglamento de prestación de servicios)(6), el Reglamento (CE) nº 551/2004, de 10 de marzo de 2004, relativo a la organización y utilización del espacio aéreo en el cielo único europeo (el Reglamento del espacio aéreo)(7), y el Reglamento (CE) nº 552/2004, de 10 de marzo de 2004, relativo a la interoperabilidad de la red europea de gestión del tránsito aéreo (el Reglamento de interoperabilidad)(8) han sido modificados sustancialmente. Debiéndose llevar a cabo nuevas modificaciones, conviene, en aras de una mayor claridad, proceder a su refundición.
(2) La puesta en práctica de la política común de transportes exige un sistema de transporte aéreo eficaz que permita el funcionamiento seguro y regular de los servicios de transporte aéreo y que facilite por tanto la libre circulación de mercancías, personas y servicios.[Enm. 1]
(3) La adopción por parte del Parlamento Europeo y del Consejo del primer paquete de la legislación relativa al cielo único europeo, es decir, del Reglamento (CE) nº 549/2004, del Reglamento (CE) nº 550/2004, del Reglamento (CE) nº 551/2004, y del Reglamento (CE) nº 552/2004, estableció una sólida base jurídica para un sistema de gestión del tránsito aéreo ininterrumpido, interoperable y seguro. La adopción del segundo paquete, a saber, el Reglamento (CE) nº 1070/2009, supuso el fortalecimiento de la iniciativa del cielo único europeo, ya que introdujo los conceptos de sistema de evaluación del rendimiento y de Gestor de la Red para mejorar los resultados del sistema europeo de gestión del tránsito aéreo.
(4) En el artículo 1 del Convenio de Chicago de 1994 sobre Aviación Civil Internacional, los Estados contratantes reconocen que «todo Estado tiene soberanía plena y exclusiva en el espacio aéreo situado sobre su territorio». En el marco de esta soberanía los Estados miembros de la Unión, con sujeción a lo estipulado en los convenios internacionales aplicables, ejercen las competencias de una autoridad pública al controlar el tránsito aéreo.
(5) La puesta en práctica de la política común de transportes exige un sistema de transporte aéreo eficaz que permita el funcionamiento seguro, regular y sostenible de los servicios de transporte aéreo, que optimice la capacidad y que facilite por tanto la libre circulación de mercancías, personas y servicios.
(5 bis) A fin de evitar que el aumento previsto del tráfico aéreo provoque la congestión del espacio aéreo europeo, o la acentúe, con todos los costes que ello acarrea en términos económicos, medioambientales y de seguridad, conviene poner fin a la fragmentación de dicho espacio y aplicar el presente Reglamento lo antes posible. [Enm. 2]
(5 ter) La aplicación del Cielo Único Europeo debería tener una repercusión positiva en el crecimiento, el empleo y la competitividad de Europa, en particular al estimular la demanda de puestos de trabajo altamente cualificados. [Enm. 3]
(6) La persecución simultánea de los objetivos de incremento del nivel de las normas de seguridad aérea y mejora del rendimiento global de la gestión de tránsito aéreo (GTA) y de los servicios de navegación aérea (SNA) para el tránsito aéreo general en Europa exige que se tenga en cuenta el factor humano. Por consiguiente, los Estados miembros deben estudiarademás de la introducción de principios de «la cultura justa», es preciso integrar los indicadores de rendimiento pertinentes en el sistema de evaluación del rendimiento de los programas del Cielo Único Europeo. [Enm. 4]
(7) Los Estados miembros han aprobado una declaración general sobre los aspectos militares relacionados con el Cielo Único Europeo(9). De conformidad con esta declaración, los Estados miembros deben, en particular, intensificar la cooperación entre los ámbitos civil y militar, y en caso de que lo consideren necesario los Estados miembros interesados, y en la medida en que así lo consideren, facilitar la cooperación entre sus fuerzas armadas en todos los aspectos de la gestión del tránsito aéreo con el fin de facilitar el uso flexible del espacio aéreo. [Enm. 5]
(8) Las decisiones que afectan al contenido, al alcance o a las condiciones de la realización de las operaciones o del entrenamiento militares no son competencia de la Unión de conformidad con el artículo 100, apartado 2, del Tratado de Funcionamiento de la Unión Europea .
(9) Los Estados miembros han reestructurado, en diversa medida, sus proveedores de servicios de navegación aérea nacionales aumentando sus niveles de autonomía y libertad para la prestación de servicios. Es necesario garantizar que exista un mercado común en buenas condiciones de funcionamiento para aquellos servicios que puedan prestarse con arreglo a condiciones de mercado, y que se cumplan unos requisitos mínimos de interés público para aquellos otros que, en las condiciones tecnológicas actuales, se consideran monopolios naturales.
(10) Para garantizar la supervisión coherente y, fiable e independiente de la prestación de servicios en toda Europa, debe garantizarse a las autoridades nacionales de supervisión la independencia suficiente yaviación los recursos necesarios, tanto en términos financieros como de personal. Tal independencia no debe eximir a esas autoridades de ejercer sus tareas dentro de un marco administrativo. [Enm. 6]
(11) Las autoridades nacionales de supervisiónaviación desempeñan un cometido clave en la ejecución de los programas del Cielo Único Europeo. La Comisión y la Agencia Europea para la Aviación (EAA) deben, por consiguiente, debe facilitar la cooperación mutua, incluida la cooperación a nivel regional, ofreciendo una plataforma para estas relaciones, con vistas a facilitar el intercambio de mejores prácticas y el desarrollo de un enfoque común. Tal cooperación debe producirse regularmente. [Enm. 7]
(12) Con objeto de aplicar el Cielo Único Europeo, los interlocutores sociales deben ser mejor informados y consultados sobre todas las medidas que tengan repercusiones sociales importantes. A nivel de la Unión debe igualmente consultarse al Comité de diálogo sectorial establecido sobre la base de la Decisión 98/500/CE(10) de la Comisión. [Enm. 8]
(13) La prestación de servicios de comunicación, navegación, y vigilancia, así como de servicios metereológicos, de diseño del espacio aéreo y de información aeronáutica, debeasí como de servicios de formateo y entrega de datos para el tránsito aéreo general, podría organizarse con arreglo a condiciones de mercado, teniendo en cuenta las características especiales de tales servicios y manteniendo, garantizando un nivel elevado de seguridad y reduciendo las repercusiones climáticas. [Enm. 9]
(14) No debe haber discriminación entre usuarios del espacio aéreo en la prestación de servicios equivalentes de navegación aérea.
(15) El concepto de proyectos comunes destinados a asistir a los usuarios del espacio aéreo o a los proveedores de servicios de navegación aérea con el fin de mejorar las infraestructuras de navegación aérea colectivas, la prestación de servicios de navegación aérea y el uso del espacio aéreo, en particular los proyectos que puedan ser necesarios para la aplicación del Plan Maestro ATM, respaldado por la Decisión 2009/320/CE del Consejo(11), de conformidad con el artículo 1, apartado 2, del Reglamento (CE) nº 219/2007 del Consejo, no incidirá negativamente en proyectos anteriores decididos por uno o varios Estados miembros con objetivos similares. Las disposiciones relativas a la financiación del lanzamiento de proyectos comunes no prejuzgarán la manera de organizar tales proyectos comunes. La Comisión podrá proponer que se utilicen fuentes de financiación, como la Red transeuropea de transporteel Mecanismo «Conectar Europa», Horizonte 2020 o financiación del Banco Europeo de Inversiones, para apoyar proyectos comunes, en particular para agilizar el despliegue del proyecto SESAR, dentro del marco financiero plurianual. Sin perjuicio del acceso a dichas fuentes de financiación, los Estados miembros deben poder decidir cómo deben utilizarse los ingresos generados por la subasta de derechos de emisión del sector aéreo con arreglo al régimen de comercio de derechos de emisión y examinar, en ese contexto, si una parte alícuota de esos ingresos podría utilizarse para financiar proyectos comunes a nivel de bloques funcionales de espacio aéreo. Cuando proceda, los proyectos comunes deben procurar permitir la existencia de un conjunto de capacidades interoperables básicas en todos los Estados miembros. [Enm. 10]
(15 bis) Salvo que se implanten mecanismos específicos, es probable que los proyectos de inversión en funciones embarcadas y de tierra realizados en el marco del Plan Maestro ATM carezcan de coordinación, lo que podría demorar el despliegue efectivo de las tecnologías del SESAR. [Enm. 11]
(16) El concepto de entidad gestora de la red es crucial para mejorar el rendimiento de la gestión del tránsito aéreo, porque centraliza la prestación de determinados servicios que se suministran mejor a nivel de red. Para facilitar la resolución de situaciones de crisis en la aviación, la responsabilidad de la su coordinación de las medidas que hayan de adoptarse para prevenirlas y responder a ellas debe recaer sobre el Gestor de la Red. En este contexto, corresponde a la Comisión garantizar que no surjan conflictos de intereses entre la prestación de servicios centralizados y las funciones del organismo de evaluación del rendimiento. [Enm. 12]
(17) La Comisión está convencida de que una utilización segura y eficaz del espacio aéreo solo podrá lograrse mediante la estrecha cooperación de sus usuarios civiles y militares, basada fundamentalmente en el concepto de utilización flexible del espacio aéreo y en una coordinación civil-militar eficaz según establece la OACI; subraya la importancia de reforzar la cooperación entre los usuarios de carácter civil y militar del espacio aéreo con miras a facilitar el uso flexible del mismo. [Enm. 13]
(18) La exactitud y la puntualidad de la información que se transmita a los controladores civiles y militares sobre el estado del espacio aéreo y las situaciones específicas del tránsito aéreo tienen consecuencias directas en la seguridad y la eficacia de las operaciones y deben mejorar la previsibilidad de estas. El acceso a tiempo a información actualizada sobre el estado del espacio aéreo es vital para todas las partes que deseen servirse de las estructuras del espacio aéreo disponibles, al confeccionar su plan de vuelos o modificarlo. [Enm. 14]
(19) El suministro de información aeronáutica moderna, completa, de alta calidad y a tiempo tiene una importante incidencia en la seguridad y facilita el acceso y la libertad de movimientos en el espacio aéreo comunitario. Teniendo en cuenta el Plan Maestro ATM, la Unión debería tomar la iniciativa de modernizar este sector en cooperación con el Gestor de la Red y garantizar que los usuarios puedan acceder a dichos datos mediante un único punto de acceso público, que proporcione una información integrada, moderna, fácil de usar y validada.
(20) Al objeto de tener en cuenta los cambios introducidos en los Reglamentos (CE) nº 1108/2009 y (CE) nº 1070/2009, es necesario, según dispone el artículo 65 bis del Reglamento (CE) nº 216/2008 del Parlamento Europeo y del Consejo, de 20 de febrero de 2008, sobre normas comunes en el ámbito de la aviación civil y por el que se crea una Agencia Europea de Seguridad Aérea(12), armonizar el contenido del presente Reglamento con el del Reglamento (CE) nº 216/2008.
(21) Por otro lado, deben actualizarse los elementos de carácter técnico de los Reglamentos (CE) nº 549/2004, (CE) nº 550/2004, (CE) nº 551/2004 y (CE) nº 552/2004, acordados en 2004 y 2009, así como introducir correcciones en función de los avances técnicos.
(22) Debe modificarse el ámbito geográfico del presente Reglamento por lo que se refiere a la región NAT de la OACI para dar cuenta de los acuerdos de prestación de servicios vigentes o previstos, así como de la necesidad de garantizar una coherencia en la aplicación de la normativa a los proveedores de servicios de navegación aérea y a los usuarios del espacio aéreo que operan en dicha zona. [Enm. 15]
(23) En consonancia con sus cometidos de organización operativa y con la reforma continuada de Eurocontrol, es preciso que la función del Gestor de la Red siga evolucionando hacia una forma de consorcio del sector.
(24) El concepto de bloques funcionales de espacio aéreo, concebidos para reforzar la cooperación entre los proveedores de servicios de tránsito aéreo, es una herramienta valiosa para mejorar el rendimiento del sistema europeo de gestión del tránsito aéreo. Con el fin de perfeccionarcomplementar esta herramienta, los bloques funcionales de espacio aéreoproveedores de servicios de navegación aérea deben centrarse más en el rendimiento sobre la base de la constitución dedisponer de entera libertad para constituir consorcios del sector; este último debe contar con más margen para modificarlos al objeto de alcanzar y, si fuera posible, superar, los objetivos de rendimientobasados en el rendimiento, que podrán solaparse con los bloques funcionales de espacio aéreo establecidos. [Enm. 16]
(25) Los bloques funcionales de espacio aéreo deben funcionar de forma flexible y reunir a los proveedores de servicios de toda Europa para que puedan aprender de los aciertos de los demás. Esta flexibilidad permitiría lograr efectos sinérgicos entre los proveedores, independientemente de su situación geográfica o nacionalidad, y daría lugar a distintos formatos de prestación de servicios tendentes a una mejora del rendimiento.
(26) Con el fin de que los proveedores de servicios de navegación aérea organicen más sus actividades en función de sus clientes, así como de fomentar el influjo de los usuarios del espacio aéreo en la toma de decisiones que les afectan, es preciso que la participaciónconsulta de las partes interesadas en las principales decisiones de carácter operativo adoptadas por los proveedores de servicios de navegación aérea sea más efectiva. [Enm. 17]
(27) El sistema de evaluación del rendimiento es un instrumento crucial para la regulación económica de la gestión del tránsito aéreo; la calidad e independencia de sus decisiones debe mantenerse y, en la medida de lo posible, mejorarse.
(28) Al objeto de tener en cuenta la evolución técnica u operativa, en particular por lo que respecta a la modificación de anexos o la adición de disposiciones en materia de gestión de la red, laevaluación del rendimiento,la selección de la entidad responsable de ejecutar las bases del Plan Maestro ATM (la gestora del despliegue) y la definición de responsabilidades, conviene delegar en la Comisión poderes para adoptar actos de conformidad con el artículo 290 del Tratado de Funcionamiento de la Unión Europea. El contenido y alcance de cada delegación se establece en detalle en los artículos en cuestión. Es especialmente importante que la Comisión celebre las consultas apropiadas, incluso a nivel de expertos, durante los trabajos preparatorios. Al preparar y redactar los actos delegados, la Comisión debe garantizar la transmisión simultánea, oportuna y apropiada de los documentos pertinentes al Parlamento Europeo y al Consejo. [Enm. 18]
(29) Para ampliar la lista de los servicios de gestión de la red, la Comisión debe proceder a la correspondiente consulta de las partes interesadas y los interlocutores sociales. [Enm. 19]
(30) Con el fin de alcanzar unas condiciones uniformes en la aplicación del presente Reglamento, en particular por lo que se refiere al ejercicio de las competencias de las autoridades nacionales de supervisiónaviación, la prestación de servicios de apoyo con carácter exclusivo por un proveedor de servicios o una agrupación de estos, las medidas correctoras para garantizar el cumplimiento de los objetivos de rendimiento a escala de la Unión y de los objetivos asociados a nivel local, la revisión del cumplimiento del sistema de tarificación, la gobernanza y la adopción de proyectos comunes para funciones relacionadas con las redes, los bloques funcionales de espacio aéreo, las formas de participación de las partes interesadas en las principales decisiones de carácter operativo de los proveedores de servicios de navegación aérea, el acceso a los datos y la protección de los mismos, la información aeronáutica electrónica, el desarrollo tecnológico y la interoperabilidad de la gestión del tránsito aéreo, deben otorgarse a la Comisión competencias de ejecución. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) nº 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión(13). [Enm. 20]
(31) De conformidad con el Reglamento (UE) nº 182/2011, en el marco del presente Reglamento debe seguirse el procedimiento de examen para la adopción de actos de ejecución de alcance general.
(32) Para la adopción de actos de ejecución de carácter específico debe seguirse el procedimiento consultivo.
(33) Las sanciones previstas en caso de infracción del presente Reglamento deben ser efectivas, proporcionadas y disuasorias, sin disminución de la seguridad.
(34) Cuando sea pertinente, la contratación de los servicios de apoyo debe efectuarse, según proceda, de conformidad con la Directiva 2004/18/CE del Parlamento Europeo y del Consejo, de 31 de marzo de 2004, sobre coordinación de los procedimientos de adjudicación de los contratos públicos de obras, de suministro y de servicios(14), y con la Directiva 2004/17/CE del Parlamento Europeo y del Consejo, de 31 de marzo de 2004, sobre la coordinación de los procedimientos de adjudicación de contratos en los sectores del agua, de la energía, de los transportes y de los servicios postales(15). También deberán tenerse en cuenta las directrices establecidas en la Comunicación interpretativa de la Comisión sobre el Derecho comunitario aplicable en la adjudicación de contratos no cubiertos o solo parcialmente cubiertos por las Directivas sobre contratación pública(16), según proceda. [Enm. 21]
(35) La Declaración ministerial sobre el aeropuerto de Gibraltar, adoptada en Córdoba el 18 de septiembre de 2006 («la Declaración Ministerial»), en el transcurso de la primera reunión ministerial del Foro de diálogo sobre Gibraltar, sustituirá a laEl 2 de diciembre de 1987, el Reino de España y el Reino Unido acordaron en Londres un régimen para reforzar la cooperación en relación con el uso del aeropuerto de Gibraltar en una Declaración conjunta sobre el aeropuerto de Gibraltar adoptada en Londres el 2 de diciembre de 1987, y se considerará que el pleno respeto de dicha Declaración equivaldrá al cumplimiento de lo establecido en la Declaración de 1987de los Ministros de Asuntos Exteriores de ambos países. Dicho régimen no ha comenzado aún a aplicarse. [Enm. 22]
(36) El presente Reglamento será de plena aplicación al aeropuerto de Gibraltar en el marco y en virtud de la Declaración Ministerial. Sin perjuicio de la Declaración Ministerial, su aplicación al aeropuerto de Gibraltar así como todas las medidas relacionadas con su ejecución deben ser plenamente conformes con dicha Declaración y con todas sus disposiciones. [Enm. 23]
(37) Dado que el objetivo del presente Reglamento, a saber, la puesta en práctica del Cielo Único Europeo, no puede ser alcanzado de manera suficiente por los Estados miembros y, por consiguiente, debido a su dimensión transnacional, puede lograrse mejor en el ámbito de la Unión, la esta puede adoptar medidas de acuerdo con el principio de subsidiariedad consagrado en el artículo 5 del Tratado. De conformidad con el principio de proporcionalidad enunciado en dicho artículo, el presente Reglamento no excede de lo necesario para alcanzar este objetivo.
HAN ADOPTADO EL PRESENTE REGLAMENTO:
CAPÍTULO I
DISPOSICIONES GENERALES
Artículo 1
Objeto y ámbito de aplicación
1. El presente Reglamento establece normas tendentes a la creación y el correcto funcionamiento del Cielo Único Europeo al objeto de garantizar el cumplimiento de las actuales normas de seguridad del tránsito aéreo, contribuir al desarrollo sostenible del sistema de transporte aéreo, por ejemplo reduciendo las repercusiones climáticas, y mejorar el rendimiento global de la gestión del tránsito aéreo (GTA) y de los servicios de navegación aérea (SNA) para el tránsito aéreo general en Europa, con el fin de responder a las necesidades de todos los usuarios del espacio aéreo. El Cielo Único Europeo comprenderá una red coherente de rutas paneuropea y, con arreglo a disposiciones específicas pactadas con los países vecinos, hacia terceros países, un espacio aéreo operativo integrado, y unos sistemas de gestiónunadeuna gestión de la red y del tránsito aéreo basadosbasados únicamente en consideraciones de seguridad, eficiencia e interoperabilidad en beneficio de todos los usuarios del espacio aéreo. [Enm. 24]
2. El presente Reglamento se aplicará sin perjuicio de la soberanía de los Estados miembros sobre su espacio aéreo y de las necesidades de los Estados miembros en lo que respecta al orden público, la seguridad pública y los asuntos de defensa, como establece el artículo 38 . El presente Reglamento no incluye las operaciones y entrenamiento militares.
3. El presente Reglamento se aplicará sin perjuicio de los derechos y obligaciones de los Estados miembros que se derivan del Convenio de Chicago de 1944 sobre Aviación Civil Internacional («el Convenio de Chicago»). En este contexto, el presente Reglamento se propone, en los ámbitos a los que se aplica, asistir a los Estados miembros en el cumplimiento de sus obligaciones en virtud del Convenio de Chicago, facilitando una base de interpretación común y una aplicación uniforme de sus disposiciones, y garantizando que éstas se tienen debidamente en cuenta en el presente Reglamento y en las normas elaboradas para su aplicación.
4. Sin perjuicio de lo dispuesto en el artículo 10, El presente Reglamento se aplicará al espacio aéreo incluido en las regiones EUR,y AFI y NAT de la OACI en el que los Estados miembros son responsables de la prestación de los servicios de tránsito aéreo de conformidad con el presente Reglamento de. Los Estados miembros también podrán aplicar el presente Reglamento al espacio aéreo bajo su responsabilidad en el ámbito de otras regiones de la OACI, a condición de que informen de ello a la Comisión y a los demás Estados miembros. [Enm. 25]
5. La aplicación del presente Reglamento al aeropuerto de Gibraltar se entiende sin perjuicio de las respectivas posiciones jurídicas del Reino de España y del Reino Unido de Gran Bretaña e Irlanda del Norte en lo que respecta al litigio de a la controversia respecto a la soberanía sobre el territorio en que está situado el aeropuerto. [Enm. 26]
5 bis. La aplicación del presente Reglamento al aeropuerto de Gibraltar quedará suspendida hasta que comience la aplicación del régimen establecido en la Declaración conjunta de los Ministros de Asuntos Exteriores del Reino de España y del Reino Unido de 2 de diciembre de 1987. Los Gobiernos del Reino de España y del Reino Unido informarán en este sentido al Consejo sobre dicha fecha. [Enm. 27]
Artículo 2
Definiciones
A los efectos del presente Reglamento , serán de aplicación las definiciones siguientes:
1. servicio de control del tránsito aéreo: un servicio suministrado con el fin de:
a) prevenir colisiones
— entre aeronaves, y
— en el área de maniobras, entre aeronaves y obstáculos, y de
b) acelerar y mantener ordenado el movimiento del tránsito aéreo;
2. servicio de control de aeródromo: un servicio de control del tránsito aéreo para el tránsito de aeródromo;
3. servicio de información aeronáutica: un servicio establecido en la zona de cobertura definida que tiene la responsabilidad de proveer la información y datos aeronáuticos necesarios para la seguridad, regularidad y eficiencia de la navegación aérea;
4. servicios de navegación aérea: los servicios de tránsito aéreo, los servicios de comunicación, navegación y vigilancia, los servicios meteorológicos destinados a la navegación aérea y los servicios de información aeronáutica;
5. proveedores de servicios de navegación aérea: cualquier entidad pública o privada encargada de la prestación de servicios de navegación aérea para la circulación aérea general;
6. bloque de espacio aéreo: un espacio aéreo de dimensiones definidas, espacial y temporalmente, en el que se prestan servicios de navegación aérea;
7. gestión del espacio aéreo: el servicio de planificación con el objetivo principal de aprovechamiento máximo del espacio aéreo disponible mediante un sistema dinámico de reparto del tiempo y, en ocasiones, la segregación del espacio aéreo entre diversas categorías de usuarios del espacio aéreo, sobre la base de necesidades a corto plazo y de una función estratégica asociada al diseño del espacio aéreo; [Enm. 28]
8. usuarios del espacio aéreo: los operadores de aeronaves operadas como tránsito aéreo general;
9. gestión de afluencia del tránsito aéreo: un servicio establecido con el objetivo de contribuir a un flujo seguro, ordenado y rápido del tránsito aéreo, asegurando que se utiliza al máximo posible la capacidad del control del tránsito aéreo, y que el volumen del tránsito aéreo es compatible con las capacidades declaradas por los correspondientes proveedores de servicios de tránsito aéreo;
10. gestión del tránsito aéreo (GTA): la agrupación de los servicios embarcados y de tierra (servicios de tránsito aéreo, gestión del espacio aéreo y gestión de afluencia del tránsito aéreo) necesarias para garantizar un movimiento seguro y eficaz de las aeronaves en todas las fases de la operación;
11. servicios de tránsito aéreo: todos los servicios de información de vuelo, de alerta, de asesoramiento de tránsito aéreo y de control del tránsito aéreo (servicios de control de zona, servicios de control de aproximación y servicios de control de aeródromo);
12. servicio de control de área: un servicio de control del tránsito aéreo de los vuelos controlados en un bloque de espacio aéreoárea de control; [Enm. 29]
13. servicio de control de aproximación: un servicio de control del tránsito aéreo para las llegadas y salidas de vuelos controlados;
14. Plan Maestro ATM: el plan refrendado por la Decisión 2009/320/CE del Consejo(17), de conformidad con el artículo 1, apartado 2, del Reglamento (CE) nº 219/2007 del Consejo, de 27 de febrero de 2007, relativo a la constitución de una empresa común para la realización del sistema europeo de nueva generación para la gestión del tránsito aéreo (SESAR)(18);
15. situación de crisis en la aviación: circunstancias en las que la capacidad del espacio aéreo se reduce de forma anormal como resultado de condiciones climáticas adversas o de la indisponibilidad de secciones importantes de espacio aéreo, bien por razones naturales, médicas, de seguridad, militares o políticas; [Enm. 30]
16. conjunto de servicios: dos o más servicios de navegación aéreaprestados por la misma entidad; [Enm. 31]
17. certificado: el documento expedido por la Agencia de la Unión Europea para la Aviación (EAA)o una autoridad nacional de supervisiónaviación, en la forma que disponga su legislación nacionalpertinente, que certifica la idoneidad de un proveedor de servicios de navegación aérea para prestar un servicio determinadouna actividad determinada; [Enm. 32]
18. servicios de comunicación: los servicios aeronáuticos fijos y móviles destinados a permitir las comunicaciones tierra-tierra, aire-tierra y aire-aire con fines de control del tránsito aéreo;
18 bis. Red Europea de Gestión del Tráfico Aéreo: una red paneuropea de sistemas y componentes, además de hojas de ruta para los cambios operativos y tecnológicos esenciales descritos en el Plan Maestro ATM, que hace posible ofrecer servicios de navegación aérea plenamente interoperables en la Unión, incluidas las interfaces en las fronteras con terceros países, con miras a conseguir los objetivos de rendimiento establecidos en virtud del presente Reglamento; [Enm. 33]
19. componentes: los objetos tangibles (como soportes físicos informáticos) e intangibles (como los programas informáticos) de los que depende la interoperabilidad de la Red Europea de Gestión del Tránsito Aéreo;
19 bis. Gestor del Despliegue: un grupo de partes interesadas desde el punto de vista operativo, seleccionadas por la Comisión mediante una convocatoria de propuestas, que actúa en calidad de responsable del nivel de gestión de la gobernanza del despliegue del Plan Maestro ATM; [Enm. 35]
20. declaración: a efectos de la gestión del tráfico aéreo y de los servicios de navegación aérea, toda declaración por escrito:
— acerca de la conformidad o la idoneidad para el uso de sistemas y componentes proporcionados por una organización dedicada al diseño, la producción y el mantenimiento de sistemas y componentes de la gestión del tráfico aéreo o los servicios de navegación aérea;
— acerca del cumplimiento de los requisitos que debe cumplir un servicio o sistema para entrar en funcionamiento, realizada por un proveedor de servicios;
— acerca de la capacidad y los medios necesarios para el cumplimiento de las obligaciones asociadas a determinados servicios de información de vuelo;
21. utilización flexible del espacio aéreo: el concepto de gestión del espacio aéreo aplicado en la zona de la Conferencia Europea de Aviación Civil, de acuerdo con el Manual de gestión del espacio aéreo para la aplicación del concepto de uso flexible del espacio aéreo publicado por la Organización Europea para la Seguridad de la Navegación Aérea (Eurocontrol)(19);
22. servicio de información de vuelo: servicio consistente en dar asesoramiento e información que resulten útiles para la operación de vuelos de manera segura y eficiente;
23. servicio de alerta: servicio consistente en notificar a las organizaciones pertinentes información relacionada con un avión que requiera un servicio de búsqueda y salvamento, así como en asistir a dichas organizaciones cuando proceda;
24. bloque funcional de espacio aéreo: un bloque de espacio aéreo basado en exigencias operativas y establecido con independencia de las fronteras existentes, donde la prestación de servicios de navegación aérea y las funciones conexas estén basadas en exigencias de rendimiento y optimizadas con vistas a introducir, en cada bloque funcional de espacio aéreo,mediante una cooperación reforzada entre proveedores de servicios de navegación aérea o, cuando proceda, un proveedor integrado; [Enm. 36]
25. tráfico aéreo general: el conjunto de movimientos de las aeronaves civiles, así como el conjunto de movimientos de las aeronaves de Estado (incluidas las aeronaves militares, de aduana y de policía), cuando dichos movimientos se realizan de conformidad con los procedimientos de la Organización de Aviación Civil Internacional, instituida por el Convenio de Chicago de 1944 sobre Aviación Civil Internacional;
25 bis. factor humano: las condiciones sociales, culturales y de dotación de personal del sector de la gestión del tráfico aéreo; [Enm. 37]
26. interoperabilidad: un conjunto de propiedades funcionales, técnicas y operativas que deben cumplir los sistemas y componentes de la red europea de gestión del tráfico aéreo y los procedimientos para el funcionamiento de ésta, con el fin de garantizar su funcionamiento seguro, eficiente y continuo. La interoperabilidad se consigue haciendo que los sistemas y componentes cumplan los requisitos esenciales;
27. servicios meteorológicos: las instalaciones y servicios que proporcionan a las aeronaves pronósticos, informes y observaciones meteorológicos, así como cualquier otra información y datos meteorológicos facilitados por los Estados para uso aeronáutico;
28. servicios de navegación: las instalaciones y servicios que suministran a las aeronaves información sobre posicionamiento en el espacio o en el tiempo;
29. datos operativos: la información relativa a todas las fases de vuelo necesaria para que los proveedores de servicios de navegación aérea, los usuarios del espacio aéreo, los operadores de aeropuertos y otros agentes interesados tomen decisiones operativas;
30. puesta en servicio: el primer uso operativo de un sistema después de su instalación inicial o de su mejora;
31. red de rutas: la red de rutas especificadas que canaliza el flujo del tráfico aéreo general en la medida necesaria para prestar los servicios de control del tráfico aéreo con la mayor eficiencia posible; [Enm. 38]
32. servicios de vigilancia: las instalaciones y servicios utilizados para determinar las posiciones respectivas de las aeronaves con el fin de establecer una separación segura;
33. sistema: engloba los componentes de tierra y/o los embarcados, así comoy/o los equipos espaciales, que prestan apoyo a los servicios de navegación aérea en todas las fases de vuelo; [Enm. 39]
34. mejora: cualquier modificación que altere las características operativas de un sistema.
35. servicios transfronterizos: cualquier situación en la que los servicios de navegación aérea sean prestados en un Estado miembro por un proveedor de servicios certificado en otro Estado miembro;
36. autoridad nacional de supervisión: elaviación: un organismo u organismos nacionales a losnacionalacreditado por la EAAal que un Estado miembro ha confiado las tareas de supervisión contempladas en el presente Reglamento y las autoridades nacionales competentes encargadas de los cometidos a que se refiere el artículo 8 ter delen el Reglamento (CE) nº 216/2008; [Enm. 40]
37. servicios de apoyo: los servicios de comunicación, navegación aérea distintos de los servicios de gestión del tráfico aéreoy vigilancia, meteorológicos y de información aeronáutica, así como otros servicios y actividades que respalden o tengan relación con la prestación de servicios de navegación aérea; [Enm. 41]
38. objetivos de rendimiento a nivel local: objetivos de rendimiento fijados por los Estados miembros a nivel local, a saber, para los bloques funcionales de espacio aéreo, el nivel nacional, las zonas de tarificación y los aeropuertos.
38 bis. asociación industrial: disposiciones cooperativas establecidas en virtud de un contrato con el objetivo de mejorar la gestión del tráfico aéreo entre varios proveedores de servicios de navegación aérea, incluidos el Gestor de la Red, los usuarios del espacio aéreo, los aeropuertos u otros agentes económicos comparables; [Enm. 42]
38 ter. espacio aéreo operativo integrado: el espacio aéreo controlado de dimensiones determinadas y que abarca el espacio aéreo europeo y, con arreglo a disposiciones adecuadas, el espacio aéreo de países terceros vecinos, y en el que se emplean estructuras de asignación y reparto del tiempo dinámicos, recursos de control de alto rendimiento, servicios de navegación aérea plenamente interoperables y soluciones combinadas, para conseguir una utilización óptima, predecible y segura del espacio aéreo con miras a la realización del Cielo Único Europeo; [Enm. 43]
38 quater. planes de rendimiento al nivel local: planes establecidos por una o varias autoridades nacionales de aviación al nivel local, es decir, al nivel de los bloques funcionales de espacio aéreo, al nivel regional o al nivel nacional; [Enm. 44]
38 quinquies. organismo cualificado: un organismo al que la Agencia o una autoridad nacional de aviación, bajo su control y responsabilidad, puedan atribuirle tareas específicas de certificación o supervisión; [Enm. 45]
CAPÍTULO II
AUTORIDADES NACIONALES
Artículo 3
Autoridades nacionales de supervisiónaviación [Enm. 46]
1. Los Estados miembros designarán o crearán, conjunta o individualmente, uno o varios órganosun órgano que actuaránactuará en calidad de autoridad nacional de supervisiónaviación y asumirán las funciones que les atribuya el presente Reglamento y el Reglamento (CE) nº 216/2008. [Enm. 47]
2. Las autoridades nacionales de supervisiónaviación serán entidades jurícamentejurídicamente distintas e independientes en lo relativo, en particular, a la organización, la jerarquía y la toma de decisiones, incluida la dotación presupuestaria anual separada, de los proveedores de servicios de navegación aérea o de cualquier entidad privada o públicaempresa, organización pública o privada o conjunto de personal incluidos en el ámbito de actividad de las autoridades con arreglo a lo previsto en el artículo 1 del Reglamento (CE) nº 216/2008 con intereses en las actividades de tales proveedoresentidades. [Enm. 48]
3. Sin perjuicio de lo dispuesto en el apartado 2, las autoridades nacionales de supervisiónaviación podrán asociarse desde el punto de visto organizativo con otros organismos reguladores o autoridades encargadas de la seguridad. [Enm. 49]
4. Las autoridades nacionales de supervisión que,aviación velarán por el cumplimiento de las disposiciones del presente artículo en la fecha de entrada en vigor del presente Reglamento, no sean jurídicamente independientes de los proveedores de servicios de navegación aérea o de cualquier entidad privada o pública con intereses en las actividades de tales proveedores, según lo dispuesto en el apartado 2, deberán cumplir este requisito a más tardar el 1 de enero de 20202017. [Enm. 50]
5. Las autoridades nacionales de supervisiónaviación ejercerán sus competencias de manera imparcial, independiente y transparente. En particular, la organización, la contratación de personal, la gestión y la financiación les permitirán ejercer sus competencias de dicha manera. [Enm. 51]
6. El personal de las autoridades nacionales de supervisiónaviación: [Enm. 52]
a) será contratado con arreglo a normas clarasy criterios claros y transparentes que garanticen su independencia; las personas encargadas de adoptar decisiones estratégicas serán designadas por el Consejo de Ministros u otra autoridad pública que no controle directamente ni reciba beneficio alguno de los proveedores de servicios de navegación aérea; [Enm. 53]
b) será seleccionado con arreglo a un procedimiento transparente y sobre la base de sus cualificaciones específicas, tales como competencias y experiencia adecuadas en ámbitos como, por ejemplo, la auditoría de los servicios y sistemas de navegación aérea; [Enm. 54]
b bis) no será enviado en comisión de servicios por proveedores de servicios de navegación aérea ni por empresas controladas por tales proveedores; [Enm. 55]
c) actuará con independencia, en particular, de los intereses de los proveedores de servicios de navegación aérea y, en el desempeño de sus funciones como autoridad nacional de supervisiónaviación, no procurarán ni atenderán a instrucciones de ningún gobierno o entidad pública o privada, sin perjuicio de una estrecha cooperación con otras autoridades nacionales competentes; [Enm. 56]
d) las personas encargadas de adoptar decisiones estratégicas deberán hacer una declaración anual de compromiso y de intereses, señalando en ella cualquier interés directo o indirecto que pudiera considerarse perjudicial para su independencia y que pudiera influir en el desempeño de sus funciones; y
e) las personas que hayan estado encargadas de adoptar decisiones estratégicas, realizar auditorías o desempeñar otras funciones directamente relacionadas con la supervisión de los objetivos de rendimiento de los proveedores de servicios de navegación aérea durante más de seis meses, no deberán ocupar, una vez terminado su mandato como autoridad nacional de supervisiónde aviación, cargos o responsabilidades en ningún servicio de navegación aérea durante un periodo de al menos un año.: [Enm. 57]
i) al menos doce meses para el personal que ocupe puestos directivos; [Enm. 58]
ii) al menos seis meses para el personal que no ocupe puestos directivos; [Enm. 59]
e bis) los altos cargos de la autoridad se nombrarán para un período fijo de entre tres y siete años, renovable una sola vez, y únicamente podrán ser destituidos durante su mandato cuando ya no cumplan las condiciones establecidas en el presente artículo o cuando hayan sido declarados culpables de falta grave en virtud de la legislación nacional. [Enm. 60]
7. Los Estados miembros velarán por que las autoridades nacionales de supervisiónaviación dispongan de los recursos y capacidades necesarios para llevar a cabo de manera eficiente y oportuna las tareas que les asigna el presente Reglamento. Las autoridades nacionales de supervisiónaviación tendrán plenos poderes respecto a la contratación y gestión de su personal, sobre la base de los créditos propios que constituyan a partir, por ejemplo, de las tasas de ruta, que se fijarán proporcionalmente a las tareas que desempeñe la autoridad según lo establecido en el artículo 4. [Enm. 61]
8. Los Estados miembros comunicarán a la Comisión los nombres y direcciones de las autoridades nacionales de supervisiónaviación, así como cualquier cambio a este respecto, y las medidas adoptadas para garantizar el cumplimiento del presente artículo. [Enm. 62]
9. La Comisión establecerá regulará de forma pormenorizada los procedimientos de selección y contratación a efectos de lo dispuesto en el apartado 6, letras a) y b). Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 27, apartado 3, y especificarán. [Enm. 63]
a) el nivel de separación exigido por la autoridad facultada para proceder a los nombramientos de empresas, organizaciones, entidades pública o privada o personal que entren dentro del ámbito de actividad de la autoridad tal como establece el artículo 1 del Reglamento (CE) nº 216/2008 o que tengan un interés en las actividades que realizan dichas entidades, con vistas a mantener un equilibrio entre la prevención de conflictos de intereses y la eficiencia administrativa; [Enm. 64]
b) cualificación técnica exigida al personal que interviene en las auditorías. [Enm. 65]
Artículo 4
Funciones de las autoridades nacionales de supervisiónaviación [Enm. 66]
1. Las autoridades nacionales de supervisión a las que se refiere el artículo 3aviación se encargarán, en particular, de las siguientes tareas: [Enm. 67]
a) garantizarán la supervisión de la aplicación del presente Reglamento y del Reglamento (CE) nº 216/2008, en particular por lo que respecta a la actividad segura y eficiente de los proveedores de servicios de navegación aérea que prestan servicios en relación al espacio aéreo que se halla bajo responsabilidad del Estado miembro que designó o creó la autoridad correspondiente; [Enm. 68]
b) expedirán certificados para los proveedores de servicios de navegación aérea de conformidad con el artículo 8 terla realización o la delegación, total o parcial, de las tareas que se enumeran en los artículos 8 ter, 8 quater y 10 del Reglamento (CE) nº 216/2008 y supervisarán el cumplimiento de las condiciones aplicables a tal expediciónla realización de la tarea de garantizar la supervisión de la aplicación del presente Reglamento, en particular en lo que respecta a la seguridad y la eficiencia de las operaciones efectuadas por los prestadores de servicios de navegación aérea relativos al espacio aéreo que entren dentro del ámbito de responsabilidad de los Estados miembros; [Enm. 69]
c) expedirán licencias, certificados, habilitaciones y credenciales y certificados para los controladores de tráfico aéreo de conformidad con el artículo 8 quater del Reglamento (CE) nº 216/2008 y supervisarán el cumplimiento de las condiciones aplicables a tal expedición; [Enm. 70]
d) elaborarán planes de rendimiento y controlarán su aplicación de conformidad con el artículo 11;
e) supervisarán la aplicación del sistema de tarificación de conformidad con los artículos 12 y 13, incluido lo dispuesto sobre las subvenciones cruzadas en el artículo 13, apartado 7; [Enm. 71]
f) aprobarán las condiciones de acceso a los datos operativos de conformidad con el artículo 22; y
g) supervisarán las declaraciones y la puesta en servicio de los sistemas.
g bis) informar anualmente de sus actividades y del desempeño de sus funciones a las autoridades correspondientes de los Estados miembros, la EAA y la Comisión; este informe cubrirá las medidas tomadas y los resultados obtenidos en cuanto a las funciones enumeradas en el presente artículo. [Enm. 72]
2. Cada autoridad nacional de supervisiónaviación organizará las inspecciones y los estudios adecuados con el fin de verificar el cumplimiento de los requisitos del presente Reglamento. El proveedor de servicios de navegación aérea de que se trate facilitará dicha tarea y el Estado miembro pertinente prestará toda la asistencia necesaria para garantizar la eficacia del seguimiento del cumplimiento. [Enm. 73]
Artículo 5
Cooperación entre autoridades nacionales de supervisiónaviación [Enm. 74]
1. Las autoridades nacionales de supervisiónaviación intercambiarán información sobre su trabajo y sobre los principios, prácticas y procedimientos de toma de decisiones, así como sobre la aplicación del Derecho de la Unión. Cooperarán a efectos de la coordinación de la toma de decisiones en toda la Unión. Las autoridades nacionales de supervisiónaviación participarán y trabajarán conjuntamente en una red que celebrará encuentros a intervalos regulares que tendrán lugar, al menos, una vez al año. La Comisión y la Agencia de la Unión Europea para la Aviación (denominada en lo sucesivo «EAA») serán miembros de esa red y la coordinarán, respaldarán y asesorarán, según proceda. La Comisión y la EAA facilitarán la cooperación activa entre las autoridades nacionales de supervisiónaviación, así como el intercambio y utilización de sus respectivas plantillas de personal, sobre la base de una reserva de expertos constituida por la EAA de conformidad con lo dispuesto en el artículo 17, apartado 2, letra f), del Reglamento (CE) nº 216/2008.
La citada red podrá, entre otras cosas:
a) elaborar y difundir metodologías y orientaciones simplificadas para guiar a las autoridades en el desempeño de las funciones enumeradas en el artículo 4;
b) prestar asistencia individual sobre cuestiones de regulación a las distintas autoridades nacionales de aviación;
c) facilitar dictámenes a la Comisión y la EAA sobre reglamentación y certificación;
d) emitir dictámenes, orientaciones y recomendaciones con miras a facilitar la prestación de servicios transfronterizos;
e) desarrollar soluciones comunes susceptibles de aplicación en dos o más Estados con vistas a lograr los objetivos del Plan Maestro ATM o del Convenio de Chicago. [Enm. 75]
Sin perjuicio de las disposiciones en materia de protección de datos del artículo 22 del presente Reglamento y del Reglamento (CE) nº 45/2001, la Comisión respaldaráproporcionará una plataforma para el intercambio de información entre los miembros de la red de la información a que se refieren los párrafos primero y segundo del presente apartado, posiblemente por medios electrónicos, sin dejar de respetar la confidencialidad de los secretos comerciales de los proveedores de servicios de navegación aérealas empresas, organizaciones o entidades participantes. [Enm. 76]
2. Las autoridades nacionales de supervisiónaviación cooperarán estrechamente, por ejemplo mediante acuerdos de trabajo, con fines de asistencia mutua en sus tareas de supervisión y tratamiento de estudios e investigaciones. [Enm. 77]
3. Por lo que respecta a los bloques funcionales de espacio aéreo bajo responsabilidad de más de un Estado miembro, los Estados miembros implicados celebrarán un acuerdo sobre la supervisión establecida en el presente artículoartículo 4 respecto de los proveedores de servicios de navegación aérea que presten servicios relativos a dichos bloques. Las autoridades nacionales de supervisiónaviación en cuestión establecerán un plan que determine las distintas formas de cooperación a efectos de poner en práctica el citado acuerdo. [Enm. 78]
4. Las autoridades nacionales de supervisiónaviación cooperarán estrechamente a fin de garantizar una supervisión adecuada de los proveedores de servicios de navegación aérea que estén en posesión de un certificado válido de un Estado miembro y que también presten servicios respecto de un espacio aéreo que se halla bajo responsabilidad de otro Estado miembro. Esa cooperación incluirá acuerdos sobre el tratamiento de los casos en los que no se cumplan el presente Reglamento o los requisitos comunes aplicables adoptados de acuerdo con el artículo 8 ter, apartado 1, del Reglamento (CE) nº 216/2008. [Enm. 79]
5. En el caso de la prestación de servicios de navegación aérea en un espacio aéreo que se halla bajo la responsabilidad de otro Estado miembro, los acuerdos contemplados en los apartados 2, 3 y 4 incluirán un acuerdo sobre el reconocimiento mutuo de las tareas de supervisión contempladas en el artículo 4, apartados 1 y 2 y los resultados de las mismas. El reconocimiento mutuo se aplicará igualmente cuando las autoridades nacionales de supervisión celebren acuerdos de reconocimiento para los procesos de certificación de los proveedores de servicios. [Enm. 80]
6. Cuando la legislación nacional lo permita y con miras a favorecer la cooperación regional, las autoridades nacionales de supervisiónaviación podrán celebrar asimismo acuerdos relativos al reparto de las responsabilidades de las tareas de supervisión. [Enm. 81]
Artículo 6
Entidades cualificadas
1. La EAA y las autoridades nacionales de supervisiónaviación podrán decidir la delegación total o parcial de las inspecciones, estudios mencionados en el artículo 4, apartado 2,y otras tareas contempladas en el presente Reglamento en entidades cualificadas que cumplan los requisitos establecidos en el anexo I. [Enm. 82]
2. La delegación otorgada por una autoridad nacional de supervisión será válida en la Unión por un período renovable de tres años. La EAA y las autoridades nacionales de supervisiónaviación podrán encomendar a cualquiera de las entidades cualificadas ubicadas en la Unión las tareas de inspección y supervisión. [Enm. 83]
3. Los Estados miembrosLa EAA y las autoridades nacionales de aviación notificarán a la Comisión, a la EAA y a los demás Estados miembros y, en su caso, a la EAA, las entidades cualificadas a las que han delegado los cometidos a que hace referencia el apartado 1, indicando el ámbito de responsabilidad de cada entidad y sus números de identificación, así como cualquier cambio al respecto. La Comisión publicará en el Diario Oficial de la Unión Europea la lista de entidades cualificadas, sus números de identificación y sus ámbitos de responsabilidad, y mantendrá la lista actualizada. [Enm. 84]
4. Los Estados miembrosLa EAA y las autoridades nacionales de aviación retirarán la delegación a las entidades cualificadas que hubieran dejado de cumplir los requisitos que figuran en el anexo I. Informarán inmediatamente de ello a la Comisión, a la EAA y a los demás Estados miembros. [Enm. 85]
5. Los organismos designados como organismos notificados antes de la entrada en vigor del presente Reglamento de conformidad con el artículo 8 del Reglamento (CE) nº 552/2004 serán considerados entidades cualificadas a efectos de lo dispuesto en el presente artículo.
Artículo 7
Consulta a las partes interesadas
1. las autoridades nacionales de supervisiónaviación, de conformidad con su legislación nacional, establecerán mecanismos de consulta para la participación adecuada de las partes interesadas, incluidos los órganos de representación de colectivos profesionales, a efectos del ejercicio de sus tareas, de cara a la consecución del Cielo Único Europeo. [Enm. 86]
2. Las partes interesadas pueden incluir a:
— los proveedores de servicios de navegación aérea,
— los operadores de aeropuertos,
— los usuarios del espacio aéreo o grupos pertinentes que representen a los usuarios del espacio aéreo,
— las autoridades militares,
— la industria de fabricación,
— las organizaciones profesionales que representen al personal.
CAPÍTULO III
PRESTACIÓN DE SERVICIOS
Artículo 8
Certificación de los proveedores de servicios de navegación aérea
1. La prestación de todos los servicios de navegación aérea en la Unión estará sujeta a la certificación por las autoridades nacionales de supervisiónaviación o por la EAA, o a la declaración efectuada a las mismas, de conformidad con el artículo 8 ter del Reglamento (CE) nº 216/2008. [Enm. 87]
2. El proceso de certificación garantizará también que los solicitantes puedan demostrar una solvencia financiera suficiente y hayan obtenido una cobertura de responsabilidad y de seguro, cuando no responda de ella el Estado miembro considerado.
3. El certificado garantizará un acceso no discriminatorio a los servicios por parte de los usuarios del espacio aéreo, con especial atención a la seguridad. La certificación estará sujeta a las condiciones establecidas en el anexo II.
4. La concesión de certificados otorga a los proveedores de servicios de navegación aérea la posibilidad de ofrecer sus servicios a los Estados miembroscualquier Estado miembro, a otros proveedores de servicios de navegación aérea, a usuarios del espacio aéreo y a aeropuertos dentro de la Unión y de terceros países vecinos, si procede, dentro de un bloque funcional de espacio aéreo, de conformidad con los acuerdos mutuos entre las partes pertinentes. Por lo que se refiere a los servicios de apoyo, esta posibilidad estará supeditada al cumplimiento del artículo 10, apartado 2. [Enm. 88]
Artículo 9
Designación de proveedores de servicios de tráfico aéreo
1. Los Estados miembros garantizarán la prestación de servicios de tráfico aéreo en régimen de exclusividad dentro de bloques específicos de espacio aéreo, respecto del espacio aéreo que se encuentre bajo su responsabilidad. Para ello, los Estados miembros designarán un proveedor de servicios de tráfico aéreo que esté en posesión de un certificado o declaración válidos en la Unión.
2. Por lo que se refiere a la prestación de servicios transfronterizos, los Estados miembros velarán por que el cumplimiento del presente artículo y del artículo 18, apartado 3, no se vea obstaculizado por su sistema jurídico nacional al exigirse que los proveedores de servicios de tráfico aéreo que presten sus servicios en el espacio aéreo que está bajo la responsabilidad de dicho Estado miembro cumplan una de las condiciones siguientes:
a) sean propiedad, directamente o a través de una participación mayoritaria, de dicho Estado miembro o de sus ciudadanos;
b) tengan su principal lugar de actividad o su sede en el territorio de dicho Estado miembro,
c) usen exclusivamente instalaciones en dicho Estado miembro.
3. Los Estados miembros definirán los derechos y las obligaciones de los proveedores de servicios de tráfico aéreo designados. Estas obligaciones podrán incluir las condiciones de puesta a disposición a tiempo de la información pertinente necesaria para identificar todos los movimientos de aeronaves en el espacio aéreo bajo su responsabilidad.
4. Los Estados miembros podrán elegir discrecionalmente un proveedor de servicios de tráfico aéreo, siempre que este último disponga de la certificación o declaración contempladas en el Reglamento (CE) nº 216/2008.
5. Por lo que respecta a los bloques funcionales de espacio aéreo establecidos de conformidad con el artículo 16 que se extienden por el espacio aéreo que se halla bajo la responsabilidad de más de un Estado miembro, los Estados miembros implicados designarán conjuntamente, de conformidad con el apartado 1 del presente artículo, uno o varios proveedores de servicios de tráfico aéreo al menos un mes antes del establecimiento del bloque de espacio aéreo. [Enm. 89]
6. Los Estados miembros informarán sin demora a la Comisión y a los demás Estados miembros de toda decisión adoptada en el marco del presente artículo en relación la designación de proveedores de servicios de tráfico aéreo respecto del espacio aéreo que se halla bajo su responsabilidad.
Artículo 10
Prestación de servicios de apoyo
1. Los Estados miembros tomarán las medidas necesarias para garantizar que, de acuerdo con el presente artículo, no existan obstáculos legales que impidan a los proveedores de servicios de apoyo puedan competir competir en la Unión a efectos de la prestación de tales servicios, en condiciones equitativas, transparentes y no discriminatorias.
La obligación impuesta por el presente artículo deberá cumplirse a más tardar el 1 de enero de 2020.
2. Los Estados miembros tomarán todas las medidas necesarias para garantizar que la prestación de servicios de tráfico aéreo sea independiente de la prestación de servicios de apoyo. Esta separación implicará la obligación de que los servicios de tráfico aéreo y los, a la hora de elaborar sus planes empresariales, los proveedores de servicios de navegación aérea convoquen una licitación para elegir al proveedor de servicios de apoyo sean prestados por empresas diferentes que presente la oferta más ventajosa desde el punto de vista económico y cualitativo. El organismo de evaluación del rendimiento que contempla el artículo 11, apartado 2 controlará el cumplimiento de las disposiciones del presente apartado al evaluar los planes de rendimiento.
3. Al elegir un el proveedor externo de los servicios de apoyo, se cumplirá con lo dispuesto en la Directiva 2004/18/CE. La entidad de contratación tendrá en cuentaconsiderará criterios de selección vinculantes, en particular, la eficiencia en el coste y la calidad global, la interoperabilidad y la seguridad de los servicios, así como la transparencia del proceso de contratación.
4. Los proveedores de servicios de apoyo sólo podrán ser elegidos para la prestación de servicios en el espacio aéreo de un Estado miembro si:
a) están debidamente certificados de conformidad con el artículo 8 ter del Reglamento (CE) nº 216/2008;
b) su principal centro de actividades está situado en el territorio de un Estado miembro;
c) más del 50 % de la propiedad del proveedor de servicios, así como su control efectivo (ya sea directo o indirecto, a través de una o varias empresas interpuestas), está en manos de los Estados miembros o sus nacionales, salvo que se disponga otra cosa en acuerdos celebrados con terceros países en los que la Unión sea parte; y
d) cumplen los requisitos nacionales de seguridad y defensa.
5. Los servicios de apoyo ligados a las operaciones de la Red Europea de Gestión del Tráfico Aéreo podrá prestarlos de forma centralizada el Gestor de la Red, para lo que añadirá dichos servicios a los contemplados en el artículo 17, apartado 2, teniendo en cuenta lo dispuesto en el artículo 17, apartado 3. También podrán prestarlos con carácter exclusivo un proveedor de servicios de navegación aérea o agrupaciones de tales proveedores, en particular los vinculados a la puesta a disposición de infraestructuras de gestión del tráfico aéreo. La Comisión determinará de forma imparcial y rentable los métodos de selección de los proveedores o agrupaciones de proveedores basándose en sus aptitudes y su capacidad profesional para prestar servicios, y realizará una evaluación global de los costes y beneficios que comportará la prestación centralizada de los servicios de apoyo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 27, apartado 3. La Comisión designará tales proveedores o agrupaciones de proveedores con arreglo a dichos actos de ejecución.
5 bis. La Comisión regulará de forma pormenorizada los procedimientos de selección de servicios que contempla el presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 27, apartado 3.
5 ter. La Comisión llevará a cabo un estudio exhaustivo de las repercusiones operativas, económicas, en materia de seguridad y sociales de la introducción de principios de mercado en la prestación de los servicios de apoyo, y remitirá dicho estudio al Parlamento Europeo y al Consejo antes del 1 de enero de 2016. El estudio tendrá en cuenta la ejecución del Plan Maestro ATM y las repercusiones de las tecnologías del SESAR en el sector de los servicios de apoyo. [Enm. 90]
Artículo 11
Sistema de evaluación del rendimiento
1. Para mejorar el rendimiento de los servicios de navegación aérea y los servicios de red en el Cielo Único Europeo, se establecerá un sistema de evaluación del rendimiento para los servicios de navegación aérea y los servicios de red. El sistema incluirá:
a) objetivos de rendimiento a escala de la Unión y objetivos asociados a nivel local en los ámbitos de rendimiento clave de la seguridad, el medio ambiente, la capacidad y la rentabilidad, de conformidad con los objetivos de alto nivel del Plan Maestro ATM fijados para un período de referencia completo; [Enm. 91]
b) planes nacionales o planes para bloques funcionales de espacio aéreode rendimiento locales, incluidos objetivos de rendimiento, para garantizar el cumplimiento de los objetivos de rendimiento a escala de la Unión o con objetivos asociados a nivel local, y [Enm. 92]
c) revisión periódica, seguimiento y evaluación comparativa del rendimiento de los servicios de navegación aérea y los servicios de red.
2. La Comisión designará un órgano independiente, imparcial y competente para que actúe como «organismo de evaluación del rendimiento» (OER). El OER se constituirá en calidad de órgano europeo de regulación económica bajo la supervisión de la Comisión, con efectos a partir del 1 de julio de 2015. La función del organismo de evaluación del rendimiento OER será asistir a la Comisión, en coordinación con las autoridades nacionales de supervisiónaviación, y asistir y supervisar a dichas autoridades, previa solicitud, en la aplicación del sistema de evaluación del rendimiento contemplado en el apartado 1. El OER será independiente desde un punto de vista jurídico y funcional respecto de todo proveedor de servicios a escala nacional o paneuropea. La asistencia técnica al organismo de evaluación del rendimientoOER podrá correr a cargo de la EAA, el Gestor de la Red, Eurocontrol u otra entidad competente. [Enm. 93]
3. Los planes a escala nacional o de bloque funcional de espacio aéreode rendimiento locales mencionados en el apartado 1, letra b), serán elaborados por las autoridades nacionales de supervisiónaviación y adoptados por los Estados miembros. Dichos planes incluirán objetivos vinculantes a escala local y un sistema de incentivos adecuado adoptado por los Estados miembros. Los planes se elaborarán en consulta con la Comisión, el OER, los proveedores de servicios de navegación aérea, los representantes de los usuarios del espacio aéreo y, cuando proceda, los operadores y los coordinadores de los aeropuertos. [Enm. 94]
4. La Comisión evaluará, en cooperación con el organismo de evaluación del rendimientoOER, el cumplimiento de los planes nacionales o establecidos a escala de bloque funcional de espacio aéreode rendimiento locales y de los objetivos locales con los objetivos de rendimiento a escala de la Unión. [Enm. 95]
En caso de que la Comisión constatedetermine que los planes nacionales o establecidos a escala de bloque funcional de espacio aéreode rendimiento locales o los objetivos locales no cumplen los objetivos a escala de la Unión, podrá exigir que los Estados miembros concernidos tomen las medidas correctoras necesarias. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 27, apartado 2. [Enm. 96]
5. El período de referencia para el sistema de evaluación del rendimiento contemplado en el apartado 1 cubrirá un mínimo de tres años y un máximo de cinco. Durante este periodo, y en caso de que no se cumplan los objetivos locales , los Estados miembros concernidos aplicarán medidas destinadas a rectificar la situación. Si la Comisión considerara que tales medidas no son suficientes para rectificar la situación, podrá exigir que el Estado miembro concernido tome las medidas correctoras o imponga las sanciones necesarias. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 27, apartado 2.
6. La Comisión llevaráy la EAA, junto con el OER, llevarán a cabo evaluaciones periódicas de los resultados de los objetivos de rendimiento a escala de la Unión o de los objetivos asociados a nivel local. [Enm. 97]
7. El sistema de rendimiento contemplado en el apartado 1 se efectuará sobre la base de los siguientes elementos:
a) recogida, validación, examen, evaluación y difusión de datos pertinentes relativos al rendimiento de los servicios de navegación aérea y servicios de red de todas las partes interesadas, incluidos los proveedores de servicios de navegación aérea, los usuarios del espacio aéreo, los operadores de los aeropuertos, los coordinadores de los aeropuertos, la EAA, las autoridades nacionales de supervisiónaviación, los Estados miembros y Eurocontrol; [Enm. 98]
b) selección de ámbitos de rendimiento clave adecuados, basados en el documento OACI nº 9854, «Concepto operacional de gestión del tráfico aéreo mundial», y coherentes con los contemplados en el marco de rendimiento del Plan Maestro ATM, incluidos los ámbitos de la seguridad, el medio ambiente, la capacidad y la rentabilidad y el factor humano, adaptados cuando sea necesario para tener en cuenta las necesidades específicas del Cielo Único Europeo y los objetivos relevantes para dichos ámbitos, y definición de un conjunto limitado de indicadores clave del rendimiento para medir el rendimiento. Se prestará especial atención a los indicadores de rendimiento en materia de seguridad; [Enm. 99]
c) establecimiento y revisión de objetivos de rendimiento a escala de la unión y de objetivos asociados a nivel local que se definirán teniendo en cuenta aportaciones identificadas a escala nacional o de los bloques funcionales de espacio aéreo. Se fijarán objetivos de rendimiento a escala de la Unión con vistas a garantizar que cada bloque funcional de espacio aéreo disponga de suficiente flexibilidad para lograr los mejores resultados; [Enm. 100]
d) criterios para que las autoridades nacionales de supervisiónaviación establezcan planes de rendimiento nacionales o a escala de bloque funcional de espacio aéreolocales, que incluyan los objetivos de rendimiento a escala local y el sistema de incentivos. Los planes de rendimiento: [Enm. 101]
i) se basarán en los planes empresariales de los proveedores de servicios de navegación aérea, que deben tomar en consideración, a su vez, la ejecución del Plan Maestro ATM, [Enm. 102]
ii) cubrirán todos los elementos de coste de la base de costes nacional o de la base de costes a escala de bloque funcional de espacio aéreo;
iii) incluirán objetivos locales de rendimiento vinculantes acordes con los objetivos de rendimiento a escala de la Unión;
(e) evaluación de los objetivos locales de rendimiento sobre la base del plan nacional o del plan a escala de bloque funcional de espacio aéreode rendimiento local; [Enm. 103]
(f) seguimiento de los planes de rendimiento nacionales o de los planes de rendimiento a escala de bloque funcional de espacio aéreolocales, incluidos los mecanismos de alerta pertinentes; [Enm. 104]
g) criterios para la imposición de sanciones y mecanismos de compensación por incumplimiento de los objetivos de rendimiento de la Unión y de los objetivos asociados a nivel local durante el período de referencia, y a apoyar mecanismos de alerta; [Enm. 105]
h) principios generales para el establecimiento por los Estados miembros del sistema de incentivos;
i) principios para la aplicación de un mecanismo transitorio, necesario para la adaptación al funcionamiento del sistema de incentivos, cuya duración no será superior a 12 meses contados a partir de la adopción del acto delegado contemplado en el presente apartado;
j) el período de referencia y los intervalos adecuados para la evaluación del cumplimiento de los objetivos de rendimiento y el establecimiento de nuevos objetivos;
k) los calendarios necesarios correspondientes.
La Comisión estará facultada para adoptar actos delegados conforme a lo dispuesto en el artículo 26 a fin de aprobar los objetivos de rendimiento a escala de la Unión y establecer disposiciones de aplicación para el correcto funcionamiento del sistema de evaluación del rendimiento teniendo en cuenta todos los puntos expuestos en el presente apartado. [Enm. 106]
8. Para el establecimiento del sistema de evaluación del rendimiento se tendrá en cuenta que los servicios de ruta, los servicios de terminal y los servicios de red son diferentes y se han de tratar en consecuencia, si procede, también a efectos de medir el rendimiento.
8 bis. La Comisión llevará a cabo un estudio de las repercusiones que podría tener en la eficacia del funcionamiento de la red europea de GTA la conducta de los agentes intervinientes en el sistema de GTA que no son proveedores de servicios de navegación aérea, tales como los operadores y coordinadores de los aeropuertos o los operadores de transporte aéreo.
El ámbito del estudio abarcará, entre otras cosas:
a) la identificación de los agentes intervinientes en el sistema de GTA que no sean proveedores de servicios de navegación aérea y que puedan influir en el rendimiento de la red;
b) el efecto que tiene la conducta de dichos agentes en el rendimiento de los SNA por lo que respecta a los ámbitos clave de rendimiento de la seguridad, el medio ambiente y la capacidad;
c) la viabilidad de establecer indicadores de rendimiento e indicadores clave de rendimiento para tales agentes;
d) los beneficios que podría reportar a la red europea de GTA la aplicación de indicadores de rendimiento e indicadores clave de rendimiento adicionales; y cualesquiera obstáculos que dificulten la consecución de un rendimiento óptimo.
El estudio debe comenzar en un plazo máximo de doce meses a partir de la publicación del presente Reglamento y finalizar en un plazo máximo de doce meses a partir de su inicio. La Comisión Europea y los Estados miembros tendrán en cuenta sus resultados con vistas a ampliar el ámbito de aplicación del sistema de evaluación del rendimiento de forma que incluya los indicadores de rendimiento e indicadores clave de rendimiento adicionales que proceda en futuros períodos de referencia, con arreglo a lo dispuesto en el presente artículo. [Enm. 107]
Artículo 12
Disposiciones generales del sistema de tarificación
De conformidad con lo dispuesto en los artículos 13 y 14, el sistema de tarifación de los servicios de navegación aérea contribuirá a lograr una mayor transparencia con respecto al establecimiento, la imposición y la ejecución de tarifas para los usuarios del espacio aéreo, así como a la rentabilidad de la prestación de servicios de navegación aérea y a la eficiencia de vuelo, manteniendo al mismo tiempo un nivel óptimo de seguridad. El sistema deberá asimismo ajustarse al artículo 15 del Convenio de Chicago de 1944 sobre aviación civil internacional y al sistema de tarifación de Eurocontrol sobre cánones de ruta.
Artículo 13
Principios del sistema de tarificación
1. El sistema de tarificación estará basado en la contabilización de los costes de los servicios de navegación aérea incurridos por los proveedores de servicios en beneficio de los usuarios del espacio aéreo. El sistema asignará los costes entre las categorías de usuarios.
2. Al establecer la base de costes para la imposición de tasas se aplicarán los principios establecidos en los apartados 3 a 8.
3. Los costes que se repartirán entre los usuarios del espacio aéreo serán los costes determinados por la prestación de los servicios de navegación aérea, incluidos los importes de los intereses sobre la inversión de capital y la depreciación de activos, así como los costes de mantenimiento, funcionamiento, gestión y administración, incluidos los costes en los que incurra la EAA en el desempeño de las tareas pertinentes en su calidad de autoridad competente; los costes determinados serán los costes determinados por el Estado miembro a nivel nacional o de bloques funcionales de espacio aéreo, bien al comienzo del período de referencia para cada año civil del período de referencia al que se refiere el artículo 11, apartado 5, bien durante el período de referencia, después de los ajustes apropiados en aplicación de los mecanismos de alerta establecidos en el artículo 11;
4. Los costes que deberán tomarse en cuenta en este contexto serán los costes estimados en relación con las instalaciones y servicios previstos y puestos en práctica con arreglo al Plan regional de navegación aérea, región europea, de la OACI. También se incluirán los costes contraídos por las autoridades nacionales de supervisiónaviación o las entidades cualificadas, así como otros en los que incurra el Estado miembro pertinente y el proveedor de servicios en relación con la prestación de servicios de navegación aérea. No incluirán los costes ni de las sanciones impuestas por los Estados miembros a que se refiere el artículo 33 ni de las medidas correctoras o sanciones contempladas en el artículo 11, apartado 5. [Enm. 108]
5. En relación con los bloques funcionales de espacio aéreo como parte de sus respectivos acuerdos marco, los Estados miembros harán esfuerzos razonables para acordar principios comunes de política tarifaria con objeto de alcanzar una tasa única, de conformidad con sus respectivos planes de rendimiento. [Enm. 109]
6. Los costes de los diversos servicios de navegación aérea se determinarán por separado, según lo previsto en el artículo 21, apartado 3.
7. No se permitirán las subvenciones cruzadas entre servicios de ruta y servicios de terminal. Los costes que correspondan tanto a los servicios de terminal como a los servicios de ruta se asignarán de forma proporcional entre los servicios de ruta y los servicios de terminal sobre la base de una metodología transparente. Las subvenciones cruzadas se permitirán entre servicios de tráfico aéreo diferentes solo en una de estas dos categorías exclusivamente cuando razones objetivas así lo justifiquen, y siempre que estén claramente identificadas. No se permitirán las subvenciones cruzadas entre servicios de tráfico aéreo y servicios de apoyo.
8. Se garantizará la transparencia de los costes en los que se basan los cánones. Se aprobarán medidas de ejecución para el suministro de información por parte de los proveedores del servicio, con el fin de hacer posible la revisión de las previsiones, costes reales e ingresos del proveedor. Se intercambiará periódicamente información entre las autoridades nacionales de supervisión, los proveedores de servicios, los usuarios del espacio aéreo, la Comisión y Eurocontrol.
9. Al establecer las tasas con arreglo los apartados 3 a 8, los Estados miembros deberán cumplir los siguientes principios:
a) las tasas se establecerán por la disponibilidad de los servicios de navegación aérea bajo condiciones no discriminatorias; al imponer las tasas a los diversos usuarios del espacio aéreo por la utilización del mismo servicio no se distinguirá en razón de la nacionalidad o categoría del usuario del espacio aéreo;
b) podrá exonerarse a determinados usuarios, en particular a los operadores de aeronaves ligeras y aeronaves de Estado, siempre que el coste de dichas exoneraciones no se impute a otros usuarios;
c) las tasas se fijarán por año civil sobre la base de los costes determinados ;
d) los servicios de navegación aérea podrán generar unos ingresos suficientes para proporcionar una rentabilidad económica y con ello contribuir a las necesarias mejoras del capital;
e) las tasas reflejarán los costes de los servicios e instalaciones de navegación aérea puestos a disposición de los usuarios del espacio aéreo, incluidos los costes en los que incurra la EAA en el desempeño de las tareas pertinentes en su calidad de autoridad competente teniendo en cuenta las capacidades productivas relativas de los distintos tipos de aeronaves de que se trate;
f) las tasas estimularán la prestación segura, eficaz, efectiva y sostenible de los servicios de navegación aérea con vistas a lograr un alto nivel de seguridad y a una eficiencia de costes y a la consecución de los objetivos de rendimiento y estimularán la prestación de servicios integrados reduciendo al mismo tiempo el impacto medioambiental de la navegación aérea. A efectos de lo dispuesto en laesta letra f), y en relación con los planes de rendimiento nacionales o de bloques funcionales de espacio aéreolocales, las autoridades nacionales de supervisión podránla autoridad nacional de aviación podrá establecer mecanismos, incluidos incentivos consistentes en ventajas y desventajas financieras, para estimular a los proveedores de servicios de navegación aérea y/o los usuarios del espacio aéreo para que apoyen las mejoras en la prestación de servicios de navegación aérea, tales como mayor capacidad, reducción de los retrasos y desarrollo sostenible, manteniendo al mismo tiempo un nivel óptimo de seguridad. [Enm. 110]
10. La Comisión adoptará medidas que regulen detalladamente el procedimiento a seguir para la aplicación de los apartados 1 a 9. La Comisión podrá proponer mecanismos financieros para mejorar la sincronización de los gastos de capital ocasionados en materia de funciones embarcadas y de tierra en el marco del despliegue de las tecnologías del SESAR. Tales actos de ejecución se adoptarán de conformidad con el procedimiento de examen contemplado en el artículo 27, apartado 3. [Enm. 111]
Artículo 14
Revisión del cumplimiento de los artículos 12 y 13
1. La Comisión realizará una revisión continua del cumplimiento de los principios y normas a que se refieren los artículos 12 y 13, en cooperación con los Estados miembros. La Comisión tratará de establecer los mecanismos necesarios para aprovechar la experiencia de Eurocontrol y compartirá los resultados de la evaluación con los Estados miembros, Eurocontrol y los representantes de los usuarios del espacio aéreo.
2. A petición de uno o más Estados miembros o por su propia iniciativa, la Comisión examinará medidas específicas adoptadas por las autoridades nacionales respecto a la aplicación de los artículos 12 y 13 en relación con la determinación de los costes y las tasas. Sin perjuicio de lo dispuesto en el artículo 32, apartado 1, la Comisión hará partícipes de los resultados de la investigación a los Estados miembros, a Eurocontrol y a los representantes de los usuarios del espacio aéreo. En un plazo de dos meses desde la recepción de una petición, tras haber escuchado al Estado miembro interesado la Comisión decidirá si se han cumplido los artículos 12 y 13 y si, en consecuencia, puede seguirse aplicando la medida. Dichos actos de ejecución se adoptarán conforme al procedimiento contemplado en el artículo 27, apartado 2.
Artículo 14 bis
Ejecución del Plan Maestro ATM
Corresponderá a la Comisión coordinar la ejecución del Plan Maestro ATM. El Gestor de la Red, el OER y el Gestor del Despliegue contribuirán a la ejecución del Plan Maestro ATM de conformidad con lo dispuesto en el presente Reglamento. [Enm. 112]
Artículo 14 ter
La Comisión adoptará medidas que regulen la gobernanza de la ejecución del Plan Maestro ATM, y por las que se defina y seleccione al órgano responsable al nivel de gestión (el Gestor del Despliegue). Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 27, apartado 3. [Enm. 113]
Artículo 14 quater
El Gestor del Despliegue recomendará a la Comisión plazos vinculantes para el despliegue y unas medidas correctoras adecuadas para el caso de retrasos en la ejecución. [Enm. 114]
Artículo 15
Proyectos comunes
1. Para la ejecución del Plan Maestro ATM podrá recurrirse a proyectos comunes. Estos proyectos favorecerán el logro de los objetivos del presente Reglamento en lo relativo a la mejora del sistema europeo de navegación aérea en ámbitos clave como la capacidad, la eficiencia del vuelo, la rentabilidad y la sostenibilidad medioambiental, dentro de los objetivos prioritarios de seguridad. El objetivo de los proyectos comunes será el despliegue puntual, coordinado y sincronizado de las funciones de la gestión de tráfico aéreo con el fin de lograrpropiciar los cambios operativos fundamentales que se determinan en el Plan Maestro ATM, en particular, el establecimiento de la dimensión geográfica, la arquitectura de proyecto orientada al rendimiento y el enfoque para la prestación de servicios más adecuados que deberá aplicar el Gestor del Despliegue. Cuando proceda, se procurará que el diseño y la ejecución de los proyectos comunes permitan la existencia de un conjunto de capacidades interoperables básicas en todos los Estados miembros. [Enm. 115]
2. La Comisión podrá adoptar medidas que regulen la gobernanza de los proyectos comunes, así como determinar incentivos para su despliegue. El órgano que regule el despliegue de los proyectos comunes será el mismo que se encargue de la ejecución de las bases del Plan Maestro ATM. Estos actos de ejecución se adoptarán de conformidad con el procedimiento de examen contemplado en el artículo 27, apartado 3. Tales medidas no prejuzgaráncomplementarán los mecanismos de puesta en práctica de los proyectos relativos a los bloques funcionales de espacio aéreo según lo acordado por los que participan en dichos bloques. [Enm. 116]
3. La Comisión adoptará proyectos comunes para funciones relacionadas con las redes y que posean particular importancia para la mejora del rendimiento general de la gestión del tráfico aéreo y los servicios de navegación aérea en Europa, identificando funciones de gestión de tráfico aéreo que han alcanzado una madurez suficiente para su despliegue, y determinará el calendario y el ámbito geográfico de este último. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen contemplado en el artículo 27, apartado 3. Estos proyectos comunes podrán considerarse subvencionables con cargo a la financiación de la Unión dentro del marco financiero plurianual. Para ello, y sin perjuicio de la competencia de los Estados miembros para decidir el uso de sus recursos financieros, la Comisión efectuará un análisis independiente de costes y beneficios y consultará debidamente a los Estados miembros y a las partes interesadas pertinentes, de conformidad con el artículo 28, examinando todos los medios adecuados para financiar la realización de los proyectos. Los costes subvencionables en el despliegue de los proyectos comunes se recuperarán con arreglo a los principios de transparencia y de no discriminación.
3 bis. Los proyectos conjuntos constituyen el medio para aplicar las mejoras operativas desarrolladas mediante el proyecto SESAR de forma coordinada y puntual. Así contribuirán de forma decisiva a la consecución de los objetivos a escala de la Unión. [Enm. 117]
Artículo 16
Bloques funcionales de espacio aéreo
1. Los Estados miembros adoptarán todas las medidas necesarias para garantizar el establecimiento y puesta en práctica de bloques funcionales operativos de espacio aéreo sobre la base de la prestación integrada de servicios de tráfico aéreonavegación aérea, con objeto de alcanzar la capacidad y eficiencia requeridas de la red de gestión del tráfico aéreo en el Cielo Único Europeo, mantener un alto nivel de seguridad y contribuir al rendimiento global del sistema de transporte aéreo y a la reducción del impacto ambiental. [Enm. 118]
2. Los bloques funcionales de espacio aéreo se constituirán, cuando sea posible, en consorcios cooperativos del sector celebrados entre proveedores de servicios de navegación aérea, en particular respecto de la prestación de servicios de apoyo de conformidad con el artículo 10. Los consorcios del sector pueden servir a uno o más bloques funcionales del espacio aéreo, o partes de los mismos, al objeto de maximizar el rendimiento. [Enm. 119]
3. Los Estados miembros, así comolas autoridades nacionales de aviación y los proveedores de servicios de tráfico aéreo,navegación aérea cooperarán entre sí en la mayor medida posible con el fin de garantizar el cumplimiento del presente artículo. Cuando proceda, la cooperación podrá incluir a las autoridades nacionales de aviación y a proveedores de servicios de tráfico aéreo de terceros países que participen en bloques funcionales de espacio aéreo. [Enm. 120]
4. En particular, los bloques funcionales de espacio aéreo:
a) estarán apoyados por un análisis de seguridad;
b) estarán concebidos para obtener un máximo de efectos sinérgicos de los consorcios del sector con el fin de lograr, y si fuera posible superar, los objetivos de rendimiento establecidos con arreglo al artículo 11; [Enm. 121]
c) permitirán un uso óptimo y flexible del espacio aéreo teniendo en cuenta las afluencias de tráfico aéreo; [Enm. 122]
d) garantizarán la coherencia con la Red europea de rutas establecida de conformidad con el artículo 17;
e) se justificarán por su valor añadido, incluida una utilización óptima de los recursos técnicos y humanos, sobre la base de un análisis de costes y beneficios;
f) cuando proceda, garantizarán una transferencia fluida y flexible de la responsabilidad del control del tráfico aéreo entre unidades de servicios de tráfico aéreo;
g) garantizarán la compatibilidad entre las diferentes configuraciones del espacio aéreo ;
h) cumplirán las condiciones que se derivan de los acuerdos regionales celebrados en el marco de la OACI;
i) respetarán los acuerdos regionales existentes en la fecha de la entrada en vigor del presente Reglamento, en particular aquellos que afecten a terceros países europeos;
i bis) consolidarán la contratación de infraestructura de GTA y procurarán aumentar la interoperabilidad de los equipos existentes; [Enm. 123]
i ter) facilitarán la coherencia con los objetivos de rendimiento a escala de la Unión. [Enm. 124]
El cumplimiento de los requisitos que figuran en el apartado 4, letras c), d) y g), se efectuará en función de la optimización del diseño del espacio aéreo llevada a cabo por el Gestor de la Red, de conformidad con lo dispuesto en el artículo 17.
5. Podrán cumplirse los requisitos que figuran en el presente artículo a través de la participación de los proveedores de servicios de navegación aérea en uno o más bloques funcionales de espacio aéreo.
6. Los bloques funcionales operativos de espacio aéreo que se extiendan por el espacio aéreo que se halle bajo la responsabilidad de más de un Estado miembro podrán crearsese crearán por designación conjunta de todos los Estados miembros y, cuando proceda, de terceros países responsables de alguna de las partes del espacio aéreo incluido en el bloque funcional de espacio aéreo. [Enm. 126]
La designación conjunta por la que se crea el bloque funcional de espacio aéreo deberá incluir las disposiciones necesarias relativas al modo en que dicho bloque podrá modificarse, así como al modo en que un Estado miembro podrá retirarse del bloque, incluidos los acuerdos transitorios.
7. Los Estados miembros notificarán a la Comisión la creación de bloques funcionales de espacio aéreo. Antes de notificar a la Comisión el establecimiento de un bloque funcional de espacio aéreo, el Estado o Estados miembros afectados facilitarán a la Comisión, a los demás Estados miembros y a las otras partes interesadas la información adecuada y les darán la posibilidad de presentar sus observaciones.
8. En caso de dificultades entre dos o más Estados miembros en relación con un bloque funcional de espacio aéreo transfronterizo que afecte a un espacio aéreo bajo su responsabilidad, los Estados miembros interesados podrán someter conjuntamente el asunto al dictamen del Comité del cielo único. El dictamen se notificará a los Estados miembros interesados. Sin perjuicio de lo dispuesto en el apartado 6, los Estados miembros tendrán en cuenta dicho dictamen con vistas a lograr una solución.
9. Después de recibir las notificaciones de los Estados miembros sobre los acuerdos y declaraciones contemplados en los apartados 6 y 7 , la Comisión evaluará la conformidad de cada uno de los bloques funcionales de espacio aéreo con las condiciones establecidas en el apartado 4 y presentará sus resultados a los Estados miembros para su examen. Si la Comisión comprueba que uno o más bloques funcionales de espacio aéreo no cumplen las condiciones exigidas, entablará un diálogo con los Estados miembros afectados con miras a alcanzar un consenso sobre las medidas necesarias para corregir la situación.
10. La Comisión podrá adoptar disposiciones detalladas que regulen la designación conjunta de los proveedores de servicios de tráfico aéreo contemplada en el apartado 6, especificando las modalidades de selección de los proveedores de servicios, el periodo de designación, los métodos de supervisión, la disponibilidad de los servicios prestados y las cláusulas relativas a la responsabilidad. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 27, apartado 3.
11. La Comisión podrá adoptar medidas relativas a la información que han de facilitar los Estados miembros considerados en el apartado 6. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen contemplado en el artículo 27, apartado 3. Lo dispuesto en este apartado se entenderá sin perjuicio de cualesquiera disposiciones relativas a los bloques funcionales de espacio aéreo vigentes en la fecha de entrada en vigor del presente Reglamento, siempre y cuando dichas disposiciones cumplan y, cuando sea posible, superen los objetivos fijados de conformidad con el artículo 11. [Enm. 127]
Artículo 16 bis
Consorcios del sector
1. Los proveedores de servicios de navegación aérea podrán cooperar para constituir consorcios del sector, en concreto por lo que respecta a la prestación de servicios de apoyo con arreglo a lo dispuesto en el artículo 10. Los consorcios del sector pueden servir a uno o más bloques funcionales de espacio aéreo, o a partes de los mismos, al objeto de maximizar el rendimiento.
2. La Comisión y los Estados miembros se esforzarán en la medida de lo posible por garantizar la eliminación de todo obstáculo que impida la asociación entre proveedores de servicios de navegación aérea, prestando atención, en particular, a las cuestiones de responsabilidad civil, los modelos de tarificación y las trabas a la interoperabilidad. [Enm. 128]
Artículo 17
Gestión y diseño de la red
1. Los servicios de la red de gestión del tráfico aéreo deberán permitir el uso óptimo y flexible del espacio aéreo y garantizar que los usuarios del espacio aéreo pueden volar en las trayectorias preferidas, al tiempo que se permite el máximo acceso al espacio aéreo y a los servicios de navegación aérea. Estos servicios de la red servirán al objetivo de apoyar iniciativas a escala nacional y de los bloques funcionales de espacio aéreo y se desempeñarán respetando la separación entre las actividades reguladoras y operativas. [Enm. 129]
2. Con el fin de lograr los objetivos contemplados en el apartado 1, y sin perjuicio de las responsabilidades de los Estados miembros en relación con las rutas y las estructuras de espacio aéreo nacionales, la Comisión garantizará que se llevan a cabo los siguientes servicios bajo la responsabilidad de un Gestor de la Red coordine los siguientes servicios y funciones: [Enm. 130]
a) diseño de la red europea de rutas;
b) coordinación de recursos escasos en las bandas de frecuencia de la aviación utilizadas por el tráfico aéreo general, en particular radiofrecuencias y coordinación de los códigos de transpondedor de radar;
c) función central de gestión de afluencia del tráfico aéreo;
d) puesta a disposición de un portal de información aeronáutica de acuerdo con lo dispuesto en el artículo 23;
e) optimización del diseño del espacio aéreo, incluidos los sectores y las estructuras del espacio aéreo europeo en las zonas de ruta y de terminal, con la cooperación de los proveedores de servicios de navegación aérea y de los bloques funcionales de espacio aéreo a que hace referencia el artículo 16; [Enm. 131]
f) función central de coordinación en situaciones de crisis en la aviación.
Las funciones y los servicios enumerados en el presente apartado no implicarán la adopción de medidas vinculantes de ámbito general ni el ejercicio de la potestad discrecional política. Tendrán en cuenta las propuestas elaboradas a escala nacional y de los bloques funcionales de espacio aéreo. Se aplicarán en coordinación con las autoridades militares y con arreglo a procedimientos establecidos de común acuerdo para el uso flexible del espacio aéreo. [Enm. 132]
La Comisión, de conformidad con las medidas de ejecución a las que se refiere el apartado 4, podrá designar a Eurocontrol o a cualquier otro organismo imparcial y competente para que efectue las tareas de Gestor de la Red . Estas tareas serán realizadas de forma imparcial y rentable y en nombre de la Unión, los Estados miembros y las partes interesadas. Estarán adecuadamente sometidas a gobernanza, reconociéndose la separación de responsabilidades en relación con la prestación de servicios y la regulación y tomándose en consideración las necesidades de toda la red de gestión del tráfico aéreo y con la plena participación de los usuarios del espacio aéreo y los proveedores de servicios de navegación aérea. El 1 de enero de 20202016 a más tardar, la Comisión designará un Gestor de la Red que será un proveedor de servicios independiente, a ser posible constituido en forma de consorcio del sector. [Enm. 133]
3. La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 26 a fin de añadir otros servicios a la lista del apartado 2 al objeto de adaptarla al progreso técnico y operativo hacia una prestación de servicios de apoyo centralizados.
4. La Comisión adoptará medidas detalladas respecto a:
a) la coordinación y armonización de procesos y procedimientos encaminados a aumentar la eficiencia de la gestión de las frecuencias aeronáuticas, incluido el desarrollo de principios y criterios;
b) la función central de coordinación de la identificación temprana y resolución de necesidades de frecuencias en las bandas asignadas al tráfico aéreo general europeo para apoyar el diseño y la gestión de la red europea de tráfico aéreo;
c) las servicios adicionales de red definidos en el Plan Maestro ATM;
d) las disposiciones detalladas para la toma de decisiones de forma cooperativa entre los Estados miembros, los proveedores de servicios de navegación aérea y la función de gestión de red contemplada en el apartado 2;
e) disposiciones detalladas relativas a la gobernanza del Gestor de Red que involucren a todas las partes interesadas desde el punto de vista operativo;
f) las disposiciones para la consulta de las partes interesadas relevantes en el proceso de decisión en el nivel nacional y europeo, y
g) dentro del espectro de radiofrecuencias asignado al tráfico aéreo general por la Unión Internacional de Telecomunicaciones, una división de tareas y responsabilidades entre la función de gestión de red y los gestores nacionales de frecuencias que garantice que los servicios nacionales de gestión de frecuencias siguen efectuado estas asignaciones de frecuencias sin consecuencias para la red. Para los casos que no afecten a la red, los gestores nacionales de frecuencias cooperarán con los responsables de la función de gestión de red para optimizar el uso de las frecuencias.
Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 27, apartado 3.
5. Los aspectos del diseño del espacio aéreo distintos de los mencionados en el apartado 2 y en el apartado 4, letra c) , se abordarán a nivel nacional o de los bloques funcionales de espacio aéreo. Este proceso de diseño tendrá en cuenta las exigencias y complejidad del tráfico y los planes de rendimiento a escala nacional o de bloques funcionales de espacio aéreolocales e incluirá una amplia consulta a los usuarios del espacio aéreo interesados o a grupos que representen a los usuarios del espacio aéreo interesados y a las autoridades militares, si procede. [Enm. 134]
Artículo 18
Relaciones entre proveedores de servicios
1. Los proveedores de servicios de navegación aérea podrán hacer uso de los servicios de otros proveedores de servicios que hayan sido certificados o declarados en la Unión.
2. Los proveedores de servicios de navegación aérea formalizarán sus relaciones de trabajo mediante acuerdos escritos o disposiciones legales equivalentes que establezcan las competencias y funciones específicas asumidas por cada proveedor y permitan el intercambio de datos operativos entre todos los proveedores de servicios en lo que respecta al tráfico aéreo general. Tales acuerdos se notificarán a la autoridad nacional de supervisión correspondiente.
3. En los casos relativos a la prestación de servicios de tráfico aéreo será necesaria la autorización de los Estados miembros implicados.
Artículo 19
Relaciones con las partes interesadas
Los proveedores de servicios de navegación aérea establecerán procedimientos de consulta para deliberar con los grupos pertinentes de usuarios del espacio aéreo y explotadores de aeródromos sobre todos los asuntos importantes relativos a los servicios prestados ylos planes de inversión estratégica, sobre todo en lo relativo a los aspectos que exijan la sincronización del despliegue de los equipos embarcados y de tierra, o a los cambios pertinentes de las configuraciones del espacio aéreo. Los usuarios del espacio aéreo participarán también en el proceso de aprobación de los planes de inversión estratégica. La Comisión adoptará medidas que precisen los procedimientos de consulta y la participación de los usuarios del espacio aéreo en la aprobaciónelaboración de los planes de inversión estratégica a fin de garantizar su coherencia con el Plan Maestro ATM y con los proyectos comunes previstos en el artículo 15. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 27, apartado 3. [Enm. 135]
Sin perjuicio de las funciones del Comité del Cielo Único, la Comisión constituirá un grupo consultivo de expertos sobre el factor humano, al que pertenecerán los interlocutores sociales de la GTA europea y otros expertos procedentes de los órganos de representación de colectivos profesionales. El cometido de dicho grupo será asesorar a la Comisión sobre la interacción existente en el sector de la GTA entre las actividades y el factor humano. [Enm. 136]
Artículo 20
Relaciones con las autoridades militares
Los Estados miembros, en el contexto de la política común de transportes, adoptarán las medidas necesarias para garantizar que las autoridades civiles celebren o renueven con las autoridades militares acuerdos escritos, o disposiciones legales equivalentes, respecto de la gestión de bloques específicos del espacio aéreo.
Artículo 21
Transparencia contable
1. Los proveedores de servicios de navegación aérea, independientemente de su régimen jurídico o de propiedad, elaborarán, someterán a auditoría y publicarán sus cuentas financieras. Estas cuentas cumplirán las normas internacionales de contabilidad adoptadas por la Unión. Cuando, debido a su situación jurídica, el proveedor de servicios no pueda cumplir plenamente las normas internacionales de contabilidad, procurará alcanzar el mayor grado posible de cumpliento.
Los Estados miembros adoptarán todas las medidas necesarias para garantizar que los proveedores de servicios de navegación aérea cumplan con el presente artículo a más tardar el 1 de julio de 2017. [Enm. 137]
2. En todos los casos, los proveedores de servicios de navegación aérea publicarán informes anuales y se someterán periódicamente a una auditoría independiente.
3. Cuando se preste un conjunto de servicios, los proveedores de servicios de navegación aérea identificarán y revelarán los gastos e ingresos derivados de los servicios de navegación aérea, desglosándolos de acuerdo con el sistema de tarificación de los servicios de navegación contemplado en el artículo 12 y, cuando proceda, llevarán cuentas consolidadas correspondientes a otros servicios que no sean de navegación aérea, tal como se exigiría si los servicios en cuestión los prestaran empresas distintas.
4. Los Estados miembros designarán las autoridades competentes que tendrán derecho de acceso a la contabilidad de los proveedores de servicios que presten servicios en el espacio aéreo de su responsabilidad.
5. Los Estados miembros podrán aplicar las disposiciones transitorias del artículo 9 del Reglamento (CE) n° 1606/2002 del Parlamento Europeo y del Consejo, de 19 de julio de 2002, relativo a la aplicación de normas internacionales de contabilidad(20), a los proveedores de servicios de navegación aérea que entren dentro del ámbito de aplicación de dicho Reglamento. [Enm. 138]
Artículo 22
Acceso y protección de datos
1. Por lo que respecta al tráfico aéreo general, todos los proveedores de servicios de navegación aérea, los usuarios del espacio aéreo y los aeropuertos se intercambiarán en tiempo real datos operativos pertinentes con objeto de subvenir a sus necesidades operativas. Los datos solo podrán ser usados con fines operativos.
2. Se permitirá el acceso a los datos operativos pertinentes, con carácter no discriminatorio, a las autoridades correspondientes, a los proveedores de servicios de navegación aérea certificados o declarados, a los usuarios del espacio aéreo y a los aeropuertos.
3. Los proveedores de servicios certificados o declarados, los usuarios del espacio aéreo y los aeropuertos establecerán las condiciones normalizadas de acceso a sus datos operativos pertinentes distintos de los contemplados en el apartado 1. Las autoridades nacionales de supervisión aprobarán dichas condiciones normalizadas. La Comisión podrá establecer medidas que regulen los procedimientos que deban seguirse para el intercambio de datos, así como los tipos de datos afectados por las mencionadas condiciones de acceso y su aprobación. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen contemplado en el artículo 27, apartado 3 .
CAPÍTULO IV
ESPACIO AÉREO
Artículo 23
Información aeronáutica electrónica
1. Sin perjuicio de la publicación de información aeronáutica por parte de los Estados miembros y de forma que esté en consonancia con dicha publicación, la Comisión, en cooperación con el Gestor de la Red, garantizará la disponibilidad de información aeronáutica electrónica de alta calidad, presentada de forma armonizada y que cumpla las exigencias de todos los usuarios pertinentes en cuanto a calidad y disponibilidad en el momento oportuno de los datos.
2. A efectos del apartado 1, la Comisión velará por el desarrollo de una infraestructura de información aeronáutica a escala de la Unión en forma de portal electrónico de información integrado y accesible sin restricciones a las partes interesadas. Esta infraestructura integrará el acceso y la provisión de los elementos de información necesarios como, por ejemplo, aunque sin carácter exhaustivo, información aeronáutica, información de la oficina de notificación de los servicios de tráfico aéreo (ARO), información meteorológica e información de la gestión de afluencia;
3. La Comisión adoptará medidas para el establecimiento y puesta en marcha de un portal electrónico de información integrado. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen contemplado en el artículo 27, apartado 3.
Artículo 24
Desarrollo tecnológico e interoperabilidad de la gestión del tráfico aéreo
1. La Comisión adoptará disposiciones de aplicación en materia de promoción del desarrollo tecnológico y la interoperabilidad de la gestión del tráfico aéreo a través del desarrollo y despliegue del Plan Maestro ATM. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 27, apartado 3.
2. En lo relativo a las disposiciones contempladas en el apartado 1, será de aplicación lo dispuesto en el artículo 17, apartado 2, letra b), del Reglamento (CE) nº 216/2008. Cuando proceda, la Comisión pedirá a la EAA que incluya tales disposiciones en el programa de trabajo anual a que se refiere el artículo 56 de dicho Reglamento.
CAPÍTULO V
disposiciones finales
Artículo 25
Adaptación de los anexos
La Comisión estará facultada para adoptar actos delegados de conformidad con lo dispuesto en el artículo 26 a fin de complementar o modificar los requisitos que deben cumplir las entidades cualificadas, recogidos en el anexo I, así como las condiciones que deben imponerse para la concesión de certificados a los proveedores de servicios de navegación aérea, recogidas en el anexo II, de manera que se tenga en cuenta la experiencia obtenida por las autoridades nacionales de supervisión en la aplicación de tales requisitos y condiciones, o la evolución del sistema de gestión del tráfico aéreo en los ámbitos de la interoperabilidad o la prestación integrada de servicios de navegación aérea.
Artículo 26
Ejercicio de la delegación
1. Los poderes para adoptar actos delegados otorgados a la Comisión estarán sujetos a las condiciones establecidas en el presente artículo.
2. La delegación de poderes a que se refieren el artículo 11, apartado 7, el artículo 17, apartado 3, y el artículo 25 se conferirá a la Comisión por un período de tiempo indeterminadosiete años.
La Comisión elaborará un informe sobre la delegación de poderes a más tardar nueve meses antes de que finalice el período de siete años. La delegación de poderes se prorrogará tácitamente por períodos de idéntica duración, excepto si el Parlamento Europeo o el Consejo se oponen a dicha prórroga a más tardar tres meses antes del final de cada período. [Enm. 139]
3. La delegación de poderes a que se refieren el artículo 11, apartado 7, el artículo 17, apartado 3, y el artículo 25 podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. Surtirá efecto al día siguiente de la publicación de la decisión en el Diario Oficial de la Unión Europea o en una fecha posterior que se precisará en dicha decisión. No afectará a la validez de los actos delegados que ya estén en vigor.
4. La Comisión, tan pronto como adopte un acto delegado, lo notificará simultáneamente al Parlamento Europeo y al Consejo.
5. Los actos delegados adoptados con arreglo al artículo 11, apartado 7, al artículo 17, apartado 3, y al artículo 25 entrarán en vigor únicamente si, en un plazo de dos meses desde su notificación al Parlamento Europeo y al Consejo, ninguna de estas instituciones ha formulado objeciones o si, antes del vencimiento de dicho plazo, ambas instituciones han comunicado a la Comisión su intención de no formular objeciones. Este plazo podrá prorrogarse dos meses a iniciativa del Parlamento Europeo o del Consejo.
Artículo 27
Procedimiento de Comité
1. La Comisión estará asistida por el Comité del cielo único, denominado en lo sucesivo el Comité. Será un comité en el sentido del Reglamento (UE) nº 182/2011.
2. En los casos en que se haga referencia al presente apartado, será de aplicación el artículo 4 del Reglamento (UE) nº 182/2011.
3. En los casos en que se haga referencia al presente apartado, será de aplicación el artículo 5 del Reglamento (UE) nº 182/2011.
Artículo 28
Consultas de la Comisión con las partes interesadas
1. La Comisión creará un mecanismo de consulta a nivel de la Unión con el fin de tratar, cuando proceda, aspectos ligados a la aplicación del presente Reglamento. El Comité de Diálogo Sectorial específico creado de conformidad con la Decisión 98/500/CE de la Comisión participará en la consulta.
2. Las partes interesadas podrán incluir a:
— los proveedores de servicios de navegación aérea,
— los operadores de aeropuertos,
— los usuarios del espacio aéreo interesados o grupos pertinentes que representen a los usuarios del espacio aéreo,
— las autoridades militares,
— la industria de fabricación, y
— las organizaciones profesionales que representen al personal.
Artículo 29
Órgano consultivo del sector
Sin perjuicio de las funciones del Comité y de Eurocontrol, la Comisión creará un «órgano consultivo del sector» al que pertenecerán los proveedores de servicios de navegación aérea, las asociaciones de usuarios del espacio aéreo, los aeropuertos, los operadores aeroportuarios, la industria de fabricación y los órganos de representación de colectivos profesionales. La función de dicho órgano consultivo consistirá exclusivamente en asesorar a la Comisión sobre la puesta en marcha del Cielo Único Europeo.
Artículo 30
Relaciones con terceros países
La Unión y sus Estados miembros procurarán ampliar el ámbito del Cielo Único Europeo a los Estados que no sean miembros de la Unión Europea y apoyarán dicha ampliación. A estos efectos, bien en el marco de acuerdos celebrados con terceros países vecinos, o bien en el contexto de designaciones conjuntas de bloques funcionales de espacio aéreo o de acuerdos sobre funciones de red, intentarán hacer extensivos a dichos países los objetivos del presente Reglamento .
Artículo 31
Asistencia de organismos exteriores
La Comisión podrá recabar la asistencia de un organismo exterior para él cumplimiento de las tareas que le incumben con arreglo al presente Reglamento.
Artículo 32
Confidencialidad
1. Ni las autoridades nacionales de supervisiónaviación, de conformidad con su legislación nacional, ni la Comisión, revelarán la información de naturaleza confidencial, en particular la información sobre proveedores de servicios de navegación aérea, sus relaciones comerciales o los componentes de sus costes. [Enm. 140]
2. El apartado 1 se entenderá sin perjuicio del derecho de las autoridades nacionales de supervisiónaviación o de la Comisión a revelar información cuando sea esencial para el desempeño de sus funciones; en tal caso, la información revelada será proporcional y tendrá en cuenta los intereses legítimos de los proveedores de servicios de navegación aérea, usuarios del espacio aéreo, aeropuertos y otras partes interesadas pertinentes en lo que respecta a la protección de sus secretos comerciales. [Enm. 141]
3. La información y los datos facilitados con arreglo al sistema de tarificación contemplado en el artículo 12 se revelarán públicamente.
Artículo 33
Sanciones
Los Estados miembros establecerán disposiciones en materia de sanciones y mecanismos de compensación para el caso de infracción del presente Reglamento , en particular por parte de usuarios del espacio aéreo y proveedores de servicios, y tomarán las medidas necesarias para asegurar su aplicación. Las sanciones establecidas serán efectivas, proporcionadas y disuasorias. [Enm. 142]
Artículo 34
Revisión y métodos de evaluación de los efectos
1. La Comisión evaluará periódicamente la aplicación del presente Reglamento e informará de ello al Parlamento Europeo y al Consejo al final de cada período de referencia previsto en el artículo 11, apartado 5, letra d). Cuando esté justificado a tal efecto, la Comisión podrá solicitar a los Estados miembros información pertinente respecto a la aplicación del presente Reglamento.
2. Los informes contendrán una evaluación de los resultados alcanzados por las acciones llevadas a cabo en aplicación del presente Reglamento, incluida información apropiada sobre la evolución del sector, en particular por lo que se refiere a los aspectos económicos, sociales, medioambientales, de empleo y tecnológicos, así como sobre la calidad del servicio, teniendo en cuenta los objetivos iniciales y con vistas a las necesidades futuras.
Artículo 35
Salvaguardas
El presente Reglamento no impedirá que los Estados miembros apliquen cuantas medidas sean necesarias para la salvaguarda de los intereses esenciales de la política de seguridad o de defensa. Estas medidas serán, en particular, las que resulten imperativas
a) para la vigilancia del espacio aéreo bajo su responsabilidad, de conformidad con los acuerdos regionales sobre la navegación aérea de la OACI, incluida la capacidad de detectar, identificar y evaluar toda aeronave que utilice dicho espacio aéreo, con el fin de garantizar la seguridad de los vuelos y tomar medidas para garantizar las necesidades en materia de seguridad y defensa,
b) en caso de graves disturbios internos que alteren el orden público,
c) en caso de guerra o grave tensión internacional que constituya una amenaza de guerra,
d) para cumplir las obligaciones internacionales de los Estados miembros relativas al mantenimiento de la paz y la seguridad internacional,
e) para efectuar operaciones y entrenamiento militares, incluidas las posibilidades necesarias de realizar ejercicios.
Artículo 36
Agencia de la Unión Europea para la Seguridad Aérea (EAA)
Al aplicar el presente Reglamento, los Estados miembros y la Comisión, de acuerdo con sus cometidos respectivos establecidos en el presente Reglamento, mantendrán una adecuada coordinación con la EAA.
Artículo 37
Derogaciones
Quedan derogados los Reglamentos (CE) n° 549/2004, 550/2004, 551/2004 y 552/2004.
Las referencias a los Reglamentos derogados se entenderán hechas al presente Reglamento y se leerán con arreglo a la tabla de correspondencias que figura en el anexo III.
Artículo 38
Entrada en vigor
El presente Reglamento entrará en vigor el vigésimo día siguiente al de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en todos los Estados miembros .
Hecho en ..., el
Por el Parlamento Europeo Por el Consejo
El Presidente El Presidente
ANEXO I
REQUISITOS DE LAS ENTIDADES CUALIFICADAS
1. Las entidades cualificadas deberán:
— poder acreditar documentalmente una amplia experiencia en la evaluación de entidades públicas y privadas de los sectores del transporte aéreo, especialmente de proveedores de servicios de navegación aérea, y en otros sectores similares, en uno o varios de los ámbitos regulados por el presente Reglamento;
— contar con normas y reglamentaciones completas para el examen periódico de las entidades anteriormente mencionadas, publicadas y continuamente actualizadas y mejoradas a través de programas de investigación y desarrollo;
— no estar controlados por proveedores de servicios de navegación aérea, por autoridades de gestión aeroportuaria ni por otras entidades relacionadas comercialmente con la prestación de servicios de navegación aérea o los servicios de transporte aéreo:
— disponer de personal técnico, directivo, de apoyo y de investigación significativo y proporcional a las tareas que deben realizar.
— contraer un seguro de responsabilidad civil, a menos que el Estado miembro asuma dicha responsabilidad de acuerdo con el Derecho nacional o que el propio Estado miembro sea directamente responsable de las inspecciones.
La entidad cualificada, su Director y el personal responsable de la realización de las comprobaciones no deberán intervenir, directamente ni como representantes autorizados, en el diseño, fabricación, comercialización o mantenimiento de los componentes o sistemas ni en su utilización. Lo anterior no excluye la posibilidad de intercambio de información técnica entre el fabricante o constructor .
La entidad cualificada deberá realizarlas con la máxima profesionalidad y la mayor competencia técnica posible y deberá estar libres de presiones e incentivos, especialmente de tipo económico, que puedan influir en sus dictámenes sobre los resultados de las inspecciones, ejercidos, en particular, por personas o grupos de personas afectados por los resultados de las comprobaciones.
4. El personal de la entidad cualificada deberá:
— tener una sólida formación profesional y técnica,
— conocer suficientemente los requisitos de las inspecciones que realiza y tener experiencia adecuada en tales operaciones,
— estar capacitado para elaborar las declaraciones, informes y documentos que demuestren que se han realizado las inspecciones,
— gozar de una imparcialidad garantizada. Las remuneraciones del personal no dependerán del número de inspecciones realizadas ni de los resultados de las inspecciones.
ANEXO II
CONDICIONES QUE SE ADJUNTARÁN A LOS CERTIFICADOS
1. Los certificados especificarán:
a) la autoridad nacional de supervisiónaviación que lo expide; [Enm. 143]
b) el solicitante (nombre y dirección);
c) los servicios que se certifican;
d) una declaración de conformidad del solicitante con los requisitos comunes definidos en el artículo 8 ter del Reglamento (CE) nº 216/2008;
e) la fecha de expedición y el período de vigencia del certificado.
2. Los certificados podrán incorporar, cuando proceda, otras condiciones adicionales relativas a:
a) el acceso no discriminatorio a los servicios por parte de los usuarios del espacio aéreo y el nivel requerido de prestaciones de dichos servicios, incluidos los niveles de seguridad y de interoperabilidad;
b) las especificaciones operativas de los servicios de que se trate;
c) el plazo en el que deberían prestarse los servicios;
d) los diversos equipos operativos que han de utilizarse en los servicios de que se trate;
e) la delimitación o la restricción de las actividades de otros servicios que no estén relacionados con la prestación de servicios de navegación aérea;
f) los contratos, acuerdos y otras medidas acordadas entre el proveedor o los proveedores de servicios y un tercero y que se refieran al servicio o a los servicios de que se trate;
g) el suministro de la información que sea razonablemente necesaria para comprobar que el servicio o los servicios cumplen los requisitos comunes, incluyendo planes, datos financieros y de actividad, y los cambios significativos en el tipo y/o el alcance de los servicios de navegación aérea que se prestan;
h) otras condiciones legales que no sean específicas de los servicios de navegación aérea, tales como las condiciones relativas a la suspensión o retirada del certificado.